Cumple con las necesidades reglamentarias, de cumplimiento y de privacidad

Last reviewed 2025-02-05 UTC

Este principio del pilar de seguridad del framework de arquitectura te ayuda a identificar y cumplir con los requisitos regulatorios, de cumplimiento y de privacidad para las implementaciones en la nube.Google Cloud Estos requisitos influyen en muchas de las decisiones que debes tomar sobre los controles de seguridad que se deben usar para tus cargas de trabajo enGoogle Cloud.

Cumplir con las necesidades regulatorias, de cumplimiento y de privacidad es un desafío inevitable para todas las empresas. Los requisitos normativos de la nube dependen de varios factores, incluidos los siguientes:

  • Las leyes y reglamentaciones que se aplican a las ubicaciones físicas de tu organización
  • Las leyes y reglamentaciones que se aplican a las ubicaciones físicas de tus clientes
  • Los requisitos reglamentarios de tu industria

Las reglamentaciones de privacidad definen cómo puedes obtener, procesar, almacenar y administrar los datos de tus usuarios. Tus datos te pertenecen, incluidos los que recibes de los usuarios. Por lo tanto, muchos controles de privacidad son tu responsabilidad, incluidos los controles para cookies, la administración de sesiones y la obtención del permiso del usuario.

Las recomendaciones para implementar este principio se agrupan en las siguientes secciones:

Recomendaciones para abordar los riesgos organizacionales

En esta sección, se proporcionan recomendaciones para ayudarte a identificar y abordar los riesgos de tu organización.

Identifica los riesgos para tu organización

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

Antes de crear e implementar recursos en Google Cloud, completa una evaluación de riesgo. Esta evaluación debe determinar las funciones de seguridad que necesitas para cumplir con los requisitos de seguridad internos y los requisitos regulatorios externos.

La evaluación de riesgos te proporciona un catálogo de riesgos específicos de la organización y te informa sobre la capacidad de tu organización para detectar y contrarrestar las amenazas de seguridad. Debes realizar un análisis de riesgos inmediatamente después de la implementación y cada vez que haya cambios en las necesidades de tu empresa, los requisitos normativos o las amenazas para tu organización.

Como se menciona en el principio Implementa la seguridad desde el diseño, los riesgos de seguridad en un entorno de nube difieren de los riesgos locales. Esta diferencia se debe al modelo de responsabilidad compartida en la nube, que varía según el servicio (IaaS, PaaS o SaaS) y el uso. Usa un framework de evaluación de riesgos específico de la nube, como la Matriz de controles en la nube (CCM). Usa el modelado de amenazas, como el modelado de amenazas de aplicaciones de OWASP, para identificar y abordar las vulnerabilidades. Si necesitas ayuda de expertos con las evaluaciones de riesgos, comunícate con tu representante de cuentas de Google o consulta el directorio de socios de Google Cloud.

Después de catalogar los riesgos, debes determinar cómo abordarlos, es decir, si deseas aceptarlos, evitarlos, transferirlos o mitigarlos. Para conocer los controles de mitigación que puedes implementar, consulta la siguiente sección sobre cómo mitigar tus riesgos.

Reduce los riesgos

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

Cuando adoptas nuevos servicios de nube pública, puedes mitigar los riesgos mediante controles técnicos, protecciones contractuales y verificaciones o certificaciones de terceros.

Los controles técnicos son funciones y tecnologías que usas para proteger tu entorno. Estos incluyen controles de seguridad integrados en la nube, como firewalls y registros. Los controles técnicos también pueden incluir el uso de herramientas de terceros para reforzar o respaldar tu estrategia de seguridad. Existen dos categorías de controles técnicos:

  • Puedes implementar los controles de seguridad de Google Cloudpara ayudarte a mitigar los riesgos que se aplican a tu entorno. Por ejemplo, puedes proteger la conexión entre tus redes locales y tus redes de nube con Cloud VPN y Cloud Interconnect.
  • Google tiene controles internos sólidos y realiza auditorías para proteger los datos de clientes del acceso de usuarios con información privilegiada. Nuestros registros de auditoría te proporcionan registros casi en tiempo real del acceso de los administradores de Google en Google Cloud.

Las protecciones contractuales hacen referencia a los compromisos legales realizados por nosotros en relación con los servicios deGoogle Cloud . Google se compromete a mantener y expandir la cartera de cumplimiento. En el Anexo de Tratamiento de Datos de Cloud (CDPA), se describen nuestros compromisos con respecto al procesamiento y la seguridad de tus datos. En el CDPA, también se describen los controles de acceso que limitan el acceso de los ingenieros de asistencia de Google a los entornos de los clientes y se describe nuestro riguroso proceso de registro y aprobación. Te recomendamos que revises los controles contractuales de Google Cloudcon tus expertos legales y normativos, y verifiques que cumplan con tus requisitos. Si necesitas más información, comunícate con tu representante técnico de cuenta.

Las verificaciones o certificaciones de terceros hacen referencia a que un proveedor externo audite al proveedor de servicios en la nube para asegurarse de que cumpla con los requisitos de cumplimiento. Por ejemplo, para obtener información sobre las Google Cloud certificación con respecto a los lineamientos de la norma ISO/IEC 27017, consulta ISO/IEC 27017: Cumplimiento. Para ver las Google Cloud certificaciones y cartas de certificación actuales, consulta el Centro de recursos de cumplimiento.

Recomendaciones para abordar las obligaciones de cumplimiento y reglamentarias

Un recorrido de cumplimiento típico tiene tres etapas: evaluación, solución de brechas y supervisión continua. En esta sección, se proporcionan recomendaciones que puedes usar durante cada una de estas etapas.

Evalúa tus necesidades de cumplimiento

Esta recomendación es relevante para la siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

La evaluación del cumplimiento comienza con una revisión exhaustiva de todas las obligaciones normativas y cómo tu empresa las implementa. Para ayudarte con la evaluación de los servicios de Google Cloud , usa el Centro de recursos de cumplimiento. En este sitio, se proporciona información sobre lo siguiente:

  • Asistencia de servicio para varias normativas
  • Google Cloud certificaciones y declaraciones

Para comprender mejor el ciclo de vida del cumplimiento en Google y cómo se pueden cumplir tus requisitos, puedes comunicarte con el equipo de ventas para solicitar ayuda a un especialista en cumplimiento de Google. También puedes comunicarte con tu administrador de cuenta deGoogle Cloud para solicitar un seminario de cumplimiento.

Para obtener más información sobre las herramientas y los recursos que puedes usar para administrar la seguridad y el cumplimiento de las Google Cloud cargas de trabajo, consulta Garantiza el cumplimiento en la nube.

Automatiza la implementación de los requisitos de cumplimiento

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

Para ayudarte a cumplir con las normativas cambiantes, determina si puedes automatizar la forma en que implementas los requisitos de cumplimiento. Puedes usar las funciones enfocadas en el cumplimiento que proporciona Google Cloud y los esquemas que usan configuraciones recomendadas para un régimen de cumplimiento en particular.

Assured Workloads se basa en los controles de Google Cloud para ayudarte a cumplir con tus obligaciones de cumplimiento. Assured Workloads te permite hacer lo siguiente:

  • Selecciona tu régimen de cumplimiento. Luego, la herramienta establece automáticamente los controles de acceso del personal de referencia para el régimen seleccionado.
  • Establece la ubicación de tus datos con políticas de la organización para que tus datos en reposo y recursos solo permanezcan en esa región.
  • Selecciona la opción de administración de claves (como el período de rotación de claves) que mejor se adapte a tus requisitos de cumplimiento y seguridad.
  • Selecciona los criterios de acceso para el personal de Atención al cliente de Google para cumplir con ciertos requisitos normativos, como FedRAMP Moderate. Por ejemplo, puedes seleccionar si el personal de Atención al cliente de Google completó las verificaciones de antecedentes adecuadas.
  • Usa servicios que sean propiedad de Google y Google-owned and Google-managed encryption key que cumplan con FIPS-140-2 y admitan el cumplimiento de FedRAMP Moderate. Para agregar una capa de control y separación de obligaciones adicionales, puedes usar claves de encriptación administradas por el cliente (CMEK). Para obtener más información sobre las claves, consulta Cómo encriptar datos en reposo y en tránsito.

Además de Assured Workloads, puedes usar Google Cloud plantillas que sean relevantes para tu régimen de cumplimiento. Puedes modificar estos esquemas para incorporar tus políticas de seguridad en las implementaciones de infraestructura.

Para ayudarte a crear un entorno que admita tus requisitos de cumplimiento, los planes y las guías de soluciones de Google incluyen configuraciones recomendadas y proporcionan módulos de Terraform. En la siguiente tabla, se enumeran los esquemas que abordan la seguridad y la alineación con los requisitos de cumplimiento.

Supervisa el cumplimiento

Esta recomendación es relevante para las siguientes áreas de enfoque:

  • Administración, riesgo y cumplimiento de la nube
  • Registro, supervisión y auditoría

La mayoría de las reglamentaciones requieren que supervises actividades particulares, incluidas las actividades relacionadas con el acceso. Para ayudarte con la supervisión, puedes usar lo siguiente:

  • Transparencia de acceso: Consulta registros casi en tiempo real cuando los Google Cloud administradores acceden a tu contenido.
  • Registro de reglas de firewall: Registra las conexiones TCP y UDP dentro de una red de VPC para cualquier regla que crees. Estos registros pueden ser útiles para auditar el acceso a la red o proporcionar una advertencia temprana de que la red se está usando de manera no aprobada.
  • Registros de flujo de VPC: Registran los flujos de tráfico de red que envían o reciben las instancias de VM.
  • Security Command Center Premium: Supervisa el cumplimiento de varios estándares.
  • OSSEC (o cualquier otra herramienta de código abierto): Registra la actividad de las personas que tienen acceso de administrador a tu entorno.
  • Key Access Justifications: Consulta los motivos de una solicitud de acceso a las claves.
  • Notificaciones de Security Command Center: Recibe alertas cuando se produzcan problemas de incumplimiento. Por ejemplo, recibe alertas cuando los usuarios inhabilitan la verificación en dos pasos o cuando las cuentas de servicio tienen privilegios excesivos. También puedes configurar la solución automática para notificaciones específicas.

Recomendaciones para administrar la soberanía de tus datos

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

La soberanía de los datos te proporciona un mecanismo para evitar que Google acceda a tus datos. Solo apruebas el acceso para los comportamientos del proveedor que aceptas como necesarios. Por ejemplo, puedes administrar la soberanía de los datos de las siguientes maneras:

Administra tu soberanía operativa

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

La soberanía operativa te garantiza que el personal de Google no pueda poner en riesgo tus cargas de trabajo. Por ejemplo, puedes administrar la soberanía operativa de las siguientes maneras:

Administra la soberanía del software

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

La soberanía del software te brinda garantías de que puedes controlar la disponibilidad de tus cargas de trabajo y ejecutarlas donde lo desees. Además, puedes tener este control sin depender de un solo proveedor de servicios en la nube ni estar atado a él. La soberanía del software incluye la capacidad de sobrevivir a los eventos que requieren que cambies con rapidez dónde se implementan las cargas de trabajo y qué nivel de conexión externa está permitido.

Por ejemplo, para ayudarte a administrar tu soberanía de software, Google Cloud admite implementaciones híbridas y de múltiples nubes. Además, GKE Enterprise te permite implementar y administrar tus aplicaciones en entornos locales y en la nube. Si eliges implementaciones locales por motivos de soberanía de los datos, Google Distributed Cloud es una combinación de hardware y software que lleva Google Cloud a tu centro de datos.

Recomendaciones para abordar los requisitos de privacidad

Google Cloud incluye los siguientes controles que promueven la privacidad:

  • Encriptación predeterminada de todos los datos cuando están en reposo, en tránsito y mientras se procesan.
  • Protege contra el acceso de usuarios con información privilegiada.
  • Compatibilidad con varias regulaciones de privacidad.

En las siguientes recomendaciones, se abordan controles adicionales que puedes implementar. Para obtener más información, consulta el Centro de recursos de privacidad.

Controla la residencia de los datos

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

La residencia de datos describe dónde se almacenan los datos en reposo. Los requisitos de residencia de datos varían según los objetivos de diseño del sistema, las preocupaciones normativas de la industria, la ley nacional, las implicaciones fiscales e incluso la cultura.

El control de la residencia de los datos comienza con lo siguiente:

  • Comprender el tipo de datos y su ubicación
  • Determinar los riesgos que existen para tus datos y qué leyes y regulaciones se aplican
  • Controlar dónde se almacenan tus datos o a dónde se dirigen

Para ayudarte a cumplir con los requisitos de residencia de datos, Google Cloud te permite controlar dónde se almacenan tus datos, cómo se accede a ellos y cómo se procesan. Puedes usar las políticas de ubicación de recursos para restringir en qué lugar se crean los recursos y limitar dónde se replican los datos entre las regiones. Puedes usar la propiedad de ubicación de un recurso para identificar dónde se implementa el servicio y quién lo mantiene. Para obtener más información, consulta Servicios compatibles con las ubicaciones de los recursos.

Clasifica tus datos confidenciales

Esta recomendación es relevante para la siguiente área de enfoque: Seguridad de los datos.

Debes definir qué datos son confidenciales y, luego, asegurarte de que estén protegidos de forma correcta. Los datos confidenciales pueden incluir números de tarjetas de crédito, direcciones, números de teléfono y otra información de identificación personal (PII). Con Sensitive Data Protection, puedes configurar las clasificaciones adecuadas. Luego, puedes etiquetar y asignar tokens a los datos antes de almacenarlos en Google Cloud. Además, Dataplex ofrece un servicio de catálogo que proporciona una plataforma para almacenar, administrar y acceder a tus metadatos. Para obtener más información y un ejemplo de clasificación y desidentificación de datos, consulta Desidentificación y reidentificación de PII con Sensitive Data Protection.

Bloquea el acceso a los datos sensibles

Esta recomendación es relevante para las siguientes áreas de enfoque:

  • Seguridad de los datos
  • Administración de identidades y accesos

Coloca datos sensibles en su propio perímetro de servicio con los Controles del servicio de VPC. Los Controles del servicio de VPC mejoran tu capacidad de mitigar el riesgo de copia o transferencia de datos no autorizadas (robo de datos) de los servicios administrados por Google. Con los Controles del servicio de VPC, puedes configurar perímetros de seguridad en torno a los recursos de los servicios administrados por Google y controlar el movimiento de datos en el perímetro. Establece controles de acceso de Identity and Access Management (IAM) de Google para esos datos. Configura la autenticación de varios factores (MFA) para todos los usuarios que requieran acceso a datos sensibles.