Piste d’audit avancée et conformité HIPAA

Lorsque vous vous abonnez à Advanced Audit Trail, vous pouvez suivre l’accès aux données personnelles stockées dans les fiches des contacts, des clients et des fournisseurs pour vous conformer à Lien HIPAA.

Cette fonctionnalité peut avoir un impact sur votre contrat avec Sage Intacct. Vous ne pouvez donc pas vous abonner ou vous désabonner du service Advanced Audit Trail de vous-même. Appelez plutôt votre gestionnaire de compte pour gérer votre abonnement à Advanced Audit Trail.

Conformité à la loi HIPAA

Advanced Audit Trail a été conçu pour être une solution HIPAA pour les entreprises du secteur de la santé. Nous avons pris le temps de comprendre où les données des patients sont stockées et comment en suivre au mieux l’accès, sans impacter les performances globales de Sage Intacct.

Voir Aperçu de la piste d’audit avancée pour plus d’informations sur le fonctionnement de la piste d’audit avancée et les informations qu’elle suit, y compris les exceptions. Il existe également des exigences supplémentaires pour les entreprises qui souhaitent assurer la conformité à la loi HIPAA, comme indiqué ci-dessous.

Exigences supplémentaires

En plus de s’abonner à Advanced Audit Trail, votre société doit également respecter les exigences suivantes pour garantir sa conformité à la loi HIPAA.

Exigence Explanation
Désactivez l’accès externe à votre locataire Sage Intacct.

Une partie de la conformité à la loi HIPAA consiste à pouvoir distinguer qui a eu accès à des informations de santé protégées et quand. Pour répondre à cette exigence, vous ne devez pas autoriser l’accès externe à votre locataire Sage Intacct par le personnel d’assistance de Sage Intacct. Si vous avez déjà autorisé l’accès externe, vous devez le désactiver.

En outre, si vous entretenez une relation avec un partenaire VAR Sage Intacct et que vous avez activé son accès à votre locataire Sage Intacct, cela doit se faire via une connexion glissante nommée. Vous devez vérifier ce paramètre auprès de votre partenaire VAR Sage Intacct.
Impossible d’inclure ou de stocker des informations de santé protégées à d’autres endroits que les objets contact, fournisseur et client. Le suivi de l’accès aux informations de santé protégées est l’une des exigences de la loi HIPAA. La piste d’audit avancée permet de se conformer à cette exigence en suivant l’accès aux informations personnelles dans les objets contact, fournisseur et client. L’accès à l’information en dehors de ces objets n’est pas suivi. Par conséquent, si vous prévoyez d’utiliser Advanced Audit Trail pour vous conformer à la loi HIPAA, vous devez inclure des informations de santé protégées uniquement dans les objets contact, fournisseur et client, et non à d’autres endroits tels que les champs personnalisés, les fiches de collaborateur ou les pièces jointes.
Impossible d’envoyer ou de partager des informations de santé protégées stockées dans votre instance Sage Intacct en dehors du système Sage Intacct.

Une fois que les informations de santé protégées sont saisies dans Sage Intacct, il est de notre responsabilité de suivre l’accès à ces données. Cependant, une fois que des informations de santé protégées ont quitté le système Sage Intacct, nous ne pouvons pas savoir qui y a accédé ni quand. Par conséquent, vous ne pouvez pas envoyer ou partager des informations de santé protégées à l’assistance clientèle Sage Intacct par le biais d’une demande d’assistance ou d’une autre méthode, telle qu’une pièce jointe à un e-mail. En outre, vous ne pouvez pas non plus partager d’informations de santé protégées dans la communauté ou sur tout autre forum d’assistance.

Si vous avez besoin de l’aide de l’assistance Sage Intacct avec un contact, un fournisseur ou une fiche client contenant des informations de santé protégées, utilisez des termes génériques dans votre demande d’assistance et indiquez vos exigences de conformité à la loi HIPAA. Par exemple, vous pouvez envoyer le message suivant dans votre demande d’assistance :

Je suis un client conforme à la loi HIPAA avec une fiche de contact qui ne fonctionne pas.

Une fois qu’un spécialiste de l’assistance vous a été attribué et que la documentation d’accès appropriée a été créée, vous pouvez utiliser des termes plus spécifiques pour résoudre vos problèmes.
Impossible de stocker des informations de santé protégées dans un bac à sable compagnie.

Une société bac à sable est simplement une copie de votre société. Pour le moment, la piste d’audit avancée ne fusionne pas le rapport d’historique d’audit avancé, qui est conçu pour suivre l’accès aux informations de santé protégées, entre les sociétés copiées et la société d’origine. Pour cette raison, les sociétés bac à sable ne sont pas prises en charge à des fins de conformité à la loi HIPAA.

Cependant, nous comprenons votre besoin de tester de nouvelles intégrations, applications et configurations dans des sociétés bac à sable afin de tirer parti des nouvelles fonctionnalités et d’améliorer votre expérience Sage Intacct. En raison de ces besoins complexes, nous avons mis en place un processus pour répondre à la fois aux exigences de conformité à la loi HIPAA et à la nécessité de tester dans les entreprises de bac à sable :

  • Une fois que vous avez accès à la société bac à sable, Ne stockez ni n’utilisez d’informations de santé protégées dans la société Sandbox pour respecter les exigences de la loi HIPAA. Utilisez plutôt les documents expurgés à des fins de test, ou créer des fiches qui ne représentent pas de véritables informations de santé protégées.
    Si vous choisissez d’utiliser ou de stocker des informations de santé protégées dans votre société sandbox, vous le faites à vos risques et périls.
Si vous entretenez une relation avec un partenaire VAR Sage Intacct, il ne peut pas faire de copies de votre société pour vous. Pour le moment, Advanced Audit Trail ne fusionne pas le rapport Advanced Audit History, qui est conçu pour suivre l’accès aux informations de santé protégées, entre les sociétés copiées et la société d’origine. Pour cette raison, votre partenaire VAR Sage Intacct ne peut pas faire de copies de votre société.
Si vous utilisez Sage Intacct Planning, vous ne pouvez pas établir de budget en fonction des dimensions fournisseur ou client.

Sage Intacct Planning est un module Sage Intacct distinct qui n’est pas pris en charge par la piste d’audit avancée et qui n’effectue pas le suivi de l’accès aux informations de santé protégées.

Pour cette raison, vous ne pouvez pas créer de budgets par rapport aux dimensions fournisseur ou client dans Sage Intacct Planning afin que les informations de santé protégées ne soient pas échangées et disponibles pour le système Sage Intacct Planning.

Signer un accord de partenariat commercial (BAA)

Si votre société a des exigences de conformité à la loi HIPAA et a lu Aperçu de la piste d’audit avancée et si vous respectez les exigences ci-dessus, votre société peut conclure un accord de partenariat commercial avec Sage Intacct. Contactez votre gestionnaire de compte pour plus de détails.

Que dois-je faire si mon entreprise est victime d’une violation de données ?

Exécutez la Rapport d’historique d’audit avancé et Rapport d’historique d’audit pour analyser l’accès à votre système. Si vous avez besoin d’aide supplémentaire, contactez votre gestionnaire de compte.