Conformità

Siamo fieri di poter dichiarare la nostra conformità alle normative vigenti in tutto il mondo e in diversi settori, come la sanità e la scuola. Puoi utilizzare i nostri servizi con totale fiducia perché Google fornisce gli strumenti e i controlli di cui hai bisogno per adempiere a tutti i requisiti di conformità.

Per contribuire a rispondere ad alcune delle tante domande che riceviamo, abbiamo creato queste Domande frequenti e il relativo sito sulla sicurezza e l'affidabilità di G Suite. Ci auguriamo che queste informazioni rispondano ad alcune delle tue domande su come Google affronta aspetti così importanti. Nella pagina Privacy e termini di Google troverai strumenti e informazioni sulla privacy per gli utenti finali.

Se devi segnalare un abuso, leggi queste informazioni sulla segnalazione di abusi al nostro team. 

Come posso verificare la sicurezza di G Suite e Google Cloud Platform?

I nostri clienti e le autorità di regolamentazione si aspettano che conduciamo verifiche indipendenti per la sicurezza, la privacy e i controlli di conformità. Per offrire questa garanzia, Google si sottopone a diversi controlli periodici eseguiti da terze parti indipendenti. Ciò significa che un controllore indipendente ha esaminato le misure di controllo vigenti nei nostri data center, nell'infrastruttura e nelle operazioni. Le soluzioni Google vengono sottoposte a controlli periodici per la conformità ai seguenti standard:

  • SOC1 (SSAE-16/ISAE-3402): G Suite, Google Compute Engine, Google Cloud Storage, Google App Engine
  • SOC2: G Suite, Google Compute Engine, Google Cloud Storage, Google App Engine
  • SOC3: G Suite, Google Compute Engine, Google Cloud Storage, Google App Engine
  • ISO27001: per G Suite e Google Cloud Platform
  • ISO27017: per G Suite e Google Cloud Platform
  • ISO 27018: per G Suite e Google Cloud Platform
  • HIPAA: G Suite, Google Compute Engine, Google Cloud Storage, Google Big Query, Google Cloud SQL
  • FISMA: Google App Engine, G Suite
  • FEDRAMP: Google App Engine, G Suite
Posso avere una copia di questi certificati e rapporti di controllo? Dove posso scaricare i rapporti di controllo SOC3? Dove posso vedere il certificato ISO27001 di Google?

Il rapporto SOC3 dimostra che i nostri controlli sono stati esaminati da un revisore indipendente. Si tratta del rapporto del revisore sulla o sulle dichiarazioni di gestione secondo le quali l'attività dell'entità alla quale ci si è affidati è conforme ai "Trust Services Principles and Criteria" applicabili. Il rapporto di controllo SOC3 completo è inoltre disponibile per il download. Il certificato ISO27001 dimostra l'ambito funzionale della certificazione ISO/IEC 27001:2005. La certificazione è legata alle offerte di G Suite (e G Suite for Education), Google Cloud Platform, Google Plus, Google Now, Google Analytics e Analytics Premium e ai dati contenuti o raccolti attraverso tali offerte e le strutture specificate.

In che modo Google assicura la conformità ai requisiti europei in materia di protezione dei dati?

Google possiede un'ampia base di clienti in Europa. Oltre il 50% dei nostri clienti business ha sede all'esterno degli Stati Uniti. Google fornisce capacità e impegni contrattuali studiati appositamente per garantire la conformità alle raccomandazioni relative alla protezione dei dati espresse dal gruppo di lavoro articolo 29. Google offre la propria disponibilità a sottoscrivere le Clausole contrattuali tipo a livello di UE e un Emendamento sull'elaborazione dei dati.

Per attivare l'Emendamento sull'elaborazione dei dati, segui queste istruzioni:

Accedi alla Console di amministrazione. Fai clic su Profilo aziendale > Profilo.

Nella sezione Termini di servizio aggiuntivi per sicurezza e privacy, accanto a Emendamento sull'elaborazione dei dati, fai clic su Leggi e accetta. Fai clic su Accetto.

Fai clic su Leggi e accetta accanto a Clausole contrattuali tipo a livello di UE. Fai clic su Accetto.

Insieme ai controlli periodici eseguiti da terze parti indipendenti sulle nostre prassi in materia di protezione dei dati, alla nostra certificazione ISO 27001 e alla verifica del fatto che le nostre norme di tutela della privacy e i nostri impegni contrattuali sono conformi alla norma ISO/IEC 27018:2014, offriamo ai nostri clienti diverse opzioni di conformità per l'adeguamento alle normative UE in materia di protezione dei dati.

Le leggi UE in materia di protezione dei dati non richiedono che i dati personali vengano archiviati all'interno dell'UE o dello Spazio Economico Europeo (SEE)?

La direttiva sulla protezione dei dati personali della Commissione europea è un'importante disposizione giuridica emanata dall'Unione Europea (UE) nel 1995. La direttiva limita il trasferimento di dati personali da paesi appartenenti all'UE verso paesi terzi che non garantiscono un livello di protezione della privacy "adeguato" rispetto agli standard dell'Unione Europea. La limitazione del trattamento dei dati personali al solo interno dei confini dell'UE rappresenta uno dei metodi utilizzabili per assicurare la conformità con la direttiva della Commissione. Altri strumenti per la conformità, quali l'utilizzo delle clausole contrattuali tipo approvate dalla Commissione europea, non richiedono che i dati risiedano all'interno dell'UE.

Qual è la posizione del Governo degli Stati Uniti? È vero che se i dati personali sono archiviati fuori dagli Stati Uniti il Governo USA non può accedervi?

L'archiviazione dei tuoi dati in un determinato paese non li protegge automaticamente dall'accesso da parte di governi stranieri. Il fatto che i dati si trovino in una determinata giurisdizione non significa necessariamente che altre giurisdizioni non possano ottenere l'obbligo di divulgazione di tali dati. Inoltre, esistono rapporti che rivelano tentativi da parte di alcuni governi di intercettare direttamente le linee tra data center situati in diverse località di tutto il mondo. È per questo che chiediamo una riforma della sorveglianza globale. Ci rifiutiamo di fornire ai governi l'accesso ai nostri sistemi o di installare dispositivi che consentano loro di accedere ai dati degli utenti. Per ulteriori informazioni su come vengono gestite le richieste di dati da parte dei governi, visita la pagina Rapporto sulla trasparenza di Google.

In quale luogo Google memorizza i miei dati?

I tuoi dati saranno memorizzati nella rete dei data center di Google. Google gestisce un certo numero di data center dislocati in diverse aree geografiche. I cluster di calcolo di Google sono progettati pensando alla resilienza e alla ridondanza, eliminando tutti i single point of failure (SPoF) e riducendo al minimo l'impatto dei comuni guasti dell'apparecchiatura e i rischi ambientali.

Posso memorizzare dati sanitari nei sistemi Google?

G Suite supporta la conformità dei propri clienti alla normativa HIPAA (Health Insurance Portability and Accountability Act) degli Stati Uniti del 1996. I clienti soggetti alla normativa HIPAA che intendono utilizzare G Suite con dati di tipo PHI (Protected Health Information, informazioni sanitarie protette) devono stipulare con Google un Contratto di società in affari (BAA, Business Associate Agreement). Gli amministratori dei domini G Suite, G Suite for Education e G Suite for Government possono richiedere un Contratto di società in affari prima di utilizzare i servizi Google con PHI. Google offre un Contratto di società in affari che copre i servizi Gmail, Google Calendar, Google Drive e Google Vault. I clienti di Google Cloud Platform possono richiedere un Contratto di società in affari per Compute Engine, Cloud Storage, Cloud SQL e BigQuery.

I prodotti Google sono conformi ai requisiti in materia di privacy obbligatori per l'utilizzo di tali prodotti da parte di studenti e minori?

Più di 40 milioni di studenti si affidano a G Suite for Education. G Suite for Education è conforme alle norme FERPA (Family Educational Rights and Privacy Act) degli Stati Uniti e il nostro impegno in tal senso è sancito nei contratti. Richiediamo contrattualmente alle scuole che utilizzano G Suite for Education di ottenere il consenso dei genitori previsto dalle norme COPPA (Child Online Privacy Protection Act) degli Stati Uniti per l'uso del nostro servizio in conformità con le disposizioni di tali normative.

Google può essere utilizzato da enti governativi degli Stati Uniti?

La normativa FISMA (Federal Information Security Management Act) del 2002 è una legge federale degli Stati Uniti relativa alla sicurezza dei dati presenti nei sistemi di informazione delle agenzie federali. La normativa FISMA si applica a tutti i sistemi di informazione utilizzati o gestiti da agenzie federali degli Stati Uniti o da appaltatori o altre organizzazioni per conto del governo. 

Lo standard Federal Risk and Authorization Management Program (FedRAMP) implementa la normativa FISMA per le agenzie federali degli Stati Uniti che utilizzano servizi di cloud computing. FedRAMP è lo standard di conformità alla sicurezza nella cloud obbligatorio per le agenzie federali.

G Suite, che comprende G Suite, G Suite for Education, G Suite per il non profit e G Suite for Government, e Google App Engine hanno ottenuto l'autorizzazione FedRAMP ATO (Authorization to Operate) al livello FIPS 199 (Moderate impact), il livello standard per i dati di tipo Controlled Unclassified Information.

La mia organizzazione gestisce i dati delle carte di pagamento ed è soggetta allo standard PCI DSS. Quali sono gli strumenti che possono aiutarmi a mantenere la conformità?

Lo standard PCI DSS (Payment Card Industry Data Security Standard) è un insieme di norme e requisiti tecnici per i sistemi che contengono o elaborano dati relativi alle carte di pagamento. Il servizio Google Cloud Platform è stato valutato da un Qualified Security Assessor (QSA) ed è risultato conforme allo standard PCI DSS. Google utilizza il Report on Compliance (rapporto di conformità) del QSA per garantire che gli sviluppatori di applicazioni possano creare e utilizzare le proprie soluzioni, sicure e conformi, sulla sua piattaforma. G Suite non elabora né memorizza le transazioni con carte di credito. Pertanto, i clienti possono configurare controlli atti a prevenire l'invio da parte di G Suite di email contenenti dati relativi a carte di credito. Ciò consente ai nostri clienti di continuare a garantire la conformità allo standard PCI DSS. Per Google Drive, è possibile configurare Vault in modo che esegua controlli e che accerti che non vengano memorizzati dati di carte di credito.

Quali strumenti eDiscovery sono disponibili per consentire alla mia organizzazione di adempiere ai requisiti legali e di conformità? Posso utilizzare i servizi Google con dati soggetti a controllo in base alla normativa ITAR (International Traffic in Arms Regulations)?

La normativa ITAR è un insieme di regolamenti governativi degli Stati Uniti che regolano l'esportazione e l'importazione di articoli e servizi per la difesa inclusi nella lista USML (United States Munitions List). Google non supporta l'utilizzo dei propri servizi con dati soggetti a controllo in base alla normativa ITAR.

In che modo i servizi cloud di Google rispettano il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea?

Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea sostituisce la direttiva dell'Unione europea sulla protezione dei dati del 1995. Il GDPR rafforza i diritti delle persone riguardo ai propri dati personali e mira a unificare le leggi sulla protezione dei dati dei vari paesi europei, a prescindere da dove vengono elaborati i dati.

È importante sottolineare che Google si impegna a rispettare il GDPR in G Suite e nei servizi Google Cloud Platform. Ci impegniamo inoltre a sostenere i nostri clienti nelle attività di conformità al Regolamento generale sulla protezione dei dati (GDPR) fornendo loro strumenti consolidati di protezione della privacy e della sicurezza, peraltro già incorporati nei nostri servizi e contratti nel corso degli anni.

Tra le altre cose, i responsabili del trattamento dei dati devono utilizzare esclusivamente elaboratori di dati che forniscano garanzie sufficienti per implementare misure tecniche e organizzative adeguate in modo che l'elaborazione rispetti i requisiti del GDPR.

I nostri termini sull'elaborazione dei dati per G Suite e Google Cloud Platform descrivono chiaramente il nostro impegno nel garantire il rispetto della privacy dei nostri clienti. Nel corso degli anni, abbiamo sviluppato questi termini in base ai feedback dei nostri clienti e degli enti normativi e li abbiamo aggiornati in modo che rispettino le modifiche previste dal GDPR.

Per ulteriori informazioni, visita il nostro sito dedicato al Regolamento generale sulla protezione dei dati (GDPR).

Per le applicazioni G Suite, qual è la differenza tra le versioni G Suite e le versioni per consumatori?

Google offre alle organizzazioni i servizi G Suite ai sensi dei Termini di servizio di G Suite e dell'Emendamento sull'elaborazione dei dati . Le applicazioni consumer sono offerte da Google direttamente ai propri utenti finali in base ai Termini di servizio e alle Norme sulla privacy di Google. Le funzioni e le funzionalità delle applicazioni G Suite si sovrappongono in larga misura a quelle delle rispettive versioni consumer. Nei servizi G Suite sono inclusi comandi che permettono agli amministratori di dominio di esercitare il controllo sulle impostazioni di sicurezza e privacy delle applicazioni per il loro dominio.

Google ha predisposto un Emendamento sull'elaborazione dei dati di G Suite anche per le versioni consumer delle applicazioni G Suite?

No. I termini relativi all'elaborazione dei dati di G Suite, incluso l'Emendamento sull'elaborazione dei dati e le Clausole contrattuali tipo, sono disponibili solo per i clienti che utilizzano G Suite. Le versioni consumer delle applicazioni G Suite vengono offerte ai sensi dei Termini di servizio e delle Norme sulla privacy di Google.

Consulta il tuo consulente legale in merito ai tuoi obblighi in materia di privacy e protezione dei dati e al tipo di modello adatto alle tue esigenze di conformità.

Hai trovato utile questo articolo?
Come possiamo migliorare l'articolo?