Edições compatíveis com este recurso: Enterprise Plus; Education Standard e Education Plus. Comparar sua edição
Saiba como encontrar respostas para perguntas comuns sobre a criptografia do lado do cliente (CSE) do Google Workspace.
Sobre a criptografia
Onde encontro informações sobre a criptografia padrão do Google?
Consulte mais detalhes sobre a criptografia padrão do Google no site do Google Cloud.
Saiba mais detalhes sobre a criptografia padrão no Gmail em Criptografia em trânsito na Central de Ajuda do produto.
Qual é a diferença entre a CSE e a criptografia de ponta a ponta (e2e)?
Com a e2e, a criptografia e a descriptografia sempre ocorrem nos dispositivos de origem e destino (como nas mensagens instantâneas em smartphones). As chaves de criptografia são geradas no lado do cliente. Por isso, como administrador, você não tem controle sobre as chaves dos clientes e sobre quem pode usar esses elementos. Além disso, você não tem visibilidade do conteúdo criptografado pelos usuários.
Com a criptografia do lado do cliente (CSE), a criptografia e a descriptografia também ocorrem sempre nos dispositivos de origem e de destino, que, neste caso, são os navegadores dos clientes. No entanto, com a CSE, os clientes usam chaves de criptografia geradas e armazenadas em um serviço de gerenciamento de chaves baseado na nuvem para você poder controlar as chaves e quem tem acesso a elas. Por exemplo, é possível revogar o acesso de um usuário a chaves, mesmo que elas tenham sido geradas por essa pessoa. Além disso, com a CSE, é possível monitorar os arquivos criptografados dos usuários.
Noções básicas sobre a experiência do usuário da CSE
Como os usuários criptografam dados com a CSE?
Os usuários podem escolher uma opção nos serviços com suporte para ativar a CSE. Saiba como os usuários podem ativar a CSE em apps da Web e para dispositivos móveis em Visão geral da experiência do usuário com a criptografia do lado do cliente.
Há limitações para os usuários ao usar a CSE?
Sim, alguns recursos nos Serviços do Google não ficam disponíveis quando a CSE está ativada. Saiba mais em Visão geral da experiência do usuário com a criptografia do lado do cliente.
Configurar a CSE
O que são chaves de criptografia e como consegui-las?
Uma chave de criptografia é usada para transformar dados em um formato ilegível para que pareçam aleatórios. Isso mantém a privacidade dos dados de qualquer pessoa ou de qualquer item não aprovado para leitura. Para ler dados criptografados, um indivíduo ou aplicativo precisa de uma chave para converter os dados de volta ao formato original.
Se quiser usar chaves de criptografia para adicionar uma camada de criptografia aos dados do Google Workspace da sua organização, você precisa usar um serviço de gerenciamento de chaves que tenha uma parceria com o Google ou criar seu próprio serviço de chaves usando a API CSE do Google. Apenas no Gmail, você pode usar a criptografia de chaves de hardware, na qual a chave de criptografia do usuário fica em um cartão inteligente.
Quais serviços de gerenciamento de chaves de parceiros posso usar com a CSE?
O Google fez uma parceria com vários serviços de gerenciamento de chaves, que podem ser usados com a CSE: Confira uma lista de serviços em Configurar seu serviço de chaves para usar a criptografia do lado do cliente.
Posso usar o Google como meu serviço de gerenciamento de chaves?
Não. Você precisa usar um serviço de gerenciamento de chaves externo para configurar a CSE do Google Workspace. Com esse recurso, você controla suas chaves de criptografia, e o Google não pode acessar essas chaves para descriptografar dados.
Posso usar vários serviços de chaves?
Sim, é possível ter mais de um serviço de chaves e escolher qual vai ser usado com cada unidade organizacional ou grupo. Também é possível migrar o conteúdo criptografado de um serviço para outro.
Observação: no Admin Console, você pode configurar um único serviço de chaves para a criptografia do lado do cliente do Gmail. Saiba sobre outras opções de gerenciamento de chaves na API Criptografia do lado do cliente Google Workspace.
Posso usar cartões inteligentes com a CSE?
Sim. Se a organização usa cartões inteligentes para acessar instalações e sistemas, você pode configurar a criptografia de chaves de hardware para a CSE do Gmail. Requires having the Assured Controls add-on. Os usuários podem utilizar cartões inteligentes, que contêm a chave de criptografia privada, para criptografar as mensagens de e-mail. Saiba mais em Somente no Gmail: configurar e gerenciar a criptografia de chaves de hardware para criptografia do lado do cliente.
Posso usar um serviço de chaves e chaves de criptografia de hardware no Gmail?
Sim, você pode configurar um serviço de chaves e chaves de criptografia de hardware para a CSE do Gmail. Requires having the Assured Controls add-on. Você também atribui o serviço de chaves e a criptografia de chaves de hardware aos mesmos usuários. No entanto, um usuário pode usar apenas um tipo de criptografia no Gmail, o que depende de como você configurou a chave de criptografia privada. Saiba mais em Somente no Gmail: fazer upload de chaves de criptografia para usar a criptografia do lado do cliente.
Posso mudar para outro serviço de chaves?
Sim, é possível mudar para outro serviço de chaves. Se fizer isso, recomendamos migrar o conteúdo criptografado com seu serviço de chaves atual para o novo serviço. Saiba mais em Se quiser mudar para um novo serviço de chaves.
Como limitar quais usuários ou grupos têm acesso ao meu serviço de chaves externo?
Você gerencia a lista de controle de acesso às chaves (KACL, na sigla em inglês) de chaves de criptografia no seu serviço de chaves externo. A KACL deve incluir todos os usuários que precisam criptografar ou descriptografar (ver ou editar). Fale com seu provedor de criptografia para saber mais.
Além disso, a CSE precisa ser ativada para todos os usuários que criptografam dados. Saiba mais em Ativar ou desativar a criptografia do lado do cliente para os usuários.
Posso exigir o uso da CSE para usuários específicos?
No Gmail, no Google Drive e no Google Agenda, você pode especificar que a CSE seja ativada por padrão para unidades organizacionais específicas. Requires having the Assured Controls add-on.
Se você especificar que a CSE seja ativada por padrão, os usuários ainda poderão desativá-la, se necessário.
Como configuro a CSE nos drives compartilhados?
Você não precisa configurar a CSE especificamente para drives compartilhados. O serviço de chaves externo que você configurou no Admin Console funciona com arquivos no Meu Drive e nos drives compartilhados.
E se eu receber um alerta ao configurar a CSE?
Se você tiver problemas com a configuração da CSE, acesse Conferir detalhes do alerta para saber mais.
Posso permitir que usuários externos acessem o conteúdo criptografado do lado do cliente da nossa organização?
Como trabalhar com conteúdos criptografados do lado do cliente
Posso criptografar arquivos novamente com outra chave de criptografia?
É possível migrar arquivos criptografados do lado do cliente para um novo serviço de chaves. Saiba mais em Se quiser mudar para um novo serviço de chaves.
Posso mudar a criptografia de um arquivo para a criptografia padrão do Google?
Sim, você pode remover a criptografia do lado do cliente em documentos, planilhas ou apresentações Google. Saiba mais em Remover a criptografia de um documento.
Como faço para descriptografar arquivos e e-mails do Drive exportados?
Para descriptografar os arquivos com a CSE exportados pela ferramenta de exportação de dados ou pelo Google Vault, use o descriptografador, um utilitário de linha de comando. Saiba mais em Descriptografar arquivos exportados do lado do cliente.
Posso reter, pesquisar e exportar arquivos e e-mails criptografados no Google Vault?
Sim. Se sua edição de Google Workspace tiver o Google Vault, você pode reter, pesquisar e exportar arquivos do Google Drive e e-mails do Gmail criptografados do lado do cliente no Vault.
É possível pesquisar arquivos criptografados do lado do cliente por metadados, como título e proprietário. No entanto, não é possível pesquisar ou visualizar o conteúdo, pesquisar por tipo de arquivo nem fazer o download na visualização.
Veja mais detalhes na Central de Ajuda do Google Vault.
Como verificar arquivos e e-mails criptografados do lado do cliente
O Drive e o Gmail verificam automaticamente se há ameaças à segurança no conteúdo criptografado do lado do cliente?
Não é feita nenhuma verificação de phishing e malware nos arquivos e e-mails criptografados do lado do cliente porque os servidores do Google não têm acesso ao conteúdo.
Posso fazer as verificações de DLP no conteúdo de e-mails ou arquivos criptografados do lado do cliente?
As verificações de Prevenção contra perda de dados (DLP) não têm acesso a conteúdos criptografados do lado do cliente em arquivos ou e-mails. No entanto, como têm acesso aos metadados não criptografados de um arquivo, como o título e os marcadores do Drive, elas ajudam a evitar vazamentos de dados confidenciais.
Mudar para uma edição do Google Workspace que não seja compatível com a CSE
O que acontecerá com o conteúdo criptografado se as licenças dos usuários não tiverem mais a CSE?
Se você migrar os usuários para uma licença do Google Workspace que não inclua a CSE, eles ainda vão poder acessar e editar itens criptografados do lado do cliente, como arquivos e e-mails. No entanto, não é possível criar novos itens criptografados do lado do cliente.
Posso remover a criptografia do conteúdo se não quisermos mais usar a CSE?
Se você quiser parar de usar a CSE e descriptografar itens como arquivos e e-mails, primeiro exporte esses itens com a ferramenta de exportação de dados. Em seguida, use o utilitário de descriptografia para remover a CSE.
