Descripción general de la seguridad en Google

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Este contenido se actualizó por última vez en mayo de 2022 y representa el statu quo en el momento de su redacción. Es posible que cambien las políticas y los sistemas de seguridad de Google, ya que mejoramos la protección de nuestros clientes de forma continua.

Descargar la versión en PDF

Introducción

Las empresas solían usar la nube pública para ahorrar costos, experimentar con nueva tecnología y proporcionar capacidad de crecimiento. Cada vez más empresas usan la nube pública para resguardar su seguridad, y notan que los proveedores de servicios en la nube pueden invertir más que las empresas en tecnología, personas y procesos para brindar una infraestructura más segura.

Como innovadores de la nube, Google comprende la seguridad en ella. Nuestros servicios en la nube están diseñados para ofrecer más seguridad que muchos enfoques locales. Nuestra prioridad en las operaciones que entregan miles de millones de usuarios en todo el mundo es la seguridad.

La seguridad es lo que impulsa la estructura organizativa, la cultura, las prioridades de capacitación y los procesos de contratación. Define el diseño de nuestros centros de datos y la tecnología que alojan. Es fundamental para las operaciones cotidianas y la planificación ante desastres, incluida la manera en la que abordamos las amenazas y se ve priorizada en la forma en que manejamos los datos del cliente, los controles de la cuenta, las auditorías de cumplimiento y las certificaciones.

En este documento, describimos nuestro enfoque sobre seguridad, privacidad y cumplimiento de Google Cloud, que se compone de nuestro conjunto de productos y servicios en la nube pública. El documento se centra en los controles físicos, administrativos y técnicos que implementamos para ayudar a proteger tus datos.

Cultura enfocada en la privacidad y seguridad de Google

Google fundó una cultura de seguridad inclusiva y dinámica para todos los empleados. La influencia de esta cultura se hace visible durante el proceso de contratación, la incorporación de empleados y la capacitación continua. También es evidente en los eventos empresariales que se enfocan en el conocimiento de la seguridad y la privacidad.

Nuestro equipo de seguridad dedicado

El equipo exclusivo para la seguridad incluye a algunos de los mejores expertos en laseguridad de la información, la seguridad de aplicaciones, la criptografía y la seguridad de redes. Este equipo mantiene nuestros sistemas de defensa, desarrolla procesos de revisión de seguridad, crea una infraestructura segura e implementa las políticas de seguridad. Además, realiza análisis de manera activa en busca de amenazas de seguridad, a través de herramientas comerciales y personalizadas. El equipo también realiza pruebas de penetración y ejecuta controles de calidad y seguridad.

Los miembros del equipo de seguridad revisan los planes de seguridad para nuestras redes y servicios, y proporcionan servicios de asesoría específicos de los proyectos a nuestros equipos de ingeniería y producto. Por ejemplo, nuestros ingenieros de criptografía revisan los lanzamientos de productos que incluyen implementaciones de criptografía. El equipo de seguridad supervisa la actividad sospechosa en nuestras redes y aborda las amenazas a la seguridad de la información según sea necesario. También realiza evaluaciones y auditorías de seguridad de rutina, que pueden incluir a expertos externos para que realicen evaluaciones de seguridad de forma habitual.

Colaboración con la comunidad de investigadores de seguridad

Hace tiempo que tenemos una relación estrecha con la comunidad de investigación de seguridad, por lo que valoramos mucho su ayuda para identificar posibles vulnerabilidades en Google Cloud y otros productos. Nuestros equipos de seguridad participan en actividades de investigación y alcance que benefician a la comunidad en línea. Por ejemplo, ejecutamos Project Zero, que es un equipo de investigadores de seguridad enfocado en investigar las vulnerabilidades de cero días. Algunos ejemplos de esta investigación son el descubrimiento de la vulnerabilidad de Spectre, la vulnerabilidad de Meltdown, Las vulnerabilidades de POODLE SSL 3.0 y la debilidad del conjunto de algoritmos de cifrado.

Los investigadores y los ingenieros de seguridad de Google participan y publican contenido de forma activa en la comunidad para la seguridad académica y la investigación de privacidad. También organizan y participan en proyectos de código abierto y conferencias académicas. Los equipos de seguridad de Google publicaron una cuenta detallada de nuestras prácticas y experiencia en el libro Compila sistemas seguros y confiables.

Nuestro Programa de recompensas por detección de vulnerabilidades ofrece recompensas de decenas de miles de dólares por cada vulnerabilidad confirmada. El programa incentiva a los investigadores a informar sobre problemas en el diseño y la implementación que podrían poner en riesgo los datos de los clientes. En 2021, otorgamos a los investigadores más de 7 millones de dólares en dinero. Para ayudar a mejorar el código abierto, el Programa de recompensas por detección de vulnerabilidades también proporciona subsidios a proyectos de código abierto. Para obtener más información sobre este programa, incluidas las recompensas que otorgamos, consulta Estadísticas clave de búsqueda de errores.

Nuestros criptógrafos de clase mundial participan en proyectos criptográficos líderes del sector. Por ejemplo, diseñamos la API de Notificaciones de exposición al COVID-19, que notifica a los usuarios sobre los casos positivos de COVID-19 alrededor de ellos, a la vez que mantiene medidas de privacidad estrictas. Además, para proteger las conexiones de TLS contra ataques informáticos cuánticos, desarrollamos el algoritmo combinado de curva elíptica y poscuántica (CECPQ2). Nuestros criptógrafos desarrollaron Tink, que es una biblioteca de código abierto de API criptográficas. También usamos Tink en nuestros productos y servicios internos.

Para obtener más información sobre cómo informar sobre problemas de seguridad, consulta Cómo Google maneja las vulnerabilidades de seguridad.

Eventos de privacidad y seguridad interna

Todos los empleados de Google reciben capacitaciones sobre seguridad y privacidad como parte del proceso de orientación, y reciben capacitación constante sobre seguridad y privacidad durante su carrera profesional en Google. Durante la orientación, los empleados nuevos aceptan el código de conducta, que destaca nuestro compromiso con la preservación y la protección de la información del cliente.

Según su puesto, es posible que los empleados deban realizar capacitaciones adicionales sobre aspectos específicos relacionados con la seguridad. Por ejemplo, el equipo de seguridad de la información instruye a los ingenieros nuevos sobre las prácticas seguras de codificación, el diseño de productos y las herramientas automatizadas de prueba de vulnerabilidad. Los ingenieros reciben resúmenes de noticias relacionadas con la seguridad de forma habitual y boletines informativos sobre amenazas, patrones de ataque y técnicas de mitigación nuevos, entre otros aspectos.

La seguridad y la privacidad son áreas en constante crecimiento, y reconocemos que la participación dedicada de los empleados es un medio clave para la concientización. Realizamos conferencias internas periódicas que están disponibles para todos los empleados a fin de fomentar la concientización y la innovación en seguridad y privacidad de datos. Organizamos eventos en oficinas de todo el mundo para concientizar sobre la seguridad y la privacidad en el desarrollo de software, el manejo de datos y la aplicación de políticas.

Equipo de privacidad dedicado

Nuestro equipo exclusivo de privacidad admite iniciativas de privacidad interna que ayudan a mejorar los procesos críticos, las herramientas internas, los productos y la infraestructura de la privacidad. El equipo de privacidad opera por separado de las organizaciones de seguridad y desarrollo de productos. Participa en cada lanzamiento de producto de Google mediante la revisión de la documentación de diseño y del código para garantizar que se cumplan los requisitos de privacidad. El equipo ayuda a lanzar productos que incorporan estándares de privacidad sólidos en torno a la recopilación de datos del usuario.

Nuestros productos están diseñados para proporcionar a los usuarios y administradores opciones de configuración de privacidad significativas. Luego del lanzamiento de los productos, el equipo de privacidad supervisa los procesos automatizados en curso para verificar que los datos recopilados por los productos se usen de forma adecuada. Además, el equipo de privacidad realiza investigaciones sobre las prácticas recomendadas relacionadas con la privacidad para las tecnologías emergentes. Para comprender cómo nos comprometemos a preservar la privacidad de los datos de los usuarios y cumplir con las leyes y reglamentos de privacidad aplicables, consulta Cumplimiento de las leyes de protección de datos.

Especialistas en auditoría interna y cumplimiento

Contamos con un equipo dedicado de auditoría interna que revisa el cumplimiento de las leyes y normativas de seguridad de nuestros productos en todo el mundo. A medida que se crean estándares nuevos de auditoría y se actualizan los existentes, el equipo de auditoría interno determina los controles, procesos y sistemas necesarios para cumplirlos. Este equipo admite auditorías y evaluaciones independientes de terceros. Para obtener más información, consulta Compatibilidad con los requisitos de cumplimiento más adelante en este documento.

Privacidad y soberanía de datos en Google Cloud

Google Cloud incluye controles de seguridad que puedes usar para proteger la privacidad y la soberanía de los datos de tu empresa. Por ejemplo, proporcionamosTransparencia de acceso ,Aprobación de acceso ,VMs protegidas y Confidential Computing para que puedas hacer lo siguiente:

  • Revisar y aprobar el acceso de Google a los datos de tus clientes
  • Crear e implementar cargas de trabajo endurecidas diseñadas para cumplir con los estándares de privacidad global
  • Proteger la privacidad de los datos durante todo su ciclo de vida mediante una encriptación sólida

Para obtener más información sobre la privacidad y la soberanía de los datos en Google Cloud, consulta Implementa los requisitos de soberanía y residencia de datos.

Seguridad operativa

La seguridad es un componente integral de nuestras operaciones en la nube, no es una ocurrencia tardía. En esta sección, se describen nuestros programas de administración de vulnerabilidades, el programa de prevención de software malicioso, la supervisión de seguridad y los programas de administración de incidentes.

Administración de vulnerabilidades

Nuestro proceso interno de administración de vulnerabilidades busca de manera activa amenazas de seguridad en todas las pilas tecnológica. En este proceso, se usa una combinación de herramientas internas, comerciales, de código abierto, y con propósitos específicos, e incluye lo siguiente:

  • Procesos de control de calidad
  • Revisiones de seguridad del software
  • Pruebas intensivas de penetración manuales y automatizadas, incluidos ejercicios extensos de Red Team
  • Auditorías externas

La organización de administración de vulnerabilidades y sus socios son responsables de realizar el seguimiento de las vulnerabilidades. Debido a que la seguridad solo mejora después de que se abordan los problemas en su totalidad, las canalizaciones de automatización vuelven a evaluar de forma continua el estado de una vulnerabilidad, verifican los parches y marcan una resolución incorrecta o parcial.

Para ayudar a mejorar las capacidades de detección, la organización de administración de vulnerabilidades se centra en indicadores de alta calidad que separan el ruido de los indicadores que indican amenazas reales. La organización también fomenta la interacción con la industria y la comunidad de código abierto. Por ejemplo, ejecutan un Programa de recompensas por parches para el análisis de seguridad de red de Tunami, que recompensa a los desarrolladores que crean detectores de código abierto en busca de vulnerabilidades.

Para obtener más información sobre las vulnerabilidades que mitigamos, consulta los boletines de seguridad de Google Cloud y los de Compute Engine.

Prevención contra el software malicioso

Nuestra estrategia de prevención de software malicioso comienza con la prevención de infecciones mediante el uso de escáneres manuales y automáticos para registrar el índice de búsqueda, a fin de detectar sitios web que se puedan utilizar con el objetivo de instalar el software malicioso o realizar suplantaciones de identidad (phishing). A diario, descubrimos miles de sitios no seguros nuevos, muchos de los cuales son sitios web legítimos en peligro. Cuando los detectamos, mostramos advertencias en los resultados de la Búsqueda de Google y en las páginas web.

Además, usamos varios motores de antivirus en Gmail, Drive, los servidores y las estaciones de trabajo para identificar software malicioso.

En tu entorno de Google Cloud, puedes usar Chronicle y VirusTotal para supervisar y responder a muchos tipos de software malicioso. Google Cloud Threat Intelligence for Chronicle es un equipo de investigadores de amenazas que desarrolla inteligencia de amenazas para usarla con Chronicle. VirusTotal es un servicio en línea que analiza archivos y URLs a fin de identificar virus, coronavirus, troyanos y otros contenidos maliciosos que se detectan con motores de antivirus y escáneres de sitios web.

También te ayudamos a detectar y mitigar el impacto del ransomware, que es una forma perjudicial de software malicioso que se combina con la extortura digital. Para obtener más información, consulta Mitiga ataques de ransomware con Google Cloud.

Supervisión de la seguridad

Nuestro programa de supervisión de seguridad se centra en la información que recopilamos del tráfico de red interno, las acciones de los empleados en los sistemas y del conocimiento externo sobre vulnerabilidades. Un principio central de Google es agregar y almacenar todos los datos de telemetría de seguridad en una ubicación para unificar el análisis de seguridad.

En varios puntos de nuestra red mundial, se inspecciona el tráfico interno en busca de comportamientos sospechosos, como la presencia de tráfico que podría indicar conexiones botnet. Utilizamos una combinación de herramientas de código abierto y de uso comercial para capturar y analizar el tráfico a fin de realizar este análisis. Un sistema de correlación propio creado sobre nuestra tecnología también admite este análisis. Complementamos el análisis de la red mediante la examinación de los registros del sistema para identificar comportamiento inusual, como intentos para acceder a datos de clientes.

Nuestros ingenieros en seguridad revisan los informes de seguridad entrantes y supervisan las listas de distribución públicas, las entradas de blog y los wikis. El análisis de red y el análisis automatizado de los registros del sistema ayudan a determinar cuándo puede existir una amenaza desconocida. Si los procesos automatizados detectan un problema, lo escalan a nuestro personal de seguridad.

Para obtener información sobre cómo supervisar las cargas de trabajo en Google Cloud, consulta Cloud Monitoring, Security Command Center y Supervisa la integridad en las VMs protegidas.

Administración de incidentes

Contamos con un proceso de administración de incidentes riguroso para los eventos de seguridad que podrían afectar la confidencialidad, integridad o disponibilidad de los sistemas o datos. Nuestro programa de administración de incidentes de seguridad se estructura en torno a la orientación del NIST sobre el control de incidentes (NIST SP 800–61). Los miembros clave de nuestro personal están capacitados para analizar intrusiones y manejar evidencia a fin de prepararse para un evento, incluido el uso de herramientas propias y de terceros.

Probamos los planes de respuesta ante incidentes para las áreas clave, como los sistemas que almacenan la información de los clientes. Estas pruebas consideran varias situaciones, incluidas las amenazas internas y las vulnerabilidades de software. El equipo de seguridad de Google está disponible las 24 horas, todos los días, para todos los empleados, con el objetivo de asegurar una resolución rápida de los incidentes de seguridad. Si un incidente involucra tus datos, Google o sus socios te informarán y nuestro equipo de asistencia investigará. Para obtener más información sobre nuestro proceso de respuesta ante incidentes de datos, consulta Proceso de respuesta a incidentes de datos.

Tecnología con un enfoque central en la seguridad

Google Cloud se ejecuta en una plataforma de tecnología diseñada y construida para operar de forma segura. Somos una empresa innovadora en tecnologías de hardware, software, red y administración de sistemas. Diseñamos nuestros servidores, nuestro sistema operativo propio y nuestros centros de datos distribuidos de manera geográfica. Mediante el principio de defensa en profundidad, creamos una infraestructura de TI que es más segura y fácil de administrar que la mayoría de las tecnologías tradicionales.

Centros de datos de última generación

Nuestro enfoque en la seguridad y la protección de datos se encuentra entre los criterios de diseño principales. La seguridad física en los centros de datos de Google es un modelo de seguridad en capas. La seguridad física incluye protecciones como tarjetas de acceso electrónicas personalizadas, alarmas, barreras de acceso para vehículos, cercas perimetrales, detectores de metales y sistemas biométricos. Además, para detectar y rastrear intrusos, usamos medidas de seguridad, como la detección de intrusiones con rayos láser y supervisión las 24 horas, todos los días, mediante cámaras de alta resolución de interiores y exteriores. En caso de que ocurra un incidente, se pueden revisar los registros de acceso, los de actividad y las grabaciones de las cámaras. Los guardias de seguridad experimentados, que se sometieron a rigurosas investigaciones de antecedentes y recibieron capacitaciones, patrullan nuestros centros de datos de forma rutinaria. Cuanto más te acercas al piso del centro de datos, más aumenta la seguridad. Solo se puede acceder al centro de datos a través de un pasillo de seguridad en el que se implementan controles de acceso de varios factores, con credenciales de seguridad y datos biométricos. Solo los empleados autorizados con funciones específicas pueden ingresar. Menos del uno por ciento de los empleados de Google ingresarán alguna vez en nuestros centros de datos.

La energía que impulsa nuestros centros de datos

Para mantener el funcionamiento las 24 horas, todos los días y proporcionar servicios sin interrupciones, nuestros centros de datos tienen sistemas de alimentación redundantes y controles de entorno. Cada componente fundamental tiene una fuente de alimentación principal y una alternativa, ambas con igual potencia. Los generadores de respaldo pueden proporcionar suficiente energía eléctrica en caso de emergencia, para que cada centro de datos funcione a máxima capacidad. Los sistemas de enfriamiento mantienen una temperatura de funcionamiento constante en los servidores y en otros tipos de hardware, lo que reduce el riesgo de interrupciones del servicio, a la vez que minimiza el impacto ambiental. El equipo de detección y extinción de incendios ayuda a evitar daños en el hardware. Los detectores de calor, detectores de incendios y detectores de humo activan alarmas de sonido y visuales en las consolas de operaciones de seguridad y en los puestos de supervisión remotos.

Somos la primera empresa importante de servicios de Internet en obtener una certificación externa por los altos estándares en la administración de entornos, seguridad laboral y energía en nuestros centros de datos. Por ejemplo, a fin de demostrar nuestro compromiso con las prácticas de administración de energía, obtuvimos las certificaciones voluntarias ISO 50001 para nuestros centros de datos en Europa. Para obtener más información sobre cómo reducimos el impacto ambiental en Google Cloud, consulta Sustentabilidad.

Hardware y software de servidores personalizados

Nuestros centros de datos tienen servidores y equipos de red diseñados para propósitos específicos, algunos de los cuales diseñamos por nuestra cuenta. Si bien personalizamos nuestros servidores para maximizar el rendimiento, el enfriamiento y la eficiencia energética, también los diseñamos a fin de protegerlos contra los ataques de intrusión física. A diferencia de la mayoría del hardware disponible comercialmente, nuestros servidores no incluyen componentes innecesarios como tarjetas de video, chipsets o conectores periféricos, los cuales pueden dar lugar a vulnerabilidades. Evaluamos a los distribuidores de componentes y seleccionamos los componentes cuidadosamente, trabajando con proveedores para auditar y validar las propiedades de seguridad que estos proporcionan. Diseñamos chips personalizados, como Titan, que nos permiten identificar y autenticar de forma segura los dispositivos legítimos de Google en el nivel de hardware, incluido el código que usan estos dispositivos para el inicio.

Los recursos del servidor se asignan de forma dinámica. Esto nos brinda flexibilidad para el crecimiento y permite que nos adaptemos con rapidez y eficiencia a la demanda del cliente mediante la adición o reasignación de recursos. Este entorno homogéneo se mantiene mediante un software propio que supervisa los sistemas de forma continua para detectar modificaciones binarias. Nuestros mecanismos automatizados de autorecuperación están diseñados para permitirnos supervisar y solucionar eventos desestabilizadores, recibir notificaciones sobre incidentes y ralentizar los posibles riesgos para la red.

Seguimiento y eliminación del hardware

Realizamos un seguimiento meticuloso de la ubicación y el estado de todos los equipos dentro de los centros de datos mediante códigos de barras y etiquetas de elementos. Implementamos detectores de metales y cámaras de seguridad para garantizar que no se extraiga ningún equipo del piso del centro de datos sin autorización. Si un componente no pasa una prueba de cumplimiento en cualquier momento de su ciclo de vida, se quita del inventario y se da de baja.

Nuestros dispositivos de almacenamiento, incluidos los discos duros, las unidades de estado sólido y los módulos de memoria en línea (DIMM) no volátiles, usan tecnologías como la encriptación de disco completo (FDE) y el bloqueo de la unidad para proteger los datos en reposo. Cuando se retira un dispositivo de almacenamiento, las personas autorizadas verifican que el disco se borre mediante la escritura de ceros en la unidad. También realizan un proceso de verificación en varios pasos para asegurarse de que la unidad no contenga datos. Si una unidad no se puede borrar por algún motivo, se destruye físicamente. La destrucción física se realiza mediante una trituradora que rompe el disco en pequeños pedazos, que luego se reciclan en una instalación segura. Cada centro de datos cumple con políticas de eliminación estrictas y cualquier desviación se atiende de manera inmediata. Para obtener más información, consulta Eliminación de datos en Google Cloud Platform.

Prácticas de desarrollo de software

Buscamos limitar de forma proactiva las oportunidades de que se ingresen vulnerabilidades mediante protecciones de control de código fuente y revisiones de dos partes. También proporcionamos bibliotecas para evitar que los desarrolladores incorporen ciertas clases de errores de seguridad. Por ejemplo, tenemos bibliotecas y marcos de trabajo diseñados para eliminar vulnerabilidades de XSS en aplicaciones web. También tenemos herramientas automatizadas para detectar los errores de seguridad, incluidas las pruebas de fuzzing, las herramientas de análisis estático y los escáneres de seguridad web.

Para obtener más información, consulta Desarrollo de software seguro.

Controles de seguridad clave

Los servicios de Google Cloud están diseñados para ofrecer más seguridad que muchas soluciones locales. En esta sección, se describen los controles de seguridad principales que usamos para proteger tus datos.

Encriptación

Esta agrega una capa de defensa que permite proteger datos. La encriptación garantiza que, en caso de que un atacante acceda a tus datos, no pueda leerlos sin tener también acceso a las claves de encriptación. Incluso si un atacante obtiene acceso a tus datos (por ejemplo, si accede a la conexión cable entre centros de datos o roba un dispositivo de almacenamiento), no podrá leerlos ni desencriptarlos.

La encriptación proporciona un mecanismo importante que ayuda a proteger la privacidad de tus datos. Permite a los sistemas manipular los datos (por ejemplo, para la creación de copias de seguridad), y los ingenieros pueden mantener nuestra infraestructura sin proporcionar acceso al contenido a esos sistemas o empleados.

Protege datos en reposo

De forma predeterminada, Google Cloud usa varias capas de encriptación para proteger los datos del usuario que se almacenan en los centros de datos de producción de Google. Esta encriptación predeterminada ocurre en la capa de infraestructura de aplicación o almacenamiento.

Para obtener más información sobre la encriptación en reposo, incluida la administración de claves de encriptación y el servicio de administración de claves (KMS) de Google, consulta Encriptación en reposo en Google Cloud.

Además de la encriptación predeterminada, puedes administrar tus propias claves de encriptación para tus cargas de trabajo mediante Cloud Key Management Service (Cloud KMS). Puedes agregar claves de encriptación administradas por el cliente (CMEK) y usar Cloud HSM, nuestro servicio de módulos de seguridad de hardware, para proteger tus claves.

Seguridad de los datos en tránsito

A medida que viajan por Internet o dentro de las redes, los datos pueden ser vulnerables a sufrir acceso no autorizado. El tráfico entre tus dispositivos y Google Front End (GFE) se encripta con protocolos de encriptación potentes, como TLS.

Puedes aprovechar esta encriptación para tus servicios mediante Cloud Load Balancing. Google Cloud también te ofrece opciones de encriptación de transporte adicionales, incluido Cloud VPN para establecer redes privadas virtuales mediante IPsec.

Para obtener más información, consulta Encriptación en tránsito en Google Cloud.

Integridad de la cadena de suministro

La integridad de la cadena de suministro garantiza que se verifiquen el código y los objetos binarios subyacentes para los servicios que procesan tus datos y que se aprueben las pruebas de certificación. En Google Cloud, desarrollamos autorización binaria para Borg (BAB) a fin de revisar y autorizar todo el software de producción que implementamos. BAB ayuda a garantizar que solo el código autorizado pueda procesar tus datos. Además de BAB, usamos chips de seguridad de hardware (llamados Titan) que implementamos en servidores, dispositivos y periféricos. Estos chips ofrecen funciones de seguridad principales, como almacenamiento de claves seguro, raíz de confianza y autoridad firmada.

A fin de proteger la cadena de suministro de software, puedes implementar la autorización binaria para aplicar las políticas antes de implementar el código. Para obtener información sobre cómo proteger la cadena de suministro, consulta SLSA.

Protege datos en uso

Los productos de Google Cloud admiten la encriptación de datos para datos en uso con Confidential Computing. Confidential Computing protege tus datos en uso mediante el aislamiento criptográfico y mantiene la confidencialidad de las cargas de trabajo en un entorno de nube multiusuario. Este tipo de entorno criptográficamente aislado ayuda a evitar el acceso no autorizado o las modificaciones a las aplicaciones y los datos mientras las aplicaciones o datos están en uso. Un entorno de ejecución confiable también aumenta las garantías de seguridad para las organizaciones que administran datos sensibles y regulados.

En Google Cloud, puedes habilitar Confidential Computing para proteger las instancias de VM mediante Confidential VM y usar Confidential Google Kubernetes Engine Nodes para tus nodos de GKE, o Dataproc Confidential Compute a fin de ejecutar Hadoop, Spark o MapReduce para realizar trabajos de estadísticas sensibles.

Beneficios de seguridad de nuestra red global

En otros servicios en la nube y soluciones locales, los datos de los clientes viajan entre dispositivos a través de la Internet pública en rutas conocidas como saltos. La cantidad de saltos dependerá de la ruta óptima entre el ISP del cliente y el centro de datos. Cada salto adicional ofrece una oportunidad nueva para atacar los datos o interceptarlos. Debido a que nuestra red global está vinculada a la mayoría de los ISP del mundo, limita los saltos en la Internet pública y, por lo tanto, ayuda a restringe el acceso a esos datos por parte de personas malintencionadas.

Nuestra red usa varias capas de defensa (defensa en profundidad) para ayudar a proteger la red contra ataques externos. Solo se les permite atravesarla a los servicios y protocolos autorizados que cumplen con nuestros requisitos de seguridad, cualquier otro intento se elimina automáticamente. Para aplicar la separación de redes, usamos firewalls y listas de control de acceso. Todo el tráfico se enruta a través de servidores de GFE para ayudar a detectar y detener solicitudes maliciosas y ataques de denegación de servicio distribuido (DSD). Los registros se evalúan de manera rutinaria en busca de cualquier explotación de errores de programación. El acceso a los dispositivos de red está restringido solo a los empleados autorizados.

Nuestra infraestructura global nos permite ejecutar Project Shield, que brinda una protección ilimitada y gratuita a los sitios web vulnerables a ataques DSD que se usan para censurar la información. Project Shield está disponible para sitios web de noticias, sitios web de derechos humanos y la supervisión de elecciones.

Soluciones con baja latencia y alta disponibilidad

Nuestra red de datos IP es de nuestra propia fibra, que está disponible de forma pública y como cables submarinos. Esta red nos permite entregar servicios de baja latencia con alta disponibilidad en todo el mundo.

Diseñamos los componentes de nuestra plataforma para que sean altamente redundantes. Esta redundancia se aplica al diseño de nuestro servidor, a la manera en que almacenamos los datos, a la conectividad de Internet y de la red y a los servicios de software. Dicha “redundancia en todo” incluye el manejo de excepciones y crea una solución que no depende de un solo servidor, centro de datos o conexión de red.

Nuestros centros de datos están distribuidos geográficamente para minimizar los efectos de las interrupciones regionales en los productos globales, como en el caso de desastres naturales y suspensiones de servicio locales. Si falla el hardware, el software o una red, los servicios de la plataforma y los planes de control se cambian de forma automática y rápida de una instalación a otra para que los servicios de la plataforma puedan continuar sin interrupción.

Nuestra infraestructura altamente redundante también te ayuda a proteger tu empresa contra la pérdida de datos. Puedes crear e implementar recursos de Google Cloud en varias regiones y zonas para compilar sistemas resilientes y de alta disponibilidad. Nuestros sistemas están diseñados para minimizar el tiempo de inactividad o los períodos de mantenimiento cuando necesitamos proporcionar un servicio o actualizar nuestra plataforma. Para obtener más información sobre cómo Google Cloud crea resiliencia y disponibilidad en su infraestructura y servicios principales, desde el diseño hasta las operaciones, consulta Diseño de infraestructura para la disponibilidad y resiliencia.

Disponibilidad del servicio de Google Cloud

Es posible que algunos de nuestros servicios de Google Cloud no estén disponibles en todas las geografías. Algunas interrupciones del servicio son temporales (debido a un evento inesperado, como una interrupción de la red), pero otras limitaciones son permanentes debido a restricciones impuestas por el Gobierno. Nuestro Informe de transparencia y el panel de estado completos muestran interrupciones en el tráfico recientes y en curso a los servicios de Google Cloud. Proporcionamos estos datos para ayudarte a analizar y comprender la disponibilidad de la información en línea.

Restricciones y acceso a los datos

En esta sección, se describe cómo restringimos el acceso a los datos y cómo respondemos a las solicitudes de datos de las agencias de orden público.

Utilización de datos

Los datos que ingreses en nuestros sistemas son tuyos. No la analizamos con fines publicitarios ni la vendemos a terceros. En las Condiciones de Seguridad y Procesamiento de los Datos de Google Cloud, se describe nuestro compromiso con la protección de tus datos. En ese documento, se establece que no procesaremos datos con otro propósito que no sea para cumplir con las obligaciones contractuales. Si decides dejar de usar nuestros servicios, proporcionamos herramientas que te facilitan la portabilidad de tus datos, sin penalizaciones ni costos adicionales. Para obtener más información sobre nuestros compromisos con Google Cloud, consulta nuestros principios de confianza.

Acceso de administrador para empleados de Google

Nuestra infraestructura está diseñada para aislar de forma lógica los datos de cada cliente de los datos de otros clientes y usuarios, incluso cuando se almacenan en el mismo servidor físico. Solo un grupo pequeño de nuestros empleados cuenta con acceso a estos datos. A nuestros empleados se les otorgan derechos y niveles de acceso según su puesto de trabajo y su puesto, y se les asignan los privilegios mínimos y la información básica necesarios para que cumplan con sus responsabilidades. Solo se les otorga un conjunto limitado de permisos predeterminados para acceder a los recursos de la empresa, como el correo electrónico del empleado y el portal interno del empleado de Google. Las solicitudes de acceso adicional deben seguir un proceso formal que incluya una solicitud y la aprobación del propietario de los datos o del sistema, del administrador o de otros ejecutivos, ya que así lo dictan nuestras políticas de seguridad.

Las herramientas de flujo de trabajo administran las aprobaciones, para mantener registros de auditoría sobre todos los cambios. Estas herramientas controlan tanto la modificación de la configuración de la autorización como el proceso de aprobación, para garantizar que las políticas de aprobación se apliquen de forma coherente. La configuración de autorización de un empleado se utiliza para controlar el acceso a todos los recursos, incluidos los datos y sistemas de los productos de Google Cloud. Los servicios de asistencia solo se proporcionan a los administradores autorizados por el cliente. Nuestros equipos de seguridad dedicados, los de privacidad y los de auditoría interna supervisan y auditan el acceso de los empleados, y te proporcionamos registros de auditoría a través de la Transparencia de acceso para Google Cloud. Además, cuando habilitas la aprobación de acceso, nuestro personal de asistencia e ingenieros requieren de tu aprobación explícita para acceder a tus datos.

Acceso de administrador de clientes

El propietario del proyecto configura y controla las funciones administrativas y los privilegios de tu organización para Google Cloud. Puedes usar la administración de identidades y accesos (IAM) para administrar el acceso de los miembros de tu equipo a ciertos servicios y su capacidad para realizar funciones administrativas específicas, sin necesidad de otorgar acceso a toda la configuración y los datos.

Solicitudes de datos del orden público

Como propietario de los datos, eres el principal responsable de responder a las solicitudes de datos del orden público. Sin embargo, al igual que muchas empresas de tecnología, recibimos solicitudes directas de gobiernos y tribunales para divulgar información del cliente. Google cuenta con políticas y procedimientos operativos y otras medidas de organización para proteger contra las solicitudes ilegales o excesivas de datos del usuario que realizan las autoridades públicas. Cuando recibimos esa clase de solicitud, nuestro equipo la revisa para asegurarse de que satisfaga los requisitos legales y las políticas de Google. En términos generales, para cumplir con la solicitud, esta se debe realizar por escrito, emitir en virtud de una ley apropiada y estar firmada por un funcionario autorizado de la agencia que la realiza.

Creemos que el público merece saber hasta qué punto el Gobierno solicita información de nuestra parte. Nos convertimos en la primera empresa en publicar con regularidad informes sobre las solicitudes gubernamentales de datos. Puedes encontrar información detallada sobre las solicitudes de datos y nuestra respuesta en nuestro Informe de transparencia. Nuestra política es notificarte sobre las solicitudes de tus datos, a menos que esté prohibido por ley o por una orden judicial. Si deseas obtener más información, consulta Solicitudes gubernamentales de datos de clientes de Cloud.

Proveedores de terceros

Para la mayoría de las actividades de procesamiento de datos, proporcionamos los servicios en nuestra propia infraestructura. Sin embargo, podemos contratar a algunos proveedores externos para que brinden servicios relacionados con Google Cloud, como asistencia técnica y de clientes. Antes de incorporar un proveedor, evaluamos sus prácticas de seguridad y privacidad. Mediante esta evaluación, se verifica si el proveedor proporciona un nivel de seguridad y privacidad que sea adecuado para su acceso a los datos y para el alcance de los servicios que se comprometen a proporcionar. Después de evaluar los riesgos que presenta el proveedor de terceros, se le solicita que acepte los términos apropiados del contrato de seguridad, confidencialidad y privacidad.

Para obtener más información, consulta el Código de conducta del proveedor.

Asistencia para los requisitos de cumplimiento

Google Cloud se somete a verificaciones independientes periódicas de los controles de seguridad, privacidad y cumplimiento, y recibe informes de auditoría y certificaciones para demostrar que cumple. La seguridad de la información incluye controles específicos relacionados con la privacidad de los datos del cliente que ayudan a mantenerlos seguros.

Algunos de los estándares internacionales clave que se auditan son los siguientes:

Además, los informes de SOC 2 y SOC 3 están disponibles para nuestros clientes.

También participamos en marcos de trabajo específicos del sector y del país, como FedRAMP (gobierno de EE.UU.), BSI C5 (Alemania) y MTCS (Singapur). Proporcionamos documentos y asignaciones de recursos para ciertos marcos de trabajo en los que es posible que no se requieran o no se puedan aplicar certificaciones formales.

Si operas en industrias reguladas, como finanzas, gubernamental, salud o educación, Google Cloud proporciona productos y servicios que te ayudan a cumplir con numerosos requisitos específicos de la industria. Por ejemplo, si debes cumplir con los siguientes requisitos: Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS), consulta Cumplimiento de las Normas de seguridad de datos de la PCI para obtener información sobre cómo implementar sus requisitos en Google Cloud.

Para obtener una lista completa de nuestras ofertas de cumplimiento, consulta el Centro de recursos de cumplimiento.

Administración y seguro de riesgos

Contamos con un programa de seguros sólido para muchos tipos de riesgos, incluida la cobertura de seguros de responsabilidad cibernética y de privacidad. Estas políticas incluyen cobertura para Google Cloud en eventos como el uso no autorizado o el acceso de nuestra red, acciones regulatorias cuando no es seguro; la falta de protección adecuada de la información confidencial, los costos de las notificaciones y los costos de administración de emergencias, incluida la investigación forense.

También usamos nuestra posición como líder en el espacio cibernético para ayudar a nuestros clientes a acceder a las soluciones de seguros cibernéticos. Con el Programa de Protección de Riesgos, Google Cloud anunció la primera colaboración conjunta de este tipo entre un proveedor de servicios en la nube importante y dos empresas líderes de seguros cibernéticos: Munich Re y Allianz Global & Corporate Speciality. El Programa de protección de riesgos proporciona estadísticas basadas en datos y permite que los clientes que buscan cobertura de seguros cibernéticos, compartan su posición de seguridad en la nube directamente con nuestros socios de seguros. Esta función ayuda a los clientes a obtener condiciones de seguro favorables con una cobertura más amplia para las cargas de trabajo de Google Cloud.

Con la creación del Programa de protección de riesgos, vinculamos directamente los seguros cibernéticos a la seguridad en la nube mediante las comparativas del Centro para la seguridad en Internet (CIS). El programa se diseñó para usar nuestra posición como proveedor de servicios en la nube y líder de seguridad a fin de ayudar a mejorar la seguridad de nuestros clientes. Ayuda a nuestros clientes a ahorrar tiempo y esfuerzo significativos a través de la compra de seguros optimizados y proporciona acceso a una cobertura de seguros especializados para los clientes de Google Cloud.

Productos y servicios de seguridad de Google Cloud

En Google Cloud, la seguridad es una continuidad de responsabilidades compartidas para ti y nosotros. Por lo general, eres responsable de proteger lo que subes a la nube, mientras que nosotros nos encargamos de proteger la nube. Por lo tanto, eres el responsable de la seguridad de tus datos y nosotros de la infraestructura subyacente. En la siguiente imagen, se visualiza esta relación como el modelo de responsabilidad compartida, que describe las responsabilidades que tenemos y que tienes en Google Cloud.

Responsabilidades de seguridad para proveedores y clientes de la nube.

En la capa de la infraestructura como servicio (IaaS), solo nuestro hardware, almacenamiento y red son nuestra responsabilidad. En la capa del software como servicio (SaaS), la seguridad de todo, excepto los datos, y su acceso y uso, son nuestra responsabilidad.

Google Cloud ofrece una variedad de servicios de seguridad que puedes aprovechar para proteger tu entorno de nube a gran escala. Para obtener más información, consulta Productos de identidad y seguridad en Google Cloud. También puedes encontrar más información en nuestro centro de prácticas recomendadas para la seguridad.

Conclusión

La protección de tus datos es una de las principales consideraciones de diseño para todas nuestras infraestructuras, productos y operaciones. Nuestra escala de operaciones y colaboración con la comunidad de investigadores de seguridad nos permiten abordar las vulnerabilidades con rapidez y, a menudo, evitarlas por completo. Ejecutamos nuestros propios servicios, como Búsqueda de Google, YouTube y Gmail, en la misma infraestructura que ponemos a disposición de nuestros clientes, que se benefician directamente de nuestros controles y prácticas de seguridad.

Creemos que podemos ofrecer un nivel de protección que pocos proveedores de servicios en la nube pública o equipos de empresas privadas de TI pueden igualar. Debido a que la protección de datos en un aspecto fundamental de nuestro negocio, realizamos enormes inversiones en seguridad, recursos y especialistas a un nivel que el resto no puede lograr. Nuestra inversión permite que te enfoques en tu negocio y en la innovación. Nuestros compromisos sólidos contractuales te ayudan a mantener el control de tus datos y la forma en que se procesan. No usamos tus datos para fines publicitarios o de otro tipo que no sean para proporcionar servicios de Google Cloud.

Por estas razones y muchas más, muchas organizaciones innovadoras nos confían su recurso más valioso: su información. Seguiremos invirtiendo en nuestra plataforma para permitir que aproveches nuestros servicios de una manera segura y transparente.

¿Qué sigue?