Cumplimiento de la ley HIPAA en Google Cloud

En esta guía se trata el cumplimiento de la ley de transferencia y responsabilidad de los seguros médicos de EE. UU. en Google Cloud. El cumplimiento de la HIPAA en Google Workspace se explica por separado.

Renuncia de responsabilidad

Esta guía tiene únicamente fines informativos. Google no pretende que la información ni las recomendaciones que se incluyen en ella sirvan de asesoramiento legal. Cada cliente tiene la responsabilidad de evaluar de forma independiente el uso que hace de los servicios según proceda para cumplir las obligaciones legales que correspondan.

Usuarios a los que está dirigida

Google Cloud facilita el cumplimiento de la HIPAA por parte de los clientes sujetos a dicha ley, incluidas las adendas pertinentes, como las de la ley de tecnología de información médica para la salud clínica y económica de Estados Unidos. Esta guía está dirigida a los encargados del cumplimiento y de la seguridad, a los administradores de TI y a otros empleados responsables de la implementación y el cumplimiento de la HIPAA en Google Cloud. Al leer esta guía, obtendrás información sobre cómo puede favorecer Google el cumplimiento de la HIPAA y sobre cómo configurar los proyectos de Google Cloud para cumplir tus responsabilidades en relación con esta ley.

Definiciones

Los términos en mayúsculas empleados pero no definidos en este documento tienen el mismo significado que en la HIPAA. Además, a efectos de este documento, "Información Médica Protegida" (PHI) hace referencia a la PHI que Google recibe de una Entidad con Cobertura.

Información general

Es importante tener en cuenta que no hay ninguna certificación que esté reconocida por el departamento de salud y servicios sociales de EE. UU. (HHS) en relación con el cumplimiento de la HIPAA y que la responsabilidad de su cumplimiento recae tanto en el cliente como en Google. En concreto, la HIPAA exige el cumplimiento de las normas de seguridad, privacidad y aviso de quiebras de seguridad. Google Cloud permite el cumplimiento de la HIPAA (dentro del ámbito de un Contrato de Colaboración Empresarial) pero, en última instancia, los clientes son responsables de evaluar su cumplimiento de la HIPAA.

Google firmará un Contrato de Colaboración Empresarial con los clientes según sea necesario en virtud de la HIPAA. Google Cloud se creó bajo la orientación de un equipo de ingeniería de seguridad conformado por más de 700 personas, es decir, más grande que la mayoría de los equipos de seguridad on-premise. Para obtener información específica sobre cómo abordamos la seguridad y la protección de datos, incluidos los detalles sobre los controles técnicos y de organización referentes a nuestra forma de salvaguardar los datos, consulta el Informe sobre seguridad y la Información general sobre el diseño de seguridad de la infraestructura de Google de Google.

Además de plasmar en documentos su método de diseño de seguridad y privacidad, Google se somete a varias auditorías de terceros independientes de forma periódica para proporcionar a los clientes una verificación externa (los informes y certificados se enlazan a continuación). Esto significa que un auditor independiente ha examinado los controles de nuestros centros de datos, nuestra infraestructura y nuestras operaciones. En Google se realizan auditorías anuales de los siguientes estándares:

  • SSAE 16/ISAE 3402 Tipo II Consulta el informe SOC 3 público asociado. El informe SOC 2 puede obtenerse bajo un acuerdo de confidencialidad.
  • ISO 27001. Google ha obtenido la certificación ISO 27001 de los sistemas, las aplicaciones, las personas, la tecnología, los procesos y los centros de datos implicados en Google Cloud. Nuestro certificado ISO 27001 está disponible en la sección de cumplimiento de nuestro sitio web.
  • ISO 27017 sobre la seguridad en la nube. Es un estándar internacional de prácticas relacionadas con los controles de seguridad de la información que se basa en la norma ISO/IEC 27002 y se centra especialmente en los servicios en la nube. Nuestro certificado ISO 27017 está disponible en la sección de cumplimiento de nuestro sitio web.
  • ISO 27018 sobre la privacidad en la nube. Es un estándar internacional de prácticas relacionadas con la protección de información personal identificable (IPI) en los servicios de nubes públicas. Nuestro certificado ISO 27018 está disponible en la sección de cumplimiento de nuestro sitio web.
  • Autorización para operar del FedRAMP
  • PCI DSS v. 3.2.1

Además de garantizar la confidencialidad, la integridad y la disponibilidad del entorno de Google, el enfoque integral de auditorías externas de Google está diseñado para garantizar su compromiso por ofrecer la mejor seguridad de la información. Los clientes pueden consultar estos informes de auditorías de terceros para analizar cómo los productos de Google pueden satisfacer sus necesidades en cuanto al cumplimiento de la HIPAA.

Responsabilidades del cliente

Una de las responsabilidades clave de un cliente es determinar si es o no una Entidad con Cobertura (o un Asociado Empresarial de una Entidad con Cobertura) y, de ser así, si requiere un Contrato de Colaboración Empresarial con Google a los efectos de sus interacciones.

Si bien Google proporciona una infraestructura segura y conforme (como se ha descrito más arriba) para el almacenamiento y procesamiento de la PHI, el cliente es responsable de asegurarse de que el entorno y las aplicaciones que cree basándose en Google Cloud estén debidamente configurados y protegidos de acuerdo con los requisitos de la HIPAA. Esto se suele denominar "modelo de seguridad compartida en la nube".

Prácticas recomendadas esenciales:

  • Formaliza un Contrato de Colaboración Empresarial de Google Cloud. Puedes solicitar uno directamente a tu gestor de cuentas.
  • Cuando trabajes con PHI, inhabilita los productos de Google Cloud que no estén cubiertos explícitamente por el Contrato de Colaboración Empresarial o asegúrate de alguna otra forma de que no los estés utilizando (consulta los productos incluidos).
  • No uses ofertas de Acceso Previo a la Disponibilidad General (productos o servicios ofrecidos en el marco del Programa de Acceso Previo a la Disponibilidad General de Google Cloud u otras ofertas previas a la Disponibilidad General de Google Cloud, según se definen en los Términos Específicos de los Servicios de Google) en relación con información médica protegida, a menos que se indique expresamente lo contrario en un aviso o en otros términos de la oferta.

Prácticas técnicas recomendadas:

  • Sigue las prácticas recomendadas de gestión de identidades y accesos (IAM) al configurar quién tiene acceso a tu proyecto. En particular, debido a que se pueden usar cuentas de servicio para acceder a los recursos, asegúrate de que el acceso a esas cuentas y a sus claves esté estrictamente controlado.
  • Averigua si tu organización tiene otras obligaciones de encriptado aparte de lo exigido por la norma de seguridad de la HIPAA. Todo el contenido del cliente se encripta en reposo en Google Cloud. Consulta nuestro informe sobre el encriptado para ver más detalles y conocer las excepciones.
  • Si utilizas Cloud Storage, plantéate la posibilidad de habilitar la gestión de versiones de los objetos para proporcionar un archivo de esos datos y permitir su recuperación en caso de eliminación accidental.
  • Configura los destinos de exportación del registro de auditoría. Te recomendamos encarecidamente que exportes los registros de auditoría a Cloud Storage para archivarlos a largo plazo, así como a Google BigQuery si tienes cualquier otra necesidad forense, de análisis o de monitorización. Configura el control de acceso para los destinos que mejor se ajuste a tu organización.
  • Configura el control de acceso para los registros que mejor se ajuste a tu organización. A los registros de auditoría de la actividad administrativa pueden acceder los usuarios con el rol Visualizador de registros, y a los registros de auditoría del acceso a los datos, los que cuenten con el rol Visualizador de registros privados.
  • Revisa regularmente los registros de auditoría para verificar la seguridad y el cumplimiento de los requisitos. Como se ha señalado más arriba, BigQuery es una excelente plataforma para analizar registros a gran escala. También te recomendamos aprovechar los sistemas de gestión de eventos e información de seguridad (SIEM) de nuestras integraciones de terceros para demostrar el cumplimiento mediante el análisis de registros.
  • Cuando crees o configures índices en Cloud Datastore, encripta la PHI, las credenciales de seguridad y los demás datos sensibles antes de utilizarlos como la clave de entidad, la clave de propiedad indexada o el valor de propiedad indexada en el índice. Consulta la documentación de Cloud Datastore para obtener información sobre cómo crear o configurar índices.
  • Cuando crees o actualices agentes de Dialogflow, no incluyas credenciales de seguridad ni PHI en la definición de los agentes (por ejemplo, Intents, Frases de entrenamiento y Entidades).
  • Cuando crees o actualices recursos, no incluyas credenciales de seguridad ni PHI al especificar los metadatos de un recurso, ya que esos datos pueden capturarse en los registros. Los registros de auditoría nunca incluyen los contenidos de datos de un recurso ni los resultados de una consulta, pero pueden capturarse metadatos de los recursos.
  • Cuando utilices Identity Platform en tu proyecto, sigue las prácticas de Identity Platform.
  • Cuando utilices los servicios de Cloud Build para realizar una integración o un desarrollo continuos, no incluyas o almacenes PHI en los archivos de configuración de la versión, en los archivos de control del código fuente o en otros artefactos de la versión.
  • Si utilizas Looker (servicio principal de Google Cloud), las personas designadas por el Cliente para administrar las instancias o los recursos deberán revisar la configuración de seguridad de las aplicaciones e integraciones de terceros, así como la documentación correspondiente sobre seguridad y privacidad que proporcione la aplicación de terceros.
  • Si utilizas Looker (en la infraestructura de Google Cloud) para estructurar consultas, evita incluir o almacenar información médica protegida en la lógica empresarial utilizada para configurar dichas consultas. Para obtener información sobre la estructura de consultas, consulta la documentación.
  • Si utilizas Cloud CDN, asegúrate de que no solicitas almacenar en caché información médica protegida. Consulta la documentación de Cloud CDN para obtener más información sobre qué hacer para evitar el almacenamiento en caché.
  • Si estás usando Cloud Speech‑to‑Text y has firmado un contrato de colaboración empresarial con Google en virtud de la HIPAA que cubre todas las obligaciones de información médica protegida, no deberías habilitar el programa de almacenamiento de registros de datos.
  • Si utilizas VMware Engine de Google Cloud, tienes la responsabilidad de conservar los registros de acceso a nivel de aplicación durante el periodo que sea necesario para cumplir los requisitos de la HIPAA.
  • Cuando configures tareas de Protección de Datos Sensibles, asegúrate de que los datos de salida se escriban en destinos de almacenamiento configurados como parte de tu entorno seguro.
  • Revisa y sigue las directrices de las prácticas recomendadas de Secret Manager cuando almacenes secretos en Secret Manager.
  • Artifact Registry cifra los datos de los repositorios con el cifrado predeterminado de Google o con claves de encriptado gestionadas por el cliente (CMEK). Los metadatos, como los nombres de artefactos, se cifran con el cifrado predeterminado de Google. Estos metadatos podrían aparecer en los registros y estarán visibles para cualquier usuario que tenga los permisos Lectores o Lectores de Artifact Registry. Sigue las instrucciones del artículo Proteger artefactos para evitar el acceso no autorizado a información médica protegida.
  • Container Registry encripta los datos de los segmentos de almacenamiento de tus registros con el encriptado predeterminado de Google o con la CMEK. Sigue las prácticas recomendadas para contenedores y evita el acceso no autorizado a este tipo de información.
  • Si utilizas Filestore, usa el control de acceso basado en IP para restringir qué máquinas virtuales de Compute Engine y clústeres de GKE pueden acceder a la instancia de Filestore. Te recomendamos que utilices copias de seguridad para permitir la recuperación de datos en caso de que se eliminen datos por error.
  • Si utilizas Cloud Monitoring, no almacenes información médica protegida en los metadatos de Google Cloud (como etiquetas de métricas, etiquetas de máquinas virtuales, anotaciones de recursos de GKE o títulos o contenido de paneles de control). Cualquier usuario autorizado a través de la gestión de identidades y accesos para ver tu consola de monitorización o usar la API de Cloud Monitoring podría ver estos datos. No incluyas información médica protegida en las configuraciones de alertas (por ejemplo, en el nombre visible o en la documentación) que podría enviarse a los destinatarios de la alerta.
  • Cuando uses reCAPTCHA Enterprise, evita incluir información médica protegida en URIs o acciones.
  • Si usas API Gateway, los encabezados no deben contener información médica protegida ni de identificación personal.
  • En el caso del servicio de migración de bases de datos, utiliza métodos de conectividad de IP privada para no tener que exponer a Internet una base de datos que contenga información médica protegida.
  • Si usas Dataplex, los valores de los campos google.cloud.datacatalog.lineage.v1.Process.attributes y google.cloud.datacatalog.lineage.v1.Run.attributes no deben incluir información médica protegida ni información personal identificable.
  • Cuando uses Vertex AI Search, usa APIs regionales y ubicaciones de recursos para tratar información médica protegida.
  • Cuando utilices Application Integration e Integration Connectors, no incluyas información personal identificable, información médica protegida ni otros datos sensibles en el parámetro de integración, el nombre de la conexión o la configuración de la conexión, ya que estos datos podrían registrarse. Configura el control de acceso para los registros si la carga útil solicitada contiene datos sensibles. Algunos conectores basados en archivos y eventos basados en webhooks que ofrecen los conectores de integración almacenan los datos de forma temporal. Los clientes pueden cifrar estos datos con la clave que elijan usando la CMEK.

Productos incluidos

El Contrato de Colaboración Empresarial de Google Cloud abarca toda la infraestructura de Google Cloud (todas las regiones, todas las zonas, todas las rutas de red y todos los puntos de presencia) y los siguientes productos:

  • Aprobación de acceso
  • Administrador de contextos de acceso
  • Transparencia de acceso
  • Etiquetado de datos de AI Platform
  • AI Platform Training y AI Platform Prediction
  • AlloyDB para PostgreSQL
  • API Gateway
  • Apigee
  • App Engine
  • Application Integration
  • Artifact Registry
  • Assured Workloads
  • AutoML Natural Language
  • AutoML Tables
  • AutoML Translation
  • AutoML Video
  • AutoML Vision
  • Solución Bare Metal
  • Lotes
  • BigQuery
  • BigQuery Data Transfer Service
  • BigQuery Omni
  • Bigtable
  • Autorización binaria
  • Inventario de Recursos de Cloud
  • Back-up y DR de Cloud
  • Cloud Build
  • Cloud CDN
  • Cloud Composer
  • consola de Cloud
  • Cloud Data Fusion
  • Cloud Deploy
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Functions
  • API Cloud Healthcare
  • Cloud HSM
  • Cloud Identity
  • Cloud IDS
  • Cloud Interconnect
  • Cloud Key Management Service
  • Cloud Life Sciences (anteriormente, Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Monitoring
  • Cloud NAT (Traducción de direcciones de red)
  • API Cloud Natural Language
  • Cloud Profiler
  • Cloud Router
  • Cloud Run (plataforma totalmente gestionada)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud SQL
  • Cloud Storage
  • Cloud Tasks
  • Cloud Trace
  • Cloud Translation
  • Cloud Vision
  • Cloud VPN
  • Colab Enterprise
  • Compute Engine
  • Config Management
  • Conectar
  • Contact Center AI
  • Contact Center AI Insights
  • Contact Center AI Agent Assist
  • Container Registry
  • Database Migration Service
  • Data Catalog
  • Dataflow
  • Dataform
  • Datalab
  • Dataplex
  • Dataproc
  • Datastore
  • Datastream
  • Dialogflow
  • Document AI
  • Document AI Warehouse
  • Eventarc
  • Firestore
  • IA generativa en Vertex AI
  • Hub de GKE
  • Aplicación Google Cloud
  • Google Cloud Armor
  • Google Cloud Identity‑Aware Proxy
  • VMware Engine de Google Cloud (GCVE)
  • Google Kubernetes Engine
  • Healthcare Data Engine
  • Looker (servicio principal de Google Cloud)
  • Looker Studio*
  • Gestión de Identidades y Accesos (IAM)
  • Identity Platform
  • Integration Connectors
  • IoT Core
  • Justificaciones de Acceso a Claves (KAJ)
  • Servicio gestionado de Microsoft Active Directory (AD)
  • Memorystore
  • Niveles de servicio de red
  • Persistent Disk
  • Pub/Sub
  • Risk Manager
  • reCAPTCHA Enterprise
  • API de Resource Manager
  • Secret Manager
  • Security Command Center
  • Protección de datos sensibles
  • Service Consumer Management
  • Service Control
  • Directorio de servicios
  • Service Management
  • Service Mesh
  • Spanner
  • Speech‑to‑Text
  • Servicio de transferencia de Storage
  • Text‑to‑Speech
  • Traffic Director
  • Transfer Appliance
  • Vertex AI Platform (anteriormente, Vertex AI)
  • Vertex AI Search
  • API de Video Intelligence
  • Nube privada virtual
  • Controles de Servicio de VPC
  • Web Security Scanner
  • Instancias de Vertex AI Workbench
  • Workflows

* Siempre y cuando el Cliente haya aceptado que Looker Studio se rija por su Contrato de Google Cloud.

Esta lista se actualiza a medida que están disponibles nuevos productos para el programa de la HIPAA.

Características exclusivas

Las prácticas de seguridad de Google Cloud nos permiten disponer de un BAA de conformidad con la ley HIPAA que cubre toda la infraestructura de Google Cloud y no solo una parte de nuestra nube. Por ello, no estarás restringido a una región específica, lo que aporta diversas ventajas de escalabilidad, operaciones y arquitectura. También puedes beneficiarte de la redundancia de servicios en varias regiones, así como de la posibilidad de usar máquinas virtuales interrumpibles para reducir costes.

Las medidas de seguridad y cumplimiento que nos permiten facilitar el cumplimiento de la HIPAA están profundamente integradas en nuestra infraestructura, diseño de seguridad y productos. Por ello, podemos ofrecer a los clientes regulados por la HIPAA los mismos productos al mismo precio que para el resto de los clientes, incluidos los descuentos por uso continuado. Otros proveedores, en cambio, cobran más por las nubes que cumplen los requisitos de la HIPAA.

Conclusión

Google Cloud es la infraestructura en la nube en la que los clientes pueden almacenar información de salud, analizarla y extraer datos de ella de manera segura, sin tener que preocuparse por la infraestructura subyacente.

Recursos adicionales