Limite de dados dos EUA para saúde e ciências biológicas
Nesta página, descrevemos as restrições, limitações e outras opções de configuração ao usar os pacotes de controle do limite de dados dos EUA para saúde e ciências biológicas e do limite de dados dos EUA para saúde e ciências biológicas com suporte.
Visão geral
Com os pacotes de controle do limite de dados dos EUA para saúde e ciências biológicas e do limite de dados dos EUA para saúde e ciências biológicas com suporte, é possível executar cargas de trabalho em conformidade com os requisitos da Lei de Portabilidade e Responsabilidade de Planos de Saúde (HIPAA, na sigla em inglês) e da Health Information Trust Alliance (HITRUST, na sigla em inglês).
Cada produto compatível atende aos seguintes requisitos:
- Listado na página do Contrato de parceria comercial (BAA) da HIPAA doGoogle Cloud
- Listado na página do Framework de Segurança Comum (CSF) do HITRUST daGoogle Cloud
- Compatível com chaves de criptografia gerenciadas pelo cliente (CMEK) do Cloud KMS
- Suporte para VPC Service Controls
- Suporte a registros de Transparência no acesso
- Aceita solicitações de aprovação de acesso
- Suporte à residência de dados em repouso restrita a locais nos EUA
Permitir outros serviços
Cada pacote de controle do limite de dados dos EUA para saúde e ciências biológicas inclui uma configuração padrão de serviços compatíveis, que é aplicada por uma restrição de política da organização Restringir o uso do serviço (gcp.restrictServiceUsage) definida na pasta do Assured Workloads. No entanto, é possível modificar o valor dessa restrição para incluir outros serviços, se a carga de trabalho exigir. Consulte Restringir o uso de recursos para cargas de trabalho para mais informações.
Todos os serviços adicionais que você escolher adicionar à lista de permissões precisam estar listados na página do BAA da HIPAA doGoogle Cloud ou na página do HITRUST CSF doGoogle Cloud.
Quando você adiciona outros serviços modificando a restrição gcp.restrictServiceUsage, o monitoramento do Assured Workloads informa violações de compliance. Para remover essas violações e evitar notificações futuras de
serviços adicionados à lista de permissões, conceda uma exceção para cada
violação.
Outras considerações ao adicionar um serviço à lista de permissões são descritas nas seções a seguir.
Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Antes de adicionar um serviço à lista de permissões, verifique se ele é compatível com a CMEK. Para isso, consulte a página Serviços compatíveis na documentação do Cloud KMS. Se você quiser permitir um serviço que não oferece suporte à CMEK, é sua escolha aceitar os riscos associados, conforme descrito em Responsabilidade compartilhada no Assured Workloads.
Se você quiser aplicar uma postura de segurança mais rígida ao usar a CMEK, consulte a página Ver uso da chave na documentação do Cloud KMS.
Residência dos dados
Antes de adicionar um serviço à lista de permissões, verifique se ele está listado na página Google Cloud Serviços com residência de dados. Se você quiser permitir um serviço que não oferece suporte à residência de dados, é sua opção aceitar os riscos associados, conforme descrito em Responsabilidade compartilhada no Assured Workloads.
VPC Service Controls
Antes de adicionar um serviço à lista de permissões, verifique se ele é compatível com o VPC Service Controls consultando a página Produtos e limitações compatíveis na documentação do VPC Service Controls. Se você quiser permitir um serviço que não seja compatível com o VPC Service Controls, é sua escolha aceitar os riscos associados conforme descrito em Responsabilidade compartilhada no Assured Workloads.
Transparência no acesso e Aprovação de acesso
Antes de adicionar um serviço à lista de permissões, verifique se ele pode gravar registros de transparência no acesso e se é compatível com solicitações de aprovação de acesso. Para isso, consulte as seguintes páginas:
Se você quiser permitir um serviço que não grava registros de transparência no acesso e não aceita solicitações de aprovação de acesso, é sua escolha aceitar os riscos associados, conforme descrito em Responsabilidade compartilhada no Assured Workloads.
Produtos e serviços compatíveis
Os seguintes produtos são compatíveis com os pacotes de controle do limite de dados dos EUA para saúde e ciências biológicas e do limite de dados dos EUA para saúde e ciências biológicas com suporte:
| Produto compatível | Endpoints globais de API | Restrições ou limitações |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.comnetworksecurity.googleapis.comnetworkservices.googleapis.com |
Nenhum |
| Artifact Registry |
artifactregistry.googleapis.com |
Nenhum |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Nenhum |
| Serviço de transferência de dados do BigQuery |
bigquerydatatransfer.googleapis.com |
Nenhum |
| Autorização binária |
binaryauthorization.googleapis.com |
Nenhum |
| Certificate Authority Service |
privateca.googleapis.com |
Nenhum |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Nenhum |
| Cloud Build |
cloudbuild.googleapis.com |
Nenhum |
| Cloud Composer |
composer.googleapis.com |
Nenhum |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nenhum |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Nenhum |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
Nenhum |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nenhum |
| Gerenciamento de identidade e acesso (IAM) |
iam.googleapis.com |
Nenhum |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Nenhum |
| Cloud Logging |
logging.googleapis.com |
Nenhum |
| Pub/Sub |
pubsub.googleapis.com |
Nenhum |
| Cloud Router |
networkconnectivity.googleapis.com |
Nenhum |
| Cloud Run |
run.googleapis.com |
Recursos afetados |
| Spanner |
spanner.googleapis.com |
Recursos afetados e restrições da política da organização |
| Cloud SQL |
sqladmin.googleapis.com |
Nenhum |
| Cloud Storage |
storage.googleapis.com |
Nenhum |
| Cloud Tasks |
cloudtasks.googleapis.com |
Nenhum |
| API Cloud Vision |
vision.googleapis.com |
Nenhum |
| Cloud VPN |
compute.googleapis.com |
Nenhum |
| Compute Engine |
compute.googleapis.com |
Restrições das políticas da organização |
| Insights de experiência do cliente |
contactcenterinsights.googleapis.com |
Nenhum |
| Eventarc |
eventarc.googleapis.com |
Nenhum |
| Filestore |
file.googleapis.com |
Nenhum |
| Google Kubernetes Engine |
container.googleapis.comcontainersecurity.googleapis.com |
Nenhum |
| Memorystore para Redis |
redis.googleapis.com |
Nenhum |
| Persistent Disk |
compute.googleapis.com |
Nenhum |
| Secret Manager |
secretmanager.googleapis.com |
Nenhum |
| Proteção de Dados Sensíveis |
dlp.googleapis.com |
Nenhum |
| Speech-to-Text |
speech.googleapis.com |
Nenhum |
| Text-to-Speech |
texttospeech.googleapis.com |
Nenhum |
| Nuvem privada virtual (VPC) |
compute.googleapis.com |
Nenhum |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Nenhum |
Restrições e limitações
As seções a seguir descrevem restrições ou limitações em toda a Google Cloudou específicas do produto para recursos, incluindo restrições de políticas da organização definidas por padrão nas pastas do limite de dados dos EUA para saúde e ciências biológicas.
Restrições da política da organização em toda aGoogle Cloud
As restrições da política da organização a seguir se aplicam a qualquer Google Cloud serviço aplicável.
| Restrição da política da organização | Descrição |
|---|---|
gcp.resourceLocations |
Defina os seguintes locais na lista allowedValues:
|
gcp.restrictServiceUsage |
Definido para permitir todos os serviços compatíveis. Determina quais serviços podem ser usados restringindo o acesso em tempo de execução aos recursos deles. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho. |
gcp.restrictTLSVersion |
Definido para negar as seguintes versões do TLS:
|
Compute Engine
Restrições da política da organização do Compute Engine
| Restrição da política da organização | Descrição |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Definido como Verdadeiro. Desativa a criação de políticas de segurança do Google Cloud Armor. |
Cloud Run
Recursos afetados do Cloud Run
| Recurso | Descrição |
|---|---|
| Recursos não suportados | Os seguintes recursos do Cloud Run não são compatíveis: |
Spanner
Recursos do Spanner afetados
| Recurso | Descrição |
|---|---|
| Limites de divisão | O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão no Spanner indica o local em que intervalos contíguos de linhas são divididos em partes menores. Esses limites divididos podem ser acessados pela equipe do Google para suporte técnico e fins de depuração, e não estão sujeitos aos controles de dados de acesso administrativo no limite de dados dos EUA para saúde e ciências biológicas. |
Restrições da política da organização do Spanner
| Restrição da política da organização | Descrição |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Definido como Verdadeiro. Aplica controles adicionais de soberania e capacidade de suporte de dados aos recursos do Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Definido como Verdadeiro. Desativa a capacidade de criar instâncias multirregionais do Spanner para aplicar a residência e a soberania de dados. |
A seguir
- Entenda os pacotes de controle do Assured Workloads.
- Saiba quais produtos são compatíveis com cada pacote de controle.