Identity Platform: guía de implementación de la HIPAA

Renuncia de responsabilidad

Esta guía tiene únicamente fines informativos. Google no pretende que la información ni las recomendaciones que se incluyen en ella sirvan de asesoramiento legal. Cada cliente tiene la responsabilidad de evaluar de forma independiente el uso que hace de los servicios según proceda para cumplir las obligaciones legales que correspondan.

Usuarios a los que está dirigida

Google CloudIdentity Platform puede ayudar a los clientes que estén sujetos a los requisitos de la ley de transferencia y responsabilidad de los seguros médicos de EE. UU. (Health Insurance Portability and Accountability Act, HIPAA), incluidas las adendas pertinentes, como las de la ley de tecnología de información médica para la salud clínica y económica de Estados Unidos, a cumplir sus requisitos si se usa correctamente. Esta guía está dirigida a los encargados del cumplimiento y de la seguridad, a los administradores de TI y a otros empleados responsables de la implementación y el cumplimiento de la HIPAA con Identity Platform de Google Cloud.

En virtud de la ley HIPAA, determinados datos sobre la salud y la asistencia sanitaria de las personas se clasifican como información médica protegida. Google Cloud Los clientes que estén sujetos a la ley HIPAA y quieran usar Google Cloud o su Identity Platform para tratar información médica protegida deben firmar un contrato de colaboración empresarial con Google.

Los clientes deGoogle Cloud son responsables de determinar si están sujetos a los requisitos de la ley HIPAA y si usan o tienen intención de usar los servicios de Google para tratar información médica protegida. Los clientes que no hayan firmado un Contrato de Colaboración Empresarial con Google no deben usar los servicios de Google para tratar información médica protegida.

El servicio Identity Platform

Identity Platform deGoogle Cloudes una solución de identidad como servicio (IDaaS) que proporciona una infraestructura basada en la nube para añadir funciones de identidad a aplicaciones o servicios. El servicio Identity Platform ofrece un directorio o una base de datos de usuarios basados en la nube y APIs de autenticación que pueden minimizar la sobrecarga asociada al desarrollo y la gestión de la identidad de tu aplicación.

Te recomendamos que solo almacenes los datos mínimos necesarios para proporcionar autenticación y autorización a tu aplicación o servicio. Cuando se crea un usuario en la base de datos de Identity Platform, el único atributo obligatorio es una dirección de correo electrónico (en el caso del inicio de sesión con correo y contraseña) o un número de teléfono (en el caso de la autenticación telefónica).

Aunque Identity Platform admite atributos opcionales adicionales, como el nombre visible y la URL de la foto, así como la posibilidad de añadir atributos o reclamaciones personalizados a un objeto de usuario, no se debe almacenar información sanitaria protegida en ninguno de estos atributos. Si tienes que almacenar IPH, te recomendamos que utilices una solución de base de datos de uso general en Google Cloud, de acuerdo con la guía de implementación de Google Cloud.

Proveedores de identidades federadas e inicio de sesión anónimo

Identity Platform admite la integración con una amplia gama de proveedores de federación de redes sociales basados en Internet, así como con estándares de federación empresarial configurables, como SAML y OpenID Connect (OIDC). Sin embargo, la información sanitaria personal no debe transmitirse desde estos proveedores de identidades a Identity Platform en tokens, reclamaciones, aserciones ni a través de ningún otro mecanismo.

No se recomienda ni se admite la sincronización de IPH desde sistemas de identidad externos con Identity Platform. Google Cloud No se ofrece ninguna garantía ni afirmación sobre la seguridad de esta información durante la transferencia o al recibirla el tercero.

No se deben usar cuentas anónimas para interactuar, gestionar o almacenar información sanitaria protegida.

Kits de desarrollo de software y bibliotecas de cliente (SDKs)

Identity Platform ofrece kits de desarrollo de software y bibliotecas de cliente que se ejecutan fuera del servicio Identity Platform. Estos SDKs están disponibles del lado del cliente (en iOS, Android y Web) o en el código del servidor en los principales lenguajes de desarrollo (Java, C++, Go, NodeJS, etc.).

Como este código se ejecuta fuera del servicio Identity Platform, Google Cloud no hace ninguna afirmación ni garantía sobre la seguridad de la información fuera del servicio Identity Platform, como en el dispositivo de un usuario final. Por lo tanto, no se deben usar SDKs ni bibliotecas de cliente para interactuar, gestionar o almacenar información médica protegida.

Otros recursos

Estos recursos adicionales pueden ayudarte a entender cómo se diseñan los servicios de Google teniendo en cuenta la privacidad, la confidencialidad, la integridad y la disponibilidad de los datos.