La Ley de Portabilidad y Responsabilidad de Seguros de Salud, HIPAA (que incluye la Norma de Privacidad, la Norma de Seguridad, la regla de notificación por incumplimiento y la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica), exige que los socios comerciales y las entidades contempladas tomen ciertas medidas para proteger la información médica que pueda identificar a un individuo. También otorga ciertos derechos a los individuos. Zoho no recopila, utiliza, almacena ni mantiene información médica protegida por la HIPAA para sus propios fines. Sin embargo, Zoho Mail ofrece funciones que ayudan a los administradores a configurar y utilizar el correo electrónico dentro de lo que supone el cumplimiento de la ley HIPAA.
La ley HIPAA exige a las entidades contempladas firmar un Acuerdo de socios comerciales (BAA, por sus siglas en inglés) con sus socios comerciales. Puede solicitar nuestra plantilla de BAA a través de un correo electrónico a legal@zohocorp.com.
Zoho Mail ofrece las siguientes funciones y controles que permiten a los administradores implementar un servicio de correo electrónico conforme a la ley HIPAA para su organización.
Funciones y permisos de usuarios
Zoho Mail proporciona acceso al panel de administración basado en funciones. La función de superadministrador se puede asignar a un solo usuario y, además, solo el superadministrador puede optar por asignar la función de administrador a los miembros de la organización.
Los administradores tendrán permiso para crear cuentas, administrar las políticas de seguridad, monitorear registros de auditoría, etc. Los usuarios no tendrán permiso para acceder a la consola de administración y no podrán ver ni acceder a las funciones de administrador. Consulte aquí para obtener más detalles sobre las funciones y los privilegios.
Controles de seguridad
Zoho Mail les proporciona a los administradores un control sólido de las políticas de seguridad de la organización. El administrador puede aplicar y personalizar las siguientes políticas para que se ajusten a los requisitos de cumplimiento de su organización:
Encriptado
Los correos electrónicos se almacenan en los servidores de Zoho Mail en un formato encriptado. Los datos se dividen en fragmentos y cada fragmento se cifra adicionalmente antes de almacenarse en nuestros discos. Las claves que se utilizan en el cifrado se administran con la máxima seguridad y confiabilidad. Las transmisiones de datos cuando se utiliza Zoho Mail mediante POP, IMAP o SMTP se encriptan con el protocolo de seguridad de capas de transporte (TLS). También utilizamos los cifrados más recientes y seguros, como las claves AES_CBC/AES_GCM de 256 o 128 bits para el encriptado de correo electrónico. Todas las transferencias de datos en la Web se producen en el modo seguro (HTTPS). Estos garantizan que sus datos de Zoho Mail estén protegidos contra la divulgación, las modificaciones o el acceso no autorizado, tanto dentro como fuera del dominio de su organización.
Los datos de servicio almacenados en Zoho Mail se encriptan en reposo (EAR). Todos los datos también se encriptan en tránsito. Los controles físicos de alta seguridad en centros de datos y el encriptado a nivel de tránsito garantizan que sus datos queden bien protegidos.
Además del encriptado predeterminado, el administrador puede optar por una capa adicional de encriptado a través de la compatibilidad con S/MIME, que utiliza el encriptado basado en certificado SSL.
Eliminación de correo electrónico
Zoho Mail ofrece funciones apropiadas en la interfaz web para permitir que los usuarios eliminen sus datos. Los usuarios pueden eliminar sus datos de correos mediante la opción Eliminar. Sin embargo, si el administrador ha activado la retención y eDiscovery para los usuarios, una copia del correo electrónico estará disponible en el portal de eDiscovery según el período de retención definido por el administrador.
Cuando los administradores eliminen las cuentas de usuario del panel de control, se programará la eliminación de los datos asociados al usuario para dentro de los 30 días posteriores a la eliminación del usuario.
Seguimiento de auditoría
Zoho Mail proporciona registros de auditoría exhaustivos para registrar las actividades desde el panel de administración. Los registros de auditoría del administrador están disponibles durante un período de 1 año. Los registros de correo electrónico de los usuarios también se pueden revisar desde el panel de administración de Zoho Mail. Los registros de correo electrónico están disponibles durante un período de 90 días.
Además de eso, el administrador también puede exportar los registros según sea necesario desde el panel de control.
Retención de datos
Los administradores pueden activar eDiscovery (disponible en los planes premium), que crea una copia de seguridad completa de los correos electrónicos según las condiciones que elija el administrador. La organización puede habilitar esto para efectos legales y de cumplimiento, según sus requisitos.
Mediante eDiscovery, los administradores pueden definir un período de retención para los datos que se están reteniendo según las condiciones predeterminadas que establezcan los administradores.
eDiscovery solo está disponible en los planes premium de Zoho Mail. Las opciones generales de copia de seguridad y recuperación están disponibles en todos los planes de Zoho Mail. Los administradores pueden realizar copias de seguridad periódicas de los datos de correo electrónico según sus necesidades y almacenarlos en su almacenamiento local. En caso de que se elimine cualquier dato de correo electrónico fundamental, el administrador puede restaurar los correos electrónicos en un plazo de 30 días a partir de su eliminación.
Modificación de los Términos de uso
Zoho se reserva el derecho a modificar los Términos. Las modificaciones a las Condiciones se harán efectivas una vez que utilice Zoho Mail tras la publicación de dicha modificación.
Descargo de responsabilidad: El contenido presentado aquí no debe interpretarse como asesoramiento jurídico. Esta es una pauta sobre cómo Zoho Mail permite que las organizaciones cumplan con la ley HIPAA. Comuníquese con un asesor legal para saber cómo se aplica la ley HIPAA y cómo afecta a su organización y a los procesos involucrados para cumplir con la ley HIPAA.