您正在查看 Apigee Edge 文档。
前往 Apigee X 文档。 信息
Apigee Edge 的 HIPAA 合规性
我们的首要任务之一是确保客户的数据安全无虞,且随时可供客户访问。Google 已申请并获得多项安全认证(例如 ISO 27001 认证以及 SOC 2 和 SOC 3 II 类审核),证明我们遵从业内的安全标准。对于需要遵从《健康保险流通与责任法案》(HIPAA) 中相关要求的客户,Apigee Edge 也可以提供支持来确保他们符合 HIPAA 要求。
根据 HIPAA 的规定,有关个人健康状况和医疗保健服务的特定信息属于受保护健康信息 (PHI)。如果 Apigee Edge 客户需要遵从 HIPAA,而且希望将 Apigee Edge 用于处理受保护健康信息 (PHI),那么他们必须与 Google 签署《业务伙伴协议》(BAA)。
Apigee Edge 客户必须自行判断自己是否需要遵从 HIPAA 的要求,以及是否使用或打算使用 Google 服务处理 PHI。 尚未与 Google 签署 BAA 的客户不得将 Google 服务用于 PHI 的处理。
管理员必须先详阅并接受 BAA,然后才能使用 Google 服务处理 PHI。
我们在此主题中发布了 Apigee HIPAA 配置指南,旨在帮助客户了解如何在处理 PHI 时使用 Google 服务来整理数据。 本指南面向组织内负责 HIPAA 实施工作以及确保在使用 Apigee Edge 时遵从 HIPAA 法规的员工。
Edge 公有云的 HIPAA 配置指南
本指南仅供参考。Apigee 在本指南中提供的信息或建议不构成法律建议。每位客户都有责任独立评估其对该服务的具体使用是适当的,以履行法规遵从义务。
需要遵从《健康保险流通与责任法案》(修订版,简称 HIPAA,包括依据《卫生信息技术促进经济和临床健康 - HITECH 法案》修订的内容)且已购买 HIPAA 合规性套件的客户应审核以下各项。这些项目是 Edge 中的自助服务,可帮助客户组织 (org) 履行 HIPAA 合规义务。总体概念是“Google 保护平台数据,客户保护其数据”。
| HIPAA 要求 | 版块 |
|---|---|
| HIPAA 合规性:安全 - 访问控制 | 使用/授权 |
| HIPAA 合规性:安全管理流程 - 信息系统活动审核 | 审核跟踪记录 |
| HIPAA 合规性:安全密码管理 | 复杂的密码要求或 SAML |
| HIPAA 合规性:安全 - 安全管理流程 | 端点扫描 |
| HIPAA 合规性:安全 - 传输 | TLS 配置 |
跟踪 / 调试
跟踪/调试是一种问题排查工具,可让用户在 Apigee 消息处理器处理 API 调用的过程中查看 API 调用的状态和内容。 “跟踪”和“调试”是同一服务的两个名称,但通过不同的机制进行访问。Trace 是 Edge 界面中此服务的名称。通过 API 调用使用时,Debug 是同一服务的名称。本文档中使用“轨迹”一词既适用于轨迹,也适用于调试。
在跟踪会话期间,如果客户启用并配置了“数据脱敏”,系统会强制执行“数据脱敏”。 此工具可以阻止在跟踪期间显示数据。请参阅下面的数据脱敏部分。
加密键值对映射 (KVM) 适用于需要遵守《健康保险流通与责任法案》(HIPAA) 的客户。 使用加密的 KVM 时,您可能仍可以使用轨迹,但轨迹显示屏中不会显示某些变量。您可以执行其他步骤,以便在跟踪期间也显示这些变量。
如需详细了解如何使用 Trace,请参阅使用 Trace 工具。
如需详细了解 KVM(包括加密的 KVM),请参阅使用键值映射。
使用/授权
通过 Edge 中用户账号的 RBAC(基于角色的访问控制)系统管理对轨迹的访问权限(HIPAA 合规性:安全 - 访问控制)。如需详细了解如何使用 RBAC 系统授予和撤消轨迹权限,请参阅分配角色和在界面中创建自定义角色。跟踪权限允许用户启动跟踪、停止跟踪,以及访问跟踪会话的输出。
由于轨迹可以访问 API 调用的载荷(以前称为“消息正文”),因此请务必考虑谁可以运行轨迹。由于用户管理是客户责任,因此授予轨迹权限也是客户责任。 Apigee 作为平台所有者,可以将用户添加到客户组织并分配权限。只有在客户请求支持时,且客户服务似乎未能解决问题,并且认为查看轨迹会话最有助于了解根本原因时,才会使用此功能。
数据遮盖
数据脱敏可防止在跟踪/调试会话期间在跟踪(Edge 界面)和 Debug (Edge API) 后端中显示敏感数据。如需详细了解如何设置脱敏,请参阅数据脱敏和隐藏。
数据脱敏不会阻止数据在日志文件、缓存、分析等位置显示。如需有关在日志中进行数据脱敏的帮助,不妨考虑向 logback.xml 文件添加正则表达式模式。通常,在没有强有力的业务理由和安全与法律团队审核的情况下,不得将敏感数据写入缓存或分析内容。
L1 和 L2 缓存
使用 L1 缓存时,系统也会自动使用 L2 缓存。L1 缓存是“纯内存”缓存,而 L2 缓存会将数据写入磁盘,以便在多个 L1 缓存之间进行同步。L2 缓存可确保多个消息处理器在一个区域内和全球范围内保持同步。目前,如果没有 L2 缓存,则无法启用 L1 缓存。L2 缓存会将数据写入磁盘,以便将其同步到客户组织的其他消息处理器。如需详细了解如何使用缓存,请参阅添加缓存和持久化。
审核跟踪
客户可以审查在客户的组织中执行的所有管理活动的审核跟踪,包括使用跟踪功能(《健康保险流通与责任法案》合规性:安全管理流程 - 信息系统活动审核)。如需了解详细说明,请参阅此处和使用轨迹工具。
复杂的密码要求或 SAML
对于 HIPAA 客户,用户密码已配置为满足长度、复杂性和有效期等高级要求。(HIPAA 法规遵从:安全密码管理)
Edge 还提供多重身份验证(如为 Apigee 账号启用双重身份验证中所述)和 SAML(如为 Edge 启用 SAML 身份验证中所述),作为身份验证控件的替代方案。
端点安全
端点扫描
Edge Cloud 客户负责在 Edge 中扫描和测试其 API 端点(有时称为“运行时组件”)( 《健康保险流通与责任法案》合规性:安全 - 安全管理流程)。客户测试应涵盖在 Edge 上托管的实际 API 代理服务,即 API 流量在处理之前发送到 Edge,然后发送到客户数据中心。尚未批准为个人客户对共享资源(例如管理门户界面)进行测试(依照保密协议,经客户同意才能通过针对共享服务测试的第三方报告)。
客户应该并建议他们测试自己的 API 端点。您与 Apigee 达成的协议并未禁止测试 API 端点,但要求您不得测试共享管理界面。不过,如果您需要进一步说明,请创建支持服务工单,并在其中提及您计划进行的测试。建议提前通知 Apigee,以便我们了解测试流量。
测试其端点的客户应该查找任何与 API 相关的问题、与 Apigee 服务相关的任何问题,并检查 TLS 和其他可配置项。找到的任何与 Apigee 服务有关的项目都应通过支持服务工单告知 Apigee。
大多数与端点相关的项目都是客户自助项目,您可以通过查看 Edge 文档来解决问题。如果有项目是不清楚如何解决的问题,请提出支持请求。
TLS 配置
客户负责为 API 代理定义和配置他们自己的 TLS 端点。这是 Edge 中的一项自助式功能。关于加密、协议和算法选择的客户要求非常广泛,特定于各个用例。 由于 Apigee 并不了解每个客户的 API 设计和数据负载的详细信息,因此客户需自行负责为传输中的数据确定合适的加密( 《健康保险流通与责任法案》合规性:安全 - 传输)。
如需详细了解 TLS 配置,请参阅 TLS/SSL。
数据存储
Edge 无需进行 Edge 存储数据即可正常运行。不过,Edge 中提供了一些数据存储服务。客户可以选择使用缓存或分析来存储数据。建议客户管理员对配置、政策和部署进行审查,以避免以不符合要求的方式在 Edge 中意外使用或恶意使用数据存储服务。
载荷的数据加密
数据加密工具不适用于客户在 Edge 内使用的情况。不过,客户在发送到 Edge 之前,可以自由地加密数据。载荷(或消息正文)中的加密数据不会阻止 Edge 正常运行。部分 Edge 政策可能无法在客户收到加密的数据后与其交互。例如,如果数据本身不可供 Edge 更改,则无法进行转换。 但是,即使数据负载已加密,其他政策和客户内置政策和软件包也会生效。
URI 中的个人身份信息 (PII)
Apigee 的统一分析平台 (UAP) 会捕获分析数据,包括调用 Apigee Edge 的 API 的统一资源标识符 (URI) 中包含的任何个人健康信息 (PHI) 或其他敏感数据,并将其保留 13 个月。URI 中的 PHI 受快速医疗互操作性资源 (FHIR) 标准支持,因此也受 Apigee 支持。 默认情况下,UAP 中的分析数据会在静态时进行加密。
Apigee 目前不支持:
- 向 UAP 遮盖数据
- 更改保留周期
- 停用 UAP
- 从 UAP 数据收集中移除 URI