FAQ / Sicurezza e dati

Siete certificati HIPAA o ISO 27001?

Non posizioniamo il prodotto stesso come certificato HIPAA. Microsoft firma un BAA HIPAA per i tenant M365 e il nostro livello eredita quella postura. La certificazione ISO 27001 a livello di vendor è in corso; nel frattempo, l'ISO 27001 di Microsoft copre il substrato.

Il posizionamento onesto

I regimi di Livello B come HIPAA non hanno come meccanismo primario di conformità la “certificazione di un prodotto”. La conformità HIPAA è un programma, di proprietà del covered entity o del business associate, con il covered entity che porta la responsabilità della propria postura. Un vendor che afferma “prodotto certificato HIPAA” di solito non regge a un esame approfondito.

Ciò che serve concretamente:

  • Il BAA HIPAA di Microsoft — copre il substrato M365. Il vostro tenant rientra nell’ambito del BAA.
  • Il vostro programma HIPAA — il vostro team privacy definisce i controlli, i BA, le policy.
  • Il nostro livello che fornisce funzionalità — l’audit log è la funzionalità §164.312(b) per l’attività della forza lavoro. Il vostro programma utilizza la nostra funzionalità come parte della vostra postura HIPAA complessiva.

Questo è il modello per ogni regime di Livello B: il prodotto fornisce funzionalità, il team di conformità del cliente possiede il programma.

ISO 27001

M365 di Microsoft è certificato ISO 27001. Il vostro tenant eredita quella copertura — il substrato è certificato.

Al livello vendor (noi), la certificazione ISO 27001 è nella roadmap. L’ISMS interno è operativo; l’audit esterno e la certificazione sono un investimento a lungo orizzonte. Quando la certificazione a livello vendor sarà disponibile, verrà comunicata su questa pagina.

Nel frattempo, la domanda di conformità per i clienti è: il mio programma supera i suoi audit utilizzando questo strumento? La risposta per i programmi ISO 27001 è generalmente sì — l’audit log, il versioning e le prove di approvazione soddisfano le aspettative di informazioni documentate della clausola 7.5.

Vedi ISO 27001 compliance e HIPAA compliance per dettagli approfonditi su ciascun regime.

Funzionalità correlate

Audit log

Ogni azione, ogni approvazione, ogni versione — registrata a nome di un utente specifico, accessibile in 30 secondi.

Approfondimenti

Compliance · Livello B

HIPAA

Compliance · Livello A

ISO 27001

Altro in Sicurezza e dati

?

I nostri dati lasciano il nostro tenant Microsoft 365?

No. Documenti, metadati e audit log vivono tutti nelle tue librerie SharePoint, che si trovano nel tuo tenant M365. L'unica eccezione è quando DocuSign è abilitato — i documenti transitano DocuSign per la cerimonia di firma e tornano immediatamente.

?

Avete accesso ai nostri documenti?

I nostri account di servizio hanno accesso limitato alle librerie sotto governance — necessario per il funzionamento dell'integrazione. Il nostro team di ingegneria non ha accesso unilaterale ai contenuti; l'accesso nelle sessioni di supporto viene registrato quando i clienti richiedono esplicitamente la risoluzione dei problemi.

?

Quali sub-processor utilizzate?

Microsoft (M365 come substrato primario, coperto dal tuo rapporto esistente con Microsoft) e DocuSign quando i clienti abilitano l'integrazione. Manteniamo l'elenco corrente come parte del nostro DPA.

La tua domanda non è in elenco?

Una valutazione di 30 minuti è di solito il modo più rapido per ottenere una risposta specifica a una domanda specifica sul profilo della tua organizzazione.

Prenota una valutazione gratuita o vedi tutte le FAQ