La loi HIPAA (Health Insurance Portability and Accountability Act, qui comprend la règle de confidentialité, la règle de sécurité, la règle de notification de violation et l'Health Information Technology for Economic and Clinical Health Act), exige que les entités couvertes et les partenaires professionnels prennent certaines mesures pour protéger les informations de santé qui permettent d'identifier une personne. Elle accorde également certains droits aux individus. Zoho ne recueille, n'utilise, ne stocke et ne conserve pas les informations de santé protégées par l'HIPAA à ses propres fins. Cependant, Zoho Mail fournit des fonctionnalités permettant aux administrateurs de configurer et d'utiliser la messagerie électronique dans le cadre de la conformité HIPAA.
La loi HIPAA exige que les entités couvertes signent un accord de partenariat commercial (BAA) avec leurs partenaires professionnels. Vous pouvez demander notre modèle de BAA en envoyant un e-mail à legal@zohocorp.com.
Zoho Mail fournit les fonctionnalités et contrôles suivants qui permettent aux administrateurs de mettre en place un service de messagerie conforme à la loi HIPAA pour leur organisation.
Rôles et autorisations utilisateurs
Zoho Mail fournit un accès au panneau d'administration en fonction des rôles. Le rôle de super administrateur ne peut être attribué qu'à un seul utilisateur et le super administrateur est le seul à pouvoir choisir à quels membres de l'organisation il attribue le rôle d'administrateur.
Les administrateurs disposent des autorisations nécessaires pour créer des comptes, gérer les stratégies de sécurité, suivre les journaux d'audit, etc. Les utilisateurs n'ont pas l'autorisation d'accéder au panneau d'administration et ne peuvent pas afficher ni accéder aux fonctions d'administrateur. Cliquez ici pour plus d'informations sur les rôles et les privilèges.
Contrôles de sécurité
Zoho Mail offre aux administrateurs un solide contrôle sur les stratégies de sécurité de l'organisation. L'administrateur peut appliquer et personnaliser les stratégies suivantes en fonction des exigences de conformité de son entreprise :
Chiffrement
Les e-mails sont stockés sur des serveurs Zoho Mail dans un format chiffré. Les données sont fragmentées, puis chaque fragment est chiffré avant d'être stocké sur nos disques. Les clés de chiffrement utilisées sont gérées avec une sécurité et une fiabilité optimales. Les transmissions de données en cas d'utilisation de Zoho Mail via POP / IMAP / SMTP sont chiffrées à l'aide du protocole TLS (Transport Layer Security). Nous utilisons également les derniers chiffrements sécurisés tels que les clés AES_CBC/AES_GCM 256 bits/128 bits pour le chiffrement des e-mails. Tous les transferts de données sur Internet sont effectués en mode sécurisé (HTTPS). Cela garantit que vos données Zoho Mail sont protégées contre tout accès, divulgation ou modification non autorisés, tant à l'intérieur qu'à l'extérieur du domaine de votre organisation.
Les données de service stockées dans Zoho Mail sont protégées par chiffrement au repos (EAR, Encrypted At Rest). Toutes les données sont également chiffrées en transit. Les contrôles physiques hautement sécurisés au niveau des centres de données et le chiffrement au niveau du transit garantissent une protection adéquate de vos données à tout moment.
Outre le chiffrement par défaut, l'administrateur peut opter pour une couche supplémentaire de chiffrement via la prise en charge S/MIME qui utilise le chiffrement à partir d'un certificat SSL.
Suppression d'e-mail
Zoho Mail fournit des fonctionnalités dans l'interface Web permettant aux utilisateurs de supprimer leurs données. Vous pouvez supprimer vos données de messagerie à l'aide de l'option « Delete ». Toutefois, si l'administrateur a activé la conservation et eDiscovery pour les utilisateurs, une copie de l'e-mail sera disponible sur le portail eDiscovery en fonction de la période de conservation définie par l'administrateur.
Si un administrateur supprime un compte utilisateur à partir du panneau de configuration, la suppression des données associées à cet utilisateur est planifiée et sera effectuée dans les 30 jours qui suivent la suppression de l'utilisateur lui-même.
Piste d'audit
Zoho Mail fournit des journaux d'audit complets pour enregistrer les activités à partir du panneau d'administration. Les journaux d'audit d'administration sont disponibles pendant une période d'un an. Les journaux de messagerie des utilisateurs peuvent également être vérifiés à partir du panneau d'administration de Zoho Mail. Les journaux de messagerie sont disponibles pendant 90 jours.
En outre, les journaux peuvent également être exportés par l'administrateur selon les besoins à partir du panneau de configuration.
Conservation des données
Les administrateurs peuvent activer eDiscovery (disponible avec les forfaits Premium), ce qui crée une sauvegarde complète des e-mails en fonction des conditions choisies par l'administrateur. L'entreprise peut activer cette option à des fins juridiques et de conformité, en fonction des exigences.
eDiscovery permet aux administrateurs de définir une période de conservation des données en fonction des conditions qu'ils définissent au préalable.
eDiscovery n'est disponible qu'avec les forfaits Premium de Zoho Mail. Les options génériques de sauvegarde et de conservation sont disponibles pour tous les forfaits Zoho Mail. Les administrateurs peuvent effectuer une sauvegarde périodique des données de messagerie, en fonction de leurs besoins, et les stocker localement. Si des données essentielles de messagerie sont supprimées, l'administrateur peut les restaurer dans les 30 jours suivant la suppression.
Modification des Conditions d'utilisation
Zoho se réserve le droit de modifier les Conditions d'utilisation. Les modifications des Conditions sont effectives dès votre première utilisation des services Zoho Mail après la publication desdites modifications.
Exclusion de responsabilité : Le contenu présenté dans ce document ne doit pas être interprété comme un avis juridique. Il s'agit de conseils sur la façon dont Zoho Mail permet aux entreprises de contrôler la conformité à la norme HIPAA. Veuillez contacter votre conseiller juridique pour savoir comment la norme HIPAA s'applique et quel est l'impact de la conformité à l'HIPAA sur votre entreprise et les processus impliqués.