NIST 800-66 et les risques liés aux tiers Prevalent

Simplifier les évaluations des règles de sécurité HIPAA

La publication spéciale (SP) 800-66 du National Institute of Standards and Technology (NIST) a été élaborée pour aider les organismes de prestation de soins de santé (OPS) à comprendre la règle de sécurité de la Health Insurance Portability and Accountability Act (HIPAA) et fournir un cadre pour soutenir sa mise en œuvre.

La règle de sécurité de l'HIPAA s'applique à toute organisation gérant des informations de santé électroniques protégées (ePHI), qu'elle soit une entité couverte ou un associé commercial (par exemple, un vendeur, fournisseur ou partenaire tiers). La règle exige que les organisations :

garantir la confidentialité, l'intégrité et la disponibilité de tous les ePHI qu'ils créent, reçoivent, conservent ou transmettent
Identifier et protéger contre les menaces raisonnablement anticipées pour la sécurité ou l'intégrité de l'information.
Protéger contre les utilisations ou les divulgations non autorisées des DPHI qui sont raisonnablement prévues.
Assurer la conformité de leur personnel

Le respect des directives et des meilleures pratiques du NIST 800-66r2 aidera les organismes de santé à simplifier leur mise en conformité avec la règle de sécurité HIPAA.

Conditions applicables

Procéder à une évaluation précise et approfondie des risques et des vulnérabilités potentiels pour la confidentialité, l'intégrité et la disponibilité des informations de santé protégées électroniques détenues par l'entité couverte ou l'associé commercial.
Mettre en œuvre des mesures de sécurité suffisantes pour réduire les risques et les vulnérabilités à un niveau raisonnable et approprié.

La liste de contrôle de conformité des tiers NIST 800-66

Découvrez le document SP 800-66 HIPAA Security Rule : évaluations des risques et conseils de gestion pour les associés commerciaux tiers.

Liste de contrôle de conformité de la norme NIST 800 66 0822

Comprendre la règle de sécurité HIPAA

La règle de sécurité HIPAA recommande sept étapes à inclure dans un processus complet d'évaluation des risques. Le tableau ci-dessous associe les fonctionnalités de la solution Prevalent à chaque étape, illustrant comment une solution de gestion des risques tierce peut aider à répondre à ces meilleures pratiques.

REMARQUE : Ces informations sont présentées à titre d'orientation sommaire uniquement. Les organisations doivent examiner elles-mêmes les exigences du NIST 800-66r2 et de la règle de sécurité de l'HIPAA dans leur intégralité, en consultation avec leurs auditeurs.

Étapes et tâches recommandées	Quelle aide nous apportons
1. Se préparer à l'évaluation Comprendre où les DPH électroniques sont créées, reçues, maintenues, traitées ou transmises. Définir la portée de l'évaluation.	Prevalent s'associe à vous pour élaborer un programme complet de gestion des risques liés aux tiers (TPRM) fondé sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour qu'il couvre l'ensemble du cycle de vie du risque lié aux tiers, de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'intégration. Prevalent peut identifier les relations de sous-traitance de quatrième et de nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'une surveillance continue des risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que d'un dépistage des sanctions/PEP. Une fois les tierces et les quatrièmes parties identifiées, vous pouvez utiliser les 750+ modèles d'évaluation prédéfinis disponibles sur la plateforme Prevalent pour évaluer les associés commerciaux tiers par rapport aux exigences NIST, HIPAA ou autres.
2. Identifier les menaces réalistes Identifier les événements et les sources de menaces potentielles qui s'appliquent à l'entité réglementée et à son environnement opérationnel.	Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance sont corrélées aux résultats de l'évaluation et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, les rapports et les initiatives de réponse. Les sources de surveillance comprennent : Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises. Une base de données contenant plus de 10 ans d'historique des violations pour des milliers d'entreprises. 550 000 sources publiques et privées d'informations sur la réputation, notamment les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc. Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performances financières 30 000 sources d'information mondiales Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées Listes de sanctions mondiales et plus de 1 000 listes d'exécution et dépôts auprès des tribunaux
3. Identifier les vulnérabilités potentielles et les conditions prédisposantes Utiliser des sources internes et externes pour identifier les vulnérabilités potentielles. Les sources internes peuvent inclure des évaluations de risques antérieures, des résultats de scans de vulnérabilité et de tests de sécurité du système (par exemple, des tests de pénétration), et des rapports d'audit. Les sources externes peuvent inclure des recherches sur Internet, des informations sur les fournisseurs, des données d'assurance et des bases de données sur les vulnérabilités.	Prevalent normalise, corrèle et analyse l'information à travers les évaluations de risques inside-out et la surveillance outside-in. Ce modèle unifié fournit un contexte, une quantification, une gestion et un soutien à la remédiation des risques. Il valide également la présence et l'efficacité des contrôles internes avec la surveillance externe.
4.-6. Déterminer la probabilité (et l'impact) qu'une menace exploite une vulnérabilité ; déterminer le niveau de risque Déterminer la probabilité (très faible à très élevée) qu'une menace réussisse à exploiter une vulnérabilité. Déterminez l'impact (opérationnel, individuel, sur les biens, etc.) qui pourrait se produire sur les ePHI si une menace exploite une vulnérabilité. Évaluer le niveau de risque (faible, moyen, élevé) pour les ePHI, en tenant compte des informations recueillies et des déterminations faites au cours des étapes précédentes.	La plateforme Prevalent vous permet de définir des seuils de risque et de classer et noter les risques en fonction de leur probabilité et de leur impact. La carte thermique qui en résulte permet aux équipes de se concentrer sur les risques les plus importants.
7. Documenter les résultats de l'évaluation des risques Documentez les résultats de l'évaluation des risques.	Avec Prevalent, vous pouvez générer des registres de risques dès la fin de l'enquête, en intégrant en temps réel cyber, des informations sur les affaires, la réputation et la surveillance financière pour automatiser l'examen des risques, les rapports et les réponses. À partir du registre des risques, vous pouvez créer des tâches liées aux risques ou à d'autres éléments, vérifier l'état d'avancement des tâches par le biais de règles de messagerie électronique liées à la plate-forme et tirer parti des recommandations et des conseils intégrés en matière de remédiation. La solution automatise l'audit de conformité de la gestion des risques des tiers en recueillant des informations sur les risques des fournisseurs, en quantifiant les risques et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels, notamment NIST, HIPAA et bien d'autres.

Étapes et tâches recommandées

Quelle aide nous apportons

1. Se préparer à l'évaluation

Comprendre où les DPH électroniques sont créées, reçues, maintenues, traitées ou transmises.

Définir la portée de l'évaluation.

Prevalent s'associe à vous pour élaborer un programme complet de gestion des risques liés aux tiers (TPRM) fondé sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour qu'il couvre l'ensemble du cycle de vie du risque lié aux tiers, de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'intégration.

Prevalent peut identifier les relations de sous-traitance de quatrième et de nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'une surveillance continue des risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que d'un dépistage des sanctions/PEP.

Une fois les tierces et les quatrièmes parties identifiées, vous pouvez utiliser les 750+ modèles d'évaluation prédéfinis disponibles sur la plateforme Prevalent pour évaluer les associés commerciaux tiers par rapport aux exigences NIST, HIPAA ou autres.

2. Identifier les menaces réalistes

Identifier les événements et les sources de menaces potentielles qui s'appliquent à l'entité réglementée et à son environnement opérationnel.

Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Toutes les données de surveillance sont corrélées aux résultats de l'évaluation et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, les rapports et les initiatives de réponse. Les sources de surveillance comprennent :

Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises.
Une base de données contenant plus de 10 ans d'historique des violations pour des milliers d'entreprises.
550 000 sources publiques et privées d'informations sur la réputation, notamment les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performances financières
30 000 sources d'information mondiales
Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
Listes de sanctions mondiales et plus de 1 000 listes d'exécution et dépôts auprès des tribunaux

3. Identifier les vulnérabilités potentielles et les conditions prédisposantes

Utiliser des sources internes et externes pour identifier les vulnérabilités potentielles. Les sources internes peuvent inclure des évaluations de risques antérieures, des résultats de scans de vulnérabilité et de tests de sécurité du système (par exemple, des tests de pénétration), et des rapports d'audit. Les sources externes peuvent inclure des recherches sur Internet, des informations sur les fournisseurs, des données d'assurance et des bases de données sur les vulnérabilités.

Prevalent normalise, corrèle et analyse l'information à travers les évaluations de risques inside-out et la surveillance outside-in. Ce modèle unifié fournit un contexte, une quantification, une gestion et un soutien à la remédiation des risques. Il valide également la présence et l'efficacité des contrôles internes avec la surveillance externe.

4.-6. Déterminer la probabilité (et l'impact) qu'une menace exploite une vulnérabilité ; déterminer le niveau de risque

Déterminer la probabilité (très faible à très élevée) qu'une menace réussisse à exploiter une vulnérabilité.

Déterminez l'impact (opérationnel, individuel, sur les biens, etc.) qui pourrait se produire sur les ePHI si une menace exploite une vulnérabilité.

Évaluer le niveau de risque (faible, moyen, élevé) pour les ePHI, en tenant compte des informations recueillies et des déterminations faites au cours des étapes précédentes.

La plateforme Prevalent vous permet de définir des seuils de risque et de classer et noter les risques en fonction de leur probabilité et de leur impact. La carte thermique qui en résulte permet aux équipes de se concentrer sur les risques les plus importants.

7. Documenter les résultats de l'évaluation des risques

Documentez les résultats de l'évaluation des risques.

Avec Prevalent, vous pouvez générer des registres de risques dès la fin de l'enquête, en intégrant en temps réel cyber, des informations sur les affaires, la réputation et la surveillance financière pour automatiser l'examen des risques, les rapports et les réponses. À partir du registre des risques, vous pouvez créer des tâches liées aux risques ou à d'autres éléments, vérifier l'état d'avancement des tâches par le biais de règles de messagerie électronique liées à la plate-forme et tirer parti des recommandations et des conseils intégrés en matière de remédiation.

La solution automatise l'audit de conformité de la gestion des risques des tiers en recueillant des informations sur les risques des fournisseurs, en quantifiant les risques et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels, notamment NIST, HIPAA et bien d'autres.

Mise en correspondance des capacités de Prevalent avec les exigences de la règle de sécurité HIPAA du NIST SP 800-66r2

Le NIST SP 800-66r2 présente les mesures de sécurité qui sont pertinentes pour chaque norme de la règle de sécurité HIPAA. Le tableau ci-dessous identifie les mesures spécifiques aux partenaires commerciaux et présente les capacités de Prevalent qui contribuent à satisfaire les exigences.

Activité clé et description	Quelle aide nous apportons
5.1.9 Contrats d'associés et autres arrangements (§ 164.308(b)(1)) Norme HIPAA : Une entité couverte peut permettre à un associé de créer, recevoir, maintenir ou transmettre des informations de santé protégées électroniques au nom de l'entité couverte seulement si l'entité couverte obtient des garanties satisfaisantes, conformément au §164.314(a), que l'associé protégera les informations de manière appropriée. Une entité couverte n'est pas tenue d'obtenir de telles assurances satisfaisantes d'un associé qui est un sous-traitant.
1. Identifier les entités qui sont des associés commerciaux en vertu de la règle de sécurité de l'HIPAA Identifiez la personne ou le service qui sera responsable de la coordination de l'exécution des accords d'associés d'affaires ou d'autres arrangements. Réévaluer la liste des associés commerciaux pour déterminer qui a accès aux ePHI afin d'évaluer si la liste est complète et à jour. Identifier les systèmes couverts par le contrat/accord. Les associés commerciaux doivent avoir un BAA en place avec chacun de leurs associés commerciaux sous-traitants. Les associés commerciaux sous-traitants sont également directement responsables de leurs propres violations des règles de sécurité.	Prevalent identifie les relations avec des tiers par le biais d'une évaluation d'identification native ou par un balayage passif de l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies dans un environnement. Prevalent offre une évaluation de diligence raisonnable pré-contractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents pour tous les tiers et les associés commerciaux pendant l'intégration. Les critères incluent : Type de contenu requis pour valider les contrôles Criticité pour les performances et les opérations de l'entreprise Lieu(x) et considérations juridiques ou réglementaires connexes Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration) Exposition aux processus opérationnels ou de contact avec les clients Interaction avec les données protégées Situation financière et santé Réputation À partir de cette évaluation des risques inhérents, votre équipe peut gérer de manière centralisée tous les associés commerciaux, classer automatiquement les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.
2. Établir un processus pour mesurer la performance du contrat et résilier le contrat si les exigences de sécurité ne sont pas respectées Maintenir des lignes de communication claires entre les entités couvertes et les associés commerciaux concernant la protection des ePHI conformément au BAA ou au contrat. Établir des critères pour mesurer la performance du contrat.	Prevalent permet de mesurer de manière centralisée les indicateurs clés de performance (KPI) et les indicateurs de performance clés (KRI) des tiers afin de réduire les risques liés aux lacunes dans la surveillance des fournisseurs en automatisant les évaluations des contrats et des performances. Lorsqu'il s'avère qu'un tiers n'est pas en conformité avec le contrat, la plateforme automatise l'évaluation du contrat et les procédures de désengagement afin de réduire le risque d'exposition post-contractuelle de votre organisation.
3. Contrat écrit ou autre arrangement Documenter les assurances satisfaisantes requises par cette norme au moyen d'un contrat écrit ou d'un autre arrangement avec l'associé d'affaires qui répond aux exigences applicables du §164.314(a).... Exécuter de nouveaux accords ou arrangements ou mettre à jour les accords existants, le cas échéant. Identifier les rôles et les responsabilités. Inclure des exigences de sécurité dans les contrats et accords d'associés commerciaux pour traiter la confidentialité, l'intégrité et la disponibilité des ePHI. Précisez toute exigence de formation associée au contrat/accord ou arrangement, si elle est raisonnable et appropriée.	Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Il offre également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Les principales fonctionnalités comprennent : Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles. Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats. Rappels et avis de retard automatisés pour rationaliser l'examen des contrats Discussion centralisée des contrats et suivi des commentaires Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès. Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents. Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification. Grâce à ces capacités, vous pouvez vous assurer que les bonnes clauses - telles que les protections de sécurité sur les ePHI et la formation - sont dans le contrat, et qu'elles sont applicables et efficacement communiquées à toutes les parties prenantes.
5.4.1 Contrats d'associés commerciaux ou autres arrangements (§ 164.314(a)) Norme HIPAA : (i) Le contrat ou autre arrangement entre l'entité couverte et son associé commercial requis par le §164.308(b)(3) doit répondre aux exigences du paragraphe (a)(2)(i), (a)(2)(ii), ou (a)(2)(iii) de cette section, selon le cas. (ii) Une entité couverte est en conformité avec le paragraphe (a)(1) de cette section si elle a un autre arrangement en place qui répond aux exigences du §164.504(e)(3). (iii) Les exigences des paragraphes (a)(2)(i) et (a)(2)(ii) de cette section s'appliquent au contrat ou autre arrangement entre un associé et un sous-traitant requis par le § 164.308(b)(4) de la même manière que ces exigences s'appliquent aux contrats ou autres arrangements entre une entité couverte et un associé.
1. Le contrat doit prévoir que les associés commerciaux se conformeront aux exigences applicables de la règle de sécurité. Les contrats entre les entités couvertes et les associés doivent prévoir que les associés mettront en œuvre des mesures de protection administratives, physiques et techniques qui protègent de manière raisonnable et appropriée la confidentialité, l'intégrité et la disponibilité des ePHI que l'associé crée, reçoit, conserve ou transmet au nom de l'entité couverte. 2. Le contrat doit prévoir que les associés commerciaux concluent des contrats avec les sous-traitants pour garantir la protection des ePHI. Conformément au § 164.308(b)(2), s'assurer que tous les sous-traitants qui créent, reçoivent, conservent ou transmettent des ePHI au nom de l'associé acceptent de se conformer aux exigences applicables de cette sous-partie en concluant un contrat ou un autre arrangement conforme à cette section.	Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Il offre également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Grâce à ces fonctionnalités, vous pouvez vous assurer que les bonnes clauses - telles que l'application des contrôles de sécurité, l'auditabilité, la réponse aux incidents, les notifications, les accords avec des sous-traitants tiers, etc. - figurent dans le contrat, et qu'elles sont applicables et communiquées efficacement à toutes les parties prenantes.
3. Le contrat doit prévoir que les associés commerciaux signaleront les incidents de sécurité Signaler à l'entité couverte tout incident de sécurité dont il a connaissance, y compris les violations de RPS non sécurisées, conformément à l'article 164.410. Maintenir des lignes de communication claires entre les entités couvertes et les associés commerciaux concernant la protection des ePHI conformément au BAA ou au contrat. Établir un mécanisme de rapport et un processus que l'associé doit utiliser en cas d'incident ou de violation de la sécurité.	Outre la gestion du cycle de vie des contrats, Prevalent propose un service de réponse aux incidents impliquant des tiers, qui permet aux équipes d'identifier et d'atténuer rapidement l'impact des violations commises par des tiers en gérant les fournisseurs de manière centralisée, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation. Les clients peuvent également accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. La base de données comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs. Combinée à la surveillance continue de cyber , elle fournit aux organisations une vue d'ensemble des risques externes en matière de sécurité de l'information qui peuvent avoir un impact sur les opérations.
4. Autres dispositions L'entité couverte se conforme au paragraphe (a)(1) de cette section si elle a mis en place un autre arrangement qui répond aux exigences du § 164.504(e)(3). 5. Contrats d'associés commerciaux avec les sous-traitants Les exigences des paragraphes (a)(2)(i) et (a)(2)(ii) de cette section s'appliquent au contrat ou autre arrangement entre un associé d'affaires et un sous-traitant de la même manière que ces exigences s'appliquent aux contrats ou autres arrangements entre une entité couverte et un associé d'affaires.	En plus de s'assurer que les contrats d'associés commerciaux contiennent des dispositions permettant d'évaluer les risques liés aux tiers, Prevalent identifie les relations avec les tiers par une évaluation d'identification native ou par un balayage passif de l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins de l'information et les dépendances qui pourraient ouvrir des voies dans un environnement.

Activité clé et description

Quelle aide nous apportons

5.1.9 Contrats d'associés et autres arrangements (§ 164.308(b)(1))

Norme HIPAA : Une entité couverte peut permettre à un associé de créer, recevoir, maintenir ou transmettre des informations de santé protégées électroniques au nom de l'entité couverte seulement si l'entité couverte obtient des garanties satisfaisantes, conformément au §164.314(a), que l'associé protégera les informations de manière appropriée. Une entité couverte n'est pas tenue d'obtenir de telles assurances satisfaisantes d'un associé qui est un sous-traitant.

1. Identifier les entités qui sont des associés commerciaux en vertu de la règle de sécurité de l'HIPAA

Identifiez la personne ou le service qui sera responsable de la coordination de l'exécution des accords d'associés d'affaires ou d'autres arrangements.
Réévaluer la liste des associés commerciaux pour déterminer qui a accès aux ePHI afin d'évaluer si la liste est complète et à jour.
Identifier les systèmes couverts par le contrat/accord.
Les associés commerciaux doivent avoir un BAA en place avec chacun de leurs associés commerciaux sous-traitants. Les associés commerciaux sous-traitants sont également directement responsables de leurs propres violations des règles de sécurité.

Prevalent identifie les relations avec des tiers par le biais d'une évaluation d'identification native ou par un balayage passif de l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies dans un environnement.

Prevalent offre une évaluation de diligence raisonnable pré-contractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents pour tous les tiers et les associés commerciaux pendant l'intégration. Les critères incluent :

Type de contenu requis pour valider les contrôles
Criticité pour les performances et les opérations de l'entreprise
Lieu(x) et considérations juridiques ou réglementaires connexes
Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
Exposition aux processus opérationnels ou de contact avec les clients
Interaction avec les données protégées
Situation financière et santé
Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut gérer de manière centralisée tous les associés commerciaux, classer automatiquement les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

2. Établir un processus pour mesurer la performance du contrat et résilier le contrat si les exigences de sécurité ne sont pas respectées

Maintenir des lignes de communication claires entre les entités couvertes et les associés commerciaux concernant la protection des ePHI conformément au BAA ou au contrat.
Établir des critères pour mesurer la performance du contrat.

Prevalent permet de mesurer de manière centralisée les indicateurs clés de performance (KPI) et les indicateurs de performance clés (KRI) des tiers afin de réduire les risques liés aux lacunes dans la surveillance des fournisseurs en automatisant les évaluations des contrats et des performances.

Lorsqu'il s'avère qu'un tiers n'est pas en conformité avec le contrat, la plateforme automatise l'évaluation du contrat et les procédures de désengagement afin de réduire le risque d'exposition post-contractuelle de votre organisation.

3. Contrat écrit ou autre arrangement

Documenter les assurances satisfaisantes requises par cette norme au moyen d'un contrat écrit ou d'un autre arrangement avec l'associé d'affaires qui répond aux exigences applicables du §164.314(a)....
Exécuter de nouveaux accords ou arrangements ou mettre à jour les accords existants, le cas échéant.
Identifier les rôles et les responsabilités.
Inclure des exigences de sécurité dans les contrats et accords d'associés commerciaux pour traiter la confidentialité, l'intégrité et la disponibilité des ePHI.
Précisez toute exigence de formation associée au contrat/accord ou arrangement, si elle est raisonnable et appropriée.

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Il offre également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Les principales fonctionnalités comprennent :

Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
Discussion centralisée des contrats et suivi des commentaires
Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

Grâce à ces capacités, vous pouvez vous assurer que les bonnes clauses - telles que les protections de sécurité sur les ePHI et la formation - sont dans le contrat, et qu'elles sont applicables et efficacement communiquées à toutes les parties prenantes.

5.4.1 Contrats d'associés commerciaux ou autres arrangements (§ 164.314(a))

Norme HIPAA : (i) Le contrat ou autre arrangement entre l'entité couverte et son associé commercial requis par le §164.308(b)(3) doit répondre aux exigences du paragraphe (a)(2)(i), (a)(2)(ii), ou (a)(2)(iii) de cette section, selon le cas. (ii) Une entité couverte est en conformité avec le paragraphe (a)(1) de cette section si elle a un autre arrangement en place qui répond aux exigences du §164.504(e)(3). (iii) Les exigences des paragraphes (a)(2)(i) et (a)(2)(ii) de cette section s'appliquent au contrat ou autre arrangement entre un associé et un sous-traitant requis par le § 164.308(b)(4) de la même manière que ces exigences s'appliquent aux contrats ou autres arrangements entre une entité couverte et un associé.

1. Le contrat doit prévoir que les associés commerciaux se conformeront aux exigences applicables de la règle de sécurité.

Les contrats entre les entités couvertes et les associés doivent prévoir que les associés mettront en œuvre des mesures de protection administratives, physiques et techniques qui protègent de manière raisonnable et appropriée la confidentialité, l'intégrité et la disponibilité des ePHI que l'associé crée, reçoit, conserve ou transmet au nom de l'entité couverte.

2. Le contrat doit prévoir que les associés commerciaux concluent des contrats avec les sous-traitants pour garantir la protection des ePHI.

Conformément au § 164.308(b)(2), s'assurer que tous les sous-traitants qui créent, reçoivent, conservent ou transmettent des ePHI au nom de l'associé acceptent de se conformer aux exigences applicables de cette sous-partie en concluant un contrat ou un autre arrangement conforme à cette section.

Grâce à ces fonctionnalités, vous pouvez vous assurer que les bonnes clauses - telles que l'application des contrôles de sécurité, l'auditabilité, la réponse aux incidents, les notifications, les accords avec des sous-traitants tiers, etc. - figurent dans le contrat, et qu'elles sont applicables et communiquées efficacement à toutes les parties prenantes.

3. Le contrat doit prévoir que les associés commerciaux signaleront les incidents de sécurité

Signaler à l'entité couverte tout incident de sécurité dont il a connaissance, y compris les violations de RPS non sécurisées, conformément à l'article 164.410.
Maintenir des lignes de communication claires entre les entités couvertes et les associés commerciaux concernant la protection des ePHI conformément au BAA ou au contrat.
Établir un mécanisme de rapport et un processus que l'associé doit utiliser en cas d'incident ou de violation de la sécurité.

Outre la gestion du cycle de vie des contrats, Prevalent propose un service de réponse aux incidents impliquant des tiers, qui permet aux équipes d'identifier et d'atténuer rapidement l'impact des violations commises par des tiers en gérant les fournisseurs de manière centralisée, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation.

Les clients peuvent également accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. La base de données comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs. Combinée à la surveillance continue de cyber , elle fournit aux organisations une vue d'ensemble des risques externes en matière de sécurité de l'information qui peuvent avoir un impact sur les opérations.

4. Autres dispositions

L'entité couverte se conforme au paragraphe (a)(1) de cette section si elle a mis en place un autre arrangement qui répond aux exigences du § 164.504(e)(3).

5. Contrats d'associés commerciaux avec les sous-traitants

Les exigences des paragraphes (a)(2)(i) et (a)(2)(ii) de cette section s'appliquent au contrat ou autre arrangement entre un associé d'affaires et un sous-traitant de la même manière que ces exigences s'appliquent aux contrats ou autres arrangements entre une entité couverte et un associé d'affaires.

En plus de s'assurer que les contrats d'associés commerciaux contiennent des dispositions permettant d'évaluer les risques liés aux tiers, Prevalent identifie les relations avec les tiers par une évaluation d'identification native ou par un balayage passif de l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins de l'information et les dépendances qui pourraient ouvrir des voies dans un environnement.

Naviguer dans le paysage de la conformité TPRM

Le Third-Party Risk Management Compliance Handbook révèle les exigences en matière de TPRM dans les principales réglementations et cadres sectoriels, afin que vous puissiez vous mettre en conformité tout en atténuant les risques liés aux fournisseurs.

Ressources disponibles

Article de blog
Liste de contrôle de la conformité HIPAA pour la gestion des risques liés aux tiers

Pour se conformer à la législation HIPAA, il faut obtenir une vue interne complète des contrôles de sécurité et de confidentialité des tiers. Apprenez...
Article de blog
Violations des données des fournisseurs de soins de santé : 3 étapes pour atténuer le risque lié aux partenaires commerciaux

Avec le nombre toujours croissant de violations de données de la part des fournisseurs de soins de santé, utilisez ces conseils pour être plus proactif...
Article de blog
Répondre aux normes NIST 800-53, NIST 800-161 et NIST CSF Third-Party Risk...

Le NIST a rédigé plusieurs normes industrielles qui traitent de l'identification, de l'évaluation et de la gestion des risques de la chaîne d'approvisionnement...

Prêt pour une démonstration ?
Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
Demander une démo

Conformité au NIST SP 800-66

Conditions applicables

Liste de contrôle de la conformité HIPAA pour la gestion des risques liés aux tiers

Violations des données des fournisseurs de soins de santé : 3 étapes pour atténuer le risque lié aux partenaires commerciaux

Répondre aux normes NIST 800-53, NIST 800-161 et NIST CSF Third-Party Risk...