Piste d’audit avancée et conformité HIPAA

Lorsque vous vous abonnez à la piste d’audit avancée, vous pouvez suivre l’accès aux données personnelles stockées dans les fiches des contacts, des clients et des fournisseurs à des fins de conformité HIPAA.

Cette fonctionnalité peut avoir un impact sur votre contrat avec Sage Intacct. Vous ne pouvez donc pas vous abonner ou vous désabonner de la piste d’audit avancée de vous-même. Appelez plutôt votre responsable de compte pour gérer votre abonnement à la piste d’audit avancée.

Conformité à la loi HIPAA

La piste d’audit avancée a été conçue pour être une solution HIPAA pour les entreprises du secteur de la santé. Nous avons pris le temps de comprendre où les données des patients sont stockées et comment en suivre au mieux l’accès, sans impacter les performances globales de Sage Intacct.

Voir Aperçu de la piste d’audit avancée pour plus d’informations sur le fonctionnement de la piste d’audit avancée et les informations qu’elle suit, y compris les exceptions. Il existe également des exigences supplémentaires pour les entreprises qui souhaitent assurer la conformité à la loi HIPAA, comme indiqué ci-dessous.

Exigences supplémentaires

En plus de s’abonner à la piste d’audit avancée, votre société doit également respecter les exigences suivantes pour garantir la conformité à la loi HIPAA.

Exigence Explication
Désactiver l’accès externe à votre locataire Sage Intacct.

Une partie de la conformité HIPAA consiste à pouvoir distinguer qui a eu accès à des informations de santé protégées et quand. Pour répondre à cette exigence, vous ne devez pas autoriser l’accès externe à votre locataire Sage Intacct par le personnel d’assistance de Sage Intacct. Si vous avez déjà autorisé l’accès externe, vous devez le désactiver.

En outre, si vous entretenez une relation avec un partenaire VAR Sage Intacct et que vous avez activé son accès à votre locataire Sage Intacct, cela doit se faire via une connexion glissante nommée. Vous devez vérifier ce paramètre auprès de votre partenaire VAR Sage Intacct.
Impossible d’inclure ou de stocker des informations de santé protégées dans des endroits autres que les objets du contact, du fournisseur et du client. Le suivi de l’accès aux informations de santé protégées est l’une des exigences de la loi HIPAA. La piste d’audit avancée permet de se conformer à cette exigence en suivant l’accès aux informations personnelles dans les objets contact, fournisseur et client. L’accès à des informations en dehors de ces objets n’est pas suivi. Par conséquent, si vous prévoyez d’utiliser la piste d’audit avancée pour vous conformer à la loi HIPAA, vous devez inclure des informations de santé protégées uniquement dans les objets Contact, Fournisseur et Client et non à d’autres endroits, tels que les champs personnalisés, les fiches de collaborateur ou les pièces jointes.
Impossible d’envoyer ou de partager des informations de santé protégées stockées dans votre instance Sage Intacct en dehors du système Sage Intacct.

Une fois que des informations de santé protégées sont saisies dans Sage Intacct, il nous incombe de suivre l’accès à ces données. Cependant, une fois que les informations de santé protégées quittent le système Sage Intacct, nous ne pouvons pas savoir qui y a accédé et quand. Par conséquent, vous ne pouvez pas envoyer ou partager des informations de santé protégées au support client Sage Intacct par le biais d’une demande d’assistance ou d’une autre méthode, telle qu’une pièce jointe d’un e-mail. En outre, vous ne pouvez pas non plus partager d’informations de santé protégées dans la communauté ou sur tout autre forum d’assistance.

Si vous avez besoin de l’aide de l’assistance Sage Intacct avec un fiche contact, fournisseur ou client contenant des informations de santé protégées, utilisez des conditions de paiement génériques dans votre demande d’assistance et statut vos exigences de conformité HIPAA. Par exemple, vous pouvez envoyer le message suivant dans votre demande d’assistance :

Je suis un client conforme à la loi HIPAA avec une fiche de contact qui ne fonctionne pas.

Une fois qu’un spécialiste de l’assistance vous a été attribué et que la documentation d’accès appropriée a été créée, vous pouvez utiliser des conditions de paiement plus spécifiques pour résoudre vos problèmes.
Impossible de stocker des informations de santé protégées dans un bac à sable société.

Une société bac à sable est simplement une copie de votre société. Pour l’instant, le piste d'audit avancé ne fusionne pas la rapport Historique d’audit avancé, qui est conçue pour suivre l’accès aux informations de santé protégées, entre les sociétés copiées et les société initial. Pour cette raison, les sociétés bac à sable ne sont pas prises en charge à des fins de conformité à la loi HIPAA.

Cependant, nous comprenons que vous ayez besoin de tester de nouvelles intégrations, applications et configurations dans les sociétés de bac à sable afin de tirer parti des nouvelles fonctionnalités et d’améliorer votre expérience Sage Intacct. En raison de ces besoins complexes, nous avons mis en place un processus pour satisfaire à la fois aux exigences de conformité à la loi HIPAA et à la nécessité de tester dans les entreprises de bac à sable :

  • Une fois que vous avez accès à la société Bac à sable, Ne stockez pas et n’utilisez pas d’informations de santé protégées dans la société Bac à sable pour respecter les exigences de la loi HIPAA. Utilisez plutôt Les dossiers expurgés à des fins de test ou créer des dossiers qui ne représentent pas de véritables informations de santé protégées.
    Si vous choisissez d’utiliser ou de stocker des informations de santé protégées dans votre société de bac à sable, vous le faites à vos risques et périls.
Si vous entretenez une relation avec un partenaire VAR Sage Intacct, il ne peut pas faire de copies de votre société pour vous. Pour le moment, Advanced piste d'audit ne fusionne pas la rapport Historique d’audit avancé, qui est conçue pour suivre l’accès aux informations de santé protégées, entre les sociétés de copie et les société de initial. Pour cette raison, votre partenaire VAR Sage Intacct ne peut pas faire de copies de votre société.
Si vous utilisez Sage Intacct Planning, vous ne pouvez pas établir de budget en fonction des dimensions du fournisseur ou du client.

Sage Intacct Planning est un module Sage Intacct distinct qui n’est pas pris en charge par la piste d’audit avancée et ne suit pas l’accès aux informations de santé protégées.

Pour cette raison, vous ne pouvez pas créer de budgets pour les dimensions du fournisseur ou du client dans Sage Intacct Planning afin que les informations de santé protégées ne soient pas échangées et disponibles pour le système Sage Intacct Planning.

Signer un accord de partenariat commercial (BAA)

Si votre société a des exigences de conformité à la loi HIPAA et a lu Aperçu de la piste d’audit avancée et en respectant les exigences ci-dessus, votre société peut conclure l’accord de partenariat commercial de Sage Intacct. Contactez votre responsable de compte pour plus de détails.

Que dois-je faire si ma société est victime d’une violation de données ?

Exécutez la Historique d’audit avancé rapport et Historique d’audit rapport pour analyser l’accès à votre système. Si vous avez besoin d’aide supplémentaire, contactez votre responsable de compte.