HIPAA

La política de NICE CXone estipula que la empresa debe firmar un Acuerdo de asociación comercial (BAA) con las unidades de negocios. El BAA exige que la unidad de negocios se autodefina como uno de los siguientes:

Una entidad cubierta (CE)
Un socio comercial (BA)

Esta definición abarcará los requisitos de BAA estipulados por la normativa federal.

Dentro del BAA, las unidades de negocios deben respetar las siguientes protecciones de seguridad de la HIPAA:

Protecciones técnicas.
- RBAC (control de acceso basado en roles).
- Identidad única.
- Requisitos de cifrado VPN.
- Registro y supervisión.
- Redundancia y respaldos.
- Proceso seguro de almacenamiento, transporte y cifrado en medios portátiles de los datos.
- Sistema de detección de intrusiones (IDS).
- Sistema de prevención de intrusiones (IPS).
- AV/Malware.
- Restricciones de puertos Donde se transfiere la información, sobre una red, entre una computadora y un servidor..
- Prácticas de implementación convertidas a proceso.
- Instalación de revisiones.
- Ciclo de vida de desarrollo seguro, pruebas y revisiones.
- Control de cambios.
Protecciones de capacitación.
- Concientización anual en seguridad.
- Capacitación HIPAA basada en roles.
Protecciones para la evaluación de proveedores.
- Evaluación de seguridad de proveedores.
- Acceso restringido y supervisado de proveedores.
Protecciones administrativas.
- Seguridad de las computadoras.
- Gestión de los riesgos.
- Planes y pruebas de resiliencia y gestión de incidentes.
- Roles definidos de seguridad y auditoría.
- Prácticas de contratación, con verificaciones externas de antecedentes.
- Acuerdos de confidencialidad y de no competencia con los empleados y las unidades de negocios potenciales.
- Auditorías de usuarios.
- Proforma para socio comercial con análisis del personal jurídico.
- Equipo dedicado a la seguridad.

NICE CXone exige que los proveedores que combinan información de salud protegida (PHI) firmen un BAA.