Disclaimer
Questa guida viene fornita unicamente a scopo informativo. Le informazioni o i consigli forniti da Google in questa guida non devono essere interpretati come una consulenza legale. Ogni cliente è tenuto a valutare autonomamente il modo in cui usa i servizi per adempiere ai propri obblighi di conformità legale.
Pubblico di destinazione
Per i clienti soggetti ai requisiti dell'Health Insurance Portability and Accountability Act (noto come HIPAA, e successive modifiche, tra cui l'Health Information Technology for Economic and Clinical Health — HITECH — Act), Identity Platform di Google Cloud può supportare la conformità HIPAA se utilizzata correttamente. Questa guida si rivolge agli addetti alla sicurezza, ai responsabili della conformità, agli amministratori IT e ad altri dipendenti che sono responsabili dell'implementazione e della conformità della normativa HIPAA utilizzando Identity Platform di Google Cloud.
In base alla normativa HIPAA, alcune informazioni riguardanti la salute della persona o i servizi sanitari sono considerate dati sanitari protetti (PHI, Protected Health Information). I clienti di Google Cloud soggetti alla normativa HIPAA che intendono utilizzare Google Cloud o la sua Identity Platform con dati di tipo PHI devono firmare un Contratto di società in affari (BAA, Business Associate Agreement) con Google.
È responsabilità dei clienti di Google Cloud determinare se sono soggetti ai requisiti HIPAA e se utilizzano o intendono utilizzare i servizi Google con dati di tipo PHI. I clienti che non hanno firmato un BAA con Google non devono utilizzare i servizi Google con dati di tipo PHI.
Servizio Identity Platform
Identity Platform di Google Cloud è una soluzione Identity-as-a-Service (IDaaS) che fornisce un'infrastruttura basata su cloud per consentire l'aggiunta di funzionalità di identità ad applicazioni o servizi. Il servizio Identity Platform offre API di directory/database degli utenti basate su cloud e API di autenticazione in grado di ridurre al minimo l'overhead associato allo sviluppo e alla gestione dell'identità per la tua applicazione.
Ti consigliamo di archiviare solo i dati minimi necessari per fornire l'autenticazione e l'autorizzazione per l'applicazione o il servizio. Quando crei un utente nel database di Identity Platform, l'unico attributo obbligatorio è un indirizzo email (in caso di accesso tramite email/password) o un numero di telefono (in caso di autenticazione telefonica).
Sebbene Identity Platform supporti attributi facoltativi aggiuntivi, tra cui Nome visualizzato e URL della foto, nonché la possibilità di aggiungere attributi/rivendicazioni personalizzati a un oggetto utente, i dati di tipo PHI non devono essere archiviati in nessuno di questi attributi. Se hai bisogno di archiviare dati di tipo PHI, consigliamo di utilizzare una soluzione di database per uso generico in Google Cloud, in conformità con le indicazioni per l'implementazione di Google Cloud.
Provider di identità federate e accesso anonimo
Identity Platform supporta l'integrazione con una gamma di provider di federazione social basati su internet, nonché con standard di federazione aziendali configurabili come SAML e OpenId Connect (OIDC). Tuttavia, i dati di tipo PHI non devono essere trasmessi da questi provider di identità (IdP) a Identity Platform in token, attestazioni, dichiarazioni o tramite qualsiasi altro meccanismo.
Qualsiasi sincronizzazione di dati di tipo PHI da sistemi di identità esterni a Identity Platform non è consigliata o supportata e Google Cloud non rilascia dichiarazioni o garanzie in merito alla sicurezza di queste informazioni durante il transito o al ricevimento da parte della terza parte.
Gli account anonimi non devono essere utilizzati per interagire, gestire o archiviare dati di tipo PHI.
Software Development Kit e librerie client (SDK)
Identity Platform offre Software Development Kit e librerie client eseguiti al di fuori del servizio Identity Platform. Questi SDK sono disponibili sul lato client (per iOS, Android e Web) o nel codice server nei principali linguaggi di sviluppo (Java, C++, Go, NodeJS e così via).
Poiché questo codice viene eseguito al di fuori del servizio Identity Platform, Google Cloud non fornisce dichiarazioni o garanzie in merito alla sicurezza delle informazioni al di fuori del servizio Identity Platform, ad esempio sul dispositivo di un utente finale. Di conseguenza, gli SDK e le librerie client non devono essere utilizzati durante l'interazione, la gestione o l'archiviazione di PHI.
Risorse aggiuntive
Queste risorse aggiuntive potrebbero aiutarti a comprendere in che modo i servizi Google sono progettati pensando a privacy, riservatezza, integrità e disponibilità dei dati.
- Conformità alla normativa HIPAA su Google Cloud
- White paper sulla sicurezza di Google
- Panoramica sulla progettazione della sicurezza dell'infrastruttura Google