Tu seguridad y privacidad

Dos de los temas más comunes de las preguntas relacionadas con Google en general, y con Google Apps en particular, son la seguridad y la privacidad. Se trata de dos cuestiones que nos tomamos muy en serio y creemos firmemente que los productos y servicios que ofrecemos son una excelente opción en este sentido. Nuestra empresa se basa en la confianza de los usuarios: la confianza en nuestra capacidad para proteger los datos adecuadamente y nuestro compromiso de respetar la privacidad de la información que aportan a nuestros sistemas, sin proporcionarla a otros usuarios y sin hacer un uso inadecuado de ella.

Para responder a algunas de las numerosas preguntas que recibimos y disipar las ideas equivocadas que puedan tener nuestros usuarios, hemos creado esta sección de preguntas frecuentes y el sitio de seguridad de Google Apps. Esperamos que te ayuden a resolver las dudas que puedas tener en relación con la postura de Google ante estas cuestiones de suma importancia.

Si quieres notificar a nuestro equipo sobre un uso inadecuado, aquí encontrarás más información sobre cómo hacerlo.

Privacidad

¿A quién pertenecen los datos que las organizaciones introducen en Google Apps?

Dicho de un modo sencillo, Google no es el propietario de tus datos. No nos posicionamos respecto a si los datos pertenecen a la institución registrada en Google Apps o al usuario (este asunto incumbe solo a estas dos partes), pero, si algo sabemos, es que no nos pertenecen a nosotros.

Los datos que introduces en nuestros sistemas son tuyos y creemos que así debe ser. Esto implica tres cuestiones fundamentales.

  1. No los compartimos con nadie, excepto en los casos que se especifican en la Política de privacidad.
  2. Guardamos tus datos el tiempo que tú quieras.
  3. Deberías poder migrar tus datos en caso de que optes por utilizar servicios externos junto con Google Apps o si dejas de utilizar nuestros servicios por completo.

 

¿Cuándo pueden acceder a mi cuenta los empleados de Google?

Google solo puede acceder a los datos de tu cuenta en estricto cumplimiento de nuestra Política de privacidad y del Acuerdo con el cliente. Con el fin de proporcionar asistencia técnica, un administrador de tu dominio puede conceder permiso al Equipo de asistencia de Google para que acceda a las cuentas y solucione una incidencia específica.

¿Cuáles de mis usuarios pueden acceder a mi cuenta de administrador de Google Apps?

Solo el propietario y los administradores del nombre de dominio pueden crear una cuenta de administrador de Google Apps. Durante el proceso de registro, se solicita a los administradores de Google Apps que verifiquen el control del dominio. Para ello, deben modificar los registros DNS. Sin esta verificación, Google no permite abrir una cuenta de administrador. Para administrar activamente un servicio de Google en un dominio, es necesario verificar la propiedad de dicho dominio.

Una vez que el administrador haya verificado la propiedad, puede otorgar privilegios de administrador a los demás nombres de usuario de la cuenta a su discreción.

Los usuarios que no sean administradores del dominio también pueden ponerse en contacto con el equipo de asistencia de Google Apps para solicitar acceso de administrador. Entonces, se llevará a cabo el proceso de verificación de dominio habitual para comprobar que el solicitante tenga derechos de administración en el dominio.

Por último, cualquier usuario que tenga acceso a tu dirección de correo electrónico secundaria registrada puede iniciar un restablecimiento de la contraseña y acceder a la cuenta de administrador principal.

¿Cuáles de mis usuarios finales pueden obtener acceso a cuentas de otros usuarios finales?

Debido al Acuerdo con el cliente, los administradores de Google Apps de un dominio pueden acceder a todas las cuentas de usuario final y a los datos asociados a ellas, tal y como se describe en laPolítica de privacidad.

Además, pueden controlar todos los nombres de usuario y contraseñas del dominio. Si eres administrador, puedes acceder a las cuentas de tus usuarios, en virtud de lo establecido en el Acuerdo con el cliente. Debes contar con una política que regule estas acciones y facilitarla a los usuarios finales.

¿Google ofrece acceso a los datos de mi organización a terceros?

Google solo puede compartir información con terceros en virtud de lo establecido en la Política de privacidad y el Acuerdo con el cliente. Google no facilita a terceros, ni comparte con ellos, información confidencial de los usuarios como, por ejemplo, los datos personales o del correo electrónico, salvo si la legislación vigente así lo requiere (consulta el Informe de transparencia de Google), si un usuario o un administrador del sistema lo solicitan o si la finalidad de ello es proteger nuestros sistemas. Estas excepciones incluyen: la solicitud de acceso a los mensajes de correo electrónico del usuario que este realiza al personal de asistencia de Google para que diagnostiquen una incidencia; la obligación legal de Google de acceder a dichos datos y la obligación de revelar la información personal cuando creamos que ello es necesario para proteger los derechos, la propiedad o la seguridad de Google, de nuestros usuarios y del público.

Para obtener información detallada al respecto, consulta la sección "Información compartida" de nuestra Política de privacidad.

¿Qué tipo de exploración/indexación se lleva a cabo en los datos de usuario?

Nuestros sistemas exploran e indexan correos electrónicos y algunos otros datos de usuario para diversos fines. Esta exploración está completamente automatizada y no se puede desactivar. Por ejemplo, la exploración nos permite detectar spam y software malicioso, ordenar el correo electrónico para algunas funciones (p. ej., Prioritarios) y ofrecer con rapidez potentes resultados de búsqueda cuando los usuarios buscan información en sus cuentas. La exploración e indexación que nuestros sistemas llevan a cabo también nos permiten mostrar publicidad contextualmente relevante, incluso en Gmail. Si se inhabilitan los anuncios en tu dominio, no utilizaremos tus datos para mostrar publicidad a tus usuarios. En los dominios que utilizan la edición estándar de Google Apps, no se puede inhabilitar los anuncios.

Para obtener más información, consulta nuestra Política de privacidad, los Principios de privacidad y las Condiciones de servicio de Google Apps (versión gratuita de Google Apps, Google Apps for Business, Google Apps for Education).

¿Cuánto tiempo conserva Google los datos de mi organización?

Creemos que debes tener el control de tus datos. Google conserva varias copias de seguridad del contenido de los usuarios para poder recuperar los datos y restaurar las cuentas en caso de producirse errores o fallos en el sistema. Si nos pides que eliminemos determinados mensajes o un contenido concreto, haremos todo lo posible para suprimir la información eliminada de nuestros sistemas en un periodo de tiempo comercialmente razonable. Más información.

¿Cómo gestiona Google el cumplimiento de los requisitos legales?

Consulta el Informe de transparencia de Google para obtener información sobre las solicitudes de datos de usuario por parte del gobierno.

¿Cómo procesa Google el contenido ilegal ofensivo?

Google retirará el software malicioso, contenido de pornografía, imágenes de abuso sexual a menores, contenido de copyright o de marcas comerciales cuando un tercero así se lo notifique, o bien si nuestros sistemas detectan estos tipos de contenido en servidores de Google.

En ese caso, Google se pondrá en contacto con el administrador principal de la cuenta afectada.

¿Necesitas denunciar un uso inadecuado? Consulta nuestra página Denuncia de usos inadecuados.
Si mi organización utiliza Google Apps, ¿estará cumpliendo la Directiva de la Comisión Europea relativa a la protección de datos?

Google cumple los principios de privacidad de garantía de seguridad de los Estados Unidos en cuanto al aviso, a la elección, a la transferencia ulterior, a la seguridad, a la integridad de datos, al acceso y al cumplimiento, y está registrado en el Programa de privacidad de garantía de seguridad del Departamento de Comercio de los Estados Unidos.

Por lo general, es la organización quien tiene que decidir si el uso de Google Apps cumple con las normativas a las que la empresa está sujeta.

¿Dónde puedo encontrar más información acerca de la Política de privacidad de Google?

Consulta nuestro Centro de privacidad para obtener más información: http://www.google.com/privacy.html.

Seguridad

¿En qué me beneficia que Google Apps disponga de un certificado de seguridad SSAE 16/ISAE 3402 tipo II?

Esto significa que un auditor externo independiente ha concedido un certificado SSAE 16 e ISAE 3402 tipo II a Google Apps por haber superado satisfactoriamente la auditoría de seguridad realizada. Google está orgulloso de proporcionar a los administradores de Google Apps la tranquilidad de saber que sus datos están protegidos por los estándares de auditoría SSAE 16 e ISAE 3402 del sector.

El auditor independiente externo ha comprobado que Google Apps aplique los controles y protocolos siguientes:

  • Seguridad lógica: los controles proporcionan una garantía razonable de que el acceso lógico a los sistemas de producción y a los datos de Google Apps está restringido a las personas autorizadas.
  • Privacidad: los controles proporcionan una garantía razonable de que Google ha implementado políticas y procedimientos en torno a la privacidad de los datos de los clientes de Google Apps.
  • Seguridad física de los centros de datos: los controles proporcionan una garantía razonable de que los centros de datos donde se aloje la información de Google Apps y las oficinas corporativas están protegidos.
  • Gestión de incidentes y disponibilidad: los controles proporcionan una garantía razonable de que los sistemas de Google Apps son redundantes y de que los incidentes se notifican, se tratan y se registran correctamente.
  • Gestión de cambios: los controles proporcionan una garantía razonable de que el desarrollo de Google Apps y las modificaciones que se aplican a este servicio se someten a pruebas y a revisiones de código independientes antes de su lanzamiento.
  • Organización y administración: los controles proporcionan una garantía razonable de que la administración ofrece la infraestructura y los mecanismos necesarios para realizar el seguimiento de las iniciativas de la empresa que afectan a Google Apps y para comunicarlas.
¿En qué me beneficia que Google Apps disponga de un certificado de seguridad SAS70 tipo II?

Esto significa que un auditor independiente externo ha concedido un certificado SAS 70 tipo II a Google Apps por haber superado satisfactoriamente la auditoría de seguridad realizada. Google está orgulloso de proporcionar a los administradores de Google Apps la tranquilidad de saber que sus datos están protegidos por el estándar de auditoría SAS 70 del sector.

El auditor independiente externo ha comprobado que Google Apps aplique los controles y protocolos siguientes:

  • Seguridad lógica: los controles proporcionan una garantía razonable de que el acceso lógico a los sistemas de producción y a los datos de Google Apps está restringido a las personas autorizadas.
  • Privacidad: los controles proporcionan una garantía razonable de que Google ha implementado políticas y procedimientos en torno a la privacidad de los datos de los clientes de Google Apps.
  • Seguridad física de los centros de datos: los controles proporcionan una garantía razonable de que los centros de datos donde se aloje la información de Google Apps y las oficinas corporativas están protegidos.
  • Gestión de incidentes y disponibilidad: los controles proporcionan una garantía razonable de que los sistemas de Google Apps son redundantes y de que los incidentes se notifican, se tratan y se registran correctamente.
  • Gestión de cambios: los controles proporcionan una garantía razonable de que el desarrollo de Google Apps y las modificaciones que se aplican a este servicio se someten a pruebas y a revisiones de código independientes antes de su lanzamiento.
  • Organización y administración: los controles proporcionan una garantía razonable de que la administración ofrece la infraestructura y los mecanismos necesarios para realizar el seguimiento de las iniciativas de la empresa que afectan a Google Apps y para comunicarlas.
¿Dónde se almacenan los datos de mi organización?

Los datos se almacenan en la red de centros de datos de Google. Google cuenta con varios centros de datos repartidos por distintas zonas geográficas (consulta la información sobre ubicaciones). Los clústeres de equipos de Google se han diseñado para ofrecer la máxima resistencia y redundancia, así como para eliminar los puntos únicos de fallo y minimizar las posibles consecuencias de los errores habituales de los equipos y los riesgos medioambientales.

El acceso a los centros de datos está muy restringido; solo pueden acceder a ellos los empleados de Google que cuenten con la debida autorización.

¿Están protegidos los datos de mi organización del resto de los clientes si se ejecutan en los mismos servidores?

Sí, os datos están protegidos prácticamente como si se encontraran en un servidor propio. Los terceros sin autorización no pueden acceder a tus datos. La competencia tampoco puede acceder a tus datos, y viceversa. De hecho, todas las cuentas de usuario están protegidas a través de este candado virtual que garantiza que un usuario no pueda ver los datos de otro. Es parecido al modo en que se segmentan los datos de los clientes en otras infraestructuras de uso compartido, como las aplicaciones bancarias online.

Google Apps ha superado satisfactoriamente una auditoría de seguridad SSAE 16 e ISAE 3402 tipo II. Esto significa que un auditor externo ha analizado los controles que protegen los datos de Google Apps (incluidas la seguridad lógica, la privacidad, la seguridad de los centros de datos, etc.) y ha proporcionado garantías razonables de que estos controles existen y funcionan de forma eficaz.

¿Cómo se generan las contraseñas de Google para las cuentas de usuario de Google Apps?

Para generar las contraseñas para las cuentas de usuario nuevas, Google utiliza una combinación de símbolos, letras mayúsculas y minúsculas, y números. La longitud de la contraseña será superior al mínimo obligatorio (8) o la longitud mínima de la contraseña que hayas establecido para tu dominio.

Un administrador/usuario final ha eliminado varios mensajes de correo electrónico. ¿Cómo puedo recuperarlos?

Cuando un administrador o un usuario final suprime datos de Google Apps, los eliminamos según lo establecido en el Acuerdo con el cliente y la Política de privacidad.

Si un administrador elimina una cuenta de usuario, estos datos ya no pueden recuperarse. Consulta el Centro de ayuda si quieres obtener recomendaciones para eliminar usuarios.

Si quieres recuperar mensajes de correo electrónico, Google ofrece servicios de archivado adicional que pueden complementar Google Apps for Business, Google Apps for Government y Google Apps for Education. Para obtener información sobre soluciones de recuperación de datos que no estén diseñadas para el correo electrónico, consulta Google Apps Marketplace, uno de nuestros partners podría ofrecerte una solución adecuada a tus necesidades.

¿Cómo protege Google su infraestructura de los hackers y de otras amenazas?

Google, como proveedor consolidado de servicios basados en web, hace todo lo posible para proteger su infraestructura de las amenazas. Para ello, utiliza hardware personalizado con un SO y un sistema de archivos propio en sus centros de datos. Todos y cada uno de estos sistemas se han optimizado para ofrecer la máxima seguridad y rendimiento. El equipo de protección de la información de Google cuenta con colaboradores externos para probar y mejorar continuamente su infraestructura de seguridad y, de este modo, garantizar su impermeabilidad ante cualquier ataque. Además, puesto que Google controla todos los elementos que conforman sus sistemas, puede responder rápidamente a cualquier amenaza o peligro que pueda surgir.

Google cuenta con varios centros de datos repartidos por distintas zonas geográficas. Los clústeres de equipos de Google se han diseñado para ofrecer la máxima resistencia y redundancia, así como para eliminar los puntos únicos de fallo y minimizar las posibles consecuencias de los errores habituales de los equipos y los riesgos medioambientales. El acceso a nuestros centros de datos está restringido al personal autorizado.

¿Cómo previene y resuelve Google los fallos de seguridad en sus aplicaciones?

Los productos y los servicios de Google se someten a varias revisiones de seguridad. Si se detecta un fallo de seguridad en una aplicación o en un componente de la infraestructura, evaluamos el riesgo y actuamos en consecuencia. El hecho de alojar las aplicaciones en nuestros propios centros de datos nos permite instalar correcciones rápidamente en todos los sistemas sin necesidad de tu intervención.

Nos gusta trabajar con un grupo de investigadores para mejorar la seguridad de Google. También hemos diseñado el programa Recompensa de vulnerabilidad de Google para fomentar la colaboración de nuevos investigadores y los tipos de informes que contribuyen a la seguridad de nuestros usuarios.

¿Qué medidas de protección ante fallos mecánicos o desastres naturales utiliza Google?

La arquitectura de red y de aplicaciones de Google se ha diseñado para ofrecer la máxima fiabilidad y operatividad. La plataforma informática de Google asume la existencia de continuos fallos en el hardware, por lo que contamos con potentes soluciones de recuperación tras fallos para hacer frente a estos errores de funcionamiento. Todos los sistemas de Google son inherentemente redundantes en su diseño, y los subsistemas no dependen de ningún servidor físico ni lógico concreto para garantizar un funcionamiento ininterrumpido. Los datos se replican varias veces en los servidores activos en clúster de Google para que, en caso de producirse un fallo en un determinado sistema, puedas acceder a los datos a través de otro sistema. También replicamos los datos en centros de datos secundarios para garantizar su protección en caso de producirse un fallo en un centro de datos.

¿Es seguro para mi organización acceder a Google Apps a través de Internet?

Todos los servicios de Google Apps ofrecen la posibilidad de acceder a los datos a través de túneles encriptados HTTPS. Los clientes pueden solicitar esta opción para sus usuarios, que garantiza que solo el usuario pueda acceder a sus datos. La encriptación puede utilizarse para acceder a los datos de Gmail, de Google Calendar, del chat de Google, de Google Drive y de Google Sites a través de nuestras aplicaciones web. El cliente de correo electrónico para móviles también utiliza el acceso encriptado para garantizar la privacidad de las comunicaciones. Por el momento, no ofrecemos la posibilidad de utilizar la encriptación en el servicio de la página de inicio ni en Google Vídeos. Los clientes externos que quieran acceder a los datos de tu correo electrónico también deberán utilizar la encriptación.

El sistema me solicita que acceda al servicio desde otra página. ¿Por qué?

Para facilitarte una mayor protección ante la usurpación de identidad, no permitimos que las páginas web no autorizadas que no sean de Google puedan obtener tu nombre de usuario y contraseña de Google. De este modo, se evita que un sitio web malicioso que quiera robarte la contraseña pueda hacerte creer que sus intenciones son lícitas. Este tipo de fraude se denomina suplantación de identidad o phishing.

Si dudas de algún sitio web, fíjate en la dirección de Internet que aparece en la barra de direcciones de tu navegador. Si no corresponde a un sitio web de Google, no facilites tu nombre de usuario ni tu contraseña de Google.

Una excepción a esta política es la función de inicio de sesión único que ofrece Google Apps for Business. Los administradores pueden integrar los servicios de Google con las páginas web existentes para proporcionar una mejor experiencia de usuario. Más información

¿Qué hace Google para proteger mi organización de los ataques de spam, de virus y de suplantación de identidad?

Google cuenta con una de las mejores herramientas de bloqueo de spam del mercado, la cual está integrada en Google Apps. Los mensajes de spam se eliminan cada 30 días. También hemos incorporado a Google Apps un sistema de detección de virus. Asimismo, antes de permitir que un usuario descargue un mensaje, comprobamos los documentos asociados. La mayoría de los virus informáticos se encuentran en archivos ejecutables. Los programas de detección de virus estándar exploran los mensajes para ver si incluyen archivos de este tipo susceptibles de contener virus. Sin embargo, Google bloquea los virus de la forma más directa posible. Simplemente no permite que los usuarios reciban archivos ejecutables (por ejemplo, archivos con la extensión .exe) que puedan contener código dañino, aunque se envíen en formato comprimido (.zip, .tar, .tgz, .taz, .z o .gz).

Google ofrece constantemente a los usuarios de Google Chrome™ y de Firefox® filtros actualizados contra la suplantación de identidad y el software malicioso.

Google combina algoritmos avanzados con informes sobre páginas engañosas de distintas fuentes para descargar en tu navegador una lista con datos sobre sitios susceptibles de practicar la suplantación de identidad o de contener software malicioso. A menudo, la navegación segura puede advertirte de forma automática cuando una página intenta engañarte para que reveles tus datos personales.

¿Necesitas denunciar un uso inadecuado? Consulta nuestra página Denuncia de usos inadecuados.
¿Qué es un CAPTCHA?

Un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart: test de Turing público y automático para distinguir a los ordenadores de los humanos) es un tipo de medida de seguridad conocido como autenticación pregunta-respuesta. Es una prueba de verificación para el inicio de sesión que solo un humano puede superar y que protege tu cuenta contra el spam, el descifrado de contraseñas y otras formas de acceso digital a una cuenta sin autorización. Google usa los CAPTCHA para reforzar la seguridad en los puntos de acceso a las cuentas más sensibles. Más información sobre los CAPTCHA.

¿Cómo puedo evitar que los spammers falsifiquen mi nombre de dominio?

La creación de registros SPF te permitirá proteger tu nombre de dominio de las prácticas de suplantación de dominio.

SPF permite al propietario del dominio usar un formato especial de registros TXT de DNS para especificar qué máquinas/hosts están autorizados a transmitir correo electrónico para su dominio, con lo que es difícil falsificar direcciones de remitentes.

Te recomendamos encarecidamente que crees registros SPF para tu dominio.

¿Necesitas denunciar un uso inadecuado? Consulta nuestra página Denuncia de usos inadecuados.
¿Cómo responde Google a los usuarios de mi dominio que envían spam?

Si Google detecta que un usuario de una cuenta de correo electrónico de Google Apps envía spam, se reserva el derecho de suspenderle inmediatamente. Si el spam afecta a todo el dominio, Google se reserva el derecho de suspender toda la cuenta y de rechazar el acceso de administrador a todos los servicios de Google Apps. Estas medidas forman parte de la Política de uso aceptablede Google Apps.

Si detectamos que se ha enviado spam, lo notificaremos a la dirección de correo electrónico secundaria registrada.

¿Necesitas denunciar un uso inadecuado? Consulta nuestra página Denuncia de usos inadecuados.
¿Mi organización puede utilizar un sistema de autenticación propio para proporcionar acceso a Google Apps a los usuarios?

Google Apps se integra en los sistemas de inicio de sesión único web estándar mediante SAML 2.0. Las organizaciones pueden realizar la integración por ellas mismas, o bien conjuntamente con un partner de Google.

¿Ofrece Google Apps conectividad SSL/TLS?

Sí, la conectividad SSL (Secure Sockets Layer: capa de conexión segura)/TLS (Transport Layer Security: seguridad de capa de transporte) está disponible para todos los clientes de Google Apps y se habilita de forma predeterminada para los nuevos clientes.

El protocolo SSL/TLS permite establecer comunicaciones seguras en Internet para actividades como la navegación web o el uso del correo electrónico, de la mensajería instantánea y de otros sistemas de transferencia de datos. Si habilitas la conexión HTTPS (Hypertext Transfer Protocol Secure: protocolo de transferencia segura de hipertexto), Google forzará el protocolo HTTPS cuando los usuarios accedan a la mayoría de los servicios de Google Apps. HTTPS varía en función del servicio y está disponible para Gmail, Google Calendar, Google Drive, Google Sites y el chat de Google. Para obtener más información sobre cómo habilitar las conexiones SSL, consulta el Centro de ayuda.

¿Qué es la FISMA?

La Ley federal estadounidense de protección de la información de 2002 o FISMA (Federal Information Security Management Act), destinada a proteger los datos de los sistemas de información de los organismos federales, afecta a todos los sistemas de información utilizados u operados por organismos federales estadounidenses o bien por contratistas u otras organizaciones en nombre del gobierno. El gobierno federal de los EE.UU. ha concedido a Google Apps la certificación FISMA de nivel moderado, el nivel estándar que utilizan los sistemas de correo electrónico del gobierno estadounidense.

Si quieres obtener más información sobre la ley FISMA, encontrarás una entrada muy detallada en la Wikipedia (en inglés).

¿Google Apps usa TLS oportunista para el envío de correos electrónicos salientes?

Sí, Google Apps admite SSL/TLS para las comunicaciones SMTP y utilizará TLS para enviar correos electrónicos salientes si el destinatario ofrece TLS.