Cumplimiento de la HIPAA en Google Cloud Platform

En esta guía se trata el cumplimiento de la ley de transferencia y responsabilidad de los seguros médicos de EE. UU. en Google Cloud Platform. El cumplimiento de la HIPAA en Google Workspace se explica por separado.

Renuncia de responsabilidad

Esta guía tiene únicamente fines informativos. Google no pretende que la información ni las recomendaciones que se incluyen en ella sirvan de asesoramiento legal. Cada cliente tiene la responsabilidad de evaluar de forma independiente el uso que hace de los servicios según proceda para cumplir las obligaciones legales que correspondan.

Usuarios a los que está dirigida

Google Cloud Platform (GCP) facilita el cumplimiento de la HIPAA por parte de los clientes sujetos a dicha ley, incluidas las adendas pertinentes, como las de la ley de tecnología de información médica para la salud clínica y económica de Estados Unidos. Esta guía está dirigida a los encargados del cumplimiento y de la seguridad, a los administradores de TI y a otros empleados responsables de la implementación y el cumplimiento de la HIPAA en Google Cloud Platform. Al leer esta guía, obtendrás información sobre cómo puede favorecer Google el cumplimiento de la HIPAA y sobre cómo configurar los proyectos de Google Cloud para cumplir tus responsabilidades en relación con esta ley.

Definiciones

Los términos en mayúsculas empleados pero no definidos en este documento tienen el mismo significado que en la HIPAA. Además, a efectos de este documento, "Información Médica Protegida" (PHI) hace referencia a la PHI que Google recibe de una Entidad con Cobertura.

Información general

Es importante tener en cuenta que no hay ninguna certificación que esté reconocida por el departamento de salud y servicios sociales de EE. UU. (HHS) en relación con el cumplimiento de la HIPAA y que la responsabilidad de su cumplimiento recae tanto en el cliente como en Google. En concreto, la HIPAA exige el cumplimiento de las normas de seguridad, privacidad y aviso de quiebras de seguridad. Google Cloud Platform permite el cumplimiento de la HIPAA (dentro del ámbito de un Contrato de Colaboración Empresarial) pero, en última instancia, los clientes son responsables de evaluar su cumplimiento de la HIPAA.

Google firmará un Contrato de Colaboración Empresarial con los clientes según sea necesario en virtud de la HIPAA. Google Cloud Platform se creó bajo la orientación de un equipo de ingeniería de seguridad conformado por más de 700 personas, es decir, más grande que la mayoría de los equipos de seguridad on-premise. Para obtener información específica sobre cómo abordamos la seguridad y la protección de datos, incluidos los detalles sobre los controles técnicos y de organización referentes a nuestra forma de salvaguardar los datos, consulta el Informe sobre seguridad y la Información general sobre el diseño de seguridad de la infraestructura de Google de Google.

Además de plasmar en documentos su método de diseño de seguridad y privacidad, Google se somete a varias auditorías de terceros independientes de forma periódica para proporcionar a los clientes una verificación externa (los informes y certificados se enlazan a continuación). Esto significa que un auditor independiente ha examinado los controles de nuestros centros de datos, nuestra infraestructura y nuestras operaciones. En Google se realizan auditorías anuales de los siguientes estándares:

  • SSAE16/ISAE 3402 tipo II. Consulta el informe SOC 3 público asociado. El informe SOC 2 puede obtenerse bajo un acuerdo de confidencialidad.
  • ISO 27001. Google ha obtenido la certificación ISO 27001 de los sistemas, las aplicaciones, las personas, la tecnología, los procesos y los centros de datos implicados en Google Cloud Platform. Nuestro certificado ISO 27001 está disponible en la sección de cumplimiento de nuestro sitio web.
  • ISO 27017 sobre la seguridad en la nube. Es un estándar internacional de prácticas relacionadas con los controles de seguridad de la información que se basa en la norma ISO/IEC 27002 y se centra especialmente en los servicios en la nube. Nuestro certificado ISO 27017 está disponible en la sección de cumplimiento de nuestro sitio web.
  • ISO 27018 sobre la privacidad en la nube. Es un estándar internacional de prácticas relacionadas con la protección de información personal identificable (IPI) en los servicios de nubes públicas. Nuestro certificado ISO 27018 está disponible en la sección de cumplimiento de nuestro sitio web.
  • Autorización para operar del FedRAMP
  • PCI DSS v. 3.2.1

Además de garantizar la confidencialidad, la integridad y la disponibilidad del entorno de Google, el enfoque integral de auditorías externas de Google está diseñado para garantizar su compromiso por ofrecer la mejor seguridad de la información. Los clientes pueden consultar estos informes de auditorías de terceros para analizar cómo los productos de Google pueden satisfacer sus necesidades en cuanto al cumplimiento de la HIPAA.

Responsabilidades del cliente

Una de las responsabilidades clave de un cliente es determinar si es o no una Entidad con Cobertura (o un Asociado Empresarial de una Entidad con Cobertura) y, de ser así, si requiere un Contrato de Colaboración Empresarial con Google a los efectos de sus interacciones.

Si bien Google proporciona una infraestructura segura y conforme (como se ha descrito más arriba) para el almacenamiento y procesamiento de la PHI, el cliente es responsable de asegurarse de que el entorno y las aplicaciones que cree basándose en Google Cloud Platform estén debidamente configurados y protegidos de acuerdo con los requisitos de la HIPAA. Esto se suele denominar "modelo de seguridad compartida en la nube".

Prácticas recomendadas esenciales:

  • Formaliza un Contrato de Colaboración Empresarial de Google Cloud. Puedes solicitar uno directamente a tu gestor de cuentas.
  • Cuando trabajes con PHI, inhabilita los productos de Google Cloud que no estén cubiertos explícitamente por el Contrato de Colaboración Empresarial o asegúrate de alguna otra forma de que no los estés utilizando (consulta los productos incluidos).

Prácticas técnicas recomendadas:

  • Sigue las prácticas recomendadas de gestión de identidades y accesos (IAM) al configurar quién tiene acceso a tu proyecto. En particular, debido a que se pueden usar cuentas de servicio para acceder a los recursos, asegúrate de que el acceso a esas cuentas y a sus claves esté estrictamente controlado.
  • Averigua si tu organización tiene otras obligaciones de encriptado aparte de lo exigido por la norma de seguridad de la HIPAA. Todo el contenido del cliente se encripta en reposo en Google Cloud Platform. Consulta nuestro artículo técnico sobre el encriptado para ver más detalles y conocer las excepciones.
  • Si utilizas Cloud Storage, plantéate la posibilidad de habilitar la gestión de versiones de los objetos para proporcionar un archivo de esos datos y permitir su recuperación en caso de eliminación accidental. Además, consulta y sigue las instrucciones indicadas en las consideraciones de seguridad y privacidad antes de usar gsutil para interactuar con Cloud Storage.
  • Configura los destinos de exportación de los registros de auditoría. Te recomendamos encarecidamente que exportes los registros de auditoría a Cloud Storage para archivarlos a largo plazo, así como a Google BigQuery si tienes cualquier otra necesidad forense, de análisis o de monitorización. Configura el control de acceso para los destinos que mejor se ajuste a tu organización.
  • Configura el control de acceso para los registros que mejor se ajuste a tu organización. A los registros de auditoría de la actividad administrativa pueden acceder los usuarios con el rol Visualizador de registros, y a los registros de auditoría del acceso a los datos, los que cuenten con el rol Visualizador de registros privados.
  • Revisa regularmente los registros de auditoría para verificar la seguridad y el cumplimiento de los requisitos. Como se ha señalado más arriba, BigQuery es una excelente plataforma para analizar registros a gran escala. También te recomendamos aprovechar los sistemas de gestión de eventos e información de seguridad (SIEM) de nuestras integraciones de terceros para demostrar el cumplimiento mediante el análisis de registros.
  • Cuando crees o configures índices en Cloud Datastore, encripta la PHI, las credenciales de seguridad y los demás datos sensibles antes de utilizarlos como la clave de entidad, la clave de propiedad indexada o el valor de propiedad indexada en el índice. Consulta la documentación de Cloud Datastore para conseguir información sobre cómo crear o configurar índices.
  • Cuando crees o actualices agentes de Dialogflow Enterprise, no incluyas credenciales de seguridad ni PHI en la definición de los agentes (por ejemplo, Intents, Frases de preparación y Entidades).
  • Cuando crees o actualices recursos, no incluyas credenciales de seguridad ni PHI al especificar los metadatos de un recurso, ya que esos datos pueden capturarse en los registros. Los registros de auditoría nunca incluyen los contenidos de datos de un recurso ni los resultados de una consulta, pero pueden capturarse metadatos de los recursos.
  • Cuando utilices Identity Platform en tu proyecto, sigue las prácticas de Identity Platform.
  • Cuando utilices los servicios de Cloud Build para realizar una integración o un desarrollo continuos, no incluyas o almacenes PHI en los archivos de configuración de la versión, en los archivos de control del código fuente o en otros artefactos de la versión.
  • Si utilizas Cloud CDN, asegúrate de que no solicitas almacenar en caché información médica protegida. Consulta la documentación de Cloud CDN para obtener más información sobre qué hacer para evitar el almacenamiento en caché.
  • Si estás usando Cloud Speech‑to‑Text y has firmado un contrato de colaboración empresarial con Google en virtud de la HIPAA que cubre todas las obligaciones de información médica protegida, no deberías habilitar el programa de almacenamiento de registros de datos.
  • Si utilizas VMware Engine de Google Cloud, tienes la responsabilidad de conservar los registros de acceso a nivel de aplicación durante el periodo que sea necesario para cumplir los requisitos de la HIPAA.

Productos incluidos

El Contrato de Colaboración Empresarial de Google Cloud abarca toda la infraestructura de GCP (todas las regiones, todas las zonas, todas las rutas de red y todos los puntos de presencia) y los siguientes productos:

  • Administrador de contextos de acceso
  • Transparencia de acceso
  • Apigee
  • Apigee Hybrid
  • AI Platform
  • AI Platform Training y AI Platform Prediction
  • Anthos Config Management
  • Anthos Service Mesh
  • App Engine
  • Solución Bare Metal
  • Autorización binaria
  • Cloud AI Notebooks
  • Cloud Armor
  • Inventario de Recursos de Cloud
  • Cloud AutoML Natural Language
  • Cloud AutoML Tables
  • Cloud AutoML Translation
  • Cloud AutoML Video
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery Data Transfer Service
  • Cloud Bigtable
  • Cloud Build
  • Cloud CDN
  • Consola de Cloud
  • Aplicación de la consola de Cloud
  • Cloud Composer
  • Cloud Data Fusion
  • Servicio de etiquetado de datos de Cloud
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Debugger
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Firestore
  • Cloud Functions
  • Cloud Healthcare
  • Cloud HSM
  • Cloud Identity
  • Gestión de Identidades y Accesos de Cloud
  • Cloud Identity-Aware Proxy
  • Cloud Interconnect
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Life Sciences (anteriormente, Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Memorystore
  • Cloud Monitoring
  • API de Cloud Natural Language
  • Cloud NAT
  • Cloud Profiler
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Run (plataforma totalmente gestionada)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud Spanner
  • Cloud Speech-to-Text
  • Cloud SQL
  • API Cloud Service Consumer Management
  • Cloud Storage
  • Servicio de transferencia de Cloud Storage
  • Cloud Tasks
  • Cloud Trace
  • API Cloud Translation
  • Cloud Text-to-Speech
  • API Cloud Video Intelligence
  • API Cloud Vision
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Data Catalog
  • Dialogflow
  • Document AI
  • Error Reporting
  • VMware Engine de Google Cloud (GCVE)
  • Google Service Control
  • Google Service Management
  • Identity Platform
  • Kubernetes Engine
  • Servicio gestionado de Microsoft Active Directory (AD)
  • Niveles de servicio de red
  • Persistent Disk
  • Secret Manager
  • Security Command Center
  • Directorio de servicios
  • Sensitive Data Protection (including Cloud Data Loss Prevention)
  • Traffic Director
  • Servicio Transfer Appliance
  • Nube privada virtual (VPC)
  • Controles de Servicio de VPC
  • Web Security Scanner

Consulta el sitio web de cumplimiento de Google Cloud para acceder a la lista más actualizada de los productos incluidos. Esta lista se actualiza a medida que están disponibles nuevos productos para el programa de la HIPAA.

Características exclusivas

Las prácticas de seguridad de GCP nos permiten tener un Contrato de Colaboración Empresarial en virtud de la HIPAA que cubre toda la infraestructura de GCP, no solo una parte de nuestra nube. Por ello, no estarás restringido a una región específica, lo que aporta diversas ventajas de escalabilidad, operaciones y arquitectura. También puedes beneficiarte de la redundancia de servicios en varias regiones, así como de la posibilidad de usar máquinas virtuales interrumpibles para reducir costes.

Las medidas de seguridad y cumplimiento que nos permiten facilitar el cumplimiento de la HIPAA están profundamente integradas en nuestra infraestructura, diseño de seguridad y productos. Por ello, podemos ofrecer a los clientes regulados por la HIPAA los mismos productos al mismo precio que para el resto de los clientes, incluidos los descuentos por uso continuado. Otros proveedores, en cambio, cobran más por las nubes que cumplen los requisitos de la HIPAA.

Conclusión

Google Cloud Platform es la infraestructura en la nube en la que los clientes pueden almacenar información de salud, analizarla y extraer datos de ella de manera segura, sin tener que preocuparse por la infraestructura subyacente.

Otros recursos