วิธีที่ Google ใช้ปกป้องความปลอดภัยและความเป็นส่วนตัวขององค์กรของคุณ

ผู้ตรวจสอบอิสระภายนอกได้ให้ความคิดเห็นเกี่ยวกับการตรวจสอบการควบคุมองค์กรบริการ (SOC) 2/3 ที่ไม่มีผลรับรองแก่ Google Cloud ทาง Google ภูมิใจที่ช่วยสร้างความมั่นใจให้ผู้ดูแลระบบ Google Cloud เชื่อว่าข้อมูลของตนมีความปลอดภัยตามมาตรฐานการตรวจสอบ SOC 2/3 ของอุตสาหกรรม โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับรายงาน SOC3 แบบสาธารณะ คุณสามารถรับสําเนารายงาน SOC 2 ของเราได้จากเครื่องมือจัดการรายงานการปฏิบัติตามข้อกำหนดของ Cloud 

ผู้ตรวจสอบอิสระภายนอกยืนยันว่า Google Cloud มีการควบคุมและโปรโตคอลต่อไปนี้

• ความปลอดภัยแบบลอจิคัล: การควบคุมให้ความมั่นใจในระดับที่สมเหตุสมผลว่าการเข้าถึงแบบลอจิคัลสำหรับระบบและข้อมูลที่ใช้งานจริงของ Google Cloud นั้นจำกัดไว้เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น
• ความเป็นส่วนตัว: การควบคุมให้ความมั่นใจในระดับที่สมเหตุสมผลว่า Google ได้วางนโยบายและกระบวนการเพื่อรับมือกับความเป็นส่วนตัวของข้อมูลลูกค้าที่เกี่ยวข้องกับบริการต่างๆ ของ Google Cloud แล้ว
• ความปลอดภัยทางกายภาพของศูนย์ข้อมูล: การควบคุมให้ความมั่นใจในระดับที่สมเหตุสมผลว่าศูนย์ข้อมูลที่เก็บข้อมูล Google Cloud และสำนักงานของบริษัทมีการป้องกันอย่างเพียงพอ
• การจัดการเหตุการณ์และความพร้อมในการใช้งาน: การควบคุมให้ความมั่นใจในระดับที่สมเหตุสมผลว่าระบบของ Google Cloud มีระบบสำรองและมีการรายงาน ตอบสนอง และบันทึกกรณีปัญหาอย่างเหมาะสม
• การจัดการการเปลี่ยนแปลง: การควบคุมให้ความมั่นใจในระดับที่สมเหตุสมผลว่าการพัฒนาและการเปลี่ยนแปลงที่เกิดกับบริการต่างๆ ของ Google Cloud ผ่านการทดสอบและการตรวจทานโค้ดโดยอิสระก่อนนำออกสู่ระบบที่ใช้งานจริง
• การจัดโครงสร้างและการดูแลระบบ: การควบคุมให้ความมั่นใจในระดับที่สมเหตุสมผลว่าฝ่ายบริหารมีโครงสร้างพื้นฐานและกลไกในการติดตามและสื่อสารโครงการริเริ่มต่างๆ ภายในบริษัทที่มีผลกับบริการต่างๆ ของ Google Cloud

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรป มีผลบังคับใช้แทนคำสั่งว่าด้วยการคุ้มครองข้อมูลของสหภาพยุโรปในปี 1995 โดย GDPR จะเพิ่มความเข้มงวดในการคุ้มครองสิทธิ์ในข้อมูลส่วนบุคคลที่บุคคลพึงมี และรวมกฎหมายคุ้มครองข้อมูลเป็นหนึ่งเดียวทั่วทั้งยุโรป โดยไม่คำนึงถึงว่าจะประมวลผลข้อมูลที่ใด

คุณวางใจได้ว่า Google มีความมุ่งมั่นที่จะปฏิบัติตาม GDPR ใน Google Cloud และช่วยให้ลูกค้าของเราปฏิบัติตาม GDPR ด้วย โดยมอบการรักษาความปลอดภัยและความเป็นส่วนตัวอย่างแน่นหนาในบริการและสัญญาของเราตลอดระยะเวลาหลายปี

นอกจากนี้ ผู้ควบคุมข้อมูลต้องใช้ผู้ประมวลผลข้อมูลที่ให้การรับประกันที่เพียงพอในการปรับใช้มาตรการเชิงเทคนิคและเชิงองค์กรที่เหมาะสมเท่านั้น เพื่อให้การประมวลผลเป็นไปตามที่ GDPR กำหนด

ข้อกำหนดการประมวลผลข้อมูลแสดงถึงความมุ่งมั่นของเราในการรักษาความเป็นส่วนตัวของลูกค้าอย่างชัดเจน เราได้พัฒนาข้อกำหนดเหล่านี้ในช่วงหลายปีที่ผ่านมาตามความคิดเห็นจากลูกค้าและหน่วยงานกำกับดูแลของเรา ทั้งยังปรับปรุงข้อกำหนดเหล่านี้เพื่อรับมือกับการเปลี่ยนแปลงของ GDPR โดยเฉพาะ

ดูข้อมูลเพิ่มเติมได้ในเว็บไซต์ GDPR ของเรา

GDPR จะมีผลบังคับใช้กับผู้ประมวลผลข้อมูลโดยตรง (เช่น ผู้ให้บริการระบบคลาวด์อย่าง Google) ไม่ว่าผู้ประมวลผลข้อมูลดังกล่าวจะมีข้อผูกพันทางสัญญาใดๆ ในการนี้ก็ตาม Google มุ่งมั่นที่จะปฏิบัติตาม GDPR และช่วยลูกค้าให้สามารถปฏิบัติตาม GDPR ได้ โปรดอ่านการแก้ไขการประมวลผลข้อมูลของเราที่อัปเดตให้สอดคล้องกับ GDPR เพื่ออำนวยความสะดวกในการประเมินการปฏิบัติตามข้อกำหนดและความพร้อมของ GDPR เมื่อใช้บริการต่างๆ ของ Google Cloud

คุณเลือกรับการแก้ไขการประมวลผลข้อมูลได้โดยทําตามกระบวนการออนไลน์ตามที่อธิบายไว้ที่นี่

Google ได้กระจายโครงสร้างพื้นฐานของระบบไปยังศูนย์ข้อมูลหลายแห่งทั่วโลกตามความเหมาะสม กล่าวอย่างชัดเจนคือ พื้นที่เก็บข้อมูลของ Google บางแห่งอยู่ในประเทศนอกเขตเศรษฐกิจยุโรป (EEA) นอกจากนี้ การสนับสนุนทุกวันตลอด 24 ชั่วโมงของ Google Cloud จะช่วยให้มั่นใจได้ว่าสามารถมอบบริการได้อย่างคล่องตัวและมีประสิทธิภาพในทั่วโลก ซึ่งศูนย์การสนับสนุนบางแห่งจะอยู่นอกเขต EEA ด้วยเหตุนี้ เราจึงไม่สามารถระบุอย่างแน่ชัดได้ว่าข้อมูลของคุณจัดเก็บอยู่ที่ศูนย์ข้อมูลใด

เราช่วยให้การรักษาความปลอดภัยของบัญชี Google เป็นเรื่องง่าย โดยให้พนักงานใช้การลงชื่อเพียงครั้งเดียว (SSO) ที่ปลอดภัยเพื่อเข้าถึงชุดการให้บริการซอฟต์แวร์ (SaaS) และแอปที่สร้างขึ้นมาเองในระบบได้อย่างหลากหลายทั้งในเดสก์ท็อปและอุปกรณ์เคลื่อนที่ การรองรับผู้ให้บริการข้อมูลประจำตัว (IdP) OpenID Connect (OIDC) ของเราจะทำงานกับแอป SaaS จำนวนมากใน Google Workspace Marketplace ได้ และรองรับภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) 2.0 กับผู้ให้บริการ SaaS ที่ได้รับความนิยมหลายราย นอกจากนี้ เรายังช่วยให้ผู้ดูแลระบบเพิ่มการใช้งานร่วมกับแอป SAML ใหม่ที่กำหนดเองได้โดยง่าย องค์กรสามารถดำเนินการรวมระบบด้วยตนเอง หรือทำงานร่วมกับบริษัทคู่ค้าของ Google เพื่อวัตถุประสงค์นี้

Google สร้างรหัสผ่านใหม่ให้กับบัญชีผู้ใช้ใหม่โดยใช้สัญลักษณ์ ตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก และตัวเลขผสมกัน รหัสผ่านจะต้องยาวกว่าที่กำหนดไว้ขั้นต่ำ (8 อักขระ) หรือความยาวของรหัสผ่านขั้นต่ำที่คุณตั้งไว้ให้โดเมนของคุณ

เมื่อผู้ดูแลระบบหรือผู้ใช้ปลายทางลบข้อมูลใน Google Cloud แล้ว เราจะลบข้อมูลนั้นตามข้อตกลงสำหรับลูกค้าและนโยบายความเป็นส่วนตัวของเรา

ข้อมูลนี้จะไม่สามารถเรียกคืนได้เมื่อผู้ดูแลระบบลบบัญชีผู้ใช้ โปรดดูแนวทางปฏิบัติแนะนำในการลบผู้ใช้ในศูนย์ช่วยเหลือ

หากคุณจำเป็นต้องกู้คืนข้อความอีเมล Google มีผลิตภัณฑ์เสริมสำหรับการเก็บถาวร (Google ห้องนิรภัย) ซึ่งจะเสริมการทำงานของ Google Workspace รุ่น Business และ Enterprise สําหรับผลิตภัณฑ์ที่ไม่ได้อยู่ในโซลูชันการกู้คืนของ Google ห้องนิรภัย โปรดดูใน Google Workspace Marketplace ซึ่งพาร์ทเนอร์ของเราอาจมีโซลูชันที่เหมาะกับความต้องการของคุณ

บางครั้งนักส่งสแปมอาจปลอมแปลงที่อยู่ "จาก" ในข้อความอีเมลเพื่อให้ดูเหมือนว่าสแปมนั้นมาจากโดเมนขององค์กรที่น่าเชื่อถือ วิธีนี้เรียกว่าฟิชชิง ซึ่งมักใช้เก็บข้อมูลที่ละเอียดอ่อน Google ช่วยป้องกันปัญหาฟิชชิงนี้โดยเข้าร่วมโปรแกรม DMARC ซึ่งจะทำให้เจ้าของโดเมนแจ้งผู้ให้บริการอีเมลได้ว่าจะจัดการข้อความที่ไม่ผ่านการตรวจสอบสิทธิ์จากโดเมนของผู้ให้บริการนั้นอย่างไร โดยลูกค้า Google Cloud จะใช้ DMARC ได้ด้วยการสร้างระเบียน DMARC ภายในการตั้งค่าของผู้ดูแลระบบ และใช้ระเบียน SPF และคีย์ DKIM ในการส่งอีเมลขาออกทั้งหมด

เราจะดำเนินการตามนโยบายการใช้งานที่ยอมรับได้ดังนี้

• หาก Google ตรวจพบผู้ใช้อีเมลของ Google Workspace ที่ส่งสแปม เราขอสงวนสิทธิ์ในการระงับผู้ใช้นั้นทันที
• หากสแปมนั้นกระจายไปทั่วทั้งโดเมน เราขอสงวนสิทธิ์ที่จะระงับทั้งบัญชีและปฏิเสธผู้ดูแลระบบไม่ให้เข้าถึงบริการทั้งหมดของ Google Cloud

มีเพียงเจ้าของและผู้จัดการของชื่อโดเมนเท่านั้นที่สร้างบัญชีการดูแลระบบของ Google Cloud ได้ เมื่อลงชื่อสมัครใช้ ระบบจะขอให้ผู้ดูแลระบบ Google Cloud ยืนยันสิทธิ์การควบคุมโดเมนด้วยการแก้ไขระเบียนระบบชื่อโดเมน (DNS) ถ้าไม่มีการยืนยันนี้ Google จะไม่อนุญาตให้มีการเปิดบัญชีการดูแลระบบ คุณจะไม่สามารถจัดการบริการต่างๆ ของ Google ได้จนกว่าจะยืนยันการเป็นเจ้าของโดเมนก่อน

หลังจากยืนยันความเป็นเจ้าของแล้ว ผู้ดูแลระบบจะให้สิทธิ์การดูแลระบบแก่ชื่อผู้ใช้อื่นๆ ในบัญชีได้ตามที่เห็นสมควร

ผู้ใช้ที่ไม่มีสิทธิ์ในการดูแลระบบของโดเมนสามารถติดต่อทีมสนับสนุนเพื่อขอรับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบได้ ทั้งนี้เรามีกระบวนการยืนยันโดเมนปกติเพื่อให้มั่นใจว่าผู้ขอมีสิทธิ์ในการจัดการโดเมน

สุดท้ายนี้ ใครก็ตามที่เข้าถึงอีเมลสำรองที่ลงทะเบียนไว้ได้จะเริ่มต้นการรีเซ็ตรหัสผ่านและเข้าถึงบัญชีผู้ดูแลระบบหลักได้ด้วย

ผู้ดูแลระบบ Google Cloud ของโดเมนจะเข้าถึงบัญชีของผู้ใช้ทั้งหมดและข้อมูลที่เกี่ยวข้องได้ตามข้อตกลงของลูกค้าสำหรับโดเมนดังที่อธิบายในนโยบายความเป็นส่วนตัว

ในฐานะผู้ดูแลระบบของโดเมน คุณมีสิทธิ์ควบคุมชื่อผู้ใช้และรหัสผ่านทั้งหมดภายในโดเมนของคุณ โดยเข้าถึงบัญชีผู้ใช้ของคุณได้ตามข้อตกลงลูกค้า อย่างไรก็ดี เรากำหนดให้คุณมีนโยบายในการดำเนินการดังกล่าวและเผยแพร่ให้ผู้ใช้ทราบ

เราจะแจ้งการละเมิดสแปมที่เกิดขึ้นไปยังอีเมลสำรองที่ลงทะเบียนไว้