Нас часто спрашивают о безопасности и конфиденциальности сервисов Google, в частности Google Cloud. Мы ценим ваше доверие и прилагаем все усилия для защиты информации, которая хранится в наших системах. Кроме того, мы предлагаем инструменты, с помощью которых вы можете контролировать обработку данных для вашей организации.
Подробнее о принципах Google в отношении обработки данных… Различные вопросы, связанные с Google Cloud, рассмотрены в следующих статьях:
Если вы обнаружили нарушение в сервисе Google, сообщите нам о нем.
Часто задаваемые вопросы
Что означает аудит Google Cloud по стандарту SOC 2/3?Независимый сторонний аудитор заключил, что Google Cloud соответствует стандарту Service Organizations Controls (SOC) 2/3. Это подтверждает, что мы можем гарантировать администраторам полную безопасность данных. Узнать больше про общедоступный отчет по стандарту SOC 3 можно здесь. Копию нашего аудиторского отчета по стандарту SOC 2 можно получить с помощью менеджера отчетов о соответствии Cloud.
Независимый сторонний аудитор подтвердил, что в Google Cloud применяются перечисленные ниже средства контроля и протоколы.
- Логическая безопасность. Логический доступ к рабочим версиям систем и данным Google Cloud есть только у уполномоченных лиц.
- Конфиденциальность. Компания Google внедрила политики и процедуры в отношении конфиденциальности клиентских данных, связанных с Google Cloud.
- Физическая безопасность центров обработки данных. Центры обработки данных Google и офисы компании надежно защищены.
- Управление инцидентами и обеспечение доступности данных. Системы Google Cloud имеют резерв. Реализованы процедуры уведомления об инцидентах, их регистрации и реагирования на них.
- Управление изменениями. Обновления, вносимые в Google Cloud, проходят тестирование и независимую проверку кода перед внедрением в рабочие версии продуктов.
- Организация и администрирование. Система управления включает инфраструктуру и механизмы для отслеживания всех инициатив касательно сервисов Google Cloud и распространения информации о них в масштабах компании.
Генеральный регламент ЕС о защите персональных данных (GDPR) заменяет Директиву ЕС о защите персональных данных от 1995 г. Он закрепляет права пользователей в отношении защиты персональных данных и призван унифицировать законы европейских стран о защите информации независимо от места ее обработки.
Мы гарантируем, что все сервисы Google Cloud отвечают требованиям GDPR. Мы помогаем нашим клиентам соблюдать требования GDPR, обеспечивая защиту конфиденциальных данных и высокий уровень безопасности с помощью правил и инструментов, которые мы разрабатывали для наших сервисов в течение многих лет.
Контролеры данных должны пользоваться услугами только тех обработчиков, которые обладают достаточными техническими и организационными возможностями для обработки данных в соответствии с требованиями GDPR.
В Условиях обработки данных описано, как мы защищаем конфиденциальность наших клиентов. Эти условия учитывают наш многолетний опыт, отзывы клиентов и комментарии регулирующих органов, а также адаптированы к требованиям регламента GDPR.
Дополнительную информацию можно найти на сайте GDPR.
Требования GDPR распространяются непосредственно на обработчиков данных (например, на поставщиков облачных сервисов, таких как Google) независимо от принятых ими договорных обязательств. Компания Google обязуется обеспечивать соответствие требованиям GDPR и помогать клиентам соблюдать этот закон. Ознакомьтесь с Поправкой в отношении обработки данных, составленной с учетом требований GDPR. Это позволит вам оценить, что необходимо сделать для соблюдения требований GDPR при использовании сервисов Google Cloud.
Поправку в отношении обработки данных можно принять онлайн, следуя этим инструкциям.
Инфраструктура Google распределена между многими центрами обработки данных по всему миру. Во избежание двусмысленного толкования: некоторые хранилища данных Google размещены в странах, не входящих в Европейскую экономическую зону (ЕЭЗ). Кроме того, в Google Cloud реализована круглосуточная поддержка, которая обеспечивает быстрое и эффективное предоставление услуг по всему миру. Некоторые из центров поддержки находятся за пределами ЕЭЗ. По вышеуказанным причинам мы не можем предоставить вам сведения о том, в каком именно центре обработки хранятся ваши данные.
Google генерирует пароли для новых пользователей, используя случайный набор заглавных и строчных букв, а также цифр и других символов. При этом длина пароля соответствует принятому стандарту в 8 символов или минимальной длине, заданной для вашего домена.
Как только администратор или конечный пользователь удаляет данные в Google Cloud, мы также удаляем их в соответствии с соглашением с клиентом и нашей Политикой конфиденциальности.
Если администратор удаляет аккаунт пользователя, восстановить данные невозможно. Советы по удалению пользователей приведены в Справочном центре.
Чтобы восстановить электронные письма, используйте дополнительные продукты Google для архивирования (Google Сейф), которые расширяют возможности Google Workspace Business и Enterprise. Если вам нужно восстановить данные в продуктах, которые не поддерживает Google Сейф, поищите подходящее решение от наших партнеров в каталоге Google Workspace Marketplace.
Спамеры могут подделывать адреса отправителей, чтобы получателю казалось, что письмо пришло от пользователя надежного домена. Фишингом называется массовая рассылка мошеннических сообщений с целью получить личные данные пользователей. Чтобы предотвратить фишинг, Google участвует в программе DMARC (идентификация сообщений, создание отчетов и определение соответствия по доменному имени). Она позволяет владельцам доменов указывать для поставщиков услуг электронной почты, как поступать с сообщениями из их доменов, не прошедшими аутентификацию. Администраторы Google Cloud могут настроить соответствующую политику, создав записи DMARC и SPF, а также ключи DKIM для аутентификации исходящей почты.
Мы принимаем следующие меры в соответствии с правилами допустимого использования:
- Компания Google оставляет за собой право немедленно блокировать пользователей Google Workspace, которые рассылают спам.
- Если нарушения происходят в масштабе всего домена, мы оставляем за собой право заблокировать аккаунт полностью и запретить администратору доступ ко всем сервисам Google Cloud.
Создать аккаунт администратора Google Cloud могут только владелец и менеджеры доменного имени. После регистрации администратор должен подтвердить право на управление доменом, изменив записи DNS (системы доменных имен). Это необходимо, чтобы открыть аккаунт администратора. Управлять сервисами Google для домена невозможно, пока право собственности на него не будет подтверждено.
После подтверждения права собственности администратору разрешено предоставлять права администратора другим пользователям в аккаунте.
Кроме того, пользователи домена могут запросить доступ с правами администратора в службе поддержки. Право на управление доменом подтверждается с помощью стандартной процедуры.
Наконец, любой человек, у которого есть доступ к вашему зарегистрированному дополнительному адресу электронной почты, может сбросить пароль и получить доступ к основному аккаунту администратора.
В соответствии с соглашением с клиентом и нашей Политикой конфиденциальности у администраторов Google Cloud в домене есть доступ ко всем аккаунтам конечных пользователей и хранящимся в них данным.
Администратор домена может управлять учетными данными всех пользователей внутри этого домена. Вы получаете доступ к аккаунтам пользователей в соответствии с соглашением с клиентом. Однако вам необходимо опубликовать правила доступа к аккаунтам пользователей, с которыми они могли бы ознакомиться.
Уведомления обо всех нарушениях, связанных со спамом, будут отправляться на дополнительный адрес электронной почты.