Соблюдение нормативных требований

В Google серьезно относятся к персональным данным пользователей и конфиденциальной информации. Поэтому мы соблюдаем все необходимые требования местных законов и отраслевые стандарты, например в здравоохранении и образовании. Кроме того, мы обеспечиваем технические возможности, необходимые для соблюдения указанных правил.

Чтобы ответить на часто задаваемые вопросы, мы создали этот раздел и сайт, посвященный безопасности G Suite. Надеемся, что эти материалы будут вам полезны. Подробнее о наших инструментах и защите личных данных можно узнать в Политике конфиденциальности и Условиях использования.

Если вы хотите сообщить Google о нарушении, узнайте, как это сделать.

Как мне убедиться в безопасности G Suite и Google Cloud Platform?

Клиенты и регулирующие органы должны быть уверены в надежности и конфиденциальности наших систем, а также в их соответствии всем необходимым требованиям. Поэтому компания Google регулярно проходит ряд независимых аудиторских проверок. Это означает, что независимые аудиторы изучают средства контроля, которые применяются в наших центрах обработки данных, инфраструктуре и операциях. Регулярные проверки решений Google выполняются на основе следующих стандартов:

Где можно получить копию этих сертификатов и аудиторских отчетов? Как скачать аудиторский отчет SOC3? Где можно посмотреть сертификат ISO 27001 компании Google?

Отчет SOC3 – это отчет специалиста о том, насколько деятельность организации отвечает необходимым Принципам работы и критериям доверенных сервисов. Он означает, что средства управления Google были проверены независимым аудитором.

Сертификаты ISO27001 подтверждают, что стандарт ISO/IEC 27001:2013 применяется в G Suite, G Suite for Education, Google Cloud Platform, Google+, Google Now, Google Аналитике и Google Analytics Премиум. Он также охватывает данные, собранные этими сервисами и инструментами или содержащиеся в них.

  • Сертификаты ISO27001 можно посмотреть здесь.
Что делает Google для соответствия требованиям ЕС по защите данных?

Более 50 % наших корпоративных клиентов находится за пределами США, в том числе многие из них – в Европе. Мы предоставляем возможности и обязательства по контрактам, которые разработаны специально для соответствия требованиям к защите данных, принятым Рабочей группой по Статье 29. Нашим клиентам мы предлагаем принять Условия типового договора для стран ЕС, а также Поправку в отношении обработки данных для G Suite и Поправку в отношении обработки данных для Google Cloud Platform.

Чтобы воспользоваться Поправкой в отношении обработки данных, выполните следующие действия:

Войдите в консоль администратора. Нажмите "Профиль компании > Профиль".

В разделе "Дополнительные положения по безопасности и конфиденциальности" рядом с пунктом "Поправка в отношении обработки данных" нажмите кнопку "Ознакомиться и принять". Нажмите "Принимаю".

Рядом с Условиями типового договора для стран ЕС нажмите "Ознакомиться и принять". Нажмите "Принимаю".

Наряду с тем, что наши процедуры защиты данных проходят независимые аудиторские проверки, а также с сертификацией по стандарту ISO 27001 и с подтверждением того, что наши меры по обеспечению конфиденциальности и договорные обязательства соответствуют стандарту ISO/IEC 27018:2014, мы предоставляем клиентам ряд возможностей, обеспечивающих соответствие нормативным требованиям ЕС в отношении защиты данных.

Где должна храниться персональная информация в соответствии с законами ЕС о защите данных?

Одним из важных законов о конфиденциальности в ЕС является Директива о защите данных, принятая Еврокомиссией в 1995 году. Она запрещает перемещать личную информацию из ЕС в другие страны, если в них не соблюдаются требования, соответствующие европейским. Один из способов обеспечения соответствия Директиве – это обработка персональных данных только на территории ЕС. Другие способы этого не требуют, например использование условий типового договора, утвержденных Еврокомиссией.

Могут ли иностранные государства получить доступ к данным пользователей в системе Google?

Даже при хранении данных в определенной юрисдикции иностранные государства могут потребовать доступ к ним. Кроме того, известны случаи, когда правительства разных стран пытались напрямую подключиться к кабельным линиям между центрами обработки данных. По этой причине мы поддерживаем проведение реформы надзора за гражданами. Мы не даем правительствам каких-либо стран доступ к нашим системам и запрещаем им устанавливать оборудование для просмотра данных пользователей. Более подробные сведения можно найти в этом отчете.

Где Google хранит мои данные?

Ваши данные будут храниться в центрах обработки данных Google. Мы используем сеть территориально распределенных центров обработки данных. Вычислительные кластеры Google разрабатываются с учетом требований к отказоустойчивости и избыточности. Они лишены единых точек отказа, что сводит к минимуму последствия сбоев оборудования и нарушений в работе всей инфраструктуры.

Можно ли хранить медицинские данные в системах Google?

G Suite отвечает требованиям Закона США "О преемственности и подотчетности медицинского страхования" 1996 года (HIPAA). Организации, на которые распространяются положения HIPAA, должны подписать с компанией Google соглашение между деловыми партнерами, прежде чем использовать G Suite для работы с закрытой информацией о состоянии здоровья. Администраторы G Suite, G Suite for Education и G Suite for Government могут подать соответствующий запрос. Соглашение действительно в отношении Gmail, Google Календаря, Google Диска и Google Сейфа. Клиенты, работающие с Google Cloud Platform, могут подписать соглашение, распространяющееся на Compute Engine, Cloud Storage, Cloud SQL и BigQuery.

Соответствуют ли продукты Google требованиям к защите конфиденциальности данных детей и учащихся?

Более 40 миллионов учащихся используют G Suite for Education. Этот сервис отвечает требованиям Закона США о правах семьи на доступ к информации, связанной с образованием, и ее защиту (FERPA), что указано в наших соглашениях с клиентами. По договору учебные заведения обязаны получить согласие родителей на использование детьми сервисов G Suite for Education в строгом соответствии с Законом США о защите личных сведений детей в Интернете (COPPA).

Могут ли государственные учреждения США использовать продукты Google?

FISMA – это Федеральный закон США об управлении информационной безопасностью, принятый в 2002 году. Он призван защитить информационные системы в федеральных агентствах. Этот закон распространяется на все информационные системы, которые используются или обслуживаются федеральными агентствами США, подрядчиками или иными организациями от имени правительства.

Выполнять требования FISMA в отношении облачных сервисов помогает Федеральная программа управления рисками и авторизацией (FedRAMP). В рамках этой программы был разработан обязательный стандарт для всех федеральных агентств США.

Сервисы G Suite, включая G Suite, G Suite for Education, G Suite for Nonprofits и G Suite for Government, а также Google App Engine получили право работать на среднем уровне FIPS 199, что соответствует стандартному уровню для контролируемой открытой информации.

Какие инструменты для соблюдения требований PCI DSS доступны организациям, работающим с данными платежных карт?

Payment Card Industry Data Security Standard (PCI DSS) – это набор правил и технических требований для систем, содержащих или обрабатывающих данные кредитных карт. Сервис Google Cloud Platform успешно прошел аудиторскую проверку систем безопасности (QSA) на соответствие требованиям PCI DSS. Отчет QSA подтверждает, что разработчики приложений могут создавать собственные безопасные и соответствующие требованиям решения с помощью этой платформы. Сервис G Suite не предназначен для обработки транзакций с использованием кредитных карт или хранения сведений о них. Поэтому администраторы могут запретить отправку электронных писем, содержащих данные карт, из G Suite. Таким образом соблюдаются требования стандарта PCI DSS.

Какими инструментами для предоставления электронных документов может воспользоваться моя организация для удовлетворения запросов, связанных с соблюдением законов и норм?

Google Сейф представляет собой дополнение к G Suite. В нем можно хранить, архивировать, искать и экспортировать переписку сотрудников организации. С его помощью вы сможете обеспечить неприкосновенность и целостность данных, в том числе для юридических процедур. Сейф – это полностью облачное решение, поэтому дополнительное ПО вам не потребуется. Ниже перечислены возможности Сейфа.

Можно ли использовать сервисы Google для работы с данными, которые подпадают под действие Правил международной торговли оружием (ITAR)?

ITAR – это государственные постановления США, которые контролируют импорт и экспорт товаров и услуг, связанных с оборонным сектором. Эти товары и услуги перечислены в Списке военного имущества США (USML). Использовать сервисы Google для работы с соответствующими данными нельзя.

Соответствуют ли облачные сервисы Google требованиям Генерального регламента ЕС о защите персональных данных (GDPR)?

Генеральный регламент ЕС о защите персональных данных (GDPR) заменяет Директиву ЕС о защите данных от 1995 г. Он закрепляет права пользователей в отношении защиты персональных данных и призван унифицировать законы европейских стран о защите информации независимо от места ее обработки.

Google гарантирует, что все сервисы G Suite и Google Cloud Platform отвечают требованиям GDPR. Мы помогаем нашим клиентам соблюдать требования GDPR, обеспечивая защиту конфиденциальных данных и высокий уровень безопасности с помощью правил и инструментов, которые мы в течение многих лет разрабатывали для наших сервисов.

Контролеры данных должны использовать только тот обработчик данных, который обеспечивает достаточные технические и организационные меры для обработки данных в соответствии с требованиями GDPR.

Условия обработки данных для G Suite и Google Cloud Platform четко отражают наши обязательства по защите конфиденциальности клиентов. Мы совершенствовали эти условия на основе отзывов наших клиентов и комментариев регулирующих органов в течение многих лет и обновили их в соответствии с изменениями, связанными с регламентом GDPR.

Подробную информацию можно найти на нашем сайте, посвященном GDPR.

Чем отличаются приложения, доступные в G Suite, от их бесплатных версий для всех пользователей?

Компания Google предлагает сервисы G Suite организациям в соответствии с Условиями использования G Suite и Поправкой в отношении обработки данных. Доступ к бесплатным версиям приложений предоставляется напрямую конечным пользователям и регламентируется Условиями использования и Политикой конфиденциальности Google. Набор функций и возможностей, доступных в бесплатных и корпоративных версиях приложений, во многом совпадает. Сервисы G Suite отличаются средствами управления, которые позволяют администраторам домена контролировать настройки безопасности и конфиденциальности приложений, используемых в организации.

Распространяется ли действие Поправки в отношении обработки данных на бесплатные приложения Google?

Нет. Действие документов, регламентирующих обработку данных в G Suite, распространяется только на клиентов, которые используют этот пакет сервисов. К числу таких документов относятся Поправка в отношении обработки данных и условия типового договора. Бесплатные версии приложений, доступных в G Suite, предоставляются в соответствии с Условиями использования и Политикой конфиденциальности компании Google.

Рекомендуем обратиться к юристу, чтобы получить консультацию о том, какие обязательства в сфере обеспечения конфиденциальности и защиты данных могут стоять перед вашей организацией и какие нормативные требования вы должны соблюдать.

Эта информация оказалась полезной?
Как можно улучшить эту статью?