Atenda às necessidades regulatórias, de compliance e de privacidade

Last reviewed 2025-02-05 UTC

Esse princípio no pilar de segurança do Google Cloud framework de arquitetura ajuda você a identificar e atender aos requisitos de regulamentação, compliance e privacidade para implantações em nuvem. Esses requisitos influenciam muitas das decisões que você precisa tomar sobre os controles de segurança que precisam ser usados para suas cargas de trabalho no Google Cloud.

Atender às necessidades regulatórias, de compliance e de privacidade é um desafio inevitável para todas as empresas. Os requisitos regulamentares para a nuvem dependem de vários fatores, incluindo:

  • As leis e regulamentações aplicáveis aos locais físicos da sua organização
  • As leis e regulamentações que se aplicam aos locais físicos dos seus clientes
  • Requisitos regulamentares do seu setor

Os regulamentos de privacidade definem como você pode receber, processar, armazenar e gerenciar os dados dos usuários. Seus dados são seus, incluindo os dados que você recebe dos usuários. Portanto, muitos controles de privacidade são de sua responsabilidade, incluindo controles de cookies, gerenciamento de sessões e permissão de usuários.

As recomendações para implementar esse princípio estão agrupadas nas seguintes seções:

Recomendações para lidar com riscos organizacionais

Esta seção traz recomendações para ajudar a identificar e resolver riscos para sua organização.

Identificar riscos para sua organização

Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.

Antes de criar e implantar recursos no Google Cloud, faça uma avaliação de risco. Essa avaliação precisa determinar os recursos de segurança necessários para atender aos requisitos de segurança internos e externos regulatórios.

Sua avaliação de risco fornece um catálogo de riscos específicos da organização e informa sobre a capacidade da organização de detectar e combater ameaças de segurança. É necessário realizar uma análise de risco imediatamente após a implantação e sempre que houver mudanças nas necessidades de negócios, nos requisitos regulamentares ou nas ameaças à sua organização.

Conforme mencionado no princípio Implementar a segurança por design, os riscos de segurança em um ambiente de nuvem são diferentes dos riscos locais. Essa diferença se deve ao modelo de responsabilidade compartilhada na nuvem, que varia de acordo com o serviço (IaaS, PaaS ou SaaS) e seu uso. Use um framework de avaliação de risco específico da nuvem, como a matriz de controles do Cloud (CCM). Use o modelo de ameaças, como a estimativa de ameaça do aplicativo OWASP, para identificar e corrigir vulnerabilidades. Para receber ajuda de especialistas em avaliações de risco, entre em contato com seu representante de contas do Google ou consulte o diretório de parceiros do Google Cloud.

Depois de catalogar seus riscos, você precisa determinar como resolvê-los, ou seja, se quer aceitá-los, evitá-los, transferi-los ou mitigá-los. Para conferir os controles de mitigação que você pode implementar, consulte a próxima seção sobre como reduzir os riscos.

Reduza seus riscos

Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.

Ao adotar novos serviços de nuvem pública, é possível reduzir os riscos usando controles técnicos, proteções contratuais e verificações ou atestados de terceiros.

Os controles técnicos são recursos e tecnologias usados para proteger o ambiente. Eles incluem controles de segurança na nuvem integrados, como firewalls e geração de registros. Os controles técnicos também podem incluir o uso de ferramentas de terceiros para reforçar ou apoiar sua estratégia de segurança. Há duas categorias de controles técnicos:

  • É possível implementar os controles de segurança do Google Cloudpara ajudar a mitigar os riscos que se aplicam ao seu ambiente. Por exemplo, é possível proteger a conexão entre as redes locais e as redes de nuvem usando o Cloud VPN e o Cloud Interconnect.
  • O Google conta com recursos robustos de controle e auditoria internos para proteger os dados dos clientes contra acesso interno. Nossos registros de auditoria fornecem registros quase em tempo real do acesso do administrador do Google no Google Cloud.

As proteções contratuais se referem aos compromissos jurídicos assumidos por nós em relação aos serviçosGoogle Cloud . O Google tem o compromisso de manter e expandir nosso portfólio de compliance. O Adendo sobre processamento de dados do Cloud (CDPA) descreve nossos compromissos com o processamento e a segurança dos seus dados. O CDPA também descreve os controles de acesso que limitam o acesso dos engenheiros de suporte do Google aos ambientes dos clientes e descreve nossos rigorosos processos de registro e aprovação. Recomendamos que você revise os controles contratuais do Google Cloud com seus especialistas jurídicos e regulamentares e verifique se eles atendem aos seus requisitos. Se você precisar de mais informações, entre em contato com o representante técnico da conta.

Verificações ou atestados de terceiros se referem a uma auditoria de terceiros no provedor de nuvem para garantir que ele atenda aos requisitos de conformidade. Por exemplo, para saber mais sobre Google Cloud atestados em relação às diretrizes da ISO/IEC 27017, consulte ISO/IEC 27017: conformidade. Para conferir as certificações e as cartas de atestado atuais, consulte a Central de recursos de compliance. Google Cloud

Recomendações para atender a obrigações regulatórias e de compliance

Uma jornada típica de compliance tem três estágios: avaliação, remediação de lacunas e monitoramento contínuo. Esta seção fornece recomendações que podem ser usadas em cada uma dessas etapas.

Avaliar suas necessidades de conformidade

Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.

A avaliação de conformidade começa com uma análise completa de todas as suas obrigações regulamentares e como sua empresa as está implementando. Para ajudar na sua avaliação dos serviços do Google Cloud , use a Central de recursos de compliance. Este site oferece informações sobre:

  • Suporte de serviço para vários regulamentos
  • Google Cloud certificações e atestados

Para entender melhor o ciclo de vida da conformidade no Google e como seus requisitos podem ser atendidos, entre em contato com a equipe de vendas para pedir ajuda a um especialista em compliance do Google. Ou entre em contato com seu Google Cloud gerente de contas para solicitar um workshop de compliance.

Para mais informações sobre ferramentas e recursos que podem ser usados para gerenciar a segurança e o compliance de Google Cloud cargas de trabalho, consulte Como garantir o compliance na nuvem.

Automatizar a implementação de requisitos de compliance

Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.

Para ajudar você a manter a conformidade com as regulamentações em constante mudança, determine se você pode automatizar a implementação dos requisitos de compliance. É possível usar os recursos de compliance fornecidos pelo Google Cloud e os blueprints que usam as configurações recomendadas para um regime de compliance específico.

O Assured Workloads usa os controles do Google Cloud para ajudar você a cumprir suas obrigações de compliance. Você pode fazer o seguinte com o Assured Workloads:

  • Selecione seu regime de conformidade. Em seguida, a ferramenta define automaticamente os controles de acesso da equipe de referência para o regime selecionado.
  • Defina o local dos dados usando políticas da organização para que os dados em repouso e os recursos permaneçam apenas nessa região.
  • Selecione a opção de gerenciamento de chaves (como o período de rotação de chaves) que melhor atende às necessidades de segurança e conformidade.
  • Selecione os critérios de acesso da equipe de suporte do Google para atender a determinados requisitos regulamentares, como o FedRAMP de nível médio. Por exemplo, é possível selecionar se a equipe de suporte do Google concluiu as verificações de histórico adequadas.
  • Use chaves de propriedade do Google e Google-owned and Google-managed encryption key que estejam em conformidade com o FIPS-140-2 e ofereçam suporte à conformidade do FedRAMP Moderado. Para ter uma camada adicional de controle e separação de tarefas, use as chaves de criptografia gerenciadas pelo cliente (CMEK). Para mais informações sobre chaves, consulte Criptografar dados em repouso e em trânsito.

Além do Assured Workloads, você pode usar Google Cloud modelos relevantes para seu regime de compliance. É possível modificar esses blueprints para incorporar as políticas de segurança às implantações de infraestrutura.

Para ajudar você a criar um ambiente que atenda aos seus requisitos de compliance, os blueprints e guias de soluções do Google incluem configurações recomendadas e fornecem módulos do Terraform. A tabela a seguir lista os blueprints que abordam a segurança e o alinhamento com os requisitos de compliance.

Monitorar a conformidade

Essa recomendação é relevante para as seguintes áreas de foco:

  • Governança, risco e compliance na nuvem
  • Registro, monitoramento e auditoria

A maioria das regulamentações exige que você monitore atividades específicas, incluindo atividades relacionadas ao acesso. Para ajudar no monitoramento, você pode usar o seguinte:

  • Transparência no acesso: acesse registros quase em tempo real quando Google Cloud os administradores acessam seu conteúdo.
  • Geração de registros de regras de firewall: grave conexões TCP e UDP dentro de uma rede VPC para qualquer regra que você criar. Esses registros podem ser úteis para auditar o acesso à rede ou fornecer aviso antecipado de que a rede está sendo usada de maneira não aprovada.
  • Registros de fluxo de VPC: registram os fluxos de tráfego de rede enviados ou recebidos por instâncias de VM.
  • Security Command Center Premium: monitora a conformidade com vários padrões.
  • OSSEC (ou outra ferramenta de código aberto) para registrar a atividade de indivíduos que têm acesso de administrador ao ambiente.
  • Justificativas de acesso à chave: confira os motivos de uma solicitação de acesso à chave.
  • Notificações do Security Command Center: receba alertas quando ocorrerem problemas de não conformidade. Por exemplo, receba alertas quando os usuários desativar a verificação em duas etapas ou quando as contas de serviço tiverem privilégios em excesso. Também é possível configurar a correção automática para notificações específicas.

Recomendações para gerenciar a soberania de dados

Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.

A soberania de dados oferece um mecanismo para impedir que o Google acesse seus dados. Você aprova o acesso somente para comportamentos do provedor que você acredita serem necessários. Por exemplo, você pode gerenciar a soberania de dados das seguintes maneiras:

Gerenciar a soberania operacional

Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.

A soberania operacional oferece garantias de que a equipe do Google não pode comprometer suas cargas de trabalho. Por exemplo, você pode gerenciar a soberania operacional das seguintes maneiras:

Gerenciar a soberania de software

Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.

A soberania de software oferece garantias de que você pode controlar a disponibilidade das cargas de trabalho e executá-las onde quiser. Além disso, você pode ter esse controle sem depender ou ficar preso a um único provedor de nuvem. A soberania de software inclui a capacidade de sobreviver a eventos que exigem que você mude rapidamente o local de implantação das cargas de trabalho e em que nível de conexão externa é permitido.

Por exemplo, para ajudar a gerenciar a soberania do software,o Google Cloud oferece suporte a implantações híbridas e de várias nuvens. Além disso, o GKE Enterprise permite gerenciar e implantar seus aplicativos em ambientes locais e em nuvem. Se você escolher implantações no local por motivos de soberania de dados, o Google Distributed Cloud é uma combinação de hardware e software que traz Google Cloud para seu data center.

Recomendações para atender aos requisitos de privacidade

OGoogle Cloud inclui os seguintes controles que promovem a privacidade:

  • Criptografia padrão de todos os dados quando estão em repouso, em trânsito e durante o processamento.
  • Protege contra acesso de pessoas com informações privilegiadas.
  • Compatibilidade com diversas regulamentações de privacidade.

As recomendações a seguir abordam outros controles que você pode implementar. Para mais informações, consulte a Central de recursos de privacidade.

Controlar a residência de dados

Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.

Essa seção descreve onde seus dados são armazenados em repouso. Os requisitos de residência de dados variam de acordo com os objetivos de design do sistema, questões regulatórias do setor, legislação nacional, implicações fiscais e até mesmo a cultura.

O controle da residência de dados começa com:

  • Entenda o tipo de dados e o local deles.
  • Determine quais riscos existem para seus dados e quais leis e regulamentos se aplicam.
  • Controle onde seus dados são armazenados ou para onde vão.

Para ajudar a cumprir os requisitos de residência de dados, o Google Cloud permite controlar onde seus dados são armazenados, como são acessados e como são processados. É possível usar políticas de local de recursos para restringir onde os recursos são criados e para limitar onde os dados são replicados entre regiões. É possível usar a propriedade de local de um recurso para identificar onde o serviço é implantado e quem o mantém. Para mais informações, consulte Serviços com suporte com locais de recursos.

Classificar seus dados confidenciais

Esta recomendação é relevante para a seguinte área de foco: Segurança de dados.

Defina quais dados são confidenciais e, em seguida, garanta que eles sejam protegidos adequadamente. Os dados confidenciais podem incluir números de cartão de crédito, endereços, números de telefone e outras informações de identificação pessoal (PII). Com a Proteção de dados confidenciais, é possível configurar classificações apropriadas. Em seguida, você pode marcar e tokenizar seus dados antes de armazená-los no Google Cloud. Além disso, o Dataplex oferece um serviço de catálogo que fornece uma plataforma para armazenar, gerenciar e acessar seus metadados. Para mais informações e um exemplo de classificação e desidentificação de dados, consulte Desidentificação e reidentificação de PII usando a proteção de dados sensíveis.

Bloquear o acesso a dados confidenciais

Essa recomendação é relevante para as seguintes áreas de foco:

  • Segurança de dados
  • Gerenciamento de identidade e acesso

Coloque dados sensíveis no próprio perímetro de serviço usando o VPC Service Controls. Os VPC Service Controls melhoram sua capacidade de reduzir o risco de cópia ou transferência não autorizada de dados (exfiltração de dados) de serviços gerenciados pelo Google. Com o VPC Service Controls, é possível configurar os perímetros de segurança em torno dos recursos dos serviços gerenciados pelo Google para controlar a movimentação de dados por todo o perímetro. Defina os controles de acesso do Google Identity and Access Management (IAM) para esses dados. Configure a autenticação multifator (MFA) para todos os usuários que precisam de acesso a dados sensíveis.