Cumplimiento de la ley HIPAA en Google Cloud Platform

En esta guía, se aborda el cumplimiento de la HIPAA en Google Cloud Platform. El cumplimiento de la HIPAA para Google Workspace se trata por separado.

Renuncia de responsabilidad

Esta guía solo tiene fines informativos. La intención de Google no consiste en que la información ni las recomendaciones incluidas se consideren asesoramiento legal. Cada cliente es responsable de evaluar de manera independiente el uso particular que hace de los servicios según corresponda para satisfacer las obligaciones legales de cumplimiento normativo.

Público objetivo

Google Cloud Platform ayuda a cumplir con la Ley de Responsabilidad y Portabilidad de Seguros Médicos (conocida como HIPAA) a los clientes sujetos a los requisitos de esta, así como a los de sus enmiendas, incluidas las de la Ley de Tecnología de la Información de Salud Clínica y Económica (HITECH). Esta guía está destinada a los encargados de la seguridad y del cumplimiento, los administradores de TI y demás empleados responsables de la implementación y el cumplimiento de la HIPAA en Google Cloud Platform. Después de leer esta guía, comprenderás qué hace Google para respaldar el cumplimiento de esta ley y cómo configurar los proyectos de Google Cloud para cumplir con las responsabilidades que conlleva.

Definiciones

Los términos en mayúscula que no están definidos en este documento tienen el mismo significado que se les atribuye en la ley HIPAA. Además, a los efectos de este documento, la Información de salud protegida (PHI) significa la PHI que Google recibe de una Entidad Cubierta.

Descripción general

Es importante tener en cuenta que no existen certificaciones reconocidas por el Departamento de Salud y Servicios Humanos (HHS) de EE.UU. para el cumplimiento de la HIPAA y que regirse por esta ley es una responsabilidad compartida entre el cliente y Google. En particular, la HIPAA exige el cumplimiento de la Regla de Seguridad, la Regla de Privacidad, y la Regla de Notificación por Incumplimientos. Google Cloud Platform apoya el cumplimiento de la ley HIPAA (dentro del alcance de un Acuerdo entre Socios Comerciales), pero, en última instancia, los clientes son los responsables de evaluar su propio cumplimiento de la HIPAA.

Google firmará Acuerdos entre Socios Comerciales con clientes según sea necesario, conforme a la HIPAA. Google Cloud Platform se creó bajo la orientación de un equipo de ingeniería de seguridad conformado por más de 700 personas, que es más grande que la mayoría de los equipos de seguridad locales. En el Informe de seguridad de Google y la Descripción general del diseño de seguridad de la infraestructura de Google, se presenta información específica sobre nuestro enfoque para la seguridad y la protección de los datos, incluidos detalles sobre los controles técnicos y organizativos acerca de cómo Google protege tus datos.

Además de documentar su enfoque para el diseño de seguridad y privacidad, Google se somete en forma periódica a diferentes auditorías de terceros para brindarles a los clientes verificación externa (los informes y los certificados aparecen en vínculos a continuación). Esto significa que un auditor independiente examinó los controles que existen en nuestros centros de datos, infraestructura y operaciones. Google realiza auditorías anuales para las siguientes normas:

  • SSAE16 / ISAE 3402 Tipo II. Este es el informe público asociado SOC 3. Se puede obtener el informe SOC 2 si se firma un NDA.
  • ISO 27001. Google obtuvo las certificaciones ISO 27001 para los sistemas, las aplicaciones, los empleados, las tecnologías, los procesos y los centros de datos que forman parte de Google Cloud Platform. Nuestra certificación ISO 27001 está disponible en la sección de cumplimiento de nuestro sitio web.
  • ISO 27017 sobre la seguridad en la nube: Este es un estándar internacional de práctica para los controles de seguridad de la información basado en ISO/IEC 27002 específicamente para los servicios en la nube. Nuestra certificación ISO 27017 está disponible en la sección de cumplimiento de nuestro sitio web.
  • ISO 27018 sobre la privacidad en la nube: Este es un estándar internacional de práctica para la protección de la información de identificación personal (PII) en servicios públicos de nube. Nuestra certificación ISO 27018 está disponible en la sección de cumplimiento de nuestro sitio web.
  • FedRAMP ATO
  • PCI DSS v3.2.1

Además de garantizar la confidencialidad, la integridad y la disponibilidad del entorno de Google, el enfoque integral de auditoría de terceros de Google está diseñado para proporcionar garantías de nuestro compromiso de brindar el mejor nivel de seguridad de la información. Los clientes pueden hacer referencia a estos informes de auditoría de terceros para evaluar de qué manera los productos de Google satisfacen sus necesidades de cumplimiento de la ley HIPAA.

Responsabilidades de los clientes

Una de las principales responsabilidades del cliente es determinar si es o no una Entidad Cubierta (o un Socio Comercial de una Entidad Cubierta) y, de ser así, si requiere un Acuerdo entre Socios Comerciales con Google a los efectos de sus interacciones.

Si bien Google proporciona una infraestructura segura que cumple con las normativas vigentes (como se describe anteriormente) para el almacenamiento y procesamiento de PHI, el cliente es responsable de garantizar que el entorno y las aplicaciones que construya en Google Cloud Platform estén configurados correctamente y cumplan con los requisitos de seguridad de acuerdo con las disposiciones de la ley HIPAA. Por lo general, esto se conoce como el modelo de seguridad compartida en la nube.

Prácticas recomendadas esenciales:

  • Formaliza un Acuerdo entre Socios Comerciales (BAA) de Google Cloud. Puedes solicitarlo directamente a tu administrador de cuentas.
  • Inhabilita los productos de Google Cloud que no estén incluidos de manera explícita en el BAA (consulta Productos cubiertos) o asegúrate de no usarlos cuando trabajes con PHI.

Prácticas técnicas recomendadas:

  • Usa las prácticas recomendadas de IAM para configurar quién tendrá acceso al proyecto. En especial, debido a que se pueden usar las cuentas de servicio para acceder a los recursos, asegúrate de que el acceso a esas cuentas y a las claves de la cuenta de servicio esté bien controlado.
  • Determina si tu organización tiene requisitos de encriptación que superan las exigencias de la Regla de seguridad de la ley HIPAA. Todo el contenido del cliente se encripta y almacena en Google Cloud Platform. Consulta nuestro informe de encriptación para conocer más detalles y las excepciones.
  • Si usas Cloud Storage, considera usar el Control de versiones de objetos a fin de proporcionar un archivo para esos datos y que puedan recuperarse en caso de que ocurra una eliminación accidental. Además, revisa y cumple los lineamientos proporcionados en las consideraciones de seguridad y de privacidad antes de usar G Suite para interactuar con Cloud Storage.
  • Configura los destinos para exportación de registros de auditoría. Te recomendamos exportar registros de auditoría a Cloud Storage para archivarlos a largo plazo, así como a BigQuery para cualquier necesidad analítica, de supervisión o legal. Asegúrate de configurar el control de acceso para los destinos correspondientes a tu organización.
  • Configura el control de acceso para los registros que mejor se ajuste a tu organización. Los usuarios con la función de visualizador de registros pueden acceder a los registros de auditoría de actividad del administrador, y los usuarios con la función de visualizador de registros privados pueden acceder a los registros de auditoría de acceso a los datos.
  • Revisa regularmente los registros de auditoría para garantizar la seguridad y el cumplimiento de los requisitos. Como se mencionó antes, BigQuery es una plataforma excelente para el análisis de registros a gran escala. Recomendamos que aproveches las plataformas SIEM de nuestras integraciones en terceros para demostrar el cumplimiento a través del análisis de registros.
  • Cuando crees o configures índices en Cloud Datastore, encripta toda PHI, credencial de seguridad y demás datos sensibles antes de usarlos, como la clave de la entidad, la clave de propiedad indexada o el valor de propiedad indexado para el índice. Consulta la documentación de Cloud Datastore para obtener más información sobre cómo crear o configurar índices.
  • Cuando crees o actualices agentes de Dialogflow Enterprise, asegúrate de no incluir PHI ni credenciales de seguridad en la definición de los agentes, incluidos Intents, Frases de entrenamiento y Entidades.
  • Cuando crees o actualices recursos, asegúrate de no incluir PHI ni credenciales de seguridad cuando especifiques los metadatos de un recurso, ya que se podría capturar esa información en los registros. Los registros de auditoría nunca incluyen contenidos de datos de un recurso o los resultados de una consulta en los registros, pero podrían capturarse los metadatos del recurso.
  • Usa las prácticas de Identity Platform cuando utilices este servicio en tu proyecto.
  • Cuando uses los servicios de Cloud Build para el desarrollo o la integración continua, evita incluir o almacenar PHI en los archivos de configuración de compilación, los archivos de control de versiones o cualquier otro artefacto de compilación.
  • Si usas Cloud CDN, asegúrate de no solicitar almacenamiento en caché de la PHI. Consulta la documentación de Cloud CDN de modo que puedas obtener más información para evitar el almacenamiento en caché.
  • Si usas Cloud Speech-to-Text y firmaste una BAA con Google que cubre las obligaciones de la PHI en virtud de la ley HIPAA, entonces no debes participar en el programa de registro de datos.
  • Si usas Google Cloud VMware Engine, es tu responsabilidad retener los registros de acceso a nivel de la aplicación durante un período adecuado cuando sea necesario para cumplir con los requisitos de la HIPAA.

Productos cubiertos

El BAA de Google Cloud rige la infraestructura de GCP en su totalidad (todas las regiones, zonas, rutas de red y puntos de presencia) y los productos que se detallan a continuación:

  • Access Context Manager
  • Transparencia de acceso
  • Apigee
  • Apigee Hybrid
  • AI Platform
  • Prediction y AI Platform Training
  • Anthos Config Management
  • Anthos Service Mesh
  • App Engine
  • Solución Bare Metal
  • Autorización binaria
  • Notebooks de Cloud AI
  • Cloud Armor
  • Cloud Asset Inventory
  • Cloud AutoML Natural Language
  • Cloud AutoMLTables
  • Cloud AutoML Translation
  • Cloud AutoML Video
  • Cloud AutoML Vision
  • BigQuery
  • Servicio de transferencia de datos de BigQuery
  • Cloud Bigtable
  • Cloud Build
  • Cloud CDN
  • Cloud Console
  • App de Cloud Console
  • Cloud Composer
  • Cloud Data Fusion
  • Cloud Data Labeling Service
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Debugger
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Firestore
  • Cloud Functions
  • Cloud Healthcare
  • Cloud HSM
  • Cloud Identity
  • Cloud Identity and Access Management
  • Cloud Identity-Aware Proxy
  • Cloud Interconnect
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Life Sciences (antes Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Memorystore
  • Cloud Monitoring
  • API de Cloud Natural Language
  • Cloud NAT
  • Cloud Profiler
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Run (completamente administrado)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud Spanner
  • Cloud Speech-to-Text
  • Cloud SQL
  • API de Administración de consumidores de servicios de Cloud
  • Cloud Storage
  • Servicio de transferencia de Cloud Storage
  • Cloud Tasks
  • Cloud Trace
  • API de Cloud Translation
  • Cloud Text-to-Speech
  • API de Cloud Video Intelligence
  • API de Cloud Vision
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Data Catalog
  • Dialogflow
  • Document AI
  • Error Reporting
  • Google Cloud VMware Engine (GCVE)
  • Google Service Control
  • Administración de servicios de Google
  • Identity Platform
  • Kubernetes Engine
  • Servicio administrado para Microsoft Active Directory (AD)
  • Niveles de servicio de red
  • Persistent Disk
  • Secret Manager
  • Security Command Center
  • Sensitive Data Protection (including Cloud Data Loss Prevention)
  • Directorio de servicios
  • Traffic Director
  • Servicio Transfer Appliance
  • Nube privada virtual (VPC)
  • Controles del servicio de VPC
  • Web Security Scanner

Consulta el sitio de cumplimiento de Google Cloud para obtener la lista más actual de productos cubiertos. Esta lista se actualiza cuando aparecen nuevos productos disponibles en el programa de la ley HIPAA.

Características únicas

Las prácticas de seguridad de GCP nos permiten contar con un BAA de la ley HIPAA que abarque la totalidad de la infraestructura de GCP y no una porción de la nube. Como resultado, no estás restringido a una región específica, lo cual tiene beneficios operativos y de arquitectura y escalabilidad. También puedes beneficiarte de la redundancia de servicio multirregional, además de la opción de usar VM interrumpibles para reducir costos.

Las medidas de seguridad y cumplimiento que nos permiten respaldar el cumplimiento de la ley HIPAA están arraigadas en nuestra infraestructura, nuestro diseño de seguridad y nuestros productos. Por ello, podemos ofrecerles a los clientes regulados por la ley HIPAA los mismos productos que están disponibles para el resto de los clientes al mismo precio, incluidos los descuentos por uso continuo. Otras nubes públicas cobran más dinero por la versión HIPAA; nosotros no.

Conclusión

Google Cloud Platform es la infraestructura de nube donde los clientes pueden almacenar, analizar y obtener estadísticas médicas de forma segura, sin tener que preocuparse por la infraestructura subyacente.

Recursos adicionales