Clause de non-responsabilité
Le présent guide est fourni à titre informatif uniquement. Les informations ou recommandations qui y sont mentionnées n'ont pas vocation à constituer des conseils juridiques. Il appartient à chaque client d'évaluer indépendamment sa propre utilisation des services de manière appropriée afin de s'acquitter de ses obligations légales en matière de conformité.
Audience visée
Identity Platform permet aux clients soumis aux exigences de la loi américaine HIPAA (Health Insurance Portability and Accountability Act, telle qu'elle a été amendée, y compris par la loi HITECH, Health Information Technology for Economic and Clinical Health) de s'y conformer si la plate-forme est correctement utilisée. Le présent guide s'adresse aux responsables de la sécurité, aux responsables de la conformité, aux administrateurs informatiques et aux autres employés responsables de la mise en œuvre de la loi HIPAA et de la conformité concernant l'utilisation de Identity Platform de Google Cloud.
Selon la loi HIPAA, certains renseignements relatifs à la santé ou aux services de soins de santé d'un individu sont classés en tant que renseignements de santé protégés (PHI, Protected Health Information). Les clients Google Cloud soumis à la loi HIPAA et souhaitant utiliser Google Cloud ou Identity Platform avec des données de santé protégées doivent signer un accord de partenariat avec Google.
Il revient aux clients Google Cloud de déterminer s'ils sont soumis aux exigences de la loi HIPAA et s'ils utilisent ou ont l'intention d'utiliser les services Google en association avec des données de santé protégées. Les clients n'ayant pas signé d'accord de partenariat avec Google ne doivent pas utiliser les services Google en rapport avec les données de santé protégées.
Le service Identity Platform
Le service Identity Platform de Google Cloud est une solution IDaaS (Identity as a Service) qui fournit une infrastructure basée sur le cloud permettant d'ajouter des fonctionnalités d'identité à des applications ou à des services. Le service Identity Platform propose une base de données/un annuaire utilisateur et des API d'authentification basés sur le cloud qui permettent de réduire les coûts liés au développement et à la gestion des identités de votre application.
Nous vous recommandons de stocker uniquement les données minimales requises pour fournir une authentification et une autorisation pour votre application ou service. Lorsque vous créez un utilisateur dans la base de données Identity Platform, le seul attribut obligatoire est une adresse e-mail (pour une authentification par e-mail/mot de passe) ou un numéro de téléphone (pour une authentification par téléphone).
Bien que Identity Platform accepte les attributs facultatifs supplémentaires, y compris le nom à afficher et l'URL de la photo, ainsi que la possibilité d'ajouter des attributs personnalisés/revendications à un objet utilisateur, les données de santé protégées ne doivent être stockées dans aucun de ces attributs. Si vous devez stocker des données de santé protégées, nous vous recommandons d'utiliser une solution de base de données à usage général dans Google Cloud, conformément aux instructions relatives à l'intégration Google Cloud.
Fournisseurs d'identité déférés et connexion anonyme
Identity Platform peut être intégrée à divers fournisseurs de fédération de réseaux sociaux basés sur Internet, ainsi qu'à des normes configurables de fédération d'entreprise, telles que SAML et OpenID Connect (OIDC). Toutefois, les PHI ne doivent pas être transmises par ces fournisseurs d'identité (IdPs) à Identity Platform dans des jetons, revendications, assertions ou par tout autre mécanisme.
La synchronisation des données de santé protégées provenant de systèmes d'identité externes vers Identity Platform n'est ni recommandée ni acceptée. Google Cloud ne fait aucune assertion ni garantie quant à leur sécurité lors du transfert ou à réception par la tierce partie.
Des comptes anonymes ne doivent pas être utilisés lors de l'interaction, de la gestion ou du stockage des données de santé protégées.
Kits de développement logiciel et bibliothèques clientes (SDK)
Identity Platform propose des kits de développement logiciel et des bibliothèques clientes qui s'exécutent en dehors du service Identity Platform. Ces SDK sont disponibles côté client (sur iOS, Android et Web) ou dans le code serveur dans les principaux langages de développement (Java, C++, Go, NodeJS, etc.).
Comme ce code s'exécute en dehors du service Identity Platform, Google Cloud n'émet aucune assertion ni garantie quant à la sécurité des informations en dehors du service Identity Platform, par exemple sur l'appareil d'un utilisateur final. Les SDK et les bibliothèques clientes ne doivent donc pas être utilisés lors de l'interaction, de la gestion ou du stockage de données de santé protégées.
Autres ressources
Ces ressources supplémentaires peuvent vous aider à comprendre comment les services Google sont conçus en tenant compte de la confidentialité, de l'intégrité et de la disponibilité des données.
- Conformité avec la loi HIPAA sur Google Cloud
- Livre blanc sur la sécurité de Google
- Conception de la sécurité dans l'infrastructure de Google