Sobre a criptografia do lado do cliente

Edições compatíveis com este recurso: Enterprise; Education Standard e Education Plus.  Comparar sua edição

Use suas chaves para criptografar os dados da empresa, como arquivos e e-mails, além da criptografia padrão de Google Workspace. Com a criptografia do lado do cliente (CSE) de Google Workspace, a criptografia do conteúdo é feita no navegador do cliente antes da transmissão ou do armazenamento de dados no repositório baseado na nuvem do Drive. Assim, os servidores do Google não podem acessar suas chaves de criptografia e descriptografar dados. Depois de configurar a CSE, você pode escolher quais usuários têm autorização para criar conteúdo criptografado no lado do cliente e compartilhar ou enviar esse conteúdo dentro ou fora da organização. 

Por que usar a CSE?

O Google Workspace já usa os padrões criptográficos mais recentes para criptografar todos os dados em repouso e em trânsito nas instalações de todos os serviços. Além disso, o Gmail usa o Transport Layer Security (TLS) para se comunicar com outros provedores de serviços de e-mail. No entanto, com a CSE, você tem controle direto das chaves de criptografia e do provedor de identidade usado para acessar essas chaves. Esse controle a mais reforça a confidencialidade dos dados sensíveis ou regulamentados. Sua organização pode precisar usar a CSE por vários motivos, por exemplo:

  • Privacidade: sua organização trabalha com propriedade intelectual extremamente confidencial.
  • Compliance com normas: sua organização opera em um setor altamente regulamentado, como aeroespacial e defesa, financeiro ou governamental.

Como começar a usar a CSE

Abrir seção  |  Recolher tudo

Quais os serviços compatíveis com a CSE

No momento, a criptografia do lado do cliente de Google Workspace está disponível apenas para os serviços abaixo:

  • Google Drive para navegador da Web, Drive para computador (apenas formatos que não são do Google) e Drive em apps Android e iOS (somente visualização de formatos que não são do Google);
  • Gmail apenas para navegador da Web. Na próxima versão, estará disponível o suporte da CSE para apps para dispositivos móveis Android e iOS do Gmail;
  • Google Agenda  para navegador da Web e Agenda em apps para dispositivos móveis Android e iOS Beta. Se você já se inscreveu na versão Beta do app Agenda, então será automaticamente inscrito na versão Beta de apps para dispositivos móveis. Caso contrário, preencha este formulário para se inscrever; 
  • Google Meet somente para navegador da Web. O Meet em apps para dispositivos móveis Android e iOS e o hardware de sala de reunião estarão disponíveis em uma próxima versão.
Dados que a CSE criptografa
Serviço Dados criptografados do lado do cliente Dados não criptografados do lado do cliente
Google Drive
  • Arquivos criados nos Editores de arquivos Google (documentos, planilhas, apresentações)
  • Arquivos enviados por upload, como PDFs e arquivos do Microsoft Office
  • Título do arquivo
  • Metadados dos arquivos, como "Proprietário", "Criador" e "Horário da última modificação"
  • Marcadores do Drive (também chamados de metadados do Drive)
  • Conteúdo vinculado que não faz parte dos Documentos Google ou do Drive (por exemplo, um vídeo do YouTube vinculado de um arquivo do Google)
  • Preferências do usuário, como estilos de cabeçalho do app Documentos

Gmail
  • Corpo do e-mail, incluindo imagens inline
  • Arquivos anexados

    Observação: ainda não é possível anexar arquivos do Drive criptografados do lado do cliente.

Cabeçalho do e-mail, incluindo assunto, carimbos de data/hora e listas de destinatários
Google Agenda
  • Descrição do evento
  • Arquivos do Drive anexados (se a CSE estiver ativada)
  • Transmissões de áudio e vídeo do Meet (se a CSE do Meet estiver ativada)

Qualquer conteúdo que não seja a descrição do evento, os anexos e os dados do Meet, como:

  • Título do evento
  • Horários de início e término do evento
  • Lista de participantes
  • Salas reservadas
  • Participação por número de telefone
  • Link do Meet
Google Meet
  • Streams de áudio
  • Streams de vídeo (incluindo compartilhamento de tela)
 Qualquer dado que não seja de streams de áudio e vídeo
Visão geral da configuração da CSE

Confira um resumo das etapas necessárias para configurar a criptografia do lado do cliente de Google Workspace.

Etapa 1: configurar o serviço de chaves de criptografia externo

Você vai configurar um serviço de chaves de criptografia em um dos serviços parceiros do Google ou criar seu próprio serviço usando a API Google Workspace CSE. Esse serviço controla as chaves de criptografia de nível superior que protegem seus dados. Ao configurar seu serviço, você vai adicionar usuários à lista de controle de acesso a chaves (KACL, na sigla em inglês) do serviço. Saiba mais em Configurar seu serviço de chaves para usar a criptografia do lado do cliente.

Etapa 2: conectar o Google Workspace ao seu serviço de chaves externo

Para conectar o Google Workspace ao seu serviço de chaves externo, adicione o URL do serviço ao Admin Console. É possível adicionar vários serviços de chaves se quiser atribuir serviços diferentes a unidades organizacionais ou grupos específicos. Você também pode migrar o conteúdo criptografado de um serviço para outro sempre que quiser. Saiba mais em Adicionar e gerenciar serviços de chaves para criptografia do lado do cliente.

Etapa 3: atribuir o serviço de chaves a unidades organizacionais ou grupos

Depois de conectar o Google Workspace ao serviço de chaves externo, ele vai poder ser atribuído a unidades organizacionais e grupos. É necessário atribuir um serviço de chaves padrão para toda a organização. Saiba mais em Atribuir um serviço de chaves para usar a criptografia do lado do cliente.

Etapa 4: conectar Google Workspace ao seu provedor de identidade

Conecte-se a um IdP terceirizado ou à identidade do Google usando o Admin Console ou um arquivo .well-known hospedado no seu servidor. Seu IdP verifica a identidade dos usuários antes de permitir que eles criptografem conteúdo ou acessem conteúdo criptografado. Saiba mais em Conectar-se ao provedor de identidade para usar a criptografia do lado do cliente.

Etapa 5 (apenas CSE do Gmail): ativar a API Gmail

Você vai criar um projeto do Google Cloud Platform (CGP) e ativar a API Gmail. Em seguida, conceder à API de acesso a toda a empresa. Saiba mais em Somente no Gmail: preparar a empresa para usar a criptografia do lado do cliente.

Etapa 6: ativar a CSE para os usuários

Ative a CSE para unidades ou grupos da empresa com usuários que precisam criar conteúdo criptografado no lado do cliente, como arquivos ou e-mails do Drive. Saiba mais em Ativar ou desativar a CSE para os usuários.

Etapa 7 (apenas CSE do Gmail): fazer upload de certificados S/MIME dos usuários

Para cada usuário que usa a CSE no Gmail, você usará a API Gmail para fazer upload de um certificado S/MIME (Secure/Multipurpose Internet Mail Extensions) e de metadados de chave privada criptografados pelo serviço de chaves. Saiba mais em Configurar a CSE do Gmail para usuários.

Requisitos da CSE

Abrir seção  |  Recolher tudo

Privilégios de administrador necessários para usar a CSE

Você precisa de privilégios de superadministrador do Google Workspace para gerenciar a CSE da sua organização, incluindo:

  • Adicionar e gerenciar serviços de chaves
  • Atribuir serviços de chaves a unidades organizacionais e grupos
  • Ativar ou desativar a CSE para os usuários
Requisitos internos do usuário para a CSE

Requisitos de licença

  • Para usar a CSE, os usuários precisam de uma licença do Google Workspace Enterprise Plus ou do Google Workspace for Education Plus para:
    • Criar ou fazer upload de conteúdo criptografado do lado do cliente
    • Realizar reuniões criptografadas
    • Enviar ou receber e-mails criptografados
  • Os usuários podem ter qualquer tipo de licença do Google Workspace ou do Cloud Identity para:
    • Acessar, editar ou fazer o download de conteúdo criptografado do lado do cliente
    • Participar de uma reunião com a CSE
  • Os usuários com uma Conta do Google pessoal (como as do Gmail) não podem acessar o conteúdo criptografado do lado do cliente, enviar e-mails criptografados nem participar de reuniões com criptografia do lado do cliente.

Requisitos do navegador

Para ver ou editar conteúdo criptografado do lado do cliente, os usuários precisam usar o navegador Google Chrome ou o Microsoft Edge (Chromium).

Requisitos de usuários externos para a CSE

Requisitos de licença

  • Os usuários externos precisam ter uma licença de Google Workspace ou do Cloud Identity para acessar arquivos e outros tipos de dados criptografados com a CSE, como arquivos criptografados do Drive.

  • Usuários externos que usam S/MIME podem enviar e receber mensagens criptografadas. Não é necessária uma licença do Google Workspace ou do Cloud Identity.

  • Os usuários com uma Conta do Google pessoal ou uma conta de visitante não podem acessar arquivos criptografados com a CSE.

Requisitos de configuração

  • As organizações externas com quem os usuários colaboram também precisam configurar a CSE no Admin Console ou com um arquivo .well-known.
  • Seu serviço de criptografia externo precisa adicionar à lista de permissões o serviço de IdP de terceiros usado pelas pessoas na organização externa com quem os arquivos com CSE vão ser compartilhados. No geral, o serviço do IdP é encontrado no arquivo .well-known disponível publicamente (se estiver configurado). Caso contrário, entre em contato com o administrador do Google Workspace da organização externa para saber os detalhes do IdP.

Outros requisitos

Usuários externos precisam compartilhar informações de identidade: informe ao administrador da organização externa que os usuários dele precisam informar o token de autenticação do serviço de chaves para ver ou editar o conteúdo criptografado da sua organização. No processo de autenticação, um usuário precisa compartilhar o endereço IP e outras informações. Veja mais detalhes em Tokens de autenticação no Guia de Referência da API Client-side Encryption.

Experiência do usuário da CSE

Depois que você configurar a criptografia do lado do cliente para sua organização, os usuários com o CSE ativado poderão usar esse recurso nos serviços a seguir.

Abrir seção  |  Recolher tudo

Google Drive

Os usuários podem criar arquivos criptografados do lado do cliente usando os Editores de arquivos Google, como documentos e planilhas, ou criptografar os arquivos enviados para o Drive, como PDFs. Os usuários só podem acessar arquivos criptografados que foram compartilhados com eles.

Experiência com o Drive para computador

O Drive para computador mostra arquivos criptografados sincronizados como atalhos no Windows e links simbólicos no Mac. Quando um usuário clica em um atalho ou link para um documento, planilha ou apresentação Google, uma nova janela do navegador é aberta.

Os usuários também podem fazer o seguinte:

  • Criptografar e fazer upload de um arquivo local 
  • Ler e editar alguns tipos de arquivos criptografados, como PDF e arquivos do Microsoft Office

Importante: se um usuário fizer o download e descriptografar um arquivo da CSE em uma pasta local sincronizada com o Drive, o arquivo vai ser armazenado em texto não criptografado no Drive.

Evitar o armazenamento de informações sensíveis descriptografadas no Drive: informe aos usuários do Drive para computador que eles devem evitar o armazenamento de arquivos descriptografados em pastas locais sincronizadas com o Drive se ativarem a opção Fazer o download e descriptografar.

Experiência com o Drive para Android e iOS

Os usuários podem visualizar ou fazer o download de arquivos criptografados do lado do cliente no Drive com um dispositivo móvel, inclusive arquivos do Microsoft Office (somente no iOS) e PDF. Os apps Documentos, Planilhas e Apresentações Google ainda não têm suporte.

Observação: para ver a prévia ou os arquivos criptografados do lado do cliente, os usuários precisam de um leitor compatível no dispositivo.

Evite armazenar informações sensíveis descriptografadas no Drive: informe aos usuários de dispositivos móveis para não armazenar arquivos descriptografados no local em dispositivos sincronizados com o Drive ao usar a opção Fazer o download e descriptografar.

Alguns recursos não estão disponíveis

Confira alguns recursos do Drive que não estão disponíveis em arquivos criptografados do lado do cliente. Acesse a lista completa das limitações de recursos em Primeiros passos com arquivos criptografados nos apps Drive, Documentos, Planilhas e Apresentações .

  • Verificação ortográfica e gramatical nos Editores de arquivos Google
  • Edição por vários colaboradores ao mesmo tempo (no entanto, todos os usuários podem acessar um documento criptografado ao mesmo tempo)
  • Pesquisa de texto completo e visualização de arquivos
  • Comentários
  • Como criptografar ou descriptografar arquivos off-line

Informações sobre os recursos da CSE e as limitações do Drive

Confira os seguintes recursos:

Gmail

Os usuários podem enviar e receber e-mails criptografados do lado do cliente dentro ou fora da empresa.

Alguns recursos não estão disponíveis

Confira alguns dos recursos do Gmail que não estão disponíveis nos arquivos criptografados do lado do cliente. Acesse a lista completa de limitações de recursos em Usar a criptografia do lado do cliente do Gmail para adicionar criptografia aos seus e-mails.

  • Modo confidencial
  • Como enviar para grupos como destinatários
  • Como pesquisar no corpo da mensagem (os usuários ainda podem pesquisar por destinatário e linha de assunto)
  • Assinaturas
  • Imprimir
  • Como usar os apps para dispositivos móveis do Gmail

Além disso, a delegação de e-mails (caixas de entrada compartilhadas) não está disponível na CSE do Gmail.

Informações sobre os recursos da CSE e as limitações do Gmail

Consulte Usar a criptografia do lado do cliente do Gmail para adicionar criptografia aos seus e-mails.

Google Agenda

Os usuários podem criar eventos com descrições criptografadas do lado do cliente. Se você ativar a CSE para o Drive e o Meet, os usuários vão poder anexar documentos criptografados do lado do cliente ao evento e adicionar reuniões on-line criptografadas da mesma forma. Se a CSE estiver desativada para o Drive e o Meet, os usuários não poderão adicionar anexos ou reuniões on-line a eventos criptografados do lado do cliente. 

Observação:

  • Os usuários só podem criptografar eventos regulares. Outros tipos de evento, como horários disponíveis ou de concentração, não são compatíveis com a CSE.
  • Para acessar as descrições de eventos criptografados do lado do cliente, os usuários precisam usar o Google Agenda. 

Alguns recursos não estão disponíveis

Confira alguns dos recursos do app Agenda que não estão disponíveis nos arquivos criptografados do lado do cliente. Acesse a lista completa de limitações de recursos em Saiba sobre a criptografia do lado do cliente no Agenda.

  • Como pesquisar descrições de eventos
  • Como criptografar ou descriptografar eventos off-line

Informações sobre os recursos da CSE e as limitações do Agenda

Consulte Saiba sobre a criptografia do lado do cliente no app Agenda.

Google Meet

Os usuários podem criar reuniões criptografadas do lado do cliente ao programar o evento no Google Agenda ou ao iniciar uma reunião instantânea (não programada). 

Alguns recursos não estão disponíveis

Confira alguns recursos do Meet que não estão disponíveis em arquivos criptografados do lado do cliente. Acesse a lista completa de limitações de recursos em Saiba sobre a criptografia do lado do cliente (CSE) do Meet.

  • Gravações
  • Transmissões ao vivo
  • Telefone para ouvir áudio
  • Chats
  • Enquetes
  • Jamboard
  • Hardware de sala de reunião (em uma versão posterior)
  • Convites para participantes fora da empresa (em uma versão posterior)
  • Como usar os apps para dispositivos móveis do Meet

Informações sobre os recursos da CSE e as limitações do Meet

Consulte Saiba mais sobre a criptografia do lado do cliente (CSE) no Meet.

Registros e relatórios

É possível auditar os registros da atividade do administrador e gerar relatórios sobre a atividade dos usuários para arquivos criptografados do lado do cliente. Saiba mais em Acessar registros e relatórios sobre a criptografia do lado do cliente.

Perguntas frequentes sobre a CSE

Abrir seção  |  Recolher tudo

Perguntas gerais

Onde encontro informações sobre a criptografia padrão do Google?
Consulte mais detalhes sobre a criptografia padrão do Google no site do Google Cloud.
Para informações sobre a criptografia padrão do Gmail, consulte Criptografia em trânsito na Central de Ajuda do Gmail.
Qual é a diferença entre a CSE e a criptografia de ponta a ponta (e2e)?
Com a e2e, a criptografia e a descriptografia sempre ocorrem nos dispositivos de origem e destino (como nas mensagens instantâneas em smartphones). As chaves de criptografia são geradas no lado do cliente. Por isso, como administrador, você não tem controle sobre as chaves dos clientes e sobre quem pode usar esses elementos. Além disso, você não tem visibilidade do conteúdo criptografado pelos usuários.
Com a criptografia do lado do cliente (CSE), a criptografia e a descriptografia também ocorrem sempre nos dispositivos de origem e de destino, que, neste caso, são os navegadores dos clientes. No entanto, com a CSE, os clientes usam chaves de criptografia geradas e armazenadas em um serviço de gerenciamento de chaves baseado na nuvem para você poder controlar as chaves e quem tem acesso a elas. Por exemplo, é possível revogar o acesso de um usuário a chaves, mesmo que elas tenham sido geradas por essa pessoa. Além disso, com a CSE, é possível monitorar os arquivos criptografados dos usuários.

Configurar a CSE

Quais serviços de gerenciamento de chaves de parceiros posso usar com a CSE?

O Google fez uma parceria com vários serviços de gerenciamento de chaves, que podem ser usados com a CSE: Veja uma lista de serviços em Configurar seu serviço de chaves para usar a criptografia do lado do cliente.

Posso usar o Google como meu serviço de gerenciamento de chaves?
Não. Você precisa usar um serviço de gerenciamento de chaves externo para configurar a CSE do Google Workspace. Com esse recurso, você controla suas chaves de criptografia, e o Google não pode acessar essas chaves para descriptografar dados.
Posso usar vários serviços de chaves?
Sim, é possível ter mais de um serviço de chaves e escolher qual vai ser usado com cada unidade organizacional ou grupo. Também é possível migrar o conteúdo criptografado de um serviço para outro.
Observação: no Admin Console, você pode configurar um único serviço de chaves para a criptografia do lado do cliente do Gmail. Saiba sobre outras opções de gerenciamento de chaves na API Criptografia do lado do cliente Google Workspace.
Posso mudar para outro serviço de chaves?
Sim, é possível mudar para outro serviço de chaves. Se fizer isso, recomendamos migrar o conteúdo criptografado com seu serviço de chaves atual para o novo serviço. Para mais detalhes, consulte Se quer alternar para um novo serviço de chaves.
Como limitar quais usuários ou grupos têm acesso ao meu serviço de chaves externo?
Você gerencia a lista de controle de acesso às chaves (KACL, na sigla em inglês) de chaves de criptografia no seu serviço de chaves externo. A KACL deve incluir todos os usuários que precisam criptografar ou descriptografar (ver ou editar). Fale com seu provedor de criptografia para saber mais.
Além disso, a CSE precisa ser ativada para todos os usuários que criptografam dados. Saiba mais em Ativar ou desativar a criptografia do lado do cliente para os usuários.
Como configuro a CSE nos drives compartilhados?
Você não precisa configurar a CSE especificamente para drives compartilhados. O serviço de chaves externo que você configurou no Admin Console funciona com arquivos no Meu Drive e nos drives compartilhados.

Como trabalhar com conteúdos criptografados do lado do cliente

Posso criptografar arquivos novamente com outra chave de criptografia?
É possível migrar arquivos criptografados do lado do cliente para um novo serviço de chaves. Para mais detalhes, consulte Se quer alternar para um novo serviço de chaves.
Posso mudar a criptografia de um arquivo para a criptografia padrão do Google?
Esse recurso vai estar disponível em uma futura versão.
Como faço para descriptografar arquivos e e-mails do Drive exportados?
Para descriptografar os arquivos com a CSE exportados pela ferramenta de exportação de dados ou pelo Google Vault, use o descriptografador, um utilitário de linha de comando. Consulte mais detalhes em Descriptografar arquivos exportados do lado do cliente.
Posso reter, pesquisar e exportar arquivos e e-mails criptografados no Google Vault?
Sim. Se sua edição de Google Workspace tiver o Google Vault, você pode reter, pesquisar e exportar arquivos do Google Drive e e-mails do Gmail criptografados do lado do cliente no Vault.
É possível pesquisar arquivos criptografados do lado do cliente por metadados, como título e proprietário. No entanto, não é possível pesquisar ou visualizar o conteúdo, pesquisar por tipo de arquivo nem fazer o download na visualização.
Para mais detalhes, consulte a Central de Ajuda do Google Vault.

Como verificar arquivos e e-mails criptografados do lado do cliente

O Drive e o Gmail verificam automaticamente se há ameaças à segurança no conteúdo criptografado do lado do cliente?
Não é feita nenhuma verificação de phishing e malware nos arquivos e e-mails criptografados do lado do cliente porque os servidores do Google não têm acesso ao conteúdo.
Posso fazer as verificações de DLP no conteúdo de e-mails ou arquivos criptografados do lado do cliente?
As verificações de Prevenção contra perda de dados (DLP) não têm acesso a conteúdos criptografados do lado do cliente em arquivos ou e-mails. No entanto, como têm acesso aos metadados não criptografados de um arquivo, como o título e os marcadores do Drive, elas ajudam a evitar vazamentos de dados confidenciais.
Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.

true
' data-mime-type=
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
Pesquisar na Central de Ajuda
true
true
false
true
true
73010
false