Identity Platform:健康保险流通与责任法案 (HIPAA) 实施指南

免责声明

本指南仅供参考。Google 在本指南中提供的信息或建议不构成法律建议。每位客户都有责任独立评估其对该服务的具体使用是适当的,以履行法规遵从义务。

目标受众

对于需要遵从《健康保险流通与责任法案》(修订版,简称 HIPAA,包括依据《卫生信息技术促进经济和临床健康 (HITECH) 法案》修订的内容)中相关要求的客户,Google Cloud 的 Identity Platform 可以提供 HIPAA 合规性支持(如果使用得当)。本指南面向安全人员、合规专员、IT 管理员以及其他负责 HIPAA 实施工作并确保在使用 Google Cloud 的 Identity Platform 时遵从 HIPAA 法规的员工。

根据 HIPAA 的规定,有关个人健康状况和医疗保健服务的特定信息属于受保护健康信息 (PHI)。如果 Google Cloud 客户需要遵从 HIPAA,而且希望将 Google Cloud 或其 Identity Platform 用于处理受保护健康信息 (PHI),那么他们必须与 Google 签署《业务伙伴协议》(BAA)。

Google Cloud 客户必须自行判断自己是否需要遵从 HIPAA 的要求,以及是否使用或打算使用 Google 服务处理 PHI。尚未与 Google 签署 BAA 的客户不得使用 Google 服务处理 PHI。

Identity Platform 服务

Google Cloud 的 Identity Platform 是一种身份即服务 (IDaaS) 解决方案,可提供基于云的基础架构,以便将身份功能添加到应用或服务中。Identity Platform 服务提供基于云的用户目录/数据库和身份验证 API,可最大限度地减少与开发和管理应用身份相关的开销。

我们建议您只存储为您的应用或服务提供身份验证和授权所需的最少数据。在 Identity Platform 数据库中创建用户时,唯一必需的特性是电子邮件地址(如果使用电子邮件地址/密码登录)或手机号码(如果使用手机进行身份验证)。

虽然 Identity Platform 支持额外的可选特性(包括显示名和照片网址,以及向用户对象添加自定义特性/声明的权限),但 PHI 不应存储在任何此类特性中。如果您需要存储 PHI,建议根据 Google Cloud 的实施指南,在 Google Cloud 中使用通用数据库解决方案。

联合身份提供商和匿名登录

Identity Platform 支持与一系列基于互联网的社交联盟提供商以及可配置的企业联盟标准(例如 SAML 和 OpenId Connect (OIDC))相集成。但是,PHI 不应通过令牌、声明、断言或任何其他机制从这些身份提供商 (IdP) 传输到 Identity Platform。

我们不建议或不支持从外部身份系统向 Identity Platform 同步 PHI,并且 Google Cloud 对此信息在传输过程中或第三方收到后的安全性不作任何断言或保证。

在与 PHI 进行交互或管理/存储 PHI 时,不应使用匿名帐号。

软件开发套件和客户端库 (SDK)

Identity Platform 提供了在 Identity Platform 服务之外运行的软件开发套件和客户端库。这些 SDK 可在客户端(跨 iOS、Android、Web)或以主要开发语言(Java、C++、Go、NodeJS 等)编写的服务器代码中使用。

由于此类代码在 Identity Platform 服务之外运行,因此 Google Cloud 对 Identity Platform 服务之外(例如最终用户的设备)的信息安全性不作任何断言或保证。相应地,在与 PHI 进行交互或管理/存储 PHI 时,不应使用 SDK 和客户端库。

其他资源

这些额外的资源可以帮助您了解我们如何在确保数据隐私性、机密性、完整性和可用性的情况下设计 Google 服务。