أنت تطّلع على مستندات Apigee Edge.
انتقِل إلى
مستندات Apigee X. info
الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA) باستخدام Apigee Edge
نحن نولي أهمية كبيرة لضمان سلامة بيانات عملائنا وأمانها وتوفرها لهم بشكل دائم. ولإثبات امتثالنا لمعايير الأمان المعمول بها في هذا المجال، نجحت مساعي Google وحصلت على شهادات أمان، مثل شهادة ISO 27001 وعمليات تدقيق SOC 2 وSOC 3 النوع الثاني. بالنسبة إلى العملاء الخاضعين لمتطلبات "قانون نقل التأمين الصحي والمسؤولية" (HIPAA)، يمكن أن تساعدهم Apigee Edge أيضًا في الامتثال لهذا القانون.
بموجب "قانون نقل التأمين الصحي والمسؤولية"، يتم تصنيف معلومات معيّنة عن صحة الفرد أو خدمات الرعاية الصحية التي يستفيد منها كمعلومات صحية محمية (PHI). على عملاء Apigee Edge الخاضعين لقانون نقل التأمين الصحي والمسؤولية والذين يريدون استخدام Apigee Edge مع المعلومات الصحية المحمية توقيع اتفاقية شراكة أعمال (BAA) مع Google.
يكون عملاء Apigee Edge مسؤولين عن تحديد ما إذا كانوا خاضعين لمتطلبات "قانون نقل التأمين الصحي والمسؤولية" وما إذا كانوا يستخدمون معلومات صحية محمية أو ينوون استخدامها في خدمات Google. وبالنسبة إلى العملاء الذين لم يوقّعوا على اتفاقية شراكة أعمال مع Google، يجب ألاّ يستخدموا معلومات صحية محمية في خدمات Google.
على المشرفين مراجعة "اتفاقيات شراكة الأعمال" وقبولها قبل السماح باستخدام معلومات صحية محمية في خدمات Google.
لقد نشرنا دليل إعداد HIPAA في Apigee في هذا الموضوع لمساعدة العملاء في فهم كيفية تنظيم البيانات على خدمات Google عند التعامل مع معلومات صحية محمية. وهذا الدليل موجّه إلى الموظفين في المؤسسات الذين يتحملون مسؤولية تنفيذ "قانون نقل التأمين الصحي والمسؤولية" والامتثال له من خلال Apigee Edge.
دليل إعدادات HIPAA لـ Edge Public Cloud
هذا الدليل مخصّص لأغراض معلوماتية فقط. لا تهدف شركة Apigee إلى أن تشكّل المعلومات أو الاقتراحات الواردة في هذا الدليل مشورة قانونية. يتحمّل كل عميل مسؤولية إجراء تقييم مستقل لاستخدامه الخاص للخدمات بما يتناسب مع التزاماته القانونية المتعلقة بالامتثال.
على العملاء الخاضعين لقانون نقل التأمين الصحي والمسؤولية (المعروف باسم قانون نقل التأمين الصحي والمسؤولية، وتعديلاته، بما في ذلك قانون تكنولوجيا المعلومات الصحية للصحة الاقتصادية والسريرية - قانون HITECH) الذين اشتروا حزمة الامتثال لقانون نقل التأمين الصحي والمسؤولية مراجعة العناصر التالية. يمكن للعملاء استخدام هذه العناصر ذاتيًا في Edge، ويمكن أن تساعد في دعم المؤسسة (org) للعملاء في الوفاء بالتزاماتها المتعلقة بالامتثال لقانون HIPAA. إنّ المفهوم العميق هو "تؤمّن Google المنصة، ويؤمّن العميل بياناته".
| متطلبات قانون نقل التأمين الصحي والمسؤولية (HIPAA) | الأقسام |
|---|---|
| الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA): الأمان - التحكّم في الوصول | الاستخدام/الأذونات |
| الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA): عملية إدارة الأمان - مراجعة نشاط نظام المعلومات | مسار التدقيق |
| الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA): إدارة كلمات المرور في ميزة "الأمان" | متطلبات كلمة المرور المعقدة أو SAML |
| الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA): الأمان - عملية إدارة الأمان | فحص نقاط النهاية |
| الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA): الأمان - النقل | إعداد طبقة النقل الآمنة (TLS) |
التتبّع / تصحيح الأخطاء
التتبُّع/التصحيح هو أداة لتحديد المشاكل وحلّها تسمح للمستخدم بعرض حالة طلب البيانات من واجهة برمجة التطبيقات ومحتواه أثناء معالجته من خلال "معالج رسائل Apigee". التتبُّع وتصحيح الأخطاء اسمان للخدمة نفسها، ولكن يتم الوصول إليهما من خلال آليات مختلفة. "التتبُّع" هو اسم هذه الخدمة داخل واجهة مستخدم Edge. Debug هو اسم الخدمة نفسها عند استخدامها من خلال طلبات البيانات من واجهة برمجة التطبيقات. إنّ استخدام مصطلح "التتبّع" في هذا المستند صالح لكلّ من التتبّع وتصحيح الأخطاء.
أثناء جلسة التتبّع، يتم فرض ميزة "تظليل البيانات" إذا فعّلها العميل وضبطها. يمكن لهذه الأداة منع عرض البيانات أثناء عملية التتبّع. راجِع القسم تصغير البيانات أدناه.
تُستخدَم "جداول قيم مفاتيح التشفير" (KVM) للعملاء الذين يطلبون الامتثال لقانون HIPAA. عند استخدام مبدل KVM مشفَّر، قد يظل بإمكانك استخدام ميزة "التتبّع"، ولكن لن تظهر بعض المتغيّرات في شاشة عرض "التتبّع". من الممكن اتّخاذ خطوات إضافية لعرض هذه المتغيّرات أيضًا أثناء التتبّع.
تتوفّر تعليمات تفصيلية حول استخدام أداة "التتبّع" في مقالة استخدام أداة "التتبّع".
تتوفّر تفاصيل عن خرائط القيم الرئيسية، بما في ذلك خرائط القيم الرئيسية المشفَّرة، في مقالة العمل مع خرائط القيم الرئيسية.
الاستخدام/الأذونات
تتم إدارة الوصول إلى "التتبّع" من خلال نظام "التحكم في الوصول المستند إلى الدور" (RBAC) لحسابات المستخدمين ضمن Edge (الامتثال لقانون الخدمات الصحية المتكاملة (HIPAA): الأمان - التحكّم في الوصول). تتوفّر تعليمات مفصّلة حول استخدام نظام "إدارة الأدوار بالاستناد إلى الدور" لمنح وامتيازات "التتبّع" وإبطالها في مقالتَي منح الأدوار وإنشاء أدوار مخصّصة في واجهة المستخدِم. تسمح أذونات التتبّع للمستخدم ببدء عملية تتبّع وإيقافها والوصول إلى الإخراج من جلسة التتبّع.
بما أنّ أداة التتبّع يمكنها الوصول إلى الحمولة من طلبات بيانات واجهة برمجة التطبيقات (المعروفة رسميًا باسم "نص الرسالة")، من المهمّ تحديد المستخدمين الذين يمكنهم تنفيذ عملية تتبّع. بما أنّ إدارة المستخدمين هي مسؤولية العميل، فإنّ منح أذونات التتبّع هي أيضًا مسؤولية العميل. يمكن لشركة Apigee، بصفتها مالك المنصة، إضافة مستخدم إلى مؤسسة عميل ومنح الامتيازات. لا يتم استخدام هذه الإمكانية إلا عند طلب العميل الحصول على الدعم في حالة يبدو فيها أنّ خدمة العملاء لا تعمل على النحو المطلوب، ويُعتقد أنّ مراجعة جلسة التتبّع قد تقدّم أفضل المعلومات عن السبب الأساسي.
إخفاء البيانات
يمنع حجب البيانات عرض البيانات الحسّاسة أثناء جلسة التتبّع/التصحيح فقط، سواء في ميزة التتبّع (واجهة مستخدم Edge) أو في الخلفية من خلال ميزة التصحيح (Edge API). تتوفّر تفاصيل حول كيفية إعداد عملية التمويه في مقالة تتمويه البيانات وإخفاؤها.
لا تمنع عملية إخفاء البيانات ظهور البيانات في ملفات السجلّ أو ذاكرة التخزين المؤقت أو الإحصاءات أو غير ذلك. للحصول على مساعدة بشأن إخفاء البيانات في السجلّات، ننصحك بإضافة تعبير عادي إلىملف logback.xml. يجب عدم كتابة البيانات الحسّاسة عادةً في ذاكرة التخزين المؤقت أو الإحصاءات بدون تقديم مبرر قوي للنشاط التجاري ومراجعة فِرق الأمان والشؤون القانونية.
ذاكرة التخزين المؤقت (المستوى 1 و2)
سيؤدي استخدام ذاكرة التخزين المؤقت L1 إلى استخدام ذاكرة التخزين المؤقت L2 تلقائيًا أيضًا. ذاكرة التخزين المؤقت L1 هي "ذاكرة فقط" في حين أنّ ذاكرة التخزين المؤقت L2 تكتب البيانات على القرص للمزامنة على مستوى ذاكرات تخزين مؤقت متعددة من النوع L1. ذاكرة التخزين المؤقت من المستوى الثاني هي ما يحافظ على مزامنة معالجات الرسائل المتعددة داخل منطقة وبشكلٍ عام. ليس من الممكن حاليًا تفعيل ذاكرة التخزين المؤقت L1 بدون ذاكرة تخزين مؤقت L2. تُسجِّل ذاكرة التخزين المؤقت من المستوى الثاني البيانات على القرص حتى يمكن مزامنتها مع معالجات الرسائل الأخرى للعميل المؤسّسة. تتوفّر تعليمات مفصّلة حول استخدام ذاكرة التخزين المؤقت على الرابط: إضافة ميزة التخزين المؤقت والاحتفاظ بالبيانات.
مسار التدقيق
يمكن للعملاء مراجعة "مسار التدقيق" لجميع الأنشطة الإدارية التي يتم إجراؤها في مؤسسة العميل، بما في ذلك استخدام "التتبّع" (الامتثال لقانون الخدمات الصحية المتوفّرة على مستوى المجتمع: عملية إدارة الأمان - مراجعة نشاط نظام المعلومات). تتوفّر تعليمات تفصيلية هنا و في مقالة استخدام أداة التتبّع.
متطلبات كلمة المرور المعقّدة أو SAML
بالنسبة إلى عملاء قانون نقل التأمين الصحي والمسؤولية (HIPAA)، يتم ضبط كلمات مرور المستخدمين لتلبية متطلبات متقدّمة، مثل الطول والتعقيد ومدة الصلاحية. (الامتثال لقانون نقل التأمين الصحي والمسؤولية: إدارة كلمات المرور في ميزة "الأمان")
يوفّر Edge أيضًا المصادقة المتعدّدة العوامل الموضّحة في مقالة تفعيل مصادقة مزدوجة لحسابك على Apigee، وSAML الموضّحة في مقالة تفعيل مصادقة برمجة التطبيقات باستخدام ملف تعريف بيانات أمان موحّد (SAML) في Edge، كبديلَين عن عناصر التحكّم في المصادقة.
أمان نقاط النهاية
مسح نقاط النهاية
يتحمّل عملاء Edge Cloud مسؤولية فحص نقاط نهاية واجهة برمجة التطبيقات واختبارها (المعروفة أحيانًا باسم "مكونات وقت التشغيل") في Edge ( الامتثال لقانون نقل التأمين الصحي والمسؤولية: الأمان - عملية إدارة الأمان). يجب أن يشمل اختبار العميل خدمات الوكيل الفعلية لواجهة برمجة التطبيقات المستضافة على Edge حيث يتم إرسال عدد الزيارات إلى واجهة برمجة التطبيقات إلى Edge قبل معالجتها ثم تسليمها إلى مركز بيانات العميل. لا تتم الموافقة على اختبار الموارد المشتركة، مثل واجهة مستخدم بوابة الإدارة، للعملاء الفرديين (يتوفر للعملاء تقرير تابع لجهة خارجية يتناول اختبار الخدمات المشتركة بموجب اتفاقية عدم الإفصاح وعند الطلب).
على العملاء اختبار نقاط نهاية واجهة برمجة التطبيقات، ونشجّعهم على ذلك. لا تحظر اتفاقية العميل مع Apigee اختبار نقاط نهاية واجهة برمجة التطبيقات، ولكنّها تطلب منه عدم اختبار واجهة المستخدم المشترَكة لإدارة الخدمات. إذا كنت بحاجة إلى مزيد من التوضيح، يُرجى فتح طلب دعم يشير إلى الاختبار المخطَّط. نشكرك على إرسال إشعار إلى Apigee مسبقًا حتى نتمكّن من معرفة عدد زيارات الاختبار.
على العملاء الذين يختبِرون نقاط النهاية البحث عن أي مشاكل متعلّقة بواجهة برمجة التطبيقات أو أي مشاكل متعلّقة بخدمات Apigee، والتحقّق أيضًا من بروتوكول أمان طبقة النقل والعناصر الأخرى القابلة للضبط. يجب إبلاغ Apigee بأي مواد يتم العثور عليها وتتعلق بخدمات Apigee من خلال طلب دعم.
إنّ معظم العناصر ذات الصلة بنقطة النهاية هي عناصر خدمة ذاتية للعملاء ويمكن حلّها من خلال الاطّلاع على مستندات Edge. إذا كانت هناك عناصر غير واضحة كيفية حلّها، يُرجى فتح طلب دعم.
إعدادات بروتوكول أمان طبقة النقل (TLS)
يتحمّل العملاء مسؤولية تحديد نقاط نهاية طبقة النقل الآمنة (TLS) الخاصة بهم وضبطها لخوادم الوكيل الخاصة بواجهة برمجة التطبيقات. هذه ميزة خدمة ذاتية في Edge. تختلف متطلبات العملاء المتعلقة بتشفير بروتوكول واختيار الخوارزميات على نطاق واسع وترتبط بحالات الاستخدام الفردية. بما أنّ Apigee لا تعرف تفاصيل تصميم واجهة برمجة التطبيقات وحمولات البيانات لكل عميل، يتحمّل العملاء مسؤولية تحديد التشفير المناسب للبيانات أثناء نقلها ( متطلبات الامتثال لقانون نقل التأمين الصحي والمسؤولية: الأمان - النقل).
تتوفّر تعليمات مفصّلة حول ضبط بروتوكول أمان طبقة النقل (TLS) على الرابط TLS/SSL.
تخزين البيانات
لا يُشترط تخزين البيانات داخل Edge لكي يعمل بشكل صحيح. ومع ذلك، تتوفّر خدمات لتخزين البيانات في Edge. يمكن للعملاء اختيار استخدام ذاكرة التخزين المؤقت أو الإحصاءات لتخزين البيانات. ننصح المشرفين على العملاء بمراجعة عمليات الضبط والسياسات وعمليات النشر لتجنُّب الاستخدام غير المقصود أو الضار لخدمات تخزين data في Edge بطريقة غير متوافقة.
تشفير البيانات في الحمولة
لا يتم تقديم أدوات تشفير البيانات للعملاء لاستخدامها داخل Edge. ومع ذلك، يمكن للعملاء تشفير البيانات قبل إرسالها إلى Edge. لا تمنع البيانات المشفَّرة في الحمولة (أو نص الرسالة) عمل Edge. قد لا تتمكّن بعض سياسات Edge من التفاعل مع البيانات إذا تلقّاها العميل مشفّرة. على سبيل المثال، لا يمكن إجراء عملية تحويل إذا لم تكن البيانات نفسها متاحة لخدمة Edge لتغييرها. أمّا السياسات الأخرى والسياسات والحِزم التي ينشئها العملاء، فستعمل حتى إذا كانت الحمولة البيانات مشفَّرة.
معلومات تحديد الهوية الشخصية في معرّفات الموارد المنتظمة (URI)
تلتقط منصة الإحصاءات الموحّدة (UAP) من Apigee بيانات الإحصاءات، بما في ذلك أي معلومات خاصة بالمرضى أو بيانات حسّاسة أخرى مضمّنة في معرّف الموارد الموحّد (URI) لطلب بيانات من واجهة برمجة التطبيقات إلى Apigee Edge، وتحتفظ بها لمدة 13 شهرًا. إنّ معيار "موارد قابلية التشغيل البيني للرعاية الصحية السريعة" (FHIR) يتيح استخدام المعلومات الطبية الشخصية في عنوان URL، وبالتالي تتيح منصة Apigee استخدامها. يتم تشفير بيانات "إحصاءات Google" في "المعالجة المحدودة للبيانات" تلقائيًا في حال عدم استخدامها.
لا تتيح Apigee حاليًا ما يلي:
- تصغير البيانات إلى UAP
- تغيير دورة الاحتفاظ بالبيانات
- إيقاف UAP
- إزالة عنوان URL من عملية جمع بيانات UAP