Recentemente, atualizamos nossa marca em nossas ofertas e mudamos os nomes de nossos planos de preços. Se você se inscreveu antes de 9 de agosto de 2021, clique em Planos anteriores para ver os planos aplicáveis. Garantimos que essa alteração não afetará sua experiência com o produto e nenhuma ação é necessária de sua parte.
ÍNDICE
Compromisso da Freshworks com a conformidade HIPAA
Como um fornecedor de produtos com base em SaaS, Freshworks oferece vários produtos. Pode haver casos em que os clientes podem usar alguns de nossos produtos para processar informações eletrônicas de saúde pessoal (ePHI) no curso normal de suas operações comerciais. De acordo com a Lei de Responsabilidade e Portabilidade de Seguro Saúde (HIPAA) de 1996, se nossos clientes forem categorizados como Entidade Coberta ou Associado Comercial, a Freshworks pode estender o suporte à sua conformidade com a HIPAA executando mutuamente um Contrato de Associado Comercial (BAA).
O escopo do BAA é limitado aos produtos Freshdesk, Freshservice, Freshsales, Freshdesk Contact Center (anteriormente Freshcaller) e Freshdesk Messaging (anteriormente Freshchat) que são oferecidos pela Freshworks. O processamento de qualquer ePHI em qualquer um de nossos outros produtos não é recomendado e não será coberto pelo escopo de nosso BAA. Este documento estabelece o Secured Operating Environment (SOE) que é obrigatório para os Clientes (Entidade Coberta ou Parceiro Comercial) aderir ao usar o Freshdesk Messaging para processar ePHI. A validade do nosso BAA está sujeita ao cumprimento contínuo pelos Clientes das especificações mencionadas neste documento. Além disso, Freshworks não é responsável pelo uso do Cliente de sua caixa de correio personalizada e / ou quaisquer Apps (conforme definido no contrato do Cliente com a Freshworks). Encorajamos os clientes a configurá-los de forma independente para sua conformidade contínua com a HIPAA.
Ambiente Operacional Seguro
1. IP confiável: permite que endereços IP específicos imponham acesso à sua conta do Freshdesk Messaging apenas de fontes que são autorizadas por você. Saiba mais .
2. Acesso restrito: Configure controles de acesso com base em funções para garantir que o acesso aos seus agentes seja limitado com base em suas responsabilidades de trabalho. Saiba mais .
3. Identificação e autenticação: Habilite o SSO de SAML para que os usuários acessem sua conta do Freshdesk Messaging com seu sistema unificado de identificação e autenticação e também para validar o login de usuários no portal usando seu script. SAML é um mecanismo usado para comunicar identidades entre dois aplicativos da web. Ele permite o logon único baseado na web e, portanto, elimina a necessidade de manter várias credenciais para vários aplicativos e reduz o roubo de identidade.
4. Sanitização de dados: Além disso, os clientes podem truncar dados ePHI nas conversas do paciente usando o recurso de truncamento de dados no Freshdesk Messaging, que aceita padrões regex. Os clientes devem entrar em contato com a equipe de suporte ao produto (support@freshchat.com) com o padrão regex para habilitá-lo em nome do cliente. A responsabilidade pela correção dos padrões regex permanecerá com o cliente.
- Sanitização das propriedades do usuário: responsabilidade do cliente em higienizar antes de enviá-las ao Freshdesk Messaging
- Sanitização de mensagens de bate-papo: truncamento baseado em regex com suporte aplicado pelo Freshdesk Messaging.
5. Segurança de endpoint: certifique-se de que os sistemas de endpoint usados por seus agentes sejam reforçados e protegidos para proteger os dados de saúde que eles processam. Os sistemas devem ser identificados para agentes específicos, autenticados, configurados para serem bloqueados automaticamente em caso de ociosidade e protegidos contra malware.
6. Recursos e opções a serem configurados:
- Desativar o Enriquecimento FullContact - No modo de conformidade Hipaa, as informações do usuário não devem ser obtidas nas redes sociais usando Full contact. Portanto, um cliente compatível com HIPAA deve cancelar a opção de enriquecimento de usuário do FullContact por meio das Configurações GDPR (Admin> GDPR) em sua conta do Freshdesk Messaging.
- Configurações de GDPR a serem ativadas obrigatoriamente pelo cliente - Mais detalhes abaixo.
Os clientes do Freshdesk Messaging devem habilitar todas as três configurações de GDPR,
a.) Ativar desativação de análises,
b.) Ativar a opção de não salvar o endereço IP do usuário e
C.) Ativar a desativação do enriquecimento do usuário por meio da busca de dados de mídia social do Full-Contact.
- Co-Browsing - Os clientes não devem habilitar o recurso de Co-Browsing para serem compatíveis com HIPAA.
- CSAT - o cliente deve manter a opção “Solicitar feedback adicional após o usuário avaliar a interação” desabilitada. Ativá-lo terá o risco de os dados ePHI serem compartilhados na pesquisa CSAT, que não é protegida por sanitização / mascaramento de dados no Freshchat. Os clientes não devem ativar esta opção para aderir à conformidade HIPAA.
- Campanhas por e-mail - Se o cliente usar o recurso de campanhas por e-mail, ele precisa garantir que configurou um endereço de e-mail de 'resposta para' personalizado que não retorna para o Freshworks, mas para um endereço de e-mail gerenciado pelo cliente.
7. Integrações e aplicativos não habilitados:
Os clientes não devem ativar as seguintes integrações externas e aplicativos de mercado,
- Integração de negócios com WhatsApp
- Integração com Facebook
- Integração do Apple Business Chat
- Integração com Slack
- Integração Zendesk
- Integração Clearbit
- Integração Wordpress
- Integração com Shopify
- Quaisquer aplicativos de mercado ou integrações de API com sistemas de terceiros que enviam dados do usuário ou dados de conversas
- Quaisquer integrações de fornecedores externos de bots por meio de APIs ou aplicativos que enviam dados do usuário ou dados de conversas
8. Notificações para visitantes:
Como essas notificações passam por subprocessadores como o Google-Firebase, serviço de notificação da Apple, que não assinam um BAA, os clientes devem desativar o serviço de notificação push para visitantes usando as instruções abaixo para cumprir a HIPAA
eu. Desativando a notificação para visitantes na web:
O estado padrão é ativado e pode ser desativado pelos clientes usando o seguinte código de configuração durante a inicialização do widget.
Etapas para desativar as notificações do navegador
ii. Desativando a notificação para visitantes no celular (SDK para celular):
O estado padrão é desativado, a menos que explicitamente habilitado pelo cliente com chaves gerenciadas pelo cliente. Não ative isso para estar em conformidade com a HIPAA.
Para obter informações sobre as práticas de segurança da informação seguidas no Freshworks, consulte https://www.freshworks.com/security/
Se você tiver alguma dúvida, entre em contato com support@freshchat.com.