Cara Google melindungi keamanan dan privasi organisasi Anda

Auditor pihak ketiga yang independen mengeluarkan opini audit Service Organizations Controls (SOC) 2/3 berupa wajar tanpa pengecualian untuk Google Cloud. Google dengan bangga meyakinkan para administrator Google Cloud bahwa data mereka aman berdasarkan standar industri audit SOC 2/3. Pelajari laporan publik SOC3 lebih lanjut. Anda bisa mendapatkan salinan laporan SOC 2 kami dari Pengelola Laporan Kepatuhan Cloud. 

Auditor pihak ketiga independen telah memverifikasi bahwa Google Cloud menerapkan kontrol dan protokol berikut:

• Keamanan logis—Kontrol memberikan jaminan yang wajar bahwa akses logis ke sistem produksi dan data Google Cloud dibatasi hanya bagi individu yang diberi otorisasi
• Privasi—Kontrol memberikan jaminan yang wajar bahwa Google telah menerapkan kebijakan dan prosedur yang menangani privasi data pelanggan yang terkait dengan Google Cloud
• Keamanan fisik pusat data—Kontrol memberikan jaminan yang wajar bahwa pusat data tempat data Google Cloud berada dan kantor perusahaannya terlindungi
• Manajemen insiden dan ketersediaan—Kontrol memberikan jaminan yang wajar bahwa sistem Google Cloud redundan dan bahwa insiden dilaporkan, ditanggapi, serta dicatat dengan benar
• Manajemen perubahan—Kontrol memberikan jaminan yang wajar bahwa pengembangan dan perubahan pada Google Cloud menjalani pengujian dan peninjauan kode independen sebelum diluncurkan ke tahap produksi
• Organisasi dan administrasi—Kontrol memberikan jaminan yang wajar bahwa pihak manajemen memberikan infrastruktur dan mekanisme untuk melacak dan mengomunikasikan inisiatif dalam perusahaan yang memengaruhi Google Cloud

General Data Protection Regulation (GDPR) EU menggantikan Data Protection Directive EU (1995). GDPR memperkuat hak-hak yang dimiliki individu sehubungan dengan data pribadi yang menyangkut diri mereka dan berusaha menyatukan hukum perlindungan data di seluruh Eropa, di mana pun data tersebut diproses.

Anda dapat mengandalkan fakta bahwa Google berkomitmen mematuhi GDPR untuk Google Cloud. Kami juga berkomitmen untuk membantu pelanggan memenuhi kepatuhan mereka pada GDPR dengan memberikan perlindungan privasi dan keamanan kokoh yang telah diintegrasikan dalam layanan dan kontrak kami selama bertahun-tahun.

Selain kewajiban lainnya, pengontrol data diwajibkan untuk hanya menggunakan pemroses data yang memberikan jaminan memadai bagi penerapan tindakan teknis dan organisasi yang tepat sedemikian rupa sehingga pemrosesan data akan memenuhi persyaratan GDPR.

Persyaratan pemrosesan data kami menjabarkan dengan jelas komitmen privasi kami kepada pelanggan. Kami telah mengembangkan persyaratan tersebut selama bertahun-tahun berdasarkan masukan pelanggan dan pembuat peraturan, dan kami telah memperbaruinya secara khusus untuk menghadapi perubahan GDPR.

Kunjungi situs GDPR untuk mengetahui informasi selengkapnya.

GDPR akan langsung berlaku untuk pemroses data (misalnya, penyedia layanan cloud seperti Google) terlepas dari komitmen kontrak mereka terkait hal ini. Google berkomitmen untuk mematuhi GDPR dan membantu pelanggan agar mereka juga mematuhinya. Lihat Amendemen Pemrosesan Data GDPR terbaru kami untuk memfasilitasi penilaian kepatuhan dan kesiapan GDPR Anda saat menggunakan Layanan Google Cloud.

Anda dapat memilih untuk ikut serta dalam Amendemen Pemrosesan Data dengan mengikuti proses online yang dijelaskan di sini.

Infrastruktur Google didistribusikan secara strategis di beberapa pusat data di seluruh dunia. Untuk lebih jelasnya, beberapa fasilitas penyimpanan data Google berada di negara di luar Wilayah Ekonomi Eropa (EEA). Selain itu, implementasi dukungan 24/7 Google Cloud memastikan pengiriman layanan secara gesit dan efektif di seluruh dunia, dan beberapa pusat dukungan berada di luar EEA. Kami tidak dapat memberikan informasi lokasi persis pusat data tempat data Anda disimpan karena alasan di atas.

Kami mempermudah penggunaan keamanan Akun Google dengan memberikan akses Single Sign-On (SSO) yang aman ke berbagai Software as a Service (SaaS) serta aplikasi yang dibuat khusus di desktop dan perangkat seluler kepada karyawan. Dukungan Penyedia Identitas (IdP) OpenID Connect (OIDC) kami dapat digunakan dengan berbagai aplikasi SaaS di Google Workspace Marketplace, dan dilengkapi dengan dukungan Security Assertion Markup Language (SAML) 2.0 untuk berbagai penyedia SaaS yang populer. Kami juga memudahkan admin untuk menambahkan integrasi aplikasi SAML kustom baru. Organisasi dapat melakukan integrasi sendiri atau bekerja sama dengan partner Google untuk melakukannya.

Untuk membuat sandi akun pengguna baru, Google menggunakan pola campuran yang terdiri dari simbol, huruf besar dan kecil, serta angka. Panjang sandi adalah mana yang lebih panjang antara batas minimum (8), atau panjang sandi minimum yang telah disetel untuk domain Anda.

Setelah administrator atau pengguna akhir menghapus semua data di Google Cloud, kami menghapusnya sesuai dengan Perjanjian Pelanggan dan Kebijakan Privasi kami.

Data tidak dapat dipulihkan setelah administrator menghapus akun pengguna. Lihat Pusat Bantuan untuk praktik terbaik tentang menghapus pengguna.

Jika Anda perlu memulihkan pesan email, Google menawarkan produk pengarsipan tambahan (Google Vault) yang dapat melengkapi edisi Google Workspace Business dan Enterprise. Untuk produk yang tidak tercakup oleh solusi pemulihan Google Vault, lihat Google Workspace Marketplace tempat salah satu partner kami mungkin memiliki solusi yang sesuai dengan kebutuhan Anda.

Pelaku spam terkadang dapat memalsukan alamat “Dari” di pesan email sehingga pesan tersebut seakan-akan berasal dari domain organisasi ternama. Praktik yang dikenal sebagai phishing ini sering kali merupakan upaya untuk mengumpulkan data yang sensitif. Untuk membantu mencegah phishing, Google berpartisipasi dalam program Domain based Message Authentication, Reporting & Conformance (DMARC), yang memungkinkan pemilik domain memberi tahu penyedia email cara menangani pesan tidak sah dari domain mereka. Pelanggan Google Cloud dapat menerapkan DMARC dengan membuat data DMARC di setelan administrator dan menerapkan data SPF serta kunci DKIM di semua aliran email keluar.

Sesuai dengan Kebijakan Penggunaan yang Dapat Diterima:

• Jika Google menemukan adanya pengguna email Google Workspace yang melakukan pengiriman spam, kami berhak untuk segera menangguhkan pengguna tersebut.
• Jika spam meluas ke seluruh domain, kami berhak menangguhkan seluruh akun dan menolak akses administrator ke semua layanan Google Cloud.

Hanya pemilik dan pengelola nama domain yang dapat membuat akun administratif Google Cloud. Setelah mendaftar, administrator Google Cloud akan diminta memverifikasi kontrol domain dengan membuat perubahan pada data Domain Name System (DNS). Tanpa verifikasi ini, Google tidak mengizinkan akun administratif dibuka. Tidak satu pun layanan Google dapat dikelola secara aktif untuk sebuah domain sebelum kepemilikan domain diverifikasi.

Setelah administrator memverifikasi kepemilikan, nama pengguna lain di akun dapat diberi hak istimewa administratif atas kebijakan administrator.

Pengguna non-administratif di domain juga dapat menghubungi tim Dukungan untuk meminta akses admin. Proses verifikasi domain biasa akan memastikan bahwa pemohon memiliki hak pengelolaan domain.

Terakhir, setiap individu yang memiliki akses ke alamat email sekunder yang terdaftar dapat mereset sandi dan mengakses akun administrator utama.

Sesuai dengan Perjanjian Pelanggan domain, administrator Google Cloud untuk domain dapat mengakses semua akun pengguna dan data terkait, sebagaimana dijelaskan dalam Kebijakan Privasi kami.

Sebagai administrator domain, Anda memiliki kontrol terhadap semua nama dan sandi pengguna di domain. Anda dapat mengakses akun pengguna sesuai dengan Perjanjian Pelanggan. Namun, kami mengharuskan Anda memiliki kebijakan tentang tindakan semacam itu yang dipublikasikan kepada pengguna.

Kami akan mengirim pemberitahuan ke alamat email sekunder yang terdaftar mengenai setiap pelanggaran spam.