Google Cloud Platform'da HIPAA Uyumluluğu

Bu kılavuz, Google Cloud Platform'da HIPAA uyumluluğu ilgili bilgileri içerir. G Suite için HIPAA uyumluluğu ayrı olarak ele alınmıştır.

Sorumluluk Reddi Beyanı

Bu kılavuz sadece bilgilendirme amaçlıdır. Google'ın bu kılavuzda sunduğu bilgiler veya öneriler, yasal tavsiye niteliği taşımaz. Her müşteri, hizmetleri nasıl kullandığını, ilgili yasal uygunluk yükümlülüklerini destekleyecek şekilde bağımsız olarak değerlendirmekten sorumludur.

Hedef Kitle

Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası'nın [Health Information Technology for Economic and Clinical Health (HITECH) Yasası tarafından değiştirilen haliyle HIPAA olarak da bilinir] gereksinimlerine tabi olan müşteriler için Google Cloud Platform, HIPAA uyumluluğunu destekler. Bu kılavuz; güvenlik ve uygunluk sorumluları, BT yöneticileri ve Google Cloud Platform'da HIPAA'nın uygulanması ile uyumluluğun sağlanmasından sorumlu diğer çalışanlar için hazırlanmıştır. Bu kılavuzu okuduktan sonra Google'ın, HIPAA uyumluluğunu nasıl destekleyebildiğini anlamanın yanı sıra HIPAA kapsamındaki yükümlülüklerinizi yerine getirmek için Google Cloud Projelerini nasıl yapılandıracağınızı da öğreneceksiniz.

Tanımlar

Bu belgede kullanılan ancak başka şekilde tanımlanmayan, büyük harfle yazılmış terimler, HIPAA'dakilerle aynı anlamı taşır. Ayrıca bu belgenin amaçları doğrultusunda, Korunan Sağlık Bilgileri (PHI), Google'ın Kapsam Dahilindeki Bir Tüzel Kişiden aldığı PHI anlamına gelir.

Genel Bakış

HIPAA uyumluluğu konusunda ABD Sağlık ve İnsani Hizmetler Bakanlığı tarafından tanınan herhangi bir sertifika bulunmadığının ve HIPAA'ya uymanın, müşteri ile Google arasında paylaşılan ortak bir sorumluluk olduğunun anlaşılması gerekir. Güvenlik Kuralı, Gizlilik Kuralı ve İhlal Bildirim Kuralı, HIPAA'nın uyulmasını özellikle talep ettiği kurallardır. Google Cloud Platform, HIPAA uyumluluğunu destekler (Ticari Ortaklık Sözleşmesi kapsamında) ancak nihai olarak, müşteriler kendi HIPAA uygunluklarını değerlendirmekten sorumludur.

Google, gerektiği durumlarda müşterileriyle HIPAA kapsamında Ticari Ortaklık Sözleşmeleri imzalayacaktır. Google Cloud Platform, 700'den fazla üyesiyle şirket içi güvenlik ekiplerinin çoğundan büyük olan bir güvenlik mühendisliği ekibi rehberliğinde kurulmuştur. Google'ın verilerinizi nasıl koruduğunu gözeten kurumsal ve teknik kontrollerle ilgili bilgileri de kapsayan güvenlik ve veri korumasına yaklaşımımıza dair ayrıntılar, Google Güvenlik Teknik Belgesi ve Google Altyapı Güvenliği Tasarımına Genel Bakış belgelerinde bulunabilir.

Güvenlik ve gizlilik tasarımına yönelik yaklaşımımızı belgelendirmeye ek olarak Google, müşterilere harici doğrulama sağlamak amacıyla, üçüncü taraflarca gerçekleştirilen bağımsız denetimlerden düzenli olarak geçmektedir (rapor ve sertifikaların bağlantıları aşağıda verilmiştir). Bu, bağımsız bir denetçinin veri merkezlerimizde, altyapımızda ve işlemlerimizde bulunan kontrolleri incelediği anlamına gelir. Google, aşağıdaki standartlar için her yıl denetimlerden geçer:

  • SSAE16 / ISAE 3402 Tip II. İlişkili SOC 3 raporunu burada bulabilirsiniz. SOC 2 raporu, Gizlilik Sözleşmesi kapsamında edinilebilir.
  • ISO 27001. Google; Google Cloud Platform'un çalıştırdığı sistemler, uygulamalar, kişiler, teknolojiler, süreçler ve veri merkezleri için ISO 27001 sertifikalarına layık görülmüştür. ISO 27001 sertifikamıza web sitemizin uygunluk bölümünden ulaşabilirsiniz.
  • ISO 27017, Bulut Güvenliği. Bu, ISO/IEC 27002 kapsamındaki bilgi güvenliği kontrollerine ilişkin uluslararası bir uygulama standardıdır ve bulut hizmetlerine özeldir. ISO 27017 sertifikamıza web sitemizin uygunluk bölümünden ulaşabilirsiniz.
  • ISO 27018, Bulut Gizliliği. Bu, herkese açık bulut hizmetlerinde kimlik bilgilerinin (PII) korunmasına yönelik uluslararası bir uygulama standardıdır. ISO 27018 sertifikamıza web sitemizin uygunluk bölümünden ulaşabilirsiniz.
  • FedRAMP ATO
  • PCI DSS v3.2.1

Google'ın kapsamlı üçüncü taraf denetim yaklaşımı; Google ortamında gizliliği, bütünlüğü ve kullanılabilirliği garantiye almanın yanı sıra Google'ın, sınıfının en iyisi bilgi güvenliği taahhüdünü yerine getirmesi için tasarlanmıştır. Müşteriler, Google ürünlerinin HIPAA uygunluk gereksinimlerini nasıl karşılayabildiğini değerlendirmek için bu üçüncü taraf denetim raporlarına başvurabilir.

Müşterinin Sorumlulukları

Müşterilerin en önemli sorumluluklarından biri, Kapsam Dahilindeki Bir Tüzel Kişi (veya Kapsam Dahilindeki Bir Tüzel Kişinin İş Ortağı) olup olmadıklarını ve öylelerse Google ile etkileşimleri için bir Ticari Ortaklık Sözleşmesi gerekip gerekmediğini belirlemektir.

Google, PHI'nın depolanması ve işlenmesi için güvenli ve uyumlu bir altyapı sağlarken (yukarıda açıklandığı gibi) müşteri, Google Cloud Platform'da oluşturduğu ortam ve uygulamaların HIPAA gereksinimlerine göre uygun şekilde yapılandırılıp güvenceye alınmasından sorumludur. Bu, genellikle bulutta paylaşılan güvenlik modeli olarak adlandırılır.

Başlıca en iyi uygulamalar:

  • Google Cloud BAA'yı yürürlüğe koyun. Doğrudan hesap yöneticinizden BAA talebinde bulunabilirsiniz.
  • PHI ile çalışırken açıkça BAA kapsamında yer almayan Google Cloud Ürünlerini (Kapsam Dahilindeki Ürünler bölümüne bakın) kullanmadığınızdan emin olun veya bunları devre dışı bırakın.

Önerilen en iyi teknik uygulamalar:

  • Projenize erişim izinlerini yapılandırırken en iyi IAM uygulamalarından yararlanın. Özellikle kaynaklara erişim için hizmet hesapları kullanılabildiğinden bu hizmet hesaplarına ve hizmet hesabı anahtarlarına erişimin sıkı bir şekilde kontrol edildiğinden emin olun.
  • Kuruluşunuzun HIPAA güvenlik kuralı tarafından zorunlu tutulanın ötesinde şifreleme gereksinimleri olup olmadığını belirleyin. Google Cloud Platform'da tüm müşteri içeriği, kullanımda olmadığında şifrelenir. Daha fazla ayrıntı ve istisnalar için şifrelemeyle ilgili teknik belgemizi inceleyin.
  • Cloud Storage kullanıyorsanız bu veriler için bir arşiv sağlamak ve verilerin yanlışlıkla silindiği durumlarda işlemi geri alabilmek için Nesnede Sürüm Oluşturma özelliğini etkinleştirebilirsiniz. Ayrıca gsutil'i kullanarak Cloud Storage ile etkileşimde bulunmadan önce Güvenlik ve Gizlilik Hakkında Dikkat Edilmesi Gerekenler bölümünde sağlanan talimatları inceleyip uygulayın.
  • Denetleme günlüğü dışa aktarma hedeflerini yapılandırın. Denetleme günlüklerini, analiz ile izleme ihtiyaçları ve/veya adli ihtiyaçlar için BigQuery dışında uzun vadeli arşivleme amacıyla Cloud Storage'a da aktarmanızı şiddetle öneriyoruz. Bu hedeflerin erişim denetimini kuruluşunuza uygun şekilde yapılandırdığınızdan emin olun.
  • Günlüklerin erişim denetimini kuruluşunuza uygun şekilde yapılandırın. Günlük Görüntüleyici rolüne sahip kullanıcılar, Yönetici Etkinliği denetleme günlüklerine erişebilir. Veri Erişimi denetleme günlüklerine ise Özel Günlük Görüntüleyici rolüne sahip kullanıcılar erişilebilir.
  • Güvenliği ve gereksinimlere uyumluluğu sağlamak için denetleme günlüklerini düzenli olarak gözden geçirin. Yukarıda belirtildiği gibi, BigQuery büyük ölçekli günlük analizi için mükemmel bir platformdur. Ayrıca günlük analizi yoluyla uyumluluğu kanıtlamak için üçüncü taraf entegrasyonlarımızdaki SIEM platformlarından da yararlanabilirsiniz.
  • Cloud Datastore'da dizin oluştururken veya yapılandırırken tüm PHI'ları, güvenlik kimlik bilgilerini ya da diğer hassas verileri; dizinin varlık anahtarı, dizine eklenen özellik anahtarı veya dizine eklenen özellik değeri olarak kullanmadan önce şifreleyin. Dizin oluşturma ve/veya yapılandırma hakkında bilgi için Cloud Datastore belgelerini inceleyin.
  • Dialogflow Enterprise Aracılarını oluştururken veya güncellerken Niyetler, Eğitim İfadeleri ve Varlıklar da dahil olmak üzere aracı açıklamanıza PHI veya güvenlik kimlik bilgilerini eklemekten kaçının.
  • Kaynak oluşturma veya güncelleme sırasında, kaynağın meta verilerini belirtirken PHI ya da güvenlik kimlik bilgilerini dahil etmekten kaçının. Aksi takdirde bu bilgiler, günlüklerde yakalanabilir. Denetleme günlüklerine hiçbir zaman bir kaynağın veri içerikleri veya günlüklerdeki sorgu sonuçları dahil edilmez ancak kaynak meta verileri yakalanabilir.
  • Projenizde Identity Platform'u kullanırken Identity Platform ile ilgili en iyi uygulamalardan yararlanın.
  • Sürekli entegrasyon veya geliştirme için Cloud Build hizmetlerini kullanırken PHI'yı derleme yapılandırma dosyaları, kaynak denetimi dosyaları veya diğer derleme yapılarına eklemekten veya bunlarda depolamaktan kaçının.
  • Cloud CDN kullanıyorsanız PHI'nın önbelleğe alınmasını istemediğinizden emin olun. Önbelleğe alma işleminden nasıl kaçınacağınızla ilgili bilgi için Cloud CDN belgelerine bakın.
  • Cloud Speech-to-Text kullanıyorsanız ve Google'ın HIPAA kapsamında tüm PHI yükümlülüklerini yerine getirdiği bir Ticari Ortaklık Sözleşmesi imzaladıysanız veri günlük kaydı programına katılmamanız gerekir.

Kapsam Dahilindeki Ürünler

Google Cloud BAA, tüm GCP altyapısını (tüm bölgeler, alt bölgeler, ağ yolları, varlık noktaları) ve aşağıdaki ürünleri kapsar:

  • Erişim Şeffaflığı
  • Apigee Edge
  • Apigee Hybrid
  • AI Platform Training ve Prediction
  • App Engine
  • İkili Program Yetkilendirmesi
  • Cloud AI Notebooks
  • Cloud Armor
  • Cloud Öğe Envanteri
  • Cloud AutoML Natural Language
  • Cloud AutoML Tables
  • Cloud AutoML Translation
  • Cloud AutoML Video
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery Veri Aktarım Hizmeti
  • Cloud Bigtable
  • Cloud Build
  • Cloud CDN
  • Cloud Console
  • Cloud Console Uygulaması
  • Cloud Composer
  • Cloud Data Fusion
  • Cloud Data Labeling Service
  • Cloud Data Loss Prevention
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Debugger
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Firestore
  • Cloud Functions
  • Cloud Healthcare
  • Cloud HSM
  • Cloud Identity
  • Cloud Identity and Access Management
  • Cloud Identity-Aware Proxy
  • Cloud Interconnect
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Life Sciences (eski adıyla Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Memorystore
  • Cloud Natural Language API
  • Cloud NAT
  • Cloud Profiler
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Run (tümüyle yönetilen)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud Spanner
  • Cloud Speech-to-Text
  • Cloud SQL
  • Cloud Service Consumer Management API
  • Cloud Storage
  • Cloud Depolama Aktarım Hizmeti
  • Cloud Tasks
  • Cloud Trace
  • Cloud Translation API
  • Cloud Text-to-Speech
  • Cloud Video Intelligence API
  • Cloud Vision API
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Data Catalog
  • Dialogflow
  • Error Reporting
  • Google Service Control
  • Google Hizmet Yönetimi
  • Identity Platform
  • Kubernetes Engine
  • Ağ Hizmeti Katmanları
  • Persistent Disk
  • Security Command Center
  • Hizmet Dizini
  • Traffic Director
  • Transfer Cihazı Hizmeti
  • Sanal Özel Bulut (VPC)
  • VPC Hizmet Kontrolleri
  • Web Security Scanner

Kapsam dahilindeki mevcut ürünlerin en güncel listesi için lütfen Google Cloud uygunluk sitesini inceleyin. HIPAA programına yeni ürünler eklendikçe bu liste güncellenir.

Benzersiz Özellikler

GCP'nin güvenlik uygulamaları sayesinde, yalnızca bulutumuzun bir kısmını değil, tüm GCP altyapısını kapsayan bir HIPAA BAA'sından yararlanabiliyoruz. Sonuç olarak ölçeklenebilirlik, operasyon ve mimari açısından avantajları olan belirli bir bölgeyle sınırlı kalmazsınız. Ayrıca çok bölgeli hizmet yedekliliğinden yararlanabilir, maliyetleri düşürmek için Öncelikli Sanal Makineleri kullanabilirsiniz.

HIPAA uyumluluğunu desteklememizi sağlayan güvenlik ve uygunluk önlemleri; altyapımız, güvenlik tasarımımız ve ürünlerimiz geneline yayılmıştır. Bu nedenle, HIPAA kapsamındaki müşterilere, aynı ürünleri tüm müşterilerin yararlandığı fiyattan sunabiliyoruz. Ayrıca uzun süreli kullanımda indirim de sağlayabiliyoruz. Diğer genel bulut platformları, HIPAA bulutları için daha fazla ücret talep ederken biz etmiyoruz.

Sonuç

Google Cloud Platform, müşterilerin altyapı hakkında endişelenmeksizin sağlık verilerini güvenli bir şekilde depolayabileceği, analiz edebileceği ve bu verilerden bilgi edinebileceği bir bulut altyapısıdır.

Ek Kaynaklar