Pernyataan penyangkalan
Panduan ini hanya dimaksudkan sebagai informasi. Google tidak bermaksud menjadikan informasi atau rekomendasi dalam panduan ini sebagai nasihat hukum. Setiap pelanggan bertanggung jawab untuk mengevaluasi penggunaan layanannya sendiri secara independen, yang sesuai untuk mendukung kewajiban kepatuhan hukumnya.
Audiens yang Ditargetkan
Untuk pelanggan yang tunduk pada persyaratan Health Insurance Portability and Accountability Act (dikenal sebagai HIPAA, sebagaimana telah diubah, termasuk oleh Health Information Technology for Economic and Clinical Health — HITECH — Act), Google Cloud Identity Platform dapat mendukung kepatuhan terhadap HIPAA jika digunakan dengan benar. Panduan ini ditujukan untuk pejabat keamanan, pejabat kepatuhan, administrator IT, dan karyawan lain yang bertanggung jawab atas penerapan dan kepatuhan HIPAA menggunakan Identity Platform Google Cloud.
Di dalam HIPAA, informasi tertentu tentang kesehatan atau layanan perawatan kesehatan seseorang digolongkan sebagai Informasi Kesehatan Terlindungi (PHI). Pelanggan Google Cloud yang berkewajiban mematuhi HIPAA dan ingin menggunakan Google Cloud atau Identity Platform-nya dengan PHI harus menandatangani Perjanjian Rekanan Bisnis (BAA) dengan Google.
Pelanggan Google Cloud bertanggung jawab untuk menentukan apakah mereka berkewajiban mematuhi persyaratan HIPAA dan apakah mereka menggunakan atau bermaksud menggunakan layanan Google sehubungan dengan PHI. Pelanggan yang belum menandatangani BAA dengan Google tidak boleh menggunakan layanan Google sehubungan dengan PHI.
Layanan Identity Platform
Identity Platform Google Cloud adalah solusi Identity-as-a-Service (IDaaS), yang menyediakan infrastruktur berbasis cloud agar kemampuan identitas dapat ditambahkan ke aplikasi atau layanan. Layanan Identity Platform menawarkan API direktori/database pengguna dan autentikasi berbasis cloud yang dapat meminimalkan overhead yang terkait dengan pengembangan dan pengelolaan identitas untuk aplikasi Anda.
Sebaiknya simpan hanya data minimum yang diperlukan untuk memberikan autentikasi dan otorisasi untuk aplikasi atau layanan Anda. Saat membuat pengguna di database Identity Platform, satu-satunya atribut yang diperlukan adalah alamat email (untuk login dengan email/sandi), atau Nomor Telepon (untuk Autentikasi dengan Ponsel).
Meskipun Identity Platform mendukung atribut opsional tambahan termasuk Nama Tampilan dan URL Foto, serta kemampuan untuk menambahkan Atribut/Klaim Kustom ke objek pengguna, PHI tidak boleh disimpan dalam atribut tersebut. Jika Anda memiliki persyaratan untuk menyimpan PHI, sebaiknya gunakan solusi database untuk tujuan umum dalam Google Cloud, sesuai dengan panduan penerapan Google Cloud.
Login Anonim dan Penyedia Identitas Federasi
Identity Platform mendukung integrasi dengan berbagai penyedia federasi sosial berbasis internet serta standar federasi perusahaan yang dapat dikonfigurasi seperti SAML dan OpenId Connect (OIDC). Namun, PHI tidak boleh dikirim dari Penyedia Identitas (IdP) ini ke Platform Identitas dalam token, klaim, pernyataan, atau melalui mekanisme lainnya.
Sinkronisasi PHI dari sistem identitas eksternal ke Identity Platform tidak direkomendasikan atau didukung, dan Google Cloud tidak membuat pernyataan atau jaminan mengenai keamanan informasi ini saat dalam pengiriman atau setelah diterima oleh pihak ketiga.
Akun anonim tidak boleh digunakan saat berinteraksi, mengelola, atau menyimpan PHI.
Software Development Kit dan Library Klien (SDK)
Identity Platform menawarkan Software Development Kit dan Library Klien yang berjalan di luar layanan Identity Platform. SDK ini tersedia di sisi klien (di iOS, Android, dan Web) atau dalam kode server di berbagai bahasa pengembangan utama (Java, C++, Go, NodeJS, dll.).
Karena kode ini dijalankan di luar Layanan Identity Platform, Google Cloud tidak membuat pernyataan atau jaminan atas keamanan informasi di luar layanan Identity Platform, seperti di perangkat pengguna akhir. Oleh karena itu, SDK dan Library Klien tidak boleh digunakan saat berinteraksi, mengelola, atau menyimpan PHI.
Referensi Tambahan
Referensi tambahan ini dapat membantu Anda memahami cara layanan Google dirancang dengan mempertimbangkan privasi, kerahasiaan, integritas, dan ketersediaan data.
- Kepatuhan HIPAA di Google Cloud
- Laporan resmi keamanan Google
- Ringkasan Desain Keamanan Infrastruktur Google