Sicurezza e privacy degli utenti

La sicurezza e la privacy sono due degli argomenti più comuni su cui vertono le domande riguardanti Google in generale e, più in particolare, Google Apps. Prendiamo entrambi gli argomenti molto sul serio e crediamo fermamente che le nostre offerte rappresentino un'ottima opzione per i clienti su entrambi i fronti. La nostra azienda si basa sulla fiducia degli utenti, ovvero sulla fiducia che ripongono nella nostra capacità di proteggere adeguatamente i loro dati e nel nostro impegno a rispettare la privacy delle informazioni che vengono inserite nei nostri sistemi, perché non forniamo i dati a terzi e non li usiamo in modo inappropriato.

Per contribuire a rispondere ad alcune delle tante domande che riceviamo e per dissipare alcuni equivoci comuni che riscontriamo, abbiamo creato queste Domande frequenti (FAQ) e il relativo sito sulla sicurezza di Google Apps. Ci auguriamo che questi supporti aiutino a rispondere ad alcune delle vostre domande sulla posizione di Google in merito a questi temi importanti.

Se hai bisogno di segnalare un abuso, leggi queste informazioni sulla segnalazione di abusi al nostro team.

Privacy

Chi è il proprietario dei dati che le organizzazioni inseriscono in Google Apps?

In poche parole, Google non è proprietario dei tuoi dati. Non cerchiamo di sapere se i dati appartengono all'organizzazione che si è iscritta a Google Apps o al singolo utente (questa è una questione che spetta a voi stabilire). Una cosa è certa: questi dati non appartengono a noi.

I dati che inserisci nei nostri sistemi appartengono a te e crediamo che così debba continuare a essere. Riteniamo che ciò significhi tre cose fondamentali.

  1. Non condivideremo i tuoi dati con altri, ad eccezione di quanto previsto dalle Norme sulla privacy.
  2. I tuoi dati vengono conservati solo finché tu ci chiedi di farlo.
  3. Infine, devi essere in grado di portare i tuoi dati con te se scegli di utilizzare servizi esterni in combinazione con Google Apps o di smettere del tutto di utilizzare i nostri servizi.

 

In quali occasioni i dipendenti di Google accedono al mio account?

Google potrà accedere ai dati del tuo account solo in assoluta conformità alle nostre Norme sulla privacy e al Contratto con il cliente. Allo scopo di fornire assistenza tecnica, un amministratore del tuo dominio può decidere di concedere al team di assistenza di Google l'autorizzazione ad accedere agli account per risolvere un problema specifico.

Quali tra i miei utenti possono accedere al mio account Google Apps amministrativo?

Solo il proprietario e gli amministratori del nome di dominio possono creare un account Google Apps amministrativo. Subito dopo l'iscrizione, a un amministratore di Google Apps viene chiesto di verificare il controllo del dominio apportando una modifica ai record DNS. Senza questa verifica, Google non consentirà l'apertura di un account amministrativo. Nessuno dei servizi Google può essere gestito attivamente per un dominio fino a quando la proprietà del dominio non viene verificata.

Dopo che un amministratore ha verificato la proprietà, possono essere concessi privilegi amministrativi ad altri nomi utente dell'account, a discrezione di un amministratore.

Gli utenti non amministrativi del dominio possono anche contattare il team di assistenza di Google Apps per richiedere l'accesso amministrativo. Per accertare che il richiedente abbia i diritti di gestione del dominio verrà eseguito il consueto processo di verifica del dominio.

Infine, qualsiasi individuo che abbia accesso al tuo indirizzo email secondario registrato può avviare una reimpostazione della password e accedere all'account principale dell'amministratore.

Quali tra i miei utenti finali possono accedere ad account di altri utenti finali?

Secondo quanto stabilito nel Contratto con il cliente, gli amministratori di Google Apps di un dominio possono accedere a tutti gli account degli utenti finali e ai dati a questi associati, come illustrato nelle Norme sulla privacy.

In qualità di amministratore del dominio, hai tu il controllo di tutti i nomi utente e password all'interno del tuo dominio. Puoi accedere agli account utente in conformità a quanto previsto nel contratto con il cliente. Noi richiediamo l'esistenza di norme per azioni di questo tipo e che tali norme siano pubblicate per i tuoi utenti finali.

Google concede a terze parti l'accesso ai dati della mia organizzazione?

Google può solo condividere informazioni con terze parti in conformità alle nostre Norme sulla privacy e al Contratto con il cliente. Google non condivide né rivela a terze parti i contenuti privati degli utenti come, ad esempio, email o informazioni personali, salvo nei casi previsti dalla legge, (vedi il Rapporto sulla trasparenza di Google), su richiesta di un utente o di un amministratore di sistema o per proteggere i nostri sistemi. Rientrano tra le eccezioni: le richieste rivolte dagli utenti al personale di assistenza di Google affinché acceda ai loro messaggi email per diagnosticare problemi; quando Google è obbligata per legge a farlo; quando siamo obbligati a divulgare informazioni personali perché abbiamo ragione di ritenere che ciò sia necessario per proteggere i diritti, la proprietà o la sicurezza di Google, dei suoi utenti e del pubblico.

Per maggiori dettagli, consulta la sezione "Condivisione dei dati" delle Norme sulla privacy.

Quale tipo di scansione o di indicizzazione dei dati degli utenti viene utilizzato?

I nostri sistemi eseguono la scansione e l'indicizzazione delle email e di altri tipi di dati utente per diversi scopi. La scansione è una procedura automatica al 100% e non può essere disattivata. La scansione ci permette, ad esempio, di rilevare spam e malware, di ordinare le email attraverso funzioni quali Posta prioritaria e di restituire risultati di ricerca rapidi e pertinenti quando gli utenti cercano informazioni nei propri account. La scansione e l'indicizzazione eseguite dai nostri sistemi ci consentono inoltre di mostrare annunci pubblicitari rilevanti in base al contesto anche in Gmail. Se per il tuo dominio sono disabilitati gli annunci pubblicitari, non utilizzeremo i tuoi dati per mostrare tali annunci ai tuoi utenti. Per i domini che utilizzano la versione gratuita standard di Google Apps non è possibile disabilitare gli annunci pubblicitari.

Per ulteriori informazioni, consulta tutti i dettagli contenuti nelle norme sulla privacy, nei principi sulla privacy e nei nostri Termini di servizio di Google Apps (versione gratuita di Google Apps, Google Apps for Business, Google Apps for Education).

Per quanto tempo Google conserva i dati della mia organizzazione?

Crediamo che tu debba avere il controllo sui tuoi dati. Google conserva più copie di backup dei contenuti degli utenti per consentirci di recuperare i dati e ripristinare gli account in caso di errori o di guasti del sistema. Quando ci chiedi di eliminare messaggi e contenuti, facciamo il possibile per rimuovere le informazioni eliminate dai nostri sistemi entro un periodo di tempo commercialmente ragionevole. Ulteriori informazioni.

In che modo Google gestisce le richieste di applicazione della legge?

Per informazioni sulle richieste governative relative ai dati utente, consulta il Rapporto sulla trasparenza di Google.

Quali modalità impiega Google per la gestione dei contenuti la cui legalità è discutibile?

Google eliminerà malware, contenuti pornografici, immagini relative ad abusi sessuali ai danni di bambini, contenuti protetti da copyright o da marchi in caso di segnalazioni da parte di terzi o qualora i nostri sistemi rilevassero tali tipologie di contenuti sui server Google.

Google contatterà l'amministratore dell'account principale nel caso in cui ciò si verificasse.

Devi segnalare un illecito? Consulta la nostra pagina di segnalazione dei casi di illecito.
La mia organizzazione è conforme alla direttiva della Commissione Europea sulla protezione dei dati se utilizza Google Apps?

Google aderisce ai principi "Safe Harbor" in vigore negli Stati Uniti per la tutela della privacy, in relazione a preavviso, scelta, trasferimento successivo, sicurezza, integrità dei dati, accesso e applicazione ed è registrata nel Programma Safe Harbor del Dipartimento del Commercio degli Stati Uniti.

In generale, un'organizzazione deve decidere se il suo uso di Google Apps è conforme a tutte le normative cui è soggetta.

Dove posso trovare ulteriori informazioni sulle Norme sulla privacy di Google?

Per ulteriori informazioni, consulta il nostro centro sulla privacy: http://www.google.com/privacy.html.

Sicurezza

Che cosa comporta la certificazione SSAE 16/ISAE 3402 Type II per Google Apps?

Un esaminatore indipendente terzo ha rilasciato a Google Apps una certificazione SSAE16 e ISAE 3402 Type II senza riserva. Google è orgogliosa di essere in grado di fornire agli amministratori di Google Apps la certezza che i dati sono protetti in base allo standard di settore di certificazione di SSAE 16 e ISAE 3402.

L'esaminatore indipendente terzo ha verificato che Google Apps ha predisposto i seguenti controlli e protocolli:

  • Sicurezza logica: i controlli forniscono una ragionevole garanzia che l'accesso logico ai dati e ai sistemi di produzione di Google Apps è limitato a persone autorizzate
  • Privacy: i controlli forniscono una ragionevole garanzia che Google ha implementato norme e procedure finalizzate ad affrontare la tutela della privacy dei dati del cliente relativamente a Google Apps
  • Sicurezza fisica dei data center: i controlli forniscono una ragionevole garanzia che i data center che ospitano i dati di Google Apps e gli uffici dell'azienda sono protetti
  • Gestione degli incidenti e disponibilità: i controlli forniscono una ragionevole garanzia che i sistemi Google Apps sono ridondanti e che gli incidenti vengono adeguatamente segnalati, affrontati e registrati
  • Gestione delle modifiche: i controlli forniscono una ragionevole garanzia che lo sviluppo e le modifiche di Google Apps vengono sottoposti a test e a una revisione indipendente del codice prima del rilascio in ambiente di produzione
  • Organizzazione e gestione: i controlli forniscono una ragionevole garanzia che l'amministrazione offre l'infrastruttura e i meccanismi adatti a tenere traccia e a comunicare iniziative, all'interno della società, che abbiano ripercussioni su Google Apps
Che cosa comporta la certificazione SAS70 Type II per Google Apps?

Un esaminatore indipendente terzo ha rilasciato a Google Apps una certificazione SAS70 Type II senza riserva. Google è orgogliosa di essere in grado di fornire agli amministratori di Google Apps la certezza che i dati sono protetti in base allo standard di settore di certificazione di SAS70.

L'esaminatore indipendente di terze parti ha verificato che Google Apps ha predisposto i seguenti controlli e protocolli:

  • Sicurezza logica: i controlli forniscono una ragionevole garanzia che l'accesso logico ai dati e ai sistemi di produzione di Google Apps è limitato a persone autorizzate
  • Privacy: i controlli forniscono una ragionevole garanzia che Google ha implementato norme e procedure finalizzate ad affrontare la tutela della privacy dei dati del cliente relativamente a Google Apps
  • Sicurezza fisica dei data center: i controlli forniscono una ragionevole garanzia che i data center che ospitano i dati di Google Apps e gli uffici dell'azienda sono protetti
  • Gestione degli incidenti e disponibilità: i controlli forniscono una ragionevole garanzia che i sistemi Google Apps sono ridondanti e che gli incidenti vengono adeguatamente segnalati, affrontati e registrati
  • Gestione delle modifiche: i controlli forniscono una ragionevole garanzia che lo sviluppo e le modifiche di Google Apps vengono sottoposti a test e a una revisione indipendente del codice prima del rilascio in ambiente di produzione
  • Organizzazione e gestione: i controlli forniscono una ragionevole garanzia che l'amministrazione offre l'infrastruttura e i meccanismi adatti a tenere traccia e a comunicare iniziative, all'interno della società, che abbiano ripercussioni su Google Apps
Dove vengono archiviati i dati della mia organizzazione?

I tuoi dati saranno memorizzati nella rete dei data center di Google. Google gestisce un certo numero di data center dislocati geograficamente (vedi le informazioni sulla posizione). I cluster di calcolo di Google sono progettati pensando alla resilienza e alla ridondanza, eliminando tutti i single point of failure (SPF) e riducendo al minimo l'impatto dei comuni guasti dell'apparecchiatura e i rischi ambientali.

L'accesso ai data center è rigorosamente limitato a personale di Google selezionato e autorizzato.

I dati della mia organizzazione sono protetti dagli altri vostri clienti quando sono in esecuzione sugli stessi server?

Sì. I dati sono praticamente protetti come se fossero ospitati su un server dedicato. Parti non autorizzate non possono accedere ai tuoi dati. La concorrenza non può accedere ai tuoi dati e viceversa. Di fatto tutti gli account utente sono protetti da una serratura virtuale che assicura che un utente non possa vedere i dati di un altro utente. Questo approccio è simile alla segmentazione dei dati cliente in altre infrastrutture condivise, come le applicazioni di banking online.

Google Apps ha superato in maniera soddisfacente le certificazioni SSAE 16 e ISAE 3402 Type II. Significa che un esaminatore indipendente ha verificato i controlli che proteggono i dati in Google Apps (inclusi la sicurezza logica, la privacy, la sicurezza dei data center e così via) e ha fornito una ragionevole garanzia che tali controlli sono stati predisposti e che funzionano correttamente.

Come vengono generate le password di Google per gli account utente Google Apps?

Per generare le password per i nuovi account utente, Google utilizza una combinazione di simboli, numeri, lettere maiuscole e minuscole. La lunghezza della password sarà il valore maggiore tra il requisito minimo (8) e la lunghezza minima che hai impostato per il dominio.

Un amministratore/utente finale ha eliminato un certo numero di messaggi email. Come posso recuperarli?

Quando un amministratore o un utente finale eliminano dei dati in Google Apps, noi li eliminiamo in base al Contratto con il cliente e alle nostre Norme sulla privacy.

Una volta che un amministratore ha eliminato un account utente, i dati diventano irrecuperabili. Per conoscere le procedure ottimali di eliminazione degli utenti, consulta il Centro assistenza.

Se hai bisogno di recuperare dei messaggi email, Google offre altri prodotti per l'archiviazione che possono integrare le edizioni Google Apps for Business, Education e Government. Per soluzioni di recupero di dati diversi dall'email, consulta Google Apps Marketplace dove uno dei nostri partner potrebbe avere una soluzione adatta alla tue esigenze.

Come si protegge l'infrastruttura dagli hacker e da altre minacce?

Google, fornitore consolidato di servizi basati sul Web, fa di tutto per proteggere i dati contro le minacce. Google gestisce i suoi data center utilizzando un hardware personalizzato che esegue un sistema operativo e un file system personalizzati. Ciascuno di questi sistemi è stato ottimizzato per la sicurezza e le prestazioni. Il team di Google che si occupa della sicurezza lavora con soggetti esterni per testare e migliorare costantemente l'infrastruttura di sicurezza al fine di assicurarne l'impenetrabilità agli attacchi esterni. Poiché Google controlla l'intera sequenza che esegue i nostri sistemi, siamo in grado di reagire rapidamente di fronte a qualsiasi minaccia o all'eventuale individuazione di punti deboli.

Google gestisce un certo numero di data center dislocati in diverse località geografiche. I cluster di calcolo di Google sono progettati pensando alla resilienza e alla ridondanza, eliminando tutti i single point of failure (SPF) e riducendo al minimo l'impatto dei comuni guasti dell'apparecchiatura e i rischi ambientali. L'accesso ai nostri data center è consentito solo al personale autorizzato.

Come fate a prevenire e risolvere i problemi di sicurezza nelle vostre applicazioni?

I prodotti e i servizi Google vengono sottoposti a una serie di controlli di sicurezza. Se viene rilevato un problema di sicurezza in un componente di un'applicazione o di un'infrastruttura, valutiamo il rischio e agiamo di conseguenza. Poiché ospitiamo le applicazioni nei nostri data center, possiamo implementare rapidamente le correzioni a tutti i nostri sistemi senza richiedere alcuna azione da parte tua.

Abbiamo la fortuna di lavorare con un gruppo di ricercatori che ci aiutano a migliorare la sicurezza di Google. Disponiamo inoltre del programma Google Vulnerability Reward progettato con l'intento di incoraggiare i nuovi ricercatori e tutti i tipi di rapporti che ci consentono di potenziare la sicurezza dei nostri utenti.

Come vi proteggete contro guasti dei computer o calamità naturali?

L'architettura delle applicazioni e della rete gestita da Google è stata progettata per la massima affidabilità e disponibilità. La piattaforma di calcolo di Google è in grado di reggere il carico presunto di guasti hardware ricorrenti, mentre un affidabile meccanismo di failover del software consente di resistere a queste interruzioni. Tutti i sistemi di Google sono progettati per essere intrinsecamente ridondanti e l'operatività continua dei singoli sottosistemi non dipende da alcun server fisico o logico. I dati vengono replicati più volte sui server attivi in cluster di Google. In questo modo, in caso di malfunzionamento di un computer, i dati restano accessibili su un altro sistema. Replichiamo inoltre i dati in data center secondari per garantire la sicurezza in caso di guasti dei data center.

È sicuro per la mia organizzazione accedere a Google Apps su Internet?

Tutti i servizi di Google Apps offrono la possibilità di accedere a tutti i dati utilizzando i tunnel crittografati HTTPS. I clienti possono scegliere di richiedere questa opzione per i propri utenti. Questo assicura che nessuno abbia accesso ai dati del cliente, tranne il cliente stesso. Ciò è vero per l'accesso ai dati di Gmail, Google Calendar, Google Chat, Google Drive e Google Sites tramite le nostre applicazioni web. Il client di posta per dispositivi mobili utilizza anche l'accesso criptato per garantire la privacy delle comunicazioni. Al momento non offriamo il servizio di crittografia nella pagina iniziale e nel servizio Google Video. Richiediamo anche la crittografia per l'accesso ai dati della tua posta da client di posta di terze parti.

Mi viene chiesto di accedere da una pagina diversa. Perché?

Per proteggerti contro i furti di identità, non consentiamo alle pagine web diverse da Google non autorizzate di raccogliere informazioni quali il tuo nome utente e la tua password Google. In caso contrario, un sito web dannoso che volesse rubare la tua password potrebbe più facilmente spacciarsi per sito amichevole. Questa forma di frode viene denominata phishing.

Se hai un dubbio, controlla l'indirizzo Internet visualizzato nella barra degli indirizzi del browser. Se l'indirizzo non è un sito web Google, non inserire il nome utente e la password di Google.

Un'eccezione a questa norma è rappresentata dalla funzione Single Sign-On offerta in Google Apps for Business. Gli amministratori possono integrare i servizi Google con pagine web esistenti per fornire un'esperienza utente uniforme. Ulteriori informazioni

Come proteggete la mia organizzazione contro spam, virus e attacchi di phishing?

Google ha uno dei migliori programmi di blocco di spam nel settore, integrato in Google Apps. Lo spam viene eliminato ogni 30 giorni. Il controllo dei virus è incorporato e imponiamo il controllo dei documenti prima di consentire a un utente di scaricare qualsiasi messaggio. Poiché la maggior parte dei virus è contenuta in file eseguibili, i programmi di rilevamento di virus standard eseguono la scansione dei messaggi alla ricerca di file eseguibili che sembrano essere virus. Google consente di bloccare i virus nel modo più diretto possibile, ossia non permettendo agli utenti di ricevere file eseguibili (ad esempio, file che terminano con .exe) che potrebbero contenere codice eseguibile potenzialmente pericoloso, anche se inviati in un formato compresso (.zip, .tar, .tgz, .taz, .z, .gz).

Google fornisce agli utenti di Google Chrome™ e Firefox® filtri costantemente aggiornati contro phishing e malware.

Grazie alla combinazione di algoritmi avanzati e segnalazioni di pagine sospette da una serie di fonti, Google scarica nel browser un elenco di informazioni sui siti che potrebbero utilizzare il phishing o che contengono software dannoso. Il servizio di Navigazione sicura è spesso in grado di avvisarti automaticamente quando apri una pagina che sta cercando di indurti a rivelare informazioni personali.

Devi segnalare un illecito? Consulta la nostra pagina di segnalazione dei casi di illecito.
Che cos'è il CAPTCHA?

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) è un tipo di misura di sicurezza nota come autenticazione della risposta challenge. Si tratta di un test per la verifica dell'accesso che solo un essere umano è in grado di eseguire; protegge il tuo account da spam, decrittazione password e altre forme di accesso digitale all'account non autorizzato. Google utilizza il CAPTCHA per rafforzare la sicurezza nei punti di accesso all'account più sensibili. Ulteriori informazioni sul CAPTCHA.

Come faccio a impedire agli spammer di eseguire lo spoofing del mio nome di dominio?

La pubblicazione di record SPF proteggerà il tuo nome di dominio da chiunque tenti di falsificarlo.

SPF consente a un proprietario di dominio di utilizzare un formato speciale dei record TXT DNS per specificare quali computer/host sono autorizzati a trasmettere messaggi email per il suo dominio. In questo modo è difficile falsificare l'indirizzo del mittente.

Ti consigliamo vivamente di pubblicare i record SPF per il tuo dominio.

Devi segnalare un illecito? Consulta la nostra pagina di segnalazione dei casi di illecito.
In quale modo Google risponde agli utenti del mio dominio che inviano spam?

Se identifichiamo un utente email di Google Apps che diffonde dello spam, ci riserviamo il diritto di sospenderlo immediatamente. Se lo spam riguarda l'intero dominio, ci riserviamo il diritto di sospendere l'intero account e di negare l'accesso amministrativo a tutti i servizi Google Apps. Ciò è conforme alle Norme di utilizzo accettabile di Google Apps.

Invieremo una notifica all'indirizzo email secondario che avete registrato, con informazioni su eventuali violazioni riguardanti lo spam.

Devi segnalare un illecito? Consulta la nostra pagina di segnalazione dei casi di illecito.
La mia organizzazione può utilizzare il nostro sistema di autenticazione per fornire l'accesso utente a Google Apps?

Google Apps si integra con i sistemi web Single Sign-On standard che utilizzano lo standard SAML 2.0. Le organizzazioni possono eseguire l'integrazione autonomamente o lavorare con la consulenza di un partner Google.

Google Apps offre la connettività SSL/TSL?

Sì, la connettività SSL (Secure Sockets Layer)/TLS (Transport Layer Security) è disponibile per tutti i clienti di Google Apps e viene attivata per impostazione predefinita per i nuovi clienti.

SSL/TLS è un protocollo che consente comunicazioni sicure su Internet per attività quali la navigazione nel web, l'invio e la ricezione di email, messaggi istantanei e altri tipi di trasferimento dati. Se attivi le connessioni HTTPS (Hypertext Transfer Protocol Secure), Google forzerà l'utilizzo del protocollo HTTPS quando i tuoi utenti accedono a quasi tutti i servizi in Google Apps. Il protocollo HTTPS varia a seconda del servizio ed è disponibile per Gmail, Google Calendar, Google Drive, Google Sites e Google Chat. Per ulteriori informazioni sull'attivazione SSL, consulta il Centro assistenza.

Che cos'è la FISMA?

La Federal Information Security Management Act del 2002, o "FISMA", è una legge federale degli Stati Uniti relativa alla sicurezza dei dati presenti nei sistemi di informazione delle agenzie federali. La FISMA si applica a tutti i sistemi di informazione utilizzati o gestiti da agenzie federali degli Stati Uniti o da appaltatori o altre organizzazioni per conto del governo. Google Apps ha ottenuto l'autorizzazione a operare a livello FISMA-Moderate, ossia il livello standard per i sistemi email federali, da parte del governo federale degli Stati Uniti.

Per ulteriori informazioni sulla FISMA, consulta la voce su Wikipedia che ne fornisce tutti i dettagli.

Google Apps utilizza il protocollo TLS opportunistico nell'invio di email in uscita?

Sì, Google Apps supporta i protocolli SSL/TLS per le comunicazioni SMTP e utilizza TLS per l'invio della posta elettronica se tale protocollo è utilizzato dai destinatari.