Conformità

I nostri clienti e le autorità di regolamentazione si aspettano verifiche indipendenti relative ai controlli di sicurezza, privacy e conformità. Per offrire questa garanzia, Google si sottopone a numerose verifiche periodiche eseguite da terze parti indipendenti. Ciò significa che un revisore indipendente ha esaminato le misure di controllo vigenti nei nostri data center, nell'infrastruttura e nelle operazioni. Le soluzioni Google vengono sottoposte a verifiche periodiche per la conformità ai seguenti standard:

• SOC1^™ (SSAE-18/ISAE-3402): Google Workspace e Google Cloud Platform
• SOC2^™: Google Workspace e Google Cloud Platform 
• SOC3^™: Google Workspace e Google Cloud Platform
• ISO27001: Google Workspace e Google Cloud Platform
• ISO27017: Google Workspace e Google Cloud Platform
• ISO27018: Google Workspace e Google Cloud Platform
• ISO27701: Google Workspace e Google Cloud Platform
• HIPAA: Google Workspace e Google Cloud Platform
• FedRAMP: Google Workspace e Google Cloud Platform

Il report SOC3 dimostra che i nostri controlli sono stati esaminati da un revisore indipendente. Si tratta del report in cui questo professionista esamina la dichiarazione o le dichiarazioni della dirigenza secondo cui l'attività della persona giuridica a cui ci si è affidati è conforme al Principio o ai principi e ai criteri vigenti per i servizi fiduciari.

La certificazione ISO27001 dimostra l'ambito funzionale dello standard ISO/IEC 27001:2013. La certificazione è legata alle offerte di Google Workspace (e Google Workspace for Education), piattaforma Google Cloud, Google Plus, Google Now, Google Analytics e Analytics Premium e ai dati contenuti o raccolti attraverso queste offerte e le strutture specificate.

Puoi ottenere una copia di questi report di conformità in Gestione dei report di conformità dopo aver eseguito l'accesso al tuo account. 

Google possiede un'ampia base di clienti in Europa. Oltre il 50% dei nostri clienti business ha sede all'esterno degli Stati Uniti. Google prevede funzionalità e impegni contrattuali concepiti per rispettare le leggi vigenti in materia di protezione dei dati. Google offre l'Addendum per il trattamento dei dati Cloud (ATDC) per Google Workspace e Google Cloud.

• Attivare l'ATDC per Google Workspace
• Attivare l'ATDC per Google Cloud

Insieme alle verifiche periodiche eseguite da terze parti indipendenti sulle nostre prassi in materia di protezione dei dati, alla nostra certificazione ISO 27001 e alla verifica della conformità allo standard ISO/IEC 27018:2014 delle nostre Norme di tutela della privacy e dei nostri impegni contrattuali, offriamo ai nostri clienti diverse opzioni di conformità per l'adeguamento ai regolamenti dell'Unione Europea in materia di protezione dei dati.

Il GDPR dell'Unione Europea protegge i dati personali dei residenti dello Spazio economico europeo (SEE) e solo in circostanze limitate autorizza il trasferimento di questi dati personali verso paesi non appartenenti al SEE che non siano stati approvati come in grado di offrire una protezione dei dati "adeguata". Il GDPR del Regno Unito e la Legge federale elvetica sulla protezione dei dati impongono restrizioni analoghe. L'utilizzo di clausole contrattuali tipo (SCC) approvate è una delle modalità che consentono di rispettare queste restrizioni.

Google Cloud incorpora le SCC nell'Addendum per il trattamento dei dati Cloud (ATDC) e nei Termini per il trattamento e la sicurezza dei dati (DPST). In assenza di una soluzione di trasferimento alternativa, queste disposizioni proteggeranno automaticamente i dati personali dei clienti residenti in Europa, Medio Oriente e Africa (EMEA). Affinché le SCC possano essere applicate ai propri dati (in assenza di una soluzione di trasferimento alternativa), i clienti che risiedono al di fuori della regione EMEA dovranno certificare di essere soggetti alle leggi europee in materia di protezione dei dati tramite la Console di amministrazione.

L'archiviazione dei tuoi dati al di fuori di un determinato paese non li protegge automaticamente dall'accesso da parte dei governi, che possono mantenere la facoltà di imporre la divulgazione di informazioni al di fuori dei propri confini. È per questo che chiediamo una riforma della sorveglianza. Non forniamo ai governi l'accesso ai nostri sistemi e non permettiamo che installino dispositivi che consentano loro di accedere ai dati degli utenti. Per maggiori informazioni su come vengono gestite le richieste di dati da parte dei governi, consulta il white paper Safeguards for international data transfers with Google Cloud e il Rapporto sulla trasparenza di Google.

I tuoi dati saranno memorizzati nella rete dei data center di Google. Google gestisce un certo numero di data center dislocati in diverse aree geografiche. I cluster di calcolo di Google sono progettati a scopo di resilienza e ridondanza, eliminando eventuali single point of failure (SPoF) e riducendo al minimo l'impatto dei comuni guasti dell'apparecchiatura e i rischi ambientali.

Google Workspace supporta la conformità dei propri clienti alla normativa HIPAA (Health Insurance Portability and Accountability Act) del 1996. I clienti soggetti alla normativa HIPAA che intendono utilizzare Google Workspace con dati sanitari protetti (PHI) devono stipulare con Google un Contratto di società in affari (BAA). Gli amministratori delle organizzazioni con Google Workspace, Google Workspace for Education e Google Workspace for Government possono richiedere un BAA prima di utilizzare i servizi Google con dati PHI. Puoi trovare un elenco delle funzionalità di Google Workspace supportate dalla normativa HIPAA qui.

Milioni di studenti fanno affidamento su Google Workspace for Education. Google Workspace for Education è conforme al Family Educational Rights and Privacy Act (FERPA) degli Stati Uniti e il nostro impegno in tal senso è sancito nei contratti. Richiediamo contrattualmente alle scuole che utilizzano Google Workspace for Education di ottenere il consenso dei genitori per l'uso del nostro servizio in conformità con la normativa COPPA (Children's Online Privacy Protection Act) degli Stati Uniti, consenso che agevola il rispetto dei relativi requisiti.

La normativa FISMA (Federal Information Security Management Act) del 2002 è una legge federale degli Stati Uniti relativa alla sicurezza dei dati presenti nei sistemi di informazione delle agenzie federali. La FISMA si applica a tutti i sistemi di informazione utilizzati o gestiti da agenzie federali degli Stati Uniti o da appaltatori o altre organizzazioni per conto del governo. 

Lo standard Federal Risk and Authorization Management Program (FedRAMP) implementa la normativa FISMA per le agenzie federali degli Stati Uniti che utilizzano servizi di cloud computing. FedRAMP è lo standard di conformità alla sicurezza nel cloud obbligatorio per le agenzie federali.

Google Workspace, inclusi Google Workspace for Education, Google Workspace for Nonprofits and Government e Google App Engine hanno ricevuto l'autorizzazione FedRAMP ATO (Authorization to Operate) al livello FIPS 199 (moderato), il livello standard per le informazioni controllate non classificate.

Lo standard PCI DSS (Payment Card Industry Data Security Standard) è un insieme di norme e requisiti tecnici per i sistemi che contengono o elaborano dati relativi alle carte di pagamento. Il servizio Google Cloud Platform è stato valutato da un Qualified Security Assessor (QSA) ed è risultato conforme allo standard PCI DSS. Google utilizza il Report on Compliance (report di conformità) del QSA per garantire che gli sviluppatori di applicazioni possano creare e utilizzare le proprie soluzioni, sicure e conformi, sulla sua piattaforma. Google Workspace non è pensato per elaborare né memorizzare transazioni con carte di credito. Pertanto, i clienti possono configurare controlli atti a prevenire l'invio da Google Workspace di email contenenti dati delle carte di credito. Ciò consente ai nostri clienti di mantenere la conformità allo standard PCI DSS. 

Google Cloud Platform è sottoposta a una verifica annuale condotta da terze parti che certifica i singoli prodotti rispetto agli standard PCI DSS. Ciò significa che questi servizi forniscono ai clienti un'infrastruttura di base utilizzabile per i loro servizi o applicazioni e pensata per archiviare, elaborare o trasmettere i dati dei titolari di carte. È importante sottolineare che i clienti sono comunque responsabili della conformità delle proprie applicazioni agli standard PCI DSS. Per informazioni su come utilizzare Google Cloud Platform per implementare gli standard PCI DSS nella tua applicazione, consulta Conformità agli standard di sicurezza dei dati PCI.

Google Vault è un componente aggiuntivo per Google Workspace che consente di conservare, archiviare, cercare ed esportare le email dell'organizzazione per esigenze di eDiscovery e conformità. Vault è interamente basato sul Web, quindi non è necessario installare o gestire alcun software. Con Vault puoi:

• Conservare i dati per tutto il tempo necessario.
• Rimuovere i dati quando non servono più.
• Ricercare, archiviare a fine legali ed esportare i dati interessati.

Per maggiori informazioni, vedi Che cos'è Google Vault?

La normativa ITAR è un insieme di regolamenti governativi degli Stati Uniti che controllano l'esportazione e l'importazione di articoli e servizi per la difesa inclusi nella lista USML (United States Munitions List). Google non supporta l'utilizzo dei propri servizi con dati soggetti a controllo in base alla normativa ITAR.

Il GDPR è un atto legislativo complesso. Per maggiori dettagli sull'approccio di Google Cloud al GDPR, consulta le risorse indicate in Google Cloud e il Regolamento generale sulla protezione dei dati (GDPR). Per quanto riguarda le limitazioni al trasferimento di dati imposte dal GDPR, Google Cloud include clausole contrattuali tipo (SCC) nell'ATDC e nei DPST. In assenza di una soluzione di trasferimento alternativa, queste clausole proteggono automaticamente i Dati personali dei clienti di Europa, Medio Oriente e Africa (EMEA); inoltre, proteggono i Dati personali dei clienti al di fuori della regione EMEA se questi clienti certificano tramite la Console di amministrazione Google di essere soggetti alla legislazione europea per la protezione dei dati.

Google offre alle organizzazioni i servizi Google Workspace ai sensi dei Termini di servizio di Google Workspace e dell'Addendum per il trattamento dei dati Cloud. Le versioni consumer delle app sono offerte da Google direttamente ai propri utenti finali in base ai Termini di servizio e alle Norme sulla privacy di Google. Le funzioni e le funzionalità delle app Google Workspace si sovrappongono in larga misura a quelle delle rispettive versioni consumer. Nei servizi Google Workspace sono incluse opzioni che permettono agli amministratori di controllare le impostazioni relative a sicurezza e privacy delle app per la loro organizzazione.

No. Il nostro Addendum per il trattamento dei dati Google Cloud, che include clausole contrattuali tipo incorporate, è disponibile solo per i clienti che utilizzano Google Workspace. Le versioni consumer delle app Google Workspace vengono offerte ai sensi dei Termini di servizio e delle Norme sulla privacy di Google.

Rivolgiti al tuo consulente legale in merito agli obblighi specifici a tuo carico in materia di privacy e protezione dei dati e al tipo di modello adatto alle tue esigenze di conformità.

Ci impegniamo a realizzare prodotti che siano intrinsecamente sicuri e privati, nonché pensati in modo che ad avere il controllo siano le persone. Anche se le nostre norme non consentono agli utenti di età inferiore a quella del consenso digitale di creare un Account Google standard, abbiamo lavorato duramente per progettare esperienze di prodotto ricche e specifiche per loro, per gli adolescenti e le famiglie.  

Ti invitiamo a rivolgerti al tuo consulente legale per valutare le obbligazioni in base all'Age Appropriate Design Code (AADC) e ad altre normative incentrate sulla privacy dei minori. 

Per gli account Google Workspace Business ed Enterprise, è compito dell'amministratore di dominio determinare se l'AADC si applica eventualmente a uno o più utenti del dominio. In questo caso, ti consigliamo di disattivare tutti i servizi aggiuntivi per gli utenti minori di 18 anni. Questo perché i piani Google Workspace Business ed Enterprise sono account aziendali. I servizi aggiuntivi a cui si accede tramite un account aziendale non dispongono attualmente di funzionalità per la privacy dedicate ai minori. Questo non vale per gli account Google Workspace for Education, in cui i domini Google Workspace for Education hanno implementato l'impostazione di accesso basato sull'età (per maggiori informazioni, vedi Controllare l'accesso ai servizi Google in base all'età).