Compliance

Temos a satisfação de obedecer às regulamentações de países do mundo inteiro e de vários setores, como saúde e educação. Você pode usar os serviços do Google com a certeza de que fornecemos as ferramentas e os controles necessários para atender aos seus requisitos de compliance.

Para facilitar a resposta a muitas das dúvidas que recebemos, criamos estas Perguntas frequentes e um site sobre a segurança do G Suite. Esperamos que isso ajude a responder a algumas das suas dúvidas sobre o posicionamento do Google em relação a questões importantes. Leia a página Privacidade e Termos para conhecer outras ferramentas e ver informações relacionadas à privacidade dos consumidores.

Se você precisar denunciar à nossa equipe um problema de abuso, saiba mais sobre como fazer isso. 

Como posso verificar a segurança do G Suite e do Google Cloud Platform?

Os clientes e regulamentadores esperam uma verificação independente dos controles de segurança, privacidade e compliance. Para garantir isso, o Google se submete regularmente a diversas auditorias independentes de terceiros. Isso significa que um auditor independente avalia os controles dos data centers, da infraestrutura e das operações do Google. As soluções do Google são auditadas regularmente com base nas seguintes normas:

Posso ter uma cópia desses relatórios de auditoria e certificações? Onde posso fazer o download do relatório de auditoria SOC3? Onde posso ver a certificação ISO27001 do Google?

Os relatórios SOC3 comprovam que nossos controles foram examinados por um contador independente. Eles apresentam o parecer de um analista e atestam que as premissas de gerenciamento que regem os negócios da entidade estão em conformidade com os princípios e critérios de serviços confiáveis. Consulte os relatórios SOC3 do G Suite e SOC3 do Google Cloud Platform.

As certificações ISO27001 do G Suite e ISO27001 do Google Cloud Platform comprovam o escopo funcional da certificação ISO/IEC 27001:2013. Ela abrange os produtos G Suite (e G Suite for Education), Google Cloud Platform, Google Plus, Google Now, Google Analytics e Analytics Premium, assim como os dados contidos nesses produtos ou coletados por eles e por locais especificados.

Como o Google adere aos requisitos de proteção de dados da União Europeia?

O Google tem uma grande base de clientes europeus. Mais de 50% dos nossos clientes empresariais estão localizados fora dos Estados Unidos. O Google oferece recursos e compromissos contratuais criados para atender às recomendações de proteção de dados do Grupo de Trabalho do Artigo 29 (WP29, na sigla em inglês). O Google se prontifica a assinar as cláusulas contratuais modelo da União Europeia e uma Emenda sobre processamento de dados para o G Suite e a Emenda de processamento de dados do Google Cloud Platform. 

Para aceitar a Emenda sobre processamento de dados, siga estas instruções:

Faça login no Admin Console. Clique em "Perfil da empresa" > "Perfil".

Na seção "Termos adicionais de segurança e privacidade", clique em "Analisar e aceitar", ao lado de "Emenda sobre processamento de dados", e em "Aceito".

Ao lado de "Cláusulas contratuais modelo da UE", clique em "Analisar e aceitar" e em "Aceito".

Além das auditorias independentes de terceiros sobre nossas práticas de proteção de dados, da certificação ISO 27001 e da confirmação de que nossas práticas de privacidade e compromissos contratuais obedecem à ISO/IEC 27018:2014, oferecemos aos clientes várias opções de compliance para atender às regulamentações de proteção de dados da UE.

As leis de proteção de dados da UE não exigem que os dados pessoais sejam armazenados na UE/no Espaço Econômico Europeu?

A Diretiva de Proteção de Dados da Comissão Europeia é uma parte importante da legislação aprovada pela UE em 1995. Ela restringe a movimentação de dados da UE para países não membros da UE que não atendam ao padrão de "adequação" da UE para a proteção da privacidade. O processamento de dados pessoais apenas dentro da UE é um meio de compliance com a Diretiva. Outros meios de compliance não exigem que os dados fiquem localizados dentro da UE, como o uso de cláusulas contratuais modelos aprovadas pela Comissão Europeia.

E o governo dos EUA? Se forem armazenados fora dos EUA, os dados não estarão sujeitos aos requisitos de dados do governo dos EUA?

Armazenar seus dados em um determinado país não os protege necessariamente contra o acesso por governos estrangeiros. A localização dos dados em uma jurisdição não significa necessariamente que outra jurisdição não possa solicitar a divulgação dos dados. Além disso, existem relatos de tentativas de acesso direto a linhas cabeadas entre data centers por parte de governos em vários lugares do mundo. É por isso que defendemos uma reforma do monitoramento. Não permitimos que governos acessem nossos sistemas nem instalem equipamentos que acessem dados dos usuários. Para mais informações sobre como são tratadas as solicitações de dados a pedido do governo, consulte o Transparency Report do Google.

Onde o Google armazena meus dados?

Seus dados serão armazenados na rede de data centers do Google. O Google mantém data centers em diversas localidades. Os clusters de computação do Google são projetados com foco na resiliência e na redundância, eliminando pontos de falha individuais e minimizando o impacto de riscos ambientais e de falhas comuns nos equipamentos.

Posso armazenar dados médicos nos sistemas do Google?

O G Suite garante compliance dos clientes com a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde dos Estados Unidos (HIPAA, na sigla em inglês) de 1996. Os clientes que estiverem sujeitos à HIPAA e quiserem usar o G Suite com Informações protegidas de saúde (PHI, na sigla em inglês) precisarão assinar um Contrato de parceria comercial (BAA, na sigla em inglês) com o Google. Os administradores das organizações que usam o G Suite, o G Suite for Education e o G Suite para agências governamentais podem solicitar um BAA antes de usar os serviços do Google com PHI. O Google oferece um BAA que abrange o Gmail, o Google Agenda, o Google Drive e o Google Vault. Os clientes do Google Cloud Platform podem assinar um BAA para o Compute Engine, o Cloud Storage, o Cloud SQL e o BigQuery.

Os produtos do Google atendem aos requisitos de privacidade para uso por alunos e crianças?

Mais de 40 milhões de alunos usam o G Suite for Education, que obedece à Lei dos Direitos Educacionais e da Privacidade da Família (FERPA, na sigla em inglês), e incluímos esse compromisso nos nossos contratos. Exigimos contratualmente que as escolas que usam o G Suite for Education tenham o consentimento dos pais ou responsáveis para o uso dos nossos serviços, conforme exigido pela Lei de Proteção On-line à Criança (COPPA, na sigla em inglês), o que facilita compliance com os requisitos da COPPA.

O Google pode ser usado por instituições do governo americano?

A Lei de Gerenciamento de Segurança de Informação Federal (FISMA, na sigla em inglês) de 2002 é uma lei federal dos Estados Unidos relacionada à segurança dos sistemas de informação dos órgãos federais. A FISMA se aplica a todos os sistemas de informação utilizados ou operados por órgãos federais dos EUA ou por empresas contratadas e outras organizações em nome do Governo. 

O Programa federal de gerenciamento de risco e autorização (FedRAMP, na sigla em inglês) implementa a FISMA para órgãos federais dos EUA usando serviços de computação em nuvem. O FedRAMP é o padrão de compliance de segurança na nuvem exigido para órgãos federais.

O G Suite, que inclui o G Suite, o G Suite for Education, o G Suite para organizações sem fins lucrativos, o G Suite para agências governamentais e o Google App Engine, recebeu uma Autorização de operação (ATO, na sigla em inglês) do FedRAMP no nível de impacto Moderado do FIPS 199, que é o nível padrão para Informações não classificadas controladas.

Minha organização processa dados de cartões de pagamento e está sujeita ao PCI DSS. Quais ferramentas estão disponíveis para me ajudar a manter compliance?

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS, na sigla em inglês) é um conjunto de políticas e requisitos técnicos definidos para sistemas que contêm ou processam informações de cartões de pagamento. O Google Cloud Platform foi analisado por um Avaliador qualificado de segurança (QSA, na sigla em inglês) e está em compliance com o PCI DSS. O relatório de compliance do QSA está sendo usado para garantir que os desenvolvedores de aplicativos consigam criar e operar soluções seguras e em compliance na plataforma do Google. O G Suite não foi desenvolvido para processar ou armazenar transações com cartões de crédito. Portanto, os clientes podem configurar controles para impedir que e-mails com informações de cartões de crédito sejam enviados do G Suite. Isso ajuda nossos clientes a manter compliance com o PCI DSS. 

Quais ferramentas de e-discovery estão disponíveis para que minha organização atenda às solicitações jurídicas e de compliance? Posso usar os serviços do Google com dados controlados pela Regulamentação sobre Tráfico Internacional de Armas?

A Regulamentação sobre Tráfico Internacional de Armas (ITAR, na sigla em inglês) é um conjunto de regulamentos do governo dos Estados Unidos que controla a exportação e a importação de artigos e serviços relacionados à defesa na Lista de Munições dos Estados Unidos (USML, na sigla em inglês). Os serviços do Google não podem ser usados com dados controlados pela ITAR.

Como os serviços do Google Cloud obedecem ao GDPR da União Europeia?

O Regulamento geral de proteção de dados (GDPR, na sigla em inglês) substitui a Diretiva de proteção de dados de 1995, ambos da União Europeia. O GDPR fortalece os direitos individuais sobre os dados pessoais e busca unificar as leis de proteção de dados em toda a Europa, independentemente do local de processamento dos dados.

Temos o compromisso de manter compliance com o GDPR nos serviços do G Suite e do Google Cloud Platform. Também nos comprometemos a ajudar nossos clientes no processo de compliance com o GDPR garantindo a proteção avançada da privacidade e da segurança integradas aos nossos serviços e contratos ao longo dos anos.

Além de obedecerem a outras exigências, os controladores de dados precisam usar somente processadores que forneçam garantias suficientes para a implementação das medidas técnicas e organizacionais adequadas, de forma que o processamento atenda aos requisitos do GDPR.

Os termos de processamento de dados do G Suite e do Google Cloud Platform expressam com clareza nossos compromissos de privacidade com os clientes. Esses termos, aprimorados ao longo dos anos com base no feedback dos nossos clientes e regulamentadores, foram atualizados especificamente de acordo com as alterações do GDPR.

Acesse nosso site sobre o GDPR para saber mais.

Qual é a diferença entre o G Suite e as versões para consumidor dos aplicativos do G Suite?

O Google disponibiliza os serviços do G Suite para organizações com base nos Termos de Serviço do produto e a Emenda sobre processamento de dados. Os usuários finais têm acesso direto aos aplicativos para consumidor de acordo com os Termos de Serviço e a Política de Privacidade do Google. Há uma quantidade significativa de recursos e funcionalidades dos aplicativos do G Suite que também estão disponíveis nas versões para consumidor. Os serviços do G Suite têm recursos que permitem aos administradores da organização controlar as configurações de segurança e privacidade dos aplicativos da organização.

O Google inclui a Emenda sobre processamento de dados do G Suite nas versões para consumidor dos aplicativos do G Suite?

Não. Os termos de processamento de dados do G Suite, inclusive a Emenda sobre processamento de dados e as cláusulas contratuais modelo, estão disponíveis apenas para os clientes do G Suite. As versões para consumidor dos aplicativos do G Suite são disponibilizadas de acordo com os Termos de Serviço e a Política de Privacidade do Google.

Você pode consultar um advogado para saber sobre as obrigações específicas de privacidade e proteção de dados e o modelo que atende às suas necessidades de compliance.

Isso foi útil?
Como podemos melhorá-lo?