Identity Platform: Panduan Penerapan HIPAA

Pernyataan penyangkalan

Panduan ini hanya dimaksudkan sebagai informasi. Google tidak bermaksud menjadikan informasi atau rekomendasi dalam panduan ini sebagai nasihat hukum. Setiap pelanggan bertanggung jawab untuk mengevaluasi penggunaan layanannya sendiri secara independen sesuai kebutuhan untuk mendukung kewajiban kepatuhan hukumnya.

Audiens yang Ditargetkan

Bagi pelanggan yang tunduk pada persyaratan Health Insurance Portability and Accountability Act (disingkat HIPAA, sebagaimana telah diamendemen, termasuk oleh Health Information Technology for Economic and Clinical Health — HITECH — Act), Identity Platform Google Cloud dapat mendukung kepatuhan terhadap HIPAA jika digunakan dengan benar. Panduan ini ditujukan untuk petugas keamanan, petugas kepatuhan, administrator IT, dan karyawan lain yang bertanggung jawab atas penerapan dan kepatuhan HIPAA menggunakan Identity Platform Google Cloud.

Berdasarkan HIPAA, informasi tertentu tentang layanan perawatan kesehatan atau kesehatan seseorang diklasifikasikan sebagai Informasi Kesehatan Terlindungi (PHI). Pelanggan Google Cloud yang tunduk pada HIPAA dan ingin menggunakan Google Cloud atau Platform Identitas-nya dengan PHI harus menandatangani Perjanjian Rekanan Bisnis (BAA) dengan Google.

Pelanggan Google Cloud bertanggung jawab untuk menentukan apakah mereka berkewajiban mematuhi persyaratan HIPAA dan apakah mereka menggunakan atau ingin menggunakan layanan Google sehubungan dengan PHI. Pelanggan yang belum menandatangani BAA dengan Google tidak boleh menggunakan layanan Google sehubungan dengan PHI.

Layanan Identity Platform

Identity Platform Google Cloud adalah solusi Identity-as-a-Service (IDaaS) yang menyediakan infrastruktur berbasis cloud untuk memungkinkan kemampuan identitas ditambahkan ke aplikasi atau layanan. Layanan Identity Platform menawarkan direktori/database pengguna dan API autentikasi berbasis cloud yang dapat meminimalkan overhead yang terkait dengan pengembangan dan pengelolaan identitas untuk aplikasi Anda.

Sebaiknya Anda hanya menyimpan data minimum yang diperlukan untuk memberikan autentikasi dan otorisasi untuk aplikasi atau layanan Anda. Saat membuat pengguna di database Identity Platform, satu-satunya atribut yang diperlukan adalah alamat email (dalam kasus login dengan email/sandi), atau Nomor Telepon (dalam kasus Autentikasi Telepon).

Meskipun Identity Platform mendukung atribut opsional tambahan, termasuk Nama Tampilan dan URL Foto, serta kemampuan untuk menambahkan Atribut/Klaim Kustom ke objek pengguna, PHI tidak boleh disimpan di salah satu atribut ini. Jika Anda memiliki persyaratan untuk menyimpan PHI, sebaiknya gunakan solusi database tujuan umum dalam Google Cloud, sesuai dengan panduan penerapan Google Cloud.

Penyedia Identitas Gabungan dan Login anonim

Identity Platform mendukung integrasi dengan berbagai penyedia federasi sosial berbasis internet serta standar federasi perusahaan yang dapat dikonfigurasi seperti SAML dan OpenId Connect (OIDC). Namun, PHI tidak boleh dikirim dari Penyedia Identitas (IdP) ini ke Identity Platform dalam token, klaim, pernyataan, atau melalui mekanisme lainnya.

Sinkronisasi PHI dari sistem identitas eksternal ke Identity Platform tidak direkomendasikan atau didukung dan Google Cloud tidak membuat pernyataan atau jaminan terkait keamanan informasi ini dalam pengiriman atau setelah diterima oleh pihak ketiga.

Akun anonim tidak boleh digunakan saat berinteraksi, mengelola, atau menyimpan PHI.

Software Development Kit dan Library Klien (SDK)

Identity Platform menawarkan Software Development Kit dan Library Klien yang berjalan di luar layanan Identity Platform. SDK ini tersedia di sisi klien (di iOS, Android, dan Web) atau dalam kode server di seluruh bahasa pengembangan utama (Java, C++, Go, NodeJS, dll.).

Karena kode ini berjalan di luar Layanan Identity Platform, Google Cloud tidak membuat pernyataan atau jaminan terkait keamanan informasi di luar layanan Identity Platform, seperti di perangkat pengguna akhir. Oleh karena itu, SDK dan Library Klien tidak boleh digunakan saat berinteraksi, mengelola, atau menyimpan PHI.

Referensi Tambahan

Referensi tambahan ini dapat membantu Anda memahami cara layanan Google dirancang dengan mempertimbangkan privasi, kerahasiaan, integritas, dan ketersediaan data.