In che modo Google protegge la sicurezza e la privacy della tua organizzazione

Google Cloud ha ricevuto un parere senza riserve relativo a un audit SOC (Service Organization Controls) 2/3 rilasciato da un ente di revisione indipendente e siamo quindi orgogliosi di poter offrire agli amministratori la protezione dei dati in base allo standard di settore di certificazione SOC 2/3. Leggi ulteriori informazioni sul rapporto pubblico SOC3.

L'ente di revisione indipendente ha verificato che Google Cloud ha predisposto i seguenti controlli e protocolli:

• Sicurezza logica: i controlli forniscono una ragionevole garanzia che l'accesso logico ai dati e ai sistemi di produzione di Google Cloud è consentito esclusivamente a persone autorizzate.
• Privacy: i controlli forniscono una ragionevole garanzia che Google ha implementato norme e procedure finalizzate alla tutela della privacy dei dati del cliente correlati a Google Cloud.
• Sicurezza fisica dei data center: i controlli forniscono una ragionevole garanzia che i data center che ospitano i dati di Google Cloud e gli uffici dell'azienda sono protetti.
• Gestione incidenti e disponibilità: i controlli forniscono una ragionevole garanzia che i sistemi di Google Cloud sono ridondanti e che gli incidenti vengono adeguatamente segnalati, gestiti e registrati.
• Gestione delle modifiche: i controlli forniscono una ragionevole garanzia che lo sviluppo e le modifiche apportate ai servizi Google Cloud sono sottoposti a test e a una valutazione indipendente del codice prima del rilascio alla produzione.
• Organizzazione e gestione: i controlli forniscono una ragionevole garanzia che l'amministrazione offre l'infrastruttura e i meccanismi adatti a monitorare e a comunicare iniziative, all'interno dell'azienda, che abbiano ripercussioni su Google Cloud.

Agevoliamo l'utilizzo della sicurezza dell'account Google offrendo ai dipendenti l'accesso SSO (Single Sign-On) sicuro a un'ampia gamma di applicazioni SaaS (Software as a Service) e progettate ad hoc su desktop e dispositivi mobili. Il supporto dei Provider di identità OIDC (OpenID Connect) può essere utilizzato con diverse applicazioni SaaS disponibili in Google Workspace Marketplace e include il supporto di SAML (Security Assertion Markup Language) 2.0 per molti provider SaaS comunemente utilizzati. Semplifichiamo inoltre per gli amministratori il compito di aggiungere nuove integrazioni di app SAML personalizzate. Le organizzazioni possono eseguire l'integrazione autonomamente oppure in collaborazione con un partner Google.

Per generare le password per i nuovi account utente, Google utilizza una combinazione di simboli, numeri, lettere maiuscole e minuscole. La lunghezza della password sarà maggiore della lunghezza minima richiesta (otto caratteri) o corrisponderà alla lunghezza minima della password che hai impostato per il tuo dominio.

Quando un amministratore o un utente finale elimina dei dati in Google Cloud, noi li eliminiamo secondo quanto previsto dal Contratto con il cliente e dalle nostre norme sulla privacy.

Una volta che un amministratore ha eliminato un account utente, i dati non possono più essere recuperati. Per conoscere le best practice per l'eliminazione degli utenti, visita il Centro assistenza.

Se hai bisogno di recuperare i messaggi email, Google mette a tua disposizione altri prodotti per l'archiviazione che possono integrare le versioni Government ed Education di Google Workspace. Per soluzioni di recupero di dati diversi dall'email visita il Google Workspace Marketplace per verificare se uno dei nostri partner offre una soluzione adatta alle tue esigenze.

Talvolta gli spammer possono falsificare l'indirizzo del mittente nei messaggi email per far sì che lo spam sembri provenire dal dominio di un'organizzazione rispettabile. Questa pratica, conosciuta come phishing, viene spesso utilizzata nel tentativo di carpire dati sensibili. Per contrastare il phishing, Google ha aderito al programma DMARC (Domain-based Message Authentication, Reporting & Conformance), che consente ai proprietari dei domini di indicare ai provider email come gestire i messaggi non autenticati inviati dal loro dominio. I clienti Google Cloud possono implementare DMARC creando un apposito record nelle impostazioni di amministrazione e implementando un record SPF e chiavi DKIM su tutti i flussi di posta in uscita.

In conformità alle Norme di utilizzo accettabile:

• Se identifichiamo un utente email di Google Workspace che diffonde spam, ci riserviamo il diritto di sospenderlo immediatamente.
• Se lo spamming è diffuso nell'intero dominio, Google si riserva il diritto di sospendere del tutto l'account e di negare agli amministratori l'accesso a tutti i servizi Google Cloud.

Solo il proprietario e gli amministratori del nome di dominio possono creare un account Google Cloud di tipo amministrativo. Subito dopo la registrazione, un amministratore di Google Cloud sarà invitato a provare il controllo del dominio apportando una modifica ai record DNS (Domain Name System). Senza questa verifica Google non consente l'apertura di un account amministrativo. Nessun servizio Google può essere gestito attivamente per un dominio fino a quando la proprietà del dominio non viene verificata.

Dopo aver verificato che un amministratore è proprietario del dominio, possono essere concessi privilegi amministrativi ad altri nomi utente dell'account, a discrezione di uno qualsiasi degli amministratori.

Gli utenti non amministrativi del dominio possono anche contattare il team di assistenza per richiedere l'accesso amministrativo. Il consueto processo di verifica del dominio garantisce che il richiedente disponga dei diritti di gestione del dominio.

Infine, chiunque abbia accesso al tuo indirizzo email secondario registrato può reimpostare la password e accedere all'account amministratore principale.

Secondo quanto stabilito nel Contratto con il cliente, gli amministratori di Google Cloud di un dominio possono accedere a tutti gli account utente e ai relativi dati, come descritto nelle Norme sulla privacy di Google.

Come amministratore di dominio, hai il controllo su tutti i nomi utente e le password all'interno del dominio. Puoi accedere agli account utente in conformità a quanto previsto nel Contratto con il cliente. Tuttavia richiediamo che vengano predisposte norme per azioni di questo tipo e che tali norme siano pubblicate per i tuoi utenti.

Invieremo una notifica all'indirizzo email secondario registrato, con informazioni su eventuali violazioni riguardanti lo spam.

Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea sostituisce la direttiva dell'Unione europea sulla protezione dei dati del 1995 e rafforza i diritti delle persone riguardo ai propri dati personali e mira a unificare le leggi sulla protezione dei dati dei vari paesi europei, a prescindere da dove vengano elaborati i dati.

È importante sottolineare che Google si impegna a rispettare tale regolamento in Google Cloud. Ci impegniamo inoltre ad aiutare i nostri clienti nelle attività di conformità al Regolamento generale sulla protezione dei dati (GDPR) fornendo loro strumenti consolidati di protezione della privacy e della sicurezza, peraltro già incorporati nei nostri servizi e contratti nel corso degli anni.

Tra le altre cose, i titolari del trattamento dei dati devono affidarsi esclusivamente a responsabili del trattamento dei dati che forniscano garanzie sufficienti per implementare misure tecniche e organizzative adeguate in modo che l'elaborazione rispetti i requisiti del GDPR.

I Termini per il trattamento dei dati di Google descrivono chiaramente il nostro impegno nel garantire il rispetto della privacy dei nostri clienti. Nel corso degli anni, abbiamo sviluppato questi termini in base al feedback dei nostri clienti e degli enti normativi e li abbiamo aggiornati in modo che rispettino specificamente le modifiche previste dal GDPR.

Per ulteriori informazioni, visita il nostro sito dedicato al Regolamento generale sulla protezione dei dati (GDPR).