HIPAAコンプライアンスには、責任共有モデルが必要です。Vimeoは対象のお客様にHIPAA要件を適用するのに役立ちますが、お客様は当社のサービスを使用し、HIPAA要件に従って構成する必要があります。Vimeo EnterpriseのHIPAA構成要件を参照してください。
Vimeo Enterpriseは、HIPAA に基づいて当社のサービスを利用する際にお客様が活用できる複数の機能を提供します。
認証:VimeoはシングルサインオンSSOと二段階認証2FAをサポートし、 Vimeoユーザーのアクセスと認証を管理します。アクセスとセキュリティを構成するには、VimeoのSSOガイドや二段階認証などのVimeoのガイドを参照してください。
認証
- 詳細なユーザー管理:Vimeoでは、新しいユーザーが自動的に参加するようにデフォルトのライブラリを設定できます。詳細については、記事「フォルダーのアクセス許可」、「 Enterpriseチームライブラリ」、「EnterpriseチームのSSOグループ権限」を参照してください。
- 動画のプライバシー設定:Vimeoでは、各動画のコンテンツに基づいて構成できるさまざまなプライバシー設定を提供しています。Vimeoの動画のプライバシー設定の詳細は、「動画のプライバシー設定の概要」と、設定を変更する方法の詳細手順に関する記事を参照してください。
データ保護
-
データの暗号化:すべてのVimeoアプリケーションエンドポイントは、セッションキーの交換または派生の前に暗号化および認証されます。公開鍵は、使用する前に認証する必要があります。すべての外部向けサーバーおよびアプリケーションは、可能な場合は少なくともTLS 1.2を使用する必要があります。
- 転送中のデータ:ユーザーからVimeoに送信されるすべてのビデオおよびその他のデータは、強力な暗号化プロトコルを使用して転送中に暗号化されます。Vimeoは、TLS 1.2プロトコルおよび/または AES 256 暗号化と同等の転送中のすべてのトラフィックを暗号化するためのセキュリティチャネルに対応しています。
- 保存データ:Vimeoのプロダクションデータベース内の動画データを除くすべてのデータは暗号化されています。動画データは、技術的に可能な場合は暗号化されます。すべての暗号化キーは、アクセスが非常に制限された安全なサーバーに保存されます。Vimeoは、すべてのVimeoユーザーデータの作成から削除までの保護を実現しています。
- データ保持:Vimeoのエンタープライズデータ保持ツールを使用すると、ニーズとHIPAA義務に応じて動画保持ポリシーをカスタマイズできます。アカウントのメンバーによって事前に削除されない限り、 Vimeoアカウントが削除された後、 Vimeoは90日間お客様の動画データを維持します。お客様は、Enterprise契約の満了または終了前に、保持したいデータのコピーをダウンロードする責任があります。コピーの入手については、サポートにお問い合わせください。Enterpriseアカウントを無料またはセルフサービスアカウントにダウングレードする場合は、VimeoによるHIPAA準拠対象となる可能性のあるすべてのコンテンツをすぐに削除する必要があります。
- データの可用性:Vimeoは、Vimeoサービスの侵害につながるインシデントが発生した場合に迅速かつ効率的に対応するための管理体制を確立しました。当管理体制は、Vimeoのセキュリティポリシーと手順によって体系化されています。当管理体制はインシデントタイプごとにシステム固有の対応チームと手順を提供します。これらには、インシデントの重大度を評価し、修正を行い、必要に応じて影響を受ける顧客に通知するためのプロトコルが含まれています。Vimeoはクラウドインフラストラクチャを使用しています。クラウドインフラストラクチャは、自然災害やその他の重大な事柄が発生した場合に、活用できる分散型の物理データセンターを使用して、サービスの損失を軽減します。分散型の拠点は、特定の場所で災害が発生した場合にサーバーのフェイルオーバーが可能になります。フェイルオーバー手順のテストとVimeoの確立されたシステム固有のディザスタリカバリ計画の実地検証は、毎年行われます。