Communication médciale sécurisée

Communications conformes à la HIPAA pour les organisations de la santé

Les organisations du secteur de la santé font confiance à Cyberimpact pour communiquer de façon sécuritaire avec leurs patients, membres, employés et parties prenantes grâce à une plateforme conçue selon des standards élevés de sécurité et de protection des données.

Cyberimpact soutient les organisations assujetties à la Health Insurance Portability and Accountability Act (HIPAA) en mettant en place des mesures administratives, techniques et organisationnelles conçues pour aider ses clients à respecter leurs obligations de conformité lorsqu’ils utilisent la plateforme de manière appropriée.

Deux professionnels de la santé consultent des informations sur un ordinateur
Deux employés consultent des données sur un ordinateur portable devant un rack de serveurs

Soutien aux exigences HIPAA

Cyberimpact applique des pratiques de sécurité conçues pour soutenir les organisations assujetties à la HIPAA, incluant des mesures alignées avec les exigences de la HIPAA Security Rule.

HIPAA ne prévoit aucun programme officiel de certification. Cyberimpact maintient des mesures de protection conçues pour soutenir les organisations assujetties aux exigences de la HIPAA et revoit régulièrement ses contrôles de sécurité dans le cadre de son programme continu de sécurité.

Notre approche comprend notamment :

BulletAligning

Chiffrement des données en transit et au repos

BulletAligning

Contrôles d’accès basés sur les rôles

BulletAligning

Authentification multifacteur pour les systèmes internes

BulletAligning

Surveillance et journalisation des activités de sécurité

BulletAligning

Tests d’intrusion et évaluations de sécurité réguliers

BulletAligning

Procédures de gestion des incidents de sécurité

BulletAligning

Évaluations de sécurité des fournisseurs et infrastructures

BulletAligning

Gestion des accès selon le principe du moindre privilège

BulletAligning

Infrastructure d’hébergement sécurisée

Nos pratiques de sécurité et de gouvernance sont révisées de façon continue dans le cadre de notre engagement global envers la protection des données et l’intégrité de notre plateforme.

Attestation SOC 2 Type 2

SOC 2 Type 2

Chiffrement des données

Chiffrement  via TLS 1.2/1.3 et AES-256

Authentification multifacteur

Authentification multifacteur (MFA)

Données hébergées sécurisées

Données hébergées sécurisées

Pare-feu applicatif

Pare-feu applicatif (WAF)

Protection contre les attaques DDoS

Protection contre les attaques DDoS

Sauvegardes chiffrées quotidiennes

Sauvegardes chiffrées quotidiennes

Contrôles d’accès basés sur les rôles

Contrôles d’accès basés sur les rôles

Cadre de sécurité et bonnes pratiques

Cyberimpact met en place des mesures de sécurité conçues pour soutenir les organisations assujetties à la HIPAA. Cette section présente certaines pratiques, responsabilités et considérations importantes liées à l’utilisation de notre plateforme.

Ententes de type Business Associate Agreement (BAA)

Cyberimpact peut fournir une entente de type Business Associate Agreement (BAA) aux clients admissibles traitant des renseignements de santé protégés (Protected Health Information ou PHI).

Les organisations nécessitant un BAA peuvent communiquer avec notre équipe afin de discuter de leurs exigences en matière de sécurité, de confidentialité et de conformité.

Modèle de responsabilité partagée

La conformité à la HIPAA repose sur une responsabilité partagée entre Cyberimpact et ses clients.

La conformité à la HIPAA dépend ultimement de la façon dont chaque organisation configure, utilise et encadre son propre environnement, ses processus et ses données. Cyberimpact fournit des mesures de protection et des engagements contractuels conçus pour soutenir la conformité à la HIPAA, mais chaque client demeure responsable du respect de ses propres obligations légales, réglementaires et opérationnelles.

Bien que Cyberimpact fournisse des mesures de protection et des engagements contractuels conçus pour soutenir la conformité à la HIPAA, les clients demeurent responsables :

  • De configurer et utiliser la plateforme de manière appropriée
  • De gérer les accès et permissions des utilisateurs
  • De déterminer quelles informations sont transmises par courriel
  • De s’assurer que leurs politiques internes et leurs processus respectent les lois et réglementations applicables

Bonnes pratiques recommandées

Afin de réduire les risques et de protéger les renseignements sensibles, Cyberimpact recommande à ses clients :

  • D’éviter d’inclure des renseignements médicaux ou sensibles non nécessaires dans les courriels
  • De limiter l’utilisation des renseignements de santé protégés (PHI) à ce qui est strictement nécessaire
  • D’utiliser des portails sécurisés ou des environnements à accès contrôlé pour les informations hautement sensibles
  • De mettre en place des politiques internes encadrant la gestion appropriée des renseignements de santé protégés
  • D’appliquer le principe du moindre privilège dans la gestion des accès au sein de leur organisation

Une infrastructure axée sur la sécurité

Cyberimpact maintient une approche opérationnelle axée sur la sécurité afin de soutenir la fiabilité, la confidentialité et la protection des données.

Notre programme de sécurité comprend notamment des pratiques continues de gouvernance, de surveillance des infrastructures, de gestion des vulnérabilités et d’évaluations de sécurité par des tiers.

Pour en savoir plus sur nos pratiques de sécurité, consultez notre Centre de confiance.

Organisations du secteur de la santé en Ontario

Vous êtes une organisation du secteur de la santé en Ontario et souhaitez en savoir plus sur les pratiques de Cyberimpact en matière de protection des renseignements personnels et de sécurité relativement à la Loi sur la protection des renseignements personnels sur la santé (PHIPA)?

Découvrez nos pratiques liées à la PHIPA et les mesures mises en place pour protéger les renseignements personnels sur la santé.

En savoir plus sur la PHIPA

Contactez-nous

Vous avez des questions concernant la HIPAA, les cas d’usage dans le secteur de la santé ou les Business Associate Agreements (BAA) ?

Communiquez avec notre équipe afin de discuter des besoins de votre organisation en matière de conformité et de sécurité. Contactez-nous

Documents que nous pouvons fournir

Cyberimpact met à votre disposition un ensemble de documents destinés aux équipes de sécurité, de conformité et de gouvernance TI.

Certains documents, en raison de leur sensibilité, nécessitent la signature d’un accord de confidentialité (NDA). Selon leur nature ou les exigences liées aux audits et certifications, certains peuvent également être disponibles uniquement en anglais.

Pour obtenir un document soumis à un NDA, veuillez remplir le formulaire ci-dessous.

Documents disponibles sous NDA

(informations sensibles)


Pratiques de sécurité HIPAA de Cyberimpact
Présente les principales mesures administratives, techniques et organisationnelles mises en place afin de soutenir les organisations assujetties à la HIPAA.


Business Associate Agreements (BAA)
Entente encadrant le traitement des renseignements de santé protégés (PHI) conformément aux exigences de la HIPAA.


Rapport SOC 2 Type 2 complet
Contient les tests détaillés de l’auditeur, les contrôles évalués et les résultats d’efficacité opérationnelle.


System Security Plan (SSP)
Description structurée de notre architecture, de nos contrôles, de nos processus et de notre modèle opérationnel de sécurité.


GDPR Compliance Assessment
Analyse des pratiques liées à la gestion des données personnelles et de leur alignement avec le GDPR.


Architecture technique (diagramme haut niveau)
Aperçu de l’architecture du service, incluant les principaux composants, les flux de données et l’organisation générale du système.


HECVAT lite 2.11
Questionnaire standardisé d’évaluation de la sécurité et de la confidentialité (Higher Education Community Vendor Assessment Toolkit), utilisé par les établissements d’enseignement pour évaluer les risques liés aux fournisseurs de services technologiques.


VPAT 2.5 (Accessibilité)
Déclare le niveau de conformité de notre plateforme en matière d’accessibilité numérique.

Documents disponibles sans NDA


SOC 2 Type 2 - Lettre sommaire
Fournit un aperçu de l’attestation SOC 2 Type 2, incluant la portée de l’audit et la confirmation de sa réussite.
Accéder maintenant


Politique de confidentialité
Présente nos pratiques de gestion et de protection des renseignements personnels.
Accéder maintenant


Politique anti-pourriel
Explique les mécanismes mis en place pour respecter la législation canadienne anti-pourriel.
Accéder maintenant


Termes et conditions d’utilisation
Décrit les obligations contractuelles, les responsabilités et les limites d’utilisation du service.
Accéder maintenant

Formulaire de demande de documents


Pour obtenir l’un de nos documents officiels nécessitant un NDA, tels que notre rapport SOC 2 complet, notre SSP, notre évaluation GDPR ou notre VPAT, veuillez remplir le formulaire ci-dessous.

Nous vous invitons à fournir les informations nécessaires afin de nous permettre de traiter votre demande efficacement et de vous transmettre les documents adaptés à votre contexte.

Nous répondons généralement aux demandes dans un délai de 3 à 5 jours ouvrables*.

*Cyberimpact se réserve le droit de ne pas donner suite à une demande jugée non pertinente ou insuffisamment justifiée, afin de protéger la confidentialité des informations sensibles.

Cyberimpact — Tous droits réservés.