Restricciones y limitaciones de los controles de salud y ciencias biológicas

En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración cuando usas los paquetes de controles de Healthcare and Life Sciences Controls y Healthcare and Life Sciences Controls con asistencia de EE.UU.

Descripción general

Los paquetes de controles de Salud y ciencias biológicas y de Salud y ciencias biológicas con asistencia de EE.UU. te permiten ejecutar cargas de trabajo que cumplen con los requisitos de la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) y la Health Information Trust Alliance (HITRUST).

Cada producto compatible cumple con los siguientes requisitos:

Cómo permitir servicios adicionales

Cada paquete de controles de Salud y ciencias biológicas incluye una configuración predeterminada de los servicios admitidos, que se aplica mediante una restricción de la política de la organización Restrict Service Usage (gcp.restrictServiceUsage) establecida en tu carpeta Assured Workloads. Sin embargo, puedes modificar el valor de esta restricción para incluir otros servicios si tu carga de trabajo los requiere. Consulta Restringe el uso de recursos para cargas de trabajo para obtener más información.

Los servicios adicionales que elijas agregar a la lista de entidades permitidas deben aparecer en la página del BAA de HIPAA deGoogle Cloud o en la página del CSF de HITRUST deGoogle Cloud.

Cuando agregues servicios adicionales modificando la restricción gcp.restrictServiceUsage, la supervisión de Assured Workloads informará incumplimientos de cumplimiento. Para quitar estos incumplimientos y evitar notificaciones futuras para los servicios agregados a la lista de entidades permitidas, debes otorgar una excepción para cada incumplimiento.

En las siguientes secciones, se describen las consideraciones adicionales que debes tener en cuenta cuando agregues un servicio a la lista de entidades permitidas.

Claves de encriptación administradas por el cliente (CMEK)

Antes de agregar un servicio a la lista de entidades permitidas, verifica que admita CMEK. Para ello, consulta la página Servicios compatibles en la documentación de Cloud KMS. Si quieres permitir un servicio que no es compatible con CMEK, puedes aceptar los riesgos asociados, como se describe en Responsabilidad compartida en Assured Workloads.

Si deseas aplicar una postura de seguridad más estricta cuando uses CMEK, consulta la página Ver el uso de claves en la documentación de Cloud KMS.

Residencia de los datos

Antes de agregar un servicio a la lista de entidades permitidas, verifica que aparezca en la página Google Cloud Servicios con residencia de datos. Si deseas permitir un servicio que no admite la residencia de datos, puedes aceptar los riesgos asociados, como se describe en Responsabilidad compartida en Assured Workloads.

Controles del servicio de VPC

Antes de agregar un servicio a la lista de entidades permitidas, verifica que sea compatible con los Controles del servicio de VPC. Para ello, consulta la página Productos admitidos y limitaciones de la documentación de los Controles del servicio de VPC. Si deseas permitir un servicio que no es compatible con los Controles del servicio de VPC, puedes aceptar los riesgos asociados, como se describe en Responsabilidad compartida en Assured Workloads.

Transparencia de acceso y aprobación de acceso

Antes de agregar un servicio a la lista de entidades permitidas, verifica que pueda escribir registros de la Transparencia de acceso y que admita solicitudes de Acceso aprobado. Para ello, consulta las siguientes páginas:

Si deseas permitir un servicio que no escribe registros de Transparencia de acceso y que no admite solicitudes de aprobación de acceso, puedes aceptar los riesgos asociados, como se describe en Responsabilidad compartida en cargas de trabajo seguras.

Productos y servicios compatibles

Los siguientes productos son compatibles con los paquetes de controles de salud y ciencias biológicas y de controles de salud y ciencias biológicas con asistencia de EE.UU.:

Producto compatible Extremos de API globales Restricciones o limitaciones
Cloud Service Mesh mesh.googleapis.com
meshca.googleapis.com
meshconfig.googleapis.com
networksecurity.googleapis.com
networkservices.googleapis.com
Ninguno
Artifact Registry artifactregistry.googleapis.com
Ninguno
BigQuery bigquery.googleapis.com
bigqueryconnection.googleapis.com
bigquerydatapolicy.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
Ninguno
Servicio de transferencia de datos de BigQuery bigquerydatatransfer.googleapis.com
Ninguno
Autorización binaria binaryauthorization.googleapis.com
Ninguno
Certificate Authority Service privateca.googleapis.com
Ninguno
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
Ninguno
Cloud Build cloudbuild.googleapis.com
Ninguno
Cloud Composer composer.googleapis.com
Ninguno
Cloud Data Fusion datafusion.googleapis.com
Ninguno
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
Ninguno
Dataproc dataproc-control.googleapis.com
dataproc.googleapis.com
Ninguno
Cloud Data Fusion datafusion.googleapis.com
Ninguno
Administración de identidades y accesos (IAM) iam.googleapis.com
Ninguno
Cloud Key Management Service (Cloud KMS) cloudkms.googleapis.com
Ninguno
Cloud Logging logging.googleapis.com
Ninguno
Pub/Sub pubsub.googleapis.com
Ninguno
Cloud Router networkconnectivity.googleapis.com
Ninguno
Cloud Run run.googleapis.com
Ninguno
Spanner spanner.googleapis.com
Funciones afectadas y restricciones de las políticas de la organización
Cloud SQL sqladmin.googleapis.com
Ninguno
Cloud Storage storage.googleapis.com
Ninguno
Cloud Tasks cloudtasks.googleapis.com
Ninguno
API de Cloud Vision vision.googleapis.com
Ninguno
Cloud VPN compute.googleapis.com
Ninguno
Compute Engine compute.googleapis.com
Restricciones de las políticas de la organización
Estadísticas de conversación contactcenterinsights.googleapis.com
Ninguno
Eventarc eventarc.googleapis.com
Ninguno
Filestore file.googleapis.com
Ninguno
Google Kubernetes Engine container.googleapis.com
containersecurity.googleapis.com
Ninguno
Memorystore para Redis redis.googleapis.com
Ninguno
Persistent Disk compute.googleapis.com
Ninguno
Secret Manager secretmanager.googleapis.com
Ninguno
Sensitive Data Protection dlp.googleapis.com
Ninguno
Speech-to-Text speech.googleapis.com
Ninguno
Text-to-Speech texttospeech.googleapis.com
Ninguno
Nube privada virtual (VPC) compute.googleapis.com
Ninguno
Controles del servicio de VPC accesscontextmanager.googleapis.com
Ninguno

Restricciones y limitaciones

En las siguientes secciones, se describen las restricciones o limitaciones de las funciones de Google Cloudo específicas del producto, incluidas las restricciones de las políticas de la organización que se establecen de forma predeterminada en las carpetas de controles de atención médica y ciencias de la vida.

Restricciones de las políticas de la organización enGoogle Cloud

Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.

Restricción de las políticas de la organización Descripción
gcp.resourceLocations Establece las siguientes ubicaciones en la lista allowedValues:
  • us-locations
  • us-central1
  • us-central2
  • us-west1
  • us-west2
  • us-west3
  • us-west4
  • us-east1
  • us-east4
  • us-east5
  • us-south1
Este valor restringe la creación de recursos nuevos solo al grupo de valores seleccionado. Cuando se establece, no se pueden crear recursos en ninguna otra región, multirregión ni ubicaciones fuera de la selección. Consulta la documentación sobre grupos de valores de políticas de la organización para obtener más información.
gcp.restrictServiceUsage Se establece para permitir todos los servicios compatibles.

Determina qué servicios se pueden habilitar y usar. Para obtener más información, consulta Cómo restringir el uso de recursos para las cargas de trabajo.
gcp.restrictTLSVersion Se establece para denegar las siguientes versiones de TLS:
  • TLS_VERSION_1
  • TLS_VERSION_1_1
Consulta la página Cómo restringir las versiones de TLS para obtener más información.

Compute Engine

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización Descripción
compute.disableGlobalCloudArmorPolicy Configurado como True.

Inhabilita la creación de políticas de seguridad de Google Cloud Armor.

Spanner

Funciones de Spanner afectadas

Función Descripción
Límites de división Spanner usa un pequeño subconjunto de claves primarias y columnas indexadas para definir límites de división, que pueden incluir datos y metadatos de los clientes. Un límite de división en Spanner denota la ubicación en la que los rangos contiguos de filas se dividen en partes más pequeñas.

El personal de Google puede acceder a estos límites de división con fines de asistencia técnica y depuración, y no están sujetos a los controles de datos de acceso administrativo en los controles de atención médica y ciencias biológicas.

Restricciones de la política de la organización de Spanner

Restricción de las políticas de la organización Descripción
spanner.assuredWorkloadsAdvancedServiceControls Configurado como True.

Aplica controles adicionales de soberanía de los datos y compatibilidad a los recursos de Spanner.
spanner.disableMultiRegionInstanceIfNoLocationSelected Configurado como True.

Inhabilita la capacidad de crear instancias de Spanner multirregionales para aplicar la residencia de datos y la soberanía de los datos.

¿Qué sigue?