Conformidade com a HIPAA

O ManageEngine ServiceDesk Plus On-Premise oferece várias maneiras para que organizações de saúde cumpram as diretrizes da HIPAA e protejam e restrinjam a exportação de informações de saúde de indivíduos (ePHI).

Os administradores do aplicativo podem garantir a conformidade com a HIPAA realizando as seguintes etapas:

1. Marcação de campos que contêm PII ou ePHI: Para coletar e processar ePHI dos usuários, recomendamos que você faça isso usando campos adicionais e marcando-os como campos que contêm PII ou ePHI. Isso permite anonimizar ou excluir esses campos quando o usuário for removido do ServiceDesk Plus.

2. Criptografia de campos PHI ou ePHI: Os campos de ePHI podem ser criptografados para maior segurança. Por padrão, a opção de criptografia será selecionada ao marcar o campo ePHI. Você pode desmarcar a opção de criptografia, se necessário. Embora a criptografia de campos não seja obrigatória no ServiceDesk Plus, recomendamos fortemente que você habilite a criptografia para proteção dos dados armazenados. 

• Controles para transferência de dados para aplicativos de terceiros: Os campos criptografados são acessíveis a aplicativos de terceiros por meio de APIs. No entanto, o acesso é restrito com base em:

  • Funções e permissões dos técnicos cuja chave de API é usada nas operações de API.

  • Authtoken por meio do qual a chamada de API é autenticada.

3. Anonimização ou eliminação de dados confidenciais: Campos marcados como PHI/ePHI podem ser anonimizados ou eliminados quando o usuário correspondente tiver deixado a organização.

4. Exportação segura de dados sensíveis: A exportação de dados sensíveis pode ser protegida configurando uma senha de proteção de arquivo. Ao habilitar isso, será criada uma senha exclusiva para os arquivos gerados por cada usuário com permissão de login, e uma senha comum poderá ser configurada para usuários sem permissão de login. Com base no critério adotado, a senha comum pode ser compartilhada com usuários que não têm acesso de login ao ServiceDesk Plus para acessar arquivos protegidos por senha.

Como um aplicativo de software on-premises, o ServiceDesk Plus não compartilha nem transfere seus dados para fora de seus servidores locais. Apenas informações sobre licenciamento, pagamentos e serviços de suporte são compartilhadas com a ManageEngine, e esses dados não são compartilhados com mais ninguém. Nossos funcionários não têm acesso aos dados pessoais coletados e processados por meio do ServiceDesk Plus.

Configurações para conformidade com a HIPAA

Configurando campos adicionais relacionados à HIPAA

Você pode configurar campos adicionais relacionados à HIPAA para módulos compatíveis, marcando-os como campos que contêm PII ou ePHI e também habilitando a criptografia para esses campos. Para fazer isso, siga estas etapas:  
   

1. Vá para Admin > Personalização > Campo adicional.

2. Selecione o módulo de sua preferência: Incidente, Serviço, Usuário ou Técnico.

3. Clique em Novo campo.

4. Escolha o tipo de campo de sua preferência: Linha única, Lista de seleção, Várias linhas, Numérico ou Data/Hora.

5. Selecione a opção abaixo:

• Contém informações de identificação pessoal (PII): Para campos adicionais de incidente ou serviço.

• Contém PII/ePHI - Para campos adicionais de usuário ou técnico.

6. Criptografar o campo: Selecione esta opção para criptografar o campo. Esta opção não é compatível com campos do tipo Numérico ou Data/Hora. No entanto, você pode criar um campo de linha única com a opção Permitir apenas números e selecionar a opção Criptografar o campo. Por exemplo, se sua organização quiser armazenar o número de seguridade social (SSN), você pode criar um campo de linha única e configurar as seguintes opções:

• Criptografar o campo: Habilitado
• Comprimento do valor: Definido como 9
• Permitir apenas números: Habilitado

7. Configure outras propriedades de campo necessárias.

8. Por fim, clique em Salvar.

• Campos adicionais com a opção Criptografar o campo habilitada não serão incluídos nos relatórios gerados pelo ServiceDesk Plus.
• Campos criptografados não serão sincronizados com aplicativos integrados, como Analytics Plus, Zoho Analytics ou quaisquer outros aplicativos de terceiros. 
• A opção de criptografar um campo está disponível somente no momento da criação de um novo campo. Você não pode habilitar ou desabilitar a criptografia de um campo editando-o.
• O ServiceDesk Plus criptografa campos usando os seguintes métodos com base no banco de dados utilizado:
  • A criptografia é realizada usando o módulo pgcrypto do Postgres em configurações que usam o PostgreSQL incluído.
  • A criptografia é realizada usando a chave mestra, a chave simétrica e o certificado em configurações que usam o Microsoft SQL Server.   
• Em configurações com ESM habilitado, você pode configurar campos adicionais do usuário para usuários (solicitantes e técnicos) em todas as instâncias em ESM Directory > Gerenciamento de Usuários > Usuário - Campos adicionais e configurar as opções de segurança necessárias.

 Habilitar anonimização  

Você pode configurar o ServiceDesk Plus para anonimizar ou excluir campos que contenham informações confidenciais do usuário quando o usuário for excluído do aplicativo, normalmente quando o usuário tiver deixado a organização. Para configurar a anonimização, siga as etapas abaixo:

• Para todos os campos em configurações de instância única ou campos específicos da instância em configurações de múltiplas instâncias:

1. Vá para Admin > Usuários e permissões > Configurações de privacidade.

2. Selecione Mostrar opção para anonimizar dados do usuário durante a exclusão.

3. Agora, selecione os campos aos quais a anonimização deve ser aplicada e clique em Salvar.

• Para campos de usuário de toda a aplicação em configurações de múltiplas instâncias:

1. Vá para Admin > Usuários e permissões > Configurações de privacidade.

2. Selecione Mostrar opção para anonimizar dados do usuário durante a exclusão.

3. Clique em Salvar.

Quando a opção Mostrar opção para anonimizar dados do usuário durante a exclusão estiver habilitada e um usuário for removido do ServiceDesk Plus, será exibida uma opção para excluir os campos sensíveis ou anonimizar esses campos.

A opção de anonimização é compatível tanto com campos padrão que contêm informações sensíveis quanto com campos adicionais marcados como contendo PII ou ePHI. Se campos adicionais forem marcados como campos que contêm PII ou ePHI, esses campos serão listados em Admin > Usuários e permissões > Configurações de privacidade.

Habilitar proteção por senha 

Para proteger dados sensíveis em arquivos gerados pelo ServiceDesk Plus contra acesso não autorizado, o ServiceDesk Plus permite configurar senhas de proteção de arquivos. Para fazer isso, siga as etapas abaixo:

1. Vá para Admin > Usuários e permissões > Configurações de privacidade.

2. Selecione Habilitar senha de proteção de arquivo.

3. Senha comum: forneça uma senha comum que possa ser compartilhada com usuários que não tenham permissão de login para acessar arquivos gerados pelo ServiceDesk Plus.

4. Por fim, clique em Salvar.

Depois que a opção Ativar senha de proteção de arquivos é habilitada, uma senha exclusiva é gerada para cada usuário com acesso de login ao ServiceDesk Plus quando ele exporta um arquivo do ServiceDesk Plus pela primeira vez. Os usuários podem acessar a senha clicando no ícone do perfil de usuário e selecionando Alterar senha. Os usuários podem configurar suas próprias senhas.

Recuperando o log de auditoria  

O ServiceDesk Plus oferece suporte à geração de logs de auditoria para campos marcados como PII/ePHI com permissões de Visualizar, Editar, Adicionar ou Excluir. As organizações podem habilitar Ativar exclusão agendada de dados para configurar o período de retenção até um máximo de 10 anos. Para saber mais, clique aqui.  Para obter ajuda na geração de relatórios, entre em contato com o suporte.

Desativar a conformidade com a HIPAA  

Você pode desativar a conformidade com a HIPAA desabilitando especificamente as respectivas configurações de segurança, conforme discutido abaixo:

Desativar configuração de segurança de campo adicional

1. Vá para Admin > Personalização > Campo adicional.

2. Selecione o módulo de sua preferência: Incidente ou Serviço.

3. Clique em Editar.

4. Desative Contém informações de identificação pessoal (PII).

5. Por fim, clique em Atualizar.

• A opção para desativar Contém PII/ePHI está disponível para os campos adicionais de usuário e técnico.
• Depois de habilitada, a criptografia não pode ser desativada para nenhum campo adicional.

Desativar anonimização

Para desativar a anonimização de campos que contêm informações sensíveis, siga as etapas abaixo:

• Para todos os campos em configurações de instância única ou campos específicos da instância em configurações de múltiplas instâncias:

1. Vá para Admin > Usuários e permissões > Configurações de privacidade.

2. Desmarque os campos para os quais a anonimização deve ser desativada.

3. Por fim, clique em Salvar.

• Para campos de usuário em toda a aplicação em configurações de múltiplas instâncias:

1. Vá para Admin > Usuários e permissões > Configurações de privacidade.

2. Desmarque os campos para os quais a anonimização deve ser desativada.

3. Por fim, clique em Salvar.

 Desativar a senha de proteção de arquivos

Para desativar a senha de proteção de arquivos,

1. Vá para Admin > Usuários e Permissões > Configurações de Privacidade.

2. Desative Ativar senha de proteção de arquivos.

3. Clique em Salvar. 

Outros recursos relacionados à segurança que o ServiceDesk Plus oferece
 

1. Acesso baseado em funções

2. Visibilidade de campo específica do usuário

3. Segurança de dados

4. Certificados ISO e SOC 2