Conformità HIPAA su Google Cloud Platform

Questa guida illustra la conformità HIPAA su Google Cloud Platform. La conformità HIPAA per G Suite è illustrata separatamente.

Disclaimer

Questa guida viene fornita unicamente a scopo informativo. Le informazioni e i suggerimenti forniti da Google in questa guida non devono essere interpretati come una consulenza legale. Ogni cliente è responsabile di valutare autonomamente come fare uso dei servizi in modo da adempiere ai propri obblighi di conformità legale.

Pubblico di destinazione

Google Cloud Platform supporta la conformità HIPAA per i clienti soggetti ai requisiti dell'Health Insurance Portability and Accountability Act (noto come HIPAA, inclusi i requisiti previsti dall'Health Information Technology for Economic and Clinical Health Act, o HITECH). Questa guida è destinata ai responsabili della sicurezza, ai responsabili della conformità, agli amministratori IT e a tutti i dipendenti coinvolti nell'implementazione e nella verifica della conformità ai requisiti HIPAA su Google Cloud Platform. Nella guida viene illustrato in che modo Google è in grado di supportare la conformità HIPAA e come configurare i progetti Google Cloud per soddisfare i requisiti HIPAA.

Definizioni

I termini in maiuscolo utilizzati, ma non altrimenti definiti in questo documento, hanno lo stesso significato a essi attribuito dalle normative HIPAA. Inoltre, ai fini del presente documento, per Dati sanitari protetti (PHI) si intendono i PHI che Google riceve da un'"Entità coperta".

Panoramica

È importante notare che non esiste alcuna certificazione riconosciuta dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS) per la conformità HIPAA e che la responsabilità per la conformità a HIPAA è condivisa tra il cliente e Google. In particolare, la normativa HIPAA richiede la conformità alla Security Rule, alla Privacy Rule e alla Breach Notification Rule. Google Cloud Platform supporta la conformità HIPAA (nell'ambito di un Contratto di società in affari), ma comunque i clienti rimangono responsabili della valutazione della propria conformità HIPAA.

Google stipulerà Contratti di società in affari con i clienti ai sensi della normativa HIPAA. La piattaforma Google Cloud Platform è stata realizzata con la supervisione di un team dedicato alla sicurezza di oltre 700 persone, un numero ben superiore alla maggior parte dei team di sicurezza on-premise. Per informazioni dettagliate sul nostro approccio alla sicurezza e alla protezione dei dati, inclusi dettagli sui controlli organizzativi e tecnici riguardanti il modo in cui Google protegge i tuoi dati, leggi i documenti White paper sulla sicurezza di Google e Google Infrastructure Security Design Overview.

Oltre a documentare il proprio approccio alla progettazione della sicurezza e della privacy, Google si sottopone regolarmente a diversi controlli indipendenti di terze parti per fornire ai clienti una verifica esterna (di seguito i link ai rapporti e ai certificati). Questo significa che revisori indipendenti esaminano le misure di controllo vigenti nei nostri data center, nella nostra infrastruttura e nelle nostre procedure operative. Google si sottopone a controlli annuali per i seguenti standard:

  • SSAE16/ISAE 3402 Type II. Scarica il rapporto pubblico associato SOC 3. Il rapporto SOC 2 può essere ottenuto in seguito alla sottoscrizione di un accordo di non divulgazione (NDA).
  • ISO 27001. Google ha ottenuto le certificazioni ISO 27001 per i sistemi, le applicazioni, le persone, la tecnologia, i processi e i data center di Google Cloud Platform. Il nostro certificato ISO 27001 è disponibile nella sezione relativa alla conformità del nostro sito web.
  • ISO 27017 - Sicurezza nel cloud. Si tratta di uno standard internazionale, specifico per i servizi cloud, che definisce le prassi per i controlli di sicurezza delle informazioni basati sulla norma ISO/IEC 27002. Il nostro certificato ISO 27017 è disponibile nella sezione relativa alla conformità del nostro sito web.
  • ISO 27018 - Privacy nel cloud. Si tratta di uno standard internazionale che definisce le prassi per la protezione delle informazioni personali (PII) nei servizi cloud pubblici. Il nostro certificato ISO 27018 è disponibile nella sezione relativa alla conformità del nostro sito web.
  • FedRAMP ATO
  • PCI DSS v3.2

Oltre ad assicurare la riservatezza, l'integrità e la disponibilità dell'ambiente di Google, l'approccio Google ai controlli di terze parti è concepito per attestare l'impegno di Google a garantire la massima sicurezza delle informazioni. I clienti possono fare riferimento ai rapporti dei controlli di terze parti per valutare in che modo i prodotti Google possono soddisfare le loro esigenze di conformità HIPAA.

Responsabilità del cliente

Una delle principali responsabilità del cliente è quella di determinare se si è o meno un'Entità coperta (o un Socio in affari di un'Entità coperta) e, nel caso, se è necessario un Contratto di società in affari con Google ai fini delle loro interazioni.

Mentre Google fornisce un'infrastruttura sicura e conforme (come descritto sopra) per l'archiviazione e il trattamento di PHI, il cliente ha la responsabilità di garantire che l'ambiente e le applicazioni che crea su Google Cloud Platform siano correttamente configurati e protetti in base ai requisiti HIPAA. Per questo motivo si parla spesso di modello di sicurezza condivisa nel cloud.

Best practice fondamentali:

  • Esegui un Contratto di società in affari (BAA) Google Cloud. È possibile richiedere un BAA direttamente al proprio account manager.
  • Disabilita o comunque assicurati di non utilizzare, durante il trattamento di PHI, i prodotti Google Cloud che non sono espressamente coperti dal BAA (vedi Prodotti coperti).

Best practice tecniche consigliate:

  • Utilizza le best practice IAM durante la configurazione degli accessi al tuo progetto. In particolare, poiché gli account di servizio possono essere utilizzati per accedere alle risorse, è necessario assicurarsi che l'accesso a tali account di servizio e alle chiavi degli account di servizio sia sottoposto a un rigido controllo.
  • Determina se la tua organizzazione abbia requisiti di crittografia ulteriori a quelli richiesti dalla Security Rule HIPAA. Su Google Cloud Platform, tutti i contenuti dei clienti vengono criptati quando inattivi. Consulta il white paper sulla crittografia per ulteriori dettagli ed eventuali eccezioni.
  • Se utilizzi Cloud Storage, è opportuno attivare il Controllo delle versioni degli oggetti per generare un archivio per tali dati e per consentire l'annullamento dell'eliminazione in caso di cancellazione accidentale dei dati. Inoltre, prima di utilizzare gsutil per interagire con Cloud Storage, esamina e segui le indicazioni fornite nel documento relativo alle considerazioni su privacy e sicurezza.
  • Configura le destinazioni delle esportazioni degli audit log. Google incoraggia l'esportazione degli audit log in Cloud Storage per l'archiviazione a lungo termine e in BigQuery per eventuali esigenze in termini di analisi, monitoraggio e/o conformità legale. Assicurati di configurare il controllo degli accessi alle destinazioni appropriato alla tua organizzazione.
  • Configura il controllo degli accessi ai log appropriato alla tua organizzazione. Gli audit log per le Attività degli amministratori possono essere consultati dagli utenti con il ruolo Visualizzatore log, mentre gli audit log per l'Accesso ai dati possono essere consultati dagli utenti con il ruolo Visualizzatore log privati.
  • Esamina regolarmente gli audit log per garantire la sicurezza e la conformità ai requisiti. Come spiegato in precedenza, BigQuery rappresenta un'ottima piattaforma per l'analisi dei log su larga scala. Valuta inoltre l'opportunità di utilizzare piattaforme SIEM offerte dalle nostre integrazioni di terze parti per accertare la conformità tramite l'analisi dei log.
  • Durante la creazione o la configurazione degli indici in Cloud Datastore, cripta eventuali PHI, credenziali di sicurezza o altri dati sensibili prima di utilizzarli come chiave di entità, chiave di proprietà indicizzata o valore di proprietà indicizzata per gli indici. Consulta la documentazione di Cloud Datastore per informazioni sulla creazione e/o la configurazione di indici.
  • Durante la creazione o l'aggiornamento degli agenti di Dialogflow Enterprise, assicurati di non includere PHI o credenziali di sicurezza in nessun punto della definizione dell'agente, inclusi Intenti, Frasi di addestramento ed Entità.
  • Durante la creazione o l'aggiornamento delle risorse, assicurati di non includere PHI o credenziali di sicurezza quando specifichi i metadati di una risorsa, poiché tali informazioni potrebbero essere acquisite nei log. Gli audit log non includono mai i contenuti di una risorsa o i risultati di una query nei log, ma potrebbero essere acquisiti i metadati delle risorse.
  • Usa le pratiche di Identity Platform quando utilizzi Identity Platform per il tuo progetto.

Prodotti coperti

Il BAA di Google Cloud copre l'intera infrastruttura di GCP (tutte le aree geografiche, tutte le zone, tutti i percorsi di rete, tutti i punti di presenza) e i seguenti prodotti:

  • App Engine
  • Cloud Armor
  • Cloud AutoML Natural Language
  • Cloud AutoML Translation
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery Data Transfer Service
  • Cloud Bigtable
  • Cloud Console
  • Cloud Composer
  • Cloud Data Loss Prevention
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Firestore
  • Cloud Functions
  • Cloud Genomics
  • Cloud Healthcare
  • Cloud Identity
  • Cloud Identity-Aware Proxy
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud Machine Learning Engine
  • Cloud Memorystore
  • API Cloud Natural Language
  • Cloud NAT
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Source Repositories
  • Cloud Spanner
  • API Cloud Speech
  • Cloud SQL per MySQL
  • Cloud SQL per PostgreSQL
  • API Cloud Service Consumer Management
  • Cloud Storage
  • API Cloud Translation
  • API Cloud Video Intelligence
  • API Cloud Vision
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Dialogflow
  • Google Service Control
  • Google Service Management
  • Identity Platform
  • Kubernetes Engine
  • Persistent Disk
  • Stackdriver Debugger
  • Stackdriver Error Reporting
  • Stackdriver Logging
  • Stackdriver Profiler
  • Stackdriver Trace
  • Servizio Transfer Appliance
  • Virtual Private Cloud (VPC)

Per un elenco aggiornato dei prodotti coperti, consulta il sito della conformità di Google Cloud. Questo elenco viene aggiornato quando vengono resi disponibili nuovi prodotti per il programma HIPAA.

Caratteristiche uniche

Le pratiche di sicurezza di GCP ci consentono di avere un BAA HIPAA che copre l'intera infrastruttura di GCP, e non solo una porzione riservata del nostro cloud. Di conseguenza, non si è limitati a un'area geografica specifica, con conseguenti vantaggi in termini di scalabilità, operatività e architettura. Puoi trarre vantaggio anche dalla ridondanza dei servizi in più aree geografiche e dalla possibilità di utilizzare le VM prerilasciabili per ridurre i costi.

Le misure di sicurezza e conformità che ci consentono di supportare la conformità HIPAA sono profondamente radicate nella nostra infrastruttura, nella progettazione della sicurezza e nei prodotti. Pertanto, possiamo offrire ai clienti regolamentati HIPAA gli stessi prodotti disponibili per tutti i clienti, allo stesso prezzo, inclusi gli sconti per utilizzo sostenuto. Altri provider di cloud pubblici prevedono costi maggiori per i servizi cloud HIPAA, noi no.

Conclusioni

Google Cloud Platform è l'infrastruttura cloud in cui i clienti possono archiviare, analizzare e ottenere informazioni significative dai dati sanitari, in totale sicurezza, senza doversi preoccupare dell'infrastruttura sottostante.

Risorse aggiuntive

Hai trovato utile questa pagina? Facci sapere cosa ne pensi: