Disclaimer
Questa guida è fornita unicamente a scopo informativo. Le informazioni e i consigli forniti da Google in questa guida non devono essere interpretati come una consulenza legale. Ogni cliente è tenuto a valutare autonomamente come fare uso dei servizi in modo da adempiere ai propri obblighi di conformità legale.
Pubblico di destinazione
Per i clienti soggetti ai requisiti dell'Health Insurance Portability and Accountability Act (noto come HIPAA, come modificato, incluso dall'Health Information Technology for Economic and Clinical Health Act, o HITECH), la piattaforma Identity diGoogle Cloudpuò supportare la conformità HIPAA se utilizzata correttamente. Questa guida è destinata ai responsabili della sicurezza, ai responsabili della conformità, agli amministratori IT e a tutti i dipendenti coinvolti nell'implementazione e nella verifica della conformità ai requisiti HIPAA utilizzando la piattaforma di identità di Google Cloud.
Ai sensi dell'HIPAA, alcune informazioni riguardanti la salute della persona o i servizi sanitari sono considerate dati sanitari protetti (PHI).I clienti Google Cloud soggetti alla normativa HIPAA che intendono utilizzare Google Cloud o la sua piattaforma Identity con dati di tipo PHI devono stipulare con Google un Contratto di società in affari (BAA).
È responsabilità dei clienti diGoogle Cloud determinare se sono soggetti ai requisiti della normativa HIPAA e se utilizzano o intendono utilizzare i servizi Google con dati di tipo PHI. I clienti che non hanno stipulato un BAA con Google non devono utilizzare i servizi Google in relazione ai dati sanitari protetti.
Il servizio Identity Platform
Identity Platform diGoogle Cloudè una soluzione IDaaS (Identity as a Service) che fornisce un'infrastruttura basata su cloud per consentire l'aggiunta di funzionalità di identità ad applicazioni o servizi. Il servizio Identity Platform offre un database/una directory utente basata su cloud e API di autenticazione che possono ridurre al minimo il sovraccarico associato allo sviluppo e alla gestione dell'identità per la tua applicazione.
Ti consigliamo di archiviare solo i dati minimi necessari per fornire autenticazione e autorizzazione per la tua applicazione o il tuo servizio. Quando crei un utente nel database di Identity Platform, l'unico attributo obbligatorio è un indirizzo email (nel caso di accesso con email/password) o un numero di telefono (nel caso di autenticazione telefonica).
Anche se Identity Platform supporta altri attributi facoltativi, tra cui Nome visualizzato e URL foto, nonché la possibilità di aggiungere attributi/affermazioni personalizzati a un oggetto utente, i dati sanitari sensibili non devono essere memorizzati in nessuno di questi attributi. Se devi archiviare dati sanitari sensibili, ti consigliamo di utilizzare una soluzione di database generica in Google Cloud, in conformità con le linee guida per l'implementazione di Google Cloud.
Provider di identità federati e accesso anonimo
Identity Platform supporta l'integrazione con una serie di provider di federazione social basati su internet, nonché standard di federazione aziendale configurabili come SAML e OpenID Connect (OIDC). Tuttavia, i dati sanitari sensibili non devono essere trasmessi da questi Identity Provider (IdP) a Identity Platform in token, claim, affermazioni o tramite qualsiasi altro meccanismo.
Qualsiasi sincronizzazione di dati PHI da sistemi di identità esterni a Identity Platform non è consigliata o supportata e Google Cloud non viene fatta alcuna dichiarazione o garanzia in merito alla sicurezza di queste informazioni in transito o al momento della ricezione da parte della terza parte.
Gli account anonimi non devono essere utilizzati per interagire con, gestire o archiviare informazioni di tipo PHI.
Kit di sviluppo software e librerie client (SDK)
Identity Platform offre kit di sviluppo software e librerie client che vengono eseguiti al di fuori del servizio Identity Platform. Questi SDK sono disponibili lato client (su iOS, Android e web) o nel codice del server per i principali linguaggi di sviluppo (Java, C++, Go, NodeJS e così via).
Poiché questo codice viene eseguito al di fuori del servizio Identity Platform, Google Cloud non viene fornita alcuna dichiarazione o garanzia in merito alla sicurezza delle informazioni al di fuori del servizio Identity Platform, ad esempio sul dispositivo di un utente finale. Di conseguenza, gli SDK e le librerie client non devono essere utilizzati per interagire, gestire o memorizzare dati di tipo PHI.
Risorse aggiuntive
Queste risorse aggiuntive possono aiutarti a comprendere come sono progettati i servizi Google in termini di privacy, riservatezza, integrità e disponibilità dei dati.
- Conformità HIPAA su Google Cloud
- White paper sulla sicurezza di Google
- Google Infrastructure Security Design Overview