您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档。 信息
Apigee Edge 的 HIPAA 合规性
我们的首要任务之一是确保客户的数据安全无虞,且随时可供客户访问。Google 已申请并获得多项安全认证(例如 ISO 27001 认证以及 SOC 2 和 SOC 3 II 类审核),证明我们遵从业内的安全标准。对于需要遵从《健康保险流通与责任法案》(HIPAA) 中相关要求的客户,Apigee Edge 还支持遵从 HIPAA 法案。
根据 HIPAA 的规定,有关个人健康状况或医疗保健服务的特定信息属于受保护健康信息 (PHI)。如果 Apigee Edge 客户需要遵从 HIPAA,而且希望将 Apigee Edge 用于 PHI,则必须与 Google 签署《业务伙伴协议》(BAA)。
Apigee Edge 客户必须自行判断自己是否需要遵从 HIPAA 的要求,以及是否使用或打算使用 Google 服务处理 PHI。 尚未与 Google 签署 BAA 的客户不得使用 Google 服务处理 PHI。
管理员必须先查看并接受 BAA,然后才能使用 Google 服务处理 PHI。
我们在本主题中发布了 Apigee HIPAA 配置指南,帮助客户了解如何在处理 PHI 时整理 Google 服务中的数据。本指南面向组织中负责 HIPAA 实施以及 Apigee Edge 合规性的员工。
适用于边缘公有云的 HIPAA 配置指南
本指南仅供参考。Apigee 并不在本指南中的信息或建议构成法律建议。每位客户都有责任独立评估自己对服务的具体使用是适当的,以履行法规遵从义务。
在购买 HIPAA 合规性包后,以下内容应由受制于《健康保险流通与责任法案》(修订版 HIPAA,包括《健康信息技术促进经济和临床健康 - HITECH 法案》的修订)的客户进行审核。这些内容在 Edge 中是自助式的,可帮助客户组织 (组织) 履行其 HIPAA 法规遵从义务。总体概念是“Google 负责保护平台,客户保护其数据”。
| HIPAA 要求 | 版块 |
|---|---|
| HIPAA 合规性:安全 - 访问权限控制 | 使用/授权 |
| HIPAA 合规性:安全管理流程 - 信息系统活动审核 | 审核跟踪记录 |
| HIPAA 法规遵从:安全密码管理 | 复杂密码要求或 SAML |
| HIPAA 合规性:安全 - 安全管理流程 | 端点扫描 |
| HIPAA 合规性:安全 - 传输 | TLS 配置 |
跟踪 / 调试
Trace/Debug 是一种问题排查工具,可让用户在通过 Apigee Message Processor 处理 API 调用时查看 API 调用的状态和内容。 Trace 和 Debug 是同一服务的两个名称,但可通过不同的机制访问。Trace 是该服务在 Edge 界面中的名称。Debug 是通过 API 调用使用的同一服务的名称。本文档中使用的“跟踪”一词对“跟踪”和“调试”都是有效的。
在跟踪会话期间,如果客户启用和配置了“数据遮盖”,系统会强制执行该数据。 此工具可以在跟踪期间阻止显示数据。请参阅下面的数据遮盖部分。
加密键值对映射 (KVM) 适用于需要遵从 HIPAA 法案的客户。在使用加密的 KVM 的情况下,仍然可以使用 Trace,但某些变量将不会显示在 Trace 的显示屏幕中。在跟踪期间,可以采取额外的步骤来显示这些变量。
如需了解有关使用跟踪的详细说明,请参阅使用跟踪工具。
如需详细了解 KVM(包括加密的 KVM),请参阅使用键值对映射。
使用/授权
对 Trace 的访问权限是通过边缘内用户帐号的 RBAC(基于角色的访问控制)系统进行管理的(《健康保险流通与责任法案》(HIPAA) 合规性:安全 - 访问权限控制)。如需详细了解如何使用 RBAC 系统授予和撤消 Trace 权限,请参阅分配角色和在界面中创建自定义角色。跟踪权限允许用户启动跟踪、停止跟踪以及访问跟踪会话的输出。
由于 Trace 可以访问 API 调用的载荷(以前称为“消息正文”),因此请务必考虑谁有权运行 Trace。由于用户管理是客户的责任,因此授予 Trace 权限也是客户的责任。作为平台所有者,Apigee 能够向客户组织添加用户并分配相应权限。只有在客户服务似乎失败,并且审核跟踪会话被认为可提供有关根本原因的最佳信息的情况下,客户才会请求支持,此时才能使用该功能。
数据遮盖
数据遮盖只会在跟踪/调试会话期间阻止在 Trace(Edge 界面)和后端(由 Debug (Edge API))中显示敏感数据。如需详细了解如何设置遮盖,请参阅数据遮盖和隐藏。
数据遮盖不会阻止数据显示在日志文件、缓存、分析数据等中。如需在日志中遮盖数据,请考虑向 logback.xml 文件添加正则表达式模式。通常,如果没有充分的业务理由以及经过您的安全和法务团队审核,不应将敏感数据写入缓存或分析。
L1 和 L2 缓存
使用 L1 缓存也会自动使用 L2 缓存。L1 缓存是“仅限内存”,而 L2 缓存会将数据写入磁盘以在多个 L1 缓存之间同步。L2 缓存可将多个消息处理器在一个区域内及全球保持同步。目前,如果 L1 缓存背后没有 L2 缓存,则无法启用 L1 缓存。L2 缓存会将数据写入磁盘,以便将其同步到客户组织的其他消息处理器。如需详细了解如何使用缓存,请参阅添加缓存和持久性。
审核跟踪
客户可以审核其组织内执行的所有管理活动的审核跟踪记录,包括对 Trace 的使用(《健康保险流通与责任法案》(HIPAA) 合规性:安全管理流程 - 信息系统活动审核)。如需查看详细说明,请参阅此处和使用跟踪工具。
复杂的密码要求或 SAML
对于 HIPAA 客户,用户密码经过配置以满足长度、复杂性和有效期等高级要求。(HIPAA 合规性:安全密码管理)
Edge 还提供多重身份验证(如为 Apigee 帐号启用双重身份验证中所述)和 SAML(如为 Edge 启用 SAML 身份验证中所述)作为身份验证控制的替代方案。
端点安全
端点扫描
边缘云客户负责在边缘中扫描和测试其 API 端点(有时称为“运行时组件”)( 《健康保险流通与责任法案》(HIPAA) 合规性:安全 - 安全管理流程)。客户测试应涵盖托管在 Edge 上的实际 API 代理服务。在 Edge 上,API 流量会先发送到 Edge,进行处理,再传送到客户数据中心。未获准针对个人客户对共享资源(例如管理门户界面)进行测试(根据保密协议要求,客户可获得包含共享服务测试的第三方报告)。
客户应该并建议他们测试自己的 API 端点。您与 Apigee 的协议不会禁止测试您的 API 端点,但要求您不要测试共享管理界面。不过,如果需要进一步说明,请提交支持服务工单,在其中提及您计划的测试。感谢您提前通知 Apigee,以便我们了解测试流量。
测试其端点的客户应查找任何 API 特有的问题、与 Apigee 服务相关的任何问题,还应检查 TLS 和其他可配置项。发现的任何项目以及与 Apigee 服务相关的项目都应通过支持服务工单传达给 Apigee。
与端点相关的大多数内容都是客户自助内容,可以通过查看 Edge 文档进行修复。如果某些内容不清楚如何解决,请提交支持请求。
TLS 配置
客户负责为 API 代理定义和配置自己的 TLS 端点。这是 Edge 中的自助服务功能。客户在加密、协议和算法选择方面的要求变化很大,并且特定于具体使用场景。由于 Apigee 不了解每个客户的 API 设计和数据载荷的详细信息,因此客户有责任确定传输中的数据是否合适( 《健康保险流通与责任法案》(HIPAA) 合规性:安全 - 传输)。
如需详细了解 TLS 配置,请参阅 TLS/SSL。
数据存储
Edge 并不要求在 Edge 中存储数据即可正常运行。但是,Edge 中有一些服务可用于数据存储。客户可以选择使用缓存或分析功能来存储数据。建议客户管理员审核配置、政策和部署,以避免以不合规的方式意外或恶意使用 Edge 中的数据存储服务。
载荷的数据加密
我们不向客户提供数据加密工具,供客户在 Edge 中使用。但是,客户在将数据发送到 Edge 之前,可以随意加密数据。载荷(或消息正文)中的加密数据不会阻止 Edge 正常运行。如果客户收到的是已加密的数据,一些 Edge 政策可能无法与这些数据交互。例如,如果数据本身无法供 Edge 更改,则无法执行转换。但即使数据载荷经过加密,其他政策和客户构建的政策和捆绑包仍然适用。
URI 中的个人身份信息
Apigee 的统一分析平台 (UAP) 可将分析数据(包括 API 调用的统一资源标识符 (URI) 中包含的任何 PHI 或其他敏感数据)捕获到 Apigee Edge,并将其保留 13 个月。URI 中的 PHI 受快速医疗互操作性资源 (FHIR) 标准支持,因此也受 Apigee 支持。默认情况下,UAP 中的 Google Analytics(分析)数据会经过静态加密。
Apigee 目前不支持:
- 对 UAP 进行数据脱敏
- 更改保留周期
- 退出 UAP
- 从 UAP 数据收集中丢弃 URI