Responsabilité partagée dans Assured Workloads

Cette page décrit la responsabilité partagée dans Assured Workloads. Pour en savoir plus sur la responsabilité partagée dans Google Cloud, consultez la page Responsabilités partagées et partage de sort sur Google Cloud.

Responsabilité partagée pour les données

Personne ne connaît mieux que vous les exigences de sécurité et les obligations réglementaires pour votre entreprise, ainsi que les exigences liées à la protection de vos données et ressources confidentielles. Lorsque vous exécutez vos charges de travail sur Google Cloud, vous devez identifier les contrôles de sécurité que vous devez configurer dans Google Cloud pour protéger vos données confidentielles et chaque charge de travail. Pour déterminer les contrôles de sécurité à mettre en œuvre, vous devez prendre en compte les facteurs suivants:

  • Vos obligations liées à la conformité réglementaire
  • Les normes de sécurité et le plan de gestion des risques de votre organisation
  • Les exigences de sécurité de vos clients et de vos fournisseurs

La protection de vos données est notre première préoccupation dans l'ensemble de notre infrastructure, de nos produits et des tâches effectuées par nos employés. Google Cloud offre une sécurité renforcée pour de nombreux types de données, y compris les données client et les données de service. Toutefois, si vos charges de travail doivent respecter des exigences réglementaires spécifiques ou sont soumises à des normes nationales qui exigent des contrôles de sécurité renforcés, vos règles internes peuvent différer des options de configuration par défaut. Si vous avez de telles exigences, nous vous recommandons d'adopter des outils et des techniques supplémentaires pour maintenir le niveau de conformité requis et permettre à votre équipe de suivre les bonnes pratiques de gestion des données et de cybersécurité globale.

Configurer Google Cloud et Assured Workloads pour la responsabilité partagée

Les domaines suivants relèvent de la responsabilité du client en tant qu'utilisateur de tout cloud public:

  • Identifier les parties de vos données qui présentent des exigences de conformité et de sécurité différentes. La plupart des clients cloud disposent d'une infrastructure IT qui nécessite une sécurité commerciale générale, et certains clients disposent de données spécifiques, telles que des données de santé, qui doivent répondre à des exigences de conformité plus élevées. Assured Workloads peut vous aider à répondre à ces exigences de conformité plus élevées. Placez toutes les données sensibles ou réglementées présentant des exigences d'accès ou de résidence spécifiques dans les dossiers ou projets Assured Workloads appropriés, et conservez-les.
  • Configurer Identity and Access Management (IAM) pour vous assurer que le personnel approprié peut accéder au contenu de votre organisation et le modifier.
  • Créez et organisez votre hiérarchie organisationnelle de manière à ne pas exposer de données à caractère personnel.
  • Assurez-vous d'avoir lu toute la documentation pour comprendre et suivre les bonnes pratiques.
  • Partager des informations de manière prudente lors des sessions d'assistance technique et de dépannage, et ne pas placer ni partager de données sensibles ou réglementées en dehors des dossiers Assured Workloads conformes.

Le champ d'application des données sensibles ou réglementées peut varier en fonction de nombreux facteurs, y compris des réglementations auxquelles vous ou vos clients êtes soumis. Il peut inclure les éléments suivants:

  • Informations sur le compte
  • Des informations d'intégrité
  • Identifiants personnels des clients ou des utilisateurs
  • Données du titulaire de carte
  • Numéros d'identification

Responsabilités de Google dans le modèle de responsabilité partagée

Dans le cadre du partenariat de responsabilité partagée entre Google et les clients, Google est responsable des éléments fondamentaux et de l'infrastructure nécessaires à la création d'une entreprise cloud prospère, dont certains reposent sur les clients qui doivent s'assurer de configurerGoogle Cloud pour protéger correctement leurs données. Voici quelques exemples de responsabilités de Google:

  • Appliquer le chiffrement par défaut et les contrôles d'infrastructure.
  • Application des stratégies IAM que vous définissez pour limiter l'administration des charges de travail et l'accès aux données aux identités que vous identifiez.
  • Configuration et application de tous les contrôles Assured Workloads sélectionnés par le client associés au régime de conformité sélectionné, pour les types de données protégés dans les ressources pour lesquelles vous l'avez configuré. Cela inclut des restrictions sur l'emplacement de stockage des données et sur les employés Google qui peuvent y accéder dans le cadre de leurs activités professionnelles.
  • Fournir des configurations et des contrôles via Assured Workloads pour les secteurs réglementés et les données sensibles à la localisation
  • Fournir des règles d'administration et des paramètres de ressources qui vous permettent de configurer des stratégies à travers l'ensemble de votre hiérarchie de dossiers et de projets.
  • Fournir des outils Policy Intelligence qui vous fournissent des insights sur l'accès aux comptes et aux ressources.

Configuration spécifique à l'Europe et à l'UE

Lorsque vous utilisez Assured Workloads pour les régions de l'UE ou Sovereign Controls pour l'UE, les clients disposent de contrôles techniques supplémentaires en plus des assurances du RGPD sur Google Cloud qu'ils peuvent utiliser pour ajuster leur résidence des données et leurs contrôles de sécurité dans le cadre de leurs efforts de conformité. Voici quelques exemples de ces contrôles:

  • Une limite de données de l'UE, comme décrit plus en détail dans la section Résidence des données.
  • Assurer le routage de l'assistance vers les personnes situées dans l'UE, y compris les sous-traitants
  • Visibilité sur les demandes et les accès d'accès administrateur.
  • Approbations d'accès basées sur des règles (contrôles souverains uniquement)
  • Options personnalisées pour le chiffrement des données et la gestion des clés

Exemples de champs courants non recommandés pour les données sensibles ou réglementées

Nous recommandons vivement à tous les clients réglementés et souverains de faire preuve de prudence lorsqu'ils saisissent des données dans les services Google Cloud . Il est essentiel d'éviter d'ajouter des données sensibles ou réglementées dans des champs de saisie courants qui ne sont pas nécessairement protégés par des contrôles techniques ou qui ne sont pas inclus dans la limite de contrôle technique des charges de travail assurées. Cette pratique est nécessaire pour garantir la conformité avec les exigences réglementaires et protéger vos informations sensibles ou réglementées. Pour vous aider, nous avons compilé une liste d'exemples dans différents Google Cloud services où une vigilance accrue est requise.

Évitez de placer vos données sensibles ou réglementées dans les champs courants suivants:

  • Noms et ID des ressources
  • Noms et ID des projets ou des dossiers
  • Tous les champs ou libellés de description
  • Métriques basées sur les journaux
  • Tailles de VM et configurations de service similaires
  • URI ou chemins d'accès aux fichiers
  • Horodatages
  • ID utilisateur
  • Règles de pare-feu
  • Configurations d'analyse de sécurité
  • Stratégies IAM client

Étape suivante