Configuración conforme a la HIPAA

Configuración conforme a la HIPAA
Contenido de este artículo

Infórmate sobre cómo hacer que tu espacio de trabajo Notion cumpla la normativa HIPAA, y cómo activar el cumplimiento de la HIPAA🏥

Ir a la sección de preguntas frecuentes

La Ley de Transferencia y Responsabilidad de Seguros Médicos (Health Insurance Portability and Accountability Act, HIPAA por sus siglas en inglés) es una ley federal de EE. UU. promulgada en 1996 que exige la protección y la gestión confidencial de la información médica protegida (PHI) por parte de las entidades afectadas, tales como proveedores de asistencia sanitaria, planes de salud y cámaras de compensación de asistencia sanitaria, así como sus socios comerciales.

Este artículo proporciona a los usuarios las configuraciones de producto necesarias para que su espacio de trabajo en Notion cumpla la HIPAA.

Nota: El Acuerdo de socio comercial (BAA) de Notion rige la protección de la Información médica personal (PHI) que se almacena en el Servicio de Notion. Para poder firmar el BAA de Notion, debes suscribirte al plan Enterprise.

Ni Notion Calendar ni sus funciones, ni los Servicios Beta están cubiertos por el BAA y, por lo tanto, no pueden utilizarse o desplegarse de forma que procesen información sanitaria protegida.

En la medida en que el lenguaje de esta página y el lenguaje que se encuentra en el BAA entren en conflicto en cualquier momento, prevalecerá el BAA.

Configuración de Notion para cumplir con la HIPAA

Requisitos de protección técnica de la HIPAA

Configuraciones de Notion relacionadas

Control de acceso

Implementar políticas y procedimientos técnicos en los sistemas de información electrónicos que contengan información médica protegida en formato electrónico, para así permitir el acceso solo a aquellas personas o programas de software que gocen de los correspondientes derechos de acceso.

El inicio de sesión único de SAML de Notion se basa en el estándar SAML 2.0 y conecta tu proveedor de identidades (IdP) con tus espacios de trabajo para ofrecer una experiencia de inicio de sesión más sencilla y segura. Notion admite configuraciones oficiales para el inicio de sesión único de SAML con: Azure, Google, Gusto, Okta, OneLogin y Rippling.

Para comenzar a utilizar el inicio de sesión único de SAML con Notion, deberás completar los siguientes pasos:

Verificar dominio(s):Para utilizar funciones de seguridad avanzadas, debes verificar la propiedad de tu dominio de correo electrónico. Se trata de un proceso automatizado que implica añadir un registro TXT al DNS del dominio para verificar que es de tu propiedad.

Activar inicio de sesión único (SSO) de SAML :Esto activará la función y completará la configuración. Para obtener más información sobre cómo completar la configuración del inicio de sesión único de SAML, consulta este artículo.

Cambiar el método de inicio de sesión predeterminado:Al activar el inicio de sesión único de SAML por primera vez, el método de inicio de sesión predeterminado es Cualquier método, lo que significa que los usuarios tendrán la opción de iniciar sesión a través de SAML o de su método de inicio de sesión habitual. Al seleccionar el valor Solo SSO de SAML, se aplica SAML como método de inicio de sesión en tu espacio de trabajo para los usuarios gestionados con correos electrónicos verificados de la empresa.

Enlazar espacios de trabajo adicionales:si tienes más de un espacio de trabajo que quieras configurar con el inicio de sesión único, ponte en contacto con [email protected].

Una vez establecida la configuración correcta, cualquier miembro que inicie sesión en tus espacios de trabajo deberá utilizar el dominio verificado y autenticarse a través de tu proveedor de identidades. Los propietarios de espacios de trabajo con el plan Enterprise podrán evitar esta restricción y utilizar un método de inicio de sesión alternativo en caso de que se produzca un fallo del inicio de sesión único de SAML o del IdP.

Identificación de usuario exclusiva

Asignar un nombre o un número únicos para identificar y rastrear la identidad del usuario.

Notion tiene una API de SCIM que se puede utilizar para aprovisionar, gestionar y desaprovisionar miembros y grupos. Los propietarios del espacio de trabajo pueden encontrar la clave de API requerida yendo a ConfiguraciónSeguridad e identidadConfiguración de SCIM y haciendo clic para ver el token.

Consulta nuestra documentación de SCIM para obtener la información más reciente sobre cómo interactuar con la API SCIM de Notion. Notion admite aplicaciones de SCIM oficiales con Google, Gusto, Okta, OneLogin y Rippling.

Procedimiento de acceso de emergencia

Establecer (e implementar según sea necesario) procedimientos para obtener la información médica electrónica protegida necesaria durante una emergencia.

La búsqueda de contenido proporciona a los propietarios de espacios de trabajo Enterprise visibilidad del contenido del espacio para mejorar su gestión y resolver problemas de acceso a las páginas. La búsqueda de contenido te permite:

• Ver quién tiene acceso a una página
• Modificar los permisos de una página
• Descubrir y reasignar páginas en desuso de antiguos empleados

Puedes exportar una página de Notion, una base de datos o un espacio de trabajo entero en cualquier momento.

Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace.

Cierre de sesión automático

Implementar procedimientos electrónicos que pongan fin a una sesión electrónica después de un tiempo predeterminado de inactividad.

Establece una duración de sesión personalizada: Para los usuarios gestionados en el plan Enterprise, Notion tiene una duración de sesión predeterminada de 180 días. Sin embargo, los propietarios de espacios de trabajo pueden personalizar la duración de su sesión desde 1 hora hasta 180 días.

Forzar el cierre de sesión de usuarios: fuerza el cierre de sesión de usuarios individuales o de todos los usuarios del espacio de trabajo a la vez.

Forzar el restablecimiento de la contraseña: fuerza el restablecimiento de la contraseña de determinados usuarios o de todos los usuarios del espacio de trabajo a la vez.

Si se desconecta a un usuario a través de SCIM, se eliminará del espacio de trabajo y se finalizará su sesión.

Controles de auditoría

Implementar hardware, software o mecanismos procedimentales que registren y examinen la actividad en sistemas de información que contengan o utilicen información médica electrónica protegida.

Los propietarios de espacios de trabajo del plan Enterprise tienen acceso a un registro de auditoría en Configuración. Esto brinda una descripción general de una amplia gama de eventos que se han producido en el espacio de trabajo.

Esto puede resultar especialmente útil para identificar posibles problemas de seguridad, investigar comportamientos sospechosos y solucionar problemas de acceso. El registro de auditoría del espacio de trabajo se puede exportar en formato CSV.

Los clientes Enterprise también pueden utilizar nuestras integraciones de socios de prevención ante pérdida de datos (DLP, por sus siglas en inglés) para descubrir, clasificar y proteger datos confidenciales en Notion.

Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace.

Controles de integridad

Implementa políticas y procedimientos para proteger la información de salud protegida electrónicamente contra alteraciones o destrucciones indebidas.

Implementa mecanismos electrónicos para corroborar que la información médica electrónica protegida no se haya alterado o destruido sin autorización.

Implementa medidas de seguridad para garantizar que la información de salud protegida electrónicamente transmitida no se modifique indebidamente sin ser detectada hasta que se elimine.

Desactivar el uso compartido de páginas públicas: desactiva la opción «Compartir en la Web» del menú «Compartir» en todas las páginas del espacio de trabajo.

Desactivar invitados: esto evita que cualquier persona invite a usuarios externos al espacio de trabajo a cualquier página. No es necesario que utilices este control si deseas invitar a los invitados que necesites, pero ten en cuenta que Notion no puede utilizarse para comunicarse con pacientes, miembros del plan o sus familiares y empleadores. Si necesitas habilitar la presencia de invitados, le recomendamos activar las solicitudes de invitación. Esto implementa un proceso de aprobación para que puedas recibir invitados en tu espacio de trabajo garantizando el cumplimiento de HIPAA.

Deshabilitar el movimiento o duplicación de páginas a otros espacios de trabajo: Impide que los usuarios muevan o dupliquen páginas a otros espacios de trabajo mediante las acciones Mover a o Duplicar.

Deshabilitar exportación: Evita que cualquier usuario exporte contenido en formatos como Markdown, CSV o PDF.

Deshabilitar la creación de nuevos espacios de trabajo: Garantiza que no se puedan crear nuevos espacios de trabajo sin aprobación previa.

Deshabilitar o permitir solo extensiones de terceros aprobadas: Impide que los usuarios agreguen extensiones de terceros no autorizadas a tu espacio de trabajo en Notion.

Deshabilitar el acceso a espacios de trabajo externos: Evita que los usuarios se unan o accedan a espacios de trabajo externos fuera de tu organización.

Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace.

Autenticación de personas o entidades

Implementar procedimientos para verificar que una persona o entidad que pretende acceder a información médica electrónica protegida es quien dice ser.

Desactivar cambios de perfil: Esto evita que los usuarios cambien su propia información de perfil para evitar suplantaciones.

Gestión de dominios: Por dominio se entiende el de la dirección de correo electrónico asociada a una cuenta de Notion. La verificación de dominios permite a los propietarios de un espacio de trabajo reclamar la propiedad de un dominio para poder configurar su gestión.

Desactivar invitados: Impide que se inviten a personas ajenas al espacio de trabajo para que accedan a cualquier página. No es necesario que utilices este control si deseas invitar a los invitados que necesites, pero ten en cuenta que Notion no puede utilizarse para comunicarse con pacientes, miembros del plan o sus familiares y empleadores. Si necesitas habilitar la presencia de invitados, le recomendamos activar las solicitudes de invitación. Esto implementa un proceso de aprobación para que puedas tener invitados en tu espacio de trabajo y, al mismo tiempo, garantizar el cumplimiento de la HIPAA.

Suspender o eliminar una cuenta de usuario gestionada: Suspende o elimina cuentas de usuario gestionadas desde el panel de gestión de usuarios.

Desactivar la eliminación de cuentas de usuarios gestionados: Evita que los usuarios gestionados eliminen sus cuentas por sí solos.

Retención y eliminación de datos

Implementar políticas y procedimientos para abordar la eliminación final de la IMP electrónica, así como el hardware o los medios de soporte electrónicos en los que se almacena.

Los ajustes personalizados de retención de datos permiten a los propietarios de espacios de trabajo en planes Enterprise tener el control sobre cuándo se eliminan de la Papelera las páginas de los usuarios y durante cuánto tiempo pueden retenerse después.

Guardamos copias de seguridad de nuestra base de datos, y eso nos permite restaurar una instantánea de tu contenido en los últimos 30 días en caso de que lo necesites.

Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace.

Seguridad de las transmisiones

Implementa medidas técnicas de seguridad frente al
acceso no autorizado a la información médica electrónica protegida que se transmite a través de una red de comunicaciones electrónicas.

Implementa un mecanismo para cifrar la información médica electrónica protegida cuando se considere apropiado.

Cifrado en reposo: Los datos del cliente se cifran en reposo mediante AES-256. Se cifran los datos de los clientes que están en las redes internas de Notion, en reposo en el almacenamiento en la nube, en las tablas de bases de datos y en las copias de seguridad.

Cifrado en tránsito: los datos que se envían en tránsito se cifran mediante el algoritmo TLS 1.2 o superior.

Nota: Los propietarios de espacios de trabajo con el plan Enterprise podrán evitar esta restricción y utilizar un método de inicio de sesión alternativo en caso de que se produzca un fallo del inicio de sesión único de SAML o del IdP.

Activar el cumplimiento de la HIPAA

Para activar el cumplimiento de la HIPAA en tu espacio de trabajo:

  1. Ve a Configuración en tu barra lateral → Configuración del espacio de trabajoCumplimiento de la HIPAAActivar.

  2. Aparecerá una ventana en la que podrás leer el BAA completo firmado antes de seleccionar Aceptar.

  3. Al aceptar, verás una confirmación que indica que se ha activado el cumplimiento de la HIPAA. También recibirás un correo electrónico de confirmación en el que se indica que tu espacio de trabajo ha aceptado la BAA de HIPAA.

ca: activar el cumplimiento de la hipaa

Desactivar el cumplimiento de la HIPAA

Si quieres desactivar el cumplimiento de la HIPAA en tu espacio de trabajo:

  1. Ve a Configuración en tu barra lateral → Configuración del espacio de trabajoCumplimiento de la HIPAADesactivar.

  2. En la ventana que aparece, selecciona Desactivar.

  3. Al aceptar, verás una confirmación que indica que se ha desactivado el cumplimiento de la HIPAA. Esto significa que ya no puedes almacenar Información Sanitaria Protegida (PHI) en tu espacio de trabajo de Notion. También recibirás un correo electrónico de confirmación.

Preguntas frecuentes

¿Cuál es el coste de hacer posible el cumplimiento de la HIPAA?

El cumplimiento de la HIPAA está disponible de forma gratuita para todos los clientes con el plan Enterprise.

Los clientes deben aceptar el Acuerdo de socio comercial de Notion y usar Notion en concordancia con la ley HIPAA, el BAA y la Guía de configuración de productos de la ley HIPAA.

¿Cuáles son las limitaciones del producto en cuanto al cumplimiento de la HIPAA?

  • Notion no puede utilizarse para comunicarse con pacientes, miembros del plan o sus familiares o empleadores.

  • Los usuarios no pueden incluir Información médica personal (PHI) en ninguno de los siguientes campos o funcionalidades:

    • Nombres de espacio de trabajo u organización

    • Nombres de espacio de equipo

    • Nombres de archivo

    • Perfil de cuenta/usuario

    • Nombre de los grupos de usuarios

  • Las solicitudes de asistencia y los anexos a una solicitud de asistencia no deben incluir ninguna información médica personal.

  • Ni Notion Calendar ni sus funciones, ni los Servicios Beta están cubiertos por el BAA y, por lo tanto, no pueden utilizarse o desplegarse de forma que procesen información sanitaria protegida.

¿Seguirán disponibles las integraciones?

Sí, las aplicaciones habilitadas anteriormente lo seguirán estando. Los administradores deben revisar las integraciones existentes para asegurarse de que son conformes. Los administradores pueden optar por desactivar la adición de nuevas integraciones que no estén en la lista de integraciones permitidas.

¿Se te ha quedado alguna pregunta en el tintero? Contacta con Atención al cliente
Danos tu opinión

¿Te ha resultado útil este recurso?

Powered by Fruition