Apigee এজ এর সাথে HIPAA সম্মতি এবং কনফিগারেশন

আপনি Apigee Edge ডকুমেন্টেশন দেখছেন।
Apigee X ডকুমেন্টেশনে যান তথ্য

Apigee এজ এর সাথে HIPAA সম্মতি

আমাদের গ্রাহকদের ডেটা নিরাপদ, সুরক্ষিত এবং সর্বদা তাদের কাছে উপলব্ধ তা নিশ্চিত করা আমাদের শীর্ষ অগ্রাধিকারগুলির মধ্যে একটি। শিল্পে নিরাপত্তা মানগুলির সাথে আমাদের সম্মতি প্রদর্শনের জন্য, Google ISO 27001 সার্টিফিকেশন এবং SOC 2 এবং SOC 3 প্রকার II অডিটের মতো নিরাপত্তা শংসাপত্রগুলি চেয়েছে এবং পেয়েছে৷ হেলথ ইন্স্যুরেন্স পোর্টেবিলিটি অ্যান্ড অ্যাকাউন্টেবিলিটি অ্যাক্ট (HIPAA) এর প্রয়োজনীয়তার সাপেক্ষে Apigee Edge HIPAA সম্মতি সমর্থন করতে পারে।

HIPAA-এর অধীনে, একজন ব্যক্তির স্বাস্থ্য বা স্বাস্থ্যসেবা পরিষেবা সম্পর্কে কিছু তথ্য সুরক্ষিত স্বাস্থ্য তথ্য (PHI) হিসাবে শ্রেণীবদ্ধ করা হয়। Apigee Edge গ্রাহক যারা HIPAA এর অধীন এবং PHI এর সাথে Apigee Edge ব্যবহার করতে চান তাদের অবশ্যই Google এর সাথে একটি বিজনেস অ্যাসোসিয়েট এগ্রিমেন্ট (BAA) স্বাক্ষর করতে হবে।

Apigee Edge গ্রাহকরা HIPAA প্রয়োজনীয়তার অধীন কিনা এবং তারা PHI এর সাথে Google পরিষেবাগুলি ব্যবহার করেন বা ব্যবহার করতে চান কিনা তা নির্ধারণের জন্য দায়ী৷ যে সমস্ত গ্রাহকরা Google-এর সাথে BAA-তে স্বাক্ষর করেননি তারা অবশ্যই PHI-এর সাথে Google পরিষেবাগুলি ব্যবহার করবেন না৷

PHI এর সাথে Google পরিষেবাগুলি ব্যবহার করার আগে প্রশাসকদের অবশ্যই BAA পর্যালোচনা এবং গ্রহণ করতে হবে৷

আমরা এই বিষয়ে আমাদের Apigee HIPAA কনফিগারেশন গাইড প্রকাশ করেছি যাতে গ্রাহকরা PHI পরিচালনা করার সময় Google পরিষেবাগুলিতে ডেটা কীভাবে সংগঠিত করতে হয় তা বুঝতে সহায়তা করে৷ এই নির্দেশিকাটি এমন প্রতিষ্ঠানের কর্মীদের জন্য যারা HIPAA বাস্তবায়ন এবং Apigee Edge-এর সাথে সম্মতির জন্য দায়ী।

এজ পাবলিক ক্লাউডের জন্য HIPAA কনফিগারেশন গাইড

এই নির্দেশিকা শুধুমাত্র তথ্যের উদ্দেশ্যে। Apigee আইনী পরামর্শ গঠনের জন্য এই গাইডে থাকা তথ্য বা সুপারিশের উদ্দেশ্য নয়। প্রতিটি গ্রাহক তার আইনি সম্মতির বাধ্যবাধকতা সমর্থন করার জন্য উপযুক্ত পরিষেবাগুলির নিজস্ব নির্দিষ্ট ব্যবহারকে স্বাধীনভাবে মূল্যায়ন করার জন্য দায়ী৷

নিম্নলিখিত আইটেমগুলি হেল্থ ইন্স্যুরেন্স পোর্টেবিলিটি অ্যান্ড অ্যাকাউন্টিবিলিটি অ্যাক্ট (এইচআইপিএএ নামে পরিচিত, স্বাস্থ্য তথ্য প্রযুক্তি ফর ইকোনমিক অ্যান্ড ক্লিনিক্যাল হেলথ — HITECH অ্যাক্ট দ্বারা সংশোধিত) সাপেক্ষে যারা HIPAA কমপ্লায়েন্স প্যাক কিনেছেন তাদের দ্বারা পর্যালোচনা করা উচিত। এই আইটেমগুলি এজ-এর মধ্যে স্ব-পরিষেবা এবং গ্রাহক সংস্থাকে (org) এর HIPAA সম্মতি দায়বদ্ধতা পূরণে সহায়তা করতে পারে৷ ব্যাপক ধারণা হল "গুগল প্ল্যাটফর্ম সুরক্ষিত করে, গ্রাহক তাদের ডেটা সুরক্ষিত করে।"

HIPAA প্রয়োজনীয়তা বিভাগসমূহ
HIPAA সম্মতি: নিরাপত্তা - অ্যাক্সেস নিয়ন্ত্রণ ব্যবহার/অনুমোদন
HIPAA সম্মতি: নিরাপত্তা ব্যবস্থাপনা প্রক্রিয়া - তথ্য সিস্টেম কার্যকলাপ পর্যালোচনা অডিট ট্রেইল
HIPAA সম্মতি: নিরাপত্তা পাসওয়ার্ড ব্যবস্থাপনা জটিল পাসওয়ার্ড প্রয়োজনীয়তা বা SAML
HIPAA সম্মতি: নিরাপত্তা - নিরাপত্তা ব্যবস্থাপনা প্রক্রিয়া এন্ডপয়েন্ট স্ক্যানিং
HIPAA সম্মতি: নিরাপত্তা - সংক্রমণ TLS কনফিগারেশন

ট্রেস/ডিবাগ

ট্রেস/ডিবাগ হল একটি সমস্যা সমাধানের টুল যা ব্যবহারকারীকে একটি API কলের স্থিতি এবং বিষয়বস্তু দেখতে দেয় কারণ এটি Apigee মেসেজ প্রসেসরের মাধ্যমে প্রক্রিয়া করা হয়। ট্রেস এবং ডিবাগ একই পরিষেবার জন্য দুটি নাম কিন্তু বিভিন্ন প্রক্রিয়ার মাধ্যমে অ্যাক্সেস করা হয়। ট্রেস হল এজ UI এর ভিতরে এই পরিষেবাটির নাম। API কলের মাধ্যমে ব্যবহার করার সময় ডিবাগ হল একই পরিষেবার নাম। এই নথিতে ট্রেস শব্দের ব্যবহার ট্রেস এবং ডিবাগ উভয়ের জন্যই বৈধ।

একটি ট্রেস সেশন চলাকালীন, "ডেটা মাস্কিং" কার্যকর করা হয় যদি গ্রাহক দ্বারা সক্রিয় এবং কনফিগার করা হয়। এই টুল একটি ট্রেস সময় প্রদর্শিত হতে ডেটা ব্লক করতে পারে. নীচের ডেটা মাস্কিং বিভাগটি দেখুন।

এনক্রিপ্টেড কী ভ্যালু ম্যাপ (KVMs) ব্যবহার করা হয় গ্রাহকদের জন্য যাদের HIPAA সম্মতি প্রয়োজন। একটি এনক্রিপ্ট করা KVM ব্যবহারে, ট্রেস এখনও ব্যবহার করা যেতে পারে, তবে কিছু ভেরিয়েবল ট্রেস ডিসপ্লে স্ক্রিনে দৃশ্যমান হবে না। ট্রেসের সময় এই ভেরিয়েবলগুলি প্রদর্শন করার জন্য অতিরিক্ত পদক্ষেপ নেওয়া সম্ভব।

ট্রেস ব্যবহারের বিস্তারিত নির্দেশাবলী ট্রেস টুল ব্যবহার করে পাওয়া যায়।

এনক্রিপ্ট করা KVM সহ KVM-এর বিশদ বিবরণ কী মান মানচিত্রের সাথে কাজ করাতে পাওয়া যায়।

ব্যবহার/অনুমোদন

এজ ( HIPAA সম্মতি: নিরাপত্তা - অ্যাক্সেস কন্ট্রোল ) এর মধ্যে থাকা ব্যবহারকারীর অ্যাকাউন্টগুলির জন্য RBAC (রোল-ভিত্তিক অ্যাক্সেস কন্ট্রোল) সিস্টেমের মাধ্যমে ট্রেসে অ্যাক্সেস পরিচালনা করা হয়। ট্রেস বিশেষাধিকার প্রদান এবং প্রত্যাহার করার জন্য RBAC সিস্টেম ব্যবহার করার বিস্তারিত নির্দেশাবলী UI-তে ভূমিকা বরাদ্দ করা এবং কাস্টম ভূমিকা তৈরি করা-তে পাওয়া যায়। ট্রেস অনুমতি ব্যবহারকারীকে একটি ট্রেস চালু করতে, একটি ট্রেস বন্ধ করতে, একটি ট্রেস সেশন থেকে আউটপুট অ্যাক্সেস করতে দেয়।

যেহেতু ট্রেসের কাছে API কলগুলির পেলোডের অ্যাক্সেস রয়েছে (আনুষ্ঠানিকভাবে "মেসেজ বডি" বলা হয়), ট্রেস চালানোর জন্য কার অ্যাক্সেস আছে তা বিবেচনা করা গুরুত্বপূর্ণ। যেহেতু ব্যবহারকারী ব্যবস্থাপনা একটি গ্রাহকের দায়িত্ব, ট্রেস অনুমতি প্রদানও একটি গ্রাহকের দায়িত্ব। Apigee, প্ল্যাটফর্মের মালিক হিসাবে, একটি গ্রাহক সংস্থায় একজন ব্যবহারকারীকে যুক্ত করার এবং বিশেষাধিকারগুলি বরাদ্দ করার ক্ষমতা রাখে৷ এই ক্ষমতাটি শুধুমাত্র এমন একটি পরিস্থিতিতে সমর্থনের জন্য গ্রাহকের অনুরোধের উপর ব্যবহার করা হয় যেখানে এটি প্রদর্শিত হয় যে গ্রাহক পরিষেবা ব্যর্থ হচ্ছে এবং একটি ট্রেস সেশন পর্যালোচনা করা মূল কারণ সম্পর্কে সর্বোত্তম তথ্য প্রদান করে বলে বিশ্বাস করা হয়।

ডেটা মাস্কিং

ডেটা মাস্কিং শুধুমাত্র ট্রেস/ডিবাগ সেশনের সময় সংবেদনশীল ডেটা প্রদর্শনকে বাধা দেয়, ট্রেস (এজ UI) এবং ডিবাগ (এজ API) দ্বারা ব্যাকএন্ড উভয় ক্ষেত্রেই। কীভাবে মাস্কিং সেট আপ করবেন তার বিশদ বিবরণ ডেটা মাস্কিং এবং হাইডিং এ উপলব্ধ।

ডেটা মাস্কিং লগ ফাইল, ক্যাশে, বিশ্লেষণ ইত্যাদিতে ডেটা দৃশ্যমান হতে বাধা দেয় না৷ লগগুলিতে ডেটা মাস্কিংয়ে সহায়তার জন্য, logback.xml ফাইলে একটি রেজেক্স প্যাটার্ন যুক্ত করার কথা বিবেচনা করুন৷ সংবেদনশীল ডেটা সাধারণত ক্যাশে বা বিশ্লেষণে লেখা উচিত নয় একটি শক্তিশালী ব্যবসায়িক ন্যায্যতা এবং আপনার নিরাপত্তা এবং আইনি দল দ্বারা পর্যালোচনা ছাড়া।

L1 এবং L2 ক্যাশে

L1 ক্যাশের ব্যবহার স্বয়ংক্রিয়ভাবে L2 ক্যাশেও ব্যবহার করবে। L1 ক্যাশে "কেবল মেমরি" যেখানে L2 ক্যাশে একাধিক L1 ক্যাশে জুড়ে সিঙ্ক্রোনাইজ করার জন্য ডিস্কে ডেটা লেখে। L2 ক্যাশে একটি অঞ্চলে এবং বিশ্বব্যাপী একাধিক বার্তা প্রসেসরকে সিঙ্কে রাখে। এটির পিছনে একটি L2 ক্যাশে ছাড়া L1 ক্যাশে সক্ষম করা বর্তমানে সম্ভব নয়৷ L2 ক্যাশে ডিস্কে ডেটা লেখে যাতে এটি গ্রাহক সংস্থার জন্য অন্যান্য বার্তা প্রসেসরের সাথে সিঙ্ক করা যায়। ক্যাশে ব্যবহার করার বিস্তারিত নির্দেশাবলী যোগ করা ক্যাশিং এবং অধ্যবসায়- এ উপলব্ধ।

অডিট ট্রেইল

গ্রাহকদের ট্রেস ( HIPAA সম্মতি: নিরাপত্তা ব্যবস্থাপনা প্রক্রিয়া - তথ্য সিস্টেম কার্যকলাপ পর্যালোচনা ) ব্যবহার সহ গ্রাহকের প্রতিষ্ঠানের মধ্যে সম্পাদিত সমস্ত প্রশাসনিক ক্রিয়াকলাপের অডিট ট্রেল পর্যালোচনা করার ক্ষমতা রয়েছে৷ বিস্তারিত নির্দেশাবলী এখানে এবং ট্রেস টুল ব্যবহার করে পাওয়া যায়।

জটিল পাসওয়ার্ডের প্রয়োজনীয়তা বা SAML

HIPAA গ্রাহকদের জন্য, ব্যবহারকারীর পাসওয়ার্ডগুলি দৈর্ঘ্য, জটিলতা এবং জীবনকালের মতো উন্নত প্রয়োজনীয়তা পূরণের জন্য কনফিগার করা হয়েছে। ( HIPAA সম্মতি: নিরাপত্তা পাসওয়ার্ড ব্যবস্থাপনা )

এজ মাল্টি-ফ্যাক্টর প্রমাণীকরণও অফার করে, যা আপনার Apigee অ্যাকাউন্টের জন্য দুই-ফ্যাক্টর প্রমাণীকরণ সক্ষম করুন -এ বর্ণিত এবং SAML, প্রমাণীকরণ নিয়ন্ত্রণের বিকল্প হিসাবে এজ-এর জন্য SAML প্রমাণীকরণ সক্ষম করতে বর্ণিত।

এন্ডপয়েন্ট সিকিউরিটি

এন্ডপয়েন্ট স্ক্যানিং

এজ ক্লাউড গ্রাহকরা এজ ( HIPAA কমপ্লায়েন্স: সিকিউরিটি - সিকিউরিটি ম্যানেজমেন্ট প্রসেস ) এ তাদের API এন্ডপয়েন্ট (কখনও কখনও "রানটাইম উপাদান" বলা হয়) স্ক্যানিং এবং পরীক্ষার জন্য দায়ী। গ্রাহক পরীক্ষায় এজে হোস্ট করা প্রকৃত API প্রক্সি পরিষেবাগুলিকে কভার করা উচিত যেখানে API ট্র্যাফিক প্রক্রিয়া করার আগে এজে পাঠানো হয় এবং তারপরে গ্রাহক ডেটাসেন্টারে বিতরণ করা হয়। শেয়ার্ড রিসোর্স পরীক্ষা করা, যেমন ম্যানেজমেন্ট পোর্টাল UI, স্বতন্ত্র গ্রাহকদের জন্য অনুমোদিত নয় (একটি তৃতীয় পক্ষের রিপোর্ট শেয়ার করা পরিষেবাগুলির পরীক্ষা কভার করে গ্রাহকদের কাছে একটি অ-প্রকাশ চুক্তির অধীনে এবং অনুরোধের ভিত্তিতে উপলব্ধ)।

গ্রাহকদের উচিত, এবং তাদের API এন্ডপয়েন্ট পরীক্ষা করতে উৎসাহিত করা। Apigee-এর সাথে আপনার চুক্তি আপনার API এন্ডপয়েন্টের পরীক্ষা নিষেধ করে না, কিন্তু অনুরোধ করে যে আপনি শেয়ার্ড ম্যানেজমেন্ট UI পরীক্ষা করবেন না। যদিও অতিরিক্ত স্পষ্টীকরণের প্রয়োজন হয়, অনুগ্রহ করে আপনার পরিকল্পিত পরীক্ষার উল্লেখ করে একটি সমর্থন টিকিট খুলুন। Apigee কে অগ্রিম বিজ্ঞপ্তি দেওয়া হয়েছে যাতে আমরা পরীক্ষার ট্রাফিক সম্পর্কে সচেতন হতে পারি।

গ্রাহকদের তাদের এন্ডপয়েন্ট পরীক্ষা করা উচিত যেকোন API-নির্দিষ্ট সমস্যা, Apigee পরিষেবার সাথে সম্পর্কিত যে কোনও সমস্যা এবং TLS এবং অন্যান্য কনফিগারযোগ্য আইটেমগুলিও পরীক্ষা করা উচিত। যে কোন আইটেম পাওয়া যায় এবং Apigee পরিষেবার সাথে সম্পর্কিত একটি সমর্থন টিকিটের মাধ্যমে Apigee এর সাথে যোগাযোগ করা উচিত।

এন্ডপয়েন্টের সাথে সম্পর্কিত বেশিরভাগ আইটেম হল গ্রাহকের স্ব-পরিষেবা আইটেম এবং এজ ডকুমেন্টেশন পর্যালোচনা করে ঠিক করা যেতে পারে। যদি এমন কিছু আইটেম থাকে যেখানে সেগুলি কীভাবে ঠিক করা যায় তা স্পষ্ট নয়, অনুগ্রহ করে একটি সমর্থন অনুরোধ খুলুন।

TLS কনফিগারেশন

গ্রাহকরা API প্রক্সিগুলির জন্য তাদের নিজস্ব TLS এন্ডপয়েন্টগুলি সংজ্ঞায়িত এবং কনফিগার করার জন্য দায়ী৷ এটি এজ-এ একটি স্ব-পরিষেবা বৈশিষ্ট্য। এনক্রিপশন, প্রোটোকল এবং অ্যালগরিদম নির্বাচনের আশেপাশে গ্রাহকের প্রয়োজনীয়তা ব্যাপকভাবে পরিবর্তনশীল এবং পৃথক ব্যবহারের ক্ষেত্রে নির্দিষ্ট। যেহেতু Apigee প্রতিটি গ্রাহকের API ডিজাইন এবং ডেটা পেলোডের বিবরণ জানে না, তাই ট্রানজিটে ডেটার জন্য উপযুক্ত এনক্রিপশন নির্ধারণ করার দায়িত্ব গ্রাহকদের রয়েছে ( HIPAA সম্মতি: নিরাপত্তা - ট্রান্সমিশন)

TLS কনফিগারেশনের বিস্তারিত নির্দেশাবলী TLS/SSL এ উপলব্ধ।

ডেটা স্টোরেজ

এজ সঠিকভাবে কাজ করার জন্য এজের মধ্যে ডেটা সঞ্চয় করার প্রয়োজন নেই। যাইহোক, এজ-এ ডেটা স্টোরেজের জন্য উপলব্ধ পরিষেবা রয়েছে। গ্রাহকরা ডেটা স্টোরেজের জন্য ক্যাশে বা বিশ্লেষণ ব্যবহার করতে বেছে নিতে পারেন। গ্রাহক অ্যাডমিনিস্ট্রেটরদের দ্বারা কনফিগারেশন, নীতি এবং স্থাপনার পর্যালোচনাগুলি একটি অ-সম্মতিমূলক পদ্ধতিতে এজ-এ ডেটা স্টোরেজ পরিষেবাগুলির দুর্ঘটনাজনিত বা দূষিত ব্যবহার এড়াতে সুপারিশ করা হয়।

পেলোডের ডেটা এনক্রিপশন

ডেটা এনক্রিপশন সরঞ্জামগুলি গ্রাহকদের এজের ভিতরে ব্যবহারের জন্য অফার করা হয় না। যাইহোক, গ্রাহকরা এজে পাঠানোর আগে ডেটা এনক্রিপ্ট করতে বিনামূল্যে। পেলোডে এনক্রিপ্ট করা ডেটা (বা মেসেজ বডি) এজকে কাজ করতে বাধা দেয় না। গ্রাহকের দ্বারা এনক্রিপ্ট করা হলে কিছু এজ নীতিগুলি ডেটার সাথে ইন্টারঅ্যাক্ট করতে অক্ষম হতে পারে। উদাহরণস্বরূপ, একটি রূপান্তর সম্ভব নয় যদি ডেটা নিজেই পরিবর্তনের জন্য এজ-এর কাছে উপলব্ধ না হয়। কিন্তু অন্যান্য নীতি এবং গ্রাহক-নির্মিত নীতি এবং বান্ডেলগুলি ডাটা পেলোড এনক্রিপ্ট করা হলেও কাজ করবে।

URI-তে PII

Apigee এর ইউনিফাইড অ্যানালিটিক্স প্ল্যাটফর্ম (UAP) Apigee Edge-এ API কলের ইউনিফর্ম রিসোর্স আইডেন্টিফায়ার (URI) এর অন্তর্ভুক্ত যেকোনো PHI বা অন্যান্য সংবেদনশীল ডেটা সহ অ্যানালিটিক্স ডেটা ক্যাপচার করে এবং এটি 13 মাসের জন্য ধরে রাখে। URI-তে PHI ফাস্ট হেলথকেয়ার ইন্টারঅপারেবিলিটি রিসোর্সেস (FHIR) মান দ্বারা সমর্থিত এবং তাই Apigee দ্বারা সমর্থিত। ইউএপি-তে অ্যানালিটিক্স ডেটা ডিফল্টরূপে বিশ্রামে এনক্রিপ্ট করা হয়।

Apigee বর্তমানে সমর্থন করে না:

  • UAP-তে ডেটা মাস্কিং
  • ধারণ চক্র পরিবর্তন
  • UAP থেকে অপ্ট আউট
  • UAP ডেটা সংগ্রহ থেকে URI বাদ দেওয়া হচ্ছে
,

আপনি Apigee Edge ডকুমেন্টেশন দেখছেন।
Apigee X ডকুমেন্টেশনে যান তথ্য

Apigee এজ এর সাথে HIPAA সম্মতি

আমাদের গ্রাহকদের ডেটা নিরাপদ, সুরক্ষিত এবং সর্বদা তাদের কাছে উপলব্ধ তা নিশ্চিত করা আমাদের শীর্ষ অগ্রাধিকারগুলির মধ্যে একটি। শিল্পে নিরাপত্তা মানগুলির সাথে আমাদের সম্মতি প্রদর্শনের জন্য, Google ISO 27001 সার্টিফিকেশন এবং SOC 2 এবং SOC 3 প্রকার II অডিটের মতো নিরাপত্তা শংসাপত্রগুলি চেয়েছে এবং পেয়েছে৷ হেলথ ইন্স্যুরেন্স পোর্টেবিলিটি অ্যান্ড অ্যাকাউন্টেবিলিটি অ্যাক্ট (HIPAA) এর প্রয়োজনীয়তার সাপেক্ষে Apigee Edge HIPAA সম্মতি সমর্থন করতে পারে।

HIPAA-এর অধীনে, একজন ব্যক্তির স্বাস্থ্য বা স্বাস্থ্যসেবা পরিষেবা সম্পর্কে কিছু তথ্য সুরক্ষিত স্বাস্থ্য তথ্য (PHI) হিসাবে শ্রেণীবদ্ধ করা হয়। Apigee Edge গ্রাহক যারা HIPAA এর অধীন এবং PHI এর সাথে Apigee Edge ব্যবহার করতে চান তাদের অবশ্যই Google এর সাথে একটি বিজনেস অ্যাসোসিয়েট এগ্রিমেন্ট (BAA) স্বাক্ষর করতে হবে।

Apigee Edge গ্রাহকরা HIPAA প্রয়োজনীয়তার অধীন কিনা এবং তারা PHI এর সাথে Google পরিষেবাগুলি ব্যবহার করেন বা ব্যবহার করতে চান কিনা তা নির্ধারণের জন্য দায়ী৷ যে সমস্ত গ্রাহকরা Google-এর সাথে BAA-তে স্বাক্ষর করেননি তারা অবশ্যই PHI-এর সাথে Google পরিষেবাগুলি ব্যবহার করবেন না৷

PHI এর সাথে Google পরিষেবাগুলি ব্যবহার করার আগে প্রশাসকদের অবশ্যই BAA পর্যালোচনা এবং গ্রহণ করতে হবে৷

আমরা এই বিষয়ে আমাদের Apigee HIPAA কনফিগারেশন গাইড প্রকাশ করেছি যাতে গ্রাহকরা PHI পরিচালনা করার সময় Google পরিষেবাগুলিতে ডেটা কীভাবে সংগঠিত করতে হয় তা বুঝতে সহায়তা করে৷ এই নির্দেশিকাটি এমন প্রতিষ্ঠানের কর্মীদের জন্য যারা HIPAA বাস্তবায়ন এবং Apigee Edge-এর সাথে সম্মতির জন্য দায়ী।

এজ পাবলিক ক্লাউডের জন্য HIPAA কনফিগারেশন গাইড

এই নির্দেশিকা শুধুমাত্র তথ্যের উদ্দেশ্যে। Apigee আইনী পরামর্শ গঠনের জন্য এই গাইডে থাকা তথ্য বা সুপারিশের উদ্দেশ্য নয়। প্রতিটি গ্রাহক তার আইনি সম্মতির বাধ্যবাধকতা সমর্থন করার জন্য উপযুক্ত পরিষেবাগুলির নিজস্ব নির্দিষ্ট ব্যবহারকে স্বাধীনভাবে মূল্যায়ন করার জন্য দায়ী৷

নিম্নলিখিত আইটেমগুলি হেল্থ ইন্স্যুরেন্স পোর্টেবিলিটি অ্যান্ড অ্যাকাউন্টিবিলিটি অ্যাক্ট (এইচআইপিএএ নামে পরিচিত, স্বাস্থ্য তথ্য প্রযুক্তি ফর ইকোনমিক অ্যান্ড ক্লিনিক্যাল হেলথ — HITECH অ্যাক্ট দ্বারা সংশোধিত) সাপেক্ষে যারা HIPAA কমপ্লায়েন্স প্যাক কিনেছেন তাদের দ্বারা পর্যালোচনা করা উচিত। এই আইটেমগুলি এজ-এর মধ্যে স্ব-পরিষেবা এবং গ্রাহক সংস্থাকে (org) এর HIPAA সম্মতি দায়বদ্ধতা পূরণে সহায়তা করতে পারে৷ ব্যাপক ধারণা হল "গুগল প্ল্যাটফর্ম সুরক্ষিত করে, গ্রাহক তাদের ডেটা সুরক্ষিত করে।"

HIPAA প্রয়োজনীয়তা বিভাগসমূহ
HIPAA সম্মতি: নিরাপত্তা - অ্যাক্সেস নিয়ন্ত্রণ ব্যবহার/অনুমোদন
HIPAA সম্মতি: নিরাপত্তা ব্যবস্থাপনা প্রক্রিয়া - তথ্য সিস্টেম কার্যকলাপ পর্যালোচনা অডিট ট্রেইল
HIPAA সম্মতি: নিরাপত্তা পাসওয়ার্ড ব্যবস্থাপনা জটিল পাসওয়ার্ড প্রয়োজনীয়তা বা SAML
HIPAA সম্মতি: নিরাপত্তা - নিরাপত্তা ব্যবস্থাপনা প্রক্রিয়া এন্ডপয়েন্ট স্ক্যানিং
HIPAA সম্মতি: নিরাপত্তা - সংক্রমণ TLS কনফিগারেশন

ট্রেস/ডিবাগ

ট্রেস/ডিবাগ হল একটি সমস্যা সমাধানের টুল যা ব্যবহারকারীকে একটি API কলের স্থিতি এবং বিষয়বস্তু দেখতে দেয় কারণ এটি Apigee মেসেজ প্রসেসরের মাধ্যমে প্রক্রিয়া করা হয়। ট্রেস এবং ডিবাগ একই পরিষেবার জন্য দুটি নাম কিন্তু বিভিন্ন প্রক্রিয়ার মাধ্যমে অ্যাক্সেস করা হয়। ট্রেস হল এজ UI এর ভিতরে এই পরিষেবাটির নাম। API কলের মাধ্যমে ব্যবহার করার সময় ডিবাগ হল একই পরিষেবার নাম। এই নথিতে ট্রেস শব্দের ব্যবহার ট্রেস এবং ডিবাগ উভয়ের জন্যই বৈধ।

একটি ট্রেস সেশন চলাকালীন, "ডেটা মাস্কিং" কার্যকর করা হয় যদি গ্রাহক দ্বারা সক্রিয় এবং কনফিগার করা হয়। এই টুল একটি ট্রেস সময় প্রদর্শিত হতে ডেটা ব্লক করতে পারে. নীচের ডেটা মাস্কিং বিভাগটি দেখুন।

এনক্রিপ্টেড কী ভ্যালু ম্যাপ (KVMs) ব্যবহার করা হয় গ্রাহকদের জন্য যাদের HIPAA সম্মতি প্রয়োজন। একটি এনক্রিপ্ট করা KVM ব্যবহারে, ট্রেস এখনও ব্যবহার করা যেতে পারে, তবে কিছু ভেরিয়েবল ট্রেস ডিসপ্লে স্ক্রিনে দৃশ্যমান হবে না। ট্রেসের সময় এই ভেরিয়েবলগুলি প্রদর্শন করার জন্য অতিরিক্ত পদক্ষেপ নেওয়া সম্ভব।

ট্রেস ব্যবহারের বিস্তারিত নির্দেশাবলী ট্রেস টুল ব্যবহার করে পাওয়া যায়।

এনক্রিপ্ট করা KVM সহ KVM-এর বিশদ বিবরণ কী মান মানচিত্রের সাথে কাজ করাতে পাওয়া যায়।

ব্যবহার/অনুমোদন

এজ ( HIPAA সম্মতি: নিরাপত্তা - অ্যাক্সেস কন্ট্রোল ) এর মধ্যে থাকা ব্যবহারকারীর অ্যাকাউন্টগুলির জন্য RBAC (রোল-ভিত্তিক অ্যাক্সেস কন্ট্রোল) সিস্টেমের মাধ্যমে ট্রেসে অ্যাক্সেস পরিচালনা করা হয়। ট্রেস বিশেষাধিকার প্রদান এবং প্রত্যাহার করার জন্য RBAC সিস্টেম ব্যবহার করার বিস্তারিত নির্দেশাবলী UI-তে ভূমিকা বরাদ্দ করা এবং কাস্টম ভূমিকা তৈরি করা-তে পাওয়া যায়। ট্রেস অনুমতি ব্যবহারকারীকে একটি ট্রেস চালু করতে, একটি ট্রেস বন্ধ করতে, একটি ট্রেস সেশন থেকে আউটপুট অ্যাক্সেস করতে দেয়।

যেহেতু ট্রেসের কাছে API কলগুলির পেলোডের অ্যাক্সেস রয়েছে (আনুষ্ঠানিকভাবে "মেসেজ বডি" বলা হয়), ট্রেস চালানোর জন্য কার অ্যাক্সেস আছে তা বিবেচনা করা গুরুত্বপূর্ণ। যেহেতু ব্যবহারকারী ব্যবস্থাপনা একটি গ্রাহকের দায়িত্ব, ট্রেস অনুমতি প্রদানও একটি গ্রাহকের দায়িত্ব। Apigee, প্ল্যাটফর্মের মালিক হিসাবে, একটি গ্রাহক সংস্থায় একজন ব্যবহারকারীকে যুক্ত করার এবং বিশেষাধিকারগুলি বরাদ্দ করার ক্ষমতা রাখে৷ এই ক্ষমতাটি শুধুমাত্র এমন একটি পরিস্থিতিতে সমর্থনের জন্য গ্রাহকের অনুরোধের উপর ব্যবহার করা হয় যেখানে এটি প্রদর্শিত হয় যে গ্রাহক পরিষেবা ব্যর্থ হচ্ছে এবং একটি ট্রেস সেশন পর্যালোচনা করা মূল কারণ সম্পর্কে সর্বোত্তম তথ্য প্রদান করে বলে বিশ্বাস করা হয়।

ডেটা মাস্কিং

ডেটা মাস্কিং শুধুমাত্র ট্রেস/ডিবাগ সেশনের সময় সংবেদনশীল ডেটা প্রদর্শনকে বাধা দেয়, ট্রেস (এজ UI) এবং ডিবাগ (এজ API) দ্বারা ব্যাকএন্ড উভয় ক্ষেত্রেই। কীভাবে মাস্কিং সেট আপ করবেন তার বিশদ বিবরণ ডেটা মাস্কিং এবং হাইডিং এ উপলব্ধ।

ডেটা মাস্কিং লগ ফাইল, ক্যাশে, বিশ্লেষণ ইত্যাদিতে ডেটা দৃশ্যমান হতে বাধা দেয় না৷ লগগুলিতে ডেটা মাস্কিংয়ে সহায়তার জন্য, logback.xml ফাইলে একটি রেজেক্স প্যাটার্ন যুক্ত করার কথা বিবেচনা করুন৷ সংবেদনশীল ডেটা সাধারণত ক্যাশে বা বিশ্লেষণে লেখা উচিত নয় একটি শক্তিশালী ব্যবসায়িক ন্যায্যতা এবং আপনার নিরাপত্তা এবং আইনি দল দ্বারা পর্যালোচনা ছাড়া।

L1 এবং L2 ক্যাশে

L1 ক্যাশের ব্যবহার স্বয়ংক্রিয়ভাবে L2 ক্যাশেও ব্যবহার করবে। L1 ক্যাশে "কেবল মেমরি" যেখানে L2 ক্যাশে একাধিক L1 ক্যাশে জুড়ে সিঙ্ক্রোনাইজ করার জন্য ডিস্কে ডেটা লেখে। L2 ক্যাশে একটি অঞ্চলে এবং বিশ্বব্যাপী একাধিক বার্তা প্রসেসরকে সিঙ্কে রাখে। এটির পিছনে একটি L2 ক্যাশে ছাড়া L1 ক্যাশে সক্ষম করা বর্তমানে সম্ভব নয়৷ L2 ক্যাশে ডিস্কে ডেটা লেখে যাতে এটি গ্রাহক সংস্থার জন্য অন্যান্য বার্তা প্রসেসরের সাথে সিঙ্ক করা যায়। ক্যাশে ব্যবহার করার বিস্তারিত নির্দেশাবলী যোগ করা ক্যাশিং এবং অধ্যবসায়- এ উপলব্ধ।

অডিট ট্রেইল

গ্রাহকদের ট্রেস ( HIPAA সম্মতি: নিরাপত্তা ব্যবস্থাপনা প্রক্রিয়া - তথ্য সিস্টেম কার্যকলাপ পর্যালোচনা ) ব্যবহার সহ গ্রাহকের প্রতিষ্ঠানের মধ্যে সম্পাদিত সমস্ত প্রশাসনিক ক্রিয়াকলাপের অডিট ট্রেল পর্যালোচনা করার ক্ষমতা রয়েছে৷ বিস্তারিত নির্দেশাবলী এখানে এবং ট্রেস টুল ব্যবহার করে পাওয়া যায়।

জটিল পাসওয়ার্ডের প্রয়োজনীয়তা বা SAML

HIPAA গ্রাহকদের জন্য, ব্যবহারকারীর পাসওয়ার্ডগুলি দৈর্ঘ্য, জটিলতা এবং জীবনকালের মতো উন্নত প্রয়োজনীয়তা পূরণের জন্য কনফিগার করা হয়েছে। ( HIPAA সম্মতি: নিরাপত্তা পাসওয়ার্ড ব্যবস্থাপনা )

এজ মাল্টি-ফ্যাক্টর প্রমাণীকরণও অফার করে, যা আপনার Apigee অ্যাকাউন্টের জন্য দুই-ফ্যাক্টর প্রমাণীকরণ সক্ষম করুন -এ বর্ণিত এবং SAML, প্রমাণীকরণ নিয়ন্ত্রণের বিকল্প হিসাবে এজ-এর জন্য SAML প্রমাণীকরণ সক্ষম করতে বর্ণিত।

এন্ডপয়েন্ট সিকিউরিটি

এন্ডপয়েন্ট স্ক্যানিং

এজ ক্লাউড গ্রাহকরা এজ ( HIPAA কমপ্লায়েন্স: সিকিউরিটি - সিকিউরিটি ম্যানেজমেন্ট প্রসেস ) এ তাদের API এন্ডপয়েন্ট (কখনও কখনও "রানটাইম উপাদান" বলা হয়) স্ক্যানিং এবং পরীক্ষার জন্য দায়ী। গ্রাহক পরীক্ষায় এজে হোস্ট করা প্রকৃত API প্রক্সি পরিষেবাগুলিকে কভার করা উচিত যেখানে API ট্র্যাফিক প্রক্রিয়া করার আগে এজে পাঠানো হয় এবং তারপরে গ্রাহক ডেটাসেন্টারে বিতরণ করা হয়। শেয়ার্ড রিসোর্স পরীক্ষা করা, যেমন ম্যানেজমেন্ট পোর্টাল UI, স্বতন্ত্র গ্রাহকদের জন্য অনুমোদিত নয় (একটি তৃতীয় পক্ষের রিপোর্ট শেয়ার করা পরিষেবাগুলির পরীক্ষা কভার করে গ্রাহকদের কাছে একটি অ-প্রকাশ চুক্তির অধীনে এবং অনুরোধের ভিত্তিতে উপলব্ধ)।

গ্রাহকদের উচিত, এবং তাদের API এন্ডপয়েন্ট পরীক্ষা করতে উৎসাহিত করা। Apigee-এর সাথে আপনার চুক্তি আপনার API এন্ডপয়েন্টের পরীক্ষা নিষেধ করে না, কিন্তু অনুরোধ করে যে আপনি শেয়ার্ড ম্যানেজমেন্ট UI পরীক্ষা করবেন না। যদিও অতিরিক্ত স্পষ্টীকরণের প্রয়োজন হয়, অনুগ্রহ করে আপনার পরিকল্পিত পরীক্ষার উল্লেখ করে একটি সমর্থন টিকিট খুলুন। Apigee কে অগ্রিম বিজ্ঞপ্তি দেওয়া হয়েছে যাতে আমরা পরীক্ষার ট্রাফিক সম্পর্কে সচেতন হতে পারি।

গ্রাহকদের তাদের এন্ডপয়েন্ট পরীক্ষা করা উচিত যেকোন API-নির্দিষ্ট সমস্যা, Apigee পরিষেবার সাথে সম্পর্কিত যে কোনও সমস্যা এবং TLS এবং অন্যান্য কনফিগারযোগ্য আইটেমগুলিও পরীক্ষা করা উচিত। যে কোন আইটেম পাওয়া যায় এবং Apigee পরিষেবার সাথে সম্পর্কিত একটি সমর্থন টিকিটের মাধ্যমে Apigee এর সাথে যোগাযোগ করা উচিত।

এন্ডপয়েন্টের সাথে সম্পর্কিত বেশিরভাগ আইটেম হল গ্রাহকের স্ব-পরিষেবা আইটেম এবং এজ ডকুমেন্টেশন পর্যালোচনা করে ঠিক করা যেতে পারে। যদি এমন কিছু আইটেম থাকে যেখানে সেগুলি কীভাবে ঠিক করা যায় তা স্পষ্ট নয়, অনুগ্রহ করে একটি সমর্থন অনুরোধ খুলুন।

TLS কনফিগারেশন

গ্রাহকরা API প্রক্সিগুলির জন্য তাদের নিজস্ব TLS এন্ডপয়েন্টগুলি সংজ্ঞায়িত এবং কনফিগার করার জন্য দায়ী৷ এটি এজ-এ একটি স্ব-পরিষেবা বৈশিষ্ট্য। এনক্রিপশন, প্রোটোকল এবং অ্যালগরিদম নির্বাচনের আশেপাশে গ্রাহকের প্রয়োজনীয়তা ব্যাপকভাবে পরিবর্তনশীল এবং পৃথক ব্যবহারের ক্ষেত্রে নির্দিষ্ট। যেহেতু Apigee প্রতিটি গ্রাহকের API ডিজাইন এবং ডেটা পেলোডের বিবরণ জানে না, তাই ট্রানজিটে ডেটার জন্য উপযুক্ত এনক্রিপশন নির্ধারণ করার দায়িত্ব গ্রাহকদের রয়েছে ( HIPAA সম্মতি: নিরাপত্তা - ট্রান্সমিশন)

TLS কনফিগারেশনের বিস্তারিত নির্দেশাবলী TLS/SSL এ উপলব্ধ।

ডেটা স্টোরেজ

এজ সঠিকভাবে কাজ করার জন্য এজের মধ্যে ডেটা সঞ্চয় করার প্রয়োজন নেই। যাইহোক, এজ-এ ডেটা স্টোরেজের জন্য উপলব্ধ পরিষেবা রয়েছে। গ্রাহকরা ডেটা স্টোরেজের জন্য ক্যাশে বা বিশ্লেষণ ব্যবহার করতে বেছে নিতে পারেন। গ্রাহক অ্যাডমিনিস্ট্রেটরদের দ্বারা কনফিগারেশন, নীতি এবং স্থাপনার পর্যালোচনাগুলি একটি অ-সম্মতিমূলক পদ্ধতিতে এজ-এ ডেটা স্টোরেজ পরিষেবাগুলির দুর্ঘটনাজনিত বা দূষিত ব্যবহার এড়াতে সুপারিশ করা হয়।

পেলোডের ডেটা এনক্রিপশন

ডেটা এনক্রিপশন সরঞ্জামগুলি গ্রাহকদের এজের ভিতরে ব্যবহারের জন্য অফার করা হয় না। যাইহোক, গ্রাহকরা এজে পাঠানোর আগে ডেটা এনক্রিপ্ট করতে বিনামূল্যে। পেলোডে এনক্রিপ্ট করা ডেটা (বা মেসেজ বডি) এজকে কাজ করতে বাধা দেয় না। গ্রাহকের দ্বারা এনক্রিপ্ট করা হলে কিছু এজ নীতিগুলি ডেটার সাথে ইন্টারঅ্যাক্ট করতে অক্ষম হতে পারে। উদাহরণস্বরূপ, একটি রূপান্তর সম্ভব নয় যদি ডেটা নিজেই পরিবর্তনের জন্য এজ-এর কাছে উপলব্ধ না হয়। কিন্তু অন্যান্য নীতি এবং গ্রাহক-নির্মিত নীতি এবং বান্ডেলগুলি ডাটা পেলোড এনক্রিপ্ট করা হলেও কাজ করবে।

URI-তে PII

Apigee এর ইউনিফাইড অ্যানালিটিক্স প্ল্যাটফর্ম (UAP) Apigee Edge-এ API কলের ইউনিফর্ম রিসোর্স আইডেন্টিফায়ার (URI) এর অন্তর্ভুক্ত যেকোনো PHI বা অন্যান্য সংবেদনশীল ডেটা সহ অ্যানালিটিক্স ডেটা ক্যাপচার করে এবং এটি 13 মাসের জন্য ধরে রাখে। URI-তে PHI ফাস্ট হেলথকেয়ার ইন্টারঅপারেবিলিটি রিসোর্সেস (FHIR) মান দ্বারা সমর্থিত এবং তাই Apigee দ্বারা সমর্থিত। ইউএপি-তে অ্যানালিটিক্স ডেটা ডিফল্টরূপে বিশ্রামে এনক্রিপ্ট করা হয়।

Apigee বর্তমানে সমর্থন করে না:

  • UAP-তে ডেটা মাস্কিং
  • ধারণ চক্র পরিবর্তন
  • UAP থেকে অপ্ট আউট
  • UAP ডেটা সংগ্রহ থেকে URI বাদ দেওয়া হচ্ছে