Google Cloud e os princípios comuns de privacidade

Nossa responsabilidade compartilhada de compliance com a privacidade.

Central de recursos de privacidade do Google CloudCentral de recursos de DPIA do Google Cloud

Nossa jornada de privacidade conjunta

As responsabilidades diretas mudam de acordo com os serviços que você usa, mas os controles de privacidade estão sempre nas suas mãos, e o Google é sempre responsável por proteger nossa infraestrutura. Trabalhamos com um modelo de destino compartilhado para o gerenciamento de privacidade e segurança. Acreditamos em parcerias ativas para ajudar você a implantar cargas de trabalho e operar de maneira compatível com a privacidade, fornecendo produtos e soluções. Isso também transfere uma parte do custo de privacidade e compliance do Google Cloud para os clientes.

Controladores e processadores de dados

Em muitos regulamentos de privacidade comuns, a extensão da responsabilidade é determinada se a entidade está atuando como controladora ou processadora de dados. A definição exata varia de acordo com o regulamento, mas, de forma geral, o papel do controlador determina a finalidade e o meio do processamento, enquanto o processador realiza o processamento de acordo com as instruções do controlador.

Esta página descreve alguns dos princípios de privacidade comuns aplicáveis aos clientes (geralmente, como controladores de dados) e ao Google Cloud (normalmente, como processador de dados).

Principais princípios de privacidade comuns para controladores de dados

Os princípios de privacidade a seguir são relevantes para a conduta dos controladores de dados que colocam os dados na nuvem e se aplicam a muitas jurisdições ao redor do mundo. Esses princípios são baseados em padrões e estruturas reconhecidos globalmente (como os princípios de privacidade da OCDE, os princípios de privacidade de informações justas, a ISO/IEC 27001 etc.) e nas principais regulamentações regionais (como LGPD, GDPR, CPRA etc).

Para saber como o Google Cloud pode ajudar você a cumprir suas obrigações com esses princípios, acesse nossa página de produtos relevantes.

Leia mais.

Coleta e minimização de dados

Os dados pessoais devem ser relevantes e limitados ao necessário em relação aos propósitos para os quais são coletados.

Limitação de armazenamento

Os dados pessoais devem ser mantidos em um formato que permita a identificação dos titulares de dados pelo tempo necessário.

Limitação da finalidade

Os dados pessoais precisam ser coletados para finalidades específicas, explícitas e legítimas e não podem ser processados de maneira incompatível com essas finalidades.

Integridade e confidencialidade

Os dados pessoais precisam ser processados de forma a garantir a segurança adequada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, usando medidas técnicas ou organizacionais adequadas.


Principais princípios de privacidade comuns para processadores de dados

Em nossos contratos de processamento de dados do Google Workspace e do Google Cloud, expressamos claramente nosso compromisso com a privacidade dos clientes. Aprimoramos esses termos ao longo dos anos com base no feedback de nossos clientes e reguladores. Os dados que um cliente e seus respectivos usuários colocam em nossos sistemas são processados exclusivamente de acordo com as instruções do cliente.

Compromissos de confidencialidade de pessoal

Todos os funcionários do Google são obrigados a assinar um contrato de confidencialidade e a concluir treinamentos obrigatórios de confidencialidade e privacidade, bem como nosso treinamento sobre código de conduta. O código de conduta do Google trata especificamente das responsabilidades e do comportamento esperado em relação à proteção das informações.

Para conferir os termos completos, consulte: Google Cloud e Google Workspace: Adendo sobre processamento de dados do Cloud (CDPA)

As empresas do Grupo Google realizam diretamente a maior parte das atividades de processamento de dados necessárias para fornecer os serviços do Google Workspace e do Google Cloud. No entanto, usamos alguns fornecedores terceirizados para ajudar no suporte a esses serviços. Cada fornecedor passa por um rigoroso processo de seleção para garantir que tenha o conhecimento técnico necessário e possa fornecer o nível adequado de segurança e privacidade.

Disponibilizamos informações dos subprocessadores do Grupo Google que apoiam serviços do Google Workspace e do Google Cloud, bem como dos subprocessadores de terceiros envolvidos nesses serviços. 

Para uma lista completa dos termos contratuais relevantes, consulte:

  • Google Cloud e Google Workspace: Adendo sobre processamento de dados do Cloud (CDPA)
  • Processamento de dados | Seção 5.2

O Google opera uma infraestrutura global desenvolvida para fornecer segurança de última geração em todo o ciclo de vida do processamento de informações. Essa infraestrutura foi desenvolvida para proporcionar implantações de serviços seguras, armazenamento de dados seguro com proteção da privacidade do usuário final, comunicações seguras entre serviços, comunicação privada e segura com clientes na Internet e operações seguras feitas por administradores. O Google Workspace e o Google Cloud são executados nessa infraestrutura.

Projetamos a segurança da nossa infraestrutura em camadas sobrepostas, incluindo segurança física de data centers, proteções de segurança para hardware e software e processos para acomodar a segurança operacional. Essa proteção em camadas cria uma base de segurança forte para tudo o que fazemos. Há uma discussão detalhada sobre a segurança da nossa infraestrutura no whitepaper sobre a visão geral do design de segurança da infraestrutura do Google.

Disponibilidade, integridade e resiliência

O Google projeta os componentes da nossa plataforma para serem altamente redundantes. Os data centers do Google são distribuídos geograficamente para minimizar os efeitos de interrupções regionais, como desastres naturais e falhas locais, sobre produtos globais. Em caso de falha de hardware, software ou rede, os serviços são deslocados de uma instalação para outra de maneira imediata e automática. Dessa forma, as operações podem continuar sem interrupções. Nossa infraestrutura altamente redundante ajuda os clientes a se protegerem contra a perda de dados.

Teste e segurança de equipamento

O Google utiliza códigos de barras e tags de recursos para rastrear o status e a localização do equipamento do data center desde a aquisição até a instalação, a retirada e a destruição. Se um componente for reprovado em um teste de desempenho em qualquer momento do ciclo de vida, ele será removido do inventário e terá o uso descontinuado. Os discos rígidos do Google usam tecnologias, como a criptografia de disco total (FDE, na sigla em inglês) e o bloqueio de unidades, para proteger dados em repouso.

Teste de recuperação de desastres

O Google realiza testes de recuperação de desastres anualmente visando proporcionar um espaço coordenado para as equipes de infraestrutura e aplicativos testarem planos de comunicação, cenários de failover, transição operacional e outras respostas de emergência. Todas as equipes que participam do exercício de recuperação de desastres desenvolvem planos de teste e post mortems que documentam os resultados e as lições aprendidas com os testes.

Criptografia

O Google usa criptografia para proteger dados em trânsito e em repouso. Os dados em trânsito do Google Workspace entre regiões são protegidos usando HTTPS, que é ativado por padrão para todos os usuários. Os serviços do Google Workspace e do Google Cloud criptografam o conteúdo dos clientes armazenado em repouso com um ou mais mecanismos de criptografia, sem exigir ações adicionais por parte do cliente. 

Controles de acesso

Para funcionários do Google, os direitos de acesso e os níveis baseiam-se nos respectivos cargos e papéis. Aplicamos os conceitos de privilégio mínimo e necessidade de saber para corresponder os privilégios às responsabilidades definidas. As solicitações de acesso adicional seguem um processo formal que envolve solicitação e aprovação de um proprietário, gerente ou outros executivos de sistema ou de dados, conforme estabelecido pelas políticas de segurança do Google. Os data centers que hospedam componentes de infraestrutura e sistemas do Google Cloud estão sujeitos a restrições físicas de acesso e são equipados com uma equipe de segurança local em tempo integral, seguranças, crachás de acesso, mecanismos de identificação biométrica, bloqueios físicos e câmeras de vídeo para monitorar as partes internas e externas da instalação.

Gerenciamento de incidentes

O Google tem uma equipe de segurança dedicada responsável pela segurança e privacidade dos dados dos clientes e por gerenciar a segurança 24 horas por dia, 7 dias por semana no mundo inteiro. Os membros dessa equipe recebem notificações relativas a incidentes e são responsáveis por ajudar a resolver emergências em tempo integral. As políticas de respostas a incidentes estão em vigor e os procedimentos para a resolução de incidentes críticos são documentados. As informações desses eventos são usadas para ajudar a prevenir incidentes futuros e podem ser usadas como exemplos para o treinamento de segurança de informações. Os processos de gerenciamento de incidentes e os fluxos de trabalho de resposta do Google são documentados. Para fornecer aos clientes e reguladores uma verificação independente de nossos controles de segurança, privacidade e conformidade, os processos de gerenciamento de incidentes do Google são testados regularmente como parte de nossos programas ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS, SOC 2 e FedRAMP. Mais informações sobre nosso processo de resposta a incidentes podem ser encontradas em nosso artigo sobre o processo de resposta a incidentes com dados.

Gerenciamento de vulnerabilidades

Analisamos vulnerabilidades de software usando uma combinação de ferramentas internas comercialmente disponíveis e criadas para fins específicos, testes intensivos de penetração manuais e automatizados, processos de garantia de qualidade, revisões de segurança de software e auditorias externas. Também recorremos à comunidade de pesquisa de segurança em geral e valorizamos a ajuda recebida na identificação de vulnerabilidades no Google Workspace, no Google Cloud e em outros produtos do Google. Nosso Programa de recompensa para descobertas de vulnerabilidades incentiva pesquisadores a relatar problemas de projeto e implementação que possam colocar em risco os dados do cliente.

Segurança do produto – Google Workspace: para saber mais, acesse https://workspace.google.com/security

Segurança do produto – Google Cloud: para saber mais, acesse https://cloud.google.com/security/

Para ler os termos na íntegra, acesse:

  • Google Cloud e Google Workspace: Adendo sobre processamento de dados do Cloud (CDPA)
  • Segurança de dados | Seção 7
  • Medidas de segurança | Apêndice 2
  • Conteúdo relacionado: artigo sobre segurança do Google

Direitos do titular dos dados

Os controladores de dados podem usar os consoles administrativos e a funcionalidade dos serviços do Google Workspace e do Google Cloud para ajudar a acessar, corrigir, restringir o tratamento ou excluir dados inseridos em nossos sistemas pelos próprios controladores e por usuários deles. Essa funcionalidade os ajudará a cumprir suas obrigações de responder às solicitações dos titulares dos dados para exercer direitos no âmbito do GDPR.

Equipe de proteção de dados

O Google designou um DPO para a Google LLC e suas subsidiárias para cuidar do processamento de dados sujeitos ao GDPR, incluindo como parte de nossos produtos e serviços do Cloud. Kristie Chon Flynn é a oficial de proteção de dados do Google. Kristie Chon Flynn vive em Sunnyvale, nos Estados Unidos.

Quando necessário, os produtos do Google Cloud têm equipes dedicadas para tratar das dúvidas dos clientes em relação à proteção de dados. Consulte o contrato em questão para saber como conversar com essas equipes. Para o Google Workspace, os administradores do cliente podem entrar em contato com a equipe de proteção de dados do Google Cloud pela página https://support.google.com/a/contact/googlecloud_dpr (quando os administradores estiverem conectados à conta de administrador) e/ou enviar uma notificação ao Google, conforme descrito no contrato aplicável. No caso do Google Cloud, é possível entrar em contato com a equipe pela página https://support.google.com/cloud/contact/dpo.

Notificações de incidentes

O Google Workspace e o Google Cloud apresentaram compromissos contratuais relacionados à notificação de incidentes por muitos anos. Você continuará recebendo notificações imediatas sobre incidentes que envolvam seus dados de cliente junto com os termos sobre incidentes de dados em nossos contratos atuais.

Para ler os termos na íntegra, acesse:

  • Google Cloud e Google Workspace: Adendo sobre processamento de dados do Cloud (CDPA)
  • Avaliações de Impacto e Consultas | Seção 8

Os administradores podem exportar dados dos clientes por meio da funcionalidade dos serviços do Google Workspace ou do Google Cloud (consulte Documentação do Google Cloud para mais informações), a qualquer momento durante o período de vigência do contrato. Incluímos compromissos de exportação de dados em nossos termos de processamento de dados por vários anos. Vamos continuar trabalhando para aprimorar nossos recursos de exportação de dados, fazendo com que fique ainda mais fácil fazer o download de uma cópia dos dados do cliente dos serviços do Google Workspace e do Google Cloud.

Também é possível excluir os dados dos clientes usando a funcionalidade dos serviços do Google Workspace ou do Google Cloud a qualquer momento. Quando o Google receber uma instrução para a exclusão total (por exemplo, quando não é mais possível recuperar da “lixeira” um e-mail que você tinha excluído), ele excluirá os dados relevantes de clientes de todos os sistemas no período máximo de 180 dias, a menos que haja obrigações de retenção aplicáveis.

Para ler os termos na íntegra, acesse:

  • Google Cloud e Google Workspace: Adendo sobre processamento de dados do Cloud (CDPA)
  • Exclusão de dados | Seção 6
  • Direitos do Titular dos Dados; Exportação de dados | Seção 9.1

Google Cloud e Google Workspace: Adendo sobre processamento de dados do Cloud (CDPA)

Segurança de dados | Seção 7.4

Além dos termos do contrato, nossos clientes e reguladores esperam uma verificação independente dos controles de segurança, privacidade e compliance. O Google Workspace e o Google Cloud passam regularmente por diversas auditorias independentes realizadas por terceiros para fornecer essa garantia.

ISO/IEC 27001 (Gerenciamento de segurança da informação)

ISO/IEC 27001 é um dos padrões de segurança independentes mais aceitos e reconhecidos internacionalmente. O Google recebeu a certificação ISO/IEC 27001 para sistemas, aplicativos, pessoas, tecnologia, processos e data centers que compõem nossa infraestrutura comum, bem como para os produtos Google Workspace e Google Cloud. Esses certificados podem ser acessados usando o Gerenciador de relatórios de conformidade.

ISO/IEC 27017 (Segurança na nuvem):

ISO/IEC 27017 é um padrão internacional para a prática de controles de segurança das informações baseado no ISO/IEC 27002 especificamente para serviços de nuvem. O Google recebeu a certificação de conformidade com o ISO/IEC 27017 para o Google Workspace e o Google Cloud. Esses certificados podem ser acessados usando o Gerenciador de relatórios de conformidade.

ISO/IEC 27018 (Privacidade na nuvem):

ISO/IEC 27018 é um padrão internacional para a prática da proteção das informações de identificação pessoal (PII) em serviços de nuvem pública. O Google recebeu a certificação de conformidade com o ISO/IEC 27018 para o Google Workspace e o Google Cloud. Esses certificados podem ser acessados usando o Gerenciador de relatórios de conformidade.

ISO/IEC 27701 (Gerenciamento de informações de privacidade):

A ISO/IEC 27701 é uma norma de privacidade internacional que se concentra na coleta e no processamento de informações de identificação pessoal (PII). Essa norma amplia os requisitos da ISO/IEC 27001 e da ISO/IEC 27002 para incluir a privacidade de dados. Recebemos a certificação acreditada pela ISO/IEC 27701 como um processador de PII para o Google Workspace e o Google Cloud. Esses certificados podem ser acessados usando o Gerenciador de relatórios de conformidade.

SSAE18/ISAE 3402 (SOC 2/3):

O modelo de auditoria dos controles de organização de serviço (SOC 2, na sigla em inglês) e SOC 3 do Instituto Americano de Contadores Públicos Certificados (AICPA, na sigla em inglês) define princípios de confiabilidade e critérios de segurança, disponibilidade, integridade de processamento e confidencialidade. O Google tem os relatórios SOC 2 e SOC 3 para o Google Workspace e o Google Cloud. Esses certificados podem ser acessados usando o Gerenciador de relatórios de conformidade.

Vá além

Inicie seu próximo projeto, veja tutoriais interativos e gerencie sua conta.

Entre em contato
Google Cloud
DocumentosSuporte
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Console
Fazer login
Comece gratuitamente
Entre em contato com nossa equipe
  • Acelere sua transformação digital
  • Seja no início da jornada ou já a caminho da transformação digital, o Google Cloud pode ajudar a superar os desafios mais difíceis.
  • Produtos do Google Cloud
  • Acesse mais de 100 produtos. Clientes novos ganham US$ 300,00 em créditos para executar, testar e implantar cargas de trabalho. Todos os clientes podem usar mais de 25 produtos gratuitamente até alcançarem os limites de uso mensais.
  • Economize com nossa abordagem de preços transparente
  • Os preços de pagamento por utilização do Google Cloud oferecem economia automática com base no uso mensal e preços com desconto para recursos pré-pagos. Entre em contato hoje mesmo para receber uma cotação.
Google Cloud