免責事項
本指南僅供參考。Google 在本指南中提供的資訊或建議不構成法律建議。客戶有責任自行評估在使用服務時,本身已善盡相關法律與法規的遵循義務。
目標對象
如果客戶必須遵守《健康保險流通與責任法案》(簡稱「HIPAA」) 的規定 (包括依據《經濟與臨床健康資訊科技法》(HITECH) 修訂的內容),Google Cloud的 Identity Platform 在適當使用下可支援 HIPAA 法規遵循。本指南適用對象為負責使用 Google Cloud的 Identity Platform 實施《健康保險流通與責任法案》並確保相關作業符合規定的資安主管、法規遵循主管、IT 管理員和其他員工。
根據《健康保險流通與責任法案》的規定,凡是有關個人健康或醫療保健服務的特定資訊,均歸類為「受保護的健康資訊」(PHI)。 Google Cloud如果客戶需要遵守《健康保險流通與責任法案》的規定,而且想使用 Google Cloud 或其身分平台處理受保護的健康資訊,則必須與 Google 簽署《業務合作協議》(BAA)。
Google Cloud 客戶必須自行判斷是否需要遵守《健康保險流通與責任法案》規定,以及是否使用或想要使用 Google 服務處理 PHI。如果客戶並未和 Google 簽署 BAA,則不得使用 Google 服務處理 PHI。
Identity Platform 服務
Google Cloud的 Identity Platform 是身分認證即服務 (IDaaS) 解決方案,提供雲端基礎架構,讓您將身分功能加入應用程式或服務。Identity Platform 服務提供雲端使用者目錄/資料庫和驗證 API,可盡量減少與應用程式身分開發和管理相關的額外負擔。
建議您只儲存應用程式或服務驗證及授權所需的最低資料。在 Identity Platform 資料庫中建立使用者時,唯一必要的屬性是電子郵件地址 (在電子郵件/密碼登入的情況下),或是電話號碼 (在電話驗證的情況下)。
雖然 Identity Platform 支援其他選用屬性 (包括顯示名稱和相片網址),以及在使用者物件中新增自訂屬性/聲明的功能,但 PHI 不得儲存在任何這些屬性中。如果您需要儲存 PHI,建議您按照 Google Cloud的實作指南,在 Google Cloud中使用通用資料庫解決方案。
聯合識別資訊提供者和匿名登入
Identity Platform 支援與各種網路社交聯盟供應商整合,以及可設定的企業聯盟標準,例如 SAML 和 OpenId Connect (OIDC)。不過,PHI 不得透過憑證、斷言或任何其他機制,從這些身分提供者 (IdP) 傳輸至 Identity Platform。
我們不建議或支援將 PHI 從外部身分系統同步至 Identity Platform, Google Cloud 也不會就這類資訊在傳輸過程中或第三方收到時的安全性做出任何斷言或保證。
請勿在與 PHI 互動、管理或儲存 PHI 時使用匿名帳戶。
軟體開發套件和用戶端程式庫 (SDK)
Identity Platform 提供在 Identity Platform 服務外執行的軟體開發套件和用戶端程式庫。這些 SDK 可用於用戶端 (跨 iOS、Android 和網頁),或用於主要開發語言 (Java、C++、Go、NodeJS 等) 的伺服器程式碼。
由於這段程式碼會在 Identity Platform Service 外執行, Google Cloud不會針對 Identity Platform Service 外 (例如使用者裝置) 的資訊安全性做出任何斷言或保證。因此,在與受保護健康資訊互動、管理或儲存時,請勿使用 SDK 和用戶端程式庫。
其他資源
這些額外資源可協助您瞭解 Google 服務在設計時所考量到的資料隱私性、機密性、完整性和可用性。