Salesforce 现已成为 HITRUST 共同责任和继承计划的一部分
在当今的数字环境中,消费者和企业都在不断创造和利用大量的个人数据——从健身追踪器和远程医疗到在线金融和教育。为保护这些数据,全球各国/地区政府都在制定监管要求,这些要求虽然对保护数据隐私至关重要,但代价高昂,过程耗时的挑战可能随之而来,同时各企业也都在争相追赶最新的数字发展趋势。
正是因此,我们怀着喜悦的心情宣布,Salesforce 现已成为 HITRUST 共同责任和继承计划的一部分。
HITRUST 和保护客户数据的共同责任
在 Salesforce,没有什么比与我们的客户以及 Salesforce 生态系统中的每个人建立和保持信任关系更重要的了。我们通过透明、安全、隐私及合规来获得信任,并致力于在客户的合规过程中为他们提供支持。
HITRUST 组织制定了 HITRUST 共同安全框架 (CSF),作为将多个管理/合规框架(如 HIPAA、ISO 27001、SOC 2 和 NIST 网络安全框架)巩固为一个单一框架的一种方式。HITRUST 的评估人员会对客户的系统和环境进行审核,并对其成熟度水平进行评估。虽然 HITRUST 最初专注于医疗行业,但 CSF 通过吸纳更多来自生命科学、金融、保险、技术和酒店行业的公司实现了扩展。
Salesforce 客户可通过 HITRUST 共同责任和继承计划完成自身 HITRUST 评估,以便依赖于内部共享 IT 服务和第三方或下游组织提供的共享信息保护管理方法。
简单地说,客户可以通过这个计划采用 Salesforce 使用的内部管理方法,并将这些方法纳入到自身的审计和评估中,而不需要单独审核 Salesforce 的审计报告。这样,评估人员就可以理解 Salesforce 已满足管理方法的测试要求,而且这是 Salesforce HITRUST 评估人员的评估结果,从而可以依赖 Salesforce 对这些管理方法的验证。
当客户在 Salesforce 平台上构建应用程序或将 Salesforce 作为业务流程的一部分进行使用时,他们可以对继承加以利用。继承将帮助 Salesforce 客户减少与外部 HITRUST 评估相关的时间和成本,因为审计人员可以使用 Salesforce 已经经过验证过的管理方法,并通过 MyCSF 门户将这些方法纳入到他们的评估中。
HITRUST 继承是如何工作的?
- 在 HITRUST MyCSF 工具中创建继承请求
- 将请求提交至 Salesforce。
- Salesforce 将根据 Salesforce HITRUST 共同责任矩阵批准或拒绝继承请求。
- 最后,可以将所有已批准的继承请求导入评估,以供评估人员审阅。
如果没有继承,客户将需要使用 Salesforce 的公开合规报告,如我们的 SOC2 type 2,并将这些管理方法添加到审计报告中。根据参与相关工作的评估人员的不同,他们可能不会批准这些管理方法,因为他们还没有对这些方法进行具体的测试。
最终,HITRUST 共同责任和继承计划可以节省时间、精力和成本,同时帮助客户更好地管理网络风险并保护数据隐私。查看 HITRUST 计划相关资源或联系您的 Salesforce 客户主管,以获取更多信息。