使用 Google Cloud Platform 时如何确保遵从《健康保险流通与责任法案》(HIPAA)

本指南介绍使用 Google Cloud Platform 时如何确保遵从 HIPAA。Google Workspace 的 HIPAA 法规遵从要求将另行介绍。

免责声明

本指南仅供参考。Google 在本指南中提供的信息或建议不构成法律建议。每位客户都有责任独立评估其对该服务的具体使用是适当的,以履行法规遵从义务。

目标受众

对于需要遵从《健康保险流通与责任法案》(修订版,简称 HIPAA,包括依据《卫生信息技术促进经济和临床健康 (HITECH) 法案》修订的内容)中相关要求的客户,Google Cloud Platform 提供 HIPAA 合规性支持。本指南面向安全人员、合规专员、IT 管理员以及其他负责 HIPAA 实施工作并确保在使用 Google Cloud Platform 时遵从 HIPAA 法规的员工。阅读本指南后,您将了解 Google 如何提供 HIPAA 遵从支持,并了解如何配置 Google Cloud 项目,以便履行 HIPAA 规定的职责。

定义

本文档中使用但未另行定义的所有大写术语均与 HIPAA 中的含义相同。此外,就本文档而言,受保护健康信息 (PHI) 是指 Google 从适用 HIPAA 的实体处收到的受保护健康信息。

概览

请务必注意,目前没有经美国卫生与公共服务部 (HHS) 认可的 HIPAA 合规性认证,遵守 HIPAA 是客户与 Google 的共同责任。 具体而言,HIPAA 要求遵守其安全规则隐私规则违规通知规则。Google Cloud Platform 提供 HIPAA 遵从支持(在《业务伙伴协议》范围内),但客户负有评估自身 HIPAA 合规性的最终责任。

按照 HIPAA,Google 将根据需要与客户签订《业务伙伴协议》 Google Cloud Platform 是在 700 多人的安全工程团队的指导下构建而成,该团队规模超过大多数自有安全团队。如需详细了解我们在安全和数据保护方面采取的做法,包括有关 Google 如何采取各种组织和技术控制措施来保护您的数据的详细信息,请参阅 Google 安全性白皮书Google 基础架构安全设计概览

除了记录我们在安全和隐私保护设计方面采取的方法之外,Google 会定期接受多项独立的第三方审核,以便为客户提供外部验证(报告和证书链接如下)。也就是说,我们数据中心、基础设施和运营过程中的控制机制均通过了独立审核机构的检验。Google 每年都会接受以下标准的审核:

  • SSAE16 / ISAE 3402 Type II。我们提供了相关的公开 SOC 3 报告。如果客户签署了保密协议,我们还可提供 SOC 2 报告。
  • ISO 27001。Google 在提供 Google Cloud Platform 服务的过程中所用的系统、应用、人员、技术、流程和数据中心均已获得 ISO 27001 认证。您可以在我们网站的合规性部分找到我们的 ISO 27001 证书
  • 针对云端安全性的 ISO 27017。这是专门针对云服务的信息安全控制做法的国际标准,以 ISO/IEC 27002 为基础。您可以在我们网站的合规性部分找到我们的 ISO 27017 证书
  • 针对云端隐私权的 ISO 27018。这是专门针对公共云服务个人身份信息 (PII) 保护做法的国际标准。您可以在我们网站的合规性部分找到我们的 ISO 27018 证书
  • FedRAMP ATO
  • PCI DSS v3.2.1

除了确保 Google 环境的机密性、完整性和可用性之外,Google 全面的第三方审核方法旨在提供 Google 对一流信息安全承诺的保证。客户可以参考这些第三方审核报告,以评估 Google 产品如何满足其 HIPAA 法规遵从的需要。

客户责任

客户的主要责任之一是确定他们是否是所适用的实体(或所适用的实体的业务伙伴),如果是,还要确定他们的互动目的是否需要与 Google 签订《业务伙伴协议》。

虽然 Google 为 PHI 的存储和处理提供了安全且合规的基础架构(如上所述),但客户仍需负责确保根据 HIPAA 要求正确配置和保护他们在 Google Cloud Platform 平台中构建的环境和应用。在云领域中,这通常被称为共享安全模型。

基本最佳做法:

  • 执行 Google Cloud 业务伙伴协议 (BAA)。您可以直接向客户经理申请 BAA。
  • 在处理 PHI 时,停用 BAA 未明确涵盖的 Google Cloud 产品(请参阅涵盖的产品),或确保您没有使用这些产品。

推荐的技术最佳做法:

  • 配置有权访问项目的人员时,请采用 IAM 最佳做法。具体来说,由于服务帐号可用于访问资源,因此请严格控制对这些服务帐号和服务帐号密钥的使用。
  • 确定您的组织是否具有超出 HIPAA 安全规则要求的加密要求。Google Cloud Platform 上存储的所有客户内容均已加密,请参阅我们的加密白皮书以了解详情和任何例外情况。
  • 如果您使用 Cloud Storage,请考虑启用对象版本控制,以便归档相关数据并在意外删除数据时恢复删除。此外,在使用 gsutil 与 Cloud Storage 进行交互之前,请查看并遵循安全与隐私权注意事项中提供的指南。
  • 配置审核日志导出目标位置。我们强烈建议将审核日志导出到 Cloud Storage 以进行长期归档,同时将审核日志导出到 BigQuery 以满足任何分析、监控和/或取证需求。请根据您的组织需求,确保这些目标位置的访问权限得到恰当配置。
  • 对适用于您的组织的日志进行访问权限控制。具有 Logs Viewer 角色的用户可以访问管理活动审核日志,而具有 Private Logs Viewer 角色的用户可以访问数据访问审核日志。
  • 定期检查审核日志,以确保安全性以及遵从相应要求。如上所述,BigQuery 是进行大规模日志分析的绝佳平台。您还可以考虑利用我们的第三方集成的 SIEM 平台,通过日志分析来证明合规性。
  • 在 Cloud Datastore 中创建或配置索引时,请在将任何 PHI、安全凭据或其他敏感数据用作索引的实体键、编入索引的属性键或编入索引的属性值之前,对这些数据进行加密。有关创建和/或配置索引的信息,请参阅 Cloud Datastore 文档
  • 创建或更新 Dialogflow Enterprise 代理时,请务必避免在您的代理定义(包括意图、训练短语和实体)中包含 PHI 或安全凭据。
  • 创建或更新资源时,请确保避免在指定资源的元数据时包含 PHI 或安全凭据,因为此类信息可能会被捕获并记录在日志中。审核日志不会在日志中包含资源的数据内容或查询结果,但可能会捕获资源元数据。
  • 为项目使用 Identity Platform 时,运用 Identity Platform 实践
  • 使用 Cloud Build 服务进行持续集成或开发时,请避免在构建配置文件、源控制文件或其他构建工件中包含或存储 PHI。
  • 如果您使用 Cloud CDN,请确保您没有请求缓存 PHI。如需了解如何阻止缓存,请参阅 Cloud CDN 文档
  • 如果您使用 Cloud Speech-to-Text,并且与 Google 签署了涵盖 HIPAA 中规定的任何 PHI 义务的 BAA,则不应选择加入数据日记记录计划。
  • 如果您使用 Google Cloud VMware Engine,则有责任根据需要将应用级别访问日志保留一段适当的时间,以满足 HIPAA 的要求。

涵盖产品

Google Cloud BAA 涵盖 GCP 的整个基础架构(包括所有地区、所有区域、所有网络路径、所有接入点)以及下述产品:

  • Access Context Manager
  • Access Transparency
  • Apigee
  • Apigee Hybrid
  • AI Platform
  • AI Platform 训练和预测
  • Anthos Config Management
  • Anthos Service Mesh
  • App Engine
  • Bare Metal 解决方案
  • Binary Authorization
  • Cloud AI Notebooks
  • Cloud Armor
  • Cloud Asset Inventory
  • Cloud AutoML Natural Language
  • Cloud AutoML Tables
  • Cloud AutoML Translation
  • Cloud AutoML Video
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery Data Transfer Service
  • Cloud Bigtable
  • Cloud Build
  • Cloud CDN
  • Cloud Console
  • Cloud Console 应用
  • Cloud Composer
  • Cloud Data Fusion
  • Cloud Data Labeling Service
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Debugger
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Firestore
  • Cloud Functions
  • Cloud Healthcare
  • Cloud HSM
  • Cloud Identity
  • Cloud Identity and Access Management
  • Cloud Identity-Aware Proxy
  • Cloud Interconnect
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Life Sciences(原 Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Memorystore
  • Cloud Monitoring
  • Cloud Natural Language API
  • Cloud NAT
  • Cloud Profiler
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Run(全代管式)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud Spanner
  • Cloud Speech-to-Text
  • Cloud SQL
  • Cloud Service Consumer Management API
  • Cloud Storage
  • Cloud Storage Transfer Service
  • Cloud Tasks
  • Cloud Trace
  • Cloud Translation API
  • Cloud Text-to-Speech
  • Cloud Video Intelligence API
  • Cloud Vision API
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Data Catalog
  • Dialogflow
  • Document AI
  • 错误报告
  • Google Cloud VMware Engine (GCVE)
  • Google Service Control
  • Google Service Management
  • Identity Platform
  • Kubernetes Engine
  • Managed Service for Microsoft Active Directory (AD)
  • Network Service Tiers
  • Persistent Disk
  • Secret Manager
  • Security Command Center
  • Sensitive Data Protection (including Cloud Data Loss Prevention)
  • Service Directory
  • Traffic Director
  • Transfer Appliance Service
  • Virtual Private Cloud (VPC)
  • VPC Service Controls
  • Web Security Scanner

有关涵盖产品的最新列表,请参阅 Google Cloud 合规性网站。当新产品在 HIPAA 计划中可用时,此列表会进行更新。

独有的特性

GCP 的安全做法,让我们能够签订涵盖 GCP 的整个基础架构(而不是我们云服务的某个部分)的 HIPAA BAA。因此,您将不会受限于特定地区,从而获得规模化、运营和架构方面的优势。您还可以受益于多地区服务冗余以及使用抢占式虚拟机来降低成本的能力。

让我们有能力提供 HIPAA 合规性支持的安全与合规性措施深深地融入我们的基础架构、安全设计和产品当中。因此,我们能以向所有客户提供的同样价格(包括持续使用折扣)向需要遵从 HIPAA 的客户提供相同的产品。其他公有云服务为符合 HIPAA 的云产品收取更高费用,但我们不会。

总结

Google Cloud Platform 云基础架构让客户可以安全地存储、分析健康信息并从中获得数据洞见,而无需担心底层基础架构。

其他资源