Os nomes de alguns pacotes de controlos do Assured Workloads foram alterados. Para obter informações sobre a alteração de nome, consulte o artigo Controle o aviso de mudança do nome do pacote.

Esta página foi traduzida pela API Cloud Translation.

Limite de dados dos EUA para o setor de cuidados de saúde e ciências da vida

Esta página descreve as restrições, as limitações e outras opções de configuração quando usa o limite de dados dos EUA para cuidados de saúde e ciências da vida, e o limite de dados dos EUA para cuidados de saúde e ciências da vida com pacotes de controlo de apoio técnico.

Vista geral

A fronteira de dados dos EUA para os setores de cuidados de saúde e ciências da vida e a fronteira de dados dos EUA para os setores de cuidados de saúde e ciências da vida com pacotes de controlo de apoio técnico permitem-lhe executar cargas de trabalho em conformidade com os requisitos da Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) e da Health Information Trust Alliance (HITRUST).

Cada produto suportado cumpre os seguintes requisitos:

Indicado na página do Google CloudContrato de Parceiro Comercial (BAA) da HIPAA
Listada na página do HITRUST Common Security Framework (CSF) daGoogle Cloud
Suporta chaves de encriptação geridas pelo cliente (CMEK) do Cloud KMS
Suporta VPC Service Controls
Suporta registos da Transparência de acesso
Suporta pedidos de aprovação de acesso
Suporta a residência dos dados em repouso restrita a localizações nos EUA

Permitir serviços adicionais

Cada pacote de controlos do limite de dados dos EUA para os setores de cuidados de saúde e ciências da vida inclui uma configuração predefinida dos serviços suportados, que é aplicada por uma restrição da política da organização Restringir utilização do serviço (gcp.restrictServiceUsage) definida na sua pasta do Assured Workloads. No entanto, pode modificar o valor desta restrição para incluir outros serviços se a sua carga de trabalho os exigir. Consulte o artigo Restrinja a utilização de recursos para cargas de trabalho para mais informações.

Todos os serviços adicionais que optar por adicionar à lista de autorizações têm de estar indicados na página Google CloudBAA da HIPAA ou na página Google CloudCSF da HITRUST.

Quando adiciona serviços adicionais modificando a restrição, a monitorização dos Assured Workloads comunica violações de conformidade.gcp.restrictServiceUsage Para remover estas violações e evitar notificações futuras para serviços adicionados à lista de autorizações, tem de conceder uma exceção para cada violação.

As considerações adicionais quando adiciona um serviço à lista de autorizações são descritas nas secções seguintes.

Chaves de encriptação geridas pelo cliente (CMEK)

Antes de adicionar um serviço à lista de autorizações, verifique se suporta a CMEK revendo a página Serviços compatíveis na documentação do Cloud KMS. Se quiser permitir um serviço que não suporte a CMEK, é sua escolha aceitar os riscos associados, conforme descrito na Responsabilidade partilhada nos Assured Workloads.

Se quiser aplicar uma postura de segurança mais rigorosa quando usar CMEK, consulte a página Ver utilização de chaves na documentação do Cloud KMS.

Residência dos dados

Antes de adicionar um serviço à lista de autorizações, verifique se este está listado na página Google Cloud Serviços com residência de dados. Se quiser permitir um serviço que não suporte a residência de dados, é sua opção aceitar os riscos associados, conforme descrito na Responsabilidade partilhada nos Assured Workloads.

VPC Service Controls

Antes de adicionar um serviço à lista de autorizações, verifique se é suportado pelo VPC Service Controls revendo a página Produtos e limitações suportados na documentação do VPC Service Controls. Se quiser permitir um serviço que não suporta os VPC Service Controls, é sua escolha aceitar os riscos associados, conforme descrito na responsabilidade partilhada nos Assured Workloads.

Transparência de acesso e aprovação de acesso

Antes de adicionar um serviço à lista de autorizações, verifique se este pode escrever registos da Transparência de acesso e suporta pedidos de Aprovação de acesso revendo as seguintes páginas:

Se quiser permitir um serviço que não escreve registos da Transparência de acesso e não suporta pedidos de aprovação de acesso, é sua escolha aceitar os riscos associados, conforme descrito na Responsabilidade partilhada nos Assured Workloads.

Produtos e serviços suportados

Os seguintes produtos são suportados no limite de dados dos EUA para o setor de cuidados de saúde e ciências da vida e no limite de dados dos EUA para o setor de cuidados de saúde e ciências da vida com pacotes de controlo do apoio técnico:

Produto suportado	Pontos finais da API global	Restrições ou limitações
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com` `networksecurity.googleapis.com` `networkservices.googleapis.com`	Nenhum
Artifact Registry	`artifactregistry.googleapis.com`	Nenhum
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Nenhum
Serviço de transferência de dados do BigQuery	`bigquerydatatransfer.googleapis.com`	Nenhum
Autorização binária	`binaryauthorization.googleapis.com`	Nenhum
Certificate Authority Service	`privateca.googleapis.com`	Nenhum
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Nenhum
Cloud Build	`cloudbuild.googleapis.com`	Nenhum
Cloud Composer	`composer.googleapis.com`	Nenhum
Cloud Data Fusion	`datafusion.googleapis.com`	Nenhum
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Nenhum
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Nenhum
Cloud Data Fusion	`datafusion.googleapis.com`	Nenhum
Identity and Access Management (IAM)	`iam.googleapis.com`	Nenhum
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Nenhum
Cloud Logging	`logging.googleapis.com`	Nenhum
Pub/Sub	`pubsub.googleapis.com`	Nenhum
Cloud Router	`networkconnectivity.googleapis.com`	Nenhum
Cloud Run	`run.googleapis.com`	Funcionalidades afetadas
Spanner	`spanner.googleapis.com`	Funcionalidades afetadas e restrições da política da organização
Cloud SQL	`sqladmin.googleapis.com`	Nenhum
Cloud Storage	`storage.googleapis.com`	Nenhum
Cloud Tasks	`cloudtasks.googleapis.com`	Nenhum
Cloud Vision API	`vision.googleapis.com`	Nenhum
Cloud VPN	`compute.googleapis.com`	Nenhum
Compute Engine	`compute.googleapis.com`	Restrições de políticas da organização
Estatísticas de conversas	`contactcenterinsights.googleapis.com`	Nenhum
Eventarc	`eventarc.googleapis.com`	Nenhum
Filestore	`file.googleapis.com`	Nenhum
Google Kubernetes Engine	`container.googleapis.com` `containersecurity.googleapis.com`	Nenhum
Memorystore para Redis	`redis.googleapis.com`	Nenhum
Persistent Disk	`compute.googleapis.com`	Nenhum
Secret Manager	`secretmanager.googleapis.com`	Nenhum
Proteção de dados confidenciais	`dlp.googleapis.com`	Nenhum
Conversão de voz em texto	`speech.googleapis.com`	Nenhum
Conversão de texto em voz	`texttospeech.googleapis.com`	Nenhum
Nuvem virtual privada (VPC)	`compute.googleapis.com`	Nenhum
VPC Service Controls	`accesscontextmanager.googleapis.com`	Nenhum

Restrições e limitações

As secções seguintes descrevem as restrições ou as limitações ao nível da organização ou específicas do produto para funcionalidades, incluindo quaisquer restrições da política da organização que são definidas por predefinição na fronteira de dados dos EUA para pastas de cuidados de saúde e ciências da vida. Google Cloud

Google Cloudrestrições de políticas da organização ao nível da entidade

As seguintes restrições de políticas de organização aplicam-se a qualquer Google Cloud serviço aplicável.

Restrição da política da organização	Descrição
`gcp.resourceLocations`	Definido para as seguintes localizações na lista `allowedValues`: us-locations us-central1 us-central2 us-west1 us-west2 us-west3 us-west4 us-east1 us-east4 us-east5 us-south1 Este valor restringe a criação de novos recursos apenas ao grupo de valores selecionado. Quando esta opção está definida, não é possível criar recursos noutras regiões, multirregiões ou localizações fora da seleção. Consulte o artigo Serviços suportados pelas localizações de recursos para ver uma lista de recursos que podem ser restritos pela restrição da política da organização das localizações de recursos, uma vez que alguns recursos podem estar fora do âmbito e não ser restritíveis. A alteração deste valor, tornando-o menos restritivo, pode comprometer a residência de dados, permitindo que os dados sejam criados ou armazenados fora de um limite de dados em conformidade. Consulte a documentação Grupos de valores da política da organização para mais informações.
`gcp.restrictServiceUsage`	Definido para permitir todos os serviços suportados. Determina os serviços que podem ser usados restringindo o acesso em tempo de execução aos respetivos recursos. Para mais informações, consulte o artigo Restrinja a utilização de recursos para cargas de trabalho.
`gcp.restrictTLSVersion`	Definido para recusar as seguintes versões do TLS: TLS_VERSION_1 TLS_VERSION_1_1 Consulte a página Restrinja as versões de TLS para mais informações.

Compute Engine

Restrições de políticas de organização do Compute Engine

Restrição da política da organização	Descrição
`compute.disableGlobalCloudArmorPolicy`	Definido como Verdadeiro. Desativa a criação de políticas de segurança do Google Cloud Armor.

Cloud Run

Funcionalidades do Cloud Run afetadas

Funcionalidade	Descrição
Funcionalidades não suportadas	As seguintes funcionalidades do Cloud Run não são suportadas: Integração do Cloud Trace Funções do Cloud Run Acionadores do Eventarc

Spanner

Funcionalidades do Spanner afetadas

Funcionalidade	Descrição
Dividir limites	O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas para definir limites de divisão, que podem incluir dados de clientes e metadados. Um limite de divisão no Spanner indica a localização onde os intervalos contíguos de linhas são divididos em partes mais pequenas. Estas divisões são acessíveis pelos funcionários da Google para fins de apoio técnico e depuração, e não estão sujeitas a controlos de dados de acesso administrativos na fronteira de dados dos EUA para os setores de saúde e ciências da vida.

Funcionalidade

Descrição

Dividir limites

O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas para definir limites de divisão, que podem incluir dados de clientes e metadados. Um limite de divisão no Spanner indica a localização onde os intervalos contíguos de linhas são divididos em partes mais pequenas.

Estas divisões são acessíveis pelos funcionários da Google para fins de apoio técnico e depuração, e não estão sujeitas a controlos de dados de acesso administrativos na fronteira de dados dos EUA para os setores de saúde e ciências da vida.

Restrições da política da organização do Spanner

Restrição da política da organização	Descrição
`spanner.assuredWorkloadsAdvancedServiceControls`	Definido como Verdadeiro. Aplica controlos de soberania e capacidade de suporte de dados adicionais aos recursos do Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Definido como Verdadeiro. Desativa a capacidade de criar instâncias do Spanner de várias regiões para aplicar a residência e a soberania dos dados.

O que se segue?

Compreenda os pacotes de controlos para o Assured Workloads.
Saiba que produtos são suportados para cada pacote de controlos.