Configuración de HIPAA

Configuración de HIPAA
En este artículo

Más información sobre cómo hacer que tu espacio de trabajo de Notion cumpla con la HIPAA y cómo habilitar el cumplimiento de la HIPAA 🏥

Ir a las preguntas frecuentes

La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA) es una ley federal de EE. UU. que se promulgó en 1996. Esta ley exige la protección y la gestión confidencial de la información médica protegida (PHI) por parte de las entidades amparadas, como proveedores de atención médica, planes de salud y centro de intercambio de información sobre servicios médicos, así como sus socios comerciales.

En este artículo, se brinda a los usuarios distintas opciones de configuración del producto necesarias para que su espacio de trabajo de Notion cumpla con la HIPAA.

Nota: El Acuerdo de socio comercial (BAA) de Notion rige la protección de la Información médica personal (PHI) que se almacena en el servicio de Notion. Para poder firmar el BAA de Notion, debes suscribirte al plan Enterprise.

Notion Calendar, las funciones de Notion Calendar y las funciones beta no están cubiertas por el BAA y, por lo tanto, su uso o empleo no debe conllevar el tratamiento de datos médicos protegidos.

Siempre que el texto de esta página y el texto que se encuentra en el BAA entren en conflicto, prevalecerá el texto en el BAA.

Configuración de Notion para cumplir con la HIPAA

Requisitos de protección técnica de la HIPAA

Configuración para la compatibilidad con Notion

Control del acceso

Adopta políticas y procedimientos técnicos para los sistemas de información electrónica que recopilan información médica electrónica protegida; de esta manera, solo podrán acceder las personas o programas de software que cuenten con derechos de acceso.

El inicio de sesión único de SAML de Notion utiliza el estándar SAML 2.0. De esta forma, conecta un proveedor de identidad (IdP) y tus espacios de trabajo para que el proceso de inicio de sesión sea más fácil y seguro. Notion es compatible con configuraciones oficiales de inicio de sesión único de SAML con Azure, Google, Gusto, Okta, OneLogin y Rippling.

Para comenzar a utilizar el inicio de sesión único de SAML con Notion, deberás completar los siguientes pasos:

Verificar dominio(s):para utilizar funciones de seguridad avanzadas, debes verificar la propiedad de tu dominio de correo electrónico. Se trata de un proceso automatizado que consiste en agregar un registro TXT en el registro DNS de tu dominio para verificar que sea tuyo.

Habilitar inicio de sesión único (SSO) de SAML:esta acción activará la función y completará la configuración. Para obtener más información sobre el inicio de sesión único de SAML, consulta este artículo.

Cambiar el método de inicio de sesión predeterminado:al activar el inicio de sesión único de SAML por primera vez, el método de inicio de sesión predeterminado se establecerá en Cualquier método, lo que significa que los usuarios tendrán la opción de iniciar sesión a través de SAML o de su método de inicio de sesión habitual. Al establecer la configuración en Solo el inicio de sesión único de SAML, se aplica SAML como el método de inicio de sesión para tu espacio de trabajo a los usuarios administrados con correos electrónicos verificados de la empresa.

Vincular espacios de trabajo adicionales:si tienes más de un espacio de trabajo que quieras configurar con el inicio de sesión único, envía un correo electrónico a [email protected].

Después de completar la configuración como corresponde, todos los miembros que inicien sesión en tus espacios de trabajo deberán usar el dominio verificado y autenticarse a través de tu proveedor de identidad. Los propietarios de espacios de trabajo del plan Enterprise pueden omitir este paso y usar un método de inicio de sesión alternativo en caso de que haya un error con el inicio de sesión único de SAML/IdP.

Identificación de usuario única

Asigna un nombre o número únicos para identificar y hacer un seguimiento de la identidad del usuario.

Notion tiene una API de SCIM que se puede usar para aprovisionar, administrar y desaprovisionar tanto miembros como grupos. Los propietarios de espacios de trabajo pueden encontrar la clave API requerida yendo a ConfiguraciónSeguridad e identidadConfiguración de SCIM y haciendo clic para ver el token.

Consulta nuestra documentación de SCIM para obtener la información más reciente sobre cómo interactuar con la API SCIM de Notion. Notion es compatible con aplicaciones de SCIM oficiales con Google, Gusto, Okta, OneLogin y Rippling.

Procedimiento de acceso de emergencia

Establece (y, cuando corresponda, implementa) procedimientos para obtener la información médica electrónica protegida necesaria durante una emergencia.

La búsqueda de contenido les otorga visibilidad del contenido de los espacios de trabajo a los propietarios de espacios de trabajo del plan Enterprise para mejorar su gestión y resolver problemas con el acceso a las páginas. La búsqueda de contenido te permite:

• Ver quién tiene acceso a una página
• Modificar los permisos de una página
• Identificar y reasignar páginas en desuso de antiguos empleados

Puedes exportar una página, base de datos o incluso todo el espacio de trabajo de Notion en cualquier momento.

Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace.

Cierre de sesión automático

Implementa procedimientos electrónicos que finalizan una sesión después de un tiempo de inactividad predeterminado.

Establecer una duración de sesión personalizada: para usuarios administrados en el plan Enterprise, Notion establece una duración de sesión predeterminada de 180 días. Sin embargo, los propietarios de espacios de trabajo pueden personalizar la duración de la sesión en un rango de 1 hora a 180 días.

Forzar el cierre de sesión de usuarios administrados: es posible forzar el cierre de sesión para usuarios individuales o para todos los usuarios del espacio de trabajo de forma simultánea.

Forzar el restablecimiento de contraseña: permite restablecer la contraseña de forma obligatoria para usuarios individuales o para todos los usuarios del espacio de trabajo al mismo tiempo.

Si se desaprovisiona a un usuario a través de SCIM, se eliminará del espacio de trabajo y se cerrará su sesión de forma inmediata.

Controles de auditoría

Implementa mecanismos de hardware, software o procedimentales que registren y examinen la actividad en sistemas de información que contengan o usen información médica electrónica protegida.

Los propietarios de espacios de trabajo del plan Enterprise pueden acceder a un registro de auditoría desde Configuración. Este registro te brinda una descripción general de una amplio abanico de eventos que sucedieron en el espacio de trabajo.

Esto puede ser muy útil para identificar posibles problemas de seguridad, investigar comportamientos sospechosos y solucionar inconvenientes de acceso. El registro de auditoría del espacio de trabajo se puede exportar en formato CSV.

Los clientes empresariales también pueden utilizar nuestras integraciones de socios de prevención contra la pérdida de datos (DLP) para descubrir, clasificar y proteger datos confidenciales en Notion.

Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace.

Controles de integridad

Implementa políticas y procedimientos para proteger la información de salud protegida en formato electrónico contra alteraciones o destrucciones indebidas.

Implementa mecanismos electrónicos para corroborar que la información de salud protegida en formato electrónico no se haya alterado o destruido sin autorización.

Implementa medidas de seguridad para garantizar que la información de salud protegida transmitida en formato electrónico no se modifique de forma indebida sin ser detectada hasta su eliminación.

Desactivar el uso compartido público de páginas: esta acción desactiva la opción Compartir en la Web en el menú Compartir para todas las páginas del espacio de trabajo.

Desactivar invitados: esta ación impide que cualquier usuario invite a personas fuera del espacio de trabajo a acceder a cualquier página. No necesitas usar este control si deseas enviar una invitación según sea necesario, pero ten en cuenta que Notion no puede usarse para comunicarse con pacientes, miembros del plan o sus familias y empleadores. Si necesitas habilitar a los huéspedes, te recomendamos activar las solicitudes de invitados. Esta acción implementa un proceso de aprobación para que puedas tener invitados en tu espacio de trabajo garantizando el cumplimiento de HIPAA.

Desactivar la función de mover o duplicar páginas a otros espacios de trabajo: impide que los usuarios muevan o dupliquen páginas a otros espacios de trabajo mediante las acciones "Mover a" o "Duplicar".

Desactivar la exportación: evita que los usuario exporten contenido en formatos como Markdown, CSV o PDF.

Desactivar la creación de nuevos espacios de trabajo: garantiza que no se puedan crear nuevos espacios de trabajo sin aprobación previa.

Desactivar o permitir solo extensiones de terceros aprobadas: impide que los usuarios agreguen extensiones de terceros no autorizadas a tu espacio de trabajo en Notion.

Desactivar el acceso a espacios de trabajo externos: impide que los usuarios administrados se unan o accedan a espacios de trabajo fuera de tu organización.

Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace.

Autenticación de personas o entidades

Implementa procedimientos para verificar que una persona o entidad que pretende acceder a información médica electrónica protegida sea quien dice ser.

Desactivar cambios de perfil: esta acción evita que los usuarios administrados cambien su propia información de perfil para evitar suplantaciones.

Gestión de dominio: se entiende por dominio el de la dirección de correo electrónico asociada a una cuenta de Notion. La verificación de dominios permite a los propietarios de un espacio de trabajo reclamar la propiedad de un dominio para poder configurar su gestión.

Desactivar invitados: esta acción impide que cualquier usuario invite a personas externas al espacio de trabajo a cualquier página. No necesitas usar este control si deseas enviar una invitación según sea necesario, pero ten en cuenta que Notion no puede usarse para comunicarse con pacientes, miembros del plan o sus familias y empleadores. Si necesitas habilitar a los huéspedes, te recomendamos activar las solicitudes de invitados. Esta acción implementa un proceso de aprobación para que puedas tener invitados en tu espacio de trabajo y, al mismo tiempo, garantizar el cumplimiento de la HIPPA

Suspender o eliminar una cuenta de usuario administrado: permite suspender o eliminar cuentas de usuario administrados desde el panel de administración.

Desactivar la eliminación de cuentas de usuarios administrados: evita que los usuarios administrados eliminen sus cuentas por sí mismos.

Retención y eliminación de datos

Implementa políticas y procedimientos para abordar la eliminación definitiva de la PHI electrónica, así como el hardware o los medios de soporte electrónicos en los que se almacena.

La posibilidad de configurar la retención de datos permite a los propietarios de espacios de trabajo del plan Enterprise determinar cuándo se eliminan las páginas de los usuarios de la Papelera y cuánto tiempo más se pueden conservarlas después.

Guardamos copias de seguridad de nuestra base de datos, lo que nos permite restaurar tu contenido de los últimos 30 días en caso de que lo necesites.

Para Notion Mail, habilita el cumplimiento de la ley HIPAA con Google Workspace.

Seguridad de las transmisiones

Implementar medidas técnicas de seguridad frente al
acceso no autorizado a la información médica electrónica protegida que se transmite a través de una red de comunicaciones electrónicas.

Implementar un mecanismo para cifrar la información médica electrónica protegida cuando se considere apropiado.

Cifrado en reposo: los datos de los clientes se cifran en reposo mediante el algoritmo AES-256. Los datos de los clientes se cifran mientras se encuentran en las redes internas de Notion, en reposo en el almacenamiento en la nube, en tablas de bases de datos y en copias de seguridad.

Cifrado en tránsito: los datos en tránsito se cifran mediante el algoritmo TLS 1.2 o superior.

Nota: Los propietarios de espacios de trabajo del plan Enterprise pueden omitir este paso y usar un método de inicio de sesión alternativo en caso de que haya un error con el inicio de sesión único de SAML/IdP.

Habilitar cumplimiento de la HIPAA

Para habilitar el cumplimiento de la HIPA para tu espacio de trabajo:

  1. Ve a Configuración en la barra lateral → Configuración del espacio de trabajoCumplimiento de la HIPAA Activar.

  2. Aparecerá una ventana donde podrás leer el BAA completo firmado antes de seleccionar Aceptar.

  3. Después de aceptar, verás la confirmación de que se habilitó el cumplimiento de la HIPAA. También te llegará un correo electrónico confirmando que el espacio de trabajo aceptó el BAA de la HIPAA.

ca: habilitar cumplimiento de la hipaa

Desactivar el cumplimiento de la HIPAA

Si quieres desactivar el cumplimiento de la HIPAA para tu espacio de trabajo:

  1. Ve a Configuración en la barra lateral → Configuración del espacio de trabajoCumplimiento de la HIPAA Desactivar.

  2. Selecciona Desactivar en la ventana que aparece.

  3. Después de aceptar, verás la confirmación de que se deshabilitó el cumplimiento de la HIPAA. Esto significa que ya no puedes almacenar información de salud protegida (PHI) en tu espacio de trabajo de Notion. También en este caso, te llegará un correo electrónico de confirmación.

Preguntas frecuentes

¿Cuál es el costo de habilitar el cumplimiento de la HIPAA?

El cumplimiento de la HIPAA está disponible de forma gratuita para todos los clientes con el plan Enterprise.

Los clientes deben aceptar el Acuerdo de socio comercial de Notion y usar la plataforma en concordancia con la ley HIPAA, el BAA y la Guía de configuración de productos de la ley HIPAA.

¿Cuáles son las limitaciones del producto para habilitar el cumplimiento de la HIPAA?

  • Notion no se puede usar para comunicarse con pacientes, miembros del plan o sus familias o empleadores.

  • Los usuarios no pueden incluir PHI en ninguno de los siguientes campos o funcionalidades:

    • Nombres de espacios de trabajo u organizaciones

    • Nombre del espacio de equipo

    • Nombres de archivo

    • Cuenta/perfil del usuario

    • Nombre de los grupos de usuarios

  • Las solicitudes de soporte y los archivos adjuntos a una solicitud de asistencia no deben incluir ninguna PHI.

  • Notion Calendar, las funciones de Notion Calendar y las funciones beta no están cubiertas por el BAA y, por lo tanto, su uso o empleo no debe conllevar el tratamiento de datos médicos protegidos.

¿Las integraciones seguirán estando disponibles?

Sí, las apps anteriormente habilitadas permanecerán habilitadas. Los administradores deben revisar las integraciones existentes utilizadas para garantizar que cumplan con las normas. Los administradores pueden optar por deshabilitar la adición de nuevas integraciones que no están permitidas.

¿Todavía tienes preguntas? Contacta al equipo de soporte
Cuéntanos tu opinión

¿Te resultó útil este recurso?