Responsabilidad compartida en Assured Workloads

En esta página, se describe la responsabilidad compartida en Assured Workloads. Para obtener información general sobre la responsabilidad compartida en Google Cloud, consulta Responsabilidades compartidas y destino compartido en Google Cloud.

Responsabilidad compartida de los datos

Eres el experto en conocer los requisitos normativos y de seguridad de tu empresa, y conocer los requisitos de protección de tus datos y recursos confidenciales. Cuando ejecutas las cargas de trabajo en Google Cloud, debes identificar los controles de seguridad que necesitas configurar en Google Cloud para proteger tus datos confidenciales y cada carga de trabajo. Para decidir qué controles de seguridad implementar, debes tener en cuenta los siguientes factores:

  • Tus obligaciones de cumplimiento de la reglamentación
  • Los estándares de seguridad y el plan de administración de riesgos de tu organización
  • Los requisitos de seguridad de tus clientes y proveedores

La protección de tus datos es una de las principales consideraciones de diseño para toda la infraestructura, los productos y las operaciones del personal de Google. Google Cloud proporciona una seguridad sólida para muchos tipos de datos, incluidos los datos del cliente y los datos del servicio. Sin embargo, si tus cargas de trabajo deben cumplir con requisitos regulatorios específicos o están sujetas a estándares nacionales que requieren controles de seguridad elevados, es posible que tus políticas internas difieran de las opciones de configuración predeterminadas. Si tienes estos requisitos, te recomendamos que adoptes herramientas y técnicas adicionales para mantener el nivel de cumplimiento requerido y permitir que tu equipo siga las prácticas recomendadas de administración de datos y administración general de la seguridad cibernética.

Configura Google Cloud y Assured Workloads para la responsabilidad compartida

Las siguientes áreas son responsabilidades del cliente como usuario de cualquier nube pública:

  • Comprender qué partes de tus datos tienen diferentes requisitos de cumplimiento y seguridad La mayoría de los clientes de la nube tienen una infraestructura de TI que requiere seguridad comercial general, y algunos clientes tienen datos específicos, como datos de salud, que deben cumplir con un requisito de cumplimiento más alto. Assured Workloads puede ayudarte a cumplir con esos requisitos de cumplimiento más altos. Coloca los datos sensibles o regulados con requisitos de acceso o residencia específicos dentro de las carpetas o los proyectos de Assured Workloads adecuados y mantenlos allí.
  • Configurar la administración de identidades y accesos (IAM) para garantizar que el personal adecuado pueda acceder al contenido de tu organización y modificarlo
  • Crear y organizar tu jerarquía organizativa de modo que no exponga datos personales
  • Asegúrate de haber leído toda la documentación para comprender y seguir las prácticas recomendadas.
  • Compartir información con prudencia durante las sesiones de asistencia técnica y solución de problemas, y no colocar ni compartir datos sensibles o regulados fuera de las carpetas de Assured Workloads que cumplan con las políticas.

El alcance de los datos sensibles o regulados puede variar según muchos factores, incluidas las reglamentaciones a las que tú o tus clientes están sujetos, y puede incluir lo siguiente:

  • Información de la cuenta
  • Información sobre el estado
  • Identificadores personales de clientes o usuarios
  • Datos de titulares de tarjetas
  • Números de ID

Responsabilidades de Google en el modelo de responsabilidad compartida

En la asociación de responsabilidad compartida entre Google y los clientes, Google se responsabiliza de los elementos fundamentales y la infraestructura para crear un negocio en la nube exitoso, algunos de los cuales dependen de que los clientes cumplan con sus responsabilidades para configurarGoogle Cloud y proteger adecuadamente sus datos. Estos son algunos ejemplos de las responsabilidades de Google:

  • Aplicar encriptación predeterminada y controles de infraestructura
  • Aplicar las políticas de IAM que configuraste para restringir la administración de cargas de trabajo y el acceso a los datos a las identidades que identifiques
  • Configurar y aplicar los controles de Assured Workloads seleccionados por el cliente asociados con el régimen de cumplimiento que elegiste para los tipos de datos protegidos en los recursos para los que lo configuraste Esto incluye restricciones sobre dónde se almacenarán los datos y qué empleados de Google pueden acceder a ellos durante sus actividades comerciales correspondientes.
  • Proporcionar configuraciones y controles a través de Assured Workloads para industrias reguladas y datos sensibles a la ubicación
  • Proporciona políticas de la organización y configuración de recursos que te permitan establecer políticas en toda tu jerarquía de carpetas y proyectos.
  • Proporciona Herramientas de Policy Intelligence que te brindan estadísticas sobre el acceso a cuentas y recursos.

Configuración específica de Europa y la UE

Cuando usan Assured Workloads para regiones de la UE o controles de soberanía para la UE, los clientes tienen controles técnicos adicionales además de las garantías del GDPR que se realizan en Google Cloud que pueden usar para ajustar sus controles de seguridad y residencia de datos como parte de sus esfuerzos de cumplimiento. Entre estos controles, se incluyen los siguientes:

  • Un límite de datos de la UE, como se describe con más detalle en Residencia de datos.
  • Envía el tráfico de asistencia a personas físicas o jurídicas de la UE en ubicaciones de la UE, incluidos los subprocesadores.
  • Visibilidad de las solicitudes y los accesos de acceso administrativo
  • Aprobaciones de acceso basadas en políticas (solo controles soberanos)
  • Opciones personalizadas para la encriptación de datos y la administración de claves

Ejemplos de campos comunes que no se recomiendan para datos sensibles o regulados

Recomendamos a todos los clientes regulados y soberanos que tengan cuidado cuando ingresen datos en los servicios de Google Cloud . Es fundamental evitar agregar datos sensibles o regulados a campos de entrada comunes que pueden no estar protegidos por controles técnicos o que no se incluyen en el límite de control técnico de las cargas de trabajo aseguradas. Esta práctica es necesaria para mantener el cumplimiento de los requisitos reglamentarios y proteger tu información sensible o regulada. Para ayudarte, compilamos una lista de ejemplos de varios Google Cloud servicios en los que se requiere una vigilancia adicional.

Evita colocar tus datos sensibles o regulados en los siguientes campos comunes:

  • IDs y nombres de recursos
  • IDs y nombres de proyectos o carpetas
  • Cualquier campo o etiqueta de descripción
  • Métricas basadas en registros
  • Tamaños de VM y parámetros de configuración de servicios similares
  • URIs o rutas de acceso a archivos
  • Marcas de tiempo
  • IDs de usuario
  • Reglas de firewall
  • Parámetros de configuración de análisis de seguridad
  • Políticas de IAM del cliente

¿Qué sigue?