Restrições e limitações para saúde e vida Controles científicos
Esta página descreve as restrições, limitações e outras configurações ao usar os controles de saúde e ciências biológicas e os recursos de Controles de ciências biológicas com pacotes de controle de suporte dos EUA.
Visão geral
Os pacotes de controle "Healthcare and Life Sciences Controls" e "Healthcare and Life Sciences Controls with US Support" permitem executar cargas de trabalho que estão em conformidade com os requisitos da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês) e da Health Information Trust Alliance (HITRUST).
Cada produto com suporte atende aos seguintes requisitos:
- Listado em Página do Contrato de parceria comercial (BAA) da HIPAA do Google Cloud
- Listado em Página do Framework de segurança comum (CSF, na sigla em inglês) HITRUST do Google Cloud
- Compatível Chaves de criptografia gerenciadas pelo cliente (CMEK) do Cloud KMS
- Suporte a VPC Service Controls
- Suporte a registros de transparência no acesso
- Suporte a solicitações de aprovação de acesso
- Suporte à residência de dados em repouso restritos a locais dos EUA
Como permitir outros serviços
Cada pacote de controle de Controles de saúde e ciências biológicas inclui uma configuração
padrão de serviços com suporte, que é aplicada por uma restrição de política da organização
Restrict Service Usage
(gcp.restrictServiceUsage) definida na pasta
Assured Workloads. No entanto, você pode modificar o valor dessa restrição para incluir outros serviços, se a carga de trabalho exigir. Consulte
Restringir o uso de recursos para cargas de trabalho
para mais informações.
Todos os serviços adicionais que você adicionar à lista de permissões precisam estar listados na página do BAA da HIPAA do Google Cloud ou na página do Google Cloud sobre o CSF da HITRUST.
Quando você adiciona outros serviços modificando o gcp.restrictServiceUsage
restrição, o monitoramento do Assured Workloads informará compliance
e violações de conformidade. Para remover essas violações e evitar notificações futuras para
serviços adicionados à lista de permissões, você precisa
conceda uma exceção para cada
violação.
Outras considerações ao adicionar um serviço à lista de permissões são descritas nas seções a seguir.
Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Antes de adicionar um serviço à lista de permissões, verifique se ele oferece suporte ao CMEK na página Serviços compatíveis na documentação do Cloud KMS. Se você quiser permitir um serviço que não oferece suporte ao CMEK, aceite os riscos associados, conforme descrito em Responsabilidade compartilhada no Assured Workloads.
Se você quiser aplicar uma postura de segurança mais rigorosa ao usar as CMEKs, consulte o Visualizar o uso da chave no Cloud KMS na documentação do Google Cloud.
Residência dos dados
Antes de adicionar um serviço à lista de permissões, verifique se ele está listado na página Serviços do Google Cloud com residência de dados. Se você quiser permitir um serviço que não ofereça suporte à residência de dados, aceite os riscos associados, conforme descrito em Responsabilidade compartilhada no Assured Workloads.
VPC Service Controls
Antes de adicionar um serviço à lista de permissões, verifique se ele é compatível com VPC Service Controls analisando Limitações e produtos compatíveis na documentação do VPC Service Controls. Se você quiser permitir um serviço que não ofereça suporte ao VPC Service Controls, aceite os riscos associados, conforme descrito em Responsabilidade compartilhada no Assured Workloads.
Transparência no acesso e Aprovação de acesso
Antes de adicionar um serviço à lista de permissões, verifique se ele pode gravar os registros de transparência no acesso e se oferece suporte a solicitações de aprovação de acesso. Para isso, consulte as seguintes páginas:
Se você quiser permitir que um serviço que não grave registros da Transparência no acesso e não oferecer suporte a solicitações de aprovação de acesso, você poderá aceitar riscos associados, conforme descrito Responsabilidade compartilhada no Assured Workloads.
Produtos e serviços com suporte
Os seguintes produtos têm suporte nos pacotes de controle "Controles de saúde e ciências biológicas" e "Controles de saúde e ciências biológicas com suporte dos EUA":
| Produto com suporte | Endpoints de API globais | Restrições ou limitações |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
Nenhum |
| Artifact Registry |
artifactregistry.googleapis.com |
Nenhum |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
Nenhum |
| Serviço de transferência de dados do BigQuery |
bigquerydatatransfer.googleapis.com |
Nenhum |
| Autorização binária |
binaryauthorization.googleapis.com |
Nenhum |
| Certificate Authority Service |
privateca.googleapis.com |
Nenhum |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
Nenhum |
| Cloud Build |
cloudbuild.googleapis.com |
Nenhum |
| Cloud Composer |
composer.googleapis.com |
Nenhum |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nenhum |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
Nenhum |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
Nenhum |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nenhum |
| Gerenciamento de identidade e acesso (IAM) |
iam.googleapis.com |
Nenhum |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Nenhum |
| Cloud Logging |
logging.googleapis.com |
Nenhum |
| Pub/Sub |
pubsub.googleapis.com |
Nenhum |
| Cloud Router |
networkconnectivity.googleapis.com |
Nenhum |
| Cloud Run |
run.googleapis.com |
Nenhum |
| Spanner |
spanner.googleapis.com |
Recursos afetados e as restrições das políticas da organização |
| Cloud SQL |
sqladmin.googleapis.com |
Nenhum |
| Cloud Storage |
storage.googleapis.com |
Nenhum |
| Cloud Tasks |
cloudtasks.googleapis.com |
Nenhum |
| API Cloud Vision |
vision.googleapis.com |
Nenhum |
| Cloud VPN |
compute.googleapis.com |
Nenhum |
| Compute Engine |
compute.googleapis.com |
Restrições da política da organização |
| Contact Center AI Insights |
contactcenterinsights.googleapis.com |
Nenhum |
| Eventarc |
eventarc.googleapis.com |
Nenhum |
| Filestore |
file.googleapis.com |
Nenhum |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
Nenhum |
| Memorystore para Redis |
redis.googleapis.com |
Nenhum |
| Persistent Disk |
compute.googleapis.com |
Nenhum |
| Secret Manager |
secretmanager.googleapis.com |
Nenhum |
| Proteção de Dados Sensíveis |
dlp.googleapis.com |
Nenhum |
| Speech-to-Text |
speech.googleapis.com |
Nenhum |
| Text-to-Speech |
texttospeech.googleapis.com |
Nenhum |
| Nuvem privada virtual (VPC) |
compute.googleapis.com |
Nenhum |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Nenhum |
Restrições e limitações
As seções a seguir descrevem restrições ou limitações de recursos no Google Cloud ou específicos do produto, incluindo as restrições de política da organização definidas por padrão nas pastas de controles de saúde e ciências da vida.
Restrições da política da organização no Google Cloud
As restrições da política da organização a seguir se aplicam a qualquer serviço aplicável do Google Cloud.
| Restrição da política da organização | Descrição |
|---|---|
gcp.resourceLocations |
Defina os seguintes locais na lista allowedValues:
|
gcp.restrictServiceUsage |
Definido para permitir todos os serviços compatíveis. Determina quais serviços podem ser ativados e usados. Para mais informações, ver Restrinja o uso de recursos para cargas de trabalho. |
gcp.restrictTLSVersion |
Defina para negar as seguintes versões do TLS:
|
Compute Engine
Restrições da política da organização do Compute Engine
| Restrição da política da organização | Descrição |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Definido como Verdadeiro. Desativa a criação de políticas de segurança do Google Cloud Armor. |
Spanner
Recursos do Spanner afetados
| Recurso | Descrição |
|---|---|
| Limites de divisão | O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas
para definir
limites de divisão,
que podem incluir dados e metadados do cliente. Um limite dividido no Spanner denota o local em que os intervalos contíguos de linhas são divididos em partes menores. Esses limites de divisão podem ser acessados pela equipe do Google para fins técnicos e para fins de depuração e suporte, e não estão sujeitos a acessar controles de dados nos controles de saúde e ciências biológicas. |
Restrições da política da organização do Spanner
| Restrição da política da organização | Descrição |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Definido como Verdadeiro. Aplica controles adicionais de suporte e soberania de dados a os recursos do Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Definido como Verdadeiro. Desativa a capacidade de criar instâncias do Spanner multirregionais para aplicar a residência e a soberania de dados. |
A seguir
- Entenda os pacotes de controle para o Assured Workloads.
- Saiba quais produtos são aceitos para cada pacote de controle.