HIPAA 合规性

HIPAA 合规性

ManageEngine ServiceDesk Plus On-Premise为医疗机构提供了多种方法来遵守HIPAA指南,并保护和限制个人健康信息(ePHI)的输出。

应用程序管理员可通过执行以下步骤确保符合 HIPAA 规定:

 

  1. M标记包含 PII 或 ePHI 的字段: 要收集和处理用户的 ePHI,我们建议您使用附加字段并将其标记为包含 PII 或 ePHI 的字段。这样,当用户从 ServiceDesk Plus 中删除时,您就可以匿名处理或删除这些字段。

  2. 加密个人健康信息或电子健康信息字段:可以对电子健康信息字段进行加密,以提高安全性。默认情况下,标记 ePHI 字段时将选择加密选项。如果需要,可以取消选中加密选项。虽然字段加密在 ServiceDesk Plus 中不是强制性的,但我们强烈建议您启用加密以保护存储的数据。

  • 向第三方应用程序传输数据的控制:第三方应用程序可通过应用程序接口访问加密字段。不过,访问权限会根据以下条件进行限制,

    • API 密钥用于 API 操作的技术人员的角色和权限。

    • 验证 API 调用的 Authtoken。

  1. 机密数据的匿名化或清除: 标记为 PHI/ePHI 的字段可在相应用户离开组织后匿名化或删除。

  2. 安全导出敏感数据: 通过配置文件保护密码,可确保敏感数据的安全导出。启用此功能后,将为每个有登录权限的用户生成的文件创建一个唯一密码,并为没有登录权限的用户配置一个通用密码。根据需要,可以与没有登录权限的用户共享通用密码,以便他们访问受密码保护的文件。

作为一个内部部署的软件应用程序,ServiceDesk Plus不会将您的数据从本地服务器共享或传输出去。只有有关许可、付款和支持服务的信息才会与 ManageEngine 共享,这些数据不会与其他任何人共享。我们的员工无法访问通过 ServiceDesk Plus 收集和处理的个人数据。

 

配置 HIPAA 合规性 配置 HIPAA 相关附加字段

您可以为支持的模块配置与 HIPAA 相关的附加字段,方法是将其标记为包含 PII 或 ePHI 的字段,并为这些字段启用加密。为此,请按照以下步骤操作:  
   

  1. 转到管理 > 定制 > 附加字段。

  2. 选择您喜欢的模块: 事件、服务、用户或技术人员。

  3. 点击新建字段。

  4. 选择首选字段类型: 单行、选择列表、多行、数字或日期/时间。

  5. 选择以下选项:

  • 保存个人身份信息 (PII):事件或服务附加字段。

 


 

  • 持有 PII/ePHI - 用于用户或技术人员的附加字段。



 

  1. 加密字段: 选择此选项可加密字段。数字或日期/时间类型字段不支持此选项。不过,您可以使用 "只允许数字 "选项创建单行字段,并选择 "加密字段 "选项。例如,如果贵组织要存储社会保险号 (SSN),可以创建一个单行字段并配置以下选项:

  2. 加密字段: 已启用

  3. 值长度: 设置为 9

  4. 只允许数字: 已启用

  1. 配置其他必要的字段属性。

  2. 最后点击保存。

  • 启用 "加密字段 "选项的附加字段将不会包含在 ServiceDesk Plus 生成的报告中。
  • 加密字段不会与集成的应用程序(如 Analytics Plus、Zoho Analytics 或任何其他第三方应用程序)同步。
  • 加密字段的选项只能在创建新字段时使用。无法通过编辑字段来启用或禁用字段加密。
  • ServiceDesk Plus 会根据所使用的数据库使用以下方法对字段进行加密:
    • 在使用捆绑 PostgreSQL 的设置中,使用 Postgres 的 pgcrypto 模块执行加密。
      在使用 Microsoft SQL Server 的设置中,使用主密钥、对称密钥和证书进行加密。  
  • 在启用了 ESM 的设置中,可以通过 ESM 目录 > 用户管理 > 用户 - 附加字段配置所有实例中用户(请求人和技术人员)的用户附加字段,并配置必要的安全选项。

启用匿名

您可以对 ServiceDesk Plus 进行配置,以便在用户从应用程序中删除时(通常是在用户离开组织时)匿名化或删除包含敏感用户信息的字段。要配置匿名化,请按照以下步骤操作:

  • 对于单实例设置中的所有字段或多实例设置中的特定实例字段 :

  1. 转到管理 > 用户和权限 > 隐私设置。

  2. 选择显示选项,在删除时匿名化用户数据。

  3. 现在,选择要应用匿名化的字段,然后单击保存。

 


 

  • 用于多实例设置中的全应用程序用户字段:

  1. 转到管理 > 用户和权限 > 隐私设置。

  2. 选择显示选项,在删除时匿名化用户数据。

  3. 单击保存。


 

启用 "删除时显示匿名化用户数据 "选项并从 ServiceDesk Plus 中删除用户时,将显示删除敏感字段或匿名化敏感字段的选项。


包含敏感信息的默认字段和标记为包含 PII 或 ePHI 的附加字段都支持匿名化选项。如果附加字段被标记为包含 PII 或 ePHI 的字段,则这些字段将列在管理 > 用户和权限 > 隐私设置下。

启用密码保护

为防止未经授权访问 ServiceDesk Plus 生成的文件中的敏感数据,ServiceDesk Plus 允许您配置文件保护密码。为此,请按照以下步骤操作:

  1. 转到管理 > 用户和权限 > 隐私设置。

  2. 选择启用文件保护密码。

  3. 通用密码:提供一个通用密码,可与没有登录权限访问 ServiceDesk Plus 生成的文件的用户共享。

  4. 最后点击保存。

 


 

启用 "启用文件保护密码 "选项后,当每个具有 ServiceDesk Plus 登录权限的用户首次从 ServiceDesk Plus 导出文件时,将为其生成一个唯一的密码。用户可通过单击其用户配置文件图标并选择更改密码来访问该密码。用户可以配置自己的密码。

 

检索审计日志

ServiceDesk Plus 支持为具有查看、编辑、添加或删除权限的标记为 PII/ePHI 的字段生成审计日志。企业可以启用 "启用数据删除计划 "来配置保留期,最长可达 10 年。如需生成报告方面的帮助,请联系支持部门。

 


禁用 HIPAA 合规性

您可以通过专门禁用相应的安全配置来禁用 HIPAA 合规性,如下所述:

禁用附加字段安全配置

  1. 转到管理 > 个性化 > 附加字段。

  2. 选择首选模块: 事件或服务。

  3. 点击编辑。

  4. 禁用持有个人身份信息 (PII)。

  5. 最后,点击更新。

  • 用户和技术人员附加字段可选择禁用 "持有 PII/ePHI"。
    加密一旦启用,任何附加字段都无法禁用。

 

禁用匿名

要禁用包含敏感信息字段的匿名化,请按照以下步骤操作:

  • 对于单实例设置中的所有字段或多实例设置中的特定实例字段 :

  1. 转到管理 > 用户和权限 > 隐私设置。

  2. 取消选择必须禁用匿名化的字段。

  3. 最后单击保存。

  • 用于多实例设置中的全应用程序用户字段:

  1. 转到管理 > 用户和权限 > 隐私设置。

  2. 取消选择必须禁用匿名化的字段。

  3. 最后单击保存。

 

禁用文件保护密码

禁用文件保护密码,

  1. 转到管理 > 用户和权限 > 隐私设置。

  2. 禁用启用文件保护密码。

  3. 单击保存。