Conformità HIPAA su Google Cloud Platform

Questa guida illustra la conformità HIPAA su Google Cloud Platform. La conformità HIPAA per Google Workspace viene descritta separatamente.

Disclaimer

Questa guida viene fornita unicamente a scopo informativo. Le informazioni e i suggerimenti forniti da Google in questa guida non devono essere interpretati come una consulenza legale. Ogni cliente è tenuto a valutare autonomamente il modo in cui usa i servizi così da adempiere ai propri obblighi di conformità legale.

Pubblico di destinazione

Google Cloud Platform supporta la conformità HIPAA per i clienti soggetti ai requisiti dell'Health Insurance Portability and Accountability Act (noto come HIPAA, inclusi i requisiti previsti dall'Health Information Technology for Economic and Clinical Health Act, o HITECH). Questa guida è destinata ai responsabili della sicurezza, ai responsabili della conformità, agli amministratori IT e a tutti i dipendenti coinvolti nell'implementazione e nella verifica della conformità ai requisiti HIPAA su Google Cloud Platform. Nella guida viene illustrato in che modo Google è in grado di supportare la conformità HIPAA e come configurare i progetti Google Cloud per soddisfare i requisiti HIPAA.

Definizioni

I termini in maiuscolo utilizzati, ma non altrimenti definiti in questo documento, hanno lo stesso significato a essi attribuito dalle normative HIPAA. Inoltre, ai fini del presente documento, per Dati sanitari protetti (PHI) si intendono i PHI che Google riceve da un'"Entità coperta".

Panoramica

È importante notare che non esiste alcuna certificazione riconosciuta dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS) per la conformità HIPAA e che la responsabilità per la conformità a HIPAA è condivisa tra il cliente e Google. In particolare, la normativa HIPAA richiede la conformità alla Security Rule, alla Privacy Rule e alla Breach Notification Rule. Google Cloud Platform supporta la conformità HIPAA (nell'ambito di un Contratto di società in affari), ma comunque i clienti rimangono responsabili della valutazione della propria conformità HIPAA.

Google stipulerà Contratti di società in affari con i clienti ai sensi della normativa HIPAA. La piattaforma Google Cloud Platform è stata realizzata con la supervisione di un team dedicato alla sicurezza di oltre 700 persone, un numero ben superiore alla maggior parte dei team di sicurezza on-premise. Per informazioni dettagliate sul nostro approccio alla sicurezza e alla protezione dei dati, inclusi dettagli sui controlli organizzativi e tecnici relativi al modo in cui Google protegge i tuoi dati, leggi i documenti Google Security Whitepaper e Google Infrastructure Security Design Overview.

Oltre a documentare il proprio approccio alla progettazione della sicurezza e della privacy, Google si sottopone regolarmente a diversi controlli indipendenti di terze parti per fornire ai clienti una verifica esterna (di seguito i link ai rapporti e ai certificati). Questo significa che revisori indipendenti esaminano le misure di controllo vigenti nei nostri data center, nella nostra infrastruttura e nelle nostre procedure operative. Google si sottopone a controlli annuali per i seguenti standard:

  • SSAE16 / ISAE 3402 Type II. Scarica il rapporto pubblico associato SOC 3. Il rapporto SOC 2 è disponibile in seguito alla sottoscrizione di un accordo di non divulgazione (NDA).
  • ISO 27001. Google ha ottenuto le certificazioni ISO 27001 per i sistemi, le applicazioni, le persone, la tecnologia, i processi e i data center di Google Cloud Platform. Il nostro certificato ISO 27001 è disponibile nella sezione relativa alla conformità del nostro sito web.
  • ISO 27017 - Sicurezza nel cloud. Si tratta di uno standard internazionale, specifico per i servizi cloud, che definisce le prassi per i controlli di sicurezza delle informazioni basati sulla norma ISO/IEC 27002. Il nostro certificato ISO 27017 è disponibile nella sezione relativa alla conformità del nostro sito web.
  • ISO 27018 - Privacy nel cloud. Si tratta di uno standard internazionale che definisce le prassi per la protezione delle informazioni personali (PII) nei servizi cloud pubblici. Il nostro certificato ISO 27018 è disponibile nella sezione relativa alla conformità del nostro sito web.
  • FedRAMP ATO
  • PCI DSS v3.2.1

Oltre ad assicurare la riservatezza, l'integrità e la disponibilità dell'ambiente di Google, l'approccio Google ai controlli di terze parti è concepito per attestare l'impegno di Google a garantire la massima sicurezza delle informazioni. I clienti possono fare riferimento ai rapporti dei controlli di terze parti per valutare in che modo i prodotti Google possono soddisfare le loro esigenze di conformità HIPAA.

Responsabilità del cliente

Una delle principali responsabilità del cliente è quella di determinare se si è o meno un'Entità coperta (o un Socio in affari di un'Entità coperta) e, nel caso, se è necessario un Contratto di società in affari con Google ai fini delle loro interazioni.

Mentre Google fornisce un'infrastruttura sicura e conforme (come descritto sopra) per l'archiviazione e il trattamento di PHI, il cliente ha la responsabilità di garantire che l'ambiente e le applicazioni che crea su Google Cloud Platform siano correttamente configurati e protetti in base ai requisiti HIPAA. Per questo motivo si parla spesso di modello di sicurezza condivisa nel cloud.

Best practice fondamentali:

  • Esegui un Contratto di società in affari (BAA) Google Cloud. È possibile richiedere un BAA direttamente al proprio account manager.
  • Disabilita o comunque assicurati di non utilizzare, durante il trattamento di PHI, i prodotti Google Cloud non espressamente coperti dal BAA (vedi Prodotti coperti).

Best practice tecniche consigliate:

  • Utilizza le best practice IAM durante la configurazione degli accessi al tuo progetto. In particolare, poiché gli account di servizio possono essere utilizzati per accedere alle risorse, è necessario assicurarsi che l'accesso a tali account di servizio e alle chiavi degli account di servizio sia sottoposto a un rigido controllo.
  • Determina se la tua organizzazione abbia requisiti di crittografia ulteriori a quelli richiesti dalla Security Rule HIPAA. Su Google Cloud Platform, tutti i contenuti dei clienti vengono criptati quando inattivi. Consulta il white paper sulla crittografia per ulteriori dettagli ed eventuali eccezioni.
  • Se utilizzi Cloud Storage, è opportuno attivare il Controllo delle versioni degli oggetti per generare un archivio per tali dati e per consentire l'annullamento dell'eliminazione in caso di cancellazione accidentale dei dati. Inoltre, prima di utilizzare gsutil per interagire con Cloud Storage, esamina e segui le indicazioni fornite nel documento relativo alle considerazioni su privacy e sicurezza.
  • Configura le destinazioni delle esportazioni degli audit log. Google incoraggia l'esportazione degli audit log in Cloud Storage per l'archiviazione a lungo termine e in BigQuery per eventuali esigenze in termini di analisi, monitoraggio e/o conformità legale. Assicurati di configurare il controllo degli accessi alle destinazioni appropriato alla tua organizzazione.
  • Configura il controllo degli accessi ai log appropriato alla tua organizzazione. Gli audit log per le Attività degli amministratori possono essere consultati dagli utenti con il ruolo Visualizzatore log, mentre gli audit log per l'Accesso ai dati possono essere consultati dagli utenti con il ruolo Visualizzatore log privati.
  • Esamina regolarmente gli audit log per garantire la sicurezza e la conformità ai requisiti. Come spiegato in precedenza, BigQuery rappresenta un'ottima piattaforma per l'analisi dei log su larga scala. Valuta inoltre l'opportunità di utilizzare piattaforme SIEM offerte dalle nostre integrazioni di terze parti per accertare la conformità tramite l'analisi dei log.
  • Durante la creazione o la configurazione degli indici in Cloud Datastore, cripta eventuali PHI, credenziali di sicurezza o altri dati sensibili prima di utilizzarli come chiave di entità, chiave di proprietà indicizzata o valore di proprietà indicizzata per gli indici. Consulta la documentazione di Cloud Datastore per informazioni sulla creazione e/o la configurazione di indici.
  • Durante la creazione o l'aggiornamento degli agenti di Dialogflow Enterprise, assicurati di non includere PHI o credenziali di sicurezza in nessun punto della definizione dell'agente, inclusi Intenti, Frasi di addestramento ed Entità.
  • Durante la creazione o l'aggiornamento delle risorse, assicurati di non includere PHI o credenziali di sicurezza quando specifichi i metadati di una risorsa, poiché tali informazioni potrebbero essere acquisite nei log. Gli audit log non includono mai i contenuti di una risorsa o i risultati di una query nei log, ma potrebbero essere acquisiti i metadati delle risorse.
  • Usa le pratiche di Identity Platform quando utilizzi Identity Platform per il tuo progetto.
  • Quando utilizzi i servizi Cloud Build per l'integrazione o lo sviluppo continui, evita di includere o archiviare PHI nei file di configurazione della build, nei file di controllo del codice sorgente o in altri elementi della build.
  • Se utilizzi Cloud CDN, assicurati di non richiedere la memorizzazione dei PHI nella cache. Consulta la documentazione su Cloud CDN per ulteriori informazioni su come evitare la memorizzazione nella cache.
  • Se utilizzi Cloud Speech-to-Text e hai stipulato un Contratto di società in affari con Google che copre qualsiasi obbligo relativo ai PHI ai sensi della normativa HIPAA, non dovresti aderire al programma di logging dei dati.
  • Se utilizzi Google Cloud VMware Engine, è tua responsabilità conservare i log di accesso a livello di applicazione per un periodo appropriato a seconda delle esigenze per soddisfare i requisiti HIPAA.

Prodotti coperti

Il BAA di Google Cloud copre l'intera infrastruttura di GCP (tutte le aree geografiche, tutte le zone, tutti i percorsi di rete, tutti i punti di presenza) e i seguenti prodotti:

  • Gestore contesto accesso
  • Access Transparency
  • Apigee
  • Apigee hybrid
  • AI Platform
  • AI Platform Training e AI Platform Prediction
  • Anthos Config Management
  • Anthos Service Mesh
  • App Engine
  • Soluzione Bare Metal
  • Autorizzazione binaria
  • Cloud AI Notebooks
  • Cloud Armor
  • Cloud Asset Inventory
  • Cloud AutoML Natural Language
  • Tabelle Cloud AutoML
  • Cloud AutoML Translation
  • Cloud AutoML Video
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery Data Transfer Service
  • Cloud Bigtable
  • Cloud Build
  • Cloud CDN
  • Cloud Console
  • App Cloud Console
  • Cloud Composer
  • Cloud Data Fusion
  • Cloud Data Labeling Service
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Debugger
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Firestore
  • Cloud Functions
  • Cloud Healthcare
  • Cloud HSM
  • Cloud Identity
  • Cloud Identity and Access Management
  • Cloud Identity-Aware Proxy
  • Cloud Interconnect
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Life Sciences (in precedenza Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Memorystore
  • Cloud Monitoring
  • API Cloud Natural Language
  • Cloud NAT
  • Cloud Profiler
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Router Cloud
  • Cloud Run (completamente gestito)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud Spanner
  • Cloud Speech-to-Text
  • Cloud SQL
  • API Cloud Service Consumer Management
  • Cloud Storage
  • Cloud Storage Transfer Service
  • Cloud Tasks
  • Cloud Trace
  • API Cloud Translation
  • Cloud Text-to-Speech
  • API Cloud Video Intelligence
  • API Cloud Vision
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Data Catalog
  • Dialogflow
  • Document AI
  • Error Reporting
  • Google Cloud VMware Engine (GCVE)
  • Google Service Control
  • Google Service Management
  • Identity Platform
  • Kubernetes Engine
  • Managed Service for Microsoft Active Directory (AD)
  • Network Service Tiers
  • Persistent Disk
  • Secret Manager
  • Security Command Center
  • Sensitive Data Protection (including Cloud Data Loss Prevention)
  • Service Directory
  • Traffic Director
  • Servizio Transfer Appliance
  • Virtual Private Cloud (VPC)
  • Controlli di servizio VPC
  • Web Security Scanner

Per un elenco aggiornato dei prodotti coperti, consulta il sito della conformità di Google Cloud. Questo elenco viene aggiornato quando vengono resi disponibili nuovi prodotti per il programma HIPAA.

Caratteristiche uniche

Le pratiche di sicurezza di GCP ci consentono di avere un BAA HIPAA che copre l'intera infrastruttura di GCP, e non solo una porzione riservata del nostro cloud. Di conseguenza, non si è limitati a un'area geografica specifica, con conseguenti vantaggi in termini di scalabilità, operatività e architettura. Puoi trarre vantaggio anche dalla ridondanza dei servizi in più aree geografiche e dalla possibilità di utilizzare le VM prerilasciabili per ridurre i costi.

Le misure di sicurezza e conformità che ci consentono di supportare la conformità HIPAA sono profondamente radicate nella nostra infrastruttura, nella progettazione della sicurezza e nei prodotti. Pertanto, possiamo offrire ai clienti regolamentati HIPAA gli stessi prodotti disponibili per tutti i clienti, allo stesso prezzo, inclusi gli sconti per utilizzo sostenuto. Altri provider di cloud pubblici prevedono costi maggiori per i servizi cloud HIPAA, noi no.

Conclusioni

Google Cloud Platform è l'infrastruttura cloud in cui i clienti possono archiviare, analizzare e ottenere informazioni significative dai dati sanitari, in totale sicurezza, senza doversi preoccupare dell'infrastruttura sottostante.

Risorse aggiuntive