Compliance

Temos a satisfação de obedecer às regulamentações de países do mundo inteiro e de vários setores, como saúde e educação. Você pode usar os serviços do Google com a certeza de que fornecemos as ferramentas e os controles necessários para atender aos seus requisitos de compliance.

Para facilitar a resposta a muitas das dúvidas que recebemos, criamos estas Perguntas frequentes e um site sobre a segurança do G Suite. Esperamos que isso ajude a responder a algumas das suas dúvidas sobre o posicionamento do Google em relação a questões importantes. Leia a página Privacidade e Termos para conhecer outras ferramentas e ver informações relacionadas à privacidade dos consumidores.

Se você precisar denunciar à nossa equipe um problema de abuso, saiba mais sobre como fazer isso. 

Como posso verificar a segurança do G Suite e do Google Cloud Platform?

Os clientes e regulamentadores esperam uma verificação independente dos controles de segurança, privacidade e compliance. Para garantir isso, o Google se submete regularmente a diversas auditorias independentes de terceiros. Isso significa que um auditor independente avalia os controles dos data centers, da infraestrutura e das operações do Google. As soluções do Google são auditadas regularmente com base nos seguintes padrões:

  • SOC1 (SSAE-16/ISAE-3402): G Suite, Google Compute Engine, Google Cloud Storage, Google App Engine
  • SOC2: G Suite, Google Compute Engine, Google Cloud Storage, Google App Engine
  • SOC3: G Suite, Google Compute Engine, Google Cloud Storage, Google App Engine
  • ISO27001: para o G Suite e o Google Cloud Platform
  • ISO27017: para o G Suite e o Google Cloud Platform
  • ISO 27018: para o G Suite e o Google Cloud Platform
  • HIPAA: G Suite, Google Compute Engine, Google Cloud Storage, Google Big Query, Google Cloud SQL
  • FISMA: Google App Engine, G Suite
  • FEDRAMP: Google App Engine, G Suite
Posso ter uma cópia desses relatórios de auditoria e certificações? Onde posso fazer o download do relatório de auditoria SOC3? Onde posso ver a certificação ISO27001 do Google?

O relatório SOC3 prova que nossos controles foram examinados por um contador independente. Ele representa o relatório de um analista comprovando que as premissas de gerenciamento que regem os negócios da entidade estão em conformidade com os princípios e critérios de serviços confiáveis. O relatório de auditoria SOC3 completo também está disponível para download. A certificação ISO27001 prova o escopo funcional da ISO/IEC 27001:2005. Essa certificação abrange os produtos G Suite (e G Suite for Education), Google Cloud Platform, Google+, Google Now, Google Analytics e Analytics Premium, assim como os dados contidos nesses produtos ou coletados por eles e por locais especificados.

Como o Google adere aos requisitos de proteção de dados da União Europeia?

O Google tem uma grande base de clientes europeus. Mais de 50% dos nossos clientes empresariais estão localizados fora dos Estados Unidos. O Google oferece recursos e compromissos contratuais criados para atender às recomendações de proteção de dados do Grupo de Trabalho do Artigo 29 (WP29, na sigla em inglês). O Google prontifica-se a assinar cláusulas contratuais modelo da União Europeia (UE) e uma Emenda sobre processamento de dados.

Para aceitar a Emenda sobre processamento de dados, siga estas instruções:

Faça login no Admin Console. Clique em "Perfil da empresa" > "Perfil".

Na seção "Termos adicionais de segurança e privacidade", clique em "Analisar e aceitar", ao lado de "Emenda sobre processamento de dados", e em "Aceito".

Ao lado de "Cláusulas contratuais modelo da UE", clique em "Analisar e aceitar" e em "Aceito".

Além das auditorias independentes de terceiros sobre nossas práticas de proteção de dados, da certificação ISO 27001 e da confirmação de que nossas práticas de privacidade e compromissos contratuais obedecem à ISO/IEC 27018:2014, oferecemos aos clientes várias opções de compliance para atender às regulamentações de proteção de dados da UE.

As leis de proteção de dados da UE não exigem que os dados pessoais sejam armazenados na UE/no Espaço Econômico Europeu?

A Diretiva de Proteção de Dados da Comissão Europeia é uma parte importante da legislação aprovada pela UE em 1995. Ela restringe a movimentação de dados da UE para países não membros da UE que não atendam ao padrão de "adequação" da UE para a proteção da privacidade. O processamento de dados pessoais apenas dentro da UE é um meio de compliance com a Diretiva. Outros meios de compliance não exigem que os dados fiquem localizados dentro da UE, como o uso de cláusulas contratuais modelos aprovadas pela Comissão Europeia.

E o governo dos EUA? Se forem armazenados fora dos EUA, os dados não estarão sujeitos aos requisitos de dados do governo dos EUA?

Armazenar seus dados em um determinado país não os protege necessariamente contra o acesso por governos estrangeiros. A localização dos dados em uma jurisdição não significa necessariamente que outra jurisdição não possa solicitar a divulgação dos dados. Além disso, existem relatos de tentativas de acesso direto a linhas cabeadas entre data centers por parte de governos em vários lugares do mundo. É por isso que defendemos uma reforma do monitoramento. Não permitimos que governos acessem nossos sistemas nem instalem equipamentos que acessem dados dos usuários. Para mais informações sobre como são tratadas as solicitações de dados a pedido do governo, consulte o Transparency Report do Google.

Onde o Google armazena meus dados?

Seus dados serão armazenados na rede de data centers do Google. O Google mantém data centers em diversas localidades. Os clusters de computação do Google são projetados com foco na resiliência e na redundância, eliminando pontos de falha individuais e minimizando o impacto de riscos ambientais e de falhas comuns nos equipamentos.

Posso armazenar dados médicos nos sistemas do Google?

O G Suite garante compliance dos clientes com a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde dos Estados Unidos (HIPAA, na sigla em inglês) de 1996. Os clientes que estiverem sujeitos à HIPAA e quiserem usar o G Suite com informações confidenciais de saúde (PHI, na sigla em inglês) precisarão assinar um contrato de parceiro comercial (BAA, na sigla em inglês) com o Google. Os administradores de domínios do G Suite, G Suite for Education e G Suite para agências governamentais podem solicitar um BAA antes de usar os serviços do Google com PHI. O Google oferece um BAA que abrange o Gmail, o Google Agenda, o Google Drive e o Google Vault. Os clientes do Google Cloud Platform podem assinar um BAA do Google Compute Engine, do Google Cloud Storage, do Google Cloud SQL e do BigQuery.

Os produtos do Google atendem aos requisitos de privacidade para uso por alunos e crianças?

Mais de 40 milhões de alunos usam o G Suite for Education, que obedece à Lei dos Direitos Educacionais e da Privacidade da Família (FERPA, na sigla em inglês), e incluímos esse compromisso nos nossos contratos. Exigimos contratualmente que as escolas que usam o G Suite for Education tenham o consentimento dos pais ou responsáveis para o uso dos nossos serviços, conforme exigido pela Lei de Proteção On-line à Criança (COPPA, na sigla em inglês), o que facilita compliance com os requisitos da COPPA.

O Google pode ser usado por instituições do governo americano?

A Lei de Gerenciamento de Segurança de Informação Federal (FISMA, na sigla em inglês) de 2002 é uma lei federal dos Estados Unidos relacionada à segurança dos sistemas de informação dos órgãos federais. A FISMA se aplica a todos os sistemas de informação utilizados ou operados por órgãos federais dos EUA ou por empresas contratadas e outras organizações em nome do Governo. 

O Programa federal de gerenciamento de risco e autorização (FedRAMP, na sigla em inglês) implementa a FISMA para órgãos federais dos EUA usando serviços de computação em nuvem. O FedRAMP é o padrão de compliance de segurança na nuvem exigido para órgãos federais.

O G Suite (inclusive o G Suite for Education, o G Suite para organizações sem fins lucrativos e o G Suite para agências governamentais) e o Google App Engine receberam uma autorização de operação (ATO, na sigla em inglês) do FedRAMP no nível de impacto moderado com base na classificação FIPS 199, o nível padrão para informações não confidenciais controladas.

Minha organização lida com dados de cartões de pagamento e está sujeita ao PCI DSS. Quais ferramentas estão disponíveis para me ajudar a manter compliance?

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS, na sigla em inglês) é um conjunto de políticas e requisitos técnicos definidos para sistemas que contêm ou processam informações de cartões de pagamento. O Google Cloud Platform foi analisado por um Avaliador qualificado de segurança (QSA, na sigla em inglês) e está em compliance com o PCI DSS. O relatório de compliance do QSA está sendo usado para garantir que os desenvolvedores de aplicativos consigam criar e operar soluções seguras e em compliance na plataforma do Google. O G Suite não foi desenvolvido para processar ou armazenar transações com cartões de crédito. Portanto, os clientes podem configurar controles para impedir que e-mails com informações de cartões de crédito sejam enviados do G Suite. Isso ajuda nossos clientes a manter compliance com o PCI DSS. No caso do Google Drive, o Google Apps Vault pode ser configurado para fazer auditorias e garantir que nenhuma informação sobre cartões de crédito seja armazenada.

Quais ferramentas de e-discovery estão disponíveis para que minha organização atenda às solicitações jurídicas e de compliance? Posso usar os serviços do Google com dados controlados pela ITAR?

A Regulamentação sobre o Comércio Internacional de Armas (ITAR, na sigla em inglês) é um conjunto de regulamentações do governo dos Estados Unidos que controla a exportação e a importação de artigos e serviços relacionados à defesa na Lista de Munições dos Estados Unidos (USML, na sigla em inglês). Os serviços do Google não podem ser usados com dados controlados pela ITAR.

Como os serviços do Google Cloud obedecem ao GDPR da União Europeia?

O Regulamento geral de proteção de dados (GDPR, na sigla em inglês) da União Europeia substitui a Diretiva de proteção de dados de 1995. O GDPR fortalece os direitos individuais sobre os dados pessoais e busca unificar as leis de proteção de dados em toda a Europa, independentemente do local de processamento dos dados.

Temos o compromisso de manter compliance com o GDPR nos serviços do G Suite e do Google Cloud Platform. Também nos comprometemos a ajudar nossos clientes no processo de compliance com o GDPR garantindo a proteção avançada da privacidade e da segurança integradas aos nossos serviços e contratos ao longo dos anos.

Além de obedecerem a outras exigências, os controladores de dados precisam usar somente processadores que forneçam garantias suficientes para a implementação das medidas técnicas e organizacionais adequadas, de forma que o processamento atenda aos requisitos do GDPR.

Os termos de processamento de dados do G Suite e do Google Cloud Platform expressam claramente nosso compromisso com a privacidade dos clientes. Esses termos, aprimorados ao longo dos anos com base no feedback dos nossos clientes e regulamentadores, foram atualizados especificamente de acordo com as alterações do GDPR.

Acesse nosso site sobre o GDPR para saber mais.

Qual é a diferença entre o G Suite e as versões para consumidor dos aplicativos do G Suite?

O Google disponibiliza os serviços do G Suite para organizações com base nos Termos de Serviço do produto e a Emenda sobre processamento de dados. Os usuários finais têm acesso direto aos aplicativos para consumidor de acordo com os Termos de Serviço e a Política de Privacidade do Google. Há uma quantidade significativa de recursos e funcionalidades dos aplicativos do G Suite que também estão disponíveis nas versões para consumidor desses aplicativos. Os serviços do G Suite permitem que os administradores de domínio controlem as configurações de segurança e privacidade dos aplicativos.

O Google inclui a Emenda sobre processamento de dados do G Suite nas versões para consumidor dos aplicativos do G Suite?

Não. Os termos de processamento de dados do G Suite, incluindo a Emenda sobre processamento de dados e as cláusulas contratuais modelo, estão disponíveis apenas para os clientes do G Suite. As versões para consumidor dos aplicativos do G Suite são disponibilizadas de acordo com os Termos de Serviço e a Política de Privacidade do Google.

Você pode consultar um advogado para saber sobre as obrigações específicas de privacidade e proteção de dados e o modelo que atende às suas necessidades de compliance.

Isso foi útil?
Como podemos melhorá-lo?