Google Cloud e la direttiva UE sulla sicurezza delle reti e dei sistemi informativi (NIS2)

Google supporta il tuo impegno di conformità alla NIS2 impegnandosi nei nostri contratti a implementare e mantenere misure di sicurezza tecniche, organizzative e fisiche in relazione ai nostri servizi cloud. Offriamo anche funzionalità e prodotti di sicurezza aggiuntivi per aiutarti a proteggere i tuoi ambienti cloud. Google pubblica documentazione e risorse per aiutarti nella valutazione della sicurezza dei nostri servizi Google Cloud e Workspace.

Di seguito sono riportate le informazioni su come i nostri contratti, controlli e processi supportano i requisiti di acquisizione di fornitori e fornitori di servizi contenuti nell'articolo 21, paragrafo 2, della direttiva NIS2 e nei punti 5.1 e 6.1 del regolamento di esecuzione dell'UE.

Cybersicurezza in Google Cloud e Workspace

La sicurezza in Google Cloud e Workspace è trattata nell'Addendum per il trattamento dei dati Cloud, che descrive la sicurezza dei data center, dell'hardware, del software e della rete che supportano i servizi. Data la natura one-to-many del nostro servizio, Google offre la stessa sicurezza avanzata a tutti i clienti. Forniamo ai clienti informazioni dettagliate sulle nostre pratiche di sicurezza in modo che possano comprenderle e tenerle in considerazione nell'ambito dei loro requisiti di acquisizione.

Ecco alcune risorse in cui puoi trovare ulteriori informazioni: 

• Centro affidabilità di Google Cloud 
• Panoramica sulla sicurezza di Google 
• Panoramica sulla progettazione della sicurezza dell'infrastruttura Google 
• Risorse per la sicurezza

Sei tu a definire la sicurezza dei tuoi dati e delle tue applicazioni nel cloud, ma la sicurezza dei tuoi dati è di primaria importanza per Google. Per aiutarti, adottiamo le seguenti misure proattive: 

• Crittografia at-rest. Google cripta i dati archiviati non attivi dei clienti per impostazione predefinita, senza la necessità di ulteriori azioni. Maggiori informazioni sono disponibili alla pagina Google Cloud Crittografia at-rest e nel white paper sulla crittografia di Google Workspace.
• Crittografia dei dati in transito. Google crittografa e autentica tutti i dati in transito su uno o più livelli di rete quando i dati si spostano all'esterno dei confini fisici non controllati da Google o per conto di Google. Maggiori informazioni sono disponibili alla pagina Google Cloud Crittografia in transito e nel white paper sulla crittografia di Google Workspace. 

Puoi scegliere di utilizzare i prodotti Google Cloud per la sicurezza per migliorare e monitorare la sicurezza dei tuoi dati. Le informazioni sui prodotti Google Cloud per la sicurezza sono disponibili alla pagina Prodotti Google Cloud per la sicurezza. 

Google pubblica anche guide e best practice per la sicurezza del cloud nella pagina Best practice per la sicurezza di Google Cloud e nella pagina Sicurezza e protezione dei dati di Google Workspace.

Google fornisce accordi sul livello del servizio relativi alla disponibilità dei nostri servizi cloud. Sono disponibili alle pagine Accordi sul livello del servizio della piattaforma Google Cloud e Accordi sul livello del servizio di Google Workspace. I clienti possono monitorare regolarmente le prestazioni dei nostri servizi Google (inclusi gli accordi sul livello del servizio) utilizzando la funzionalità dei servizi. Google mantiene e rende disponibili ai clienti dashboard che forniscono informazioni sullo stato dei servizi Google Cloud all'indirizzo https://status.cloud.google.com e dei servizi Workspace all'indirizzo https://www.google.com/appsstatus/dashboard/. Le dashboard dello stato sono fornite solo a scopo informativo.

Competenze e formazione del personale

Le competenze e la formazione del personale Google sono trattate nell'Appendice 2: Misure di sicurezza dell'Addendum per il trattamento dei dati Cloud. Il personale di Google deve rispettare le Norme sulla privacy e sulla riservatezza di Google, seguire una formazione sulla sicurezza e soddisfare requisiti aggiuntivi inerenti al proprio ruolo. Il personale di Google è inoltre tenuto ad adottare una condotta coerente con le nostre linee guida in materia di riservatezza, etica aziendale, uso appropriato e standard professionali. 

Verifica dei precedenti dei dipendenti

La verifica dei precedenti del personale di Google è trattata nell'Appendice 2: Misure di sicurezza dell'Addendum per il trattamento dei dati Cloud. Google conduce controlli ragionevolmente appropriati dei precedenti del personale nella misura consentita dalla legge e ai sensi delle leggi e dei regolamenti locali sul lavoro vigenti.

Notifica degli incidenti

Gli impegni di Google in materia di notifica degli incidenti sono indicati nella Sezione 7.2 dell'Addendum per il trattamento dei dati Cloud. Google notifica tempestivamente e senza ingiustificato ritardo ai clienti gli incidenti relativi ai dati, adottando prontamente provvedimenti ragionevoli per ridurre al minimo i danni e proteggere i dati dei clienti. Maggiori informazioni sono disponibili alla pagina Processo di risposta agli incidenti relativi ai dati.

Report di controllo

Google riconosce che i clienti si aspettano una verifica indipendente dei controlli di sicurezza, privacy e conformità. Per offrire questa garanzia, Google si sottopone a numerose verifiche periodiche eseguite da terze parti indipendenti. Google si impegna a rispettare i seguenti standard internazionali fondamentali durante il periodo di validità del contratto: 

• ISO/IEC 27001 (Sistemi di gestione della sicurezza delle informazioni) 
• SOC 2 
• SOC 3

nonché eventuali certificazioni aggiuntive descritte nell'Appendice 4 dell'Addendum per il trattamento dei dati Cloud. Puoi esaminare le certificazioni e i report di controllo attuali di Google in qualsiasi momento. Gestione dei report di conformità consente di accedere facilmente e on demand a risorse fondamentali per la conformità.

Gestione delle vulnerabilità

Il processo di gestione delle vulnerabilità interno di Google esegue attivamente la scansione delle minacce alla sicurezza negli stack tecnologici. Questo processo utilizza una combinazione di strumenti commerciali, open source e interni creati appositamente. Le vulnerabilità che abbiamo mitigato sono pubblicate nei bollettini sulla sicurezza di Google Cloud. Maggiori informazioni sulla gestione delle vulnerabilità sono disponibili nella nostra Panoramica sulla sicurezza di Google.

Cybersicurezza dei sub-responsabili

I requisiti di cybersicurezza di Google per i suoi sub-responsabili sono indicati nella Sezione 11 e nell'Appendice 2: Misure di sicurezza dell'Addendum per il trattamento dei dati Cloud. Prima di eseguire l'onboarding, Google conduce un controllo delle Norme di tutela della privacy e della sicurezza adottate dai sub-responsabili per assicurare che questi forniscano un livello di sicurezza e privacy consono all'accesso ai dati e alla portata dei servizi per cui vengono incaricati. Dopo che Google ha valutato i rischi presentati dal sub-responsabile, quest'ultimo dovrà sottoscrivere dei termini contrattuali consoni in merito alla sicurezza, alla riservatezza e alla privacy.

Recupero ed eliminazione dei dati

Il recupero e l'eliminazione dei dati dei clienti in caso di risoluzione del contratto sono affrontati nelle Sezioni 6 e 9 dell'Addendum per il trattamento dei dati Cloud. Google consente ai clienti di esportare i dati in modo conforme alle funzionalità dei servizi. Google elimina i dati dei clienti dai propri sistemi alla scadenza del termine come descritto nella Sezione 6.

Google continuerà a evolvere le proprie competenze di pari passo con il cambiamento del panorama normativo.