Este conteúdo foi atualizado pela última vez em maio de 2024 e representa o status quo à data da sua redação. As políticas e os sistemas de segurança da Google podem mudar no futuro, à medida que melhoramos continuamente a proteção dos nossos clientes.
Este documento oferece uma vista geral do processo seguro que ocorre quando elimina os seus dados de clientes no Google Cloud. Conforme definido nos Google Cloud Termos de Utilização, dados do cliente são dados fornecidos à Google pelos clientes ou pelos utilizadores finais através dos serviços na conta.
Este documento descreve como os dados de clientes são armazenados no Google Cloud, o pipeline de eliminação e como impedimos qualquer reconstrução de dados armazenados na nossa plataforma.
Para informações sobre os nossos compromissos de eliminação de dados, consulte a Adenda ao Tratamento de Dados do Cloud (Clientes).
Armazenamento e replicação de dados
Google Cloud oferece serviços de armazenamento e serviços de bases de dados, como o Bigtable e o Spanner. A maioria das Google Cloud aplicações e dos serviços acede à infraestrutura de armazenamento da Google indiretamente através destes serviços na nuvem.
A replicação de dados é fundamental para alcançar soluções de baixa latência, altamente disponíveis, escaláveis e duradouras. As cópias redundantes dos dados dos clientes podem ser armazenadas localmente, regionalmente e até globalmente, consoante a sua configuração e as exigências dos seus projetos. As ações realizadas nos dados em Google Cloud podem ser replicadas simultaneamente em vários centros de dados, para que os dados de clientes estejam altamente disponíveis. Quando ocorrem alterações com impacto no desempenho no hardware, no software ou no ambiente de rede, os dados de clientes são automaticamente transferidos de um sistema ou instalação para outro, sujeitos às definições de configuração dos clientes, para que os projetos dos clientes continuem a ter um bom desempenho em grande escala e sem interrupções.
Ao nível do armazenamento físico, os dados dos clientes são armazenados em repouso em dois tipos de sistemas: sistemas de armazenamento ativos e sistemas de armazenamento de cópias de segurança. Estes dois tipos de sistemas processam os dados de forma diferente. Os sistemas de armazenamento ativos são os servidores de produção da Google que executam as camadas de aplicações e de armazenamento da Google.Google CloudOs sistemas ativos são matrizes de discos e unidades em massa usadas para escrever novos dados, bem como armazenar e obter dados em várias cópias replicadas. Os sistemas de armazenamento ativos estão otimizados para realizar operações de leitura e escrita em direto nos dados dos clientes com rapidez e em grande escala.
Os sistemas de armazenamento de cópias de segurança da Google armazenam cópias completas e incrementais dos sistemas ativos da Google durante um período definido para ajudar a Google a recuperar dados e sistemas em caso de interrupção catastrófica ou desastre. Ao contrário dos sistemas ativos, os sistemas de cópia de segurança são concebidos para receber capturas instantâneas periódicas dos sistemas Google, e as cópias de segurança são desativadas após um período limitado à medida que são criadas novas cópias de segurança.
Em todos os sistemas de armazenamento descritos acima, os dados de clientes são encriptados quando armazenados em repouso. Para mais informações, consulte o artigo Encriptação predefinida em repouso.
Pipeline de eliminação de dados
Depois de os dados dos clientes serem armazenados no Google Cloud, os nossos sistemas são concebidos para armazenar os dados em segurança até que o pipeline de eliminação de dados conclua as respetivas fases. Esta secção descreve as fases de eliminação.
Fase 1: pedido de eliminação
A eliminação dos dados dos clientes começa quando inicia um pedido de eliminação. Geralmente, um pedido de eliminação é direcionado para um recurso específico, um Google Cloud projeto ou a sua Conta Google. As solicitações de eliminação podem ser processadas de formas diferentes consoante o âmbito da sua solicitação:
- Eliminação de recursos: os recursos individuais que contêm dados de clientes, como contentores do Cloud Storage, podem ser eliminados de várias formas a partir da Google Cloud consola ou através da API. Por exemplo, pode emitir um comando
remove bucket ou
gcloud storage rmpara eliminar um segmento de armazenamento através da linha de comandos ou pode selecionar um segmento de armazenamento e eliminá-lo a partir da Google Cloud consola. - Eliminação de projetos: como Google Cloud proprietário do projeto, pode encerrá-lo. A eliminação de um projeto funciona como um pedido de eliminação em massa de todos os recursos associados ao número do projeto correspondente.
- Eliminação da Conta Google: quando elimina a sua Conta Google, esta elimina todos os projetos que não estão associados a uma organização e que são exclusivamente da sua propriedade. Quando existem vários proprietários para um projeto que não pertence a uma organização, o projeto não é eliminado até que todos os proprietários sejam removidos do projeto ou eliminem as respetivas Contas Google. Este processo garante que os projetos continuam desde que tenham um proprietário.
- Eliminação da conta do Google Workspace ou Cloud ID: as organizações associadas a uma conta do Google Workspace ou Cloud ID são eliminadas quando elimina uma conta do Google Workspace ou Cloud ID. Para mais informações, consulte o artigo Elimine a Conta Google da sua organização.
Usa os pedidos de eliminação principalmente para gerir os seus dados. No entanto, a Google pode emitir solicitações de eliminação automaticamente, por exemplo, quando termina a sua relação com a Google.
Fase 2: eliminação recuperável
A eliminação temporária é o ponto no processo que fornece um breve período de preparação interno e de recuperação para ajudar a garantir que existe tempo para recuperar quaisquer dados que tenham sido marcados para eliminação por acidente ou erro. Os produtos individuais Google Cloud podem adotar e configurar um período de recuperação definido antes de os dados serem eliminados dos sistemas de armazenamento subjacentes, desde que o período se enquadre na linha cronológica de eliminação geral da Google.
Quando os projetos são eliminados, Google Cloud primeiro, é identificado o número do projeto exclusivo e, em seguida, é transmitido um sinal de suspensão aos produtos Google Cloud (por exemplo, o Compute Engine e o Bigtable) que contêm esse número do projeto. Neste caso, o Compute Engine suspende as operações associadas a esse número do projeto e as tabelas relevantes no Bigtable entram num período de recuperação interno de até 30 dias. No final do período de recuperação, o serviço de API Google Cloud envia um sinal aos mesmos produtos para iniciar a eliminação lógica dos recursos associados ao número do projeto exclusivo.Google Cloud Em seguida, a Google aguarda (e, quando necessário, retransmite o sinal) para recolher um sinal de confirmação (ACK) dos produtos aplicáveis para concluir a eliminação do projeto.
Quando uma Conta Google é encerrada, Google Cloud pode impor um período de recuperação interno até 30 dias, consoante a atividade anterior da conta. Após a expiração deste período de tolerância, é transmitido um sinal que contém o ID do utilizador da conta de faturação eliminada para os produtos Google e os recursos associados exclusivamente a esse ID do utilizador são marcados para eliminação. Google Cloud
Fase 3: eliminação lógica dos sistemas ativos
Depois de os dados serem marcados para eliminação e de qualquer período de recuperação ter expirado, os dados são eliminados sucessivamente dos sistemas de armazenamento ativos e de cópia de segurança da Google. Nos sistemas ativos, os dados são eliminados de duas formas.
Em todos os Google Cloud produtos nas categorias Compute, Storage e Database do projeto, exceto no Cloud Storage, as cópias dos dados eliminados são marcadas como armazenamento disponível e substituídas ao longo do tempo. Num sistema de armazenamento ativo como o Bigtable, os dados eliminados são armazenados como entradas numa tabela estruturada massiva. A compactação de tabelas existentes para substituir dados eliminados pode ser cara, uma vez que requer a reescrita de tabelas de dados existentes (não eliminados). Por isso, os eventos de recolha de lixo de marcação e varrimento e de compactação principal são agendados para ocorrer a intervalos regulares para recuperar espaço de armazenamento e substituir dados eliminados.
No Cloud Storage, os dados do cliente também são eliminados através da eliminação criptográfica. Esta é uma técnica padrão da indústria que torna os dados ilegíveis através da eliminação das chaves de encriptação necessárias para desencriptar esses dados. Uma vantagem da utilização da eliminação criptográfica, quer envolva chaves de encriptação fornecidas pela Google ou pelo cliente, é que a eliminação lógica pode ser concluída mesmo antes de todos os blocos eliminados desses dados serem substituídos nos sistemas de armazenamento ativos e de cópia de segurança daGoogle Cloud.
Fase 4: expiração dos sistemas de cópia de segurança
Tal como na eliminação dos sistemas ativos da Google, os dados eliminados são eliminados dos sistemas de cópia de segurança através de técnicas de substituição e criptográficas. No entanto, no caso dos sistemas de cópias de segurança, os dados dos clientes são normalmente armazenados em grandes instantâneos agregados de sistemas ativos que são retidos durante períodos estáticos para garantir a continuidade da empresa em caso de desastre (por exemplo, uma interrupção que afete um centro de dados inteiro), quando o tempo e as despesas de restaurar um sistema totalmente a partir de sistemas de cópias de segurança podem tornar-se necessários. De acordo com as práticas razoáveis de continuidade da empresa, são criadas cópias instantâneas completas e incrementais dos sistemas ativos em ciclos diários, semanais e mensais, e são desativadas após um período predefinido para dar lugar às cópias instantâneas mais recentes.
Quando uma cópia de segurança é desativada, é marcada como espaço disponível e substituída à medida que são feitas novas cópias de segurança diárias, semanais ou mensais.
Tenha em atenção que qualquer ciclo de cópia de segurança razoável impõe um atraso predefinido na propagação de um pedido de eliminação de dados através de sistemas de cópia de segurança. Quando os dados dos clientes são eliminados dos sistemas ativos, deixam de ser copiados para os sistemas de cópia de segurança. As cópias de segurança feitas antes da eliminação expiram regularmente com base no ciclo de cópias de segurança predefinido.
Por último, a eliminação criptográfica dos dados eliminados pode ocorrer antes de a cópia de segurança que contém dados do cliente expirar. Sem a chave de encriptação que foi usada para encriptar dados de clientes específicos, os dados de clientes são irrecuperáveis, mesmo durante o respetivo tempo de vida restante nos sistemas de cópia de segurança da Google.
Linha cronológica de eliminação
Google Cloud foi concebido para alcançar um elevado grau de velocidade, disponibilidade, durabilidade e consistência. A conceção de sistemas otimizados para estes atributos de desempenho tem de ser cuidadosamente equilibrada com a necessidade de alcançar a eliminação de dados atempada.A Google Cloud compromete-se a eliminar os dados dos clientes num período máximo de cerca de seis meses (180 dias). Este compromisso incorpora as fases do pipeline de eliminação da Google descritas acima, incluindo o seguinte:
- Passo 2: após o pedido de eliminação, os dados são normalmente marcados para eliminação imediata e o nosso objetivo é realizar este passo num período máximo de 24 horas. Depois de os dados serem marcados para eliminação, pode aplicar-se um período de recuperação interno de até 30 dias, consoante o serviço ou a solicitação de eliminação.
- Fase 3: o tempo necessário para concluir as tarefas de recolha de lixo e alcançar a eliminação lógica dos sistemas ativos. Estes processos podem ocorrer imediatamente após a receção do pedido de eliminação, consoante o nível de replicação de dados e o momento dos ciclos de recolha de lixo em curso. Após o pedido de eliminação, geralmente, são necessários cerca de dois meses para eliminar os dados dos sistemas ativos, o que é normalmente tempo suficiente para concluir dois ciclos principais de recolha de lixo e garantir que a eliminação lógica é concluída.
- Passo 4: o ciclo de cópia de segurança da Google foi concebido para fazer expirar os dados eliminados nas cópias de segurança do centro de dados no prazo de seis meses após o pedido de eliminação. A eliminação pode ocorrer mais cedo, consoante o nível de replicação de dados e o momento dos ciclos de cópia de segurança contínuos da Google.
O diagrama seguinte mostra as fases do pipeline de eliminação do Google Cloude quando os dados são apagados dos sistemas ativos e de cópia de segurança.
Garanta a limpeza segura e protegida de suportes
Um programa de limpeza de suportes de dados disciplinado melhora a segurança do processo de eliminação, impedindo ataques forenses ou de laboratório aos suportes de dados de armazenamento físico depois de terem atingido o fim do respetivo ciclo de vida.
A Google monitoriza meticulosamente a localização e o estado de todos os equipamentos de armazenamento nos nossos centros de dados, através da aquisição, instalação, desativação e destruição, usando códigos de barras e etiquetas de ativos que são monitorizados na base de dados de ativos da Google. São usadas várias técnicas, como identificação biométrica, deteção de metais, câmaras, barreiras para veículos e sistemas de deteção de intrusão baseados em laser, para impedir que o equipamento saia do espaço do centro de dados sem autorização. Para mais informações, consulte a vista geral do design de segurança da infraestrutura da Google.
Os suportes de armazenamento físico podem ser desativados por vários motivos. Se um componente não passar num teste de desempenho em qualquer altura durante o respetivo ciclo de vida, é removido do inventário e desativado. A Google também atualiza o hardware obsoleto para melhorar a velocidade de processamento e a eficiência energética, ou aumentar a capacidade de armazenamento. Quer o hardware seja desativado devido a falha, atualização ou qualquer outro motivo, o suporte de dados de armazenamento é desativado com as salvaguardas adequadas. Os discos rígidos da Google usam tecnologias como a encriptação integral do disco (FDE) e o bloqueio do disco para ajudar a proteger os dados em repouso durante a desativação. Quando um disco rígido é desativado, os indivíduos autorizados verificam se o disco foi apagado ao substituir os dados do disco por zeros e executando um processo de validação de vários passos para garantir que o disco não contém dados.
Se não for possível apagar o suporte de armazenamento por qualquer motivo, este é armazenado em segurança até poder ser destruído fisicamente. Consoante o equipamento disponível, esmagamos e deformamos a unidade ou destruímos a unidade em pequenos pedaços. Em qualquer dos casos, o disco é reciclado num local seguro, o que garante que ninguém consegue ler os dados nos discos da Google desativados. Cada centro de dados cumpre uma política de eliminação rigorosa e usa as técnicas descritas para alcançar a conformidade com as diretrizes da NIST SP 800-88 Revision 1 para a higienização de suportes e o manual de funcionamento do programa de segurança industrial nacional DoD 5220.22-M.