Google Cloud Platform 的《健康保險流通與責任法案》法規遵循

本指南提供 Google Cloud Platform 的《健康保險流通與責任法案》法規遵循資訊。G Suite 的《健康保險流通與責任法案》法規遵循資訊則另外提供。

免責聲明

本指南僅供參考。Google 在本指南中提供的資訊或建議不構成任何法律建議。所有客戶都有責任視情況自行評估相關服務的特定用途,以便確保自己遵守相關法律義務。

目標對象

對於必須遵守《健康保險流通與責任法案》(簡稱「HIPAA」) 的客戶,Google Cloud Platform 可提供相關支援,確保客戶遵守《健康保險流通與責任法案》的規範。前述《健康保險流通與責任法案》亦涵蓋其修訂版本,包括依據《經濟與臨床健康資訊科技法》(HITECH) 修訂的內容。本指南適用的目標對象包含資安管理人員、法規遵循人員、IT 管理員,以及其他負責實踐《健康保險流通與責任法案》與確保 Google Cloud Platform 法規遵循事務的員工。讀完本指南的內容後,您將瞭解 Google 如何能夠提供《健康保險流通與責任法案》法規遵循支援,並瞭解如何為 Google Cloud 專案進行設定以協助達成您的《健康保險流通與責任法案》責任。

定義

對於本文件未提供定義的任何大寫字詞,其定義與《健康保險流通與責任法案》中所述相同。另外,就本文件的目的而言,「受保護的健康資訊 (PHI)」是指 Google 從保險給付受益實體接收到的 PHI。

總覽

請注意,美國衛生及公共服務部 (HHS) 並未認可任何《健康保險流通與責任法案》法規遵循認證,遵守《健康保險流通與責任法案》是客戶與 Google 雙方必須共同承擔的責任。 《健康保險流通與責任法案》對於安全性規則隱私權規則違反通知規則的落實尤其嚴格。Google Cloud Platform 雖符合《健康保險流通與責任法案》法規遵循 (在業務合作協議範圍內),但客戶最終仍需自行評估是否符合《健康保險流通與責任法案》法規遵循。

根據《健康保險流通與責任法案》規定,Google 會視情況與客戶簽訂業務合作協議。Google Cloud Platform 是在超過 700 人的安全工程團隊指引下建構而成,這比大部分的內部部署安全團隊人數還多。如需安全性與資料保護措施相關詳細資訊 (包括 Google 如何透過機構與技術控管機制保護客戶資料的細節),請參閱 Google 安全性白皮書Google 基礎架構安全性設計總覽

除了說明我們的安全性與隱私權設計措施外,Google 還定期接受多家獨立第三方機構的稽核,為客戶提供外部驗證的結果 (報告與認證連結如下)。也就是說,Google 資料中心、基礎架構和營運狀況的管理情形,皆通過獨立稽核單位的檢驗。Google 每年都會根據下列標準進行稽核程序:

  • SSAE16/ISAE 3402 Type II。如需相關的 SOC 3 公開報告,請按這裡。SOC 2 報告可在符合保密協議 (NDA) 下取得。
  • ISO 27001。 執行 Google Cloud Platform 所需的系統、應用程式、人員、技術、處理程序及資料中心,均已獲得 ISO 27001 認證。您可以在我們網站的法規遵循區段中找到 ISO 27001 認證
  • 雲端安全性 ISO 27017。這是從 ISO/IEC 27002 衍生而來的資訊安全管理措施國際標準,專為雲端服務制定。您可以在我們網站的法規遵循區段中找到 ISO 27017 認證
  • 雲端隱私 ISO 27018。這是一項國際標準,用於規範公用雲端服務對個人識別資訊 (PII) 的保護措施。您可以在我們網站的法規遵循區段中找到 ISO 27018 認證
  • FedRAMP ATO
  • PCI DSS 3.2 版

除了確保 Google 環境的機密性、完整性及可用性外,Google 的全面性第三方稽核措施還可保證 Google 達到頂級資訊安全的承諾。客戶可參照這些第三方稽核報告來評估 Google 產品如何達成《健康保險流通與責任法案》法規遵循的需求。

客戶責任

客戶的關鍵任務包括判定自己是否為「保險給付受益實體」(或「保險給付受益實體」的「業務關係人」),如果是,他們又是否該與 Google 就互動之目的簽訂業務合作協議。

Google 必須針對 PHI 的儲存與處理提供安全且符合規定的基礎架構 (如上所述),客戶則有責任確保他們在 Google Cloud Platform 上建構的環境與應用程式,已根據《健康保險流通與責任法案》的要求,進行妥善設定並獲得安全保護。這通常稱為雲端的共用安全性模型。

基本的最佳做法:

  • 執行 Google Cloud 的《業務合作協議》。您可以直接向您的客戶經理要求《業務合作協議》。
  • 處理受保護的健康資訊時,請停用或確認自己並未使用《業務合作協議》中未明確涵蓋的 Google Cloud 產品 (請參閱涵蓋的產品一節)。

建議的技術性最佳做法:

  • 使用 IAM 最佳做法設定具備專案存取權限的人員。特別注意的是,因為服務帳戶可用於存取資源,請確保這些服務帳戶與服務帳戶金鑰的存取權限受到嚴密的管控。
  • 判定貴機構組織是否有除了《健康保險流通與責任法案》安全規定以外的加密要求。所有客戶內容都靜態加密於 Google Cloud Platform 中,請參閱加密白皮書以取得進一步的詳細資訊及任何例外情況。
  • 如果您有使用 Cloud Storage,請考慮啟用物件版本設定功能,除了提供資料封存外,還可以在資料遭到意外刪除時取消刪除。再者,使用 gsutil 與 Cloud Storage 互動前,請先檢閱並遵循安全性與隱私權考量中提供的說明內容。
  • 設定稽核記錄的匯出目的地。強烈建議您將稽核記錄匯出至 Cloud Storage 以進行長期封存,並將這類資料匯出至 BigQuery,藉此滿足任何數據分析、監控和/或鑑識需求。另外,請務必依照貴機構組織的需求調整這些目的地的存取權控管設定。
  • 依照貴機構組織的需求調整相關記錄的存取權控管設定。具有「記錄檢視者」角色的使用者可以存取管理員活動稽核記錄,具有「私密記錄檢視者」角色的使用者則可存取資料存取稽核記錄。
  • 定期檢閱稽核記錄,以便確保安全性及遵守相關法律規定。如上文所述,BigQuery 是用來進行大規模記錄分析的絕佳平台。另外,您也可以考慮利用第三方整合功能所提供的 SIEM 平台記錄分析資料,證明自己確實遵守相關法規。
  • 在 Cloud Datastore 中建立或設定索引時,請先將任何受保護的健康資訊、安全憑證或其他機密資料加密,然後才能將其用作索引的實體金鑰、索引屬性金鑰或索引屬性值。如需建立及/或設定索引的相關資訊,請參閱 Cloud Datastore 說明文件
  • 建立或更新 Dialogflow Enterprise 代理程式時,請避免在代理程式定義中加入 PHI 或安全性憑證,包括意圖、訓練詞組和實體。
  • 建立或更新資源時,避免在指定資源的中繼資料時包含 PHI 或安全性憑證,因為這類資訊可能會擷取至記錄檔中。稽核記錄一律不會包含資源的資料內容或查詢的結果,但可能會擷取資源的中繼資料。

涵蓋的產品

Google Cloud 的《業務合作協議》適用範圍涵蓋 GCP 整個基礎架構,亦即所有地區、所有區域、所有網路路徑和所有服務據點。另外也包括下列產品:

  • App Engine
  • Cloud Armor
  • Cloud AutoML Natural Language
  • Cloud AutoML Translation
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery 資料移轉服務
  • Cloud BigTable
  • Cloud Console
  • Cloud Composer
  • Cloud Data Loss Prevention
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Deployment Manager
  • Cloud Firestore
  • Cloud Functions
  • Cloud Genomics
  • Cloud Healthcare
  • Cloud Identity
  • Cloud Identity-Aware Proxy
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud Machine Learning Engine
  • Cloud Natural Language API
  • Cloud NAT
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Source Repositories
  • Cloud Spanner
  • Cloud Speech API
  • MySQL 適用的 Cloud SQL
  • PostgreSQL 適用的 Cloud SQL
  • Cloud Service Consumer Management API
  • Cloud Storage
  • Cloud Translation API
  • Cloud Video Intelligence API
  • Cloud Vision API
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Dialogflow Enterprise Edition
  • Kubernetes Engine
  • Stackdriver Debugger
  • Stackdriver Error Reporting
  • Stackdriver Logging
  • Stackdriver Profiler
  • Stackdriver Trace
  • Transfer Appliance 服務
  • 虛擬私人雲端 (VPC)

如需涵蓋產品的最新清單,請前往 Google Cloud 法規遵循網站。如有適用於《健康保險流通與責任法案》計劃的新產品,我們便會更新這份清單。

獨樹一格的功能

GCP 的安全性措施讓我們擁有涵蓋 GCP 完整基礎架構的《健康保險流通與責任法案業務合作協議》,而非只是部分的雲端內容。因此,您將不受特定地區的限制,可享有擴充性以及作業與架構的優勢。您還能享有多地區的服務備援能力,並能使用先佔虛擬機器以降低成本。

安全性與法規遵循措施深植在我們的基礎架構、安全性設計及產品之中,能夠讓我們支援《健康保險流通與責任法案》法規遵循。因此,我們能夠針對受《健康保險流通與責任法案》規範的客戶提供與其他所有客戶相同的產品與相同的價格,包括續用折扣。其他公用雲端對他們的《健康保險流通與責任法案》雲端收取更多費用,但我們並未採取同樣作法。

結論

Google Cloud Platform 雲端基礎架構讓客戶能安全地儲存與分析健康資訊,從中取得深入分析的結果,不必擔心基礎架構的問題。

其他資源

本頁內容對您是否有任何幫助?請提供意見: