HIPAA 구성
Notion 워크스페이스에서 HIPAA 규정을 준수하는 방법과 HIPAA 규정 준수를 활성화하는 방법에 대해 알아보기 🏥
자주 묻는 질문(FAQ)으로 이동HIPPA(Health Insurance Portability and Accountability Act, 건강 보험 이전과 책임에 관한 법률)는 1996년 제정된 미국 연방법으로, 이 법이 적용되는 의료 서비스 제공자, 의료 보험사, 의료 정보 교환기관(healthcare clearinghouse)과 업무 관련자에게 PHI(Protected Health Information, 보호 대상 건강 정보)의 보호와 기밀 처리를 요구하는 법률입니다.
이 문서에서는 HIPAA를 준수할 수 있는 Notion 워크스페이스 구성 방법을 설명해 드립니다.
참고: Notion 서비스에 저장되는 PHI(Personal Health Information, 개인 건강 정보) 보호는 Notion의 BAA(Business Associate Agreement, 비즈니스 제휴 계약)의 적용을 받습니다.Notion과 BAA를 체결하기 위해서는 엔터프라이즈 요금제를 구독해야 합니다.
Notion 캘린더, 모든 Notion 캘린더 기능과 베타 서비스는 BAA의 적용을 받지 않으므로 보호 대상 건강 정보를 처리하는 방식으로 사용하거나 배포할 수 없습니다.
이 페이지의 언어와 BAA에 명시된 언어가 상충하는 경우 언제든지 BAA가 우선 적용됩니다.
Notion이 지원하는 구성 | |
---|---|
액세스 제어 전자 형식으로 보호되는 건강 정보를 담고 있는 전자 정보 시스템에 대해서는 기술적 정책과 절차를 적용해야 합니다. 액세스 제어의 목적은 액세스 권한이 부여된 사용자 또는 소프트웨어 프로그램의 액세스만 허용하는 것입니다. | Notion의 SAML SSO(통합로그인)는 SAML 2.0 표준을 기반으로 구축되어 ID 공급자(IDP)와 워크스페이스를 연결하고 보다 쉽고 안전한 로그인 환경을 제공합니다. Notion은 Azure, Google, Gusto, Okta, OneLogin, Rippling을 통한 SAML SSO 공식 구성을 지원합니다. Notion에서 SAML SSO 사용을 시작하려면 다음 단계를 완료해야 합니다. 도메인 인증: 고급 보안 기능을 사용하려면 이메일 도메인의 소유권을 인증해야 합니다.이는 TXT 레코드를 도메인의 DNS에 추가하여 소유권을 인증하는 자동화된 프로세스입니다. SAML SSO (통합로그인) 활성화: 토글을 통해 활성화하면 구성이 완료되고 기능이 적용됩니다.SAML SSO(통합로그인) 구성에 대한 자세한 내용은 이 문서를 참고하세요. 기본 로그인 방법 변경: 최초로 SAML SSO(통합로그인)가 활성화되면, 기본 로그인 방법이 추가 워크스페이스 연결: SSO를 구성하려는 워크스페이스가 두 개 이상 있는 경우 [email protected]으로 문의하세요. 구성이 완료되고 나면 워크스페이스에 로그인하는 모든 멤버는 인증 도메인을 사용해야 하며 IDP를 통해 인증되어야 합니다. 엔터프라이즈 워크스페이스 소유자는 IDP/SAML SSO 오류가 발생할 경우 대체 로그인 방식으로 우회하여 접속할 수 있습니다. |
고유 사용자 식별 사용자 신원을 식별하고 트래킹하기 위한 고유 이름 또는 번호를 할당해야 합니다. | Notion에는 멤버와 그룹을 프로비저닝하고, 관리하고, 프로비저닝을 다시 해제하는 데 사용할 수 있는 SCIM API가 있습니다. 워크스페이스 소유자는 |
긴급 액세스 절차 긴급 상황 시 필요한 전자 형식의 보호 대상 정보를 얻는 절차를 수립하고 필요에 맞게 구현해야 합니다. | 콘텐츠 검색 기능은 엔터프라이즈 워크스페이스 소유자에게 워크스페이스 콘텐츠에 대한 가시성을 제공하여 워크스페이스 관리를 용이하게 하고 페이지 액세스 문제를 해결할 수 있도록 합니다. 콘텐츠 검색 기능을 통해 |
자동 로그아웃 일정 시간 동안 활동이 없으면 전자 세션을 종료하는 전자적 절차를 구현해야 합니다. | 세션 기간 직접 설정: 엔터프라이즈 요금제를 사용하는 관리 대상 사용자의 경우 Notion의 기본 세션 기간은 180일입니다. 하지만 워크스페이스 소유자는 1시간에서 180일까지 세션 기간을 직접 지정할 수 있습니다.관리 대상 사용자 강제 로그아웃: 개별 사용자 또는 모든 워크스페이스 사용자를 한 번에 강제로 로그아웃시킬 수 있습니다. |
감사 통제 정보 시스템을 통해 전자 형식의 보호 대상 건강 정보를 포함하거나 사용하는 활동을 기록하고 검사하는 하드웨어, 소프트웨어 또는 절차상의 메커니즘을 구현해야 합니다. | 엔터프라이즈 워크스페이스 소유자는 감사 로그를 사용하면 잠재적인 보안 이슈를 감지하고, 의심스러운 활동을 찾아내고, 사용 권한 관련 문제를 해결할 수 있습니다. 워크스페이스 감사 로그는 CSV 형식으로 내보내기할 수 있습니다. 또한, 엔터프라이즈 고객은 데이터 손실 방지(DLP) 파트너 API 통합을 활용하여 Notion에서 민감한 데이터를 검색, 분류, 보호할 수 있습니다. |
무결성 통제 전자 형식의 보호 대상 건강 정보가 부적절하게 변경 또는 파기되지 않도록 보호하는 정책과 절차를 구현해야 합니다. | 공개 페이지 공유 비활성화: 워크스페이스의 모든 페이지에 있는 공유 메뉴에서 웹에서 공유 옵션이 비활성화됩니다. |
사용자 또는 엔티티 인증 전자 형식의 보호 대상 건강 정보에 액세스하려는 사용자 또는 엔티티가 해당 정보를 요청한 당사자인지 확인하는 절차를 구현해야 합니다. | 프로필 변경 비활성화: 사칭을 예방하기 위해 관리 대상 사용자가 자신의 프로필 정보를 변경할 수 없도록 설정합니다. |
데이터 보존과 폐기 전자 형식의 PHI와 PHI가 저장된 하드웨어 또는 전자적 미디어의 최종 폐기에 관한 정책과 절차를 구현해야 합니다. | 사용자 지정 데이터 보존 설정을 사용하면 엔터프라이즈 워크스페이스 소유자가 사용자의 페이지가 휴지통에서 삭제되는 시점과 영구 삭제 이후 보존 기간을 설정할 수 있습니다. Notion에서는 데이터베이스를 백업해 두기 때문에, 필요한 경우 지난 30일 내의 스냅샷을 언제든지 복원할 수 있습니다. |
전송 보안 전자적 커뮤니케이션 네트워크를 통해 전송되는 | 미사용 데이터 암호화: 고객 데이터는 AES-256을 사용하여 미사용 시 암호화됩니다. 고객 데이터는 Notion의 내부 네트워크, 클라우드 스토리지, 데이터베이스 테이블 및 백업 저장 시 암호화됩니다. |
참고: 엔터프라이즈 워크스페이스 소유자는 IDP/SAML SSO 오류가 발생할 경우 대체 로그인 방식으로 우회하여 접속할 수 있습니다.
워크스페이스에서 HIPAA 규정 준수를 활성화하려면 다음을 수행하세요.
사이드바의
설정
→워크스페이스 설정
→HIPAA 규정 준수
→활성화
로 이동하세요.수락
을 선택하기 전에 서명된 BAA 전문을 읽을 수 있는 창이 나타납니다.수락하면 HIPAA 규정 준수가 활성화되었다는 확인 메시지가 표시됩니다. 또한 워크스페이스가 HIPAA BAA를 수락했다는 확인 이메일도 받게 됩니다.
워크스페이스에 대한 HIPAA 규정 준수를 끄려면 다음을 수행하세요.
사이드바의
설정
→워크스페이스 설정
→HIPAA 규정 준수
→비활성화
로 이동하세요.나타나는 창에서
비활성화
를 선택하세요.선택하면 HIPAA 규정 준수가 비활성화되었다는 확인 메시지가 표시됩니다. 이는 더 이상 Notion 워크스페이스에 보호 대상 건강 정보(PHI)를 저장할 수 없음을 의미합니다. 이에 대한 확인 이메일도 보내드립니다.
자주 묻는 질문(FAQ)
HIPAA 규정 준수를 활성화하는 데 드는 비용은 얼마인가요?
HIPAA 규정 준수를 활성화하는 데 드는 비용은 얼마인가요?
HIPAA 규정 준수는 엔터프라이즈 요금제를 사용하는 고객에게 무료로 제공됩니다.
고객은 Notion의 BAA(Business Associate Agreement, 비즈니스 제휴 계약)에 동의하고 HIPAA, BAA, HIPAA 프로덕트 구성 가이드를 준수하는 방식으로 Notion을 활용해야 합니다.
HIPAA 규정 준수를 활성화하는 데 따른 제한 사항은 무엇인가요?
HIPAA 규정 준수를 활성화하는 데 따른 제한 사항은 무엇인가요?
Notion은 환자, 플랜 가입자, 가족 또는 고용주와 의사소통하는 데 사용할 수 없습니다.
사용자는 다음 필드 또는 기능에 PHI를 포함할 수 없습니다 .
워크스페이스 또는 조직 이름
팀스페이스 이름
파일 이름
계정/사용자 프로필
사용자 그룹 이름
지원 요청 및 지원 요청에 첨부된 파일에는 PHI가 포함되어서는 안 됩니다.
Notion 캘린더, 모든 Notion 캘린더 기능과 베타 서비스는 BAA의 적용을 받지 않으므로 보호 대상 건강 정보를 처리하는 방식으로 사용하거나 배포할 수 없습니다.
API 통합 기능을 계속 사용할 수 있나요?
API 통합 기능을 계속 사용할 수 있나요?
예, 이전에 활성화한 앱은 계속 활성화된 상태로 유지됩니다. 관리자는 기존에 사용 중인 통합이 규정을 준수하는지 검토해야 합니다. 관리자는 허용 목록에 없는 새 통합의 추가를 비활성화하도록 선택할 수 있습니다.