Conformité avec la loi HIPAA sur Google Cloud Platform

Ce guide traite de la conformité avec la loi HIPAA sur Google Cloud Platform. La conformité avec la loi HIPAA pour Google Workspace est traitée séparément.

Clause de non-responsabilité

Le présent guide est fourni à titre informatif uniquement. Les informations ou recommandations qui y sont mentionnées n'ont pas vocation à constituer des conseils juridiques. Il appartient à chaque client d'évaluer indépendamment sa propre utilisation des services de manière appropriée afin de s'acquitter de ses obligations légales en termes de conformité.

Audience visée

Google Cloud Platform permet aux clients soumis aux exigences de la loi américaine HIPAA (Health Insurance Portability and Accountability Act, telle qu'elle a été amendée, y compris par la loi HITECH, Health Information Technology for Economic and Clinical Health Act) de s'y conformer. Ce guide est destiné aux responsables de la sécurité, aux responsables de la conformité, aux administrateurs informatiques, et aux autres employés responsables de la mise en œuvre de la loi HIPAA et de la conformité avec ladite loi sur Google Cloud Platform. Après avoir lu ce guide, vous aurez compris comment Google peut vous permettre d'être en conformité avec la loi HIPAA et comment configurer les projets Google Cloud de façon à respecter vos responsabilités dans le cadre de cette loi.

Définitions

Tout terme commençant par une majuscule non défini dans le présent document a la même signification que dans la loi HIPAA. En outre, aux fins du présent document, les Données de santé protégées désignent les Données de santé protégées que Google reçoit d'une Entité soumise à la loi HIPAA.

Présentation

Il est important de noter qu'il n'existe aucune certification reconnue par le département de la Santé et des Services sociaux (HHS) des États-Unis en ce qui concerne la conformité avec la loi HIPAA, et que ladite conformité relève de la responsabilité partagée du client et de Google. La loi HIPAA exige par exemple la conformité avec la Security Rule (Règle de sécurité), la Privacy Rule (Règle de confidentialité) et la Breach Notification Rule (Règle de notification en cas de violation). Dans le cadre d'un Accord de partenariat, Google Cloud Platform rend possible la conformité avec la loi HIPAA, mais il appartient aux clients d'évaluer leur propre conformité avec ladite loi.

Google conclura des Accords de partenariat avec les clients lorsque la loi HIPAA l'exige. Google Cloud Platform a été conçu sous la direction d'une équipe de plus de 700 ingénieurs de sécurité, plus grande que la plupart des équipes de sécurité sur site. Vous trouverez des informations spécifiques sur notre approche de la sécurité et de la protection des données, y compris sur les contrôles organisationnels et techniques pour la protection de vos données mis en place par Google, dans le livre blanc sur la sécurité de Google et la présentation de la sécurité sur l'infrastructure de Google.

Outre l'exposé de son approche en matière de sécurité et de prise en compte de la confidentialité, Google se soumet régulièrement à différents audits réalisés par des tiers indépendants, afin de fournir aux clients une validation externe (des liens vers les rapports et les certificats sont disponibles ci-dessous). Cela signifie qu'un auditeur indépendant examine les dispositifs de contrôle de nos centres de données, de notre infrastructure et de nos opérations. Google réalise chaque année des audits relatifs aux normes suivantes :

  • SSAE16/ISAE 3402 Type II : le rapport SOC 3 public associé peut être consulté à cette adresse. Le rapport SOC 2 peut être obtenu dans le cadre d'un NDA.
  • ISO 27001 : Google a obtenu cette certification pour les systèmes, les applications, les personnes, la technologie, les processus et les centres de données qui fournissent les services Google Cloud Platform. Notre certificat ISO 27001 est disponible dans la section de notre site Web portant sur la conformité.
  • ISO 27017, sécurité dans le cloud. il s'agit d'une norme internationale sur les bonnes pratiques de contrôle de la sécurité des informations. Elle est basée sur la norme ISO/IEC 27002 et est spécifiquement adaptée aux services cloud. Notre certificat ISO 27017 est disponible dans la section de notre site Web portant sur la conformité.
  • ISO 27018, protection des données à caractère personnel dans le cloud. il s'agit d'une norme internationale sur les bonnes pratiques pour la protection des informations personnelles dans les services cloud publics. Notre certificat ISO 27018 est disponible dans la section de notre site Web portant sur la conformité.
  • FedRAMP ATO
  • PCI DSS v3.2.1

Ce système complet d'audits tiers permet à Google de garantir la confidentialité, l'intégrité et la disponibilité de son environnement, mais aussi de fournir l'assurance de son engagement en faveur d'une sécurité optimale des informations. Les clients peuvent se référer à ces rapports d'audit tiers pour évaluer dans quelle mesure les produits Google peuvent répondre à leurs besoins en matière de conformité avec la loi HIPAA.

Responsabilités du client

L'une des principales responsabilités du client est de déterminer s'il constitue une Entité soumise à la loi HIPAA ou un Partenaire d'une Entité soumise à la loi HIPAA (Business Associate of a Covered Entity) et, le cas échéant, si ses interactions avec Google requièrent la conclusion d'un Accord de partenariat avec Google.

Google fournit une infrastructure sécurisée et conforme (décrite ci-dessus) pour le stockage et le traitement des Données de santé protégées, mais il incombe au client de veiller à ce que l'environnement et les applications qu'il crée sur Google Cloud Platform soient configurés et sécurisés de manière adéquate conformément aux exigences de la loi HIPAA, ce que l'on appelle généralement un modèle de sécurité partagé dans le cloud.

Bonnes pratiques essentielles :

  • Mettez en place un Accord de partenariat Google Cloud. Vous pouvez le solliciter directement auprès de votre responsable de compte.
  • Lorsque vous travaillez avec des Données de santé protégées, désactivez les produits Google Cloud qui ne sont pas explicitement couverts par l'Accord de partenariat (consultez la section Produits couverts) ou assurez-vous ne pas les utiliser.

Bonnes pratiques techniques recommandées :

  • Utilisez les bonnes pratiques IAM lors de la configuration de l'accès à votre projet. Les comptes de service pouvant être utilisés pour accéder aux ressources, assurez-vous notamment que l'accès à ces comptes de service et aux clés de compte de service est étroitement contrôlé.
  • Déterminez si votre organisation a des exigences de chiffrement différentes de celles requises par la règle de sécurité de la loi HIPAA. Tous les contenus client sont chiffrés au repos sur Google Cloud Platform. Consultez notre livre blanc sur le chiffrement pour plus d'informations, y compris en ce qui concerne les exceptions éventuelles.
  • Si vous utilisez Cloud Storage, il est recommandé d'activer la Gestion des versions des objets afin de permettre l'archivage de ces données et de pouvoir annuler leur éventuelle suppression accidentelle. Par ailleurs, examinez et suivez les instructions fournies dans la section Considérations sur la sécurité et la confidentialité avant d'utiliser gsutil pour interagir avec Cloud Storage.
  • Configurez les destinations des exportations des journaux d'audit. Nous vous encourageons fortement à exporter les journaux d'audit vers Cloud Storage pour l'archivage à long terme, ainsi que vers BigQuery pour tout besoin d'analyse, de surveillance et/ou d'examen. Veillez à configurer le contrôle d'accès pour les destinations appropriées dans le cadre de votre organisation.
  • Configurez un contrôle des accès aux journaux adapté à votre organisation. Les utilisateurs dotés du rôle "Lecteur de journaux" peuvent accéder aux journaux d'audit relatifs aux activités d'administration, et les utilisateurs dotés du rôle "Lecteur des journaux privés" peuvent accéder aux journaux d'audit relatifs à l'accès aux données.
  • Examinez régulièrement les journaux d'audit afin de garantir la sécurité et la conformité aux exigences. Comme indiqué ci-dessus, BigQuery est une excellente plate-forme pour l'analyse de journaux à grande échelle. Vous pouvez également utiliser les plates-formes SIEM de nos intégrations tierces pour démontrer la conformité par le biais de l'analyse des journaux.
  • Lors de la création ou de la configuration des index dans Cloud Datastore, chiffrez les Données de santé protégées, les identifiants de sécurité et les autres données sensibles avant de les utiliser comme clé d'entité, clé de propriété indexée ou valeur de propriété indexée pour l'index. Consultez la documentation Cloud Datastore pour plus d'informations sur la création et/ou la configuration des index.
  • Lors de la création ou de la mise à jour d'Agents Dialogflow Enterprise, veillez à ne pas inclure de Données de santé protégées ni d'identifiants de sécurité dans la définition de l'agent, y compris dans les Intents, les Phrases d'entraînement et les Entités.
  • Lors de la création ou de la mise à jour de ressources, veillez à ne pas inclure de Données de santé protégées ni d'identifiants de sécurité lorsque vous spécifiez les métadonnées, car ces informations peuvent être enregistrées dans les journaux. Les journaux d'audit n'incluent jamais le contenu des données d'une ressource ni les résultats d'une requête effectuée dans les journaux, mais les métadonnées des ressources peuvent être recueillies.
  • Adoptez les pratiques Identity Platform lorsque vous utilisez ce service pour votre projet.
  • Lorsque vous utilisez les services Cloud Build pour le développement ou l'intégration continus, évitez d'inclure ou de stocker des Données de santé protégées dans les fichiers de configuration de compilation, les fichiers de contrôle sources ou autres artefacts de compilation.
  • Si vous utilisez Cloud CDN, assurez-vous d'avoir désactivé la mise en cache des Données de santé protégées. Consultez la documentation Cloud CDN pour en savoir plus sur les façons d'empêcher la mise en cache.
  • Si vous utilisez Cloud Speech-to-Text, et que vous avez conclu un Accord de partenariat avec Google couvrant les obligations liées aux Données de santé protégées en vertu de la loi HIPAA, vous ne devriez pas activer le programme de journalisation des données.
  • Si vous utilisez Google Cloud VMware Engine, il vous incombe de conserver les journaux d'accès au niveau de l'application pour une période appropriée, si nécessaire, afin de répondre aux exigences de la loi HIPAA.

Produits couverts

L'Accord de partenariat avec Google Cloud couvre l'intégralité de l'infrastructure de GCP (l'ensemble des régions, zones, chemins réseau et points de présence), ainsi que les produits suivants :

  • Access Context Manager
  • Access Transparency
  • Apigee
  • Apigee Hybrid
  • AI Platform
  • AI Platform Training et AI Platform Prediction
  • Anthos Config Management
  • Anthos Service Mesh
  • App Engine
  • Solution Bare Metal
  • Autorisation binaire
  • Cloud AI Notebooks
  • Cloud Armor
  • Inventaire des éléments cloud
  • Cloud AutoML Natural Language
  • Cloud AutoML Tables
  • Cloud AutoML Translation
  • Cloud AutoML Video
  • Cloud AutoML Vision
  • BigQuery
  • Service de transfert de données BigQuery
  • Cloud Bigtable
  • Cloud Build
  • Cloud CDN
  • Cloud Console
  • Application Cloud Console
  • Cloud Composer
  • Cloud Data Fusion
  • Cloud Data Labeling Service
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Debugger
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Firestore
  • Cloud Functions
  • Cloud Healthcare
  • Cloud HSM
  • Cloud Identity
  • Cloud Identity and Access Management
  • Cloud Identity-Aware Proxy
  • Cloud Interconnect
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Life Sciences (anciennement Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Memorystore
  • Cloud Monitoring
  • API Cloud Natural Language
  • Cloud NAT
  • Cloud Profiler
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Run (entièrement géré)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud Spanner
  • Cloud Speech-to-Text
  • Cloud SQL
  • API Cloud Service Consumer Management
  • Cloud Storage
  • Service de transfert de stockage Cloud Storage
  • Cloud Tasks
  • Cloud Trace
  • API Cloud Translation
  • Cloud Text-to-Speech
  • API Cloud Video Intelligence
  • API Cloud Vision
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Data Catalog
  • Dialogflow
  • Document AI
  • Error Reporting
  • Google Cloud VMware Engine (GCVE)
  • Google Service Control
  • Google Service Management
  • Identity Platform
  • Kubernetes Engine
  • Service géré pour Microsoft Active Directory (AD)
  • Niveaux de service réseau
  • Persistent Disk
  • Secret Manager
  • Security Command Center
  • Sensitive Data Protection (including Cloud Data Loss Prevention)
  • Annuaire des services
  • Traffic Director
  • Service Transfer Appliance
  • Virtual Private Cloud (VPC)
  • VPC Service Controls
  • Web Security Scanner

Veuillez vous reporter au site Google Cloud sur la conformité pour obtenir la liste la plus récente des produits concernés. Cette liste est mise à jour à mesure que de nouveaux produits deviennent disponibles dans le programme HIPAA.

Fonctionnalités uniques

Les pratiques de sécurité de GCP permettent à Google de disposer d'un Accord de partenariat HIPAA couvrant l'ensemble de l'infrastructure de GCP, et non une partie réservée de notre cloud. Par conséquent, vous n'êtes pas limité à une région spécifique, ce qui présente des avantages en termes d'évolutivité, d'opération et d'architecture. Vous pouvez également bénéficier d'une redondance multirégionale des services ainsi que de la possibilité d'utiliser des machines virtuelles préemptives pour réduire les coûts.

Les mesures de sécurité et de conformité qui nous permettent de rendre possible la conformité avec la loi HIPAA sont profondément enracinées dans notre infrastructure, notre conception de la sécurité et nos produits. Ainsi, nous pouvons offrir aux clients soumis à la loi HIPAA les mêmes produits aux mêmes prix que ceux proposés à tous les clients, y compris les remises automatiques proportionnelles à une utilisation soutenue. D'autres clouds publics surfacturent l'utilisation de leur cloud HIPAA, mais pas Google.

Conclusion

Google Cloud Platform est l'infrastructure cloud dans laquelle les clients peuvent stocker les informations de santé, les analyser et en tirer des insights en toute sécurité, sans avoir à se soucier de l'infrastructure sous-jacente.

Autres ressources