Configuración conforme a la HIPAA

Configuración conforme a la HIPAA
Contenido de este artículo

Infórmate sobre cómo hacer que tu espacio de trabajo Notion cumpla la normativa HIPAA, y cómo activar el cumplimiento de la HIPAA🏥

Ir a la sección de preguntas frecuentes

La Ley de Transferencia y Responsabilidad de Seguros Médicos (Health Insurance Portability and Accountability Act, HIPAA por sus siglas en inglés) es una ley federal de EE. UU. promulgada en 1996 que exige la protección y la gestión confidencial de la información médica protegida (PHI) por parte de las entidades afectadas, tales como proveedores de asistencia sanitaria, planes de salud y cámaras de compensación de asistencia sanitaria, así como sus socios comerciales.

Este artículo proporciona a los usuarios las configuraciones de producto necesarias para que su espacio de trabajo en Notion cumpla la HIPAA.

Nota: El Acuerdo de socio comercial (BAA) de Notion rige la protección de la Información médica personal (PHI) que se almacena en el Servicio de Notion. Para poder firmar el BAA de Notion, debes suscribirte al plan Enterprise.

Ni Notion Calendar ni sus funciones, ni los Servicios Beta están cubiertos por el BAA y, por lo tanto, no pueden utilizarse o desplegarse de forma que procesen información sanitaria protegida.

En la medida en que el lenguaje de esta página y el lenguaje que se encuentra en el BAA entren en conflicto en cualquier momento, prevalecerá el BAA.

Configuración de Notion para cumplir con la HIPAA

Requisitos de protección técnica de la HIPAA

Configuraciones de Notion relacionadas

Control de acceso

Implementar políticas y procedimientos técnicos en los sistemas de información electrónicos que contengan información médica protegida en formato electrónico, para así permitir el acceso solo a aquellas personas o programas de software que gocen de los correspondientes derechos de acceso.

El inicio de sesión único de SAML de Notion se basa en el estándar SAML 2.0 y conecta tu proveedor de identidades (IdP) con tus espacios de trabajo para ofrecer una experiencia de inicio de sesión más sencilla y segura. Notion admite configuraciones oficiales para el inicio de sesión único de SAML con: Azure, Google, Gusto, Okta, OneLogin y Rippling.

Para comenzar a utilizar el inicio de sesión único de SAML con Notion, deberás completar los siguientes pasos:

Verificar los dominios: Para utilizar funciones de seguridad avanzadas, debes verificar la propiedad de tus dominios de correo electrónico. Se trata de un proceso automatizado que implica añadir un registro TXT al DNS del dominio para verificar que es de tu propiedad.

Activar inicio de sesión único (SSO) de SAML: Esto activará la función y completará la configuración. Para obtener más información sobre cómo completar la configuración del inicio de sesión único de SAML, consulta este artículo.

Cambiar el método de inicio de sesión predeterminado: Al activar el inicio de sesión único de SAML por primera vez, el método de inicio de sesión predeterminado es Cualquier método, lo que significa que los usuarios tendrán la opción de iniciar sesión a través de SAML o de su método de inicio de sesión habitual. Al seleccionar el valor Solo SSO de SAML, se aplica SAML como método de inicio de sesión en tu espacio de trabajo para los usuarios gestionados con correos electrónicos verificados de la empresa.

Enlazar espacios de trabajo adicionales: Si tienes más de un espacio de trabajo que quieras configurar con el inicio de sesión único, puedes hacerlo si te pones en contacto con [email protected].

Una vez establecida la configuración correcta, cualquier miembro que inicie sesión en tus espacios de trabajo deberá utilizar el dominio verificado y autenticarse a través de tu proveedor de identidades. Los propietarios de espacios de trabajo con el plan Enterprise podrán evitar esta restricción y utilizar un método de inicio de sesión alternativo en caso de que se produzca un fallo del inicio de sesión único de SAML o del IdP.

Identificación de usuario exclusiva

Asignar un nombre o un número únicos para identificar y rastrear la identidad del usuario.

Notion tiene una API de SCIM que se puede utilizar para aprovisionar, gestionar y desaprovisionar miembros y grupos. Los propietarios de espacios de trabajo pueden obtener la clave de API requerida si acceden a Configuración -> Seguridad y SAML -> Configuración de SCIM y hacen clic para ver el token.

Consulta nuestra documentación sobre SCIM para obtener la información más reciente sobre cómo interactuar con la API de SCIM de Notion. Notion admite aplicaciones de SCIM oficiales con Google, Gusto, Okta, OneLogin y Rippling.

Procedimiento de acceso de emergencia

Establecer (e implementar según sea necesario) procedimientos para obtener la información médica electrónica protegida necesaria durante una emergencia.

La búsqueda de contenido proporciona a los propietarios de espacios de trabajo Enterprise visibilidad del contenido del espacio para mejorar su gestión y resolver problemas de acceso a las páginas. La búsqueda de contenido te permite:

• Ver quién tiene acceso a una página
• Modificar los permisos de una página
• Descubrir y reasignar páginas en desuso de antiguos empleados

Puedes exportar una página de Notion, una base de datos o un espacio de trabajo entero en cualquier momento.

Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace.

Cierre de sesión automático

Implementar procedimientos electrónicos que pongan fin a una sesión electrónica después de un tiempo predeterminado de inactividad.

Establece una duración de sesión personalizada: Para los usuarios gestionados en el plan Enterprise, Notion tiene una duración de sesión predeterminada de 180 días. Sin embargo, los propietarios de espacios de trabajo pueden personalizar la duración de su sesión desde 1 hora hasta 180 días.

Forzar cierre de sesión de usuarios gestionados: Fuerza el cierre de sesión para usuarios individuales o para todos los usuarios del espacio de trabajo a la vez.

Forzar restablecimiento de contraseña: Fuerza el restablecimiento de contraseña para usuarios individuales o para todos los usuarios del espacio de trabajo a la vez.

Si se deshabilita a un usuario a través de SCIM, será eliminado del espacio de trabajo y su sesión se cerrará.

Controles de auditoría

Implementar hardware, software o mecanismos procedimentales que registren y examinen la actividad en sistemas de información que contengan o utilicen información médica electrónica protegida.

Los propietarios de espacios de trabajo del plan Enterprise tienen acceso a un registro de auditoría en Configuración. Esto brinda una descripción general de una amplia gama de eventos que se han producido en el espacio de trabajo.

Esto puede resultar especialmente útil para identificar posibles problemas de seguridad, investigar comportamientos sospechosos y solucionar problemas de acceso. El registro de auditoría del espacio de trabajo se puede exportar en formato CSV.

Los clientes Enterprise también pueden utilizar nuestras integraciones de socios de prevención ante pérdida de datos (DLP, por sus siglas en inglés) para descubrir, clasificar y proteger datos confidenciales en Notion.

Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace.

Controles de integridad

Implementar políticas y procedimientos para evitar que la información médica protegida en formato electrónico sufra cualquier alteración o destrucción inadecuadas.

Implementar mecanismos electrónicos para corroborar que la información médica electrónica protegida no haya sido alterada o destruida de manera no autorizada.

Implementar medidas de seguridad para garantizar que la información médica protegida transmitida electrónicamente no se modifique incorrectamente de forma inadvertida hasta su eliminación.

Desactivar la opción de compartir páginas públicamente: Esto deshabilitará la opción Compartir en la web del menú Compartir en todas las páginas de este espacio de trabajo.

Desactivar invitados: Esto impide que se invite a personas ajenas al espacio de trabajo a cualquier página. No es necesario que utilices este control si deseas invitar a los invitados que necesites, pero ten en cuenta que Notion no puede utilizarse para comunicarse con pacientes, miembros del plan o sus familiares y empleadores. Si necesitas habilitar la presencia de invitados, te recomendamos activar las solicitudes de invitación. Esto implementa un proceso de aprobación para que puedas tener invitados en tu espacio de trabajo y, al mismo tiempo, garantizar el cumplimiento de la HIPAA.

Desactivar el desplazamiento o la duplicación de páginas a otros espacios de trabajo: Esto impide que cualquier persona mueva o duplique páginas a otros espacios de trabajo mediante la acción Mover a o Duplicar.

Desactivar la exportación: Esto impide que cualquier persona exporte como Markdown, CSV o PDF.

Desactivar la creación de espacios de trabajo: Esto impide que cualquier persona cree nuevos espacios de trabajo sin aprobación.

Inhabilitar o incluir en la lista extensiones de terceros: Esto impide que alguien añada extensiones de terceros no aprobadas a tu espacio de trabajo de Notion.

Inhabilitar el acceso al espacio de trabajo externo: Esto impide que los usuarios gestionados se unan o accedan al espacio de trabajo externo fuera de tu organización.

Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace.

Autenticación de personas o entidades

Implementar procedimientos para verificar que una persona o entidad que pretende acceder a información médica electrónica protegida es quien dice ser.

Deshabilitar los cambios de perfil: Esto evita que los usuarios gestionados cambien su propia información de perfil para evitar suplantaciones.

Gestión de dominios: El dominio se refiere al dominio de dirección de correo electrónico asociado a una cuenta de Notion. La verificación de dominios permite a los propietarios de un espacio de trabajo reclamar la propiedad de un dominio para poder configurar la gestión del mismo.

Desactivar invitados: Esto impide que se invite a personas ajenas al espacio de trabajo a cualquier página. No es necesario que utilices este control si deseas invitar a los invitados que necesites, pero ten en cuenta que Notion no puede utilizarse para comunicarse con pacientes, miembros del plan o sus familiares y empleadores. Si necesitas habilitar la presencia de invitados, le recomendamos activar las solicitudes de invitación. Esto implementa un proceso de aprobación para que puedas tener invitados en tu espacio de trabajo y, al mismo tiempo, garantizar el cumplimiento de la HIPAA.

Suspender o eliminar una cuenta de usuario gestionada: Suspende o elimina cuentas de usuario que gestiones desde el panel de gestión de usuarios.

Desactivar la eliminación de cuentas de usuarios gestionados: Impedir que los usuarios gestionados eliminen sus cuentas por sí mismos.

Retención y eliminación de datos

Implementar políticas y procedimientos para abordar la eliminación final de la IMP electrónica, así como el hardware o los medios de soporte electrónicos en los que se almacena.

Los ajustes personalizados de retención de datos permiten a los propietarios de espacios de trabajo en planes Enterprise tener el control sobre cuándo se eliminan de la Papelera las páginas de los usuarios y durante cuánto tiempo pueden retenerse después.

Guardamos copias de seguridad de nuestra base de datos, y eso nos permite restaurar una instantánea de tu contenido en los últimos 30 días en caso de que lo necesites.

Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace.

Seguridad de las transmisiones

Implementar medidas técnicas de seguridad para proteger frente al acceso no autorizado
a la información médica electrónica protegida que se transmite a través de una red de comunicaciones electrónicas.

Implementar un mecanismo para cifrar la información médica electrónica protegida cuando se considere apropiado.

Cifrado en reposo: Los datos del cliente se cifran en reposo mediante AES-256. Los datos del cliente se cifran cuando están en las redes internas de Notion, en reposo en el almacenamiento en la nube, las tablas de bases de datos y las copias de seguridad.

Cifrado en tránsito: Los datos enviados en tránsito se cifran mediante TLS 1.2 o superior.

Nota: Los propietarios de espacios de trabajo con el plan Enterprise podrán evitar esta restricción y utilizar un método de inicio de sesión alternativo en caso de que se produzca un fallo del inicio de sesión único de SAML o del IdP.

Activar el cumplimiento de la HIPAA

Para activar el cumplimiento de la HIPAA en tu espacio de trabajo:

  1. Ve a Configuración en tu barra lateral → Configuración del espacio de trabajoCumplimiento de la HIPAAActivar.

  2. Aparecerá una ventana en la que podrás leer el BAA completo firmado antes de seleccionar Aceptar.

  3. Al aceptar, verás una confirmación que indica que se ha activado el cumplimiento de la HIPAA. También recibirás un correo electrónico de confirmación en el que se indica que tu espacio de trabajo ha aceptado la BAA de HIPAA.

ca: activar el cumplimiento de la hipaa

Desactivar el cumplimiento de la HIPAA

Si quieres desactivar el cumplimiento de la HIPAA en tu espacio de trabajo:

  1. Ve a Configuración en tu barra lateral → Configuración del espacio de trabajoCumplimiento de la HIPAADesactivar.

  2. En la ventana que aparece, selecciona Desactivar.

  3. Al aceptar, verás una confirmación que indica que se ha desactivado el cumplimiento de la HIPAA. Esto significa que ya no puedes almacenar Información Sanitaria Protegida (PHI) en tu espacio de trabajo de Notion. También recibirás un correo electrónico de confirmación.

Preguntas frecuentes

¿Cuál es el coste de hacer posible el cumplimiento de la HIPAA?

El cumplimiento de la HIPAA está disponible de forma gratuita para todos los clientes de un plan Enterprise.

Los clientes deben aceptar el Acuerdo de socio comercial de Notion (BAA) y utilizar Notion de forma que cumpla con la HIPAA, el BAA y la Guía de configuración de productos HIPAA.

¿Cuáles son las limitaciones del producto en cuanto al cumplimiento de la HIPAA?

  • Notion no puede utilizarse para comunicarse con pacientes, miembros del plan o sus familiares o empleadores.

  • Los usuarios no pueden incluir Información médica personal (PHI) en ninguno de los siguientes campos o funcionalidades:

    • Nombres de espacio de trabajo u organización

    • Nombres de espacio de equipo

    • Nombres de archivo

    • Perfil de cuenta/usuario

    • Nombre de los grupos de usuarios

  • Las solicitudes de asistencia y los anexos a una solicitud de asistencia no deben incluir ninguna información médica personal.

  • Ni Notion Calendar ni sus funciones, ni los Servicios Beta están cubiertos por el BAA y, por lo tanto, no pueden utilizarse o desplegarse de forma que procesen información sanitaria protegida.

¿Seguirán disponibles las integraciones?

Sí, las aplicaciones habilitadas anteriormente lo seguirán estando. Los administradores deben revisar las integraciones existentes para asegurarse de que son conformes. Los administradores pueden optar por desactivar la adición de nuevas integraciones que no estén en la lista de integraciones permitidas.

¿Se te ha quedado alguna pregunta en el tintero? Contacta con Atención al cliente
Danos tu opinión

¿Te ha resultado útil este recurso?