Google Cloud e a Diretiva da UE sobre Redes e Sistemas de Informação (NIS2)

O Google apoia seus esforços de conformidade com a NIS2 comprometendo-se nos contratos a implementar e manter medidas de segurança técnica, organizacional e física relacionadas aos nossos serviços de nuvem. Também oferecemos outros produtos e recursos de segurança para proteger seus ambientes de nuvem. O Google publica documentação e recursos para ajudar na avaliação de segurança dos nossos serviços do Google Cloud e do Workspace.

Confira abaixo informações sobre como nossos contratos, controles e processos atendem aos requisitos de aquisição de fornecedores e prestadores de serviços contidos no artigo 21(2) da Diretiva NIS2 e nos pontos 5.1 e 6.1 do anexo do Regulamento de Execução da UE.

Cibersegurança no Google Cloud e no Workspace

A segurança no Google Cloud e no Workspace é abordada no Aditivo sobre tratamento de dados do Cloud, que descreve a segurança dos data centers, hardware, software e redes que dão suporte aos serviços. Por causa da natureza de um para muitos do nosso serviço, o Google fornece a mesma segurança robusta para todos os nossos clientes. Fornecemos informações detalhadas aos clientes sobre nossas práticas de segurança para que eles possam compreendê-las e as considerar como parte dos requisitos de aquisição.

Mais informações estão disponíveis em: 

• Central de confiança do Google Cloud 
• Visão geral da segurança do Google 
• Visão geral do design de segurança da infraestrutura do Google 
• Recursos de segurança

Embora você defina a segurança dos seus dados e aplicativos na nuvem, a segurança dos seus dados é de extrema importância para o Google. Tomamos as seguintes medidas proativas para ajudar você: 

• Criptografia em repouso. O Google criptografa dados do cliente armazenados em repouso por padrão, sem que você precise intervir no processo. Mais informações estão disponíveis no artigo Criptografia em repouso do Google Cloud e no artigo Criptografia do Google Workspace.
• Criptografia em trânsito. O Google criptografa e autentica todos os dados em trânsito em uma ou mais camadas de rede quando eles são transferidos para outros limites físicos não controlados pelo Google ou em nome dele. Confira mais informações no artigo Criptografia em trânsito do Google Cloud e no artigo Criptografia do Google Workspace. 

Você pode usar os produtos de segurança do Google Cloud para melhorar e monitorar a segurança dos seus dados. As informações sobre os produtos de segurança do Google Cloud estão disponíveis em Produtos de segurança do Cloud. 

O Google também publica guias e recursos de práticas recomendadas de segurança na nuvem em Práticas recomendadas de segurança do Google Cloud e na página Segurança e proteção de dados do Google Workspace.

O Google oferece contratos de nível de serviço relacionados à disponibilidade dos nossos serviços de nuvem. Eles estão disponíveis em Contratos de nível de serviço do Google Cloud Platform e Contrato de nível de serviço do Google Workspace. Os clientes podem monitorar o desempenho dos Serviços do Google (incluindo os contratos de nível de serviço) de maneira contínua usando a funcionalidade dos Serviços. O Google mantém e disponibiliza aos clientes painéis com informações sobre o status dos serviços do Google Cloud em https://status.cloud.google.com e dos serviços do Workspace em https://www.google.com/appsstatus/dashboard/. Os painéis de status são fornecidos apenas para fins informativos.

Treinamento e habilidades do pessoal

As habilidades e o treinamento do pessoal do Google são abordadas no Apêndice 2: Medidas de segurança do Aditivo sobre tratamento de dados do Cloud. Os funcionários do Google precisam obedecer às políticas de privacidade e confidencialidade do Google, receber treinamento de segurança e cumprir outros requisitos de acordo com a função. A equipe do Google também precisa se comportar de maneira consistente com nossas diretrizes sobre confidencialidade, ética nos negócios, uso adequado e padrões profissionais. 

Verificação de antecedentes de pessoal

A verificação de antecedentes do pessoal do Google é abordada no Apêndice 2: Medidas de segurança do Aditivo sobre tratamento de dados do Cloud. O Google realiza investigações de histórico para contratação adequadas, dentro do legalmente permitido e de acordo com as leis trabalhistas locais e regulamentações estatutárias aplicáveis.

Notificação de Incidentes

Os compromissos de notificação de incidentes do Google estão definidos na Seção 7.2 do Aditivo sobre tratamento de dados do Cloud. O Google notifica os clientes imediatamente após tomar conhecimento de incidentes de dados e toma medidas razoáveis para minimizar danos e proteger os dados do cliente. Confira mais informações em Processo de resposta a incidentes de dados.

Relatórios de auditoria

O Google reconhece que você espera uma verificação independente dos nossos controles de segurança, privacidade e conformidade. Para garantir isso, o Google se submete regularmente a diversas auditorias independentes. O Google se compromete a obedecer os seguintes padrões internacionais durante a vigência do nosso contrato com você: 

• ISO/IEC 27001 (Sistemas de gerenciamento de segurança da informação) 
• SOC 2 
• SOC 3

e quaisquer outras certificações descritas no Apêndice 4 do Aditivo sobre tratamento de dados do Cloud. Consulte os certificados e relatórios de auditoria atuais do Google a qualquer momento. O Gerenciador de relatórios de compliance oferece acesso fácil e sob demanda a esses recursos de compliance essenciais.

Gerenciamento de vulnerabilidades

O processo interno de gerenciamento de vulnerabilidades do Google verifica ativamente as ameaças à segurança em todas as pilhas de tecnologia. Esse processo usa uma combinação de ferramentas internas comerciais, de código aberto e criadas para fins específicos. As vulnerabilidades que mitigamos são publicadas nos boletins de segurança do Google Cloud. Mais informações sobre o gerenciamento de vulnerabilidades estão disponíveis na nossa Visão geral de segurança do Google.

Cibersegurança do subprocessador

Os requisitos de cibersegurança do Google para seus subprocessadores são abordados na Seção 11 e no Apêndice 2: Medidas de segurança do Aditivo sobre tratamento de dados do Cloud. O Google realiza uma auditoria das práticas de segurança e privacidade dos subprocessadores antes da integração para garantir que eles ofereçam um nível de segurança e privacidade adequado ao acesso a dados e ao escopo dos serviços que precisam prestar. Depois que o Google avalia os riscos apresentados pelo subprocessador, este precisa assinar termos de contratos de segurança, confidencialidade e privacidade adequados.

Remoção e recuperação de dados

A recuperação e a exclusão dos dados do cliente após o término do contrato são abordadas nas Seções 6 e 9 do Aditivo sobre tratamento de dados do Cloud. O Google permite que os clientes exportem os dados do cliente de maneira consistente com a funcionalidade dos Serviços. O Google exclui os dados do cliente dos sistemas do Google ao final do termo, conforme descrito na Seção 6.

O Google vai continuar desenvolvendo nossos recursos à medida que o cenário regulatório muda.