Cumplimiento de la ley HIPAA en Google Cloud

En esta guía, se aborda el cumplimiento de la HIPAA en Google Cloud. El cumplimiento de la HIPAA para Google Workspace se trata por separado.

Renuncia de responsabilidad

Esta guía solo tiene fines informativos. La intención de Google no consiste en que la información ni las recomendaciones incluidas se consideren asesoramiento legal. Cada cliente es responsable de evaluar de manera independiente el uso particular que hace de los servicios según corresponda para satisfacer las obligaciones legales de cumplimiento normativo.

Público objetivo

Google Cloud ayuda a cumplir con la Ley de Responsabilidad y Portabilidad de Seguros Médicos (conocida como HIPAA) a los clientes sujetos a los requisitos de esta, así como a los de sus enmiendas, incluidas las de la Ley de Tecnología de la Información de Salud Clínica y Económica (HITECH). Esta guía está destinada a los encargados de la seguridad y del cumplimiento, los administradores de TI y demás empleados responsables de la implementación y el cumplimiento de la HIPAA en Google Cloud. Después de leer esta guía, comprenderás qué hace Google para respaldar el cumplimiento de esta ley y cómo configurar los proyectos de Google Cloud para cumplir con las responsabilidades que conlleva.

Definiciones

Los términos en mayúscula que no están definidos en este documento tienen el mismo significado que se les atribuye en la ley HIPAA. Además, a los efectos de este documento, la Información de salud protegida (PHI) significa la PHI que Google recibe de una Entidad Cubierta.

Descripción general

Es importante tener en cuenta que no existen certificaciones reconocidas por el Departamento de Salud y Servicios Humanos (HHS) de EE.UU. para el cumplimiento de la HIPAA y que regirse por esta ley es una responsabilidad compartida entre el cliente y Google. En particular, la HIPAA exige el cumplimiento de la Regla de Seguridad, la Regla de Privacidad, y la Regla de Notificación por Incumplimientos. Google Cloud apoya el cumplimiento de la ley HIPAA (dentro del alcance de un Acuerdo entre Socios Comerciales), pero, en última instancia, los clientes son los responsables de evaluar su propio cumplimiento de la HIPAA.

Google firmará Acuerdos entre Socios Comerciales con clientes según sea necesario, conforme a la HIPAA. Google Cloud se creó bajo la orientación de un equipo de ingeniería de seguridad conformado por más de 700 personas, que es más grande que la mayoría de los equipos de seguridad locales. En el Informe de seguridad de Google y la Descripción general del diseño de seguridad de la infraestructura de Google, se presenta información específica sobre nuestro enfoque para la seguridad y la protección de los datos, incluidos detalles sobre los controles técnicos y organizativos acerca de cómo Google protege tus datos.

Además de documentar su enfoque para el diseño de seguridad y privacidad, Google se somete en forma periódica a diferentes auditorías de terceros para brindarles a los clientes verificación externa (los informes y los certificados aparecen en vínculos a continuación). Esto significa que un auditor independiente examinó los controles que existen en nuestros centros de datos, infraestructura y operaciones. Google realiza auditorías anuales para las siguientes normas:

  • SSAE 16 / ISAE 3402 Tipo II. Este es el informe público asociado SOC 3. Se puede obtener el informe SOC 2 si se firma un NDA.
  • ISO 27001. Google obtuvo las certificaciones ISO 27001 para los sistemas, las aplicaciones, los empleados, las tecnologías, los procesos y los centros de datos que forman parte de Google Cloud. Nuestra certificación ISO 27001 está disponible en la sección de cumplimiento de nuestro sitio web.
  • ISO 27017 sobre la seguridad en la nube: Este es un estándar internacional de práctica para los controles de seguridad de la información basado en ISO/IEC 27002 específicamente para los servicios en la nube. Nuestra certificación ISO 27017 está disponible en la sección de cumplimiento de nuestro sitio web.
  • ISO 27018 sobre la privacidad en la nube: Este es un estándar internacional de práctica para la protección de la información de identificación personal (PII) en servicios públicos de nube. Nuestra certificación ISO 27018 está disponible en la sección de cumplimiento de nuestro sitio web.
  • FedRAMP ATO
  • PCI DSS v3.2.1

Además de garantizar la confidencialidad, la integridad y la disponibilidad del entorno de Google, el enfoque integral de auditoría de terceros de Google está diseñado para proporcionar garantías de nuestro compromiso de brindar el mejor nivel de seguridad de la información. Los clientes pueden hacer referencia a estos informes de auditoría de terceros para evaluar de qué manera los productos de Google satisfacen sus necesidades de cumplimiento de la ley HIPAA.

Responsabilidades de los clientes

Una de las principales responsabilidades del cliente es determinar si es o no una Entidad Cubierta (o un Socio Comercial de una Entidad Cubierta) y, de ser así, si requiere un Acuerdo entre Socios Comerciales con Google a los efectos de sus interacciones.

Si bien Google proporciona una infraestructura segura que cumple con las normativas vigentes (como se describe anteriormente) para el almacenamiento y procesamiento de PHI, el cliente es responsable de garantizar que el entorno y las aplicaciones que construya en Google Cloud estén configurados correctamente y cumplan con los requisitos de seguridad de acuerdo con las disposiciones de la ley HIPAA. Por lo general, esto se conoce como el modelo de seguridad compartida en la nube.

Prácticas recomendadas esenciales:

  • Formaliza un Acuerdo entre Socios Comerciales (BAA) de Google Cloud. Puedes solicitarlo directamente a tu administrador de cuentas.
  • Inhabilita los productos de Google Cloud que no estén incluidos de manera explícita en el BAA (consulta Productos cubiertos) o asegúrate de no usarlos cuando trabajes con PHI.
  • No uses ofertas de la fase previa a la DG (productos o servicios que se ofrecen bajo el Programa de anterioridad a la disponibilidad general de Google Cloud ni otras ofertas de la fase previa a la DG, según se define en las Condiciones Específicas del Servicio de Google) en relación con PHI, a menos que se indique expresamente lo contrario en un aviso o en otras condiciones de la oferta.

Prácticas técnicas recomendadas:

  • Usa las prácticas recomendadas de IAM para configurar quién tendrá acceso al proyecto. En especial, debido a que se pueden usar las cuentas de servicio para acceder a los recursos, asegúrate de que el acceso a esas cuentas y a las claves de la cuenta de servicio esté bien controlado.
  • Determina si tu organización tiene requisitos de encriptación que superan las exigencias de la Regla de seguridad de la HIPAA. Todo el contenido de los clientes se encripta y almacena en Google Cloud. Consulta nuestro informe de encriptación para conocer más detalles y las excepciones.
  • Si usas Cloud Storage, considera habilitar el Control de versiones de objetos a fin de proporcionar un archivo para esos datos y que se puedan recuperar en caso de que ocurra una eliminación accidental.
  • Configura los destinos para exportación de registros de auditoría. Te recomendamos exportar registros de auditoría a Cloud Storage para archivarlos a largo plazo, así como a BigQuery para cualquier necesidad analítica, de supervisión o legal. Asegúrate de configurar el control de acceso para los destinos correspondientes a tu organización.
  • Configura el control de acceso para los registros que mejor se ajuste a tu organización. Los usuarios con la función de visualizador de registros pueden acceder a los registros de auditoría de actividad del administrador, y los usuarios con la función de visualizador de registros privados pueden acceder a los registros de auditoría de acceso a los datos.
  • Revisa regularmente los registros de auditoría para garantizar la seguridad y el cumplimiento de los requisitos. Como se mencionó antes, BigQuery es una plataforma excelente para el análisis de registros a gran escala. Recomendamos que aproveches las plataformas SIEM de nuestras integraciones en terceros para demostrar el cumplimiento a través del análisis de registros.
  • Cuando crees o configures índices en Cloud Datastore, encripta toda PHI, credencial de seguridad y demás datos sensibles antes de usarlos, como la clave de la entidad, la clave de propiedad indexada o el valor de propiedad indexado para el índice. Consulta la documentación de Cloud Datastore para obtener más información sobre cómo crear o configurar índices.
  • Cuando crees o actualices agentes de Dialogflow, asegúrate de no incluir PHI ni credenciales de seguridad en la definición de los agentes, incluidos los intents, las frases de entrenamiento y las entidades.
  • Cuando crees o actualices recursos, asegúrate de no incluir PHI ni credenciales de seguridad cuando especifiques los metadatos de un recurso, ya que se podría capturar esa información en los registros. Los registros de auditoría nunca incluyen contenidos de datos de un recurso o los resultados de una consulta en los registros, pero podrían capturarse los metadatos del recurso.
  • Usa las prácticas de Identity Platform cuando utilices este servicio en tu proyecto.
  • Cuando uses los servicios de Cloud Build para el desarrollo o la integración continua, evita incluir o almacenar PHI en los archivos de configuración de compilación, los archivos de control de versiones o cualquier otro artefacto de compilación.
  • Si usas Looker (Google Cloud Core), las personas designadas por el Cliente para administrar las instancias o los recursos deben revisar la configuración de seguridad de las aplicaciones y las integraciones de terceros, así como cualquier documentación de seguridad y privacidad correspondiente proporcionada por la aplicación de terceros.
  • Si usas Looker (Google Cloud Core) para estructurar consultas, evita incluir o almacenar PHI en la lógica empresarial que se usa para configurar esas consultas. Consulta la documentación para obtener información sobre la estructuración de consultas.
  • Si usas Cloud CDN, asegúrate de no solicitar almacenamiento en caché de la PHI. Consulta la documentación de Cloud CDN de modo que puedas obtener más información para evitar el almacenamiento en caché.
  • Si usas Cloud Speech-to-Text y firmaste una BAA con Google que cubre las obligaciones de la PHI en virtud de la ley HIPAA, entonces no debes participar en el programa de registro de datos.
  • Si usas Google Cloud VMware Engine, es tu responsabilidad retener los registros de acceso a nivel de la aplicación durante un período adecuado cuando sea necesario para cumplir con los requisitos de la HIPAA.
  • Cuando configures trabajos de Sensitive Data Protection, asegúrate de que los datos de salida se escriban en destinos de almacenamiento que se configuran como parte de tu entorno seguro.
  • Revisa y sigue las instrucciones que se proporcionan en las Prácticas recomendadas de Secret Manager para almacenar secretos en Secret Manager.
  • Artifact Registry encripta los datos en los repositorios con la encriptación predeterminada de Google o las claves de encriptación administradas por el cliente (CMEK). Los metadatos, como los nombres de artefactos, se encriptan con la encriptación predeterminada de Google. Estos metadatos podrían aparecer en los registros y ser visibles para cualquier usuario con permisos en los roles de Lector o Visualizador de Artifact Registry. Sigue las instrucciones en Protege artefactos para evitar el acceso no autorizado a la PHI.
  • Container Registry encripta los datos en los buckets de almacenamiento de tus registros con la encriptación predeterminada de Google o CMEK. Sigue las prácticas recomendadas para los contenedores a fin de evitar el acceso no autorizado a la PHI.
  • Si usas Filestore, usa el control de acceso basado en IP para restringir las VMs de Compute Engine y los clústeres de GKE que pueden acceder a la instancia de Filestore. Considera usar copias de seguridad para permitir la recuperación de datos en caso de eliminación accidental.
  • Si usas Cloud Monitoring, no almacenes PHI en metadatos en Google Cloud, incluidas las etiquetas de métricas, las etiquetas de VM, las anotaciones de recursos de GKE ni los títulos o contenidos de paneles. Cualquier persona autorizada a través de IAM para ver tu consola de supervisión o usar la API de Cloud Monitoring podría ver estos datos. No coloques PHI en las configuraciones de alertas (p. ej., nombre visible o documentación) que podrían enviarse a los destinatarios de las alertas.
  • Cuando uses reCAPTCHA Enterprise, evita incluir PHI en los URIs o las acciones.
  • Si usas API Gateway, los encabezados no deben tener información de PHI ni PII.
  • Para Database Migration Service, usa métodos de conectividad de IP privada para evitar la necesidad de exponer una base de datos que contenga PHI a Internet.
  • Si usas Dataplex, los valores de los campos google.cloud.datacatalog.lineage.v1.Process.attributes y google.cloud.datacatalog.lineage.v1.Run.attributes no deben tener PHI ni PII.
  • Cuando uses Vertex AI Search, usa las APIs regionales y las ubicaciones de recursos para PHI.
  • Cuando uses Application Integration e Integration Connectors, no incluyas PII, PHI ni otra información sensible en el parámetro de integración, el nombre de la conexión o la configuración de la conexión, ya que esta información puede registrarse. Configura el control de acceso para los registros si la carga útil solicitada contiene datos sensibles. Algunos conectores basados en archivos y eventos basados en webhooks que ofrece Integration Connectors almacenan los datos de forma transitoria. Los clientes tienen el control de encriptar estos datos con la clave que deseen mediante CMEK.

Productos cubiertos

El BAA de Google Cloud abarca toda la infraestructura de Google Cloud (todas las regiones, zonas y rutas de red, y todos los puntos de presencia) y los siguientes productos:

  • Aprobación de acceso
  • Access Context Manager
  • Transparencia de acceso
  • Servicio de etiquetado de datos de AI Platform
  • AI Platform Training and Prediction
  • AlloyDB para PostgreSQL
  • API Gateway
  • Apigee
  • App Engine
  • Application Integration
  • Artifact Registry
  • Assured Workloads
  • AutoML Natural Language
  • AutoML Tables
  • Traducción AutoML
  • AutoML Video
  • AutoML Vision
  • Solución Bare Metal
  • Lote
  • BigQuery
  • Servicio de transferencia de datos de BigQuery
  • BigQuery Omni
  • Bigtable
  • Autorización binaria
  • Cloud Asset Inventory
  • Cloud Backup and DR
  • Cloud Build
  • Cloud CDN
  • Cloud Composer
  • Consola de Cloud
  • Cloud Data Fusion
  • Cloud Deploy
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Functions
  • API de Cloud Healthcare
  • Cloud HSM
  • Cloud Identity
  • IDS de Cloud
  • Cloud Interconnect
  • Cloud Key Management Service
  • Cloud Life Sciences (antes Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Monitoring
  • Cloud NAT (traducción de direcciones de red)
  • API de Cloud Natural Language
  • Cloud Profiler
  • Cloud Router
  • Cloud Run (completamente administrado)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud SQL
  • Cloud Storage
  • Cloud Tasks
  • Cloud Trace
  • Cloud Translation
  • Cloud Vision
  • Cloud VPN
  • Colab Enterprise
  • Compute Engine
  • Config Management
  • Conectar
  • Contact Center AI
  • Contact Center AI Insights
  • Contact Center AI Agent Assist
  • Container Registry
  • Database Migration Service
  • Data Catalog
  • Dataflow
  • Dataform
  • Datalab
  • Dataplex
  • Dataproc
  • Datastore
  • Datastream
  • Dialogflow
  • Document AI
  • Document AI Warehouse
  • Eventarc
  • Firestore
  • IA generativa en Vertex AI
  • GKE Hub
  • App de Google Cloud
  • Google Cloud Armor
  • Google Cloud Identity-Aware Proxy
  • Google Cloud VMware Engine (GCVE)
  • Google Kubernetes Engine
  • Healthcare Data Engine
  • Looker (Google Cloud Core)
  • Looker Studio*
  • Administración de identidades y accesos (IAM)
  • Identity Platform
  • Conectores de Integration
  • IoT Core
  • Key Access Justifications (KAJ)
  • Servicio administrado para Microsoft Active Directory (AD)
  • Memorystore
  • Niveles de servicio de red
  • Persistent Disk
  • Pub/Sub
  • Administrador de riesgos
  • reCAPTCHA Enterprise
  • API de Resource Manager
  • Secret Manager
  • Security Command Center
  • Protección de datos sensibles
  • Administración de consumidores de servicios
  • Service Control
  • Directorio de servicios
  • Administración de servicio
  • Malla de servicios
  • Spanner
  • Speech‑to‑Text
  • Servicio de transferencia de almacenamiento
  • Text-to-Speech
  • Traffic Director
  • Transfer Appliance
  • Vertex AI Platform (anteriormente Vertex AI)
  • Vertex AI Search
  • API de Video Intelligence
  • Nube privada virtual
  • Controles del servicio de VPC
  • Web Security Scanner
  • Instancias de Vertex AI Workbench
  • Workflows

* Siempre y cuando el Cliente haya optado por que Looker Studio se rija en virtud de su Acuerdo de Google Cloud.

Esta lista se actualiza cuando aparecen nuevos productos disponibles en el programa de la ley HIPAA.

Características únicas

Las prácticas de seguridad de Google Cloud nos permiten contar con un BAA de la HIPAA que abarque toda la infraestructura de Google Cloud, no una parte separada de nuestra nube. Como resultado, no estás restringido a una región específica, lo cual tiene beneficios operativos y de arquitectura y escalabilidad. También puedes beneficiarte de la redundancia de servicio multirregional, además de la opción de usar VM interrumpibles para reducir costos.

Las medidas de seguridad y cumplimiento que nos permiten respaldar el cumplimiento de la ley HIPAA están arraigadas en nuestra infraestructura, nuestro diseño de seguridad y nuestros productos. Por ello, podemos ofrecerles a los clientes regulados por la ley HIPAA los mismos productos que están disponibles para el resto de los clientes al mismo precio, incluidos los descuentos por uso continuo. Otras nubes públicas cobran más dinero por la versión HIPAA; nosotros no.

Conclusión

Google Cloud es la infraestructura de nube donde los clientes pueden almacenar, analizar y obtener estadísticas médicas de forma segura, sin tener que preocuparse por la infraestructura subyacente.

Recursos adicionales