Este contenido se actualizó por última vez en mayo del 2024 y representa la situación en el momento en que se redactó. Las políticas y los sistemas de seguridad de Google pueden cambiar en el futuro, ya que mejoramos constantemente la protección que proporcionamos a nuestros clientes.
En este documento se ofrece una descripción general del proceso seguro que tiene lugar cuando eliminas los datos de tus clientes en Google Cloud. Tal y como se definen en los Google Cloud Términos del Servicio, los datos del cliente son los datos que los clientes o los usuarios finales proporcionan a Google a través de los servicios de la cuenta.
En este documento se describe cómo se almacenan los datos de los clientes en Google Cloud, el flujo de eliminación y cómo evitamos que se reconstruyan los datos almacenados en nuestra plataforma.
Para obtener información sobre nuestros compromisos de eliminación de datos, consulta la Adenda sobre Tratamiento de Datos de Cloud (clientes).
Almacenamiento y replicación de datos
Google Cloud ofrece servicios de almacenamiento y servicios de bases de datos, como Bigtable y Spanner. La mayoría de las Google Cloud aplicaciones y los servicios acceden indirectamente a la infraestructura de almacenamiento de Google mediante estos servicios en la nube.
La replicación de datos es fundamental para conseguir soluciones de baja latencia y con un alto grado de disponibilidad, escalabilidad y durabilidad. Puedes almacenar copias redundantes de los datos de los clientes a nivel local, regional e incluso mundial, en función de tu configuración y de las necesidades de tus proyectos. Puedes replicar simultáneamente las acciones que realices en Google Cloud con los datos de los clientes en varios centros de datos, para que dichos datos estén siempre disponibles. Si se produce un cambio en el hardware, software o entorno de red que afecta al rendimiento, los datos de los clientes se trasladan automáticamente de un sistema o instalación a otro, en función de la configuración de los clientes, para que los proyectos de los clientes sigan funcionando a escala y sin interrupciones.
En cuanto al almacenamiento físico, almacenamos los datos en reposo de los clientes en los sistemas de almacenamiento activo y en los sistemas de almacenamiento de copia de seguridad, que procesan los datos de manera diferente. Los sistemas de almacenamiento activos son los servidores de producción de Google Cloudque ejecutan las capas de aplicación y almacenamiento de Google. Son conjuntos de discos y unidades de gran tamaño que se utilizan para escribir datos nuevos, así como para almacenar y recuperar datos en diferentes copias replicadas. Los sistemas de almacenamiento activo están optimizados para leer y escribir los datos de los clientes en tiempo real, a gran velocidad y con escalabilidad.
Los sistemas de almacenamiento de copia de seguridad de Google almacenan copias completas e incrementales de los sistemas activos de Google durante un periodo definido para que Google pueda recuperar datos y sistemas en caso de fallos o interrupciones catastróficas del servicio. A diferencia de los sistemas activos, los sistemas de copia de seguridad están diseñados para recibir capturas periódicas de los sistemas de Google, y las copias de seguridad se retiran después de un periodo limitado a medida que se generan nuevas copias de seguridad.
En los sistemas de almacenamiento descritos, los datos de los clientes se encriptan cuando se almacenan en reposo. Para obtener más información, consulta Cifrado en reposo predeterminado.
Flujo de procesamiento de eliminación de datos
Una vez que los datos de los clientes se almacenan en Google Cloud, nuestros sistemas están diseñados para almacenar los datos de forma segura hasta que se completan las etapas del flujo de procesamiento de eliminación de datos. En esta sección se describen las fases de eliminación.
Fase 1: Solicitud de eliminación
La eliminación de los datos de los clientes se inicia cuando comienzas una solicitud de eliminación. Dicha solicitud suele estar relacionada con un recurso específico, un proyecto deGoogle Cloud o tu cuenta de Google. Las solicitudes de eliminación se pueden gestionar de diferentes formas en función de su alcance:
- Eliminación de recursos: los recursos individuales que contienen datos de clientes, como los segmentos de Cloud Storage, se pueden eliminar de varias formas desde la consola de Google Cloud o mediante la API. Por ejemplo, puedes ejecutar el comando
remove bucket o
gcloud storage rmpara eliminar un contenedor de almacenamiento a través de la línea de comandos o puedes seleccionar un contenedor de almacenamiento y eliminarlo desde la consola Google Cloud . - Eliminación de proyectos: si eres el propietario de un Google Cloud proyecto, puedes cerrarlo. La eliminación de un proyecto tiene el efecto de una solicitud de eliminación en lote para todos los recursos vinculados al número de proyecto correspondiente.
- Eliminación de cuentas de Google: al eliminar tu cuenta de Google, se borran todos los proyectos que no están asociados a una organización y que son propiedad exclusiva de esa cuenta. Cuando un proyecto que no pertenece a ninguna organización tiene varios propietarios, no se elimina hasta que todos se retiran del proyecto o eliminan sus cuentas de Google. De este modo, se garantiza que los proyectos sigan abiertos mientras tengan un propietario.
- Eliminación de cuentas de Google Workspace o Cloud Identity: las organizaciones vinculadas a una cuenta de Google Workspace o Cloud Identity se eliminan cuando se elimina una cuenta de Google Workspace o Cloud Identity. Para obtener más información, consulta el artículo Eliminar la cuenta de Google de tu organización.
Las solicitudes de eliminación se usan principalmente para gestionar tus datos. No obstante, Google puede emitir solicitudes de eliminación automáticamente, por ejemplo, cuando pones fin a tu relación con Google.
Etapa 2: Eliminación no definitiva
La eliminación no definitiva es el punto del proceso en el que se proporciona un breve periodo interno de almacenamiento en área de stage y recuperación para asegurarse de que hay tiempo para recuperar los datos que se hayan marcado para la eliminación por accidente o error. Los productos individuales de Google Cloudpueden adoptar y configurar este periodo de recuperación definido antes de que los datos se eliminen de los sistemas de almacenamiento subyacentes, siempre y cuando se ajusten a la cronología de eliminación general de Google.
Cuando se eliminan proyectos,Google Cloud primero identifica el número de proyecto único y, después, emite una señal de suspensión a los productos de Google Cloud (por ejemplo, Compute Engine y Bigtable) que contienen ese número de proyecto. En este caso, Compute Engine suspende las operaciones que tengan una clave para ese número de proyecto. Además, las tablas pertinentes de Bigtable entran en un periodo de recuperación interno de hasta 30 días. Al final del periodo de recuperación,Google Cloud transmite una señal a los mismos productos para iniciar la eliminación lógica de los recursos vinculados al número de proyecto único. A continuación, Google espera (y, si es necesario, vuelve a transmitir la señal) para recopilar una señal de confirmación (ACK) de los productos correspondientes y, de este modo, completar la eliminación del proyecto.
Cuando se cierra una cuenta de Google, Google Cloud puede aplicar un periodo de recuperación interno de hasta 30 días, en función de la actividad anterior de la cuenta. Cuando el periodo de gracia caduca, se transmite una señal que contiene el ID de usuario de la cuenta de facturación eliminada a los productos de Google, y los Google Cloud recursos vinculados únicamente a ese ID de usuario se marcan para la eliminación.
Etapa 3: Eliminación lógica de los sistemas activos
Después de marcar los datos que se quieren eliminar y de que los periodos de recuperación caduquen, los datos se eliminan sucesivamente de los sistemas de almacenamiento activo y de copia de seguridad de Google. En los sistemas activos, los datos se eliminan de dos maneras.
En todos los Google Cloud productos de las categorías de proyectos Computación, Almacenamiento y Bases de datos, excepto Cloud Storage, las copias de los datos eliminados se marcan como almacenamiento disponible y se sobrescriben a lo largo del tiempo. En los sistemas de almacenamiento activo, como Bigtable, los datos eliminados se almacenan como entradas dentro de una tabla estructurada de gran tamaño. Compactar las tablas para sobrescribir los datos eliminados puede ser caro, ya que es necesario reescribir las tablas de datos (no eliminados), por lo que la recolección de memoria residual de marcación y los principales eventos de compactación se programan en intervalos periódicos para recuperar espacio de almacenamiento y sobrescribir datos eliminados.
En Cloud Storage, los datos de los clientes también se eliminan mediante el borrado criptográfico. una técnica estándar del sector que, para hacer que los datos sean ilegibles, elimina las claves de encriptado necesarias para desencriptar dichos datos. Una ventaja de usar el borrado criptográfico, con independencia de si se utilizan claves de cifrado suministradas por Google o por el cliente, es que la eliminación lógica puede completarse incluso antes de que todos los bloques eliminados de esos datos se sobrescriban en los sistemas de almacenamiento activos y de copia de seguridad deGoogle Cloud.
Etapa 4: Caducidad de los sistemas de copia de seguridad
Al igual que ocurre con la eliminación en los sistemas activos de Google, los datos eliminados se eliminan en los sistemas de copia de seguridad mediante técnicas de sobrescritura y criptografía. Sin embargo, en el caso de los sistemas de copias de seguridad, los datos de los clientes se suelen almacenar en grandes agregaciones de los sistemas activos que se conservan durante periodos estáticos para asegurar la continuidad del negocio en caso de desastre (por ejemplo, una interrupción que afecte a todo un centro de datos), cuando puede ser necesario invertir tiempo y dinero en restaurar un sistema por completo a partir de los sistemas de copias de seguridad. De acuerdo con las prácticas de continuidad empresarial que cabe esperar, se realizan capturas completas e incrementales de los sistemas activos en ciclos diarios, semanales y mensuales. Además, se retiran después de un periodo predefinido para dejar espacio a las capturas más recientes.
Cuando se retira una copia de seguridad, se marca como espacio disponible y se sobrescribe a medida que se realizan nuevas copias de seguridad diarias, semanales o mensuales.
Ten en cuenta que cualquier ciclo de copia de seguridad razonable siempre conlleva un retraso predefinido en la propagación de una solicitud de eliminación de datos a través de los sistemas de copia de seguridad. Cuando los datos de los clientes se eliminan de los sistemas activos, dejan de copiarse en los sistemas de copia de seguridad. Las copias de seguridad que se hayan realizado antes de la eliminación caducan periódicamente según el ciclo de copia de seguridad predefinido.
Por último, el borrado criptográfico de los datos eliminados puede producirse antes de que caduque la copia de seguridad que contiene los datos de los clientes. Sin la clave de cifrado que se usó para cifrar datos de clientes específicos, estos datos son irrecuperables, incluso durante la vida útil que les quede en los sistemas de copia de seguridad de Google.
Cronología de la eliminación
Google Cloud se ha diseñado para ofrecer un alto grado de velocidad, disponibilidad, durabilidad y coherencia. El diseño de los sistemas optimizados para estos atributos de rendimiento debe incorporar también la capacidad de eliminar datos de forma oportuna. Google Cloud se compromete a eliminar los datos de los clientes en un periodo máximo de aproximadamente seis meses (180 días). Este compromiso abarca las etapas del flujo de procesamiento de eliminación de Google descrito anteriormente, incluidas las siguientes:
- Etapa 2: Después de realizar la solicitud de eliminación, los datos normalmente se marcan para su eliminación de forma inmediata, con la intención de llevarla a cabo en un plazo máximo de 24 horas. Después de marcar los datos que se quieren eliminar, puede aplicarse un periodo de recuperación interno de hasta 30 días, en función del servicio o de la solicitud de eliminación.
- Etapa 3: El tiempo necesario para completar las tareas de recolección de memoria residual y lograr la eliminación lógica de los sistemas activos. Estos procesos pueden tener lugar nada más recibir una solicitud de eliminación, lo cual dependerá del nivel de replicación de datos y de la programación de los ciclos de recolección de memoria residual en curso. Una vez que se envía la solicitud de eliminación, los datos suelen tardar aproximadamente dos meses en eliminarse de los sistemas activos. Esto suele dar el margen de tiempo suficiente para completar dos ciclos principales de recolección de memoria residual y para garantizar que se complete la eliminación lógica.
- Etapa 4: El ciclo de copia de seguridad de Google está diseñado para que los datos eliminados caduquen en las copias de seguridad del centro de datos en los seis meses posteriores a la solicitud de eliminación. La eliminación puede producirse antes en función del nivel de replicación de los datos y de la programación de los ciclos de copia de seguridad en curso de Google.
En el siguiente diagrama se muestran las fases del flujo de eliminación de Google Cloudy cuándo se borran los datos de los sistemas activos y de copia de seguridad.
Garantizar un saneamiento de medios seguro
Contamos con un riguroso programa de saneamiento de medios que tiene como objetivo mejorar la seguridad del proceso de eliminación al evitar ataques forenses o de laboratorio en los medios físicos de almacenamiento cuando llegan al final de su ciclo de vida.
Google hace un seguimiento meticuloso de la ubicación y el estado de todos los equipos de almacenamiento de nuestros centros de datos, a través de la adquisición, instalación, retirada y destrucción con códigos de barras y etiquetas de recursos que se rastrean en la base de datos de recursos de Google. Para evitar que los equipos se extraigan de los centros de datos sin autorización, utilizamos diversas técnicas, como la identificación biométrica, detectores de metales, cámaras, barreras para vehículos y sistemas de detección láser de intrusos. Para obtener más información, consulta la descripción general del diseño de seguridad de la infraestructura de Google.
Existen varias razones por las que se retiran los medios físicos de almacenamiento. Si un componente no supera una prueba de rendimiento en algún momento de su ciclo de vida, se quita del inventario y se retira. Google también actualiza el hardware obsoleto para mejorar la velocidad de procesamiento y la eficiencia energética o aumentar la capacidad de almacenamiento. Sea cual sea el motivo por el que se retire el hardware (por ejemplo, por un fallo o por una actualización), los medios de almacenamiento se retiran de conformidad con las medidas de protección apropiadas. Las unidades de disco duro de Google utilizan tecnologías como el encriptado de disco completo (FDE) y el bloqueo de unidades para proteger los datos en reposo durante la retirada. Cuando se retira una unidad de disco duro, las personas autorizadas sobrescriben la unidad con ceros y llevan a cabo un proceso de verificación en varios pasos para comprobar que la unidad no contiene datos y que el disco se ha borrado.
Si los medios de almacenamiento no se pueden borrar por algún motivo, se almacenan de forma segura hasta que puedan destruirse físicamente. Según el equipo que esté disponible, podemos aplastar y deformar la unidad o romperla en pequeños pedazos. En cualquier caso, reciclamos el disco en una instalación segura para que nadie pueda leer los datos de los discos retirados de Google. Cada centro de datos sigue una política de eliminación estricta y emplea las técnicas descritas para cumplir con la publicación NIST SP 800-88 Revisión 1 Guidelines for Media Sanitizationy con el estándar DoD 5220.22-M National Industrial Security Program Operating Manual.