Identity Platform: guía de implementación de la ley HIPAA

Renuncia de responsabilidad

Esta guía solo tiene fines informativos. Google no pretende que la información ni las recomendaciones incluidas se consideren asesoramiento legal. Cada cliente es responsable de evaluar de manera independiente el uso particular que hace de los servicios según corresponda para cumplir con las obligaciones legales.

Público objetivo

Los clientes que están sujetos a los requisitos de la Ley de Responsabilidad y Portabilidad de Seguros Médicos (conocida como HIPAA, con sus enmiendas, incluida en la Ley de Tecnología de la Información de Salud Clínica y Económica [HITECH]) deben tener en cuenta que Identity Platform de Google Cloud puede cumplir con la ley HIPAA si se usa correctamente. Esta guía está destinada a los encargados de la seguridad y el cumplimiento, los administradores de TI y demás empleados responsables de la implementación y el cumplimiento de la ley HIPAA en Identity Platform de Google Cloud.

En virtud de la ley HIPAA, cierta información sobre la salud o los servicios de atención de la salud de una persona se clasifica como Información de salud protegida (PHI). Los clientes de Google Cloud que están sujetos a la ley HIPAA y deseen usar Google Cloud o su Identity Platform con PHI, deben firmar un Acuerdo entre Socios Comerciales (BAA) con Google.

Los clientes de Google Cloud son responsables de determinar si están sujetos a los requisitos de la ley HIPAA y si usan o tienen la intención de usar los servicios de Google en relación con la PHI. Los clientes que no firmaron un BAA con Google no deben usar los servicios de Google en relación con la PHI.

El servicio de Identity Platform

Identity Platform de Google Cloud es una solución de identidad como servicio (IDaaS), que brinda infraestructura basada en la nube para permitir la incorporación de funciones de identidad en las aplicaciones o los servicios. El servicio de Identity Platform ofrece un directorio o base de datos de usuarios basado en la nube y API de autenticación que pueden minimizar la sobrecarga asociada con el desarrollo y la administración de identidad en tu aplicación.

Te recomendamos que almacenes solo los datos mínimos necesarios que te permitan proporcionar autenticación y autorización para tu aplicación o servicio. Cuando se crea un usuario en la base de datos de Identity Platform, el único atributo obligatorio es una dirección de correo electrónico (en el caso del acceso con correo electrónico y contraseña) o un número de teléfono (en el caso de la autenticación telefónica).

Si bien Identity Platform admite atributos opcionales adicionales, incluidos el nombre comercial y URL de la foto, así como la capacidad de agregar atributos o reclamaciones personalizados a un objeto de usuario, no se debe almacenar la PHI en ninguno de estos atributos. Si tienes un requisito para almacenar la PHI, se recomienda usar una solución de base de datos con finalidad general en Google Cloud, de conformidad con la guía de implementación de Google Cloud.

Proveedores de identidad federados y acceso anónimo

Identity Platform admite la integración con una variedad de proveedores de federación social basados en Internet y con estándares de federación empresarial configurables, como SAML y OpenID Connect (OIDC). Sin embargo, la PHI no se debe transmitir desde estos Proveedores de identidad (IdP) a Identity Platform en tokens, reclamaciones, aserciones ni ningún otro mecanismo.

No se recomienda ni respalda la sincronización de la PHI desde sistemas de identidad externos a Identity Platform. Google Cloud no garantiza ni hace aserciones sobre la seguridad de esta información mientras está en tránsito o cuando la recibe el tercero.

No se deben usar las cuentas anónimas para administrar, almacenar o interactuar con la PHI.

Bibliotecas cliente y kits de desarrollo de software (SDK)

Identity Platform ofrece bibliotecas cliente y kits de desarrollo de software que se ejecutan fuera del servicio de Identity Platform. Estos SDK están disponibles del lado del cliente (en iOS, Android y la Web) o como código de servidor en los principales lenguajes de desarrollo (Java, C++, Go, NodeJS, etcétera).

Dado que este código se ejecuta fuera del servicio de Identity Platform, Google Cloud no garantiza ni hace aserciones sobre la seguridad de la información fuera del servicio de Identity Platform, p. ej., en un dispositivo del usuario final. Por lo tanto, no se deben usar los SDK ni las bibliotecas cliente para administrar, almacenar o interactuar con la PHI.

Recursos adicionales

Estos recursos adicionales pueden ayudarte a comprender cómo se diseñan los servicios de Google a partir de la privacidad, la confidencialidad, la integridad y la disponibilidad de los datos.