Segurança

Passamos anos desenvolvendo uma das infraestruturas mais avançadas e seguras do mundo. Temos mais de 700 engenheiros que trabalham em tempo integral para proteger suas informações, incluindo alguns dos principais especialistas do mundo em segurança de computadores. A segurança é a base da nossa arquitetura, e trabalhamos para melhorá-la todos os dias. A equipe de segurança do Google publicou centenas de pesquisas acadêmicas sobre segurança da informação. Lideramos a descoberta das vulnerabilidades de software e a implementação ampla de proteções, como a criptografia de dados e a verificação em duas etapas.

Para facilitar a resposta a muitas das dúvidas que recebemos, criamos estas Perguntas frequentes e um site sobre a segurança do G Suite. Esperamos que esses recursos ajudem a responder algumas das suas dúvidas sobre o posicionamento do Google em relação a essas questões importantes. Consulte a página Privacidade e Termos do Google para ver as informações relacionadas à privacidade dos consumidores.

Se você precisar denunciar à nossa equipe um problema de abuso, saiba mais sobre como fazer isso. 

Como posso saber se outros clientes que compartilham os mesmos servidores não têm acesso aos meus dados?

Os dados são protegidos logicamente como se estivessem no próprio servidor. Nenhuma pessoa não autorizada pode acessar seus dados. Outros clientes não podem acessar seus dados, nem você os deles. Na verdade, todas as contas de usuário são protegidas por nossa arquitetura segura, que garante que um usuário não possa ver os dados de outro.

Minha organização pode acessar o Google Cloud pela Internet com segurança?

É possível acessar todos os dados dos Serviços do Google por túneis criptografados HTTPS. Esse protocolo é ativado por padrão para todos os usuários. Ele ajuda a garantir que ninguém, além do usuário, possa ler os dados. O cliente de e-mail para dispositivos móveis também usa o acesso criptografado para garantir a privacidade das comunicações. Também exigimos criptografia para o acesso aos seus dados de e-mail por clientes de e-mail de terceiros.

O G Suite oferece conectividade SSL/TLS?

Sim, a conectividade via Secure Sockets Layer/Transport Layer Security (SSL/TLS) está disponível para todos os clientes do G Suite e é ativada por padrão para novos clientes.

Com a aplicação do TLS, os administradores do G Suite podem exigir que os e-mails de/para domínios ou endereços específicos sejam criptografados com TLS. Por exemplo, a organização de um cliente pode optar por transmitir todas as mensagens para um consultor jurídico externo por uma conexão segura. Se o TLS não estiver disponível em um domínio especificado, os e-mails recebidos serão rejeitados e os e-mails enviados não serão transmitidos.

Como o Google protege os dados contra hackers, hackers ativistas, governos e outros invasores?

A tecnologia, a escala e a agilidade da nossa infraestrutura oferecem benefícios exclusivos em termos de segurança. Nossos data centers contam com servidores personalizados que executam nosso sistema operacional para garantir a segurança e o desempenho. O Google tem mais de 700 engenheiros de segurança, inclusive alguns dos maiores especialistas do mundo, trabalhando 24 horas por dia para identificar ameaças e responder rapidamente. Aprendemos com cada incidente e até incentivamos a comunidade de pesquisa na área de segurança, onde participamos ativamente, a expor as vulnerabilidades dos nossos sistemas. Veja alguns exemplos de como a segurança e a confiabilidade são essenciais para nosso trabalho:

Os data centers do Google usam hardware personalizado que executa um sistema operacional e um sistema de arquivos protegidos. Cada um desses sistemas foi otimizado para ter segurança e desempenho. Como o Google controla toda a pilha de hardware, conseguimos reagir rapidamente a ameaças ou outras possíveis vulnerabilidades.

O Google é o primeiro grande provedor de nuvem a disponibilizar o recurso perfect forward secrecy, que criptografa o conteúdo durante a transferência entre nossos servidores e os de outras empresas. Diversas empresas do setor seguiram nosso exemplo ou se comprometeram a adotar essa tecnologia futuramente.

O Google criptografa os dados em trânsito do Gmail, dos anexos e do Google Drive. Isso faz com que suas mensagens permaneçam protegidas não só ao serem transferidas entre você e os servidores do Google, mas também durante a jornada pelos nossos data centers.

Com o objetivo de aumentar a proteção contra ataques criptoanalíticos, o Google dobrou o tamanho das chaves de criptografia RSA para 2048 bits em 2013. Além disso, alteramos sempre as chaves após algumas semanas.

Como saber se o Google cumpre o que promete?

Os reguladores e os clientes do Google esperam uma verificação independente dos nossos controles de segurança, privacidade e compliance. Para oferecer esses controles, o Google passa regularmente por diversas auditorias independentes de terceiros. Para cada um deles, um auditor independente avalia os data centers, a infraestrutura e as operações do Google.

O G Suite e o Google Cloud Platform passam pelas auditorias SOC1, SOC2 e SOC3 do Instituto Americano de Contadores Públicos Certificados (AICPA, na sigla em inglês) e pela certificação ISO/IEC 27001, 27017 e 27018. Isso significa que um auditor independente examinou os controles que protegem os dados nos nossos sistemas (como segurança lógica, privacidade e segurança dos data centers) e confirmou que eles estão em vigor e funcionando corretamente.

Outras pessoas podem testar os controles de segurança do Google? Nossa organização pode fazer um teste de acesso ao Google?

Sim. O Google valoriza contribuições externas inovadoras que ajudem a manter nossos usuários protegidos. Por isso, mantemos um Programa de Recompensa por Vulnerabilidade para propriedades da Web que pertençam ao Google. Sua organização pode se inscrever nesse programa. O Google foi o primeiro grande provedor de nuvem a oferecer um programa como esse. Saiba mais sobre o programa.

O Google criptografa meus dados em trânsito?

Sim. Os dados são criptografados em vários níveis. O Google exige o protocolo de transferência de hipertexto seguro (HTTPS, na sigla em inglês) em todas as transmissões entre usuários e serviços do G Suite, além do perfect forward secrecy (PFS, na sigla em inglês) em todos os nossos serviços. O Google também criptografa transmissões de mensagens com outros servidores de e-mail usando o Transport Layer Security (TLS) de 256 bits, além de chaves de criptografia RSA 2048 para as fases de validação e de troca de chaves. Isso protege as comunicações por mensagem quando os usuários clientes enviam e recebem e-mails usando partes externas que também usam o TLS.

O PFS exige que as chaves privadas de uma conexão não sejam mantidas no armazenamento permanente. Qualquer pessoa que quebrar uma única chave não poderá mais descriptografar meses de conexões. Na verdade, nem mesmo o operador do sistema poderá descriptografar sessões HTTPS de forma retroativa.

O Google está sempre trabalhando para ampliar e reforçar a criptografia em mais serviços e links.

O Google criptografa meus dados em repouso no G Suite?

Os dados do cliente enviados por upload ou criados nos serviços do G Suite são criptografados em repouso, conforme descrito na lista abaixo. Também ativamos o HTTPS em todos os serviços do G Suite para que os dados sejam criptografados quando são enviados do seu dispositivo para o Google e quando estão em trânsito entre os nossos data centers. A lista abaixo detalha os tipos de dados criptografados para cada serviço do G Suite:

  • Gmail: mensagens e anexos
  • Google Agenda: eventos e descrições de eventos
  • Sala de Aula: dados das turmas e todas as informações relacionadas
  • Drive: arquivos no Drive e todos os metadados de arquivos (por exemplo, títulos e comentários)
  • Documentos Google: conteúdo criado pelos proprietários ou colaboradores do arquivo, exceto o conteúdo incorporado que esteja hospedado em outros produtos do Google não incluídos nesta lista, por exemplo, o YouTube
  • Planilhas Google (incluindo o Formulários Google): conteúdo criado pelos proprietários ou colaboradores das planilhas, exceto conteúdo incorporado às planilhas que esteja hospedado em outros produtos do Google não incluídos nesta lista, por exemplo, o YouTube
  • Apresentações Google: conteúdo criado pelos proprietários ou colaboradores da apresentação, exceto conteúdo incorporado à apresentação que esteja hospedado em outros produtos do Google não incluídos nesta lista, por exemplo, o YouTube
  • Google Talk: conversas arquivadas com gravação ativada
  • Hangouts Chat: conversas arquivadas com gravação ativada. Chats com gravação desativada não são mantidos. Por isso, a criptografia em repouso não é aplicável
  • Google Sites: conteúdo criado pelos proprietários ou colaboradores do site; exceto (i) conteúdo incorporado que esteja hospedado em outros produtos do Google não incluídos nesta lista, por exemplo, o YouTube; (ii) conteúdo incorporado que permaneça hospedado em outros sites de terceiros, via Google Sites, gadgets ou hotlinking de imagens
  • Contatos do Google: conteúdo de catálogos de endereços de usuários finais
  • Grupos do Google: arquivos de mensagens de grupos
  • Vault: conteúdo criado pelos administradores do Vault; consultas salvas e registros de auditoria. Exportações do Gmail para o Vault, mensagens e anexos, conversas do Talk, chats do Hangouts e arquivos do Drive (com a exceção de vídeos)
  • Keep: conteúdo criado pelos proprietários ou colaboradores da nota ou lista
Isso foi útil?
Como podemos melhorá-lo?