Conformité et configuration HIPAA avec Apigee Edge

Vous consultez la documentation d'Apigee Edge.
Consultez la documentation Apigee X.
en savoir plus

Conformité avec la loi HIPAA avec Apigee Edge

L'une de nos plus hautes priorités est de garantir que les données de nos clients sont sécurisées, protégées et toujours disponibles. Afin de prouver la conformité de Google avec les normes de sécurité en vigueur dans notre secteur, nous avons demandé et obtenu des certifications, telles que la certification ISO 27001 et les audits SOC 2 et SOC 3 de type II. Apigee Edge permet également aux clients soumis aux exigences de la loi américaine HIPAA (Health Insurance Portability and Accountability Act) de s'y conformer.

En vertu de la loi HIPAA, certaines informations sur la santé ou les services de santé d'une personne sont classées en tant que données de santé protégées. Les clients Apigee Edge qui y sont soumis et souhaitent traiter ou stocker des données de santé protégées dans Apigee Edge doivent conclure un accord de partenariat (BAA, Business Associate Agreement) avec Google.

Il revient aux clients Apigee Edge de déterminer s'ils sont soumis aux exigences de la loi HIPAA, et s'ils utilisent ou comptent utiliser les services Google en lien avec des données de santé protégées. Les clients qui n'ont pas signé d'accord de partenariat avec Google ne doivent pas utiliser les services Google en lien avec des données de santé protégées.

Les administrateurs doivent lire et accepter un accord de partenariat avant d'utiliser les services Google en lien avec des données de santé protégées.

Dans cette rubrique, nous avons publié un guide de configuration de la loi HIPAA pour Apigee afin d'aider les clients à comprendre comment organiser les données sur les services Google lorsqu'ils traitent des données de santé protégées. Ce guide est destiné aux employés d'organisations chargés de la mise en œuvre de la loi HIPAA et de la conformité avec Apigee Edge.

Guide de configuration HIPAA pour le cloud public en périphérie

Le présent guide est fourni à titre informatif uniquement. Les informations ou recommandations de ce guide n'ont pas vocation à constituer des conseils juridiques. Il appartient à chaque client d'évaluer indépendamment sa propre utilisation des services de manière appropriée afin de s'acquitter de ses obligations légales en termes de conformité.

Les éléments suivants doivent être examinés par les clients soumis à la loi HIPAA (Health Insurance Portability and Accountability Act, telle qu'amendée, y compris par la loi HITECH, Health Information Technology for Economic and Clinical Health) qui ont acheté le pack de conformité HIPAA. Ces éléments sont en libre-service dans Edge et peuvent aider l'organisation du client à remplir ses obligations de conformité HIPAA. Le concept fondamental est que "Google sécurise la plate-forme, le client sécurise ses données".

Exigences de la loi HIPAA Sections
Conformité avec la loi HIPAA: Sécurité – Contrôle des accès Utilisation/Autorisations
Conformité avec la loi HIPAA: processus de gestion de la sécurité - Examen de l'activité des systèmes d'information Piste d'audit
Conformité avec la loi HIPAA: gestion des mots de passe de sécurité Exigences relatives aux mots de passe complexes ou SAML
Conformité avec la loi HIPAA: Sécurité – Processus de gestion de la sécurité Analyse des points de terminaison
Conformité avec la loi HIPAA: Sécurité – Transmission Configuration TLS

Trace / Déboguer

Trace/Debug est un outil de dépannage qui permet à l'utilisateur d'afficher l'état et le contenu d'un appel d'API pendant son traitement via le processeur de messages Apigee. Trace et Debug sont deux noms désignant le même service, mais accessibles via des mécanismes différents. Trace est le nom de ce service dans l'interface utilisateur Edge. "debug" est le nom du même service lorsqu'il est utilisé via des appels d'API. L'utilisation du terme Trace dans ce document est valide pour Trace et Debug.

Au cours d'une session de traçage, le masquage des données est appliqué s'il est activé et configuré par le client. Cet outil peut bloquer l'affichage des données pendant une trace. Consultez la section Masquage des données ci-dessous.

Les cartes clés-valeurs (KVM, Encrypted Key Value Maps) sont utilisées pour les clients qui doivent se conformer à la loi HIPAA. Lorsqu'une KVM chiffrée est utilisée, Trace peut toujours être utilisé, mais certaines variables ne seront pas visibles sur l'écran d'affichage des traces. Il est possible de prendre des mesures supplémentaires pour afficher également ces variables lors d'une trace.

Des instructions détaillées sur l'utilisation de Trace sont disponibles sur la page Utiliser l'outil Trace.

Pour en savoir plus sur les KVM, y compris les KVM chiffrées, consultez la page Utiliser des mappages de clés-valeurs.

Utilisation/Autorisations

L'accès à Trace est géré via le système RBAC (Role-Based Access Control) pour les comptes utilisateur dans Edge (conformité HIPAA: Sécurité - Contrôle des accès). Des instructions détaillées sur l'utilisation du système RBAC pour accorder et révoquer des droits Trace sont disponibles sur les pages Attribuer des rôles et Créer des rôles personnalisés dans l'interface utilisateur. Les autorisations de trace permettent à l'utilisateur de lancer une trace, d'arrêter une trace et d'accéder à la sortie d'une session de trace.

Étant donné que Trace a accès à la charge utile des appels d'API (formellement appelée "corps du message"), il est important de déterminer qui a accès à l'exécution d'une trace. La gestion des utilisateurs étant une responsabilité du client, l'octroi d'autorisations Trace relève également de la responsabilité du client. En tant que propriétaire de la plate-forme, Apigee peut ajouter un utilisateur à l'organisation d'un client et lui attribuer des droits. Cette fonctionnalité n'est utilisée qu'à la demande d'un client lorsqu'il semble que le service client rencontre une défaillance. L'examen d'une session Trace est considéré comme étant le plus pertinent pour déterminer la cause première.

Masquage des données

Le masquage des données empêche l'affichage des données sensibles lors d'une session de trace/débogage uniquement, à la fois dans Trace (interface utilisateur Edge) et dans le backend par débogage (API Edge). Pour en savoir plus sur la configuration du masquage, consultez la section Masquage et masquage des données.

Le masquage des données n'empêche PAS leur visibilité dans les fichiers journaux, le cache, les analyses, etc. Pour obtenir de l'aide concernant le masquage des données dans les journaux, envisagez d'ajouter un modèle d'expression régulière au fichier logback.xml. En règle générale, les données sensibles ne doivent pas être écrites en cache ou analytiques sans une justification métier solide et un examen de la part de vos équipes de sécurité et juridiques.

Caches L1 et L2

L'utilisation du cache L1 utilise également le cache L2 automatiquement. Le cache L1 est "mémoire uniquement", tandis que le cache L2 écrit les données sur le disque à synchroniser entre plusieurs caches L1. Le cache L2 assure la synchronisation de plusieurs processeurs de messages au sein d'une région et à l'échelle mondiale. Il n'est actuellement pas possible d'activer le cache L1 sans cache L2. Le cache L2 écrit les données sur le disque afin qu'elles puissent être synchronisées avec d'autres processeurs de messages de l'organisation du client. Des instructions détaillées sur l'utilisation du cache sont disponibles sur la page Ajouter la mise en cache et la persistance.

Piste d'audit

Les clients ont la possibilité de consulter la piste d'audit de toutes les activités d'administration effectuées dans leur organisation, y compris l'utilisation de Trace (conformité avec la loi HIPAA: processus de gestion de la sécurité - Examen de l'activité des systèmes d'information). Des instructions détaillées sont disponibles sur cette page et sur la page Utiliser l'outil Trace.

Exigences relatives aux mots de passe complexes ou SAML

Pour les clients HIPAA, les mots de passe utilisateur sont configurés de façon à répondre à des exigences avancées telles que la longueur, la complexité et la durée de vie. (Conformité avec la loi HIPAA: gestion des mots de passe de sécurité)

Edge propose également l'authentification multifacteur, décrite dans Activer l'authentification à deux facteurs pour votre compte Apigee, et SAML, décrit dans Activer l'authentification SAML pour Edge, en tant qu'alternatives pour les contrôles d'authentification.

Sécurité des points de terminaison

Analyse des points de terminaison

Les clients Edge Cloud sont responsables de l'analyse et du test des points de terminaison de leurs API (parfois appelés "composants d'exécution") dans Edge ( conformité avec la loi HIPAA: sécurité – processus de gestion de la sécurité). Les tests client doivent couvrir les services proxy d'API réels hébergés sur Edge où le trafic des API est envoyé vers Edge avant d'être traité, puis livré au centre de données client. Les tests des ressources partagées, telles que l'interface utilisateur du portail de gestion, ne sont pas approuvés pour les clients individuels (un rapport tiers couvrant les tests des services partagés est disponible sur demande et dans le cadre d'un accord de non-divulgation).

Le test des points de terminaison d'API par les clients est vivement conseillé. Votre contrat avec Apigee n'interdit pas le test des points de terminaison de vos API, mais vous demande de ne pas tester l'interface utilisateur de gestion partagée. Toutefois, si des précisions supplémentaires sont nécessaires, veuillez envoyer une demande d'assistance faisant référence aux tests que vous avez prévus. Nous vous remercions d'en informer Apigee à l'avance afin que nous puissions disposer d'informations sur le trafic de test.

Les clients qui testent leurs points de terminaison doivent rechercher les problèmes spécifiques aux API et les services Apigee, ainsi que vérifier le protocole TLS et d'autres éléments configurables. Tous les éléments trouvés et liés aux services Apigee doivent être communiqués à Apigee via une demande d'assistance.

La plupart des éléments liés au point de terminaison sont des éléments en libre-service du client et peuvent être corrigés en consultant la documentation Edge. Si vous ne savez pas comment résoudre certains problèmes, veuillez envoyer une demande d'assistance.

Configuration TLS

Les clients sont chargés de définir et de configurer leurs propres points de terminaison TLS pour les proxys d'API. Cette fonctionnalité est en libre-service dans Edge. Les exigences des clients concernant le chiffrement, le protocole et le choix de l'algorithme sont très variables et propres à chaque cas d'utilisation. Étant donné qu'Apigee ne connaît pas les détails de la conception d'API et des charges utiles de données de tous les clients, il incombe aux clients de déterminer le chiffrement approprié pour les données en transit ( conformité avec la loi HIPAA: sécurité et transmission).

Des instructions détaillées sur la configuration de TLS sont disponibles sur la page TLS/SSL.

Stockage de données

Le stockage de données dans Edge n'est pas nécessaire au bon fonctionnement d'Edge. Cependant, il existe des services disponibles pour le stockage des données dans Edge. Les clients peuvent choisir d'utiliser le cache ou les analyses pour stocker les données. Il est recommandé d'examiner, par les administrateurs des clients, la configuration, les règles et les déploiements afin d'éviter toute utilisation accidentelle ou malveillante des services de stockage de données dans Edge et non conforme.

Chiffrement des données de la charge utile

Les clients ne peuvent pas utiliser d'outils de chiffrement des données dans Edge. Cependant, les clients sont libres de chiffrer les données avant de les envoyer à Edge. Les données chiffrées dans la charge utile (ou le corps du message) n'empêchent pas le fonctionnement de Edge. Certaines stratégies périphériques peuvent ne pas être en mesure d'interagir avec les données si elles sont reçues de manière chiffrée par le client. Par exemple, une transformation n'est pas possible si les données elles-mêmes ne peuvent pas être modifiées par Edge. Toutefois, d'autres règles ainsi que des règles et groupes créés par les clients fonctionneront même si la charge utile des données est chiffrée.

Informations permettant d'identifier personnellement l'utilisateur dans les URI

La plate-forme d'analyse unifiée (UAP) d'Apigee capture les données d'analyse, y compris les données de santé protégées ou autres données sensibles incluses dans l'identifiant de ressource uniforme (URI) d'un appel d'API dans Apigee Edge et les conserve pendant 13 mois. Les données de santé protégées dans l'URI sont compatibles avec les normes FHIR (Fast Healthcare Interoperability Resources) et sont donc prises en charge par Apigee. Par défaut, les données Analytics de l'UAP sont chiffrées au repos.

Apigee n'est actuellement pas compatible avec:

  • Masquage des données pour l'UAP
  • Modifier le cycle de conservation
  • Désactiver l'UAP
  • Supprimer l'URI de la collecte des données UAP