Comment ONLYOFFICE se conforme à la loi HIPAA

Nous mettons toujours en priorité la confidentialité de nos utilisateurs et la sécurité de leurs données. A ce stade du développement de notre projet, nous nous permettons d’annoncer que la politique de sécurité et les mesures de protection de données appliquées aux outils et produits ONLYOFFICE sont conformes aux règles de confidentialité de la loi HIPAA.

Lisez ce billet de blog pour en savoir davantage comment ONLYOFFICE assure la conformité aux normes de sécurité des informations médicales des patients.

A propos de la loi HIPAA

La loi sur la portabilité et la responsabilité des assurances maladie (HIPAA) qui date de l’année 1996, définit la norme de sécurité des informations médicales des patients. Cette réglementation définit les exigences de sécurité et de confidentialité des données pour les organisations qui traitent des données de santé protégées (appelées PHI pour Protected Health Information).

Si vous souhaitez vous conformer à la loi HIPAA pour offrir légalement les services médicaux aux États-Unis ou garantir la sécurité de données en tant qu’une organisation médicale en général, il est important d’utiliser les logiciels qui sont conformes à cette réglementation.

Étant le développeur des solutions auto-hébergées ONLYOFFICE, Ascensio System SIA agit en tant que fournisseur des systèmes d’information et garantit ainsi la compatibilité de tous les éléments technologiques de ONLYOFFICE avec les exigences de sécurité et les normes de confidentialité existantes.

HIPAA : soyez conforme avec les solutions auto-hébergées ONLYOFFICE

Sur le plan de logiciels, pour répondre aux exigences de la loi HIPAA concernant le traitement de données de santé, il est indispensable d’assurer les mesures de sécurité suivantes :

• Processus et politiques techniques pour donner l’accès aux données de santé protégées (PHI) au personnel autorisé ;
• Audit régulier des systèmes d’information ;
• Contrôle total sut l’intégralité de données et la sécurité ;
• Authentification des personnes et des organisations qui demandent l’accès aux données des patients ;
• Principes de sécurité obligatoires lors du transfert de données de santé (PHI) pour les protéger contre un accès non-autorisé, incluant le contrôle sur l’intégralité des données en transit et le chiffrement de données transférées ;
• Politiques technologiques appliquées aux porteurs de données ;
• Plan de secours en cas de circonstances exceptionnelles.

ONLYOFFICE garantit la conformité aux réglementations spécifiques de la loi HIPAA à travers les moyens de protection technologiques telles que :

Installation en auto-hébergement. ONLYOFFICE est hautement sécurisé par conception : la capacité d’héberger les solutions sur site assure une indépendance totale de données et un contrôle complet sur les données traitées lors du fonctionnement de ses services.

Salle privée et chiffrement de données stockées. Au sein du réseau, les données sont protégées avec les technologies de chiffrement fiables : tout le système peut être chiffré au repos, tandis que les informations stockées sous forme de documents électroniques qui peuvent être chiffrés via les Salles privées, une technologie garantissant le stockage, l’édition et même la coédition en temps réel sécurisés.

Identification de l’utilisateur et contrôle d’accès. ONLYOFFICE fournit des outils uniques pour l’identification de l’utilisateur (paramètres du mot de passe flexibles, A2F, LDAP, etc.), les processus pour assurer l’accès en cas d’urgence (récupération de données à partir des copies de sauvegarde), la configuration de la déconnexion automatique, la restriction d’accès (IPs sélectionnés, domaines de mail).

En savoir plus sur les contrôles d’accès

Protection de données en transit. Les données en transit entre le système et le client, sont protégées par des protocoles HTTPS avec un algorithme de chiffrement TLS à jour.

Audit de données. ONLYOFFICE vous permet de stocker et examiner le journal d’audit, suivre les activités d’utilisateurs et l’historique des connexions.

En savoir plus sur le journal d’audit et l’historique des connexions

Sauvegarde, migration et effacement de données. Il est possible d’effectuer les sauvegardes manuelles et automatiques en paramétrant la destination du stockage des sauvegardes (portail, services de stockage tiers ou clouds tiers, sauvegardes d’urgence sur un stockage local), la structure de copies de données, le nombre personnalisable des opérations de sauvegarde sur une période de temps (pour les sauvegardes automatiques) et d’effectuer la récupération sécurisée de données. Grâce à la fonctionnalité d’effectuer les sauvegardes, vous pouvez migrer vers un nouveau porteur de données ou effacer les données de leur ancien emplacement afin de préparer le porteur à la réutilisation.

En savoir plus sur les sauvegardes à ONLYOFFICE

Permission d’accès flexibles. Vous êtes en mesure de définir le niveau de collaboration en accordant les permissions d’accès basiques (lecture, édition) et avancées (révision, commentaires, remplissage de formulaire, etc.) aux documents stockés sur le portail. Il est également possible de limiter le téléchargement et l’impression de données du patient pour éviter leur diffusion non-autorisée.

En savoir plus sur les permissions d’accès au portail

En savoir plus sur les permissions de partage des documents

Comment faire pour demander des informations

Pour toute question liée à la conformité d’Ascensio System SIA à la loi HIPAA, n’hésitez pas à contacter le responsable de la sécurité HIPAA dans notre siège en Lettonie :

Timur Shugaev
Mail : tim@onlyoffice.com
20A-12 Ernesta Birznieka-Upisha rue,
Riga, Lettonie, EU,
LV-1050
Téléphone : +371 63399867

Vous pouvez également contacter notre équipe d’assistance par mail à support@onlyoffice.com.