Identity Platform:健康保险流通与责任法案 (HIPAA) 实施指南

免责声明

本指南仅供参考。Google 在本指南中提供的信息或建议不构成法律建议。每位客户都有责任独立评估其对该服务的具体使用是适当的,以履行法规遵从义务。

目标受众

对于需要遵循《健康保险流通与责任法案》(HIPAA,修订版,包括《卫生信息技术促进经济与临床健康法案》(HITECH))相关要求的客户,Google Cloud的 Identity Platform 可以支持 HIPAA 合规性,前提是正确使用。本指南面向安全官员、合规官员、IT 管理员及其他负责使用 Google CloudIdentity Platform 实施和遵守 HIPAA 合规性的员工。

根据 HIPAA 的规定,有关个人健康状况或医疗服务的某些信息被归类为受保护健康信息 (PHI)。如果 Google Cloud的客户需要遵循 HIPAA 且希望将 Google Cloud 或其 Identity Platform 用于处理 PHI,必须与 Google 签署《业务伙伴协议》(BAA)。

Google Cloud 客户需自行判断是否受 HIPAA 要求的约束,并决定是否使用或打算使用 Google 服务与 PHI 相关。未与 Google 签署 BAA 的客户不得在处理 PHI 时使用 Google 服务。

Identity Platform 服务

Google Cloud的 Identity Platform 是一种身份即服务 (IDaaS) 解决方案,可提供基于云的基础架构,以便将身份功能添加到应用或服务中。Identity Platform 服务提供基于云的用户目录/数据库和身份验证 API,可最大限度地减少与开发和管理应用身份相关的开销。

我们建议您只存储为您的应用或服务提供身份验证和授权所需的最少数据。在 Identity Platform 数据库中创建用户时,唯一必需的特性是电子邮件地址(如果使用电子邮件地址/密码登录)或手机号码(如果使用手机进行身份验证)。

虽然 Identity Platform 支持额外的可选特性(包括显示名和照片网址,以及向用户对象添加自定义特性/声明的权限),但 PHI 不应存储在任何此类特性中。如果您需要存储 PHI,建议按照 Google Cloud的实施指南,在 Google Cloud中使用通用数据库解决方案。

联合身份提供商和匿名登录

Identity Platform 支持与一系列基于互联网的社交联盟提供商以及可配置的企业联盟标准(例如 SAML 和 OpenId Connect (OIDC))相集成。但是,PHI 不应通过令牌、声明、断言或任何其他机制从这些身份提供商 (IdP) 传输到 Identity Platform。

不建议或不支持将 PHI 从外部身份系统同步到 Identity Platform,且 Google Cloud 不对该信息在传输过程中或第三方收到后的安全性作任何断言或保证。

在与 PHI 进行交互或管理/存储 PHI 时,不应使用匿名账号。

软件开发套件和客户端库 (SDK)

Identity Platform 提供了在 Identity Platform 服务之外运行的软件开发套件和客户端库。这些 SDK 可在客户端(跨 iOS、Android、Web)或以主要开发语言(Java、C++、Go、NodeJS 等)编写的服务器代码中使用。

由于此代码在 Identity Platform 服务之外运行,因此 Google Cloud对 Identity Platform 服务之外的信息安全性(如最终用户的设备上的信息)不作任何断言或保证。相应地,在与 PHI 进行交互或管理/存储 PHI 时,不应使用 SDK 和客户端库。

其他资源

这些额外的资源可以帮助您了解我们如何在确保数据隐私性、机密性、完整性和可用性的情况下设计 Google 服务。