Соблюдение нормативных требований

Клиенты и регулирующие органы должны быть уверены в надежности и конфиденциальности наших систем, а также в их соответствии всем необходимым требованиям. Поэтому компания Google регулярно проходит ряд независимых аудиторских проверок. Аудиторы изучают средства контроля, которые применяются в наших центрах обработки данных, инфраструктуре и операционной деятельности. Регулярные проверки решений Google выполняются на основе следующих стандартов:

• SOC1^™ (SSAE-18/ISAE-3402) – Google Workspace и Google Cloud Platform;
• SOC2^™ – Google Workspace и Google Cloud Platform;
• SOC3^™ – Google Workspace и Google Cloud Platform;
• ISO27001 – Google Workspace и Google Cloud Platform;
• ISO27017 – Google Workspace и Google Cloud Platform;
• ISO27018 – Google Workspace и Google Cloud Platform;
• ISO27701 – Google Workspace и Google Cloud Platform;
• Закон США "О преемственности страхования и отчетности в области здравоохранения" (HIPAA) – Google Workspace and Google Cloud Platform;
• Федеральная программа управления рисками и авторизацией (FedRAMP) – Google Workspace и Google Cloud Platform.

Отчет SOC3 – это отчет специалиста о том, насколько деятельность организации отвечает необходимым Принципам работы и критериям доверенных сервисов. Он означает, что средства управления Google были проверены независимым аудитором.

Сертификат ISO27001 подтверждает, что стандарт ISO/IEC 27001:2013 применяется в Google Workspace (и Google Workspace for Education), Google Cloud Platform, Google+, Google Now, Google Аналитике и Google Аналитике Премиум, а также охватывает данные, собранные этими сервисами и инструментами или содержащиеся в них.

Чтобы получить копии этих отчетов, войдите в свой аккаунт и используйте менеджер отчетов о соответствии.

Более 50 % наших корпоративных клиентов находятся за пределами США, в том числе в Европе. Мы предоставляем возможности и берем на себя контрактные обязательства, которые разработаны в соответствии с действующими законами по защите данных. Google предлагает Дополнение в отношении облачной обработки данных для Google Workspace и Google Cloud.

• Как принять условия Дополнения в отношении облачной обработки данных для Google Workspace
• Как принять условия Дополнения в отношении облачной обработки данных для Google Cloud

Наряду с независимыми аудиторскими проверками наших процедур защиты данных, сертификацией по стандарту ISO 27001 и подтверждением того, что наши меры по обеспечению конфиденциальности и договорные обязательства соответствуют стандарту ISO/IEC 27018:2014, мы предоставляем клиентам ряд возможностей, обеспечивающих соответствие нормативным требованиям ЕС в отношении защиты данных.

Генеральный регламент ЕС о защите персональных данных (GDPR) призван обеспечивать конфиденциальность таких данных для жителей Европейской экономической зоны (ЕЭЗ) и разрешает переносить персональные данные в страны вне ЕЭЗ, которые не были утверждены как способные обеспечить "адекватную" защиту данных, только в особых случаях. Генеральный регламент Великобритании о защите персональных данных и Федеральный закон Швейцарии о защите данных накладывают аналогичные ограничения. Один из способов соблюдения этих ограничений – использование утвержденных стандартных договорных условий.

Они включены в Дополнение в отношении облачной обработки данных, а также в Правила безопасности и условия обработки данных для клиентов Google Cloud. При отсутствии другого действующего документа, регулирующего передачу персональных данных в другие страны, стандартные договорные условия автоматически защищают персональные данные пользователей из стран Европы, Ближнего Востока и Африки. Клиенты не из этих стран должны подтвердить в консоли администратора, что на них распространяются европейские законы о защите данных, чтобы стандартные договорные условия применялись к их данным (при отсутствии другого действующего документа, регулирующего передачу персональных данных).

Иностранные государства могут получить доступ к данным, даже если информация хранится в другой юрисдикции. По этой причине мы поддерживаем проведение реформы надзора за гражданами. Мы не даем правительствам каких-либо стран доступ к нашим системам и запрещаем им устанавливать оборудование для просмотра данных пользователей. Более подробные сведения можно найти в этой публикации и Отчете Google о доступности сервисов и данных.

Ваши данные будут храниться в центрах обработки данных Google. Мы используем сеть территориально распределенных центров обработки данных. Вычислительные кластеры Google разрабатываются с учетом требований к отказоустойчивости и избыточности. Они лишены единых точек отказа, что сводит к минимуму последствия сбоев оборудования и нарушений в работе инфраструктуры.

В Google Workspace соблюдаются нормативные требования закона США "О преемственности страхования и отчетности в области здравоохранения" (HIPAA) 1996 года. Организации, на которые распространяются положения HIPAA, должны подписать с компанией Google соглашение между деловыми партнерами, прежде чем использовать Google Workspace для работы с закрытой информацией о состоянии здоровья. Администраторы Google Workspace, Google Workspace for Education и Google Workspace for Government могут подать запрос на заключение такого соглашения. Ознакомьтесь со списком сервисов и функций Google Workspace, отвечающих требованиям HIPAA.

Миллионы учащихся используют Google Workspace for Education. Этот пакет сервисов отвечает требованиям закона США "О правах семьи на доступ к информации, связанной с образованием, и ее защиту" (FERPA), что указано в наших соглашениях с клиентами. По договору учебные заведения обязаны получить согласие родителей на использование детьми сервисов Google Workspace for Education в соответствии с законом США "О защите личных сведений детей в интернете" (COPPA).

Информационные системы федеральных агентств должны соответствовать Федеральному закону США "Об управлении информационной безопасностью" (FISMA), принятому в 2002 году. Этот закон распространяется на все информационные системы, которые используются или обслуживаются федеральными агентствами США, подрядчиками или иными организациями от имени правительства.

Выполнять требования FISMA в отношении облачных сервисов помогает Федеральная программа США по управлению рисками и авторизацией (FedRAMP). В рамках этой программы был разработан обязательный стандарт для всех федеральных агентств США.

Согласно заключению полномочного органа FedRAMP, обработка данных Google Workspace, в том числе Google Workspace for Education, Google Workspace for Nonprofits, Google Workspace for Government и Google App Engine, выполняется в соответствии с требованиями FIPS 199 к информации среднего уровня риска. Это соответствует стандартному уровню для контролируемой открытой информации.

Payment Card Industry Data Security Standard (PCI DSS) – это набор правил и технических требований для систем, содержащих или обрабатывающих данные кредитных карт. Сервис Google Cloud Platform успешно прошел аудиторскую проверку систем безопасности (QSA) на соответствие требованиям PCI DSS. Отчет QSA подтверждает, что разработчики приложений могут создавать собственные безопасные и соответствующие требованиям решения с помощью этой платформы. Сервисы Google Workspace не предназначены для обработки или сохранения данных о транзакциях кредитных карт, поэтому администраторы могут запретить отправку из Google Workspace электронных сообщений, содержащих такую информацию. Это помогает нашим клиентам соблюдать требования стандарта PCI DSS.

Ежегодно проводится независимый аудит Google Cloud Platform, по итогам которого выдается сертификат на соответствие требованиям PCI DSS для отдельных продуктов платформы. Такой сертификат подтверждает, что инфраструктура сервиса подходит для развертывания решений, осуществляющих хранение, обработку или передачу данных владельцев кредитных карт. Клиентам следует помнить, что они сами отвечают за соответствие их приложений требованиям PCI DSS. Подробнее о том, как обеспечить соответствие требованиям стандарта PCI DSS для приложений, размещенных в Google Cloud Platform…

Google Сейф представляет собой дополнение к Google Workspace. В нем можно хранить, архивировать, искать и экспортировать переписку сотрудников организации в целях предоставления электронных документов и соблюдения нормативных требований. Сейф – это полностью облачное решение, поэтому дополнительное ПО вам не потребуется. Сейф позволяет:

• хранить данные столько, сколько нужно;
• удалять ненужную информацию;
• устанавливать запреты на удаление, искать и экспортировать нужные данные.

Подробнее о Сейфе…

ITAR – это государственные постановления США, которые контролируют импорт и экспорт товаров и услуг, связанных с оборонным сектором. Эти товары и услуги перечислены в Списке военного имущества США (USML). Использовать сервисы Google для работы с соответствующими данными нельзя.

Генеральный регламент ЕС о защите персональных данных (GDPR) – это сложный элемент законодательства. Подробную информацию о подходе Google Cloud к GDPR можно найти в ресурсах на странице Google Cloud и Генеральный регламент ЕС о защите персональных данных (GDPR). С учетом ограничений на передачу данных, накладываемых GDPR, для Google Cloud стандартные договорные условия включены в Дополнение в отношении облачной обработки данных и Правила безопасности и условия обработки данных. При отсутствии другого действующего документа, регулирующего передачу персональных данных клиентов в другие страны, стандартные договорные условия автоматически защищают персональные данные пользователей из стран Европы, Ближнего Востока и Африки и будут защищать персональные данные клиентов за пределами этих стран, если они подтвердят в консоли администратора, что к ним применяется европейское законодательство о защите данных.

Компания Google предлагает сервисы Google Workspace организациям в соответствии с Условиями использования Google Workspace и Дополнением в отношении облачной обработки данных. Доступ к бесплатным версиям приложений предоставляется напрямую конечным пользователям и регламентируется Условиями использования и Политикой конфиденциальности Google. Набор функций и возможностей, доступных в бесплатных и корпоративных версиях приложений, во многом совпадает. Сервисы Google Workspace отличаются средствами управления, которые позволяют администраторам домена контролировать настройки безопасности и конфиденциальности приложений, используемых в организации.

Нет. Наше Дополнение в отношении облачной обработки данных, включающее стандартные договорные условия, доступно только для клиентов, использующих Google Workspace. Бесплатные версии приложений, доступных в Google Workspace, предоставляются в соответствии с Условиями использования и Политикой конфиденциальности компании Google.

Вы можете обратиться к юристу, чтобы узнать, какие обязательства относительно обеспечения конфиденциальности и защиты данных несет ваша организация и какие нормативные требования вы должны соблюдать.

Мы стремимся создавать безопасные продукты, в которых конфиденциальность пользователей защищена, а сами они могут управлять доступом к своим данным. Наши правила запрещают детям, не достигшим определенного минимального возраста, создавать обычные аккаунты Google. Мы разработали для них (а также для подростков и семей) специальные продукты.  

Рекомендуем вам проконсультироваться с юристом по вопросу соблюдения требований Кодекса Великобритании в отношении информационной продукции, предназначенной для детей, и других нормативных документов, посвященных защите конфиденциальности детей.

В версиях Google Workspace Business и Enterprise администратор домена может решить, применяются ли к кому-то из пользователей требования упомянутого кодекса. Мы рекомендуем отключить дополнительные сервисы для пользователей младше 18 лет, так как подписки на эти версии предназначены для корпоративных клиентов. В дополнительных сервисах, доступных пользователям Google Workspace Business и Enterprise, не предусмотрено функций для защиты конфиденциальности детей. Это не касается аккаунтов версии Google Workspace for Education, для которых администратор задает настройки доступа для возрастных групп. Подробнее…