Conformidade com a HIPAA no Google Cloud Platform

Este guia abrange a conformidade com a HIPAA no Google Cloud Platform. A conformidade com a HIPAA para o G Suite é abordada separadamente.

Exoneração de responsabilidade

Este guia é apenas informativo. As informações e recomendações fornecidas aqui pelo Google não constituem assessoria jurídica. Cada cliente é responsável pela avaliação do próprio uso dos serviços, conforme apropriado, para conciliar as obrigações legais de conformidade.

Público-alvo

O Google Cloud Platform está em conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês) para clientes sujeitos aos requisitos da revisão da HIPAA, incluindo a Lei de Tecnologia da Informação em Saúde Econômica e Clínica (HITECH, na sigla em inglês). Este guia destina-se a agentes de segurança e de conformidade, administradores de TI e outros funcionários responsáveis pela implementação e conformidade com a HIPAA no Google Cloud Platform. Depois de ler este guia, você entenderá como o Google é capaz de acomodar a conformidade HIPAA e entenderá como configurar os Projetos de Google Cloud de forma a ajudar a cumprir responsabilidades no âmbito da HIPAA.

Definições

Qualquer termo em letras maiúsculas usado, mas não definido de outra forma, neste documento tem o mesmo significado que na HIPAA. Além disso, para os fins deste documento, o termo "Informações de Saúde Protegidas" (PHI, na sigla em inglês) significa a PHI que o Google recebe de uma Entidade Coberta.

Visão geral

É importante observar que não há nenhuma certificação reconhecida pelo Departamento de Saúde e Serviços Humanos dos Estados Unidos para conformidade HIPAA e que o cumprimento da HIPAA é de responsabilidade tanto do cliente quanto do Google. Especificamente, a HIPAA exige conformidade com a Regra de segurança, a Regra de privacidade e a Regra de notificação de violação (todas em inglês). O Google Cloud Platform acomoda a conformidade com a HIPAA (no âmbito de um Contrato de Parceiro Comercial); porém, em última análise, os clientes são responsáveis por avaliar a própria conformidade HIPAA.

O Google firmará Contratos de Parceiro Comercial com os clientes, conforme necessário, nos termos da HIPAA. O Google Cloud Platform foi criado sob a orientação de uma equipe de engenharia de segurança de mais de 700 pessoas, ou seja, mais numerosa do que a maioria das equipes de segurança locais. Para ver detalhes mais específicos sobre a nossa abordagem de segurança e proteção de dados, inclusive os detalhes dos controles organizacionais e técnicos relativos à maneira como o Google protege os dados, consulte o Whitepaper sobre segurança do Google e a Visão geral do esquema de segurança da infraestrutura do Google (ambos os whitepapers em inglês).

Além de documentar nossa abordagem da concepção de privacidade e segurança, o Google é submetido a várias auditorias de terceiros independentes regularmente para fornecer aos clientes verificação externa. Há links para relatórios e certificados abaixo. Isso significa que um auditor independente examinou os controles em data centers, infraestrutura e operações. O Google passa por auditorias anuais que seguem estes padrões:

  • SSAE16/ISAE 3402 Tipo II. Trata-se do relatório SOC 3 público associado. O relatório SOC 2 pode ser obtido por NDA.
  • ISO 27001. O Google recebeu as certificações ISO 27001 para sistemas, aplicativos, pessoas, tecnologia, processos e data centers que atendem ao Google Cloud Platform. O certificado ISO 27001 está disponível na seção de conformidade do site.
  • ISO 27017, Segurança na nuvem. Trata-se de um padrão internacional de conduta para controles de segurança de informações baseado no ISO/IEC 27002, especificamente para serviços de nuvem. O certificado ISO 27017 está disponível na seção de conformidade do site.
  • ISO 27018, Privacidade na nuvem. Trata-se de um padrão internacional de conduta para proteção de informações de identificação pessoal (PII) em serviços de nuvem pública. O certificado ISO 27018 está disponível na seção de conformidade do site.
  • FedRAMP ATO
  • PCI DSS v3.2

Além de assegurar confidencialidade, integridade e disponibilidade do ambiente do Google, nossa abordagem abrangente de auditoria de terceiros foi projetada para fornecer garantias do compromisso do Google em oferecer a melhor segurança de informação disponível no setor. Os clientes podem consultar esses relatórios de auditoria de terceiros para avaliar como os produtos do Google podem atender às necessidades de conformidade HIPAA.

Responsabilidades do cliente

Uma das principais responsabilidades de um cliente é determinar se é ou não uma Entidade Coberta (ou um Parceiro Comercial de uma Entidade Coberta) e, em caso afirmativo, se requer um Contrato de Parceiro Comercial com o Google para os fins das interações.

O Google oferece uma infraestrutura segura e compatível (conforme descrito acima) para armazenamento e processamento de PHI, mas o cliente é responsável por assegurar que o ambiente e os aplicativos que ele desenvolve no Google Cloud Platform estejam devidamente configurados e protegidos de acordo com os requisitos da HIPAA. Isso geralmente é chamado de modelo de segurança compartilhado na nuvem.

Práticas essenciais:

  • Firme um Acordo de Parceiro de Negócios (BAA) do Google Cloud. Solicite um BAA diretamente ao gerente de conta.
  • Desative ou garanta que não sejam usados produtos do Google Cloud não cobertos explicitamente pelo BAA. Consulte Produtos cobertos ao trabalhar com PHI.

Práticas técnicas recomendadas:

  • Use as práticas recomendadas de IAM ao configurar quem tem acesso ao projeto. Especificamente, como as contas de serviço podem ser usadas para acessar recursos, fiscalize o acesso a elas e às respectivas chaves de forma estritamente controlada.
  • Determine se a organização tem requisitos de criptografia além do que é exigido pela regra de segurança da HIPAA. Todo o conteúdo dos clientes é criptografado em repouso no Google Cloud Platform. Consulte o whitepaper sobre criptografia para mais detalhes e quaisquer exceções.
  • Se você estiver usando o Cloud Storage, considere ativar o controle de versões de objetos para criar um arquivo para esses dados e permitir o cancelamento de exclusão em caso de exclusão acidental. Além disso, analise e siga as orientações fornecidas nas Considerações sobre segurança e privacidade antes de usar a gsutil para interagir com o Cloud Storage.
  • Configure os destinos de exportação do registro de auditoria. É muito importante exportar os registros de auditoria para o Cloud Storage e fazer um arquivamento de longo prazo, bem como para o BigQuery caso haja qualquer necessidade de análise, de monitoramento e/ou forense. Não esqueça de configurar o controle de acesso para os destinos apropriados à organização.
  • Configure o controle de acesso para os registros apropriados à organização. Os registros de auditoria de atividade de administrador podem ser acessados pelos usuários com o papel Visualizador de registros, e os registros de auditoria de acesso a dados podem ser acessados pelos usuários com o papel Visualizador de registros privados.
  • Analise regularmente os registros de auditoria para garantir segurança e conformidade com os requisitos. Como foi mencionado acima, o BigQuery é uma excelente plataforma para análise de registros em grande escala. Aproveite também as plataformas SIEM das integrações com parceiros para demonstrar conformidade por meio de análise de registros.
  • Ao criar ou configurar índices no Cloud Datastore, criptografe qualquer PHI, credencial de segurança ou outros dados confidenciais antes de usá-los como chave de entidade, chave de propriedade indexada ou valor da propriedade indexada para o índice. Consulte a documentação do Cloud Datastore para ver informações sobre como criar e/ou configurar índices.
  • Ao criar ou atualizar o Dialogflow Enterprise Agents, evite incluir PHI ou credenciais de segurança em qualquer lugar da definição do agente, incluindo intents, frases de treinamento e entidades.
  • Ao criar ou atualizar recursos, evite incluir PHI ou credenciais de segurança ao especificar os metadados de um recurso, já que essas informações podem ser capturadas nos registros. Os registros de auditoria nunca incluem o conteúdo de dados de um recurso ou os resultados de uma consulta aos registros, mas os metadados de recursos podem ser capturados.
  • Ao usar o Identity Platform no seu projeto, use as práticas da plataforma (em inglês).
  • Ao usar os serviços do Cloud Build para integração ou desenvolvimento contínuos, evite incluir ou armazenar PHI em arquivos de configuração de versão, arquivos de controle de origem ou outros artefatos de versão.

Produtos cobertos

O BAA do Google Cloud cobre toda a infraestrutura do GCP (todas as regiões, todas as zonas, todos os caminhos de rede, todos os pontos de presença) e os seguintes produtos:

  • App Engine
  • Notebooks do Cloud AI
  • Cloud Armor
  • Cloud AutoML Natural Language
  • Cloud AutoML Tables
  • Cloud AutoML Translation
  • Cloud AutoML Vision
  • BigQuery
  • Serviço de transferência de dados do BigQuery
  • Cloud Bigtable
  • Cloud Build
  • Console do Cloud
  • Cloud Composer
  • Cloud Data Fusion
  • Cloud Data Labeling Service
  • Cloud Data Loss Prevention
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Firestore
  • Cloud Functions
  • Cloud Genomics
  • Cloud Healthcare
  • Cloud HSM
  • Cloud Identity
  • Cloud Identity-Aware Proxy
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud Machine Learning Engine
  • Cloud Memorystore
  • API Cloud Natural Language
  • Cloud NAT
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Source Repositories
  • Cloud Spanner
  • API Cloud Speech
  • Cloud SQL para MySQL
  • Cloud SQL para PostgreSQL
  • API Cloud Service Consumer Management
  • Cloud Storage
  • API Cloud Translation
  • Cloud Text-to-Speech
  • API Cloud Video Intelligence
  • API Cloud Vision
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Dialogflow
  • Google Service Control
  • Google Service Management
  • Identity Platform
  • Kubernetes Engine
  • Network Service Tiers
  • Persistent Disk
  • Stackdriver Debugger
  • Stackdriver Error Reporting
  • Stackdriver Logging
  • Stackdriver Profiler
  • Stackdriver Trace
  • Transfer Appliance Service
  • Nuvem privada virtual (VPC)
  • VPC Service Controls

Consulte o site de conformidade do Google Cloud para ver a lista mais atual de produtos cobertos. Essa lista é atualizada à medida que novos produtos ficam disponíveis para o programa HIPAA.

Características exclusivas

As práticas de segurança do GCP nos permitem ter um BAA HIPAA cobrindo toda a infraestrutura do GCP, e não uma parte separada da nuvem. Como resultado, você não fica restrito a uma região específica que tenha benefícios de escalonamento, operações e arquitetura. Você também pode se beneficiar da redundância de serviços de várias regiões, bem como da capacidade de usar VMs preemptivas para reduzir custos.

As medidas de segurança e conformidade que nos permitem acomodar a conformidade com a HIPAA estão profundamente enraizadas na infraestrutura, no projeto de segurança e nos produtos. Desse modo, podemos oferecer aos clientes regulamentados pela HIPAA os mesmos produtos com os mesmos preços disponíveis para todos os clientes, incluindo descontos por uso prolongado. Outras nuvens públicas cobram a mais pela nuvem HIPAA. Nós não fazemos isso.

Conclusão

O Google Cloud Platform é a infraestrutura de nuvem em que os clientes podem armazenar, analisar e ter insights de informações de saúde de modo seguro, sem preocupação com infraestrutura.

Recursos adicionais

Esta página foi útil? Conte sua opinião sobre: