Identity Platform: guia de implementação da HIPAA

Exclusão de responsabilidade

Este guia destina-se apenas a fins informativos. A Google não pretende que as informações nem as recomendações neste guia constituam aconselhamento jurídico. Cada cliente é responsável por avaliar de forma independente a sua própria utilização específica dos serviços, conforme adequado para apoiar as suas obrigações de conformidade legal.

Público-alvo

Para os clientes sujeitos aos requisitos da Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (conhecida como HIPAA, conforme alterada, incluindo pela Lei de Tecnologia da Informação de Saúde para Saúde Económica e Clínica – HITECH), aGoogle CloudIdentity Platform pode suportar a conformidade com a HIPAA se for usada corretamente. Este guia destina-se a responsáveis pela segurança, responsáveis pela conformidade, administradores de TI e outros funcionários responsáveis pela implementação e conformidade com a HIPAA através da Identity Platform da Google Cloud.

Ao abrigo da HIPAA, determinadas informações sobre a saúde de uma pessoa ou os serviços de saúde são classificadas como Informações de saúde protegidas (PHI). Google Cloud Os clientes que estão sujeitos à HIPAA e pretendam usar o Google Cloud ou a respetiva Identity Platform com PHI têm de assinar um Contrato de Parceiro Comercial (BAA) com a Google.

Google Cloud Os clientes são responsáveis por determinar se estão sujeitos aos requisitos da HIPAA e se utilizam ou pretendem utilizar os serviços Google em associação com PHI. Os clientes que não tenham assinado um BAA com a Google não podem usar os serviços Google em associação com as PHI.

O serviço Identity Platform

A Identity Platform daGoogle Cloudé uma solução de identidade como serviço (IDaaS) que fornece uma infraestrutura baseada na nuvem para permitir que as capacidades de identidade sejam adicionadas a aplicações ou serviços. O serviço Identity Platform oferece um diretório/base de dados de utilizadores baseado na nuvem e APIs de autenticação que podem minimizar a sobrecarga associada ao desenvolvimento e à gestão da identidade para a sua aplicação.

Recomendamos que armazene apenas os dados mínimos necessários para fornecer autenticação e autorização para a sua aplicação ou serviço. Quando cria um utilizador na base de dados do Identity Platform, o único atributo obrigatório é um endereço de email (no caso do início de sessão por email/palavra-passe) ou um número de telefone (no caso da autenticação por telefone).

Embora a Identity Platform suporte atributos opcionais adicionais, incluindo o nome a apresentar e o URL da foto, bem como a capacidade de adicionar atributos/reivindicações personalizados a um objeto de utilizador, não deve armazenar IIP em nenhum destes atributos. Se tiver um requisito para armazenar IPH, é recomendável usar uma solução de base de dados de uso geral no âmbito do Google Cloud, de acordo com as orientações de implementação Google Cloudda.

Fornecedores de identidade federada e início de sessão anónimo

A Identity Platform suporta a integração com uma variedade de fornecedores de federação social baseados na Internet, bem como normas de federação empresarial configuráveis, como SAML e OpenId Connect (OIDC). No entanto, as IPH não devem ser transmitidas destes fornecedores de identidade (IdPs) para a Identity Platform em tokens, reivindicações, afirmações ou através de qualquer outro mecanismo.

Não é recomendado nem suportado qualquer sincronização de IPH de sistemas de identidade externos para o Identity Platform, e a Google não faz afirmações nem oferece garantias quanto à segurança destas informações em trânsito ou após a receção por parte do terceiro. Google Cloud

As contas anónimas não devem ser usadas quando interagem, gerem ou armazenam PHI.

Kits de Desenvolvimento de Software e bibliotecas cliente (SDKs)

A Identity Platform oferece kits de desenvolvimento de software e bibliotecas de cliente que são executados fora do serviço Identity Platform. Estes SDKs estão disponíveis no lado do cliente (no iOS, Android e Web) ou no código do servidor nos principais idiomas de desenvolvimento (Java, C++, Go, NodeJS, etc.).

Uma vez que este código é executado fora do serviço Identity Platform, Google Cloud não faz afirmações nem oferece garantias quanto à segurança das informações fora do serviço Identity Platform, como no dispositivo de um utilizador final. Por conseguinte, os SDKs e as bibliotecas cliente não devem ser usados quando interagem, gerem ou armazenam PHI.

Recursos adicionais

Estes recursos adicionais podem ajudar a compreender como os serviços Google são concebidos tendo em conta a privacidade, a confidencialidade, a integridade e a disponibilidade dos dados.