Configuración conforme a la HIPAA

Infórmate sobre cómo hacer que tu espacio de trabajo Notion cumpla la normativa HIPAA, y cómo activar el cumplimiento de la HIPAA🏥
Ir a la sección de preguntas frecuentesLa Ley de Transferencia y Responsabilidad de Seguros Médicos (Health Insurance Portability and Accountability Act, HIPAA por sus siglas en inglés) es una ley federal de EE. UU. promulgada en 1996 que exige la protección y la gestión confidencial de la información médica protegida (PHI) por parte de las entidades afectadas, tales como proveedores de asistencia sanitaria, planes de salud y cámaras de compensación de asistencia sanitaria, así como sus socios comerciales.
Este artículo proporciona a los usuarios las configuraciones de producto necesarias para que su espacio de trabajo en Notion cumpla la HIPAA.

Nota: El Acuerdo de socio comercial (BAA) de Notion rige la protección de la Información médica personal (PHI) que se almacena en el Servicio de Notion. Para poder firmar el BAA de Notion, debes suscribirte al plan Enterprise.
Ni Notion Calendar ni sus funciones, ni los Servicios Beta están cubiertos por el BAA y, por lo tanto, no pueden utilizarse o desplegarse de forma que procesen información sanitaria protegida.
En la medida en que el lenguaje de esta página y el lenguaje que se encuentra en el BAA entren en conflicto en cualquier momento, prevalecerá el BAA.
Configuraciones de Notion relacionadas | |
---|---|
Control de acceso Implementar políticas y procedimientos técnicos en los sistemas de información electrónicos que contengan información médica protegida en formato electrónico, para así permitir el acceso solo a aquellas personas o programas de software que gocen de los correspondientes derechos de acceso. | El inicio de sesión único de SAML de Notion se basa en el estándar SAML 2.0 y conecta tu proveedor de identidades (IdP) con tus espacios de trabajo para ofrecer una experiencia de inicio de sesión más sencilla y segura. Notion admite configuraciones oficiales para el inicio de sesión único de SAML con: Azure, Google, Gusto, Okta, OneLogin y Rippling. Para comenzar a utilizar el inicio de sesión único de SAML con Notion, deberás completar los siguientes pasos: Verificar los dominios: Para utilizar funciones de seguridad avanzadas, debes verificar la propiedad de tus dominios de correo electrónico. Se trata de un proceso automatizado que implica añadir un registro TXT al DNS del dominio para verificar que es de tu propiedad. Activar inicio de sesión único (SSO) de SAML: Esto activará la función y completará la configuración. Para obtener más información sobre cómo completar la configuración del inicio de sesión único de SAML, consulta este artículo. Cambiar el método de inicio de sesión predeterminado: Al activar el inicio de sesión único de SAML por primera vez, el método de inicio de sesión predeterminado es Enlazar espacios de trabajo adicionales: Si tienes más de un espacio de trabajo que quieras configurar con el inicio de sesión único, puedes hacerlo si te pones en contacto con [email protected]. Una vez establecida la configuración correcta, cualquier miembro que inicie sesión en tus espacios de trabajo deberá utilizar el dominio verificado y autenticarse a través de tu proveedor de identidades. Los propietarios de espacios de trabajo con el plan Enterprise podrán evitar esta restricción y utilizar un método de inicio de sesión alternativo en caso de que se produzca un fallo del inicio de sesión único de SAML o del IdP. |
Identificación de usuario exclusiva Asignar un nombre o un número únicos para identificar y rastrear la identidad del usuario. | Notion tiene una API de SCIM que se puede utilizar para aprovisionar, gestionar y desaprovisionar miembros y grupos. Los propietarios de espacios de trabajo pueden obtener la clave de API requerida si acceden a |
Procedimiento de acceso de emergencia Establecer (e implementar según sea necesario) procedimientos para obtener la información médica electrónica protegida necesaria durante una emergencia. | La búsqueda de contenido proporciona a los propietarios de espacios de trabajo Enterprise visibilidad del contenido del espacio para mejorar su gestión y resolver problemas de acceso a las páginas. La búsqueda de contenido te permite: Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace. |
Cierre de sesión automático Implementar procedimientos electrónicos que pongan fin a una sesión electrónica después de un tiempo predeterminado de inactividad. | Establece una duración de sesión personalizada: Para los usuarios gestionados en el plan Enterprise, Notion tiene una duración de sesión predeterminada de 180 días. Sin embargo, los propietarios de espacios de trabajo pueden personalizar la duración de su sesión desde 1 hora hasta 180 días. |
Controles de auditoría Implementar hardware, software o mecanismos procedimentales que registren y examinen la actividad en sistemas de información que contengan o utilicen información médica electrónica protegida. | Los propietarios de espacios de trabajo del plan Enterprise tienen acceso a un registro de auditoría en Esto puede resultar especialmente útil para identificar posibles problemas de seguridad, investigar comportamientos sospechosos y solucionar problemas de acceso. El registro de auditoría del espacio de trabajo se puede exportar en formato CSV. Los clientes Enterprise también pueden utilizar nuestras integraciones de socios de prevención ante pérdida de datos (DLP, por sus siglas en inglés) para descubrir, clasificar y proteger datos confidenciales en Notion. Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace. |
Controles de integridad Implementar políticas y procedimientos para evitar que la información médica protegida en formato electrónico sufra cualquier alteración o destrucción inadecuadas. | Desactivar la opción de compartir páginas públicamente: Esto deshabilitará la opción Compartir en la web del menú Compartir en todas las páginas de este espacio de trabajo. Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace. |
Autenticación de personas o entidades Implementar procedimientos para verificar que una persona o entidad que pretende acceder a información médica electrónica protegida es quien dice ser. | Deshabilitar los cambios de perfil: Esto evita que los usuarios gestionados cambien su propia información de perfil para evitar suplantaciones. |
Retención y eliminación de datos Implementar políticas y procedimientos para abordar la eliminación final de la IMP electrónica, así como el hardware o los medios de soporte electrónicos en los que se almacena. | Los ajustes personalizados de retención de datos permiten a los propietarios de espacios de trabajo en planes Enterprise tener el control sobre cuándo se eliminan de la Papelera las páginas de los usuarios y durante cuánto tiempo pueden retenerse después. Guardamos copias de seguridad de nuestra base de datos, y eso nos permite restaurar una instantánea de tu contenido en los últimos 30 días en caso de que lo necesites. Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace. |
Seguridad de las transmisiones Implementar medidas técnicas de seguridad para proteger frente al acceso no autorizado | Cifrado en reposo: Los datos del cliente se cifran en reposo mediante AES-256. Los datos del cliente se cifran cuando están en las redes internas de Notion, en reposo en el almacenamiento en la nube, las tablas de bases de datos y las copias de seguridad. |

Nota: Los propietarios de espacios de trabajo con el plan Enterprise podrán evitar esta restricción y utilizar un método de inicio de sesión alternativo en caso de que se produzca un fallo del inicio de sesión único de SAML o del IdP.
Para activar el cumplimiento de la HIPAA en tu espacio de trabajo:
Ve a
Configuración
en tu barra lateral →Configuración del espacio de trabajo
→Cumplimiento de la HIPAA
→Activar
.Aparecerá una ventana en la que podrás leer el BAA completo firmado antes de seleccionar
Aceptar
.Al aceptar, verás una confirmación que indica que se ha activado el cumplimiento de la HIPAA. También recibirás un correo electrónico de confirmación en el que se indica que tu espacio de trabajo ha aceptado la BAA de HIPAA.

Si quieres desactivar el cumplimiento de la HIPAA en tu espacio de trabajo:
Ve a
Configuración
en tu barra lateral →Configuración del espacio de trabajo
→Cumplimiento de la HIPAA
→Desactivar
.En la ventana que aparece, selecciona
Desactivar
.Al aceptar, verás una confirmación que indica que se ha desactivado el cumplimiento de la HIPAA. Esto significa que ya no puedes almacenar Información Sanitaria Protegida (PHI) en tu espacio de trabajo de Notion. También recibirás un correo electrónico de confirmación.
Preguntas frecuentes
¿Cuál es el coste de hacer posible el cumplimiento de la HIPAA?
¿Cuál es el coste de hacer posible el cumplimiento de la HIPAA?
El cumplimiento de la HIPAA está disponible de forma gratuita para todos los clientes de un plan Enterprise.
Los clientes deben aceptar el Acuerdo de socio comercial de Notion (BAA) y utilizar Notion de forma que cumpla con la HIPAA, el BAA y la Guía de configuración de productos HIPAA.
¿Cuáles son las limitaciones del producto en cuanto al cumplimiento de la HIPAA?
¿Cuáles son las limitaciones del producto en cuanto al cumplimiento de la HIPAA?
Notion no puede utilizarse para comunicarse con pacientes, miembros del plan o sus familiares o empleadores.
Los usuarios no pueden incluir Información médica personal (PHI) en ninguno de los siguientes campos o funcionalidades:
Nombres de espacio de trabajo u organización
Nombres de espacio de equipo
Nombres de archivo
Perfil de cuenta/usuario
Nombre de los grupos de usuarios
Las solicitudes de asistencia y los anexos a una solicitud de asistencia no deben incluir ninguna información médica personal.
Ni Notion Calendar ni sus funciones, ni los Servicios Beta están cubiertos por el BAA y, por lo tanto, no pueden utilizarse o desplegarse de forma que procesen información sanitaria protegida.
¿Seguirán disponibles las integraciones?
¿Seguirán disponibles las integraciones?
Sí, las aplicaciones habilitadas anteriormente lo seguirán estando. Los administradores deben revisar las integraciones existentes para asegurarse de que son conformes. Los administradores pueden optar por desactivar la adición de nuevas integraciones que no estén en la lista de integraciones permitidas.