Configuración de la HIPAA
En este artículo, se brinda a los usuarios distintas opciones de configuración del producto necesarias para que su espacio de trabajo de Notion cumpla con la HIPAA 🏥
Ir a las preguntas frecuentesLa Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA) es una ley federal de EE. UU. que se promulgó en 1996. Esta ley exige la protección y la gestión confidencial de la información médica protegida (PHI) por parte de las entidades amparadas, como proveedores de atención médica, planes de salud y centro de intercambio de información sobre servicios médicos, así como sus socios comerciales.
En este artículo, se brinda a los usuarios distintas opciones de configuración del producto necesarias para que su espacio de trabajo de Notion cumpla con la HIPAA.
Nota: El Acuerdo de socio comercial (BAA) de Notion rige la protección de la Información médica personal (PHI) que se almacena en el servicio de Notion. Para poder firmar el BAA de Notion, debes suscribirte al plan Enterprise.
Notion Calendar y cualquiera de las funciones de Notion Calendar no están cubiertas por el BAA y, por lo tanto, no pueden utilizarse o desplegarse de forma que procesen información médica protegida.
Siempre que el texto de esta página y el texto que se encuentra en el BAA entren en conflicto, prevalecerá el texto en el BAA.
Configuración para la compatibilidad con Notion | |
---|---|
Control del acceso Adopta políticas y procedimientos técnicos para los sistemas de información electrónica que recopilan información médica electrónica protegida; de esta manera, solo podrán acceder las personas o programas de software que cuenten con derechos de acceso. | El inicio de sesión único de SAML de Notion utiliza el estándar SAML 2.0. De esta forma, conecta un proveedor de identidad (IdP) y tus espacios de trabajo para que el proceso de inicio de sesión sea más fácil y seguro. Notion es compatible con configuraciones oficiales de inicio de sesión único de SAML con Azure, Google, Gusto, Okta, OneLogin y Rippling.
• Enlazar espacios de trabajo adicionales: para configurar el inicio de sesión único en más de un espacio de trabajo, ponte en contacto con team@makenotion.com. Después de completar la configuración como corresponde, todos los miembros que inicien sesión en tus espacios de trabajo deberán usar el dominio verificado y autenticarse a través de tu proveedor de identidad. Los propietarios de espacios de trabajo del plan Enterprise pueden omitir este paso y usar un método de inicio de sesión alternativo en caso de que haya un error con el inicio de sesión único de SAML/IdP. |
Identificación de usuario única Asigna un nombre o número únicos para identificar y hacer un seguimiento de la identidad del usuario. | Notion tiene una API de SCIM que se puede usar para aprovisionar, administrar y desaprovisionar tanto miembros como grupos. Los propietarios de espacios de trabajo pueden encontrar la clave de API requerida al ingresar en |
Procedimiento de acceso de emergencia Establece (y, cuando corresponda, implementa) procedimientos para obtener la información médica electrónica protegida necesaria durante una emergencia. | La búsqueda de contenido les otorga visibilidad del contenido de los espacios de trabajo a los propietarios de espacios de trabajo del plan Enterprise para mejorar su gestión y resolver problemas con el acceso a las páginas: |
Cierre de sesión automático Implementa procedimientos electrónicos que finalizan una sesión electrónica después de un tiempo de inactividad predeterminado. | Establecer duración de sesión personalizada: para los usuarios administrados en el plan Enterprise, Notion tiene una duración de sesión predeterminada de 180 días. Sin embargo, los propietarios de espacios de trabajo pueden personalizar la duración de su sesión desde 1 hora hasta 180 días. |
Controles de auditoría Implementa mecanismos de hardware, software o procedimentales que registren y examinen la actividad en sistemas de información que contengan o usen información médica electrónica protegida. | Los propietarios de espacios de trabajo del plan Enterprise pueden acceder a un registro de auditoría (desde Esto puede ser muy útil para identificar posibles problemas de seguridad, investigar comportamientos sospechosos y solucionar inconvenientes de acceso. El registro de auditoría del espacio de trabajo se puede exportar en formato CSV. Los clientes empresariales también pueden utilizar nuestras integraciones de socios de prevención contra la pérdida de datos (DLP) para descubrir, clasificar y proteger datos confidenciales en Notion. |
Controles de integridad Implementa políticas y procedimientos para proteger la información médica electrónica protegida frente a la alteración o la destrucción inadecuadas. | Desactivar el uso compartido de páginas públicas: desactiva la opción “Compartir en la Web” del menú “Compartir” en todas las páginas del espacio de trabajo. |
Autenticación de personas o entidades Implementa procedimientos para verificar que una persona o entidad que pretende acceder a información médica electrónica protegida sea quien dice ser. | Desactivar cambios de perfil: evita que los usuarios administrados cambien su propia información de perfil para evitar la suplantación de identidad. |
Retención y eliminación de datos Implementa políticas y procedimientos para abordar la eliminación definitiva de la PHI electrónica, así como el hardware o los medios de soporte electrónicos en los que se almacena. | No hay manera de vaciar tu papelera de una vez. Puedes ir a la papelera para eliminar páginas permanentemente de forma individual. Después de eliminar la página de la papelera, se eliminará de los servidores de Notion una vez transcurridos 30 días. Guardamos copias de seguridad de nuestra base de datos, lo que nos permite restaurar tu contenido de los últimos 30 días en caso de que lo necesites. |
Seguridad de las transmisiones Implementa medidas técnicas de seguridad frente al acceso no autorizado | Cifrado en reposo: los datos de los clientes se cifran en reposo mediante el algoritmo AES-256. Se cifran los datos de los clientes que están en las redes internas de Notion, en reposo en el almacenamiento en la nube, en las tablas de bases de datos y en las copias de seguridad. |
Nota: Los propietarios de espacios de trabajo del plan Enterprise pueden omitir este paso y usar un método de inicio de sesión alternativo en caso de que haya un error con el inicio de sesión único de SAML/IdP.
Preguntas frecuentes
¿Cuál es el costo de habilitar el cumplimiento de la HIPAA?
El aplicación del cumplimiento de la ley HIPAA está disponible sin cargo para clientes con un plan Enterprise con más de 100 miembros.
Los clientes deben aceptar el Acuerdo de socio comercial de Notion y usar Notion en concordancia con la ley HIPAA, el BAA y la Guía de configuración de productos de la ley HIPAA.
Comunícate con nuestro equipo para obtener más información en team@makenotion.com.
¿Cuáles son las limitaciones del producto para habilitar el cumplimiento de la HIPAA?
Notion no se puede usar para comunicarse con pacientes, miembros del plan o sus familias o empleadores.
Los usuarios no pueden incluir PHI en ninguno de los siguientes campos o funcionalidades:
Nombres de espacios de trabajo u organizaciones
Nombre del espacio de equipo
Nombres de archivo
Cuenta/perfil del usuario
Nombre de los grupos de usuarios
Las solicitudes de soporte y los archivos adjuntos a una solicitud de asistencia no deben incluir ninguna PHI.
El complemento de Notion AI y cualquier función de Notion AI no se pueden usar/implementar en un espacio de trabajo que haya firmado un BAA, y dichas funciones no forman parte de las obligaciones de Notion en el BAA.
Cron y cualquier función de Cron no están cubiertas por el BAA y, por lo tanto, no deben utilizarse/implementarse de manera que recopile o procese información médica protegida.
¿Las integraciones seguirán estando disponibles?
Sí, las apps anteriormente habilitadas permanecerán habilitadas. Los administradores deben revisar las integraciones existentes utilizadas para garantizar que cumplan con las normas. Los administradores pueden optar por deshabilitar la adición de nuevas integraciones que no están permitidas.