Identity Platform: guia de implementação da HIPAA

Exoneração de responsabilidade

Este guia é apenas informativo. As informações e recomendações fornecidas aqui pelo Google não constituem assessoria jurídica. Cada cliente é responsável pela avaliação do próprio uso dos serviços, conforme apropriado, para conciliar as obrigações legais de conformidade.

Público-alvo

Se usado corretamente, o Identity Platform doGoogle Cloudpode fornecer conformidade a clientes sujeitos aos requisitos da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês) e às respectivas emendas, incluindo a Lei de Tecnologia da Informação para Saúde Econômica e Clínica (HITECH, na sigla em inglês). Este guia é destinado a agentes de segurança e de conformidade, administradores de TI e outros funcionários responsáveis pela implementação e conformidade da HIPAA usando o Identity Platform do Google Cloud.

De acordo com a HIPAA, determinadas informações sobre a saúde e os serviços de assistência médica de uma pessoa são classificadas como Informações protegidas de saúde (PHI, na sigla em inglês). Google Cloud Os clientes sujeitos à HIPAA que quiserem usar o Google Cloud ou o Identity Platform dele com PHI precisam assinar um Contrato de parceria comercial (BAA) com o Google.

Os clientes doGoogle Cloud são responsáveis por determinar se estão sujeitos aos requisitos da HIPAA e se usam ou pretendem usar os Serviços do Google em conexão com PHI. Os clientes que não assinaram um BAA com o Google não podem usar os Serviços do Google em conexão com PHI.

O serviço do Identity Platform

O Identity Platform doGoogle Cloudé uma solução de identidade como serviço (IDaaS), que fornece infraestrutura baseada na nuvem para permitir que recursos de identidade sejam adicionados a aplicativos ou serviços. O serviço Identity Platform oferece um banco de dados/diretório de usuário baseado na nuvem e APIs de autenticação que podem minimizar o overhead associado ao desenvolvimento e gerenciamento da identidade do aplicativo.

Recomendamos que você armazene apenas os dados mínimos necessários para fornecer autenticação e autorização para seu aplicativo ou serviço. Ao criar um usuário no banco de dados do Identity Platform, o único atributo obrigatório é um endereço de e-mail (no caso do login por e-mail/senha) ou um número de telefone (no caso da autenticação por telefone).

Embora o Identity Platform aceite atributos opcionais adicionais, incluindo nome de exibição e URL da foto, além da possibilidade de adicionar atributos/declarações personalizados a um objeto de usuário, as PHI não devem ser armazenadas em nenhum desses atributos. Se você precisar armazenar PHI, recomendamos o uso de uma solução de banco de dados de finalidade geral no Google Cloud, de acordo com as diretrizes para implementação do Google Cloud.

Provedores de identidade federados e login anônimo

O Identity Platform oferece suporte à integração com uma variedade de provedores de federação sociais baseados na Internet, além de padrões configuráveis de federação empresarial, como SAML e OpenID Connect (OIDC). No entanto, as PHI não devem ser transmitidas desses provedores de identidade (IdPs) para o Identity Platform em tokens, declarações, afirmações ou por meio de qualquer outro mecanismo.

A sincronização de PHI de sistemas de identidade externos com o Identity Platform não é recomendada ou aceita, e o Google Cloud não garante a segurança dessas informações em trânsito ou após o recebimento por terceiros.

Não use contas anônimas ao interagir, gerenciar ou armazenar PHI.

Kits de desenvolvimento de software e bibliotecas de cliente (SDKs)

O Identity Platform oferece kits de desenvolvimento de software e bibliotecas de cliente executados fora do serviço do Identity Platform. Esses SDKs estão disponíveis no lado do cliente (para iOS, Android e Web) ou em códigos de servidor nas principais linguagens de desenvolvimento (Java, C++, Go, NodeJS etc.).

Como esse código é executado fora do serviço do Identity Platform, o Google Cloud não garante a segurança dessas informações, por exemplo, no dispositivo do usuário final. Portanto, não use SDKs e bibliotecas de cliente ao interagir, gerenciar ou armazenar PHI.

Outros recursos

Esses outros recursos podem ajudar você a entender como os Serviços do Google são projetados considerando a privacidade, a confidencialidade, a integridade e a disponibilidade dos dados.