Restricciones y limitaciones para el cuidado de la salud y la vida en general Controles de ciencias
En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración cuando usas los paquetes de controles de Healthcare and Life Sciences Controls y Healthcare and Life Sciences Controls with US Support.
Descripción general
Los controles de salud y ciencias biológicas y salud y ciencias biológicas Los controles con paquetes de asistencia de EE.UU. te permiten ejecutar cargas de trabajo que tienen las siguientes características: Cumple con los requisitos de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) y Health Information Trust Alliance (HITRUST).
Cada producto compatible cumple con los siguientes requisitos:
- Cotiza en Página del Acuerdo entre Socios Comerciales (BAA) de la HIPAA de Google Cloud
- Cotiza en Página del Marco de trabajo común de seguridad (CSF) de HITRUST de Google Cloud
- Admite claves de encriptación administradas por el cliente (CMEK) de Cloud KMS
- Admite Controles del servicio de VPC
- Admite los registros de Transparencia de acceso
- Admite solicitudes de aprobación de acceso
- Admite la residencia de datos en reposo restringida a ubicaciones de EE.UU.
Cómo permitir servicios adicionales
Cada paquete de control de los controles de atención médica y ciencias biológicas incluye una red
de los servicios compatibles, que se aplica de manera forzosa por un
Restringir Service Usage
(gcp.restrictServiceUsage) restricción de política de la organización establecida en tu
Assured Workloads. Sin embargo, puedes modificar la configuración
para incluir otros servicios si tu carga de trabajo los requiere. Consulta Restringe el uso de recursos para cargas de trabajo para obtener más información.
Cualquier servicio adicional que elijas agregar a la lista de entidades permitidas debe aparecer en la página del BAA de HIPAA de Google Cloud o en la página de HITRUST CSF de Google Cloud.
Cuando agregas servicios adicionales mediante la modificación del gcp.restrictServiceUsage
restricción, la supervisión de Assured Workloads informará el cumplimiento
incumplimientos. Para quitar estos incumplimientos y evitar notificaciones futuras sobre
servicios agregados a la lista de entidades permitidas, debes
otorgar una excepción para cada
incumplimiento.
Se describen las consideraciones adicionales para agregar un servicio a la lista de entidades permitidas en las siguientes secciones.
Claves de encriptación administradas por el cliente (CMEK)
Antes de agregar un servicio a la lista de entidades permitidas, verifica que admita CMEK. Para ello, haz lo siguiente: consulta la página Servicios compatibles en la documentación de Cloud KMS. Si quieres permitir un servicio que no admiten CMEK, es tu decisión aceptar los riesgos asociados como se describe en Responsabilidad compartida en Assured Workloads.
Si deseas aplicar una postura de seguridad más estricta cuando uses CMEK, consulta la página Ver el uso de claves en la documentación de Cloud KMS.
Residencia de los datos
Antes de agregar un servicio a la lista de entidades permitidas, verifica que aparezca en la página Servicios de Google Cloud con residencia de datos. Si deseas permitir un servicio que no admite la residencia de datos, puedes aceptar los riesgos asociados, como se describe en Responsabilidad compartida en Assured Workloads.
Controles del servicio de VPC
Antes de agregar un servicio a la lista de entidades permitidas, verifica que sea compatible con en los Controles del servicio de VPC Productos admitidos y limitaciones de la documentación de los Controles del servicio de VPC. Si quieres permitir un servicio que no es compatible con los Controles del servicio de VPC, debes aceptar los riesgos, como se describe en Responsabilidad compartida en Assured Workloads.
Transparencia de acceso y Aprobación de acceso
Antes de agregar un servicio a la lista de entidades permitidas, verifica que pueda escribir la Transparencia de acceso y admite solicitudes de Aprobación de acceso revisando lo siguiente páginas:
- Servicios compatibles con la Transparencia de acceso
- Servicios compatibles con la Aprobación de acceso
Si quieres permitir que un servicio que no escriba registros de Transparencia de acceso y no admite las solicitudes de Aprobación de acceso, puedes aceptarlas los riesgos asociados, como se describe en Responsabilidad compartida en Assured Workloads.
Productos y servicios admitidos
Los siguientes productos se admiten en el Centro de salud y ciencias biológicas Controles y controles de salud y ciencias biológicas con el control de asistencia de EE.UU. paquetes:
| Producto admitido | extremos de API | Funciones o políticas de la organización afectadas |
|---|---|---|
| Artifact Registry |
artifactregistry.googleapis.com | Ninguno |
| BigQuery [2] |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com | Ninguno |
| Servicio de transferencia de datos de BigQuery [2] |
bigquerydatatransfer.googleapis.com | Ninguno |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com | Ninguno |
| Autorización binaria |
binaryauthorization.googleapis.com | Ninguno |
| Certificate Authority Service |
privateca.googleapis.com | Ninguno |
| Cloud Build |
cloudbuild.googleapis.com | Ninguno |
| Cloud Composer |
composer.googleapis.com | Ninguno |
| Cloud Data Fusion |
datafusion.googleapis.com | Ninguno |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com | Ninguno |
| Cloud Logging |
logging.googleapis.com | Ninguno |
| Cloud Router |
networkconnectivity.googleapis.com | Ninguno |
| Cloud Run |
run.googleapis.com | Ninguno |
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com | Ninguno |
| Cloud SQL |
sqladmin.googleapis.com | Ninguno |
| Cloud Storage |
storage.googleapis.com | Ninguno |
| Cloud Tasks |
cloudtasks.googleapis.com | Ninguno |
| API de Cloud Vision |
vision.googleapis.com | Ninguno |
| Cloud VPN |
compute.googleapis.com | Ninguno |
| Compute Engine |
compute.googleapis.com | Restricciones de las políticas de la organización |
| Contact Center AI Insights |
contactcenterinsights.googleapis.com | Ninguno |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com | Ninguno |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com | Ninguno |
| Eventarc |
eventarc.googleapis.com | Ninguno |
| Filestore |
file.googleapis.com | Ninguno |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com | Ninguno |
| Administración de identidades y accesos (IAM) |
iam.googleapis.com | Ninguno |
| Memorystore para Redis |
redis.googleapis.com | Ninguno |
| Persistent Disk |
compute.googleapis.com | Ninguno |
| Pub/Sub |
pubsub.googleapis.com | Ninguno |
| Secret Manager |
secretmanager.googleapis.com | Ninguno |
| Sensitive Data Protection |
dlp.googleapis.com | Ninguno |
| Spanner |
spanner.googleapis.com | Funciones afectadas y las restricciones de las políticas de la organización |
| Speech-to-Text |
speech.googleapis.com | Ninguno |
| Text-to-Speech |
texttospeech.googleapis.com | Ninguno |
| Nube privada virtual (VPC) |
compute.googleapis.com | Ninguno |
| Controles del servicio de VPC |
accesscontextmanager.googleapis.com | Ninguno |
Restricciones y limitaciones
En las siguientes secciones, se describen los servicios de Google Cloud restricciones o limitaciones para las funciones, incluida cualquier política de la organización que se establecen de forma predeterminada en los controles de atención médica y ciencias biológicas individuales.
Restricciones de la política de la organización en toda Google Cloud
Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.
| Restricción de las políticas de la organización | Descripción |
|---|---|
gcp.resourceLocations |
Establece las siguientes ubicaciones en la lista allowedValues:
|
gcp.restrictServiceUsage |
Configúralo para permitir todos los servicios compatibles. Determina qué servicios se pueden habilitar y usar. Para obtener más información, consulta Cómo restringir el uso de recursos para las cargas de trabajo. |
gcp.restrictTLSVersion |
Se configura para rechazar las siguientes versiones de TLS:
|
Compute Engine
Restricciones de las políticas de la organización de Compute Engine
| Restricción de las políticas de la organización | Descripción |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Configurado como True. Inhabilita la creación de políticas de seguridad de Google Cloud Armor. |
Spanner
Funciones de Spanner afectadas
| Atributo | Descripción |
|---|---|
| Límites de división | Spanner usa un pequeño subconjunto de claves primarias y
columnas para definir
límites de división,
que pueden incluir datos
y metadatos de los clientes. Un límite de división en
Spanner denota la ubicación donde los rangos contiguos de filas
se dividen en partes más pequeñas. El personal de Google puede acceder a estos límites de división por cuestiones técnicas con fines de asistencia y depuración, y no están sujetos a y acceder a los controles de datos en los controles de Healthcare y Life Sciences. |
Restricciones de las políticas de la organización de Spanner
| Restricción de las políticas de la organización | Descripción |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Configurado como True. Aplica controles adicionales de soberanía de los datos y compatibilidad a Recursos de Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Configurado como True. Inhabilita la capacidad de crear instancias de Spanner multirregionales para garantizar la residencia y la soberanía de los datos. |
¿Qué sigue?
- Comprende los paquetes de control para Assured Workloads.
- Consulta qué productos son compatibles para cada paquete de control.