يتم الآن عرض مستندات Apigee Edge.
انتقِل إلى مستندات
Apigee X. المعلومات
الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA) مع Apigee Edge
نحن نولي أهمية كبيرة لضمان سلامة بيانات عملائنا وأمانها وتوفرها لهم بشكل دائم. ولإثبات امتثالنا لمعايير الأمان المعمول بها في هذا المجال، نجحت مساعي Google وحصلت على شهادات أمان، مثل شهادة ISO 27001 وعمليات تدقيق SOC 2 وSOC 3 من النوع الثاني. وبالنسبة إلى العملاء الخاضعين لمتطلبات "قانون نقل التأمين الصحي والمسؤولية"، يمكن لخدمة Apigee Edge أيضًا إتاحة الامتثال لقانون نقل التأمين الصحي والمسؤولية.
بموجب "قانون نقل التأمين الصحي والمسؤولية"، يتم تصنيف معلومات معيّنة عن صحة الفرد أو خدمات الرعاية الصحية التي يستفيد منها كمعلومات صحية محمية (PHI). وعلى عملاء Apigee Edge الخاضعين لقانون نقل التأمين الصحي والمسؤولية (HIPAA)، والذين يريدون استخدام Apigee Edge مع معلومات صحية محمية (PHI)، توقيع اتفاقية شراكة أعمال (BAA) مع Google.
يتحمل عملاء Apigee Edge مسؤولية تحديد ما إذا كانوا خاضعين لمتطلبات "قانون نقل التأمين الصحي والمسؤولية"، وما إذا كانوا يستخدمون أو ينوون استخدام خدمات Google في ما يتعلق بالمعلومات الصحية المحمية (PHI). على العملاء الذين لم يوقّعوا اتفاقية شراكة أعمال مع Google عدم استخدام خدمات Google لتداول المعلومات الصحية المحمية (PHI).
على المشرفين مراجعة اتفاقية شراكة الأعمال وقبولها قبل استخدام خدمات Google لتداول معلومات صحية محمية.
لقد نشرنا دليل إعداد قانون نقل التأمين الصحي والمسؤولية في Apigee في هذا الموضوع لمساعدة العملاء على فهم كيفية تنظيم البيانات في خدمات Google عند التعامل مع معلومات صحية محمية. هذا الدليل موجّه للموظفين في المؤسسات الذين يتحملون مسؤولية تنفيذ "قانون نقل التأمين الصحي والمسؤولية" والامتثال له في Apigee Edge.
دليل إعداد قانون نقل التأمين الصحي والمسؤولية (HIPAA) في Cloud Public Cloud
والغرض من هذا الدليل هو توفير المعلومات فقط. لا تعتزم Apigee أن تكون المعلومات أو الاقتراحات الواردة في هذا الدليل بمثابة مشورة قانونية. وتقع على عاتق كل عميل مسؤولية إجراء تقييم مستقل لاستخدامه الخاص للخدمات على النحو الملائم، وذلك بهدف دعم التزاماته القانونية المتعلقة بالامتثال للقوانين.
يجب أن يراجع العملاء العناصر التالية بموجب "قانون نقل التأمين الصحي والمسؤولية" (المعروف باسم "قانون نقل التأمين الصحي والمسؤولية" المعروف اختصارًا باسم "قانون نقل التأمين الصحي والمسؤولية"، بما في ذلك قانون تكنولوجيا المعلومات الصحية للصحة الاقتصادية والسريرية — قانون HITECH) الذين اشتروا حزمة الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA). هذه العناصر خدمة ذاتية ضمن Edge ويمكنها المساعدة في دعم مؤسسة العميل في الوفاء بالتزاماتها المتعلقة بالامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA). والمفهوم الشامل هو "تأمين Google للمنصة، ويحمي العميل بياناته".
| متطلبات قانون نقل التأمين الصحي والمسؤولية (HIPAA) | الأقسام |
|---|---|
| الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA): الأمان - التحكم في الوصول | الاستخدام/عمليات التفويض |
| الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA): عملية إدارة الأمان - مراجعة نشاط نظام المعلومات | مسار التدقيق |
| الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA): إدارة كلمات المرور الآمنة | متطلبات كلمة المرور المعقّدة أو SAML |
| الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA): الأمان - عملية إدارة الأمان | فحص نقاط النهاية |
| الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA): الأمان - النقل | ضبط بروتوكول أمان طبقة النقل (TLS) |
التتبُّع / تصحيح الأخطاء
"التتبُّع/تصحيح الأخطاء" هي أداة لتحديد المشاكل وحلّها تتيح للمستخدم عرض حالة ومحتوى طلب البيانات من واجهة برمجة التطبيقات أثناء معالجته من خلال معالج رسائل Apigee. التتبّع وتصحيح الأخطاء هما اسمان للخدمة نفسها، ولكن يمكن الوصول إليهما باستخدام آليات مختلفة. Trace هو اسم هذه الخدمة داخل واجهة مستخدم Edge. تصحيح الأخطاء هو اسم الخدمة نفسها عند استخدامها من خلال طلبات البيانات من واجهة برمجة التطبيقات. يُعدّ استخدام المصطلح "تتبُّع" في هذا المستند صالحًا لكل من "تتبُّع" و"تصحيح الأخطاء".
أثناء جلسة التتبُّع، يتم فرض "إخفاء البيانات" إذا تم تفعيله وإعداده من قِبل العميل. يمكن لهذه الأداة حظر عرض البيانات أثناء عملية التتبُّع. يُرجى الاطّلاع على قسم إخفاء البيانات أدناه.
يتم استخدام خرائط القيمة الرئيسية المشفَّرة للعملاء الذين يتطلّبون الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA). عندما يكون جهاز KVM مشفّر قيد الاستخدام، قد يستمر استخدام Trace، ولكن لن تكون بعض المتغيرات مرئية في شاشة عرض التتبُّع. يمكن اتخاذ خطوات إضافية لعرض هذه المتغيّرات أيضًا أثناء التتبّع.
وتتوفّر تعليمات تفصيلية حول استخدام "التتبُّع" في استخدام أداة التتبُّع.
تتوفّر تفاصيل حول KVM، بما في ذلك KVM المشفَّر، في مقالة العمل باستخدام خرائط القيم الرئيسية.
الاستخدام/التفويضات
تتم إدارة إمكانية الوصول إلى التتبُّع من خلال نظام التحكم في الوصول المستند إلى الدور (RBAC) لحسابات المستخدمين ضمن Edge (الامتثال لقانون نقل التأمين الصحي والمسؤولية: الأمان - التحكم في الوصول). تتوفّر التعليمات التفصيلية حول استخدام نظام RBAC لمنح امتيازات التتبُّع وإبطالها في القسم إسناد الأدوار وإنشاء أدوار مخصَّصة في واجهة المستخدم. تتيح أذونات التتبُّع للمستخدم تشغيل أداة تتبُّع أو إيقاف عملية تتبُّع أو الوصول إلى الناتج من جلسة تتبُّع.
بما أنّ تطبيق Trace يمكنه الوصول إلى البيانات الأساسية لاستدعاءات واجهة برمجة التطبيقات (يُطلق عليه رسميًا "نص الرسالة")، من المهم تحديد من يمكنه الوصول لتشغيل التتبع. بما أنّ مسؤولية إدارة المستخدمين هي مسؤولية العميل، تقع على عاتق العميل أيضًا مسؤولية منح أذونات التتبُّع. لدى Apigee، كمالك للمنصة، إمكانية إضافة مستخدم إلى مؤسسة عملاء وتعيين الامتيازات. لا يتم استخدام هذه الإمكانية إلا بناءً على طلب العميل للحصول على الدعم في الحالات التي يبدو فيها أن خدمة العملاء لا تعمل، ويُعتقد أن مراجعة جلسة التتبُّع توفّر أفضل المعلومات عن السبب الأساسي.
إخفاء البيانات
يؤدي إخفاء البيانات إلى منع عرض البيانات الحساسة أثناء جلسة التتبُّع/تصحيح الأخطاء فقط، سواء في التتبُّع (واجهة مستخدم Edge) أو في الخلفية من خلال تصحيح الأخطاء (Edge API). يمكنك الاطّلاع على تفاصيل حول طريقة ضبط هذه الإعدادات في إخفاء البيانات وإخفائها.
ولا يؤدي إخفاء البيانات إلى منع ظهور البيانات في ملفات السجلّ وذاكرة التخزين المؤقّت وإحصاءات البيانات وما إلى ذلك. للحصول على مساعدة بشأن إخفاء البيانات في السجلات، يمكنك إضافة نمط تعبير عادي إلى ملف logback.xml. يجب عادةً عدم كتابة البيانات الحساسة لتخزينها مؤقتًا أو في تحليلات البيانات بدون مبرّر قوي للنشاط التجاري ومراجعتها من قِبل فِرق الأمان والقانون لديك.
ذاكرة التخزين المؤقت L1 وL2
سيؤدي استخدام ذاكرة التخزين المؤقت L1 تلقائيًا إلى استخدام ذاكرة التخزين المؤقت L2 أيضًا. تكون ذاكرة التخزين المؤقت L1 هي "الذاكرة فقط"، بينما تكتب ذاكرة التخزين المؤقت L2 البيانات إلى القرص لمزامنتها عبر ذاكرات التخزين المؤقت المتعددة L1. وتساهم ذاكرة التخزين المؤقت L2 في الحفاظ على مزامنة عدّة معالِجات رسائل ضمن منطقة وعالمية. لا يمكن في الوقت الحالي تفعيل ذاكرة التخزين المؤقت L1 بدون ذاكرة تخزين مؤقت L2 خلفها. تخزن ذاكرة التخزين المؤقت L2 البيانات على القرص بحيث يمكن مزامنتها مع معالجات الرسائل الأخرى لمؤسسة العميل. يمكنك الاطّلاع على تعليمات مفصّلة حول استخدام ذاكرة التخزين المؤقت في القسم إضافة ذاكرة التخزين المؤقت والاستمرار.
مسار التدقيق
يمكن للعملاء مراجعة مسار التدقيق لجميع الأنشطة الإدارية التي يتم تنفيذها داخل مؤسسة العميل، بما في ذلك استخدام التتبُّع (الامتثال لقانون نقل التأمين الصحي والمسؤولية: عملية إدارة الأمان - مراجعة نشاط نظام المعلومات). يمكنك الاطّلاع على التعليمات المفصّلة هنا وعلى استخدام أداة التتبُّع.
متطلبات كلمة المرور المعقدة أو SAML
بالنسبة إلى عملاء "قانون نقل التأمين الصحي والمسؤولية"، يتم ضبط كلمات مرور المستخدمين لاستيفاء المتطلبات المتقدّمة مثل طول المدة ومستوى التعقيد وعمر المستخدم. (الامتثال لقانون نقل التأمين الصحي والمسؤولية: إدارة كلمات المرور الأمنية)
يوفّر Edge أيضًا مصادقة متعدّدة العوامل على النحو الموضّح في تفعيل المصادقة الثنائية لحسابك على Apigee وSAML، الموضَّحة في المقالة تفعيل مصادقة SAML لتطبيق Edge، كبدائل لعناصر التحكُّم في المصادقة.
أمان نقاط النهاية
فحص نقاط النهاية
يتحمّل عملاء Edge Cloud مسؤولية فحص نقاط نهاية واجهة برمجة التطبيقات واختبارها (تُسمّى أحيانًا "مكوّنات وقت التشغيل") في Edge ( الامتثال لقانون نقل التأمين الصحي والمسؤولية: الأمان - عملية إدارة الأمان). يجب أن يشمل اختبار العملاء خدمات الخادم الوكيل لواجهة برمجة التطبيقات الفعلية التي يتم استضافتها على Edge حيث يتم إرسال عدد زيارات واجهة برمجة التطبيقات إلى Edge قبل معالجتها ثم تسليمها إلى مركز بيانات العملاء. لم تتم الموافقة على اختبار الموارد المشتركة، مثل واجهة مستخدم بوابة الإدارة، للعملاء الفرديين (يتوفر تقرير من جهة خارجية يتناول اختبار الخدمات المشتركة للعملاء بموجب اتفاقية عدم إفصاح وعند الطلب).
على العملاء اختبار نقاط النهاية في واجهة برمجة التطبيقات وتشجيعهم على إجراء ذلك. لا تحظر اتفاقيتك مع Apigee اختبار نقاط النهاية في واجهة برمجة التطبيقات، ولكنها تطلب منك عدم اختبار واجهة المستخدم الإدارية المشتركة. في حال الحاجة إلى توضيح إضافي، يُرجى فتح طلب دعم تشير إلى الاختبار المخطَّط له. ونحن نقدّر إرسال إشعارات إلى Apigee مقدمًا حتى نتمكن من معرفة عدد زيارات الاختبار.
ويجب أن يبحث العملاء الذين يختبرون نقاط النهاية عن أي مشاكل متعلّقة بواجهة برمجة التطبيقات، وأي مشاكل متعلقة بخدمات Apigee، وأن يتحقّقوا أيضًا من بروتوكول أمان طبقة النقل (TLS) والعناصر الأخرى القابلة للضبط. يجب إبلاغ Apigee بأي عناصر يتم العثور عليها وذات صلة بخدمات Apigee من خلال طلب دعم.
معظم العناصر المتعلقة بنقطة النهاية هي عناصر خدمة ذاتية للعميل ويمكن إصلاحها من خلال مراجعة مستندات Edge. وفي حال عدم وضوح كيفية إصلاحها، يُرجى تقديم طلب دعم.
إعداد TLS
يتحمل العملاء مسؤولية تحديد نقاط نهاية بروتوكول أمان طبقة النقل (TLS) وضبطها للخوادم الوكيلة لواجهة برمجة التطبيقات. هذه ميزة الخدمة الذاتية في Edge. إنّ متطلبات العملاء المتعلّقة باختيارات التشفير والبروتوكول والخوارزمية تتغيّر على نطاق واسع وخاصة بحالات الاستخدام الفردي. بما أنّ Apigee لا تعرف تفاصيل حمولات البيانات وتصميم واجهة برمجة التطبيقات لكل عميل، تقع على عاتق العملاء مسؤولية تحديد التشفير المناسب للبيانات أثناء نقلها ( الامتثال لقانون نقل التأمين الصحي والمسؤولية: الأمان - النقل).
تتوفّر التعليمات التفصيلية حول ضبط بروتوكول أمان طبقة النقل (TLS) على بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة.
مخزن البيانات
ولا يتطلب الأمر تخزين البيانات داخل Edge حتى تعمل شبكة Edge بشكل صحيح. ومع ذلك، تتوفر خدمات لتخزين البيانات في Edge. ويمكن للعملاء اختيار استخدام ذاكرة التخزين المؤقت أو الإحصاءات لتخزين البيانات. يُنصَح بمراجعة عمليات الضبط والسياسات وعمليات النشر من قِبل مشرفي العملاء لتجنُّب الاستخدام غير المقصود أو الضار لخدمات تخزين البيانات في Edge بطريقة غير متوافقة.
تشفير بيانات الحمولة
لا يتم تقديم أدوات تشفير البيانات للعملاء لاستخدامها داخل Edge. ومع ذلك، يمكن للعملاء تشفير البيانات قبل إرسالها إلى Edge. ولا تمنع البيانات المشفّرة في الحمولة (أو نص الرسالة) تشغيل Edge. قد لا تتمكّن بعض سياسات Edge من التفاعل مع البيانات إذا استلمها العميل مشفّرًا. على سبيل المثال، لا يكون التحويل ممكنًا إذا كانت البيانات نفسها غير متاحة لأداة Edge لتغييرها. في المقابل، ستعمل السياسات والحِزم الأخرى التي ينشئها العميل وسياسات حِزم البيانات الأخرى حتى إذا كانت حمولات البيانات مشفّرة.
معلومات تحديد الهوية الشخصية في معرّفات الموارد المنتظمة (URI)
يلتقط النظام الأساسي الموحّد للتحليلات (UAP) في Apigee بيانات إحصائية، بما في ذلك أي معلومات صحية محمية أو بيانات حسّاسة أخرى تم تضمينها في معرّف الموارد المنتظم (URI) لاستدعاء واجهة برمجة التطبيقات في Apigee Edge، ويحتفظ بها لمدة 13 شهرًا. معلومات صحية محمية في معرّف الموارد المنتظم (URI) متوافقة مع معايير موارد قابلية التشغيل البيني للرعاية الصحية السريعة (FHIR)، وبالتالي فهي متوافقة مع Apigee. بشكلٍ تلقائي، يتم تشفير بيانات "إحصاءات Google" في UAP في حال عدم النشاط.
لا يتيح Apigee حاليًا:
- إخفاء البيانات إلى UAP
- تغيير دورة الاحتفاظ بالبيانات
- إيقاف استخدام بروتوكول UAP
- إزالة معرّف الموارد المنتظم (URI) من جمع بيانات UAP