Conformità

Siamo fieri di poter dichiarare la nostra conformità alle normative vigenti in tutto il mondo e in diversi settori, come la sanità e la scuola. Puoi utilizzare i nostri servizi con totale fiducia perché Google fornisce gli strumenti e i controlli di cui hai bisogno per adempiere a tutti i requisiti di conformità.

Per rispondere ad alcune delle tante domande che riceviamo, abbiamo creato questa lista di Domande frequenti e un sito sulla sicurezza di Google Workspace. Ci auguriamo che queste informazioni aiutino a rispondere ad alcune delle domande che potresti avere sulla posizione di Google in merito a questi temi importanti. Nella pagina Privacy e termini di Google troverai strumenti e informazioni sulla privacy per gli utenti finali.

Se devi segnalare un'attività illecita al nostro team, scopri di più su come fare. 

Come faccio a verificare la sicurezza di Google Workspace e Google Cloud Platform?

I nostri clienti e le autorità di regolamentazione si aspettano che conduciamo verifiche indipendenti per la sicurezza, la privacy e i controlli di conformità. Per offrire questa garanzia, Google si sottopone a diversi controlli periodici eseguiti da terze parti indipendenti. Ciò significa che un revisore indipendente ha esaminato le misure di controllo vigenti nei nostri data center, nell'infrastruttura e nelle operazioni. Le soluzioni Google vengono sottoposte a controlli periodici per la conformità ai seguenti standard:

  • SOC1 (SSAE-18/ISAE-3402): Google Workspace e Google Cloud Platform
  • SOC2: Google Workspace e Google Cloud Platform 
  • SOC3: Google Workspace e Google Cloud Platform
  • ISO27001: Google Workspace e Google Cloud Platform
  • ISO27017: Google Workspace e Google Cloud Platform
  • ISO27018: Google Workspace e Google Cloud Platform
  • ISO27701: Google Workspace e Google Cloud Platform
  • HIPAA: Google Workspace e Google Cloud Platform
  • FedRAMP: Google Workspace e Google Cloud Platform
Posso avere una copia di questi certificati e report di controllo? Dove posso scaricare i rapporti di controllo SOC3? Dove posso vedere il certificato ISO27001 di Google?

I rapporti SOC3 dimostrano che i nostri controlli sono stati esaminati da un revisore indipendente. Si tratta dei report del revisore sulle dichiarazioni di gestione secondo le quali l'attività dell'entità alla quale ci si è affidati è conforme ai "Trust Services Principles and Criteria" applicabili.

Le certificazioni ISO27001 dimostrano l'ambito funzionale dello standard ISO/IEC 27001:2013. La certificazione è legata alle offerte di Google Workspace (e Google Workspace for Education), Google Cloud Platform, Google Plus, Google Now, Google Analytics e Analytics Premium e ai dati contenuti o raccolti attraverso tali offerte e le strutture specificate.

Puoi ottenere una copia di questi report sulla conformità in Gestione dei report di conformità accedendo al tuo account. 

In che modo Google assicura la conformità ai requisiti europei in materia di protezione dei dati?

Google possiede un'ampia base di clienti in Europa. Oltre il 50% dei nostri clienti business ha sede all'esterno degli Stati Uniti. Google fornisce capacità e impegni contrattuali studiati appositamente per garantire la conformità alle raccomandazioni relative alla protezione dei dati espresse dal gruppo di lavoro articolo 29. Google si offre di firmare l'Emendamento sul trattamento dei dati per Google Workspace e i Termini per il trattamento e la sicurezza dei dati (DPST) per Google Cloud Platform. Google Cloud offre ai clienti clausole contrattuali tipo (SCC o MCC) già incluse nel DPST e nell'ETD.

Per accettare l'Emendamento sul trattamento dei dati, segui queste istruzioni:

Insieme ai controlli periodici eseguiti da terze parti indipendenti sulle nostre prassi in materia di protezione dei dati, alla nostra certificazione ISO 27001 e alla verifica del fatto che le Norme di tutela della privacy e i nostri impegni contrattuali sono conformi alla norma ISO/IEC 27018:2014, offriamo ai nostri clienti diverse opzioni di conformità per l'adeguamento alle normative UE in materia di protezione dei dati.

Le norme UE in materia di protezione dei dati non richiedono che i dati personali vengano archiviati all'interno dell'UE o del SEE?

La direttiva sulla protezione dei dati personali della Commissione europea è un'importante disposizione giuridica emanata dall'Unione europea (UE) nel 1995. La direttiva limita il trasferimento di dati personali da paesi appartenenti all'UE verso paesi terzi che non garantiscono un livello di protezione della privacy adeguato rispetto agli standard dell'Unione europea. La limitazione del trattamento dei dati personali al solo interno dei confini dell'UE rappresenta uno dei metodi utilizzabili per assicurare la conformità con la direttiva della Commissione. Altri strumenti per la conformità, quali l'utilizzo delle clausola contrattuali tipo approvate dalla Commissione europea, non richiedono che i dati si trovino all'interno dell'UE.

Google Cloud offre ai clienti clausole contrattuali tipo (SCC o MCC) già incluse nel DPST e nell'ETD. I clienti che vogliono accettare la clausola contrattuale tipo (MCC) separatamente possono farlo tramite la procedura online descritta qui per Google Workspace e qui per GCP. 

Qual è la posizione del governo degli Stati Uniti? È vero che se i dati personali sono archiviati fuori dagli Stati Uniti il governo USA non può accedervi?

L'archiviazione dei tuoi dati in un determinato paese non li protegge automaticamente dall'accesso da parte di governi stranieri. Il fatto che i dati si trovino in una determinata giurisdizione non significa necessariamente che altre giurisdizioni non possano ottenere l'obbligo di divulgazione di tali dati. Inoltre, esistono rapporti che rivelano tentativi da parte di alcuni governi di intercettare direttamente le linee tra data center situati in diverse località di tutto il mondo. È per questo che chiediamo una riforma della sorveglianza globale. Ci rifiutiamo di fornire ai governi l'accesso ai nostri sistemi o di installare dispositivi che consentano loro di accedere ai dati degli utenti. Per saperne di più su come vengono gestite le richieste di dati da parte dei governi, visita la pagina Rapporto sulla trasparenza di Google.

In quale luogo Google memorizza i miei dati?

I tuoi dati saranno memorizzati nella rete dei data center di Google. Google gestisce un certo numero di data center dislocati in diverse aree geografiche. I cluster di calcolo di Google sono progettati pensando alla resilienza e alla ridondanza, eliminando tutti i single point of failure (SPoF) e riducendo al minimo l'impatto dei comuni guasti dell'apparecchiatura e i rischi ambientali.

Posso memorizzare dati sanitari nei sistemi Google?

Google Workspace supporta la conformità dei propri clienti alla legge HIPAA (Health Insurance Portability and Accountability Act) del 1996. I clienti soggetti alla normativa HIPAA che intendono utilizzare Google Workspace con dati di tipo PHI (Protected Health Information, dati sanitari protetti) devono stipulare con Google un Contratto di società in affari (BAA, Business Associate Agreement). Gli amministratori delle organizzazioni con Google Workspace, Google Workspace for Education e Google Workspace for Government possono richiedere un BAA prima di utilizzare i servizi Google con dati PHI. Puoi trovare un elenco delle funzionalità di Google Workspace supportate dalla normativa HIPAA qui.

I prodotti Google sono conformi ai requisiti in materia di privacy obbligatori per l'utilizzo di tali prodotti da parte di studenti e minori?

Oltre 40 milioni di studenti fanno affidamento su Google Workspace for Education. Google Workspace for Education è conforme alle norme FERPA (Family Educational Rights and Privacy Act) degli Stati Uniti e il nostro impegno in tal senso è sancito nei contratti. Richiediamo contrattualmente alle scuole che utilizzano Google Workspace for Education di ottenere il consenso dei genitori previsto dalle norme COPPA (Child Online Privacy Protection Act) degli Stati Uniti per l'uso del nostro servizio in conformità con le disposizioni di tali normative.

Google può essere utilizzato da enti governativi degli Stati Uniti?

La normativa FISMA (Federal Information Security Management Act) del 2002 è una legge federale degli Stati Uniti relativa alla sicurezza dei dati presenti nei sistemi di informazione delle agenzie federali. La FISMA si applica a tutti i sistemi di informazione utilizzati o gestiti da agenzie federali degli Stati Uniti o da appaltatori o altre organizzazioni per conto del governo. 

Lo standard Federal Risk and Authorization Management Program (FedRAMP) implementa la normativa FISMA per le agenzie federali degli Stati Uniti che utilizzano servizi di cloud computing. FedRAMP è lo standard di conformità alla sicurezza nel cloud obbligatorio per le agenzie federali.

Google Workspace, inclusi Google Workspace for Education, Google Workspace for Nonprofits and Government e Google App Engine hanno ricevuto l'autorizzazione FedRAMP ATO (Authorization to Operate) al livello FIPS 199 (moderato), il livello standard per le informazioni controllate non classificate.

La mia organizzazione gestisce i dati delle carte di pagamento ed è soggetta allo standard PCI DSS. Quali sono gli strumenti che possono aiutarmi a mantenere la conformità?

Lo standard PCI DSS (Payment Card Industry Data Security Standard) è un insieme di norme e requisiti tecnici per i sistemi che contengono o elaborano dati relativi alle carte di pagamento. Il servizio Google Cloud Platform è stato valutato da un Qualified Security Assessor (QSA) ed è risultato conforme allo standard PCI DSS. Google utilizza il Report on Compliance (rapporto di conformità) del QSA per garantire che gli sviluppatori di applicazioni possano creare e utilizzare le proprie soluzioni, sicure e conformi, sulla sua piattaforma. Google Workspace non elabora né memorizza le transazioni con carte di credito. Pertanto, i clienti possono configurare controlli atti a prevenire l'invio da Google Workspace di email contenenti dati delle carte di credito. Ciò consente ai nostri clienti di continuare a garantire la conformità allo standard PCI DSS. 

Google Cloud Platform è sottoposta a una verifica annuale condotta da terze parti che certifica i singoli prodotti rispetto agli standard PCI DSS. Ciò significa che questi servizi forniscono l'infrastruttura su cui i clienti possono creare i propri servizi o le proprie applicazioni per archiviare, elaborare o trasmettere i dati dei titolari di carte. È importante sottolineare che i clienti sono comunque responsabili della conformità delle proprie applicazioni agli standard PCI DSS. Per informazioni su come utilizzare Google Cloud Platform per implementare gli standard PCI DSS nell'applicazione, consulta Conformità degli standard per la sicurezza dei dati PCI.

Quali strumenti eDiscovery sono disponibili per consentire alla mia organizzazione di adempiere ai requisiti legali e di conformità?

Google Vault è un componente aggiuntivo per Google Workspace che consente di conservare, archiviare, cercare ed esportare le email dell'organizzazione per esigenze di eDiscovery e conformità. Vault è interamente basato sul Web, quindi non è necessario installare o gestire alcun software. Con Vault puoi:

  • Conservare i dati per tutto il tempo necessario.
  • Rimuovere i dati quando non servono più.
  • Ricercare, bloccare ed esportare i dati interessati.

Per maggiori informazioni, vedi Che cos'è Google Vault?

Posso utilizzare i servizi Google con dati soggetti a controllo in base alla normativa ITAR (International Traffic in Arms Regulations)?

La normativa ITAR è un insieme di regolamenti governativi degli Stati Uniti che regolano l'esportazione e l'importazione di articoli e servizi per la difesa inclusi nella lista USML (United States Munitions List). Google non supporta l'utilizzo dei propri servizi con dati soggetti a controllo in base alla normativa ITAR.

In che modo i servizi cloud di Google rispettano il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea?

Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea sostituisce la direttiva dell'Unione europea sulla protezione dei dati del 1995 e rafforza i diritti delle persone riguardo ai propri dati personali. Mira inoltre a unificare le leggi sulla protezione dei dati dei vari paesi europei, a prescindere da dove vengano trattati i dati.

È importante sottolineare che Google si impegna a rispettare il GDPR in Google Workspace e nei servizi Google Cloud Platform. Ci impegniamo inoltre a sostenere i nostri clienti nelle attività di conformità al GDPR fornendo loro strumenti consolidati di protezione della privacy e della sicurezza, peraltro già incorporati nei nostri servizi e contratti nel corso degli anni.

Tra le altre cose, i titolari del trattamento dei dati devono affidarsi esclusivamente a responsabili del trattamento dei dati che forniscano garanzie sufficienti per implementare misure tecniche e organizzative adeguate in modo che il trattamento rispetti i requisiti del GDPR.

I Termini per il trattamento dei dati di Google Workspace e Google Cloud Platform descrivono chiaramente il nostro impegno nel garantire il rispetto della privacy dei nostri clienti. Nel corso degli anni, abbiamo sviluppato questi termini in base ai feedback dei nostri clienti e degli enti normativi e li abbiamo aggiornati in modo che rispettino le modifiche previste dal GDPR.

Per maggiori informazioni, visita il nostro sito dedicato al GDPR.

Qual è la differenza tra Google Workspace e le versioni per consumatori delle app Google Workspace?

Google offre alle organizzazioni i servizi Google Workspace ai sensi dei Termini di servizio di Google Workspace e dell'Emendamento sul trattamento dei dati. Le app per utenti finali sono offerte da Google direttamente ai propri utenti finali in base ai Termini di servizio e alle Norme sulla privacy di Google. Le funzioni e le funzionalità delle app Google Workspace si sovrappongono in larga misura a quelle delle rispettive versioni per utenti finali. Nei servizi Google Workspace sono inclusi comandi che permettono agli amministratori di un'organizzazione di esercitare il controllo sulle impostazioni di sicurezza e privacy delle app per l'organizzazione.

Google offre l'Emendamento sul trattamento dei dati di Google Workspace per le app per utenti finali di Google Workspace?

No. I Termini per il trattamento dei dati di Google Workspace, inclusi l'Emendamento sul trattamento dei dati e le clausole contrattuali tipo, sono disponibili solo per i clienti che utilizzano Google Workspace. Le app per utenti finali Google Workspace vengono offerte ai sensi dei Termini di servizio e delle Norme sulla privacy di Google.

Rivolgiti al tuo consulente legale in merito ai tuoi obblighi in materia di privacy e protezione dei dati e al tipo di modello adatto alle tue esigenze di conformità.

In che modo Google rispetta i requisiti AADC?

Ci impegniamo a realizzare prodotti che siano sicuri per impostazione predefinita e che siano privati e progettati per dare controllo alle persone. Anche se le nostre norme non consentono agli utenti di età inferiore a quella del consenso digitale di creare un Account Google standard, abbiamo lavorato duramente per progettare esperienze di prodotto ricche e specifiche per loro, per gli adolescenti e le famiglie.  

Ti invitiamo a rivolgerti al tuo consulente legale per valutare le obbligazioni in base al codice di idoneità dell'età (AADC, Age Appropriate Design Code) e ad altre normative incentrate sulla privacy dei minori. 

Per gli account Google Workspace Business ed Enterprise, è compito dell'amministratore di dominio determinare se l'AADC si applica a qualsiasi utente del dominio. In questo caso, ti consigliamo di disattivare tutti i servizi aggiuntivi per gli utenti minori di 18 anni. Questo perché i piani Google Workspace Business ed Enterprise sono account aziendali. I servizi aggiuntivi a cui si accede tramite un account aziendale non dispongono attualmente di funzionalità per la privacy dedicate ai minori. Questo non vale per gli account Google Workspace for Education, in cui i domini Google Workspace for Education hanno implementato l'impostazione di accesso basato sull'età (per maggiori informazioni, vedi Controllare l'accesso ai servizi Google in base all'età).

È stato utile?
Come possiamo migliorare l'articolo?
App Google
Menu principale
Cerca nel Centro assistenza
false