Han cambiado los nombres de algunos paquetes de control de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta Controlar el aviso de cambio de nombre del paquete.

Esta página se ha traducido con Cloud Translation API.

Frontera de datos de EE. UU. para el sector biosanitario

En esta página se describen las restricciones, las limitaciones y otras opciones de configuración al usar los paquetes de control Frontera de Datos de EE. UU. para el sector sanitario y las ciencias biológicas, y Frontera de Datos de EE. UU. para el sector sanitario y las ciencias biológicas con asistencia.

Información general

Los paquetes de control de la frontera de datos de EE. UU. para el sector sanitario y las ciencias de la vida, y de la frontera de datos de EE. UU. para el sector sanitario y las ciencias de la vida con asistencia, te permiten ejecutar cargas de trabajo que cumplen los requisitos de la ley de transferencia y responsabilidad de los seguros médicos de EE. UU. (Health Insurance Portability and Accountability Act, HIPAA) y de la alianza de confianza de información sanitaria (Health Information Trust Alliance, HITRUST).

Cada producto admitido cumple los siguientes requisitos:

Se indica en la página del contrato de colaboración empresarial de conformidad con la ley HIPAA deGoogle Cloud.
Cotiza en la página del marco de seguridad común (CSF) de HITRUST deGoogle Cloud.
Admite claves de encriptado gestionadas por el cliente (CMEK) de Cloud KMS.
Admite Controles de Servicio de VPC
Admite registros de Transparencia de acceso
Admite solicitudes de aprobación de acceso
Admite la residencia de datos en reposo restringida a ubicaciones de EE. UU.

Permitir servicios adicionales

Cada paquete de control de la frontera de datos de EE. UU. para el sector sanitario y las ciencias de la vida incluye una configuración predeterminada de servicios admitidos, que se aplica mediante una restricción de política de organización Restringir el uso de servicios (gcp.restrictServiceUsage) definida en tu carpeta de Assured Workloads. Sin embargo, puedes modificar el valor de esta restricción para incluir otros servicios si tu carga de trabajo lo requiere. Para obtener más información, consulta Restringir el uso de recursos para cargas de trabajo.

Los servicios adicionales que decidas añadir a la lista de permitidos deben figurar en la página del BAA de la HIPAA deGoogle Cloud o en la página del CSF de HITRUST deGoogle Cloud.

Si añades servicios adicionales modificando la restricción gcp.restrictServiceUsage, la monitorización de Assured Workloads informará de las infracciones de cumplimiento. Para eliminar estas infracciones y evitar que se envíen notificaciones en el futuro por los servicios añadidos a la lista de permitidos, debe conceder una excepción para cada infracción.

En las siguientes secciones se describen otras consideraciones que debes tener en cuenta al añadir un servicio a la lista de permitidos.

Claves de encriptado gestionadas por el cliente (CMEK)

Antes de añadir un servicio a la lista de permitidos, comprueba que sea compatible con CMEK consultando la página Servicios compatibles de la documentación de Cloud KMS. Si quiere permitir un servicio que no admita CMEK, puede aceptar los riesgos asociados, tal como se describe en el artículo Responsabilidad compartida en Assured Workloads.

Si quieres aplicar una postura de seguridad más estricta al usar CMEK, consulta la página Ver uso de claves de la documentación de Cloud KMS.

Residencia de datos

Antes de añadir un servicio a la lista de permitidos, compruebe que aparece en la página Google Cloud Servicios con residencia de datos. Si quieres permitir un servicio que no admita la residencia de datos, puedes aceptar los riesgos asociados, tal como se describe en el artículo Responsabilidad compartida en Assured Workloads.

Controles de Servicio de VPC

Antes de añadir un servicio a la lista de permitidos, comprueba que sea compatible con Controles de Servicio de VPC consultando la página Productos admitidos y limitaciones de la documentación de Controles de Servicio de VPC. Si quieres permitir un servicio que no sea compatible con Controles de Servicio de VPC, puedes aceptar los riesgos asociados, tal como se describe en el artículo Responsabilidad compartida en Assured Workloads.

Transparencia de acceso y Aprobación de acceso

Antes de añadir un servicio a la lista de permitidos, comprueba que puede escribir registros de Transparencia de acceso y que admite solicitudes de Aprobación de acceso. Para ello, consulta las siguientes páginas:

Si quieres permitir un servicio que no escribe registros de Transparencia de acceso y no admite solicitudes de Aprobación de acceso, puedes aceptar los riesgos asociados, tal como se describe en el artículo Responsabilidad compartida en Assured Workloads.

Productos y servicios admitidos

Los siguientes productos se admiten en la frontera de datos de EE. UU. para el sector sanitario y las ciencias biológicas, así como en la frontera de datos de EE. UU. para el sector sanitario y las ciencias biológicas con paquetes de control de asistencia:

Producto admitido	Endpoints de API globales	Restricciones o limitaciones
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com` `networksecurity.googleapis.com` `networkservices.googleapis.com`	Ninguno
Artifact Registry	`artifactregistry.googleapis.com`	Ninguno
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Ninguno
BigQuery Data Transfer Service	`bigquerydatatransfer.googleapis.com`	Ninguno
Autorización binaria	`binaryauthorization.googleapis.com`	Ninguno
Servicio de Autoridades de Certificación	`privateca.googleapis.com`	Ninguno
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Ninguno
Cloud Build	`cloudbuild.googleapis.com`	Ninguno
Cloud Composer	`composer.googleapis.com`	Ninguno
Cloud Data Fusion	`datafusion.googleapis.com`	Ninguno
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Ninguno
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Ninguno
Cloud Data Fusion	`datafusion.googleapis.com`	Ninguno
Gestión de identidades y accesos (IAM)	`iam.googleapis.com`	Ninguno
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Ninguno
Cloud Logging	`logging.googleapis.com`	Ninguno
Pub/Sub	`pubsub.googleapis.com`	Ninguno
Cloud Router	`networkconnectivity.googleapis.com`	Ninguno
Cloud Run	`run.googleapis.com`	Funciones afectadas
Spanner	`spanner.googleapis.com`	Funciones afectadas y restricciones de política de organización
Cloud SQL	`sqladmin.googleapis.com`	Ninguno
Cloud Storage	`storage.googleapis.com`	Ninguno
Cloud Tasks	`cloudtasks.googleapis.com`	Ninguno
API de Cloud Vision	`vision.googleapis.com`	Ninguno
Cloud VPN	`compute.googleapis.com`	Ninguno
Compute Engine	`compute.googleapis.com`	Restricciones de las políticas de organización
Conversational Insights	`contactcenterinsights.googleapis.com`	Ninguno
Eventarc	`eventarc.googleapis.com`	Ninguno
Filestore	`file.googleapis.com`	Ninguno
Google Kubernetes Engine	`container.googleapis.com` `containersecurity.googleapis.com`	Ninguno
Memorystore para Redis	`redis.googleapis.com`	Ninguno
Persistent Disk	`compute.googleapis.com`	Ninguno
Secret Manager	`secretmanager.googleapis.com`	Ninguno
Protección de Datos Sensibles	`dlp.googleapis.com`	Ninguno
Speech-to-Text	`speech.googleapis.com`	Ninguno
Text-to-Speech	`texttospeech.googleapis.com`	Ninguno
Nube privada virtual (VPC)	`compute.googleapis.com`	Ninguno
Controles de Servicio de VPC	`accesscontextmanager.googleapis.com`	Ninguno

Restricciones y limitaciones

En las siguientes secciones se describen las restricciones o limitaciones de las funciones a nivel de Google Cloudo de producto, incluidas las restricciones de las políticas de la organización que se definen de forma predeterminada en la frontera de datos de EE. UU. para las carpetas de los sectores de la sanidad y las ciencias de la vida.

Restricciones de las políticas de organización deGoogle Cloud

Las siguientes restricciones de políticas de la organización se aplican a cualquier Google Cloud servicio aplicable.

Restricción de política de organización	Descripción
`gcp.resourceLocations`	Selecciona las siguientes ubicaciones en la lista `allowedValues`: us-locations us-central1 us-central2 us‑west1 us‑west2 us-west3 us-west4 us‑east1 us‑east4 us-east5 us-south1 Este valor restringe la creación de recursos nuevos al grupo de valores seleccionado. Si se define, no se pueden crear recursos en ninguna otra región, multirregión ni ubicación que no se haya seleccionado. Consulta la sección Servicios admitidos en ubicaciones de recursos para ver una lista de los recursos que se pueden restringir mediante la restricción de la política de organización de ubicaciones de recursos, ya que es posible que algunos recursos no estén incluidos y no se puedan restringir. Si se cambia este valor para que sea menos restrictivo, se puede poner en riesgo la residencia de los datos, ya que se permite que se creen o se almacenen datos fuera de un límite de datos conforme. Para obtener más información, consulta la documentación sobre los grupos de valores de la política de organizaciones.
`gcp.restrictServiceUsage`	Se permite el acceso a todos los servicios compatibles. Determina qué servicios se pueden usar restringiendo el acceso en tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringir el uso de recursos para cargas de trabajo.
`gcp.restrictTLSVersion`	Definir para denegar las siguientes versiones de TLS: TLS_VERSION_1 TLS_VERSION_1_1 Consulta la página Restringir versiones de TLS para obtener más información.

Compute Engine

Restricciones de las políticas de organización de Compute Engine

Restricción de política de organización	Descripción
`compute.disableGlobalCloudArmorPolicy`	Su valor debe ser True. Inhabilita la creación de políticas de seguridad de Google Cloud Armor.

Cloud Run

Funciones de Cloud Run afectadas

Función	Descripción
Funciones no compatibles	Las siguientes funciones de Cloud Run no se admiten: Integración de Cloud Trace Cloud Run Functions Activadores de Eventarc

Spanner

Funciones de Spanner afectadas

Función	Descripción
Dividir límites	Spanner usa un pequeño subconjunto de claves principales y columnas indexadas para definir límites de divisiones, que pueden incluir datos y metadatos de clientes. Un límite de división en Spanner indica la ubicación en la que los intervalos contiguos de filas se dividen en partes más pequeñas. El personal de Google puede acceder a estos límites divididos con fines de asistencia técnica y depuración, y no están sujetos a los controles de datos de acceso administrativo de la frontera de datos de EE. UU. para el sector sanitario y las ciencias de la vida.

Función

Descripción

Dividir límites

Spanner usa un pequeño subconjunto de claves principales y columnas indexadas para definir límites de divisiones, que pueden incluir datos y metadatos de clientes. Un límite de división en Spanner indica la ubicación en la que los intervalos contiguos de filas se dividen en partes más pequeñas.

El personal de Google puede acceder a estos límites divididos con fines de asistencia técnica y depuración, y no están sujetos a los controles de datos de acceso administrativo de la frontera de datos de EE. UU. para el sector sanitario y las ciencias de la vida.

Restricciones de las políticas de organización de Spanner

Restricción de política de organización	Descripción
`spanner.assuredWorkloadsAdvancedServiceControls`	Su valor debe ser True. Aplica controles adicionales de soberanía y asistencia de datos a los recursos de Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Su valor debe ser True. Inhabilita la posibilidad de crear instancias de Spanner multirregionales para aplicar la residencia y la soberanía de los datos.

Siguientes pasos

Consulta los paquetes de controles de Assured Workloads.
Consulta qué productos son compatibles con cada paquete de controles.