Cumplimiento de la HIPAA en Google Cloud Platform

En esta guía, se trata el cumplimiento de la ley de transferencia y responsabilidad de los seguros médicos de EE. UU. (Health Insurance Portability and Accountability Act o HIPAA) en Google Cloud Platform. El cumplimiento de la HIPAA en G Suite se analiza por separado.

Renuncia de responsabilidad

Esta guía tiene únicamente fines informativos. Google no pretende que la información ni las recomendaciones que se incluyen en ella sirvan de asesoramiento legal. Cada cliente tiene la responsabilidad de evaluar de forma independiente el uso que haga de los servicios según proceda para el cumplimiento de las obligaciones legales que correspondan.

Usuarios a los que está dirigida

Google Cloud Platform favorece el cumplimiento de la HIPAA por parte de los clientes sujetos a la ley de transferencia y responsabilidad de los seguros médicos de EE. UU. (Health Insurance Portability and Accountability Act o HIPAA), incluidas las adendas pertinentes, como las de la ley de tecnología de información médica para la salud clínica y económica (Health Information Technology for Economic and Clinical Health o HITECH). Esta guía está dirigida a los encargados del cumplimiento y de la seguridad, a los administradores de TI y a otros empleados responsables de la implementación y el cumplimiento de la HIPAA en Google Cloud Platform. Al leer esta guía, obtendrás información sobre cómo Google puede favorecer el cumplimiento de la HIPAA y sobre cómo configurar los proyectos de Google Cloud para cumplir tus responsabilidades en relación con esta ley.

Definiciones

Los términos en mayúsculas empleados pero no definidos en este documento tienen el mismo significado que en la HIPAA. Además, a efectos de este documento, "Información Médica Protegida" (PHI) hace referencia a la PHI que Google recibe de una Entidad con Cobertura.

Descripción general

Es importante tener en cuenta que no hay ninguna certificación que esté reconocida por el Departamento de Salud y Servicios Sociales de EE. UU. (HHS) en relación con el cumplimiento de la HIPAA y que la responsabilidad de su cumplimiento recae tanto sobre el cliente como sobre Google. En concreto, la HIPAA exige el cumplimiento de las normas de seguridad, privacidad y aviso de quiebra de seguridad. Google Cloud Platform favorece el cumplimiento de la HIPAA (dentro del ámbito de un Contrato de Colaboración Empresarial), pero, en última instancia, los clientes son responsables de evaluar su cumplimiento de la HIPAA.

Google firmará un Contrato de Colaboración Empresarial con los clientes según sea necesario en virtud de la HIPAA. Google Cloud Platform se creó bajo la supervisión de un equipo de ingeniería de seguridad conformado por más de 700 personas, es decir, más grande que la mayoría de los equipos de seguridad locales. Para obtener información específica sobre nuestro enfoque en relación con la seguridad y la protección de datos, incluidos los detalles sobre los controles técnicos y de organización referentes a cómo salvaguardamos los datos, consulta el informe sobre seguridad y el resumen del diseño de la seguridad en infraestructuras de Google.

Además de documentar su enfoque del diseño de seguridad y privacidad, Google se somete a varias auditorías de terceros independientes de forma periódica para proporcionar a los clientes una verificación externa (los informes y certificados se enlazan a continuación). Esto significa que un auditor independiente ha examinado los controles de nuestros centros de datos, nuestra infraestructura y nuestras operaciones. En Google se realizan auditorías anuales de los siguientes estándares:

  • SSAE 16/ISAE 3402 Tipo II. Consulta el informe SOC 3 público asociado. El informe SOC 2 puede obtenerse bajo un acuerdo de confidencialidad.
  • ISO 27001. Google ha obtenido la certificación ISO 27001 para los sistemas, las aplicaciones, las personas, la tecnología, los procesos y los centros de datos implicados en Google Cloud Platform. Nuestro certificado ISO 27001 está disponible en la sección de cumplimiento de nuestro sitio web.
  • ISO 27017 sobre la seguridad en la nube. Este es un estándar internacional de prácticas relacionadas con los controles de seguridad de la información que se basa en la norma ISO/IEC 27002 y se centra especialmente en los servicios en la nube. Nuestro certificado ISO 27017 está disponible en la sección de cumplimiento de nuestro sitio web.
  • ISO 27018 sobre la privacidad en la nube. Es un estándar internacional de prácticas relacionadas con la protección de información personal identificable (IPI) en los servicios de nubes públicas. Nuestro certificado ISO 27018 está disponible en la sección de cumplimiento de nuestro sitio web.
  • Autorización para operar del FedRAMP
  • PCI DSS v3.2

Además de garantizar la confidencialidad, la integridad y la disponibilidad del entorno de Google, el enfoque integral de auditorías externas de Google está diseñado para garantizar su compromiso por ofrecer la mejor seguridad de la información. Los clientes pueden consultar estos informes de auditorías de terceros para analizar cómo los productos de Google pueden satisfacer sus necesidades en cuanto al cumplimiento de la HIPAA.

Responsabilidades del cliente

Una de las responsabilidades clave de un cliente es determinar si es o no una Entidad con Cobertura (o un Asociado Empresarial de una Entidad con Cobertura) y, de ser así, si requiere un Contrato de Colaboración Empresarial con Google a los efectos de sus interacciones.

Si bien Google proporciona una infraestructura segura y conforme (como se describe anteriormente) para el almacenamiento y procesamiento de PHI, el cliente es responsable de garantizar que el entorno y las aplicaciones que crea basándose en Google Cloud Platform estén debidamente configurados y protegidos de acuerdo con los requisitos de la HIPAA. Esto es comúnmente conocido como el modelo de seguridad compartida en la nube.

Prácticas recomendadas esenciales:

  • Formaliza un Contrato de Colaboración Empresarial de Google Cloud. Puedes solicitar uno directamente a tu gestor de cuentas.
  • Cuando trabajes con PHI, inhabilita los productos de Google Cloud que no estén cubiertos explícitamente por el Contrato de Colaboración Empresarial o asegúrate de alguna otra forma de que no los estés utilizando (puedes consultar los productos en cuestión en esta sección).

Prácticas técnicas recomendadas:

  • Sigue las prácticas recomendadas de IAM al configurar quién tiene acceso a tu proyecto. En particular, debido a que las cuentas de servicio se pueden usar para acceder a los recursos, asegúrate de que el acceso a esas cuentas y a sus claves esté estrictamente controlado.
  • Determina si tu organización tiene otros requisitos de encriptado aparte de los requeridos por la norma de seguridad de la HIPAA. Todo el contenido del cliente se encripta en reposo en Google Cloud Platform. Consulta nuestro artículo técnico sobre el encriptado para obtener más detalles y conocer las excepciones.
  • Si utilizas Cloud Storage, plantéate la posibilidad de habilitar el control de versiones de los objetos para proporcionar un archivo de esos datos y permitir su recuperación en caso de eliminación accidental. Además, consulta y sigue las instrucciones indicadas en las consideraciones de seguridad y privacidad antes de usar gsutil para interactuar con Cloud Storage.
  • Configura los destinos de exportación del registro de auditoría. Te recomendamos encarecidamente que exportes los registros de auditoría a Google Cloud Storage para archivarlos a largo plazo, así como a Google BigQuery si tienes cualquier otra necesidad legal, de análisis o de supervisión. Configura el control de acceso para los destinos que mejor se ajuste a tu organización.
  • Configura el control de acceso para los registros que mejor se ajuste a tu organización. Los usuarios con el rol de lector de registros pueden acceder a los registros de auditoría de la actividad administrativa, y los que cuenten con el rol de lector de registros privados pueden acceder a los registros de auditoría del acceso a los datos.
  • Revisa regularmente los registros de auditoría para garantizar la seguridad y el cumplimiento de los requisitos. Como se ha señalado anteriormente, BigQuery es una excelente plataforma para analizar registros a gran escala. También te recomendamos aprovechar los sistemas de gestión de eventos e información de seguridad (SIEM) de nuestras integraciones de terceros para demostrar el cumplimiento mediante el análisis de registros.
  • Cuando crees o configures índices en Cloud Datastore, encripta la PHI, las credenciales de seguridad y otros datos sensibles antes de utilizarlos como la clave de entidad, la clave de propiedad indexada o el valor de propiedad indexada en el índice. Consulta la documentación de Cloud Datastore para conseguir información sobre cómo crear o configurar índices.
  • Cuando crees o actualices agentes de Dialogflow Enterprise, no incluyas credenciales de seguridad o PHI en la definición de los agentes (por ejemplo, Intents, Frases de preparación y Entidades).
  • Cuando crees o actualices recursos, no incluyas credenciales de seguridad o PHI al especificar los metadatos de un recurso, ya que esos datos pueden capturarse en los registros. Los registros de auditoría nunca incluyen los contenidos de datos de un recurso o los resultados de una consulta, pero puede que se capturen metadatos de recursos.

Productos con cobertura

El Contrato de Colaboración Empresarial de Google Cloud abarca toda la infraestructura de GCP (todas las regiones, todas las zonas, todas las rutas de red y todos los puntos de presencia) y los siguientes productos:

  • App Engine
  • Cloud Armor
  • Cloud AutoML Natural Language
  • Cloud AutoML Translation
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery Data Transfer Service
  • Cloud Bigtable
  • Consola de Cloud
  • Cloud Composer
  • Data Loss Prevention de Cloud
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Deployment Manager
  • Cloud Firestore
  • Cloud Functions
  • Cloud Genomics
  • Cloud Healthcare
  • Cloud Identity
  • Cloud Identity‑Aware Proxy
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud Machine Learning Engine
  • API Natural Language de Cloud
  • Cloud NAT
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Source Repositories
  • Cloud Spanner
  • API Cloud Speech
  • Cloud SQL para MySQL
  • Cloud SQL for PostgreSQL
  • API Cloud Service Consumer Management
  • Cloud Storage
  • API Cloud Translation
  • API Cloud Video Intelligence
  • API Cloud Vision
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Dialogflow Enterprise Edition
  • Google Service Management
  • Kubernetes Engine
  • Stackdriver Debugger
  • Stackdriver Error Reporting
  • Stackdriver Logging
  • Stackdriver Profiler
  • Stackdriver Trace
  • Servicio Transfer Appliance
  • Nube privada virtual (VPC)

Consulta el sitio web de cumplimiento de Google Cloud para obtener la lista más actualizada de los productos contemplados. Esta lista se actualiza a medida que están disponibles nuevos productos para el programa de la HIPAA.

Características exclusivas

Las prácticas de seguridad de GCP nos permiten tener un Contrato de Colaboración Empresarial en virtud de la HIPAA que cubre toda la infraestructura de GCP, no una parte de nuestra nube. Como resultado, no estarás restringido a una región específica que tenga beneficios de escalabilidad, operativos y arquitectónicos. También puedes beneficiarte de la redundancia de servicios en varias regiones, así como de la posibilidad de usar máquinas virtuales no garantizadas para reducir costes.

Las medidas de seguridad y cumplimiento que nos permiten facilitar el cumplimiento de la HIPAA están profundamente arraigadas en nuestra infraestructura, diseño de seguridad y productos. Por ello, podemos ofrecer a los clientes regulados por la HIPAA los mismos productos al mismo precio que para el resto de los clientes, incluidos los descuentos por uso continuado. Al contrario que nosotros, otros proveedores cobran más por las nubes que cumplen los requisitos de la HIPAA.

Conclusión

Google Cloud Platform es la infraestructura en la nube en la que los clientes pueden almacenar, analizar y obtener información de manera segura de los datos de salud, sin tener que preocuparse por la infraestructura subyacente.

Otros recursos

¿Te ha resultado útil esta página? Enviar comentarios: