Der Health Insurance Portability and Accountability Act (kurz HIPAA, einschließlich Privacy Rule, Security Rule, Breach Notification Rule und Health Information Technology for Economic and Clinical Health Act) verlangt von betroffenen Entitäten und Geschäftspartnern, bestimmte Maßnahmen zum Schutz von Gesundheitsinformationen zu ergreifen, anhand derer Personen identifiziert werden können. Dieses US-Gesetz bietet auch Einzelpersonen bestimmte Rechte. Von Zoho werden keine Gesundheitsinformationen für eigene Zwecke gesammelt, verwendet, gespeichert oder gepflegt, die durch den HIPAA geschützt sind. Zoho Mail bietet jedoch Funktionen, die Administratoren bei der Konfiguration und Verwendung von E-Mails im Einklang mit den Vorschriften des HIPAA unterstützen.
Der HIPAA verlangt von betroffenen Entitäten, dass sie mit ihren Geschäftspartnern eine Geschäftspartnervereinbarung (Business Associate Agreement, BAA) unterzeichnen. Sie können unsere BAA-Vorlage per E-Mail an legal@zohocorp.com anfordern.
Zoho Mail bietet die folgenden Funktionen und Steuerelemente, mit denen Administratoren einen HIPAA-konformen E-Mail-Dienst für ihr Unternehmen implementieren können.
Benutzerrollen und Berechtigungen
Zoho Mail bietet rollenbasierten Zugriff auf die Administrationsoberfläche. Die Rolle des Superadministrators kann nur einem Benutzer zugewiesen werden und nur der Superadministrator kann Mitgliedern eines Unternehmens die Administratorrolle zuweisen.
Administratoren verfügen über Berechtigungen u. a. zum Erstellen von Konten, Verwalten der Sicherheitsrichtlinien und Überwachen von Auditprotokollen. Benutzer sind nicht berechtigt, auf die Admin-Konsole zuzugreifen, und können die Administratorfunktionen weder anzeigen noch sie verwenden. Weitere Informationen zu Rollen und Berechtigungen erhalten Sie hier.
Sicherheitssteuerelemente
Zoho Mail bietet Administratoren einen starken Einfluss auf die Sicherheitsrichtlinien des Unternehmens. Administratoren können folgende Richtlinien durchsetzen und anpassen, um die Datenschutzanforderungen ihres jeweiligen Unternehmens zu erfüllen:
Verschlüsselung
E-Mails werden in verschlüsseltem Format auf den Zoho Mail-Servern gespeichert. Daten werden in Fragmente aufgeteilt und jedes Fragment wird dann weiter verschlüsselt, bevor es auf unseren Festplatten gespeichert wird. Die zur Verschlüsselung verwendeten Schlüssel werden mit höchster Sicherheit und Zuverlässigkeit verwaltet. Die Datenübertragung bei Verwendung von Zoho Mail per POP/IMAP/SMTP wird mit dem TLS-Protokoll (Transport Layer Security) verschlüsselt. Außerdem nutzen wir die neuesten sicheren Verschlüsselungsverfahren wie AES_CBC/AES_GCM 256-Bit-/128-Bit-Schlüssel für die E-Mail-Verschlüsselung. Alle Datentransfers im Web finden im sicheren Modus (HTTPS) statt. Diese stellen sicher, dass Ihre Zoho Mail-Daten vor unbefugtem Zugriff, Offenlegung und Änderung geschützt sind – innerhalb und außerhalb der Domain Ihres Unternehmens.
Die in Zoho Mail gespeicherten Servicedaten sind im Ruhezustand verschlüsselt (Encrypted at Rest, EAR). Alle Daten sind auch während der Übertragung verschlüsselt. Unsere hochsicheren physischen Kontrollen in Rechenzentren und die Verschlüsselung sorgen während der Übertragung dafür, dass Ihre Daten immer gut geschützt sind.
Zusätzlich zur Standardverschlüsselung können sich Administratoren für eine Ende-zu-Ende-Verschlüsselung über S/MIME entscheiden, die eine auf SSL-Zertifikaten basierende Verschlüsselung verwendet.
E-Mail-Löschung
Zoho Mail bietet in die Weboberfläche integriert Funktionen, mit denen Benutzer ihre Daten löschen können. Sie können Ihre E-Mail-Daten mit der Option "Löschen" entfernen. Wenn der Administrator jedoch die Aufbewahrung und eDiscovery für Benutzer aktiviert hat, wird eine Kopie der E-Mails basierend auf der vom Administrator definierten Aufbewahrungsfrist noch im eDiscovery-Portal verfügbar sein.
Wenn Administratoren über die Systemsteuerung Benutzerkonten löschen, wird die Löschung der mit dem Benutzer verknüpften Daten vorgemerkt und innerhalb von 30 Tagen nach der tatsächlichen Löschung des Benutzers ebenfalls gelöscht.
Auditpfade
Zoho Mail bietet umfangreiche Auditprotokolle zur Aufzeichnung der Aktivitäten in der Administrationsoberfläche. Die Auditprotokolle zu Administrationsaktivitäten sind für den Zeitraum von 1 Jahr verfügbar. Die E-Mail-Protokolle von Benutzern können auch über die Administrationsoberfläche von Zoho Mail überprüft werden. Die E-Mail-Protokolle sind für den Zeitraum von 90 Tagen verfügbar.
Außerdem können die Protokolle bei Bedarf vom Administrator über das Bedienfeld exportiert werden.
Datenaufbewahrung
Administratoren können eDiscovery (im Rahmen von Premium-Tarifen verfügbar) aktivieren, wodurch ein vollständiges Backup der E-Mails basierend auf den durch den Administrator ausgewählten Bedingungen erstellt wird. Dies kann von Unternehmen zu rechtlichen und Compliance-Zwecke aktiviert werden – gemäß den jeweiligen Anforderungen.
Mit eDiscovery können Administratoren eine Aufbewahrungsfrist für Daten festlegen, die auf der Grundlage der durch Administratoren festgelegten Bedingungen aufbewahrt werden.
eDiscovery ist nur in den Premium-Tarifen von Zoho Mail verfügbar. Die generischen Sicherungs- und Wiederherstellungsoptionen sind in allen Tarifen von Zoho Mail enthalten. Administratoren können gemäß ihren Anforderungen regelmäßig Backups der E-Mail-Daten erstellen und im lokalen Speicher ablegen. Sollten kritische E-Mail-Daten gelöscht werden, können diese durch den Administrator innerhalb von 30 Tagen nach dem Löschen wiederhergestellt werden.
Änderung der Nutzungsbedingungen
Zoho behält sich das Recht vor, diese Bedingungen zu ändern. Änderungen an den Bedingungen werden mit Ihrer Nutzung von Zoho Mail nach Veröffentlichung einer solchen Änderung wirksam.
Haftungsausschluss: Der hier dargestellte Inhalt darf nicht als Rechtsberatung ausgelegt werden. Dies ist ein Leitfaden dazu, wie Zoho Mail Unternehmen Kontrolle darüber bietet, HIPAA-konform zu sein. Wenden Sie sich an Ihren Rechtsberater, um zu erfahren, wie HIPPA anwendbar ist und sich auf Ihr Unternehmen und die damit verbundenen Prozesse auswirkt, um HIPAA-konform zu sein.