SOC 2 : Service Organizational Control 2
Rapport dâaudit sur les contrĂŽles effectuĂ©s par les organisations de service relatifs Ă la sĂ©curitĂ©, Ă la disponibilitĂ©, et Ă lâintĂ©gritĂ© du traitement et de la confidentialitĂ© ou Ă la protection des donnĂ©es personnelles
Ces rapports sont destinĂ©s Ă rĂ©pondre aux besoins dâun large panel dâutilisateurs qui ont besoin dâinformations dĂ©taillĂ©es tout en Ă©tant rassurĂ©s sur les contrĂŽles de Solver relatifs Ă la sĂ©curitĂ©, la disponibilitĂ© et lâintĂ©gritĂ© du traitement des systĂšmes utilisĂ©s par Solver pour traiter les donnĂ©es des utilisateurs ainsi que le respect de la vie privĂ©e et la confidentialitĂ© des informations traitĂ©es. Ces rapports peuvent jouer un rĂŽle important pour :
- Surveillance de Solver
- Programmes de gestion des fournisseurs
- Processus internes de gouvernance dâentreprise et de gestion des risques
- Surveillance réglementaire
HIPAA : Health Insurance Portability and Accountability Act
LâHIPAA est une loi amĂ©ricaine sur les soins de santĂ© qui Ă©tablit des exigences relatives Ă lâutilisation, la divulgation et la protection des informations de santĂ© identifiables individuellement. Elle sâapplique aux entitĂ©s â cabinets mĂ©dicaux, hĂŽpitaux, assurances-maladie et autres sociĂ©tĂ©s de soins de santĂ© â ayant accĂšs aux renseignements mĂ©dicaux sensibles (ou PHI pour Protected Health Information) des patients, ainsi quâaux entreprises associĂ©es, tel que le Cloud (de Solver) et les fournisseurs informatiques, qui traitent ces PHI. (La plupart des entitĂ©s visĂ©es nâexercent pas directement de fonctions telles que les rĂ©clamations ou le traitement des donnĂ©es ; elles comptent sur des partenaires pour le faire.)
La loi rĂ©glemente lâutilisation et la diffusion des PHI en quatre principaux domaines :
- La vie privée, qui couvre la confidentialité des patients.
- La sĂ©curitĂ©, qui porte sur la protection de lâinformation, y compris les mesures de protection physiques, technologiques et administratives.
- Les identificateurs, qui sont les types de renseignements qui ne peuvent ĂȘtre divulguĂ©s sâils sont recueillis Ă des fins de recherche.
- Les codes pour la transmission Ă©lectronique de donnĂ©es dans le cadre de transactions liĂ©es aux soins de santĂ©, y compris lâadmissibilitĂ© et les rĂ©clamations et paiements dâassurance.
La portĂ©e de lâHIPAA a Ă©tĂ© Ă©tendue avec lâadoption de lâHealth Information Technology for Economic and Clinical Health (HITECH) Act. Les rĂšgles de lâHIPAA et de lâHITECH Act comprennent ainsi :
- La rĂšgle de confidentialitĂ© de lâHIPAA qui met lâaccent sur le droit des individus Ă pouvoir contrĂŽler lâutilisation de leurs donnĂ©es personnelles, et couvre Ă©galement la confidentialitĂ© relative aux PHI, limitant ainsi leur utilisation et leur divulgation.
- La rĂšgle de sĂ©curitĂ© de lâHIPAA, qui Ă©tablit les normes relatives aux mesures de protection administratives, techniques et physiques pour protĂ©ger les PHI au format Ă©lectronique contre lâaccĂšs, lâutilisation et la divulgation non autorisĂ©s. Elle comprend Ă©galement des exigences organisationnelles avec les Business Associate Agreements (BAA).
La derniĂšre clause de notification des atteintes Ă lâHITECH exige de communiquer un avis aux particuliers et au gouvernement lorsquâune atteinte Ă un PHI non sĂ©curisĂ© se produit.
Solver, lâHIPAA et lâHITECH Act
La rĂ©glementation de lâHIPAA exige que les entitĂ©s couvertes et leurs associĂ©s – dans ce cas, Solver lorsquâil fournit des services, y compris des services dâhĂ©bergement sur Cloud, Ă des entitĂ©s couvertes – concluent des contrats pour sâassurer que ces associĂ©s commerciaux protĂ©geront de maniĂšre appropriĂ©e les PHI. Ces contrats, ou BAA, auront pour objectif de clarifier et de limiter la façon dont lâassociĂ© pourra traiter les PHI, et mentionnera lâobligation de respect par chaque partie des dispositions de sĂ©curitĂ© et de confidentialitĂ© Ă©noncĂ©es dans lâHIPAA et lâHITECH Act. Une fois quâun BAA est en place, les clients de Solver â entitĂ©s couvertes â pourront utiliser ses services pour traiter et stocker des PHI.
Il nâexiste actuellement aucune certification officielle pour attester de la conformitĂ© Ă lâHIPAA ou Ă la lâHITECH Act. Toutefois, les services de Solver couverts par la BAA ont fait lâobjet dâaudits effectuĂ©s par des auditeurs indĂ©pendants accrĂ©ditĂ©s.