Exoneração de responsabilidade
Este guia é apenas informativo. As informações e recomendações disponibilizadas aqui pelo Google não constituem assessoria jurídica. Cada cliente é responsável por avaliar, de forma independente, o próprio uso dos serviços, conforme apropriado, para cumprir as respectivas obrigações legais de compliance.
Público-alvo
Se usado corretamente, o Identity Platform do Google Cloud pode fornecer conformidade a clientes sujeitos aos requisitos da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês) e às respectivas emendas, incluindo a Lei de Tecnologia da Informação para Saúde Econômica e Clínica (HITECH, na sigla em inglês). Este guia é para agentes de segurança e de conformidade, administradores de TI e outros funcionários responsáveis pela implementação e conformidade da HIPAA usando o Identity Platform do Google Cloud.
De acordo com a HIPAA, determinadas informações sobre a saúde e os serviços de assistência médica de uma pessoa são classificadas como Informações protegidas de saúde (PHI, na sigla em inglês). Os clientes do Google Cloud sujeitos à HIPAA que queiram usar o Google Cloud ou o Identity Platform com PHI precisam assinar um Contrato de parceria comercial (BAA, na sigla em inglês) com o Google.
Os clientes do Google Cloud são responsáveis por determinar se estão sujeitos aos requisitos da HIPAA e se usam ou pretendem usar os serviços do Google em conexão com PHI. Os clientes que não assinaram um BAA com o Google não podem usar os Serviços do Google em conexão com PHI.
O serviço do Identity Platform
A Identity Platform do Google Cloud é uma solução identidade como serviço (IDaaS, na sigla em inglês), que fornece infraestrutura baseada em nuvem para permitir que recursos de identidade sejam adicionados a aplicativos ou serviços. O serviço Identity Platform oferece um diretório de usuário/banco de dados baseado na nuvem e APIs de autenticação que podem minimizar a sobrecarga associada ao desenvolvimento e gerenciamento da identidade do aplicativo.
Recomendamos que você armazene apenas os dados mínimos necessários para fornecer autenticação e autorização para seu aplicativo ou serviço. Ao criar um usuário no banco de dados do Identity Platform, o único atributo obrigatório é um endereço de e-mail (no caso do login por e-mail/senha) ou um número de telefone (no caso da autenticação por telefone).
Embora o Identity Platform aceite atributos opcionais, incluindo Nome de exibição e URL da foto, além da possibilidade de adicionar Atributos/declarações personalizados a um objeto de usuário, as PHI não devem ser armazenadas em nenhum desses atributos. Se você precisar armazenar PHI, recomendamos o uso de uma solução de banco de dados de finalidade geral no Google Cloud, de acordo com as Diretrizes para implementação do Google Cloud.
Provedores de identidade federados e login anônimo
O Identity Platform oferece suporte à integração com uma variedade de provedores de federação sociais baseados na Internet, além de padrões configuráveis de federação empresarial, como SAML e OpenID Connect (OIDC). No entanto, as PHI não devem ser transmitidas desses Provedores de identidade (IdPs) para o Identity Platform em tokens, declarações, afirmações ou por meio de qualquer outro mecanismo.
A sincronização de PHI de sistemas de identidade externos para o Identity Platform não é recomendada ou compatível, e o Google Cloud não garante a segurança dessas informações em trânsito ou após o recebimento por terceiros.
Não use contas anônimas ao interagir, gerenciar ou armazenar PHI.
Kits de desenvolvimento de software e bibliotecas de cliente (SDKs)
O Identity Platform oferece kits de desenvolvimento de software e bibliotecas de cliente executados fora do serviço do Identity Platform. Esses SDKs estão disponíveis no lado do cliente (para iOS, Android e na Web) ou em códigos de servidor nas principais linguagens de desenvolvimento (Java, C++, Go, NodeJS etc.).
Como esse código é executado fora do serviço do Identity Platform, o Google Cloud não garante a segurança dessas informações, por exemplo, no dispositivo do usuário final. Portanto, não use SDKs e bibliotecas de cliente ao interagir, gerenciar ou armazenar PHI.
Outros recursos
Esses outros recursos podem ajudar você a entender como os serviços do Google são projetados tendo em mente a privacidade, confidencialidade, integridade e disponibilidade dos dados.
- Conformidade com a HIPAA no Google Cloud
- Whitepaper sobre segurança do Google
- Visão geral do design de segurança da infraestrutura do Google