Conformità HIPAA su Google Cloud

Questa guida illustra la conformità HIPAA su Google Cloud. La conformità HIPAA per Google Workspace viene descritta separatamente.

Disclaimer

Questa guida viene fornita unicamente a scopo informativo. Le informazioni e i suggerimenti forniti da Google in questa guida non devono essere interpretati come una consulenza legale. Ogni cliente è tenuto a valutare autonomamente il modo in cui usa i servizi così da adempiere ai propri obblighi di conformità legale.

Pubblico di destinazione

Google Cloud supporta la conformità HIPAA per i clienti soggetti ai requisiti dell'Health Insurance Portability and Accountability Act (noto come HIPAA, inclusi i requisiti previsti dall'Health Information Technology for Economic and Clinical Health Act, o HITECH). Questa guida è destinata ai responsabili della sicurezza, ai responsabili della conformità, agli amministratori IT e a tutti i dipendenti coinvolti nell'implementazione e nella verifica della conformità ai requisiti HIPAA su Google Cloud. Nella guida viene illustrato in che modo Google è in grado di supportare la conformità HIPAA e come configurare i progetti Google Cloud per soddisfare i requisiti HIPAA.

Definizioni

I termini in maiuscolo utilizzati, ma non altrimenti definiti in questo documento, hanno lo stesso significato a essi attribuito dalle normative HIPAA. Inoltre, ai fini del presente documento, per Dati sanitari protetti (PHI) si intendono i PHI che Google riceve da un'"Entità coperta".

Panoramica

È importante notare che non esiste alcuna certificazione riconosciuta dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS) per la conformità HIPAA e che la responsabilità per la conformità a HIPAA è condivisa tra il cliente e Google. In particolare, la normativa HIPAA richiede la conformità alla Security Rule, alla Privacy Rule e alla Breach Notification Rule. Google Cloud supporta la conformità HIPAA (nell'ambito di un Contratto di società in affari), ma comunque i clienti rimangono responsabili della valutazione della propria conformità HIPAA.

Google stipulerà Contratti di società in affari con i clienti ai sensi della normativa HIPAA. La piattaforma Google Cloud è stata realizzata con la supervisione di un team dedicato alla sicurezza di oltre 700 persone, un numero ben superiore alla maggior parte dei team di sicurezza on-premise. Per informazioni dettagliate sul nostro approccio alla sicurezza e alla protezione dei dati, inclusi dettagli sui controlli organizzativi e tecnici relativi al modo in cui Google protegge i tuoi dati, leggi i documenti Google Security Whitepaper e Google Infrastructure Security Design Overview.

Oltre a documentare il proprio approccio alla progettazione della sicurezza e della privacy, Google si sottopone regolarmente a diversi controlli indipendenti di terze parti per fornire ai clienti una verifica esterna (di seguito i link ai rapporti e ai certificati). Questo significa che revisori indipendenti esaminano le misure di controllo vigenti nei nostri data center, nella nostra infrastruttura e nelle nostre procedure operative. Google si sottopone a controlli annuali per i seguenti standard:

  • SSAE 16 / ISAE 3402 Tipo II Scarica il rapporto pubblico associato SOC 3. Il rapporto SOC 2 è disponibile in seguito alla sottoscrizione di un accordo di non divulgazione (NDA).
  • ISO 27001. Google ha ottenuto le certificazioni ISO 27001 per i sistemi, le applicazioni, le persone, la tecnologia, i processi e i data center di Google Cloud. Il nostro certificato ISO 27001 è disponibile nella sezione relativa alla conformità del nostro sito web.
  • ISO 27017 - Sicurezza nel cloud. Si tratta di uno standard internazionale, specifico per i servizi cloud, che definisce le prassi per i controlli di sicurezza delle informazioni basati sulla norma ISO/IEC 27002. Il nostro certificato ISO 27017 è disponibile nella sezione relativa alla conformità del nostro sito web.
  • ISO 27018 - Privacy nel cloud. Si tratta di uno standard internazionale che definisce le prassi per la protezione delle informazioni personali (PII) nei servizi cloud pubblici. Il nostro certificato ISO 27018 è disponibile nella sezione relativa alla conformità del nostro sito web.
  • FedRAMP ATO
  • PCI DSS v3.2.1

Oltre ad assicurare la riservatezza, l'integrità e la disponibilità dell'ambiente di Google, l'approccio Google ai controlli di terze parti è concepito per attestare l'impegno di Google a garantire la massima sicurezza delle informazioni. I clienti possono fare riferimento ai rapporti dei controlli di terze parti per valutare in che modo i prodotti Google possono soddisfare le loro esigenze di conformità HIPAA.

Responsabilità del cliente

Una delle principali responsabilità del cliente è quella di determinare se si è o meno un'Entità coperta (o un Socio in affari di un'Entità coperta) e, nel caso, se è necessario un Contratto di società in affari con Google ai fini delle loro interazioni.

Mentre Google fornisce un'infrastruttura sicura e conforme (come descritto sopra) per l'archiviazione e il trattamento di PHI, il cliente ha la responsabilità di garantire che l'ambiente e le applicazioni che crea su Google Cloud siano correttamente configurati e protetti in base ai requisiti HIPAA. Per questo motivo si parla spesso di modello di sicurezza condivisa nel cloud.

Best practice fondamentali:

  • Esegui un Contratto di società in affari (BAA) Google Cloud. È possibile richiedere un BAA direttamente al proprio account manager.
  • Disabilita o comunque assicurati di non utilizzare, durante il trattamento di PHI, i prodotti Google Cloud non espressamente coperti dal BAA (vedi Prodotti coperti).
  • Non utilizzare le offerte pre-GA (prodotti o servizi offerti nell'ambito del Programma di disponibilità pre-generale di Google Cloud o altre offerte pre-GA come definite nei Termini specifici dei servizi di Google) in relazione ai dati di tipo PHI, salvo se diversamente ed espressamente indicato in una notifica o in altri termini dell'offerta.

Best practice tecniche consigliate:

  • Utilizza le best practice IAM durante la configurazione degli accessi al tuo progetto. In particolare, poiché gli account di servizio possono essere utilizzati per accedere alle risorse, è necessario assicurarsi che l'accesso a tali account di servizio e alle chiavi degli account di servizio sia sottoposto a un rigido controllo.
  • Determina se la tua organizzazione è in possesso di requisiti di crittografia ulteriori a quelli richiesti dalla Security Rule HIPAA. Su Google Cloud, tutti i contenuti dei clienti vengono criptati quando inattivi. Consulta il white paper sulla crittografia per ulteriori dettagli ed eventuali eccezioni.
  • Se utilizzi Cloud Storage, è opportuno attivare il Controllo delle versioni degli oggetti per generare un archivio per questi dati e consentire l'annullamento dell'eliminazione in caso di cancellazione accidentale dei dati.
  • Configura le destinazioni delle esportazioni degli audit log. Google incoraggia l'esportazione degli audit log in Cloud Storage per l'archiviazione a lungo termine e in BigQuery per eventuali esigenze in termini di analisi, monitoraggio e/o conformità legale. Assicurati di configurare il controllo degli accessi alle destinazioni appropriato alla tua organizzazione.
  • Configura il controllo degli accessi ai log appropriato alla tua organizzazione. Gli audit log per le Attività degli amministratori possono essere consultati dagli utenti con il ruolo Visualizzatore log, mentre gli audit log per l'Accesso ai dati possono essere consultati dagli utenti con il ruolo Visualizzatore log privati.
  • Esamina regolarmente gli audit log per garantire la sicurezza e la conformità ai requisiti. Come spiegato in precedenza, BigQuery rappresenta un'ottima piattaforma per l'analisi dei log su larga scala. Valuta inoltre l'opportunità di utilizzare piattaforme SIEM offerte dalle nostre integrazioni di terze parti per accertare la conformità tramite l'analisi dei log.
  • Durante la creazione o la configurazione degli indici in Cloud Datastore, cripta eventuali PHI, credenziali di sicurezza o altri dati sensibili prima di utilizzarli come chiave di entità, chiave di proprietà indicizzata o valore di proprietà indicizzata per gli indici. Consulta la documentazione di Cloud Datastore per informazioni sulla creazione e/o la configurazione di indici.
  • Durante la creazione o l'aggiornamento degli agenti di Dialogflow, assicurati di non includere PHI o credenziali di sicurezza in alcun punto della definizione dell'agente, inclusi Intenti, Frasi di addestramento ed Entità.
  • Durante la creazione o l'aggiornamento delle risorse, assicurati di non includere PHI o credenziali di sicurezza quando specifichi i metadati di una risorsa, poiché questi informazioni potrebbero essere acquisite nei log. Gli audit log non includono mai i contenuti di una risorsa o i risultati di una query nei log, ma potrebbero essere acquisiti i metadati delle risorse.
  • Usa le pratiche di Identity Platform quando utilizzi Identity Platform per il tuo progetto.
  • Quando utilizzi i servizi Cloud Build per l'integrazione o lo sviluppo continui, evita di includere o archiviare PHI nei file di configurazione della build, nei file di controllo del codice sorgente o in altri elementi della build.
  • Se utilizzi Looker (Google Cloud core), i privati designati dal Cliente per amministrare le istanze o le risorse dovrebbero esaminare le configurazioni di sicurezza per le applicazioni e le integrazioni di terze parti, nonché qualsiasi corrispondente documentazione sulla sicurezza e sulla privacy fornita dall'applicazione di terze parti.
  • Se utilizzi Looker (Google Cloud core) per strutturare le query, evita di includere o archiviare dati di tipo PHI nella logica di business utilizzata per configurare queste query. Per informazioni sulla strutturazione delle query, consulta la documentazione.
  • Se utilizzi Cloud CDN, assicurati di non richiedere la memorizzazione dei PHI nella cache. Consulta la documentazione su Cloud CDN per ulteriori informazioni su come evitare la memorizzazione nella cache.
  • Se utilizzi Cloud Speech-to-Text e hai stipulato un Contratto di società in affari con Google che copre qualsiasi obbligo relativo ai PHI ai sensi della normativa HIPAA, non dovresti aderire al programma di logging dei dati.
  • Se utilizzi Google Cloud VMware Engine, è tua responsabilità conservare i log di accesso a livello di applicazione per un periodo appropriato a seconda delle esigenze per soddisfare i requisiti HIPAA.
  • Quando configuri i job di Sensitive Data Protection, assicurati che tutti i dati di output siano scritti nelle destinazioni di archiviazione configurate come parte del tuo ambiente sicuro.
  • Esamina e segui le indicazioni fornite dalle best practice di Secret Manager per l'archiviazione dei secret in Secret Manager.
  • Artifact Registry cripta i dati nei repository utilizzando la crittografia predefinita di Google o le chiavi di crittografia gestite dal cliente (CMEK). I metadati, ad esempio i nomi degli artefatti, sono criptati con la crittografia predefinita di Google. Questi metadati potrebbero essere visualizzati nei log e sono visibili a tutti gli utenti con autorizzazioni nel ruolo Lettore o Visualizzatore di Artifact Registry. Segui le indicazioni riportate in Protezione degli artefatti per impedire l'accesso non autorizzato ai dati di tipo PHI.
  • Container Registry cripta i dati nei bucket di archiviazione dei tuoi registri utilizzando la crittografia predefinita di Google o CMEK. Segui le best practice per i container per impedire l'accesso non autorizzato ai dati di tipo PHI.
  • Se utilizzi Filestore, usa il controllo dell'accesso basato su IP per limitare le VM di Compute Engine e i cluster GKE che possono accedere all'istanza Filestore. Valuta la possibilità di utilizzare backup per consentire il recupero dei dati in caso di eliminazione accidentale dei dati.
  • Se utilizzi Cloud Monitoring, non archiviare i dati di tipo PHI nei metadati in Google Cloud, tra cui le etichette delle metriche, le etichette delle VM, le annotazioni delle risorse GKE o i titoli/i contenuti della dashboard. Chiunque sia autorizzato tramite IAM a visualizzare la tua console di monitoraggio o a utilizzare l'API Cloud Monitoring potrebbe vedere questi dati. Non inserire dati di tipo PHI nelle configurazioni di avviso (ad es. nome visualizzato o documentazione) che potrebbero essere inviate ai destinatari degli avvisi.
  • Quando utilizzi reCAPTCHA Enterprise, evita di includere dati di tipo PHI negli URI o nelle azioni.
  • Se utilizzi API Gateway, le intestazioni non devono contenere informazioni di tipo PHI o PII.
  • Per Database Migration Service, utilizza i metodi di connettività con IP privato, per evitare di dover esporre a internet un database contenente PHI.
  • Se utilizzi Dataplex, i valori dei campi google.cloud.datacatalog.lineage.v1.Process.attributes e google.cloud.datacatalog.lineage.v1.Run.attributes non devono contenere dati di tipo PHI o PII.
  • Quando utilizzi Vertex AI Search, usa API regionali e località delle risorse per dati di tipo PHI.
  • Se utilizzi Application Integration e i Integration Connectors, non includere PII, PHI o altre informazioni sensibili nel parametro di integrazione, nel nome connessione o nella configurazione della connessione, poiché queste informazioni potrebbero essere registrate. Configura il controllo dell'accesso per i log se il payload richiesto contiene dati sensibili. Alcuni connettori basati su file ed eventi basati su webhook offerti da Integration Connectors archiviano i dati temporaneamente. I clienti hanno il controllo di criptare questi dati con una chiave a loro scelta utilizzando CMEK.

Prodotti coperti

Il BAA di Google Cloud copre l'intera infrastruttura di Google Cloud (tutte le aree geografiche, tutte le zone, tutti i percorsi di rete, tutti i punti di presenza) e i seguenti prodotti:

  • Approvazione accesso
  • Gestore contesto accesso
  • Access Transparency
  • AI Platform Data Labeling
  • AI Platform Training e AI Platform Prediction
  • AlloyDB per PostgreSQL
  • API Gateway
  • Apigee
  • App Engine
  • Application Integration
  • Artifact Registry
  • Assured Workloads
  • AutoML Natural Language
  • AutoML Tables
  • AutoML Translation
  • AutoML Video
  • AutoML Vision
  • Bare Metal Solution
  • Batch
  • BigQuery
  • BigQuery Data Transfer Service
  • BigQuery Omni
  • Bigtable
  • Autorizzazione binaria
  • Cloud Asset Inventory
  • Backup e DR di Cloud
  • Cloud Build
  • Cloud CDN
  • Cloud Composer
  • Console Cloud
  • Cloud Data Fusion
  • Cloud Deploy
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Functions
  • API Cloud Healthcare
  • Cloud HSM
  • Cloud Identity
  • Cloud IDS
  • Cloud Interconnect
  • Cloud Key Management Service
  • Cloud Life Sciences (in precedenza Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Monitoring
  • Cloud NAT (Network Address Translation)
  • API Cloud Natural Language
  • Cloud Profiler
  • Router Cloud
  • Cloud Run (completamente gestito)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud SQL
  • Cloud Storage
  • Cloud Tasks
  • Cloud Trace
  • Cloud Translation
  • Cloud Vision
  • Cloud VPN
  • Colab Enterprise
  • Compute Engine
  • Config Management
  • Connetti
  • Contact Center AI
  • Contact Center AI Insights
  • Agent Assist di Contact Center AI
  • Container Registry
  • Database Migration Service
  • Data Catalog
  • Dataflow
  • Dataform
  • Datalab
  • Dataplex
  • Dataproc
  • Datastore
  • Datastream
  • Dialogflow
  • Document AI
  • Document AI Warehouse
  • Eventarc
  • Firestore
  • IA generativa su Vertex AI
  • GKE Hub
  • App Google Cloud
  • Google Cloud Armor
  • Google Cloud Identity Aware Proxy
  • Google Cloud VMware Engine (GCVE)
  • Google Kubernetes Engine
  • Healthcare Data Engine
  • Looker (Google Cloud core)
  • Looker Studio*
  • Identity & Access Management (IAM)
  • Identity Platform
  • Integration Connectors
  • IoT Core
  • Key Access Justifications (KAJ)
  • Managed Service for Microsoft Active Directory (AD)
  • Memorystore
  • Network Service Tiers
  • Persistent Disk
  • Pub/Sub
  • Risk Manager
  • reCAPTCHA Enterprise
  • API Resource Manager
  • Secret Manager
  • Security Command Center
  • Sensitive Data Protection
  • Service Consumer Management
  • Service Control
  • Service Directory
  • Gestione del servizio
  • Service Mesh
  • Spanner
  • Speech-to-Text
  • Storage Transfer Service
  • Text-to-Speech
  • Traffic Director
  • Transfer Appliance
  • Vertex AI Platform (in precedenza Vertex AI)
  • Vertex AI Search
  • API Video Intelligence
  • Virtual Private Cloud
  • Controlli di servizio VPC
  • Web Security Scanner
  • Istanze Vertex AI Workbench
  • Flussi di lavoro

* A condizione che il Cliente abbia scelto che Looker Studio sia regolato dal proprio Contratto Google Cloud.

Questo elenco viene aggiornato quando vengono resi disponibili nuovi prodotti per il programma HIPAA.

Caratteristiche uniche

Le pratiche di sicurezza di Google Cloud ci consentono di avere un BAA HIPAA che copre l'intera infrastruttura di Google Cloud e non una porzione riservata del nostro cloud. Di conseguenza, non si è limitati a un'area geografica specifica, con conseguenti vantaggi in termini di scalabilità, operatività e architettura. Puoi trarre vantaggio anche dalla ridondanza dei servizi in più aree geografiche e dalla possibilità di utilizzare le VM prerilasciabili per ridurre i costi.

Le misure di sicurezza e conformità che ci consentono di supportare la conformità HIPAA sono profondamente radicate nella nostra infrastruttura, nella progettazione della sicurezza e nei prodotti. Pertanto, possiamo offrire ai clienti regolamentati HIPAA gli stessi prodotti disponibili per tutti i clienti, allo stesso prezzo, inclusi gli sconti per utilizzo sostenuto. Altri provider di cloud pubblici prevedono costi maggiori per i servizi cloud HIPAA, noi no.

Conclusione

Google Cloud è l'infrastruttura cloud in cui i clienti possono archiviare, analizzare e ottenere informazioni significative dai dati sanitari, in totale sicurezza, senza doversi preoccupare dell'infrastruttura sottostante.

Risorse aggiuntive