SOC 2
Il report SOC 2 (Service and Organization Controls) si basa sull'SSAE 18 dell'Auditing Standards Board of the American Institute of Certified Public Accountants (AICPA), che valuta i controlli dell'organizzazione di servizi pertinenti ai criteri TSC (Trust Service Criteria) relativi a sicurezza, disponibilità, integrità del trattamento, riservatezza o privacy.
Cerchi i report SOC 2 di Google Cloud e Google Workspace? I clienti possono richiedere i report in qualsiasi momento tramite la Gestione dei report di conformità.
Google Cloud e conformità allo standard SOC 2
Accesso ai report SOC 2 di Google Cloud
Google Cloud viene sottoposta a un regolare processo di controllo di terze parti per i nostri prodotti, sistemi e infrastrutture relativi a questo standard. I report SOC 2 sono generati da una terza parte obiettiva che attesta un insieme di asserzioni fatte da Google Cloud in merito ai controlli in atto per proteggere i dati dei clienti. L'audit della società di revisione include test completi della progettazione e dell'efficacia operativa dei controlli nel periodo di audit.
I clienti possono utilizzare il report SOC 2 per valutare i rischi derivanti dalle interazioni con i sistemi Google Cloud e Google Workspace sottoposti a valutazione per tutto il periodo.
Sequenze temporali di SOC 2 di Google Cloud
Report SOC 2 principali di Google Cloud e Google Workspace
I report SOC 2 Tipo II principali di Google Cloud e Google Workspace vengono emessi semestralmente e si possono scaricare da Gestione dei report di conformità. I periodi di copertura e le date di rilascio di questi report sono:
- Prima metà dell'anno
- Periodo di copertura: 1° maggio - 30 aprile
- Rilascio previsto: metà giugno
- Seconda metà dell'anno
- Periodo di copertura: 1° novembre - 31 ottobre
- Rilascio previsto: metà dicembre
Rapporti SOC 2 aggiuntivi di Google Cloud
Elaboriamo report SOC 2 Tipo II separati per un piccolo sottoinsieme di prodotti Google Cloud, tra cui AppSheet, Backup and Disaster Recovery, Google Cloud VMware Engine, Bare Metal Solution, Apigee Edge, Actifio Heritage, StratoZone, Google Security Operations SOAR, Mandiant e Looker (Google Cloud core). Questi report vengono rilasciati annualmente e i clienti possono ottenerli contattando il team di vendita o l'assistenza.
Bridge letter
Le bridge letter sono attestazioni rilasciate dalla gestione del fornitore di servizi, in questo caso Google Cloud, e hanno lo scopo di "colmare" il divario tra la data di fine del report SOC e la data di fine del periodo del cliente. Le bridge letter riepilogano modifiche sostanziali o problemi identificati nell'ambiente di controllo interno oltre la data di fine del periodo del report SOC più recente. Le bridge letter sono disponibili per i report SOC 1 e SOC 2.
Google Cloud crea bridge letter mensili, ognuna delle quali è progettata per coprire il periodo successivo al report SOC più recente. Ad esempio, Google Cloud rilascia una bridge letter all'inizio di gennaio per coprire il periodo di tempo compreso tra il 1° novembre e il 31 dicembre, che estende il periodo di copertura del report SOC emesso in precedenza con il 31 ottobre come data di fine periodo.
Le bridge letter SOC per i report SOC 2 principali di Google Cloud e Google Workspace sono disponibili su Gestione dei report di conformità per i periodi che terminano il 31 marzo, il 30 giugno, il 30 settembre e il 31 dicembre e possono essere scaricate direttamente. Se è necessaria una bridge letter per una data di fine periodo o un ambito del prodotto diversi, contatta il team di vendita o l'assistenza.
Domande frequenti
Chi esegue l'audit indipendente di terze parti?
I revisori indipendenti di Google Cloud sono Ernst & Young LLP e Coalfire.
Qual è la differenza tra un report SOC 2 Tipo II e un report SOC 2 Tipo I?
Un report SOC 2 Tipo I riguarda la progettazione dei controlli dell'organizzazione di servizi in un momento specifico. Un report SOC 2 Tipo II riguarda l'efficacia operativa e di progettazione dei controlli dell'organizzazione di servizi in un determinato periodo di tempo. Ad esempio, un SOC 2 Tipo I può valutare i controlli dell'organizzazione di servizi a partire da oggi, ma un SOC 2 Tipo II valuta i controlli dell'organizzazione di servizi negli ultimi sei mesi. Google Cloud rilascia solo report SOC 2 Tipo II.
Servizi inclusi nell'ambito
Di seguito sono riportati i servizi Google Cloud che rientrano nell'ambito dello standard SOC 2.
Google Cloud
Laddove il servizio è indicato con il nome semplificato, abbiamo aggiunto anche il nome precedente tra parentesi.
AI Platform Deep Learning Container
AI Platform Neural Architecture Search (NAS)
AI Platform Training e AI Platform Prediction
Anti-Money Laundering (AML) AI
BigQuery Data Transfer Service
Cloud External Key Manager (Cloud EKM)
Cloud Hardware Security Module (HSM)
Cloud Intrusion Detection System (IDS)
Cloud Key Management Service (KMS)
Cloud Life Sciences (in precedenza Google Genomics)
Cloud NAT (Network Address Translation)
Cloud Run (completamente gestito)
Rete privata virtuale (VPN) cloud
AI generativa su Vertex AI (in precedenza Supporto dell'AI generativa su Vertex AI)
GKE Enterprise Config Management
Google Cloud Identity-Aware Proxy
Google Cloud VMware Engine (GCVE)
Identity & Access Management (IAM)
Key Access Justifications (KAJ)
Managed Service for Microsoft Active Directory (AD)
Migrate to Virtual Machines (in precedenza Migrate for Compute Engine)
Notebooks (in precedenza AI Platform Notebooks)
Sensitive Data Protection (incluso Cloud Data Loss Prevention)
Threat Intelligence per Google Security Operations
Vertex AI Conversation (in precedenza Generative AI App Builder)
Vertex AI Platform (in precedenza Vertex AI)
Vertex AI Search (in precedenza Gen App Builder – Enterprise Search)
Google Workspace
Prodotti e servizi pertinenti
Access Transparency
Access Transparency
Quando gli amministratori di Google Cloud accedono ai tuoi contenuti, lo strumento Access Transparency ti fornisce i log delle loro azioni quasi in tempo reale.
Cloud Key Management Service
Cloud Key Management Service
Gestisci le chiavi di crittografia per i servizi cloud nello stesso modo in cui gestisci la crittografia on-premise, per proteggere secret e altri dati sensibili archiviati in Google Cloud.
Google Cloud Armor
Google Cloud Armor
Consente la difesa su larga scala dagli attacchi DDoS a infrastrutture e applicazioni utilizzando l'infrastruttura globale e i sistemi di sicurezza di Google.
Security Command Center
Security Command Center
Consente di prevenire e rilevare le minacce nelle macchine virtuali, nelle reti, nelle applicazioni e nello spazio di archiviazione da un'unica posizione e di agire prima che provochino danni o perdite.
Sensitive Data Protection (incluso Cloud Data Loss Prevention)
Sensitive Data Protection (incluso Cloud Data Loss Prevention)
Fornisce classificazione e oscuramento rapidi e scalabili dei dati sensibili come nomi, numeri di carte di credito, credenziali Google Cloud e altro ancora.
Controlli di servizio VPC
Controlli di servizio VPC
Mantiene privati i dati sensibili definendo un perimetro di sicurezza attorno alle risorse Google Cloud come i bucket Cloud Storage, le istanze di Bigtable e i set di dati BigQuery.
Offerte correlate
SOC 1Google Cloud viene sottoposta a un regolare processo di controllo di terze parti per certificare singoli prodotti in base allo standard SOC 2.
SOC 3Google Cloud e Google Workspace vengono sottoposti a un regolare processo di audit di terze parti per certificare singoli prodotti in base agli standard SOC 3.
Fai il prossimo passo
Inizia a creare su Google Cloud con 300 $ di crediti gratuiti e oltre 20 prodotti Always Free.
Scopri le best practice per la sicurezza
Guarda le nostre best practiceRisolvi i problemi più comuni
Guarda i video di casi d'uso sulla sicurezzaCollabora con un partner
Scopri i nostri partner per la sicurezza
