HIPAA 규정 준수에는 공동 책임 모델이 필요합니다. Vimeo는 적용 대상 고객이 HIPAA 요건을 시행하는 데 도움을 드리지만, 고객 스스로가 HIPAA 요건을 준수하여 서비스를 이용하고 구성해야 합니다. Vimeo Enterprise에 대한 HIPAA 구성 요구 사항을 확인해보세요.
Vimeo Enterprise는 HIPAA에 따라 당사 서비스를 사용할 때 고객이 활용할 수 있는 여러 기능을 제공합니다.
인증: Vimeo는 Vimeo 사용자의 액세스와 인증을 관리하기 위해 싱글 사인온(SSO) 및 2단계 인증(2FA)을 지원합니다. 액세스 및 보안을 구성하려면 Vimeo SSO 가이드 및 2단계 인증 등의 Vimeo 가이드를 참조하세요.
권한 부여
- 심층적 사용자 관리: Vimeo에서는 새 사용자가 새로운 사용자가 자동으로 참여할 수 있는 기본 라이브러리를 설정할 수 있습니다. 자세한 내용은 폴더 역할 권한, Enterprise 팀 라이브러리, Enterprise Enterprise 을 위한 SSO 그룹 권한 문서를 참조하세요.
- 동영상 프라이버시 설정: Vimeo는 각 동영상의 콘텐츠에 따라 구성할 수 있는 다양한 프라이버시 설정을 제공합니다. Vimeo의 동영상 프라이버시 설정에 대한 자세한 내용은 동영상 프라이버시 설정 개요 및 설정 변경 방법에 대한 단계별 지침 도움말을 참조하세요.
데이터 보호
-
데이터 암호화: 모든 Vimeo 애플리케이션 엔드포인트는 세션 키의 교환 또는 파생 전에 암호화되고 인증됩니다. 공개 키는 사용하기 전에 인증되어야 합니다. 외부로 향하는 모든 서버 및 애플리케이션은 가능한 경우 최소 TLS 1.2를 사용해야 합니다.
- 전송 중인 데이터: 사용자로부터 Vimeo로 전송되는 모든 동영상과 기타 데이터는 강력한 암호화 프로토콜을 사용하여 암호화됩니다. Vimeo는 TLS 1.2 프로토콜 및/또는 AES 256 암호화에 해당하는 전송 중인 모든 트래픽을 암호화하기 위해 보안 채널을 지원합니다.
- 미사용 데이터: Vimeo의 제작 데이터베이스에 있는 동영상 데이터를 제외한 모든 데이터는 암호화됩니다. 동영상 데이터는 기술적으로 가능한 경우 암호화됩니다. 모든 암호화 키는 액세스가 매우 제한된 보안 서버에 저장됩니다. Vimeo는 생성에서 삭제까지 모든 Vimeo 사용자 데이터를 보호하기 위한 보호 장치를 구현했습니다.
- 데이터 보존: Vimeo의 Enterprise 데이터 보존 도구를 사용하면 고객은 필요와 HIPAA 의무에 따라 동영상 보존 정책을 맞춤 설정할 수 있습니다. 동영상 데이터는 계정의 회원이 먼저 삭제하지 않는 한, Vimeo 계정이 삭제된 후 90일 동안 Vimeo에 보관됩니다. Enterprise 계약이 만료되거나 종료되기 전에 보관하려는 모든 데이터의 사본을 다운로드하는 것은 고객의 책임입니다. 사본을 얻는 데 도움이 필요한 경우 지원팀에 문의하세요. Enterprise 계정을 무료 또는 셀프 서비스 계정으로 다운그레이드하는 경우 Vimeo가 HIPAA 준수를 요청할 수 있는 모든 콘텐츠를 즉시 제거해야 합니다.
- 데이터 가용성: Vimeo는 Vimeo 서비스가 손상되는 사고가 발생한 경우 신속하고 효율적으로 대응할 수 있는 통제 수단을 마련했습니다. 이러한 통제 수단은 Vimeo 보안 정책 및 절차를 통해 성문화되었으며 각 유형의 사건에 대한 시스템별 대응팀과 절차를 제공합니다. 여기에는 사건 심각도를 평가하고, 사건을 개선하고, 필요한 경우 영향을 받는 고객에게 알리는 프로토콜이 포함됩니다. Vimeo는 클라우드 인프라를 사용하며, 자연 재해 또는 기타 중대한 사건이 발생한 경우 서비스 손실을 완화하기 위해 활용할 수 있는 분산된 물리적 데이터 센터를 사용합니다. 분산 위치는 특정 위치에서 재해 발생 시 서버 장애 조치를 허용합니다. Vimeo의 확립된 시스템별 재해 복구 계획에 대한 장애 조치 절차 테스트 및 워크스루가 매년 수행됩니다.