Seguridad y privacidad para los administradores

Dos de los temas más comunes de las preguntas relacionadas con Google en general, y con Google Apps en particular, son la seguridad y la privacidad. Se trata de dos cuestiones que nos tomamos muy en serio y creemos firmemente que los productos y servicios que ofrecemos son una excelente opción en este sentido. Nuestra empresa se basa en la confianza de los usuarios: la confianza en nuestra capacidad para proteger los datos adecuadamente y nuestro compromiso de respetar la privacidad de la información que aportan a nuestros sistemas, sin proporcionarla a otros usuarios y sin hacer un uso inadecuado de ella.

Para obtener más información sobre la postura de Google en lo que respecta a la fiabilidad, la privacidad y la seguridad, consulta Cómo gestiona Google tus datos.

Para ayudarte a encontrar respuesta a algunas de las preguntas que puedas tener como administrador de Google Apps, hemos creado esta sección de Preguntas frecuentes.

Privacidad

¿Cuáles de mis usuarios pueden acceder a mi cuenta de administrador de Google Apps?

Solo el propietario y los administradores del nombre de dominio pueden crear una cuenta de administrador de Google Apps. Durante el proceso de registro, se solicita a los administradores de Google Apps que verifiquen el control del dominio. Para ello, deben modificar los registros DNS. Sin esta verificación, Google no permite abrir una cuenta de administrador. Para administrar activamente un servicio de Google en un dominio, es necesario verificar la propiedad de dicho dominio.

Una vez que el administrador haya verificado la propiedad, puede otorgar privilegios de administrador a los demás nombres de usuario de la cuenta a su discreción.

Los usuarios que no sean administradores del dominio también pueden ponerse en contacto con el equipo de asistencia de Google Apps para solicitar acceso de administrador. Entonces, se llevará a cabo el proceso de verificación de dominio habitual para comprobar que el solicitante tenga derechos de administración en el dominio.

Por último, cualquier usuario que tenga acceso a tu dirección de correo electrónico secundaria registrada puede iniciar un restablecimiento de la contraseña y acceder a la cuenta de administrador principal.

¿Cuáles de mis usuarios finales pueden obtener acceso a las cuentas de otros usuarios finales?

Conforme al Acuerdo con el Cliente establecido para tu dominio, los administradores de Google Apps de un dominio pueden acceder a todas las cuentas de usuarios finales y a los datos asociados a ellas, tal y como se describe en la Política de Privacidad.

Como administrador del dominio, puedes controlar todos sus nombres de usuario y contraseñas. Además, puedes acceder a las cuentas de tus usuarios, en virtud de lo establecido en el Acuerdo con el Cliente. Debes contar con una política que regule estas acciones y facilitarla a los usuarios finales.

Seguridad

¿En qué me beneficia que Google Apps disponga de un informe de auditoría de seguridad SOC 2/3?

Esto significa que un auditor independiente externo ha concedido un informe de SOC 2/3 por haber superado satisfactoriamente la auditoría de seguridad realizada. Para Google es un orgullo poder proporcionar a los administradores de Google Apps la tranquilidad de saber que sus datos están protegidos por los estándares de auditoría SOC 2/3.

El auditor independiente externo ha comprobado que Google Apps aplica los controles y protocolos siguientes:

  • Seguridad lógica: los controles proporcionan una garantía razonable de que el acceso lógico a los sistemas de producción y a los datos de Google Apps está restringido a las personas autorizadas.
  • Privacidad: los controles proporcionan una garantía razonable de que Google ha implementado políticas y procedimientos en torno a la privacidad de los datos de los clientes de Google Apps.
  • Seguridad física de los centros de datos: los controles proporcionan una garantía razonable de que los centros de datos donde se aloje la información de Google Apps y las oficinas corporativas están protegidos.
  • Gestión de incidentes y disponibilidad: los controles proporcionan una garantía razonable de que los sistemas de Google Apps son redundantes y de que los incidentes se notifican, se tratan y se registran correctamente.
  • Gestión de cambios: los controles proporcionan una garantía razonable de que el desarrollo de Google Apps y las modificaciones que se aplican a este servicio se someten a pruebas y a revisiones de código independientes antes de su lanzamiento.
  • Organización y administración: los controles proporcionan una garantía razonable de que la administración ofrece la infraestructura y los mecanismos necesarios para realizar el seguimiento de las iniciativas de la empresa que afectan a Google Apps y para comunicarlas.
¿Puede mi organización utilizar un sistema de autenticación propio para proporcionar acceso a Google Apps a los usuarios?
Hemos conseguido que resulte muy fácil utilizar la seguridad de la cuenta de Google. Para ello, hemos proporcionado a los empleados acceso seguro mediante inicio de sesión único a un amplio conjunto de aplicaciones personalizadas y SaaS en los equipos de escritorio y dispositivos móviles. Nuestra herramienta de compatibilidad para proveedores de identidad de OpenID Connect (OIDC) se puede utilizar con muchas aplicaciones SaaS en Google Apps Marketplace, y ofrece compatibilidad con SAML 2.0 (lenguaje de marcado para confirmaciones de seguridad) para más de 15 conocidos proveedores de SaaS. Asimismo, hemos conseguido que a los administradores les resulte muy fácil añadir nuevas integraciones de aplicaciones SAML personalizadas. Las organizaciones pueden realizar la integración ellas mismas o con ayuda de un partner de Google.
¿Cómo se generan las contraseñas de Google para las cuentas de usuario de Google Apps?

Para generar las contraseñas para las cuentas de usuario nuevas, Google utiliza una combinación de símbolos, letras mayúsculas y minúsculas, y números. La longitud de la contraseña será superior al mínimo obligatorio (8) o la longitud mínima de la contraseña que hayas establecido para tu dominio.

Un administrador/usuario final ha eliminado varios mensajes de correo electrónico. ¿Cómo puedo recuperarlos?

Cuando un administrador o un usuario final borra datos de Google Apps, los eliminamos según lo establecido en el Acuerdo con el cliente y la Política de privacidad.

Si un administrador elimina una cuenta de usuario, estos datos ya no pueden recuperarse. Consulta el Centro de Ayuda para conocer las prácticas recomendadas para eliminar usuarios.

Si necesitas recuperar mensajes de correo electrónico, Google ofrece productos de archivado adicionales que amplían las funciones de Google Apps for Work, Google Apps for Government y Google Apps for Education. Para obtener información sobre soluciones de recuperación de datos que no estén diseñadas para el correo electrónico, consulta Google Apps Marketplace, donde uno de nuestros partners podría ofrecerte una solución adecuada a tus necesidades.

¿Están protegidos los datos de mi organización del resto de los clientes si se ejecutan en los mismos servidores?

Sí, los datos están protegidos prácticamente como si se encontraran en un servidor propio. Los terceros sin autorización no pueden acceder a tus datos. La competencia tampoco puede acceder a tus datos, y viceversa. De hecho, todas las cuentas de usuario están protegidas a través de este candado virtual que garantiza que un usuario no pueda ver los datos de otro. Es parecido al modo en que se segmentan los datos de los clientes en otras infraestructuras de uso compartido, como las aplicaciones bancarias online.

Google Apps ha superado satisfactoriamente una auditoría de seguridad SOC 2/3. Esto significa que un auditor externo ha analizado los controles que protegen los datos de Google Apps (incluidas la seguridad lógica, la privacidad, la seguridad de los centros de datos, etc.) y ha proporcionado garantías razonables de que estos controles existen y funcionan de forma eficaz.

 

El sistema me pide que acceda al servicio desde otra página. ¿Por qué?

Para facilitarte una mayor protección ante la usurpación de identidad, no permitimos que las páginas web no autorizadas que no sean de Google puedan obtener tu nombre de usuario y contraseña de Google. De este modo, se evita que un sitio web malicioso que quiera robarte la contraseña pueda hacerte creer que sus intenciones son lícitas. Este tipo de fraude se denomina suplantación de identidad o phishing.

Si dudas de algún sitio web, fíjate en la dirección de Internet que aparece en la barra de direcciones de tu navegador. Si no corresponde a un sitio web de Google, no facilites tu nombre de usuario ni tu contraseña de Google.

Una excepción a esta política es la función de inicio de sesión único que se ofrece en Google Apps for Work. Los administradores pueden integrar los servicios de Google con las páginas web actuales para proporcionar una mejor experiencia de usuario. Más información

Suplantación de identidad (phishing)

Los spammers pueden falsificar la dirección de envío en los mensajes de correo electrónico de modo que el spam parezca provenir del dominio de una organización respetable.

Esta práctica, conocida como suplantación de identidad (phishing), suele tener como fin obtener datos confidenciales. Para ayudar a evitar el phishing, Google participa en el programa DMARC, que permite a los propietarios de dominio indicar a los proveedores de correo electrónico cómo gestionar mensajes no autenticados de su dominio. Para implementar DMARC, los clientes de Google Apps deben crear un registro DMARC con su configuración de administrador y establecer un registro SPF y claves DKIM en todo el correo saliente.

¿Cómo actúa Google frente a los usuarios de mi dominio que envían spam?

Si Google detecta que un usuario de una cuenta de correo electrónico de Google Apps envía spam, se reserva el derecho de suspenderle inmediatamente. Si el spam afecta a todo el dominio, Google se reserva el derecho de suspender toda la cuenta y de rechazar el acceso de administrador a todos los servicios de Google Apps. Estas medidas forman parte de la Política de uso aceptable de Google Apps.

Si detectamos que se ha enviado spam, lo notificaremos a la dirección de correo electrónico secundaria registrada.

¿Necesitas denunciar un uso inadecuado? Consulta nuestra página Denuncia de usos inadecuados.
¿Mi organización puede utilizar un sistema de autenticación propio para proporcionar acceso a Google Apps a los usuarios?

Google Apps se integra en los sistemas de inicio de sesión único web estándar mediante SAML 2.0. Las organizaciones pueden realizar la integración ellas mismas o con ayuda de un partner de Google.

  ¿Por qué se revocan los tokens de OAuth de la aplicación cuando se cambia la contraseña de un usuario final?

Con el fin de aumentar la seguridad de la cuenta de los usuarios de Google Apps, cuando se cambie la contraseña de un usuario, se revocarán los tokens de OAuth2 emitidos para el acceso a determinados productos. Por ejemplo, si un usuario pierde su dispositivo y cambia su contraseña de Google, su correo y otros datos dejarán de sincronizarse con dicho dispositivo cuando se restablezca la contraseña.

Los usuarios siempre han tenido la posibilidad de revocar el acceso a las aplicaciones en la pantalla Comprobación de seguridad, y los administradores han contado en todo momento con esta capacidad en la Consola de Administración de Google Apps. Este cambio en nuestra política de seguridad simplemente automatiza el proceso de revocación del token.

¿Te ha sido útil este artículo?
Iniciar sesión en tu cuenta

Para obtener ayuda específica para tu cuenta, inicia sesión con la dirección de correo electrónico de tu cuenta de Apps for Work. También puedes consultar cómo empezar a usar Apps for Work.