Google Cloud y la Directiva de la UE sobre redes y sistemas de información (NIS2)

Google apoya tus esfuerzos de cumplimiento de la NIS2 mediante el compromiso en nuestros contratos de implementar y mantener medidas de seguridad técnicas, organizativas y físicas en relación con nuestros servicios en la nube. También te ofrecemos productos y funciones de seguridad adicionales para ayudarte a proteger tus entornos de nube. Google publica documentación y recursos para ayudarte con la evaluación de la seguridad de nuestros servicios de Google Cloud y Workspace.

A continuación, se proporciona información sobre cómo nuestros contratos, controles y procesos respaldan los requisitos de adquisición de proveedores y prestadores de servicios que se incluyen en el artículo 21(2) de la Directiva NIS2 y los puntos 5.1 y 6.1 del anexo del Reglamento de Ejecución de la UE.

Seguridad cibernética en Google Cloud y Workspace

La seguridad en Google Cloud y Workspace se aborda en el Anexo de Tratamiento de Datos de Cloud, en el que se describe la seguridad de los centros de datos, el hardware, el software y las redes que respaldan los servicios. Dada la naturaleza uno a varios de nuestros servicios, Google brinda la misma seguridad sólida para todos nuestros clientes. Brindamos información detallada a los clientes sobre nuestras prácticas de seguridad para que puedan comprenderlas y considerarlas como parte de sus requisitos de adquisición.

Puedes encontrar más información en: 

• Centro de confianza de Google Cloud 
• Descripción general de la seguridad en Google 
• Descripción general del diseño de seguridad de la infraestructura de Google 
• Recursos de seguridad

Aunque tú defines la seguridad de tus datos y aplicaciones en la nube, la seguridad de tus datos es de suma importancia para Google. Realizamos las siguientes acciones proactivas para ayudarte: 

• Encriptación en reposo. Google Cloud encripta los datos del cliente almacenados en reposo de forma predeterminada, sin que debas realizar ninguna acción adicional. Hay más información disponible en Encriptación en reposo de Google Cloud y en el informe sobre la encriptación de Google Workspace.
• Encriptación en tránsito Google encripta y autentica todos los datos en tránsito en una o más capas de red cuando los datos se transfieren fuera de los límites físicos no controlados por Google ni en su nombre. Obtén más información en Encriptación en tránsito de Google Cloud y el informe sobre la encriptación de Google Workspace. 

Puedes elegir usar los productos de Google Cloud Security para mejorar y supervisar la seguridad de tus datos. La información sobre los productos de seguridad de Google Cloud está disponible en Productos de seguridad en la nube. 

Google también publica guías y recursos de prácticas recomendadas de seguridad en la nube en Prácticas recomendadas de seguridad de Google Cloud y en nuestra página de Seguridad y protección de datos de Google Workspace.

Google proporciona acuerdos de nivel de servicio con respecto a la disponibilidad de nuestros servicios en la nube. Están disponibles en los Acuerdos de Nivel de Servicio de Google Cloud Platform y el Acuerdo de Nivel de Servicio de Google Workspace. Los clientes pueden supervisar el rendimiento de Google de nuestros servicios (incluidos los acuerdos de nivel de servicio) de forma continua con la funcionalidad de los servicios. Google mantiene y pone a disposición de los clientes paneles que proporcionan información sobre el estado de los servicios de Google Cloud en https://status.cloud.google.com y los servicios de Workspace en https://www.google.com/appsstatus/dashboard/. Los paneles de estado se proporcionan solo con fines informativos.

Habilidades y capacitación del personal

Las habilidades y la capacitación del personal de Google se abordan en el Apéndice 2: Medidas de seguridad del Anexo de Tratamiento de Datos de Cloud. El personal de Google debe cumplir con las políticas de confidencialidad y privacidad de Google, recibir capacitación en materia de seguridad y cumplir requisitos adicionales adecuados para su puesto. El personal de Google también debe cumplir con unos lineamientos en función de los reglamentos de la empresa en cuanto a la confidencialidad, la ética empresarial, el uso adecuado y los estándares profesionales. 

Verificación de antecedentes del personal

La verificación de antecedentes del personal de Google se aborda en el Apéndice 2: Medidas de seguridad del Anexo de Tratamiento de Datos de Cloud. Google realiza verificaciones de antecedentes razonablemente adecuadas en la medida en que la ley lo permita y de acuerdo con la legislación laboral local y las reglamentaciones legales aplicables.

Notificación de incidentes

Los compromisos de Google para la notificación de incidentes se establecen en el Artículo 7.2 del Anexo de Tratamiento de Datos de Cloud. Google notifica a los clientes de forma inmediata y sin demoras indebidas después de tomar conocimiento de incidentes de datos y toma medidas razonables de inmediato para minimizar los daños y proteger los datos del cliente. Puedes encontrar más información en Proceso de respuesta ante incidentes de datos.

Informes de auditoría

Google reconoce que esperas una verificación independiente de nuestros controles de cumplimiento, seguridad y privacidad. Google se somete regularmente a varias auditorías de terceros independientes para brindar esta tranquilidad. Google se compromete a cumplir con los siguientes estándares internacionales clave durante el plazo de nuestro contrato contigo: 

• ISO/IEC 27001 (Sistema de Administración de Seguridad de la Información) 
• SOC 2 
• SOC 3

así como cualquier certificación adicional que se describa en el Apéndice 4 del Anexo de Tratamiento de Datos de Cloud. Puedes revisar los informes de auditoría y las certificaciones actuales de Google en cualquier momento. El administrador de informes de cumplimiento te proporciona acceso fácil y a pedido a estos recursos esenciales de cumplimiento.

Administración de vulnerabilidades

En Google, el proceso interno de administración de vulnerabilidades analiza activamente todas las pilas tecnológicas para detectar amenazas a la seguridad. En este proceso, se usa una combinación de herramientas internas, comerciales y de código abierto, y con propósitos específicos. Las vulnerabilidades que mitigamos se publican en los boletines de seguridad de Google Cloud. Hay más información sobre la administración de vulnerabilidades en nuestra Descripción general de la seguridad de Google.

Seguridad cibernética de los subencargados del tratamiento de datos

Los requisitos de seguridad cibernética de Google para sus subencargados del tratamiento de datos se abordan en la Sección 11 y el Apéndice 2: Medidas de seguridad del Anexo de Tratamiento de Datos de Cloud. Google realiza una auditoría de las prácticas de seguridad y privacidad de los subencargados del tratamiento de datos antes de la integración para garantizar que ofrecen un nivel adecuado de seguridad y privacidad para el acceso a los datos y el permiso de los servicios que se comprometen a prestar. Una vez que Google evalúa los riesgos que presenta el subencargado del tratamiento de datos del tratamiento de datos, se le exige que suscriba las condiciones contractuales adecuadas en materia de seguridad, confidencialidad y privacidad.

Recuperación y eliminación de datos

La recuperación y eliminación de los datos del cliente tras la rescisión del contrato se abordan en las secciones 6 y 9 del Anexo de Tratamiento de Datos de Cloud. Google permite que los clientes exporten los datos del cliente de manera coherente con la funcionalidad de los Servicios. Google borra los datos del cliente de los sistemas de Google al final del período, como se describe en la Sección 6.

Google continuará adaptando sus capacidades a medida que cambie el panorama regulatorio.