La conformité HIPAA nécessite un modèle de responsabilité partagée. Alors que Vimeo contribue à faire respecter les exigences HIPAA pour les clients couverts, nos clients sont tenus d'utiliser nos services et de les configurer conformément aux exigences HIPAA. Consultez les exigences de configuration HIPAA pour Vimeo Enterprise.
Vimeo Enterprise offre plusieurs fonctionnalités dont nos clients devraient profiter lorsqu'ils utilisent notre service dans le cadre de la loi HIPAA :
Authentification: Vimeo prend en charge l'authentification unique (SSO) et l'authentification à deux facteurs (2FA) pour gérer l'accès et l'autorisation des utilisateurs de Vimeo. Veuillez consulter les guides de Vimeo pour configurer l'accès et la sécurité, tels que le guide SSO de Vimeo et l'authentification à deux facteurs.
Autorisation
- Gestion approfondie des utilisateurs: Vimeo vous permet de définir des bibliothèques par défaut pour qu'un nouvel utilisateur les rejoigne automatiquement. Pour plus d'informations, consultez nos articles sur les autorisations de rôle de dossier, la bibliothèque d'équipe d'entreprise et les autorisations de groupe SSO pour les équipes d'entreprise.
- Paramètres de confidentialité des vidéos: Vimeo propose différents paramètres de confidentialité que vous pouvez configurer en fonction du contenu de chaque vidéo. Pour une compréhension approfondie des paramètres de confidentialité des vidéos de Vimeo, veuillez consulter la Présentation des paramètres de confidentialité des vidéos et l'article pour obtenir des instructions étape par étape sur la façon de modifier les paramètres.
Protection des données
-
Cryptage des données: tous les points de terminaison de l'application Vimeo sont cryptés et authentifiés avant l'échange ou la dérivation des clés de session. Les clés publiques doivent être authentifiées avant utilisation. Tous les serveurs et applications externes doivent utiliser au moins TLS 1.2 lorsque cela est possible.
- Données en transit: toutes les vidéos et autres données transmises à Vimeo par les utilisateurs sont cryptées pendant le transit à l'aide de protocoles de cryptage puissants. Vimeo prend en charge les canaux sécurisés pour crypter tout le trafic en transit équivalent aux protocoles TLS 1.2 et/ou au cryptage AES 256.
- Données au repos: toutes les données, à l'exception des données vidéo, dans la base de données de production de Vimeo sont cryptées au repos. Les données vidéo sont cryptées lorsque cela est technologiquement possible. Toutes les clés de cryptage sont stockées sur un serveur sécurisé avec un accès très limité. Vimeo a mis en place des mesures de protection pour protéger toutes les données des utilisateurs de Vimeo, de leur création à leur suppression.
- Conservation des données: l'outil de conservation des données d'entreprise de Vimeo permet aux clients de personnaliser les politiques de conservation des vidéos en fonction de leurs besoins et de leurs obligations HIPAA. Sauf suppression préalable par un membre de votre compte, Vimeo conservera vos données vidéo pendant quatre-vingt-dix (90) jours après la suppression de votre compte Vimeo. Vous êtes responsable du téléchargement d’une copie de toutes les données que vous souhaitez conserver avant l’expiration ou la résiliation de votre contrat d’entreprise. Pour obtenir de l'aide pour obtenir des copies, veuillez contacter le support. Si vous rétrogradez votre compte Enterprise vers un compte gratuit ou en libre-service, vous devez immédiatement supprimer tout contenu susceptible de soumettre Vimeo à la conformité avec la loi HIPAA.
- Disponibilité des données: Vimeo a mis en place des contrôles pour réagir rapidement et efficacement en cas d'incident entraînant une compromission des services Vimeo. Ces contrôles ont été codifiés par les politiques et procédures de sécurité de Vimeo. Ils fournissent des équipes d’intervention et des procédures spécifiques au système pour chaque type d’incident. Ils comprennent des protocoles permettant d’évaluer la gravité des incidents, de remédier aux incidents et, si nécessaire, de notifier les clients concernés. Vimeo utilise une infrastructure cloud, qui à son tour utilise des centres de données physiques distribués qui peuvent être exploités en cas de catastrophe naturelle ou d'autre événement important pour atténuer la perte de service. Les emplacements distribués permettent un basculement du serveur en cas de catastrophe spécifique à l'emplacement. Des tests des procédures de basculement et des visites guidées des plans de reprise après sinistre spécifiques au système établis par Vimeo ont lieu chaque année.