Perguntas frequentes sobre a criptografia do lado do cliente

Edições compatíveis com este recurso: Enterprise Plus; Education Standard e Education Plus. Comparar sua edição

Aqui estão respostas para perguntas comuns sobre a criptografia do lado do cliente (CSE) do Google Workspace.

Abrir seção  |  Recolher tudo

Sobre a criptografia

Onde encontro informações sobre a criptografia padrão do Google?
Consulte mais detalhes sobre a criptografia padrão do Google no site do Google Cloud.
Saiba mais detalhes sobre a criptografia padrão no Gmail em Criptografia de e-mail em trânsito na Central de Ajuda do produto.
Qual é a diferença entre a CSE e a criptografia de ponta a ponta (e2e)?
Com a e2e, a criptografia e a descriptografia sempre ocorrem nos dispositivos de origem e destino (como nas mensagens instantâneas em smartphones). As chaves de criptografia são geradas no lado do cliente. Por isso, como administrador, você não tem controle sobre as chaves dos clientes e sobre quem pode usar esses elementos. Além disso, você não tem visibilidade do conteúdo criptografado pelos usuários.
Com a criptografia do lado do cliente (CSE), a criptografia e a descriptografia também ocorrem sempre nos dispositivos de origem e de destino, que, neste caso, são os navegadores dos clientes. No entanto, com a CSE, os clientes usam chaves de criptografia geradas e armazenadas em um serviço de gerenciamento de chaves baseado na nuvem para você poder controlar as chaves e quem tem acesso a elas. Por exemplo, é possível revogar o acesso de um usuário a chaves, mesmo que elas tenham sido geradas por essa pessoa. Além disso, com a CSE, é possível monitorar os arquivos criptografados dos usuários.

Noções básicas sobre a experiência do usuário da CSE

Como os usuários criptografam dados com a CSE?

Os usuários podem escolher uma opção nos serviços com suporte para ativar a CSE. Saiba como isso pode ser feito em apps da Web e para dispositivos móveis na página Visão geral da experiência do usuário com criptografia do lado do cliente.

Há limitações para os usuários ao usar a CSE?

Sim, alguns recursos nos Serviços do Google não ficam disponíveis quando ela está ativa. Saiba mais em Visão geral da experiência do usuário com criptografia do lado do cliente.

Configurar a CSE

O que são chaves de criptografia e como consegui-las?

Uma chave de criptografia é usada para transformar dados em um formato ilegível para que pareçam aleatórios. Assim, os dados são protegidos contra todas as pessoas ou itens que não têm aprovação para ler essas informações. Para ler dados criptografados, um indivíduo ou aplicativo precisa de uma chave para convertê-los de volta ao formato original.

Se quiser usar chaves de criptografia para adicionar uma camada de criptografia aos dados do Google Workspace da sua organização, você precisa usar um serviço de gerenciamento de chaves que tenha uma parceria com o Google ou criar seu próprio serviço de chaves usando nossa API CSE. Apenas no Gmail, você pode usar a criptografia de chaves de hardware, em que a chave de criptografia do usuário fica em um cartão inteligente.

Quais serviços de gerenciamento de chaves de parceiros posso usar com a CSE?

O Google fez uma parceria com vários serviços de gerenciamento de chaves, que podem ser usados com a CSE: Confira uma lista de serviços em Escolher seu serviço de chaves para usar a criptografia do lado do cliente.

Posso usar o Google como meu serviço de gerenciamento de chaves?
Não. Você precisa usar um serviço de gerenciamento de chaves externo para configurar a CSE do Google Workspace. Com esse recurso, você controla suas chaves de criptografia, e o Google não pode acessar essas chaves para descriptografar dados.
Posso usar vários serviços de chaves?
Sim, é possível ter mais de um serviço de chaves e escolher qual vai ser usado com cada unidade organizacional ou grupo. Também é possível migrar o conteúdo criptografado de um serviço para outro.
Observação: no Admin Console, você pode configurar um único serviço de chaves para a criptografia do lado do cliente do Gmail. Saiba sobre outras opções de gerenciamento de chaves na API Criptografia do lado do cliente Google Workspace.
Posso usar cartões inteligentes com a CSE?
Sim. Se a organização usa cartões inteligentes para acessar instalações e sistemas, você pode configurar a criptografia de chaves de hardware para a CSE do Gmail. Requires having the Assured Controls or Assured Controls Plus add-on. Os usuários podem utilizar cartões inteligentes, que contêm a chave de criptografia particular, para criptografar as mensagens de e-mail. Saiba mais em Somente no Gmail: configurar e gerenciar a criptografia de chaves de hardware para criptografia do lado do cliente.
Posso usar um serviço de chaves e chaves de criptografia de hardware no Gmail?
Sim, você pode configurar um serviço de chaves e chaves de criptografia de hardware para a CSE do Gmail. Requires having the Assured Controls or Assured Controls Plus add-on. Você também atribui ambos os tipos aos mesmos usuários. No entanto, cada usuário pode usar apenas um tipo de criptografia no Gmail, dependendo de como você configurar a chave particular deles. Saiba mais em Somente no Gmail: fazer upload de chaves para usar a criptografia do lado do cliente.
Posso mudar para outro serviço de chaves?
Sim, é possível mudar para outro serviço de chaves. Se fizer isso, recomendamos migrar o conteúdo criptografado com seu serviço de chaves atual para o novo serviço. Saiba mais em Se você quiser mudar para um novo serviço de chaves.
Como limitar quais usuários ou grupos têm acesso ao meu serviço de chaves externo?
Você gerencia a lista de controle de acesso às chaves (KACL, na sigla em inglês) de chaves de criptografia no seu serviço de chaves externo. A KACL deve incluir todos os usuários que precisam criptografar ou descriptografar (ver ou editar). Fale com seu provedor de criptografia para saber mais.
Além disso, a CSE precisa ser ativada para todos os usuários que criptografam dados. Saiba mais em Ativar ou desativar a criptografia do lado do cliente.
Posso exigir o uso da CSE para usuários específicos?
No Gmail, no Google Drive e no Google Agenda, você pode especificar que a CSE seja ativada por padrão para unidades organizacionais específicas. Requires having the Assured Controls or Assured Controls Plus add-on.
Se você especificar que a CSE seja ativada por padrão, os usuários ainda poderão desativá-la, se necessário. 
Como configuro a CSE nos drives compartilhados?
Você não precisa configurar a CSE especificamente para drives compartilhados. O serviço de chaves externo que você configurou no Admin Console funciona com arquivos no Meu Drive e nos drives compartilhados.
E se eu receber um alerta ao configurar a CSE?

Se você tiver problemas com a configuração da CSE, acesse Ver detalhes do alerta para saber mais.

Como trabalhar com conteúdo criptografado do lado do cliente

Posso criptografar arquivos novamente com outra chave de criptografia?
É possível migrar arquivos criptografados do lado do cliente para um novo serviço de chaves. Saiba mais em Se você quiser mudar para um novo serviço de chaves.
Posso mudar a criptografia de um arquivo para a criptografia padrão do Google?
Sim, você pode remover a criptografia do lado do cliente em documentos, planilhas ou apresentações Google. Saiba mais em Remover a criptografia de um documento.
Como faço para descriptografar arquivos e e-mails do Drive exportados?
Para descriptografar os arquivos com a CSE exportados pela ferramenta de exportação de dados ou pelo Google Vault, use o descriptografador, um utilitário de linha de comando. Saiba mais em Descriptografar arquivos e e-mails criptografados do lado do cliente (Beta) exportados.
Posso reter, pesquisar e exportar arquivos e e-mails criptografados no Google Vault?
Sim. Se sua edição de Google Workspace tiver o Google Vault, você pode reter, pesquisar e exportar arquivos do Google Drive e e-mails do Gmail criptografados do lado do cliente no Vault.
É possível pesquisar arquivos criptografados do lado do cliente por metadados, como título e proprietário. No entanto, não é possível pesquisar ou visualizar o conteúdo, pesquisar por tipo de arquivo nem fazer o download na visualização.
Confira mais detalhes na Central de Ajuda do Google Vault.
Preciso restringir a verificação ortográfica em conteúdo criptografado do lado do cliente?
  • Para o conteúdo do corpo criptografado do lado do cliente nos apps Documentos e Apresentações Google, os modelos de aprendizado de máquina no dispositivo oferecem um recurso de verificação ortográfica, o que preserva a confidencialidade dos dados do documento.
  • Para o Gmail e comentários no Documentos Google, o navegador oferece a funcionalidade de verificação ortográfica.

    Se a sua organização usa o Google Chrome: verifique se os usuários da CSE não usam a Verificação ortográfica avançada do Chrome. Essa opção envia dados ao Google. Em vez disso, os usuários da CSE podem usar a Verificação ortográfica básica do Chrome, que não envia dados ao Google. Veja mais informações em Ativar ou desativar a verificação ortográfica do Chrome. Se você usa o navegador Chrome gerenciado, pode criar uma política para desativar a verificação ortográfica para os usuários da CSE. Isso desativa a Verificação ortográfica aprimorada, mas não a Verificação ortográfica básica. Veja mais detalhes em Definir políticas do Chrome para usuários ou navegadores.

Como verificar arquivos e e-mails criptografados do lado do cliente

O Drive e o Gmail verificam automaticamente se há ameaças à segurança no conteúdo criptografado do lado do cliente?
Não é feita nenhuma verificação de phishing e malware nos arquivos e e-mails criptografados do lado do cliente porque os servidores do Google não têm acesso ao conteúdo.
Posso fazer as verificações de DLP no conteúdo de e-mails ou arquivos criptografados do lado do cliente?
As verificações de Prevenção contra perda de dados (DLP) não têm acesso a conteúdo criptografado do lado do cliente em arquivos ou e-mails. No entanto, você cria regras de DLP para fazer o seguinte:
  • Verificar os metadados não criptografados de arquivos do Drive, como o título e os marcadores do app. Isso ajuda a evitar vazamentos de dados sensíveis.
  • Determinar se os arquivos do Drive são criptografados do lado do cliente ao escolher a condição de regra Status da criptografia do arquivo > ÉCriptografia do lado do cliente ou Sem criptografia do lado do cliente.

Saiba como criar regras da DLP para o Drive em Criar regras e detectores de conteúdo personalizados para a DLP do Drive.

Como mudar para uma edição do Google Workspace que não seja compatível com a CSE

O que vai acontecer com o conteúdo criptografado se as licenças dos usuários não tiverem mais a CSE?
Se você migrar os usuários para uma licença do Google Workspace que não inclua a CSE, eles ainda vão poder acessar e editar itens criptografados do lado do cliente, como arquivos e e-mails. No entanto, não vai ser possível criar novos itens criptografados do lado do cliente.
Posso remover a criptografia do conteúdo se não quisermos mais usar a CSE?
Se você quiser parar de usar a CSE e descriptografar itens como arquivos e e-mails, primeiro exporte esses itens com a ferramenta de exportação de dados. Em seguida, use o utilitário de descriptografia para remover a CSE.

Isso foi útil?

Como podemos melhorá-lo?
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
11485976351242989735
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false