Conformité avec la loi HIPAA sur Google Cloud Platform

Ce guide traite de la conformité avec la loi HIPAA sur Google Cloud Platform. La conformité avec la loi HIPAA pour G Suite fait l'objet d'un guide distinct.

Clause de non-responsabilité

Le présent guide est fourni à titre informatif uniquement. Les informations ou recommandations qui y sont mentionnées n'ont pas vocation à constituer des conseils juridiques. Il appartient à chaque client d'évaluer indépendamment sa propre utilisation des services de manière appropriée afin de s'acquitter de ses obligations légales en matière de conformité.

Audience visée

Google Cloud Platform permet aux clients soumis aux exigences de la loi américaine HIPAA (Health Insurance Portability and Accountability Act, telle qu'elle a été amendée, y compris par la loi HITECH, Health Information Technology for Economic and Clinical Health Act) de s'y conformer. Ce guide est destiné aux responsables de la sécurité, aux responsables de la conformité, aux administrateurs informatiques et aux autres employés responsables de la mise en œuvre de la loi HIPAA et de la conformité avec ladite loi sur Google Cloud Platform. Après avoir lu ce guide, vous aurez compris comment Google peut vous permettre d'être en conformité avec la loi HIPAA et comment configurer les projets Google Cloud de façon à respecter vos responsabilités dans le cadre de cette loi.

Définitions

Tout terme commençant par une majuscule non défini dans le présent document a la même signification que dans la loi HIPAA. En outre, aux fins du présent document, les Données de santé protégées désignent les Données de santé protégées que Google reçoit d'une Covered Entity (Entité soumise à la loi HIPAA).

Présentation

Il est important de noter qu'il n'existe aucune certification reconnue par le département de la Santé et des Services sociaux (HHS) des États-Unis en ce qui concerne la conformité avec la loi HIPAA, et que ladite conformité relève de la responsabilité partagée du client et de Google. La loi HIPAA exige notamment la conformité avec la Security Rule (Règle de sécurité), la Privacy Rule (Règle de confidentialité) et la Breach Notification Rule (Règle de notification en cas de violation). Dans le cadre d'un Accord de partenariat, Google Cloud Platform rend possible la conformité avec la loi HIPAA, mais il appartient aux clients d'évaluer leur propre conformité avec ladite loi.

Google conclura des Accords de partenariat avec les clients lorsque la loi HIPAA l'exige. Google Cloud Platform a été conçu sous la direction d'une équipe de plus de 700 ingénieurs de sécurité, plus grande que la plupart des équipes de sécurité sur site. Vous trouverez des informations spécifiques sur notre approche de la sécurité et de la protection des données, y compris sur les contrôles organisationnels et techniques relatifs à la protection de vos données mis en place par Google, dans le livre blanc sur la sécurité de Google et la présentation de la sécurité sur l'infrastructure de Google.

Outre l'exposé de son approche en matière de sécurité et de prise en compte de la confidentialité, Google se soumet régulièrement à différents audits réalisés par des tiers indépendants, afin de fournir aux clients une validation externe (des liens vers les rapports et les certificats sont disponibles ci-dessous). Cela signifie qu'un auditeur indépendant examine les dispositifs de contrôle de nos centres de données, de notre infrastructure et de nos opérations. Google réalise chaque année des audits relatifs aux normes suivantes :

  • SSAE 16/ISAE 3402 Type II. Le rapport SOC 3 public associé peut être consulté à cette adresse. Le rapport SOC 2 peut être obtenu dans le cadre d'un NDA.
  • ISO 27001. Google a obtenu cette certification pour les systèmes, les applications, les personnes, la technologie, les processus et les centres de données qui fournissent les services Google Cloud Platform. Notre certificat ISO 27001 est disponible dans la section de notre site Web relative à la conformité.
  • ISO 27017, sécurité dans le cloud. Il s'agit d'une norme internationale sur les bonnes pratiques en matière de contrôle de la sécurité des informations. Elle est basée sur la norme ISO/IEC 27002 et est spécifiquement adaptée aux services cloud. Notre certificat ISO 27017 est disponible dans la section de notre site Web relative à la conformité.
  • ISO 27018, protection des données à caractère personnel dans le cloud. Il s'agit d'une norme internationale sur les bonnes pratiques relatives à la protection des informations personnelles dans les services cloud publics. Notre certificat ISO 27018 est disponible dans la section de notre site Web relative à la conformité.
  • FedRAMP ATO
  • PCI DSS v3.2

Ce système complet d'audits tiers permet à Google de garantir la confidentialité, l'intégrité et la disponibilité de son environnement, mais aussi de fournir l'assurance de son engagement en faveur d'une sécurité optimale des informations. Les clients peuvent se référer à ces rapports d'audit tiers pour évaluer dans quelle mesure les produits Google peuvent répondre à leurs besoins en matière de conformité avec la loi HIPAA.

Responsabilités du client

L'une des principales responsabilités du client est de déterminer s'il constitue une Entité soumise à la loi HIPAA ou un Partenaire d'une Entité soumise à la loi HIPAA (Business Associate of a Covered Entity) et, le cas échéant, si ses interactions avec Google requièrent la conclusion d'un Accord de partenariat avec Google.

Google fournit une infrastructure sécurisée et conforme (décrite ci-dessus) pour le stockage et le traitement des Données de santé protégées, mais il incombe au client de veiller à ce que l'environnement et les applications qu'il crée sur Google Cloud Platform soient configurés et sécurisés de manière adéquate conformément aux exigences de la loi HIPAA, ce que l'on appelle généralement un modèle de sécurité partagé dans le cloud.

Bonnes pratiques essentielles :

  • Mettez en place un Accord de partenariat Google Cloud. Vous pouvez le solliciter directement auprès de votre responsable de compte.
  • Lorsque vous travaillez avec des Données de santé protégées, désactivez les produits Google Cloud qui ne sont pas explicitement couverts par l'Accord de partenariat (consultez la section Produits couverts), ou assurez-vous ne pas les utiliser.

Bonnes pratiques techniques recommandées :

  • Utilisez les bonnes pratiques IAM lors de la configuration de l'accès à votre projet. Les comptes de service pouvant être utilisés pour accéder aux ressources, assurez-vous notamment que l'accès à ces comptes de service et aux clés de compte de service est étroitement contrôlé.
  • Déterminez si votre organisation a des exigences de chiffrement différentes de celles requises par la règle de sécurité de la loi HIPAA. Tous les contenus client sont chiffrés au repos sur Google Cloud Platform. Consultez notre livre blanc sur le chiffrement pour plus d'informations, y compris en ce qui concerne les exceptions éventuelles.
  • Si vous utilisez Cloud Storage, il est recommandé d'activer la Gestion des versions des objets afin de permettre l'archivage de ces données et de pouvoir annuler leur éventuelle suppression accidentelle. Par ailleurs, examinez et suivez les instructions fournies dans la section Considérations sur la sécurité et la confidentialité avant d'utiliser gsutil pour interagir avec Cloud Storage.
  • Configurez les destinations des exportations du journal d'audit. Nous vous encourageons fortement à exporter les journaux d'audit vers Cloud Storage pour l'archivage à long terme, ainsi que vers BigQuery pour tout besoin d'analyse, de surveillance et/ou d'examen. Veillez à configurer le contrôle d'accès pour les destinations appropriées dans le cadre de votre organisation.
  • Configurez un contrôle d'accès aux journaux adapté à votre organisation. Les utilisateurs dotés du rôle "Lecteur de journaux" peuvent accéder aux journaux d'audit relatifs aux activités d'administration, et les utilisateurs dotés du rôle "Lecteur des journaux privés" peuvent accéder aux journaux d'audit relatifs à l'accès aux données.
  • Examinez régulièrement les journaux d'audit afin de garantir la sécurité et la conformité aux exigences. Comme indiqué ci-dessus, BigQuery est une excellente plate-forme pour l'analyse de journaux à grande échelle. Vous pouvez également utiliser les plates-formes SIEM de nos intégrations tierces pour démontrer la conformité par le biais de l'analyse des journaux.
  • Lors de la création ou de la configuration des index dans Cloud Datastore, chiffrez les Données de santé protégées, les informations d'identification de sécurité et les autres données sensibles avant de les utiliser comme clé d'entité, clé de propriété indexée ou valeur de propriété indexée pour l'index. Consultez la documentation Cloud Datastore pour plus d'informations sur la création et/ou la configuration des index.
  • Lors de la création ou de la mise à jour d'Agents Dialogflow Enterprise, veillez à ne pas inclure de Données de santé protégées ni d'informations d'identification de sécurité dans la définition de l'agent, y compris dans les Intents, les Phrases d'entraînement et les Entités.
  • Lors de la création ou de la mise à jour de ressources, veillez à ne pas inclure de Données de santé protégées ni d'informations d'identification de sécurité lorsque vous spécifiez les métadonnées, car ces informations peuvent être enregistrées dans les journaux. Les journaux d'audit n'incluent jamais le contenu des données d'une ressource ni les résultats d'une requête effectuée dans les journaux, mais les métadonnées des ressources peuvent être recueillies.
  • Adoptez les pratiques Identity Platform lorsque vous utilisez ce service pour votre projet.

Produits couverts

L'Accord de partenariat avec Google Cloud couvre l'intégralité de l'infrastructure de GCP (l'ensemble des régions, zones, chemins réseau et points de présence), ainsi que les produits suivants :

  • App Engine
  • Cloud Armor
  • Cloud AutoML Natural Language
  • Cloud AutoML Translation
  • Cloud AutoML Vision
  • BigQuery
  • Service de transfert de données BigQuery
  • Cloud Bigtable
  • Cloud Console
  • Cloud Composer
  • Cloud Data Loss Prevention
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Firestore
  • Cloud Functions
  • Cloud Genomics
  • Cloud Healthcare
  • Cloud Identity
  • Cloud Identity-Aware Proxy
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud Machine Learning Engine
  • Cloud Memorystore
  • API Cloud Natural Language
  • Cloud NAT
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Source Repositories
  • Cloud Spanner
  • API Cloud Speech
  • Cloud SQL pour MySQL
  • Cloud SQL pour PostgreSQL
  • API Cloud Service Consumer Management
  • Cloud Storage
  • API Cloud Translation
  • API Cloud Video Intelligence
  • API Cloud Vision
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Dialogflow
  • Google Service Control
  • Google Service Management
  • Identity Platform
  • Kubernetes Engine
  • Persistent Disk
  • Stackdriver Debugger
  • Stackdriver Error Reporting
  • Stackdriver Logging
  • Stackdriver Profiler
  • Stackdriver Trace
  • Service Transfer Appliance
  • Virtual Private Cloud (VPC)

Veuillez vous reporter au site Google Cloud relatif à la conformité pour obtenir la liste la plus récente des produits concernés. Cette liste est mise à jour à mesure que de nouveaux produits deviennent disponibles dans le programme HIPAA.

Fonctionnalités uniques

Les pratiques de sécurité de GCP permettent à Google de disposer d'un Accord de partenariat HIPAA couvrant l'ensemble de l'infrastructure de GCP, et non une partie réservée de notre cloud. Par conséquent, vous n'êtes pas limité à une région spécifique, ce qui présente des avantages en termes d'évolutivité, d'opération et d'architecture. Vous pouvez également bénéficier d'une redondance multirégionale des services ainsi que de la possibilité d'utiliser des machines virtuelles préemptives pour réduire les coûts.

Les mesures de sécurité et de conformité qui nous permettent de rendre possible la conformité avec la loi HIPAA sont profondément enracinées dans notre infrastructure, notre conception de la sécurité et nos produits. Ainsi, nous pouvons offrir aux clients soumis à la loi HIPAA les mêmes produits aux mêmes prix que ceux proposés à tous les clients, y compris les remises automatiques proportionnelles à une utilisation soutenue. Les autres clouds publics surfacturent l'utilisation de leur cloud HIPAA, mais pas Google.

Conclusion

Google Cloud Platform est l'infrastructure cloud dans laquelle les clients peuvent stocker les informations de santé, les analyser et en tirer des insights en toute sécurité, sans avoir à se soucier de l'infrastructure sous-jacente.

Autres ressources

Cette page vous a-t-elle été utile ? Évaluez-la :