Segurança

Os dados são protegidos logicamente como se estivessem no próprio servidor. Nenhuma pessoa não autorizada pode acessar seus dados. Outros clientes não podem acessar seus dados, nem você os deles. Na verdade, todas as contas de usuário são protegidas por nossa arquitetura segura, que garante que um usuário não possa ver os dados de outro.

É possível acessar todos os dados dos Serviços do Google por túneis criptografados HTTPS. Esse protocolo é ativado por padrão para todos os usuários. Ele ajuda a garantir que ninguém, além do usuário, possa ler os dados. O cliente de e-mail para dispositivos móveis também usa o acesso criptografado para garantir a privacidade das comunicações. Também exigimos criptografia para o acesso aos seus dados de e-mail por clientes de e-mail de terceiros.

Sim. A conectividade SSL/TLS (Secure Sockets Layer/Transport Layer Security) está disponível para todos os clientes do Google Workspace e está ativada por padrão para os novos clientes.

Com a aplicação do TLS, os administradores podem exigir que os e-mails de/para domínios ou endereços específicos sejam criptografados com TLS. Por exemplo, a organização de um cliente pode optar por transmitir todas as mensagens para um consultor jurídico externo por uma conexão segura. Se o TLS não estiver disponível em um domínio especificado, os e-mails recebidos serão rejeitados e os e-mails enviados não serão transmitidos.

A tecnologia, a escala e a agilidade da nossa infraestrutura oferecem benefícios exclusivos em termos de segurança. Nossos data centers contam com servidores personalizados que executam nosso sistema operacional para garantir a segurança e o desempenho. O Google tem mais de 700 engenheiros de segurança, inclusive alguns dos maiores especialistas do mundo, trabalhando 24 horas por dia para identificar ameaças e responder rapidamente. Aprendemos com cada incidente e até incentivamos a comunidade de pesquisa na área de segurança, onde participamos ativamente, a expor as vulnerabilidades dos nossos sistemas. Veja alguns exemplos de como a segurança e a confiabilidade são essenciais para nosso trabalho:

Os data centers do Google usam hardware personalizado que executa um sistema operacional e um sistema de arquivos protegidos. Cada um desses sistemas foi otimizado para ter segurança e desempenho. Como o Google controla toda a pilha de hardware, conseguimos reagir rapidamente a ameaças ou outras possíveis vulnerabilidades.

O Google é o primeiro grande provedor de nuvem a disponibilizar o recurso perfect forward secrecy, que criptografa o conteúdo durante a transferência entre nossos servidores e os de outras empresas. Diversas empresas do setor seguiram nosso exemplo ou se comprometeram a adotar essa tecnologia futuramente.

O Google criptografa os dados em trânsito do Gmail, dos anexos e do Google Drive. Isso faz com que suas mensagens permaneçam protegidas não só ao serem transferidas entre você e os servidores do Google, mas também durante a jornada pelos nossos data centers.

Com o objetivo de aumentar a proteção contra ataques criptoanalíticos, o Google dobrou o tamanho das chaves de criptografia RSA para 2048 bits em 2013. Além disso, alteramos sempre as chaves após algumas semanas.

Os reguladores e os clientes do Google esperam uma verificação independente dos nossos controles de segurança, privacidade e compliance. Para oferecer esses controles, o Google passa regularmente por diversas auditorias independentes de terceiros. Para cada um deles, um auditor independente avalia os data centers, a infraestrutura e as operações do Google.

O Google Workspace e o Google Cloud Platform passam pelas auditorias SOC1^™, SOC2^™ e SOC3^™ audits do Instituto Americano de Contadores Públicos Certificados (AICPA, na sigla em inglês) e pela certificação ISO/IEC 27001, 27017 e 27018. Isso significa que um auditor independente examinou os controles que protegem os dados nos nossos sistemas (como segurança lógica, privacidade e segurança dos data centers) e confirmou que eles estão em vigor e funcionando corretamente.

Sim. O Google valoriza contribuições externas inovadoras que ajudem a manter nossos usuários protegidos. Por isso, mantemos um Programa de Recompensa por Vulnerabilidade para propriedades da Web que pertençam ao Google. Sua organização pode se inscrever nesse programa. O Google foi o primeiro grande provedor de nuvem a oferecer um programa como esse. Saiba mais sobre o programa.

Sim. Os dados são criptografados em vários níveis. O Google exige o HTTPS (Hypertext Transfer Protocol Secure) em todas as transmissões entre usuários e serviços do Google Workspace e usa Perfect Forward Secrecy (PFS, na sigla em inglês) em todos os próprios serviços. O Google também criptografa transmissões de mensagens com outros servidores de e-mail usando o Transport Layer Security (TLS) de 256 bits, além de chaves de criptografia RSA 2048 para as fases de validação e de troca de chaves. Isso protege as comunicações por mensagem quando os usuários clientes enviam e recebem e-mails usando partes externas que também usam o TLS.

O PFS exige que as chaves privadas de uma conexão não sejam mantidas no armazenamento permanente. Qualquer pessoa que quebrar uma única chave não poderá mais descriptografar meses de conexões. Na verdade, nem mesmo o operador do sistema poderá descriptografar sessões HTTPS de forma retroativa.

O Google está sempre trabalhando para ampliar e reforçar a criptografia em mais serviços e links.

Os dados do cliente enviados por upload ou criados nos serviços do Google Workspace são criptografados em repouso, conforme descrito na lista abaixo. Também ativamos o HTTPS em todos os serviços do Google Workspace para que os dados sejam criptografados quando são enviados do seu dispositivo para o Google e quando estão em trânsito entre os nossos data centers. A lista abaixo detalha os tipos de dados criptografados para cada serviço do Google Workspace:

• Gmail: mensagens e anexos
• Google Agenda: eventos e descrições de eventos
• Sala de Aula: dados das turmas e todas as informações relacionadas
• Drive: arquivos no Drive e todos os metadados de arquivos (por exemplo, títulos e comentários)
• Documentos Google: conteúdo criado pelos proprietários ou colaboradores do arquivo, exceto o conteúdo incorporado que esteja hospedado em outros produtos do Google não incluídos nesta lista, por exemplo, o YouTube
• Planilhas Google (incluindo o Formulários Google): conteúdo criado pelos proprietários ou colaboradores das planilhas, exceto conteúdo incorporado às planilhas que esteja hospedado em outros produtos do Google não incluídos nesta lista, por exemplo, o YouTube
• Apresentações Google: conteúdo criado pelos proprietários ou colaboradores da apresentação, exceto conteúdo incorporado à apresentação que esteja hospedado em outros produtos do Google não incluídos nesta lista, por exemplo, o YouTube
• Google Talk: conversas arquivadas com gravação ativada
• Hangouts Chat: conversas arquivadas com gravação ativada. Chats com gravação desativada não são mantidos. Por isso, a criptografia em repouso não é aplicável
• Google Sites: conteúdo criado pelos proprietários ou colaboradores do site; exceto (i) conteúdo incorporado que esteja hospedado em outros produtos do Google não incluídos nesta lista, por exemplo, o YouTube; (ii) conteúdo incorporado que permaneça hospedado em outros sites de terceiros, via Google Sites, gadgets ou hotlinking de imagens
• Contatos do Google: conteúdo de catálogos de endereços de usuários finais
• Grupos do Google: arquivos de mensagens de grupos
• Vault: conteúdo criado pelos administradores do Vault; consultas salvas e registros de auditoria. Exportações do Gmail para o Vault, mensagens e anexos, conversas do Talk, chats do Hangouts e arquivos do Drive (com a exceção de vídeos)
• Keep: conteúdo criado pelos proprietários ou colaboradores da nota ou lista