本指南介绍使用 Google Cloud 时如何确保遵从 HIPAA。Google Workspace 的 HIPAA 法规遵从要求将另行介绍。
免责声明
本指南仅供参考。Google 在本指南中提供的信息或建议不构成法律建议。每位客户都有责任独立评估其对该服务的具体使用是适当的,以履行法规遵从义务。
Intended Audience
对于需要遵从《健康保险流通与责任法案》(修订版,简称 HIPAA,包括依据《卫生信息技术促进经济和临床健康 (HITECH) 法案》修订的内容)中相关要求的客户,Google Cloud 提供 HIPAA 合规性支持。本指南面向安全人员、合规专员、IT 管理员以及其他负责 HIPAA 实施工作并确保在使用 Google Cloud 时遵从 HIPAA 法规的员工。阅读本指南后,您将了解 Google 如何提供 HIPAA 遵从支持,并了解如何配置 Google Cloud 项目,以便履行 HIPAA 规定的职责。
定义
本文档中使用但未另行定义的所有大写术语均与 HIPAA 中的含义相同。此外,就本文档而言,受保护健康信息 (PHI) 是指 Google 从适用 HIPAA 的实体处收到的受保护健康信息。
概览
请务必注意,目前没有经美国卫生与公共服务部 (HHS) 认可的 HIPAA 合规性认证,遵守 HIPAA 是客户与 Google 的共同责任。 具体而言,HIPAA 要求遵守其安全规则、隐私规则和违规通知规则。Google Cloud 提供 HIPAA 遵从支持(在《业务伙伴协议》范围内),但客户负有评估自身 HIPAA 合规性的最终责任。
按照 HIPAA,Google 将根据需要与客户签订《业务伙伴协议》 Google Cloud 是在 700 多人的安全工程团队的指导下构建而成,该团队规模超过大多数自有安全团队。如需详细了解我们在安全和数据保护方面采取的做法,包括有关 Google 如何采取各种组织和技术控制措施来保护您的数据的详细信息,请参阅 Google 安全性白皮书和 Google 基础架构安全设计概览。
除了记录我们在安全和隐私保护设计方面采取的方法之外,Google 会定期接受多项独立的第三方审核,以便为客户提供外部验证(报告和证书链接如下)。也就是说,我们数据中心、基础设施和运营过程中的控制机制均通过了独立审核机构的检验。Google 每年都会接受以下标准的审核:
- SSAE 16 / ISAE 3402 Type II。我们提供了相关的公开 SOC 3 报告。如果客户签署了保密协议,我们还可提供 SOC 2 报告。
- ISO 27001。Google 在提供 Google Cloud 服务的过程中所用的系统、应用、人员、技术、流程和数据中心均已获得 ISO 27001 认证。您可以在我们网站的合规性部分找到我们的 ISO 27001 证书。
- 针对云端安全性的 ISO 27017。这是专门针对云服务的信息安全控制做法的国际标准,以 ISO/IEC 27002 为基础。您可以在我们网站的合规性部分找到我们的 ISO 27017 证书。
- 针对云端隐私权的 ISO 27018。这是专门针对公共云服务个人身份信息 (PII) 保护做法的国际标准。您可以在我们网站的合规性部分找到我们的 ISO 27018 证书。
- FedRAMP ATO
- PCI DSS v3.2.1
除了确保 Google 环境的机密性、完整性和可用性之外,Google 全面的第三方审核方法旨在提供 Google 对一流信息安全承诺的保证。客户可以参考这些第三方审核报告,以评估 Google 产品如何满足其 HIPAA 法规遵从的需要。
客户责任
客户的主要责任之一是确定他们是否是所适用的实体(或所适用的实体的业务伙伴),如果是,还要确定他们的互动目的是否需要与 Google 签订《业务伙伴协议》。
虽然 Google 为受保护健康信息 (PHI) 的存储和处理提供了安全且合规的基础架构(如上所述),但客户仍需负责确保根据 HIPAA 要求正确配置和保护他们在 Google Cloud 中构建的环境和应用。在云领域中,这通常被称为共享安全模型。
基本最佳做法:
- 执行 Google Cloud 业务伙伴协议 (BAA)。您可以直接向客户经理申请 BAA。
- 在处理 PHI 时,停用 BAA 未明确涵盖的 Google Cloud 产品(请参阅涵盖的产品),或确保您没有使用这些产品。
- 请勿将正式发布前产品(根据“Google Cloud 正式发布前产品预览计划”提供的产品或服务或者 Google 服务专用条款中定义的其他正式发布前产品)用于受保护健康信息 (PHI),除非产品的通知或其他条款中另有明确说明。
推荐的技术最佳做法:
- 配置有权访问项目的人员时,请采用 IAM 最佳做法。具体来说,由于服务账号可用于访问资源,因此请严格控制对这些服务账号和服务账号密钥的使用。
- 确定您的组织是否具有超出 HIPAA 安全规则要求的加密要求。Google Cloud 上存储的所有客户内容均已加密,请参阅我们的加密白皮书以了解详情和任何例外情况。
- 如果您使用 Cloud Storage,请考虑启用对象版本控制,以便归档相关数据并在意外删除数据时恢复删除。
- 配置审核日志导出目标位置。我们强烈建议将审核日志导出到 Cloud Storage 以进行长期归档,同时将审核日志导出到 BigQuery 以满足任何分析、监控和/或取证需求。请根据您的组织需求,确保针对这些目标位置的访问权限控制得到恰当配置。
- 对适用于您的组织的日志进行访问权限控制。具有 Logs Viewer 角色的用户可以访问管理活动审核日志,��具有 Private Logs Viewer 角色的用户可以访问数据访问审核日志。
- 定期检查审核日志,以确保安全性以及遵从相应要求。如上所述,BigQuery 是进行大规模日志分析的绝佳平台。您还可以考虑利用我们的第三方集成的 SIEM 平台,通过日志分析来证明合规性。
- 在 Cloud Datastore 中创建或配置索引时,请在将任何 PHI、安全凭据或其他敏感数据用作索引的实体键、编入索引的属性键或编入索引的属性值之前,对这些数据进行加密。如需了解如何创建和/或配置索引,请参阅 Cloud Datastore 文档。
- 创建或更新 Dialogflow 代理时,请务必避免在您的代理定义(包括意图、训练短语和实体)中包含受保护健康信息 (PHI) 或安全凭据。
- 创建或更新资源时,请确保避免在指定资源的元数据时包含 PHI 或安全凭据,因为此类信息可能会被捕获并记录在日志中。审核日志不会在日志中包含资源的数据内容或查询结果,但可能会捕获资源元数据。
- 为项目使用 Identity Platform 时,运用 Identity Platform 实践。
- 使用 Cloud Build 服务进行持续集成或开发时,请避免在构建配置文件、源控制文件或其他构建工件中包含或存储 PHI。
- 如果您使用的是 Looker (Google Cloud Core),客户指定负责管理实例或资源的人员应查看第三方应用和集成的安全配置,以及第三方应用提供的所有相应安全和隐私文档。
- 如果您使用的是 Looker (Google Cloud Core) 构建查询,请避免在用于配置此类查询的业务逻辑中包含或存储受保护健康信息 (PHI)。如需了解如何设计查询的结构,请参阅相关文档。
- 如果您使用 Cloud CDN,请确保您没有请求缓存 PHI。如需了解如何阻止缓存,请参阅 Cloud CDN 文档。
- 如果您使用 Cloud Speech-to-Text,并且与 Google 签署了涵盖 HIPAA 中规定的任何 PHI 义务的 BAA,则不应选择加入数据日记记录计划。
- 如果您使用 Google Cloud VMware Engine,则有责任根据需要将应用级别访问日志保留一段适当的时间,以满足 HIPAA 的要求。
- 配置 Sensitive Data Protection 作业时,请确保将所有输出数据写入作为安全环境一部分配置的存储目标。
- 在 Secret Manager 中存储 Secret 时,请查看并遵循 Secret Manager 最佳实践提供的指南。
- Artifact Registry 使用 Google 默认加密或客户管理的加密密钥 (CMEK) 来加密存储库中的数据。元数据(例如制品名称)使用 Google 默认加密方式进行加密。这些元数据可能会显示在日志中,并且对拥有 Artifact Registry Reader 角色或 Viewer 角色的任何用户可见。请���照保护制品中的指南操作,以防止他人在未经授权的情况下访问受保护健康信息 (PHI)。
- Container Registry 使用 Google 默认加密或 CMEK 对您注册表的存储桶中的数据进行加密。遵循容器最佳实践,帮助防止对受保护健康信息 (PHI) 进行未经授权的访问。
- 如果您使用的是 Filestore,请使用基于 IP 的访问权限控制来限制哪些 Compute Engine 虚拟机和 GKE 集群可以访问 Filestore 实例。考虑使用备份功能,以便在意外删除数据的情况下恢复数据。
- 如果您使用 Cloud Monitoring,请勿将受保护健康信息 (PHI) 存储在 Google Cloud 的元数据中,包括指标标签、虚拟机标签、GKE 资源注解或信息中心标题/内容;通过 IAM 获授权来查看您的监控控制台或使用 Cloud Monitoring API 的任何人都能看到这些数据。请勿将受保护健康信息 (PHI) 放入可能会发送给提醒接收者的提醒配置(例如显示名称或文档)中。
- 使用 reCAPTCHA Enterprise 时,请避免在 URI 或操作中包含受保护健康信息 (PHI)。
- 如果您使用的是 API Gateway,则标头不应包含任何受保护健康信息 (PHI) 或个人身份信息 (PII) 信息。
- 对于 Database Migration Service,请使用专用 IP 连接方法,以避免将包含受保护健康信息 (PHI) 的数据库公开给互联网。
- 如果您使用的是 Dataplex,则
google.cloud.datacatalog.lineage.v1.Process.attributes
和google.cloud.datacatalog.lineage.v1.Run.attributes
字段的值不应包含任何受保护健康信息 (PHI) 或个人身份信息 (PII)。 - 使用 Vertex AI Search 时,请为受保护健康信息 (PHI) 使用区域级 API 和资源位置。
- 使用 Application Integration 和 Integration Connectors 时,请勿在集成参数、连接名称或连接配置中包含任何个人身份信息 (PII)、受保护健康信息 (PHI) 或其他敏感信息,因为系统可能会记录这些信息。如果请求的载荷包含敏感数据,请为日志配置访问权限控制。Integration Connectors 提供的一些基于文件的连接器和基于网络钩子的事件会暂时存储数据。客户可以自主控制通过 CMEK 使用自己选择的密钥加密这些数据。
涵盖产品
Google Cloud BAA 涵盖 Google Cloud 的整个基础架构(所有区域、所有可用区、所有网络路径、所有入网点)以及以下产品:
- Access Approval
- Access Context Manager
- Access Transparency
- AI Platform Data Labeling
- AI Platform Training 和 AI Platform Prediction
- AlloyDB for PostgreSQL
- API Gateway
- Apigee
- App Engine
- 应用集成
- Artifact Registry
- Assured Workloads
- AutoML Natural Language
- AutoML Tables
- AutoML Translation
- AutoML Video
- AutoML Vision
- 裸金属解决方案
- 批次
- BigQuery
- BigQuery Data Transfer Service
- BigQuery Omni
- Bigtable
- Binary Authorization
- Cloud Asset Inventory
- Cloud 备份和灾难恢复
- Cloud Build
- Cloud CDN
- Cloud Composer
- Cloud 控制台
- Cloud Data Fusion
- Cloud Deploy
- Cloud Deployment Manager
- Cloud DNS
- Cloud Endpoints
- Cloud Filestore
- Cloud Functions
- Cloud Healthcare API
- Cloud HSM
- Cloud Identity
- Cloud IDS
- Cloud Interconnect
- Cloud Key Management Service
- Cloud Life Sciences(原 Google Genomics)
- Cloud Load Balancing
- Cloud Logging
- Cloud Monitoring
- Cloud NAT(网络地址转换)
- Cloud Natural Language API
- Cloud Profiler
- Cloud Router
- Cloud Run(全代管式)
- Cloud Run for Anthos
- Cloud Scheduler
- Cloud Shell
- Cloud Source Repositories
- Cloud SQL
- Cloud Storage
- Cloud Tasks
- Cloud Trace
- Cloud Translation
- Cloud Vision
- Cloud VPN
- Colab Enterprise
- Compute Engine
- 配置管理
- 连接
- Contact Center AI
- Contact Center AI Insights
- Contact Center AI Agent Assist
- Container Registry
- Database Migration Service
- Data Catalog
- Dataflow
- Dataform
- Datalab
- Dataplex
- Dataproc
- Datastore
- Datastream
- Dialogflow
- Document AI
- Document AI Warehouse
- Eventarc
- Firestore
- Vertex AI 上的生成式 AI
- GKE Hub
- Google Cloud 应用
- Google Cloud Armor
- Google Cloud Identity-Aware Proxy
- Google Cloud VMware Engine (GCVE)
- Google Kubernetes Engine
- Healthcare Data Engine
- Looker (Google Cloud Core)
- Looker Studio*
- 身份和访问权限管理 (IAM)
- Identity Platform
- 集成连接器
- IoT Core
- Key Access Justifications (KAJ)
- Managed Service for Microsoft Active Directory (AD)
- Memorystore
- Network Service Tiers
- Persistent Disk
- Pub/Sub
- Risk Manager
- reCAPTCHA Enterprise
- Resource Manager API
- Secret Manager
- Security Command Center
- 敏感数据保护
- 服务使用者管理
- Service Control
- Service Directory
- 服务管理
- Service Mesh
- Spanner
- Speech-to-Text
- Storage Transfer Service
- Text-to-Speech
- Traffic Director
- Transfer Appliance
- Vertex AI Platform(原 Vertex AI)
- Vertex AI Search
- Video Intelligence API
- Virtual Private Cloud
- VPC Service Controls
- Web Security Scanner
- Vertex AI Workbench 实例
- Workflows
* 前提是客户已选择让 Looker Studio 受其《Google Cloud 协议》约束。
当新产品在 HIPAA 计划中可用时,此列表会进行更新。
独有的特性
Google Cloud 的安全做法让我们能够签署涵盖 Google Cloud 的整个基础架构的 HIPAA BAA,而不是我们云服务的某个预留部分。因此,您将不会受限于特定区域,从而获得规模化、运营和架构方面的优势。您还可以受益于多地区服务冗余以及使用抢占式虚拟机来降低成本的能力。
让我们有能力提供 HIPAA 合规性支持的安全与合规性措施深深地融入我们的基础架构、安全设计和产品当中。因此,我们能以向所有客户提供的同样价格(包括持续使用折扣)向需要遵从 HIPAA 的客户提供相同的产品。其他公有云服务为符合 HIPAA 的云产品收取更高费用,但我们不会。
总结
Google Cloud 云基础架构让客户可以安全地存储、分析健康信息并从中获得数据洞见,而无需担心底层基础架构。