《健康保险流通与责任法案》(HIPAA) 中包括“隐私规则”、“安全规则”、“违规通知规则”以及《卫生信息技术促进经济和临床健康法案》,HIPAA 要求其涵盖的实体和业务伙伴必须采取特定措施来保护可识别个人身份的健康信息。它还规定了个人拥有的某些权利。Zoho 不会出于自身目的收集、使用、存储或维护受 HIPAA 保护的健康信息。但是,Zoho Mail 提供了一些功能,可帮助管理员在遵守 HIPAA 法规的前提下配置和使用电子邮件。
HIPAA 要求涵盖的实体必须与其业务伙伴签署“业务伙伴协议 (BAA)”。您可以发送电子邮件至 legal@zohocorp.com,以索取我们的 BAA 模板。
Zoho Mail 提供了以下功能和控制机制,帮助管理员为其组织实施符合 HIPAA 法规的电子邮件服务。
用户角色和权限
Zoho Mail 提供对管理面板的基于角色的访问权限。超级管理员角色只能分配给一个用户,而且只有超级管理员才能选择将管理员角色分配给组织成员。
管理员将拥有创建帐户、管理安全策略、监控审计日志等权限。用户将无权访问管理控制台,也无法查看或访问管理员功能。有关角色和权限的更多详情,请参阅此处。
安全控制
Zoho Mail 赋予管理员对组织安全策略的强大控制权。管理员可以强制实施和自定义以下策略以满足其组织的合规性要求:
加密
电子邮件以加密格式存储在 Zoho Mail 服务器上。数据首先会拆分为片段,片段经过进一步加密后存储在我们的磁盘上。用于加密的密钥则会得到安全可靠的保管。通过 POP/IMAP/SMTP 使用 Zoho Mail 时的数据传输通过传输层安全 (TLS) 协议进行加密。我们还使用新的安全加密机制,例如 AES_CBC/AES_GCM 256 位/128 位密钥进行电子邮件加密。这些措施可确保您的 Zoho Mail 数据免受未经授权的访问、披露或修改。Web 中的所有数据传输都在安全模式 (HTTPS) 下进行。
Zoho Mail 中存储的服务数据经过静态加密 (EAR)。所有数据在传输过程中也会进行加密。我们在数据中心采用高度安全的物理控制和传输级加密,可以可确保您的数据得到良好的保护。
除了默认加密外,管理员还可以通过 S/MIME 支持来选择使用端到端加密,该支持使用基于 SSL 证书的加密。
电子邮件删除
Zoho Mail 在 Web 界面中提供了相关功能,可帮助用户删除其数据。用户可以使用“删除”选项删除其电子邮件数据。但是,如果管理员为用户启用了保留和 eDiscovery 功能,eDiscovery 门户中将根据管理员定义的保留期限提供电子邮件副本。
当管理员从控制面板中删除用户帐户后,与该用户关联的数据也将被安排予以删除,并将在实际删除用户后 30 天内彻底删除。
审计跟踪记录
Zoho Mail 提供了大量审计日志,用于记录管理面板中的活动。管理员审计日志的保留期限为 1 年。从 Zoho Mail 管理面板中还可以查看用户电子邮件日志。用户电子邮件日志的保留期限为 90 天。
此外,管理员还可以根据需要从控制面板中导出用户电子邮件日志。
数据保留
管理员可以启用 eDiscovery(可通过高级版获取)。此功能将根据管理员选择的条件创建电子邮件的完整备份。组织可根据自身需要出于法律和合规目的启用数据保留。
通过使用 eDiscovery,管理员可以根据其设置的预设条件定义数据的保留期限。
eDiscovery 仅在 Zoho Mail 高级版中提供。普通的备份和恢复选项则在所有 Zoho Mail 版本中都有提供。管理员可以根据需要定期备份电子邮件数据,并将其存储在本地存储环境中。如果删除了任何关键电子邮件数据,管理员可以在删除后 30 天内恢复电子邮件。
使用条款变更
Zoho 保留变更条款的权利。如果条款变更发布后您继续使用 Zoho Mail,则视为变更后的使用条款生效。
免责声明:此处提供的内容不应理解为法律建议。这是关于 Zoho Mail 如何帮助组织遵守 HIPAA 法规的指南。请联系您的法律顾问,以了解 HIPAA 的适用性、它对您组织的影响以及遵守 HIPAA 所涉及的流程。