Conformidade HIPAA no Google Cloud Platform

Este guia abrange a conformidade HIPAA no Google Cloud Platform. A conformidade HIPAA para o G Suite é abordada separadamente

Exoneração de responsabilidade

Este guia é apenas informativo. O Google não pretende que as informações ou recomendações deste guia ofereçam assessoria jurídica. Cada cliente é responsável por avaliar de modo independente o próprio uso dos serviços, conforme apropriado, para acomodar as obrigações de conformidade jurídica.

Público pretendido

O Google Cloud Platform é compatível com a conformidade HIPAA no caso dos clientes sujeitos aos requisitos da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês), conforme alterada, inclusive pela Lei de Tecnologia de Informação em Saúde da Economia e da Saúde Clínica (HITECH, na sigla em inglês). Este guia destina-se a agentes de segurança, agentes de conformidade, administradores de TI e outros funcionários responsáveis por implementação e conformidade da HIPAA no Google Cloud Platform. Depois de ler este guia, você entenderá como o Google é capaz de acomodar a conformidade HIPAA e entenderá como configurar o Google Cloud Projects para ajudar a cumprir responsabilidades no âmbito da HIPAA.

Definições

Qualquer termo em letras maiúsculas usado, mas não definido de outra forma neste documento, tem o mesmo significado que em HIPAA. Além disso, para os fins deste documento, o termo "informações de saúde protegidas" (PHI, na sigla em inglês) significa o PHI que o Google recebe de uma entidade coberta.

Visão geral

É importante observar que não há nenhuma certificação reconhecida pelo Departamento de Saúde e Serviços Humanos dos Estados Unidos para conformidade HIPAA e que o cumprimento da HIPAA é de responsabilidade tanto do cliente quanto do Google. Especificamente, a HIPAA exige conformidade com a Regra de Segurança, a Regra de Privacidade e a Regra de Notificação de Violação. O Google Cloud Platform acomoda a conformidade HIPAA (no âmbito de um contrato de parceiro comercial), mas, em última análise, os clientes são responsáveis por avaliar a própria conformidade HIPAA.

O Google firmará contratos de parceiro comercial com os clientes, conforme necessário, nos termos da HIPAA. O Google Cloud Platform foi criado sob a orientação de uma equipe de engenharia de segurança de mais de 700 pessoas, ou seja, mais gente do que a maioria das equipes de segurança locais. Detalhes específicos sobre a abordagem a segurança e proteção de dados, incluindo controles organizacionais e técnicos sobre o modo como o Google protege os dados, podem ser encontrados no Artigo sobre segurança do Google e na Visão geral do design de segurança da infraestrutura do Google.

Além de documentar nossa abordagem de design de privacidade e segurança, o Google é submetido a várias auditorias de terceiros independentes regularmente para fornecer aos clientes verificação externa. Há links para relatórios e certificados abaixo. Isso significa que um auditor independente examinou os controles existentes em data centers, infraestrutura e operações. O Google passa por auditorias anuais que seguem estes padrões:

  • SSAE16/ISAE 3402 Tipo II. Trata-se do relatório SOC 3 público associado. Pode-se receber o relatório SOC 2 por NDA.
  • ISO 27001. O Google recebeu as certificações ISO 27001 para sistemas, aplicativos, pessoas, tecnologia, processos e data centers que atendem ao Google Cloud Platform. O certificado ISO 27001 está disponível na seção de conformidade do site.
  • ISO 27017, Segurança na nuvem. Trata-se de um padrão internacional de conduta para controles de segurança de informações baseado no ISO/IEC 27002, especificamente para serviços de nuvem. O certificado ISO 27017 está disponível na seção de conformidade do site.
  • ISO 27018, Privacidade na nuvem. Trata-se de um padrão internacional de conduta para proteção de informações de identificação pessoal (PII) em serviços de nuvem pública. O certificado ISO 27018 está disponível na seção de conformidade do site.
  • FedRAMP ATO para Google App Engine.
  • PCI DSS v3.1.

Além de assegurar confidencialidade, integridade e disponibilidade do ambiente do Google, nossa abordagem abrangente de auditoria de terceiros é projetada para fornecer garantias do compromisso do Google com a melhor segurança de informações da classe. Os clientes podem consultar esses relatórios de auditoria de terceiros para avaliar como os produtos do Google podem atender às necessidades de conformidade HIPAA.

Responsabilidades do cliente

Uma das principais responsabilidades de um cliente é determinar se é ou não uma entidade coberta (ou um parceiro comercial de uma entidade coberta) e, em caso afirmativo, se requer um contrato de parceiro comercial com o Google para os fins das interações.

O Google oferece uma infraestrutura segura e compatível (conforme descrito acima) para armazenamento e processamento de PHI, mas o cliente é responsável por assegurar que o ambiente e os aplicativos que ele desenvolve no Google Cloud Platform estejam devidamente configurados e protegidos de acordo com os requisitos da HIPAA. Isso geralmente é chamado de modelo de segurança compartilhado na nuvem.

Práticas recomendadas essenciais:

  • Firme um acordo de parceiro de negócios (BAA, na sigla em inglês) do Google Cloud. Você pode solicitar um BAA diretamente ao gerente de conta.
  • Desative ou faça questão de não usar os produtos do Google Cloud que não são explicitamente cobertos pelo BAA (consulte Produtos cobertos) ao trabalhar com PHI.

Práticas técnicas recomendadas:

  • Use as práticas recomendadas de IAM ao configurar quem tem acesso ao projeto. Especificamente, como as contas de serviço podem ser usadas para acessar recursos, fiscalize o acesso a elas e às respectivas chaves de forma estritamente controlada.
  • Determine se a organização tem requisitos de criptografia além do que é exigido pela regra de segurança HIPAA. Todo o conteúdo de cliente é criptografado em repouso no Google Cloud Platform. Consulte o artigo sobre criptografia para mais detalhes e quaisquer exceções.
  • Se você estiver usando o Cloud Storage, considere ativar o controle de versões de objeto para criar um arquivo para esses dados e permitir o cancelamento de exclusão em caso de exclusão acidental. Além disso, analise e siga as orientações fornecidas nas Considerações sobre segurança e privacidade antes de usar o gsutil para interagir com o Cloud Storage.
  • Configure os destinos de exportação do registro de auditoria. É muito importante exportar os registros de auditoria para o Google Cloud Storage e fazer um arquivamento de longo prazo, bem como para o Google BigQuery caso haja qualquer necessidade de análise, monitoramento e/ou forense. Não esqueça de configurar o controle de acesso para os destinos apropriados à organização.
  • Configure o controle de acesso para os registros apropriados à organização. Os registros de auditoria de atividade de administrador podem ser acessados pelos usuários com o papel visualizador de registros e os registros de auditoria de acesso a dados podem ser acessados pelos usuários com o papel visualizador de registros privados.
  • Analise regularmente os registros de auditoria para garantir segurança e conformidade com os requisitos. Como foi mencionado acima, o BigQuery é uma excelente plataforma para análise de registro em grande escala. Aproveite também as plataformas SIEM dos parceiros, como Splunk, Netskope, LogEntries e Tenable Network Security, para demonstrar conformidade por meio de análise de registros.
  • Ao criar ou atualizar recursos, evite incluir PHI ou credenciais de segurança ao especificar os metadados de um recurso, já que essas informações podem ser capturadas nos registros. Os registros de auditoria nunca incluem o conteúdo de dados de um recurso ou os resultados de uma consulta aos registros, mas os metadados de recursos podem ser capturados.

Produtos cobertos

O BAA do Google Cloud cobre toda a infraestrutura do GCP (todas as regiões, todas as zonas, todos os caminhos de rede, todos os pontos de presença) e os seguintes produtos:

  • Google BigQuery
  • Google Cloud Bigtable
  • Google Cloud Data Loss Prevention API
  • Google Cloud Dataflow
  • Google Cloud Datalab
  • Google Cloud Dataproc
  • Google Cloud Machine Learning
  • Google Cloud Natural Language API
  • Google Cloud Pub/Sub
  • Google Cloud Speech API
  • Google Cloud Stackdriver Error Reporting
  • Google Cloud Stackdriver Logging
  • Google Cloud Stackdriver Trace
  • Google Cloud Storage
  • Google Cloud SQL para MySQL
  • Google Cloud SQL para PostgreSQL
  • Google Cloud Translation API
  • Google Cloud Vision API
  • Google Compute Engine
  • Google Container Engine
  • Google Container Registry
  • Google Genomics

Consulte o site de conformidade do Cloud Platform para ver a lista mais atual de produtos cobertos. Essa lista é atualizada à medida que novos produtos ficam disponíveis para o programa HIPAA.

Características exclusivas

As práticas de segurança do GCP nos permitem ter um BAA HIPAA cobrindo toda a infraestrutura do GCP, e não uma parte separada da nuvem. Como resultado, você não fica restrito a uma região específica que tenha benefícios de escalonabilidade, operações e arquitetura. Você também pode se beneficiar da redundância de serviços de várias regiões, bem como a capacidade de usar VMs preemptivas para reduzir custos.

As medidas de segurança e conformidade que nos permitem acomodar a conformidade HIPAA estão profundamente enraizadas na infraestrutura, no design de segurança e nos produtos. Desse modo, podemos oferecer aos clientes regulamentados pela HIPAA os mesmos produtos com os mesmos preços disponíveis para todos os clientes, incluindo descontos por uso prolongado. Outras nuvens públicas cobram a mais pela nuvem HIPAA. Nós não fazemos isso.

Conclusão

O Google Cloud Platform é a infraestrutura de nuvem em que os clientes podem armazenar, analisar e ter insights de informações de saúde de modo seguro, sem preocupação com a infraestrutura subjacente.

Recursos adicionais