Apigee Edge दस्तावेज़ देखा जा रहा है.
Apigee X दस्तावेज़ पर जाएं. जानकारी
Apigee Edge के साथ हिपा का पालन
यह पक्का करना हमारी पहली प्राथमिकताओं में से एक है कि हमारे ग्राहकों का डेटा पूरी तरह सुरक्षित और हमेशा उपलब्ध रहे. इंडस्ट्री में सुरक्षा के स्टैंडर्ड का पालन करने के लिए, Google ने ISO 27001 सर्टिफ़िकेशन और SOC 2 और SOC 3 टाइप II ऑडिट जैसे सुरक्षा सर्टिफ़िकेशन हासिल किए हैं. जो ग्राहक, हेल्थ इंश्योरेंस पोर्टेबिलिटी ऐंड अकाउंटेबिलिटी ऐक्ट (हिपा) की ज़रूरी शर्तों के दायरे में आते हैं उनके लिए Apigee Edge भी हिपा के नियमों का पालन कर सकता है.
हिपा के तहत, किसी व्यक्ति के स्वास्थ्य या स्वास्थ्य सेवाओं से जुड़ी कुछ जानकारी को स्वास्थ्य की सुरक्षित जानकारी (पीएचआई) के तौर पर रखा गया है. हिपा के तहत आने वाले और पीएचआई के साथ Apigee Edge का इस्तेमाल करने वाले Apigee Edge के ग्राहकों को, Google के साथ कारोबार सहभागियों के समझौते (बीएए) पर हस्ताक्षर करना होगा.
Apigee Edge के ग्राहकों को यह पता करना चाहिए कि वे हिपा की ज़रूरी शर्तों के दायरे में आते हैं या नहीं. साथ ही, यह भी पता करना है कि वे पीएचआई के साथ Google की सेवाएं इस्तेमाल करते हैं या नहीं. जिन ग्राहकों ने Google के साथ बीएए (BAA) पर हस्ताक्षर नहीं किए हैं उन्हें पीएचआई से जुड़ी Google की सेवाएं इस्तेमाल नहीं करनी चाहिए.
पीएचआई के साथ Google की सेवाएं इस्तेमाल करने से पहले, एडमिन को बीएए की समीक्षा करके उसे स्वीकार करना होगा.
हमने इस विषय में, Apigee हिपा कॉन्फ़िगरेशन की गाइड पब्लिश की है. इससे, ग्राहकों को यह समझने में मदद मिलती है कि पीएचआई को हैंडल करते समय, Google की सेवाओं पर डेटा को कैसे व्यवस्थित किया जाए. यह गाइड उन संगठनों के कर्मचारियों के लिए है जो हिपा को लागू करने और Apigee Edge के नियमों का पालन करने के लिए ज़िम्मेदार हैं.
Edge Public Cloud के लिए हिपा कॉन्फ़िगरेशन गाइड
यह गाइड सिर्फ़ जानकारी के लिए है. Apigee को कानूनी सलाह देने के लिए, इस गाइड में दी गई जानकारी या सुझाव नहीं देने चाहिए. हर ग्राहक कानूनी अनुपालन से जुड़ी जवाबदेही को पूरा करने के लिए खुद के हिसाब से सेवाओं के इस्तेमाल का आकलन करने के लिए ज़िम्मेदार होता है.
नीचे दिए गए आइटम की समीक्षा ऐसे ग्राहकों को करनी चाहिए जो हेल्थ इंश्योरेंस पोर्टेबिलिटी ऐंड अकाउंटेबिलिटी ऐक्ट (हिपा) के तहत आते हैं. इसे हिपा के नाम से जाना जाता है. हिपा के तहत आने वाले इन आइटम की समीक्षा, हेल्थ इन्फ़ॉर्मेशन टेक्नोलॉजी फ़ॉर इकॉनॉमिक ऐंड क्लिनिकल हेल्थ — HITECH ऐक्ट में भी की जाती है. ये आइटम, Edge में सेल्फ़-सर्विस हैं. इनसे ग्राहक के संगठन (संगठन) की हिपा से जुड़ी शर्तों का पालन करने में मदद मिल सकती है. सबसे मुख्य सिद्धांत है "Google, प्लैटफ़ॉर्म और ग्राहक अपने डेटा को सुरक्षित रखता है."
| हिपा की ज़रूरी शर्तें | सेक्शन |
|---|---|
| हेल्थ इंश्योरेंस पोर्टेबिलिटी ऐंड अकाउंटेबिलिटी ऐक्ट (हिपा) का पालन: सुरक्षा - ऐक्सेस कंट्रोल | इस्तेमाल/अनुमति देना |
| हेल्थ इंश्योरेंस पोर्टेबिलिटी ऐंड अकाउंटेबिलिटी ऐक्ट (हिपा) का पालन: सुरक्षा मैनेजमेंट प्रोसेस -जानकारी सिस्टम गतिविधि की समीक्षा | ऑडिट ट्रेल |
| हेल्थ इंश्योरेंस पोर्टेबिलिटी ऐंड अकाउंटेबिलिटी ऐक्ट (हिपा) के नियमों का पालन: सिक्योरिटी पासवर्ड मैनेजमेंट | जटिल पासवर्ड की ज़रूरी शर्तें या एसएएमएल |
| हेल्थ इंश्योरेंस पोर्टेबिलिटी ऐंड अकाउंटेबिलिटी ऐक्ट (हिपा) का पालन: सुरक्षा - सुरक्षा मैनेजमेंट प्रोसेस | एंडपॉइंट स्कैन करना |
| हेल्थ इंश्योरेंस पोर्टेबिलिटी ऐंड अकाउंटेबिलिटी ऐक्ट (हिपा) का पालन: सुरक्षा - ट्रांसमिशन | TLS कॉन्फ़िगरेशन |
ट्रेस / डीबग
ट्रेस/डीबग एक समस्या हल करने वाला टूल है. इसकी मदद से उपयोगकर्ता, Apigee मैसेज प्रोसेसर के ज़रिए प्रोसेस किए गए एपीआई कॉल की स्थिति और कॉन्टेंट देख सकते हैं. ट्रेस और डीबग, एक ही सेवा के दो नाम हैं. हालांकि, इन्हें अलग-अलग तरीकों से ऐक्सेस किया जा सकता है. Edge यूज़र इंटरफ़ेस (यूआई) में इस सेवा का नाम ट्रेस है. एपीआई कॉल के ज़रिए इस्तेमाल किए जाने पर, उसी सेवा का नाम डीबग भी होता है. इस दस्तावेज़ में ट्रेस शब्द का इस्तेमाल, ट्रेस और डीबग, दोनों के लिए मान्य है.
ट्रेस सेशन के दौरान, अगर ग्राहक ने "डेटा मास्किंग" को चालू और कॉन्फ़िगर किया है, तो यह लागू हो जाता है. यह टूल ट्रेस के दौरान डेटा को दिखाए जाने से रोक सकता है. नीचे दिया गया डेटा मास्किंग सेक्शन देखें.
एन्क्रिप्ट (सुरक्षित) की गई कुंजी की वैल्यू दिखाने वाले Maps (केवीएम) का इस्तेमाल, उन ग्राहकों के लिए किया जाता है जिन्हें हिपा की शर्तों का पालन करना ज़रूरी है. एन्क्रिप्ट (सुरक्षित) की गई केवीएम (केवीएम) का इस्तेमाल होने पर भी, ट्रेस का इस्तेमाल किया जा सकता है, लेकिन ट्रेस डिसप्ले स्क्रीन में कुछ वैरिएबल नहीं दिखेंगे. ट्रेस के दौरान इन वैरिएबल को दिखाने के लिए, कुछ और कदम उठाए जा सकते हैं.
ट्रेस के इस्तेमाल के बारे में ज़्यादा जानकारी के लिए ट्रेस टूल का इस्तेमाल करना देखें.
केवीएम की जानकारी के साथ-साथ, एन्क्रिप्ट (सुरक्षित) किए गए केवीएम की जानकारी की वैल्यू मैप के साथ काम करना पेज पर उपलब्ध है.
इस्तेमाल/अनुमति
ट्रेस का ऐक्सेस आरबीएसी (रोल पर आधारित ऐक्सेस कंट्रोल) सिस्टम की मदद से मैनेज किया जाता है. यह सिस्टम, Edge (हिपा का अनुपालन: सुरक्षा - ऐक्सेस कंट्रोल) में मौजूद उपयोगकर्ता खातों के लिए बनाया जाता है. ट्रेस करने के खास अधिकार देने और रद्द करने के लिए, आरबीएसी सिस्टम के इस्तेमाल से जुड़े निर्देश भूमिकाएं असाइन करना और यूज़र इंटरफ़ेस (यूआई) में कस्टम रोल बनाना में दिए गए हैं. ट्रेस करने की अनुमतियों की मदद से उपयोगकर्ता, ट्रेस लॉन्च कर सकता है, ट्रेस को रोक सकता है, और ट्रेस सेशन के आउटपुट को ऐक्सेस कर सकता है.
ट्रेस के पास एपीआई कॉल के पेलोड (जिसे पहले "मैसेज बॉडी" कहा जाता था) का ऐक्सेस है, इसलिए यह तय करना ज़रूरी है कि ट्रेस करने का ऐक्सेस किसके पास है. यूज़र मैनेजमेंट, ग्राहक की ज़िम्मेदारी है. इसलिए, ट्रेस की अनुमतियां देना भी ग्राहक की ज़िम्मेदारी है. प्लैटफ़ॉर्म के मालिक के तौर पर, Apigee के पास, किसी उपयोगकर्ता को ग्राहक के संगठन में जोड़ने और उसे खास अधिकार असाइन करने की सुविधा होती है. इस सुविधा का इस्तेमाल सिर्फ़ तब किया जाता है, जब ग्राहक से मदद का अनुरोध किया जाता है. ऐसा तब किया जाता है, जब ऐसा लगता है कि ग्राहक सेवा काम नहीं कर रही है. साथ ही, ऐसा माना जाता है कि ट्रेस सेशन की समीक्षा करने पर ही मूल समस्या के बारे में सबसे अच्छी जानकारी मिलती है.
डेटा मास्किंग
डेटा मास्किंग की मदद से, सिर्फ़ ट्रेस/डीबग सेशन के दौरान संवेदनशील डेटा को दिखाया जा सकता है. इसके लिए, ट्रेस (Edge यूआई) और डीबग की मदद से बैकएंड (Edge API), दोनों में संवेदनशील जानकारी नहीं दिखाई जा सकती. मास्किंग सेट अप करने के तरीकों की जानकारी डेटा को मास्क करना और छिपाना पर उपलब्ध है.
डेटा को मास्क करने की सुविधा, डेटा को लॉग फ़ाइलों, कैश मेमोरी, आंकड़ों वगैरह में दिखने से नहीं रोकती. लॉग में डेटा को मास्क करने से जुड़ी मदद पाने के लिए, Logback.xml फ़ाइल में रेगुलर एक्सप्रेशन पैटर्न जोड़ें. संवेदनशील जानकारी को आम तौर पर कैश मेमोरी या आंकड़ों के लिए तब नहीं लिखा जाना चाहिए, जब आपके कारोबार की वजह कोई ठोस वजह हो और आपकी सुरक्षा और कानूनी टीम उसकी समीक्षा कर रही हो.
L1 और L2 कैश मेमोरी
L1 कैश मेमोरी का इस्तेमाल करने पर, अपने-आप L2 कैश मेमोरी का भी इस्तेमाल हो जाएगा. L1 कैश मेमोरी "सिर्फ़ मेमोरी" में सेव होती है, जबकि L2 कैश मेमोरी, डिस्क पर डेटा को लिखती है, ताकि एक से ज़्यादा L1 कैश मेमोरी में मौजूद डेटा को सिंक कर सके. L2 कैश मेमोरी, की मदद से एक इलाके में और दुनिया भर में, एक से ज़्यादा मैसेज प्रोसेसर को सिंक में रखा जाता है. फ़िलहाल, L2 कैश मेमोरी के बिना L1 कैश मेमोरी को चालू नहीं किया जा सकता. L2 कैश मेमोरी, डिस्क पर डेटा सेव करती है, ताकि इसे ग्राहक से जुड़े संगठन के अन्य मैसेज प्रोसेसर के साथ सिंक किया जा सके. कैश मेमोरी को इस्तेमाल करने के बारे में ज़्यादा जानकारी के लिए, कैश मेमोरी में सेव करना और उसे लगातार जोड़ना लेख पढ़ें.
ऑडिट ट्रेल
ग्राहक, ग्राहक के संगठन में की गई सभी एडमिन गतिविधियों के ऑडिट ट्रेल की समीक्षा कर सकते हैं. इसमें ट्रेस का इस्तेमाल भी शामिल है (हिपा अनुपालन: सिक्योरिटी मैनेजमेंट प्रोसेस - इन्फ़ॉर्मेशन सिस्टम गतिविधि की समीक्षा). ज़्यादा जानकारी यहां और ट्रेस टूल का इस्तेमाल करना पर उपलब्ध है.
जटिल पासवर्ड आवश्यकताएं या एसएएमएल
हिपा के ग्राहकों के लिए, उपयोगकर्ता पासवर्ड को इस तरह से कॉन्फ़िगर किया जाता है कि वह बेहतर शर्तों को पूरा करता हो. जैसे, लंबाई, जटिलता, और समयसीमा तय करना. (हेल्थ इंश्योरेंस पोर्टेबिलिटी ऐंड अकाउंटेबिलिटी ऐक्ट (हिपा) का पालन: पासवर्ड का मैनेजमेंट
Edge, मल्टी-फ़ैक्टर पुष्टि करने की सुविधा भी देता है, जो अपने Apigee खाते के लिए दो तरीकों से पुष्टि करने की सुविधा चालू करें में बताया गया है. साथ ही, एसएएमएल की पुष्टि करने के कंट्रोल के विकल्प के तौर पर, यह भी Edge के लिए एसएएमएल पुष्टि करने की सुविधा को चालू करना में बताया गया है.
एंडपॉइंट सिक्योरिटी
एंडपॉइंट स्कैनिंग
Edge Cloud के ग्राहकों में, अपने एपीआई एंडपॉइंट (कभी-कभी "रनटाइम कॉम्पोनेंट" भी कहा जाता है) को स्कैन और टेस्ट करने की ज़िम्मेदारी होती है ( हेल्थ इंश्योरेंस पोर्टेबिलिटी ऐंड अकाउंटेबिलिटी ऐक्ट (हिपा) का पालन: सुरक्षा - सुरक्षा मैनेजमेंट प्रोसेस. कस्टमर टेस्ट में Edge पर होस्ट की गई असल एपीआई प्रॉक्सी सेवाएं शामिल होनी चाहिए, जहां प्रोसेस होने से पहले API ट्रैफ़िक को Edge में भेजा जाता है और फिर कस्टमर डेटासेंटर को डिलीवर किया जाता है. मैनेजमेंट पोर्टल के यूज़र इंटरफ़ेस (यूआई) जैसे शेयर किए गए संसाधनों की जांच की अनुमति, अलग-अलग ग्राहकों को नहीं दी जाती है. शेयर की गई सेवाओं की जांच से जुड़ी तीसरे पक्ष की रिपोर्ट, ग्राहकों को जानकारी दूसरों को न बताने के समझौते (एनडीए) के तहत मिल सकती है. हालांकि, उनके अनुरोध करने पर भी यह रिपोर्ट उपलब्ध हो सकती है.
ग्राहकों को अपने एपीआई एंडपॉइंट की जांच करनी चाहिए. साथ ही, उन्हें ऐसा करने का सुझाव भी दिया जाता है. Apigee के साथ आपका कानूनी समझौता, आपके एपीआई एंडपॉइंट की जांच पर पाबंदी नहीं लगाता है. हालांकि, इस समझौते के तहत, शेयर किए गए मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) की जांच करने का अनुरोध नहीं किया जाता. अगर आपको इसके बारे में ज़्यादा जानकारी चाहिए, तो कृपया प्लान के मुताबिक जांच के बारे में जानकारी देने वाला सहायता टिकट खोलें. हम Apigee को पहले से सूचना देने की सलाह देते हैं, ताकि हमें टेस्टिंग ट्रैफ़िक के बारे में पता चल सके.
अपने एंडपॉइंट की जांच करने वाले ग्राहकों को, एपीआई से जुड़ी समस्याओं और Apigee सेवाओं से जुड़ी समस्याओं का पता लगाना चाहिए. साथ ही, TLS और कॉन्फ़िगर किए जा सकने वाले अन्य आइटम की जांच भी करनी चाहिए. Apigee की सेवाओं से जुड़े या मिलने वाले किसी भी आइटम की जानकारी, Apigee को सहायता टिकट के ज़रिए दी जानी चाहिए.
एंडपॉइंट से जुड़े ज़्यादातर आइटम, खरीदार के लिए सेल्फ़-सर्विस वाले आइटम हैं. इन्हें Edge दस्तावेज़ की समीक्षा करके ठीक किया जा सकता है. अगर कुछ ऐसे आइटम हैं जिन्हें ठीक करने का तरीका समझ नहीं आ रहा, तो कृपया सहायता अनुरोध खोलें.
TLS कॉन्फ़िगरेशन
एपीआई प्रॉक्सी के लिए, अपने TLS एंडपॉइंट तय करने और कॉन्फ़िगर करने की ज़िम्मेदारी ग्राहकों की है. यह Edge में एक सेल्फ़-सर्विस सुविधा है. एन्क्रिप्ट करने, प्रोटोकॉल, और एल्गोरिदम चुनने के लिए, ग्राहक की ज़रूरतें अलग-अलग होती हैं. साथ ही, इस्तेमाल के अलग-अलग मामलों के हिसाब से अलग-अलग होती हैं. Apigee को हर ग्राहक के एपीआई डिज़ाइन और डेटा पेलोड की जानकारी नहीं होती है. इसलिए, ग्राहकों की यह ज़िम्मेदारी है कि वे ट्रांज़िट में होने वाले डेटा को सही तरीके से एन्क्रिप्ट (सुरक्षित) करें ( हिपा का पालन: सुरक्षा - ट्रांसमिशन).
TLS कॉन्फ़िगरेशन के बारे में ज़्यादा जानकारी के लिए TLS/एसएसएल पर बताया गया है.
डेटा स्टोरेज
ठीक से काम करने के लिए Edge के अंदर डेटा को स्टोर करने की ज़रूरत नहीं है. हालांकि, Edge में डेटा सेव करने के लिए कुछ सेवाएं उपलब्ध हैं. ग्राहक, डेटा सेव करने के लिए कैश मेमोरी या आंकड़ों का इस्तेमाल कर सकते हैं. हमारा सुझाव है कि ग्राहक एडमिन, कॉन्फ़िगरेशन, नीतियों, और डिप्लॉयमेंट की समीक्षा करें. इससे, Edge में डेटा स्टोर करने की सेवाओं को नियमों का पालन न करने के दौरान, गलती से या नुकसान पहुंचाने के मकसद से इस्तेमाल नहीं किया जा सकेगा.
पेलोड का डेटा एन्क्रिप्ट (सुरक्षित) करने का तरीका
ग्राहकों को Edge के अंदर इस्तेमाल करने के लिए, डेटा एन्क्रिप्ट (सुरक्षित) करने के टूल नहीं दिए जाते. हालांकि, ग्राहक Edge को भेजने से पहले डेटा को एन्क्रिप्ट (सुरक्षित) कर सकते हैं. पेलोड में एन्क्रिप्ट (सुरक्षित) किया गया डेटा (या मैसेज का मुख्य हिस्सा), Edge को काम करने से नहीं रोकता है. अगर ग्राहक ने डेटा को एन्क्रिप्ट (सुरक्षित) किया है, तो हो सकता है कि Edge की कुछ नीतियां लागू न हो पाएं. उदाहरण के लिए, अगर EDGE में बदलाव करने के लिए डेटा उपलब्ध नहीं है, तो बदलाव नहीं किया जा सकता. हालांकि, डेटा पेलोड को एन्क्रिप्ट (सुरक्षित) करने पर भी अन्य नीतियां और खरीदारों की बनाई हुई नीतियां और बंडल काम करेंगे.
यूआरआई में व्यक्तिगत पहचान से जुड़ी जानकारी
Apigee का यूनिफ़ाइड Analytics प्लैटफ़ॉर्म (UAP), Analytics का डेटा इकट्ठा करता है. इसमें Apigee Edge में एपीआई कॉल के यूनिफ़ॉर्म रिसॉर्स आइडेंटिफ़ायर (यूआरआई) में शामिल कोई भी पीएचआई या अन्य संवेदनशील डेटा शामिल होता है और उसे 13 महीनों तक सेव करके रखता है. यूआरआई में पीएचआई, फ़ास्ट हेल्थकेयर इंटरऑपरेबिलिटी रिसोर्स (एफ़एचआईआर) स्टैंडर्ड के साथ काम करता है. इसलिए, यह Apigee के साथ काम करता है. UAP में, Analytics डेटा डिफ़ॉल्ट रूप से एन्क्रिप्ट (सुरक्षित) रहता है.
फ़िलहाल, Apigee पर ये सुविधाएं काम नहीं करतीं:
- UAP के लिए डेटा मास्किंग
- डेटा के रखरखाव के साइकल में बदलाव करना
- UAP से ऑप्ट आउट करना
- UAP डेटा कलेक्शन से यूआरआई को छोड़ना