Conformité à la norme HIPAA et Synology C2

Découvrez comment l'infrastructure sécurisée de Synology C2 et sa conception axée sur la confidentialité aident les clients à se conformer aux réglementations de la norme HIPAA.

Une responsabilité partagéeLa plateforme Synology C2 est conçue pour garantir une sécurité, une confidentialité et une intégrité maximales des données des clients, y compris les informations médicales protégées sous forme électronique (ePHI). Les professionnels de la santé peuvent facilement intégrer les fonctions de protection et d'audit des données de C2 dans leur stratégie de conformité à la norme HIPAA.Sécurité et confidentialitéOutils et paramètres spécifiques aux services et disponibles à l'échelle de la plateforme pour permettre uniquement au personnel autorisé d'accéder aux ePHI.Intégrité et disponibilitéConception d'infrastructure sécurisée pour minimiser les risques de perte et de corruption de données et améliorer la disponibilité des services.
Empêcher tout accès non autoriséSynology C2 peut être configuré en tant que service invisible sans autorisation de lecture, éliminant ainsi le risque de voir les données des patients chargées tomber entre de mauvaises mains.Chaque service de l'écosystème Synology C2 est doté d'un ou de plusieurs mécanismes de protection des données, tels que le chiffrement de bout en bout, le chiffrement côté client ou une combinaison de mesures.Pour en savoir plus sur la façon dont les services C2 garantissent la propriété et le contrôle complets des ePHI, consultez le livre blanc dédié à chaque service.
La réglementation et l'audit des accèsDes fonctionnalités soigneusement conçues permettent de contrôler de près qui a accès aux données médicales, à la fois au sein de l'entreprise et lors d'interactions avec des tiers.Accès sécurisé à la plateformeL'accès à tous les services C2 nécessite de disposer d'un compte Synology valide, pour lequel la fonction d'authentification à plusieurs facteurs (MFA) peut être configurée afin de garantir une sécurité maximale. L'historique détaillé des connexions facilite les enquêtes en cas d'activité anormale sur le compte.Paramètres de partage granulairesEn limitant la circulation des ePHI il est possible de réduire les risques liés à la confidentialité des données. C2 offre des outils tels que la protection par mot de passe et les dates d'expiration des liens de partage, et C2 Transfer, conçu pour les transferts de fichiers, requiert la vérification des utilisateurs par le biais de mots de passe à usage unique.Journalisation et rapports d'auditLes journaux détaillés permettent aux administrateurs d'examiner les actions des utilisateurs, y compris l'accès, le transfert ou le téléchargement des données des patients. Les rapports générés à la demande ou envoyés régulièrement par e-mail facilitent la surveillance et l'évaluation.
Une infrastructure fiable sur laquelle vous pouvez compterToutes les données C2 sont stockées dans des centres de données de colocation certifiés où les points de défaillance uniques sont éliminés grâce à une infrastructure redondante haute disponibilité.Sécurité physiqueLes certifications ISO 27001 et SOC 2 Type II garantissent une conformité stricte aux procédures de sécurité et aux mesures de sécurité physique et de surveiller l'accès au site par le personnel.Protection de la redondanceLa technologie de codage d'effacement permet d'optimiser la redondance des données tout en facilitant la détection et la réparation des données corrompues et en protégeant les données contre les menaces de panne matérielle.Propriété des donnéesAvec des centres de données situés en Europe et aux États-Unis, Synology C2 permet aux clients de se conformer aux réglementations locales, telles que les exigences de résidence des données aux États-Unis et dans l'UE.En savoir plus sur la sécurité et la confidentialité chez SynologyPublication de blog sur la durabilité des donnéesPlongez-vous dans le sujet de la durabilité des données, avec une présentation technique et les exemples concrets de notre infrastructure.Lire davantageDéclaration de confidentialitéDécouvrez la manière dont nous traitons les informations personnelles des utilisateurs, y compris les données que nous recueillons et la durée de conservation.En savoir plusConditions d'utilisation de Synology C2Lisez les conditions générales qui régissent l'utilisation de la plateforme Synology C2 et des services C2 individuels.En savoir plusLivres blancs sur la sécurité des donnéesDécouvrez en détail la manière dont les solutions Synology C2 permettent de protéger les données contre tout accès non autorisé, garantissant ainsi un contrôle total sur les ePHI et autres données sensibles.C2 StorageC2 IdentityC2 PasswordC2 TransferC2 Backup Foire aux questions Qu'est-ce qu'un HIPAA ? La loi HIPAA (Health Insurance Portability and Accountability Act) a été adoptée par le Congrès américain en 1996 afin d'établir des normes réglementaires pour l'utilisation et la divulgation légitimes des informations médicales électroniques protégées, Protected Health Information (PHI). En vertu des réglementations HIPAA, les entreprises et les prestataires de soins de santé doivent répondre à un ensemble d'exigences visant à garantir la confidentialité et la sécurité de toutes les données ePHI créées, gérées, reçues ou transmises. Quelles sont les règles HIPAA ? La législation HIPAA est constituée de cinq règles. Chaque règle définit différentes exigences en matière de conformité HIPAA :

1. Règle de confidentialité : comment, quand et dans quelles circonstances les ePHI peuvent être utilisées et divulguées

2. Règle de sécurité : normes techniques, physiques et administratives pour protéger l'intégrité des ePHI

3. Règle omnibus : intégration des dispositions de HITECH à la loi HIPAA pour renforcer la protection des ePHI

4. Règle de notification des violations : conditions générales de notification des parties intéressées et du public lors de violations de données impliquant des ePHI

5. Règle d'application : enquête et sanctions imposées suite à une violation de données impliquant des ePHI

Au fil des années, ces exigences ont été intégrées et élargies en réponse aux avancées technologiques du secteur de la santé et d'autres secteurs.

Qu'est-ce qu'un service invisible ? Le terme « service invisible » décrit la situation dans laquelle le fournisseur de services cloud (CSP) conserve des données ePHI chiffrées pour le compte d'une entité couverte ou d'un partenaire commercial sans avoir accès à la clé de déchiffrement. Qu'est-ce que le codage d'effacement ? Comme pour le RAID, le codage d'effacement enregistre les données en de nombreux éléments, ce qui engendre la redondance d'au moins trois éléments (ce qui signifie que jusqu'à trois serveurs peuvent tomber en panne sans affecter la disponibilité des données). Cependant, grâce au codage d'effacement, les utilisateurs n'ont pas besoin d'attendre que la récupération soit terminée (ce qui est instantané). Le codage d'effacement permet également de détecter et de réparer des données corrompues. Quelles sont les exigences de conformité tierces auxquelles le Synology C2 répond ? Les centres de données de colocation de Synology C2 en Europe (Francfort-sur-le-Main) et dans la région APAC (Taipei) sont certifiés conformes à la norme ISO 27001, l'un des cadres de sécurité les plus stricts disponibles pour les technologies de l'information. Les centres de données de colocation de Synology C2 situés aux États-Unis ont obtenu la certification SOC 2 Type II complète qui atteste de leurs strictes procédures visant à garantir la sécurité des données utilisateur. Synology traite les informations de paiement conformément à la norme PCI DSS en traitant et en stockant les informations de facturation auprès d'un fournisseur de services PCI de niveau 1. Synology C2 est-il accompagné d'un accord de traitement des données (BAA) ? Oui. Les BAA sont actuellement disponibles pour C2 Object Storage, C2 Storage, C2 Backup, C2 Transfer et C2 Password. Les demandes peuvent être soumises ici. Un représentant vous contactera pour confirmer les détails et vous fournir une copie numérique du contrat que vous devrez signer.

Inscrivez-vous au bulletin d'information C2

Inscrivez-vous dès maintenant pour recevoir les dernières mises à jour sur les services C2, les informations techniques, les activités et les événements.

Il est nécessaire de disposer d'un compte Synology pour rejoindre notre liste de diffusion. Vous pouvez gérer vos préférences relatives au bulletin d'information via votre compte Synology. infoPour vous permettre de recevoir notre bulletin d'information, nous allons créer un compte Synology pour vous à l'aide de l'adresse e-mail fournie.
Remarques: Le ministère de la Santé et des Services sociaux américain, Department of Health and Human Services (HHS), ne délivre ni ne reconnaît officiellement aucune forme de certification de conformité HIPAA.