Exoneração de responsabilidade
Este guia é apenas informativo. As informações e recomendações fornecidas aqui pelo Google não constituem assessoria jurídica. Cada cliente é responsável pela avaliação do próprio uso dos serviços, conforme apropriado, para conciliar as obrigações legais de conformidade.
Intended Audience
Para clientes que estão sujeitos aos requisitos da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês) (alterada, incluindo pela Lei de Tecnologia da Informação em Integridade Econômica e Clínica (HITECH, na sigla em inglês), a Plataforma de Identidade doGoogle Cloudpode oferecer suporte à conformidade com a HIPAA se usada corretamente. Este guia é destinado a agentes de segurança e de compliance, administradores de TI e outros funcionários responsáveis pela implementação e conformidade da HIPAA usando o Identity Platform do Google Cloud.
De acordo com a HIPAA, determinadas informações sobre a saúde e os serviços de assistência médica de uma pessoa são classificadas como Informações protegidas de saúde (PHI, na sigla em inglês). Google Cloud Os clientes que estão sujeitos à HIPAA e querem usar o Google Cloud ou a plataforma de identidade com PHI precisam assinar um Contrato de parceria comercial (BAA, na sigla em inglês) com o Google.
Os clientes doGoogle Cloud são responsáveis por determinar se estão sujeitos aos requisitos da HIPAA e se usam ou pretendem usar os serviços do Google em conexão com PHI. Os clientes que não assinaram um BAA com o Google não podem usar os Serviços do Google em conexão com PHI.
O serviço do Identity Platform
A Identity Platform doGoogle Cloudé uma solução de identidade como serviço (IDaaS, na sigla em inglês), que fornece infraestrutura baseada em nuvem para permitir que recursos de identidade sejam adicionados a aplicativos ou serviços. O serviço Identity Platform oferece um diretório de usuário/banco de dados baseado na nuvem e APIs de autenticação que podem minimizar a sobrecarga associada ao desenvolvimento e gerenciamento da identidade do aplicativo.
Recomendamos que você armazene apenas os dados mínimos necessários para fornecer autenticação e autorização para seu aplicativo ou serviço. Ao criar um usuário no banco de dados do Identity Platform, o único atributo obrigatório é um endereço de e-mail (no caso do login por e-mail/senha) ou um número de telefone (no caso da autenticação por telefone).
Embora o Identity Platform aceite atributos opcionais, incluindo Nome de exibição e URL da foto, além da possibilidade de adicionar Atributos/declarações personalizados a um objeto de usuário, as PHI não devem ser armazenadas em nenhum desses atributos. Se você precisar armazenar PHI, recomendamos o uso de uma solução de banco de dados de finalidade geral no Google Cloud, de acordo com as diretrizes de implementação do Google Cloud.
Provedores de identidade federados e login anônimo
O Identity Platform oferece suporte à integração com uma variedade de provedores de federação sociais baseados na Internet, além de padrões configuráveis de federação empresarial, como SAML e OpenID Connect (OIDC). No entanto, as PHI não devem ser transmitidas desses Provedores de identidade (IdPs) para o Identity Platform em tokens, declarações, afirmações ou por meio de qualquer outro mecanismo.
A sincronização de PHI de sistemas de identidade externos para o Identity Platform não é recomendada ou compatível, e Google Cloud não garante a segurança dessas informações em trânsito ou após o recebimento por terceiros.
Não use contas anônimas ao interagir, gerenciar ou armazenar PHI.
Kits de desenvolvimento de software e bibliotecas de cliente (SDKs)
O Identity Platform oferece kits de desenvolvimento de software e bibliotecas de cliente executados fora do serviço do Identity Platform. Esses SDKs estão disponíveis no lado do cliente (para iOS, Android e na Web) ou em códigos de servidor nas principais linguagens de desenvolvimento (Java, C++, Go, NodeJS etc.).
Como esse código é executado fora do serviço do Identity Platform, Google Cloud não faz declarações ou garantias quanto à segurança das informações fora do serviço do Identity Platform, como no dispositivo do usuário final. Portanto, não use SDKs e bibliotecas de cliente ao interagir, gerenciar ou armazenar PHI.
Outros recursos
Esses outros recursos podem ajudar você a entender como os serviços do Google são projetados tendo em mente a privacidade, confidencialidade, integridade e disponibilidade dos dados.
- Compliance com a HIPAA no Google Cloud
- Whitepaper sobre segurança do Google
- Visão geral do design de segurança da infraestrutura do Google