Haftungsausschluss
Dieser Leitfaden dient nur zu Informationszwecken. Die von Google darin zur Verfügung gestellten Informationen und Empfehlungen stellen keine Rechtsberatung dar. Jeder Kunde muss seine eigene konkrete Nutzung der Dienste jeweils eigenständig bestimmen, um die Einhaltung der gültigen Rechtsvorschriften zu gewährleisten.
Zielgruppe
Für Kunden, die das US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA, in der jeweils gültigen Fassung, inklusive Änderungen durch das HITECH-Gesetz, Health Information Technology for Economic and Clinical Health Act) erfüllen müssen, kann die Identity Platform vonGoogle Cloudbei ordnungsgemäßer Verwendung die HIPAA-Compliance unterstützen. Dieser Leitfaden richtet sich an Sicherheitsbeauftragte, Compliancebeauftragte, IT-Administratoren und andere Mitarbeiter, die für die HIPAA-Implementierung und -Compliance auf der Identity Platform von Google Cloudzuständig sind.
Gemäß HIPAA sind bestimmte Informationen zum Gesundheitszustand und zu den beanspruchten Gesundheitsleistungen einer Person als „Geschützte Gesundheitsdaten“ (Protected Health Information, PHI) eingestuft. Google Cloud Kunden, die HIPAA unterliegen und Google Cloud oder die Identity Platform mit PHI nutzen möchten, müssen eine Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) mit Google unterzeichnen.
Google Cloud -Kunden müssen selbst in Erfahrung bringen, ob sie HIPAA unterliegen und ob sie die Google-Dienste in Verbindung mit PHI verwenden oder diese Verwendung beabsichtigt ist. Kunden, die keine BAA mit Google unterzeichnet haben, dürfen die Google-Dienste nicht in Verbindung mit PHI verwenden.
Identity Platform-Dienst
Die Identity Platform vonGoogle Cloudist eine IDaaS-Lösung (Identity-as-a-Service) mit einer cloudbasierten Infrastruktur, um das Hinzufügen von Identitätsfunktionen zu Anwendungen oder Diensten zu ermöglichen. Der Identity Platform-Dienst bietet ein cloudbasiertes Nutzerverzeichnis bzw. eine Datenbank und Authentifizierungs-APIs, mit denen der mit der Entwicklung und Verwaltung der Anwendungsidentität verbundene Aufwand minimiert werden kann.
Wir empfehlen, nur die Daten zu speichern, die für die Authentifizierung und Autorisierung der Anwendung oder des Dienstes erforderlich sind. Beim Erstellen eines Nutzers in der Identity Platform-Datenbank ist bei einer E-Mail- oder Passwort-Anmeldung das einzige erforderliche Attribut eine E-Mail-Adresse oder bei einer Telefonauthentifizierung eine Telefonnummer.
Die Identity Platform unterstützt zusätzliche optionale Attribute wie den Anzeigenamen und die Foto-URL sowie die Möglichkeit zum Hinzufügen benutzerdefinierter Attribute bzw. Anforderungen zu einem Nutzerobjekt. PHI sollte jedoch in keinem dieser Attribute gespeichert werden. Wenn Sie PHI speichern möchten, sollten Sie eine universelle Datenbanklösung in Google Cloudgemäß dem Implementierungsleitfaden von Google Cloudverwenden.
Föderierte Identitätsanbieter und anonyme Anmeldung
Identity Platform unterstützt die Integration mit einer Reihe von internetbasierten sozialen Föderationsanbietern sowie konfigurierbare Unternehmensföderationsstandards wie SAML und OpenId Connect (OIDC). PHI sollte jedoch nicht von diesen Identitätsanbietern (IdPs) auf die Identity Platform in Tokens, Anforderungen, Assertions oder anderen Mechanismen übertragen werden.
Die Synchronisierung von PHI von externen Identitätssystemen mit Identity Platform wird nicht empfohlen oder unterstützt und Google Cloud Google Cloud macht keine Zusagen und gibt keine Garantien hinsichtlich der Sicherheit dieser Informationen bei der Übertragung oder beim Empfang durch Dritte.
Anonyme Konten sollten bei der Interaktion, Verwaltung oder Speicherung von PHI nicht verwendet werden.
Software Development Kits und Clientbibliotheken (SDKs)
Identity Platform bietet Software Development Kits und Clientbibliotheken, die außerhalb des Identity Platform-Dienstes ausgeführt werden. Diese SDKs sind clientseitig (für iOS, Android und Web) oder im Servercode für die wichtigsten Entwicklungssprachen (Java, C++, Go, NodeJS usw.) verfügbar.
Da dieser Code außerhalb des Identity Platform-Diensts ausgeführt wird,gibt Google Cloudkeine Assertions oder Garantien hinsichtlich der Sicherheit von Informationen außerhalb des Identity Platform-Diensts ab, z. B. auf dem Gerät eines Endnutzers. SDKs und Clientbibliotheken sollten daher nicht bei der Interaktion, Verwaltung oder Speicherung von PHI verwendet werden.
Zusätzliche Ressourcen
Mit diesen zusätzlichen Ressourcen können Sie sich ein Bild davon machen, wie Google-Dienste unter Berücksichtigung von Datenschutz, Vertraulichkeit, Integrität und Verfügbarkeit von Daten konzipiert wurden.
- HIPAA-Compliance in Google Cloud
- Whitepaper zur Sicherheit bei Google
- Das Sicherheitsdesign der Infrastruktur von Google