Compliance

Os clientes e reguladores esperam uma verificação independente dos controles de segurança, privacidade e compliance. Para garantir isso, o Google se submete regularmente a diversas auditorias independentes. Isso significa que um auditor avalia os controles dos data centers, da infraestrutura e das operações do Google. As soluções do Google são auditadas regularmente com base nos seguintes padrões:

• SOC1^™ (SSAE-18/ISAE-3402): Google Workspace e Google Cloud Platform
• SOC2^™: Google Workspace e Google Cloud Platform 
• SOC3^™: Google Workspace e Google Cloud Platform
• ISO 27001: Google Workspace e Google Cloud Platform
• ISO 27017: Google Workspace e Google Cloud Platform
• ISO 27018: Google Workspace e Google Cloud Platform
• ISO 27701: Google Workspace e Google Cloud Platform
• HIPAA: Google Workspace e Google Cloud Platform
• FedRAMP: Google Workspace e Google Cloud Platform

O relatório SOC3 prova que nossos controles foram examinados por um contador independente. Eles apresentam o parecer de um analista e atestam que as premissas de gerenciamento que regem os negócios da entidade estão em conformidade com os princípios e critérios de serviços confiáveis.

O certificado ISO27001 comprova o escopo funcional do padrão ISO/IEC 27001:2013. A certificação abrange o Google Workspace (e o Google Workspace for Education), o Google Cloud Platform, o Google Plus, o Google Now, o Google Analytics e o Analytics Premium, além dos dados contidos nesses produtos ou coletados por eles e por instalações especificadas.

Para gerar uma cópia desses relatórios de compliance no Gerenciador de relatórios de conformidade, basta fazer login na sua conta.

O Google tem uma grande base de clientes europeus. Mais de 50% dos nossos clientes empresariais estão localizados fora dos Estados Unidos. O Google oferece recursos e compromissos contratuais para atender às leis de proteção de dados aplicáveis. O Google oferece o Adendo sobre processamento de dados do Cloud (CDPA) para o Google Workspace e o Google Cloud.

• Aceitar o CPDA para o Google Workspace
• Aceitar o CDPA para o Google Cloud

Além das auditorias independentes sobre nossas práticas de proteção de dados, da certificação ISO 27001 e da confirmação de que nossas práticas de privacidade e compromissos contratuais obedecem à ISO/IEC 27018:2014, oferecemos aos clientes várias opções de compliance para atender às regulamentações de proteção de dados da UE.

O GDPR da UE protege os dados pessoais de residentes do Espaço Econômico Europeu (EEE) e permite a transferência de dados pessoais para países não membros do EEE que não tenham sido aprovados somente para fornecer proteção de dados "adequada" em circunstâncias limitadas. O GDPR do Reino Unido e a Lei Federal de Proteção de Dados da Suíça impõem restrições semelhantes. O uso de cláusulas contratuais padrão (SCCs) aprovadas é uma forma de obedecer a essas restrições.

O Google Cloud incorpora SCCs ao Adendo sobre processamento de dados do Cloud (CDPA) e aos Termos de Segurança e Processamento de Dados (DPST, na sigla em inglês). Na ausência de uma solução alternativa de transferência, elas vão proteger automaticamente os dados pessoais dos clientes na Europa, no Oriente Médio e na África (EMEA). Os clientes de fora da EMEA precisam confirmar pelo Admin Console que estão sujeitos à legislação europeia de proteção de dados para que as SCCs sejam aplicadas aos dados se não houver solução de transferência alternativa.

Armazenar seus dados fora de um determinado país não os protege necessariamente contra o acesso pelo governo, já que as autoridades podem solicitar a divulgação de informações para além das fronteiras. É por isso que defendemos uma reforma do monitoramento. Não permitimos que governos acessem nossos sistemas ou instalem equipamentos que acessem dados dos usuários. Saiba como são tratadas as solicitações governamentais de dados no artigo Proteções para transferências de dados internacionais com o Google Cloud e no Relatório de Transparência do Google.

Seus dados são armazenados na rede de data centers do Google em diversas localidades. Os clusters de computação do Google são projetados com foco na resiliência e na redundância, eliminando pontos únicos de falha e minimizando o impacto de riscos ambientais e de falhas comuns nos equipamentos.

O Google Workspace assegura compliance dos nossos clientes com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês) de 1996 dos EUA. Os clientes que estiverem sujeitos à HIPAA e quiserem usar o Google Workspace com Informações protegidas de saúde (PHI) precisarão assinar um Contrato de parceria comercial (BAA) com o Google. Os administradores de organizações que usam o Google Workspace, o Google Workspace for Education e o Google Workspace for Government podem solicitar um BAA antes de usar os Serviços do Google com PHI. Veja uma lista de funcionalidades do Google Workspace compatíveis com a HIPAA neste link.

Milhões de alunos usam o Google Workspace for Education, que obedece à Lei dos Direitos Educacionais e da Privacidade da Família (FERPA, na sigla em inglês) dos EUA, e incluímos esse compromisso nos nossos contratos. Exigimos contratualmente que as escolas que usam o Google Workspace for Education tenham a autorização dos responsáveis para o uso dos nossos serviços, conforme a Lei de Proteção da Privacidade On-line das Crianças (COPPA, na sigla em inglês) dos EUA, o que facilita compliance com os requisitos dessa lei.

A Lei de Gerenciamento de Segurança de Informações Federais (FISMA, na sigla em inglês) de 2002 é uma lei federal dos Estados Unidos relacionada à segurança dos sistemas de informação das agências federais. A FISMA se aplica a todos os sistemas de informação usados ou operados por agências federais dos Estados Unidos ou por fornecedores e outras organizações em nome do governo.

O Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP, na sigla em inglês) implementa a FISMA para agências federais dos EUA que usam serviços de computação em nuvem. O FedRAMP é o padrão de compliance de segurança na nuvem exigido para agências federais.

O Google Workspace, incluindo o Google Workspace, o Google Workspace for Education, o Google Workspace for Nonprofits e o Google Workspace for Government, e o Google App Engine receberam uma autorização de operação (ATO, na sigla em inglês) do FedRAMP no nível de impacto moderado do FIPS 199, o nível padrão para informações não classificadas controladas.

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS, na sigla em inglês) é um conjunto de políticas e requisitos técnicos definidos para sistemas que contêm ou processam informações de cartões de pagamento. O Google Cloud Platform foi analisado por um Avaliador qualificado de segurança (QSA, na sigla em inglês) e está em compliance com o PCI DSS. O relatório de compliance do QSA está sendo usado para garantir que os desenvolvedores de aplicativos consigam criar e operar soluções seguras e em compliance na plataforma do Google. O Google Workspace não foi desenvolvido para processar ou armazenar transações com cartões de crédito. Portanto, os clientes podem configurar controles para impedir que e-mails com informações de cartões de crédito sejam enviados do Google Workspace. Isso ajuda nossos clientes a manter compliance com o PCI DSS.

O Google Cloud Platform passa por uma auditoria independente anual para certificar produtos individuais de acordo com o PCI DSS. Isso significa que esses serviços oferecem uma infraestrutura em que os clientes podem criar os próprios serviços ou apps com capacidade para armazenar, processar ou transmitir dados de titulares de cartões. É importante observar que os clientes ainda são responsáveis por garantir que os respectivos apps estejam em compliance com o PCI DSS. Para saber como usar o Google Cloud Platform a fim de implementar o PCI DSS no seu app, consulte Compliance com o padrão de segurança de dados do PCI.

O Google Vault é um complemento do Google Workspace que retém, arquiva, pesquisa e exporta os e-mails da sua organização de acordo com as necessidades de compliance e e-discovery. Como o Vault é totalmente baseado na Web, não é necessário instalar nem manter softwares. Com o Vault, você pode:

• manter os dados pelo tempo que você precisar;
• remover os dados quando eles não forem mais necessários;
• pesquisar, criar guardas de documentos e exportar dados de interesse.

Veja mais informações em O que é o Google Vault?.

A Regulamentação sobre Tráfico Internacional de Armas (ITAR, na sigla em inglês) é um conjunto de regulamentos do governo dos Estados Unidos que controla a exportação e a importação de artigos e serviços relacionados à defesa na Lista de Munições dos Estados Unidos (USML, na sigla em inglês). Os serviços do Google não podem ser usados com dados controlados pela ITAR.

O GDPR é uma legislação bastante complexa. Veja detalhes sobre a abordagem do Google Cloud quanto ao GDPR nos recursos em Google Cloud e o Regulamento geral de proteção de dados (GDPR).  Em relação às restrições de transferência de dados impostas pelo GDPR, o Google Cloud inclui cláusulas contratuais padrão (SCCs) no CDPA e no DPST.  Caso não haja uma solução de transferência alternativa, eles protegem automaticamente os dados pessoais de clientes na Europa, no Oriente Médio e na África (EMEA), além de proteger os dados pessoais de clientes fora da EMEA caso esses clientes sejam certificados por meio do Google Admin Console de que estão sujeitos à legislação europeia de proteção de dados.

Os serviços do Google Workspace são oferecidos pelo Google para as organizações de acordo com os Termos de Serviço do Google Workspace e o Adendo sobre processamento de dados do Cloud. Os usuários finais têm acesso direto aos apps para o consumidor de acordo com os Termos de Serviço e a Política de Privacidade do Google. Há uma quantidade significativa de recursos e funcionalidades dos apps do Google Workspace que também estão disponíveis nas versões para consumidor desses apps. Os administradores da organização podem usar os recursos dos serviços do Google Workspace para controlar as configurações de segurança e privacidade dos apps da organização.

Não. O Adendo sobre processamento de dados do Cloud, incluindo as cláusulas contratuais padrão incorporadas, está disponível apenas para os clientes que usam o Google Workspace. As versões para consumidores dos apps do Google Workspace são oferecidas de acordo com os Termos de Serviço e a Política de Privacidade do Google.

Você pode consultar sua assessoria jurídica para saber sobre as obrigações específicas de privacidade e proteção de dados e o modelo que atende às necessidades de compliance.

Temos o compromisso de criar produtos que sejam seguros e particulares por padrão e que coloquem as pessoas no controle. Embora nossas políticas não permitam que crianças abaixo da idade de consentimento criem uma Conta do Google padrão, estamos nos empenhando para criar experiências de produto enriquecedoras para crianças, adolescentes e famílias.  

Recomendamos que você consulte sua assessoria jurídica para avaliar as obrigações relacionadas ao Age Appropriate Design Code (AADC) e outras regulamentações da privacidade infantil. 

Nas contas do Google Workspace Business e Enterprise, o administrador do domínio determina se o AADC é aplicável aos usuários no domínio. Em caso afirmativo, recomendamos desativar todos os serviços adicionais para usuários menores de 18 anos. Isso acontece porque os planos do Google Workspace Business e Enterprise são contas empresariais. No momento, os serviços adicionais acessados por uma conta empresarial não têm recursos de privacidade para crianças. Isso não é válido para as contas do Google Workspace for Education, em que os domínios do Google Workspace for Education implementaram a configuração de acesso com base na idade. Veja mais informações em Controlar o acesso aos Serviços do Google por idade.