Este Adendo de Serviços HIPAA ("Adendo") aplica-se apenas a Clientes que tenham celebrado um Acordo de Associado Comercial ("BAA") com a Vilulia. Este Adendo é incorporado e faz parte dos Termos de Serviço e de qualquer Formulário de Pedido para Serviços elegíveis ao HIPAA. Em caso de conflito entre este Adendo e os Termos de Serviço em questões relacionadas a Serviços elegíveis ao HIPAA, este Adendo prevalece.

Responsabilidade compartilhada para conformidade com o HIPAA: A Vilulia está comprometida em fornecer uma plataforma segura e elegível ao HIPAA e em manter as salvaguardas técnicas e organizacionais exigidas de um Associado Comercial. Alcançar a conformidade total com o HIPAA também exige que os Clientes cumpram suas próprias obrigações como Entidades Cobertas ou Associados Comerciais, incluindo configuração de acesso, treinamento da força de trabalho e governança de PHI. Este Adendo descreve como a responsabilidade é compartilhada entre as partes.

1. Uso Elegível ao HIPAA

Os Serviços incluem configurações elegíveis ao HIPAA projetadas para apoiar Clientes com obrigações HIPAA. PHI pode ser carregado ou processado apenas em conexão com fluxos de trabalho e configurações que a Vilulia designa como elegíveis ao HIPAA (por exemplo, funcionalidades explicitamente rotuladas como HIPAA Basic ou HIPAA Enhanced no Formulário de Pedido aplicável). O Cliente é responsável por garantir que seus fluxos de trabalho e configurações específicos sejam apropriados para suas obrigações de conformidade com o HIPAA. Se você não tiver certeza se um determinado fluxo de trabalho é elegível ao HIPAA, entre em contato com vilulia.com/contact antes de carregar PHI.

2. Compromissos da Vilulia para Planos Elegíveis ao HIPAA

Para Clientes em planos elegíveis ao HIPAA com um BAA executado, a Vilulia irá:

Manter salvaguardas técnicas consistentes com a Regra de Segurança HIPAA, incluindo criptografia em trânsito e em repouso, registro de auditoria e controles de acesso.
Limitar o acesso a PHI ao pessoal que necessita dele para realizar serviços e que está sujeito a obrigações de confidencialidade.
Reportar Violações de PHI Não Protegido dentro de 72 horas após a descoberta, conforme descrito no BAA.
Impor obrigações equivalentes de proteção de dados a subcontratados que acessem PHI.
Apoiar as obrigações de acesso, emenda e contabilidade de divulgações do Cliente, conforme descrito no BAA.
Não usar PHI para treinar modelos de IA ou para qualquer finalidade além de fornecer os Serviços.

3. Responsabilidades do Cliente

Alcançar a conformidade com o HIPAA é uma responsabilidade compartilhada. O Cliente é responsável por:

Determinar quais PHI são carregados nos Serviços e garantir que estejam limitados ao necessário para o fluxo de trabalho pretendido.
Configurar acesso de usuários, funções, permissões e políticas de autenticação (incluindo a ativação de MFA quando disponível).
Garantir que os membros de sua força de trabalho recebam treinamento HIPAA adequado e estejam sujeitos a sanções por violações.
Manter a segurança de endpoints, redes e credenciais usados para acessar os Serviços.
Revisar e configurar retenção, configurações de compartilhamento, exportações e quaisquer integrações externas para evitar divulgação não autorizada.
Notificar prontamente a Vilulia sobre qualquer suspeita de comprometimento de credenciais ou acesso não autorizado aos Serviços.

4. Resumo de Responsabilidade Compartilhada

Área	Responsabilidade da Vilulia	Responsabilidade do Cliente
Segurança da infraestrutura	Criptografia, controles de acesso, registro de auditoria, monitoramento	Ativação de MFA, segurança de credenciais, segurança de endpoints
Governança de PHI	Processamento de PHI apenas conforme permitido pelo BAA	Determinar quais PHI carregar; minimizar o escopo de PHI
Força de trabalho	Treinamento e vinculação do pessoal da Vilulia com acesso a PHI	Treinamento e aplicação de sanções à própria força de trabalho do Cliente
Resposta a violações	Detecção, notificação dentro de 72 horas e mitigação de violações	Notificar a Vilulia sobre suspeita de comprometimento de credenciais; cooperar na investigação
Configuração	Fornecer configurações e controles elegíveis ao HIPAA	Configurar adequadamente acesso, compartilhamento e integrações

5. Níveis de Serviço HIPAA

Se o Cliente adquirir níveis de serviço HIPAA, os níveis incluem salvaguardas adicionais, configurações, registro e compromissos de suporte além do plano padrão. As inclusões específicas e quaisquer exclusões estão descritas no Formulário de Pedido aplicável e na documentação do produto. Entre em contato com vilulia.com/contact para obter detalhes sobre o que está incluído em cada nível.

6. Incidentes Causados pelo Cliente

A Vilulia implementa e mantém as salvaguardas descritas neste Adendo e no BAA. No entanto, a Vilulia não é responsável por incidentes de segurança ou falhas de conformidade que resultem principalmente de: configuração incorreta de controles de acesso ou permissões pelo Cliente; comprometimento de credenciais controladas pelo Cliente; compartilhamento não autorizado pelo próprio pessoal do Cliente; falhas de segurança em dispositivos ou redes controlados pelo Cliente; ou falha do Cliente em seguir as orientações de segurança da Vilulia. Quando um incidente resultar de uma combinação de fatores, as partes trabalharão cooperativamente para avaliar a causa e a resposta.

7. Suspensão; Mitigação de Riscos

A Vilulia pode suspender imediatamente o acesso relacionado ao HIPAA quando a operação continuada representar um risco de segurança ou conformidade, incluindo suspeita de comprometimento, uso indevido ou atividade anômala. A Vilulia notificará o Cliente tão prontamente quanto praticável após qualquer suspensão e trabalhará com o Cliente para restaurar o acesso após a conclusão de etapas razoáveis de remediação. A Vilulia não suspenderá o acesso HIPAA por motivos não relacionados à segurança ou conformidade sem fornecer aviso prévio e uma oportunidade de correção nos termos dos Termos de Serviço.

Adendo de Serviços HIPAA