Genesys Cloud 致力于尊重您和客户信息的隐私,包括受电子保护的健康信息(ePHI)。 作为这一承诺的一部分,许多 Genesys Cloud 服务都符合《健康保险便携性和责任法案》(HIPAA),特别是满足法律要求的行政、物理和技术保障措施。 向销售代表询问具体的合规性问题,包括商业伙伴协议 (BaaA) 和第三方合规性验证。

什么是 HIPAA?

健康保险可携性和责任法案》(HIPAA) 是最初于 1996 年通过的一项美国联邦法律,其中包括自那时以来通过的后续补充法案。 因为 HIPAA 是美国的 联邦法,它仅管辖美国境内的交易或实体,不是国际法或标准。 

HIPAA 旨在监管健康保险计划(第一章)和健康信息的隐私和安全(第二章)等。 第二章中的隐私规则规定了受保护的健康信息(PHI)的使用和披露。 第二章中的安全规则是对隐私规则的补充,并列出了遵守 HIPAA 所需的管理、物理和技术保障措施。

什么是商业伙伴和 BAA?

涵盖的实体(包括医疗保健提供商、健康计划提供商和医疗保健信息交换所)可以聘请 Genesys Cloud 担任商业伙伴的角色,以帮助他们开展医疗保健活动和职能。 商业伙伴包括代表所涵盖的实体履行职能或活动或向其提供某些服务的实体,例如创建、接收、维护和/或传输受保护的健康信息。 

通常,使用商业伙伴服务的涵盖实体必须向每个业务伙伴提供书面 BAA。 BAA 应确保业务伙伴能够适当地保护受保护的健康信息,还应澄清和限制业务伙伴允许使用和披露受保护的健康信息。

Genesys 云 HIPAA 认证了吗?

Genesys Cloud 等云服务提供商没有 HIPAA 认证。 但是,Genesys Cloud 已经接受了独立审计,验证了我们的管理、物理和技术控制。  

作为涵盖实体的潜在业务伙伴,Genesys Cloud 必须实施符合 HIPAA 要求的管理、物理和技术控制措施。 有关这些控制、Genesys Cloud 安全计划、网络安全等的详细信息,请参阅 安全性和合规性

Genesys 云 HIPAA 是否符合 HIPAA 标准?

Genesys Cloud 功能符合 HIPAA 标准,但以下情况除外:

  • ACD 电子邮件
  • SMS 消息
警告: Genesys Cloud BAA 的条款不涵盖使用不符合 HIPAA 标准的服务来传输 ePHI。

AppFoundry 应用程序、第三方集成以及自带技术服务提供商怎么样? 

Genesys Cloud 无法保证第三方提供商符合 HIPAA 标准。 虽然 Genesys Cloud BAA 不排除与任何第三方提供商之间的通信,但我们的 BAA 不会超出 Genesys Cloud 的范围。

通常,如果您使用第三方技术与 Genesys Cloud 进行受保护的健康信息通信或从 Genesys Cloud 传送受保护的健康信息,则必须同时拥有 Genesys Cloud 和第三方技术提供商的 BAA。  例如,如果您将 第三方消息传递平台与第三方渠道(例如 Facebook、Twitter 或 WhatsApp)一起使用,则应该同时拥有 Genesys 的 BAA 和具有第三方消息传递平台的 BAA。  同样,如果您使用 A ppFoundry 中的应用程序( 例如 谷歌 Dialogflow亚马逊 Lex )与 Genesys Cloud 进行 ePHI 通信或传出 Genesys Cloud,则应与 Genesys 和第三方 Google Dialogflow 或亚马逊 Lex 建立 BAA。

Genesys 云在哪里支持 HIPAA 合规性?

HIPAA 合规性适用于亚马逊网络服务 (AWS) 美国东部和美国西部地区。

Genesys Cloud 是否与亚马逊网络服务 (AWS) 签订了业务伙伴协议?

是。 Genesys Cloud 和 AWS 之间的 BAA 涵盖了 Genesys 云存储在 AWS 中的信息。  本协议有助于确保您的客户数据得到充分保护。

启用了 HIPAA 合规性的 Genesys 云有什么不同?

Genesys Cloud 为符合 HIPAA 标准的组织提供了与不符合 HIPAA 标准的组织类似的用户界面和用户体验。 但是,对于符合 HIPAA 标准的组织,某些 Genesys Cloud 功能的工作方式有所不同。

此外,如果您的组织启用了 HIPAA 合规性,Genesys Cloud 将强制执行 15 分钟的空闲超时。 此空闲超时也适用于 OAuth 客户端。 但是,每当应用程序(如 Genesys Cloud 用户界面)代表用户发出请求(例如,获取数据以使应用程序保持最新状态或保存应用程序日志)时,都会重置此空闲超时。 任何请求都会重置空闲超时。 因此,符合 HIPAA 标准的组织必须在用户工作站上强制执行非活动超时,以符合组织政策。 要自定义组织的空闲超时,请参阅设置自动不活动超时。 

注释:
  • Genesys Cloud 为所有组织提供相同的高级别安全性。 符合 HIPAA 标准的组织和不符合 HIPAA 标准的组织同样安全。
  • SMS 消息不符合 HIPAA 标准,不应用于传输 ePHI。

如何注册符合 HIPAA 标准的 Genesys Cloud?

所有 HIPAA Genesys Cloud 组织都需要与 Genesys Cloud 签订有效的业务伙伴协议。  当所有各方签署业务伙伴协议后,Genesys Cloud 将为您的组织设置 HIPAA 切换开关。

如果您是管 理员,则可以通过查看管理组织页面:设置选项卡上的 HIPAA 设置开关来检查组织的 HIPAA 合规性状态。 

如何 与 Genesys Cloud 设置 b业务伙伴协议?

要接收来自 Genesys Cloud 的 BAA,请联系 dataprivacy@genesys.com如果您有 BAA 并且需要启用 HIPAA,请联系 Genesys Cloud 客户服务中心

我可以在现有的 Genesys Cloud 组织上启用 HIPAA 合规性吗?

如果您是管 理员,则可以通过查看管理组织页面:设置选项卡上的 HIPAA 设置开关来检查组织的 HIPAA 合规性状态。 如果您需要启用HIPAA 合规性, 请联系我们

在启用了 HIPAA 合规性的情况下,我可以使用不合规服

是。 但是,Genesys Cloud BAA 不涵盖使用不符合 HIPAA 标准的服务来传输受电子保护的健康信息,这可能违反了 HIPAA 法规。 欲了解更多信息, 请联系我们

以符合 HIPAA 的方式使用 Genesys Cloud 是否有任何责任?

Genesys 云客户:

  • 应该使用全磁盘加密。
  • 客户必须与任何第三方提供商签订书面 BAA,以便客户使用 Genesys Cloud 传输受保护的健康信息。
  • 必须在用户工作站上强制实施不活动超时才能满足组织策略。 

Genesys 云 API 确实有 HIPAA 空闲超时。 但是,包括 Genesys Cloud 用户界面在内的应用程序可以在用户闲置时代表用户发出请求。 这些请求包括获取数据以使应用程序保持最新状态或保存应用程序日志。 请求会重置 HIPAA API 超时。

使用 Genesys Cloud Web 或桌面应用程序时,如果用户空闲的时间超过 API 超时,用户将看到以下消息,提示他们重新进行身份验证。

警告: 保证 HIPAA 要求的非活动超时的唯一方法是在用户工作站上实现操作系统级别的锁定。 Genesys Cloud 建议用户工作站的不活动超时 15 分钟。  

Genesys Cloud 可能会将会话令牌存储在客户端设备的本地存储中,以便 Genesys Cloud 会话可以在经常关闭和重新打开的浏览器中生存下来。

欲了解更多信息, 请联系我们

有关不活动超时的更多信息

关于技术保障措施的 HIPAA 法规 (45 CFR 164.312) 规定,涵盖的实体或企业必须按照 164.306 实施电子信息系统 (维护 ePHI) 的技术政策和程序,其中包括仅允许那些已被授予 164.308(a)(4) 中规定的访问权限的人员或软件程序访问。 实施规范在 164.312(a)(2)(iii) 中规定,“实施电子程序,在预定的不活动时间后终止电子会话。” 无论是法规还是卫生与公众服务部 (HHS) 都没有为“预定不活动时间”或构成“不活动”设立具体的时间测量标准。 Genesys Cloud 根据某些 API 调用之间的时间量等因素来确定电子会话期间的不活动状态,因为系统内的用户界面依靠 API 调用来接收和传输数据。 因此,这些 API 调用通常反映代理活动,或者在这种情况下反映用户界面的不活动。 Genesys Cloud 目前使用 15 分钟的默认超时时间作为这些 API 调用之间合理的“预定不活动时间”来终止电子会话,即注销代理,以保护我们系统中的 ePHI 免遭未经授权的访问。 客户可将超时时间配置为最短 5 分钟。