SOC 2
O Service and Organization Controls (SOC) 2 é um relatório com base no SSAE 18 do Auditing Standards Board do American Institute of Certified Public Accountants (AICPA), que avalia os controles da organização de serviços relevantes para os critérios de serviços confiáveis de segurança, disponibilidade, integridade de processamento, confidencialidade ou privacidade.
Procurando os relatórios do SOC 2 do Google Cloud e do Google Workspace? Os clientes podem solicitar os relatórios quando quiserem pelo Gerenciador de relatórios de compliance.
Conformidade do Google Cloud e do SOC 2
Como acessar os relatórios SOC 2 do Google Cloud
O Google Cloud é regularmente submetido a auditorias externas relacionadas aos nossos produtos, sistemas e infraestrutura em relação a esse padrão. Os relatórios SOC 2 são gerados por um terceiro objetivo que atesta um conjunto de declarações feitas pelo Google Cloud sobre os controles em vigor para proteger os dados do cliente. A avaliação da empresa de auditoria inclui testes abrangentes do projeto e da eficácia operacional dos controles no período de auditoria.
Os clientes podem usar o relatório SOC 2 para avaliar os riscos decorrentes das interações com os sistemas avaliados do Google Cloud e do Google Workspace ao longo do período.
Cronogramas do SOC 2 do Google Cloud
Relatórios SOC 2 principais do Google Cloud e do Google Workspace
Os principais relatórios SOC 2 Tipo II do Google Cloud e do Google Workspace são emitidos semestralmente e podem ser baixados no Gerenciador de relatórios de compliance. Os períodos de cobertura e as datas de emissão desses relatórios são:
- Primeira metade do ano
- Período de cobertura: 1º de maio a 30 de abril
- Estimativa de emissão: meados de junho
- Segundo semestre
- Período de cobertura: 1º de novembro a 31 de outubro
- Estimativa de emissão: meados de dezembro
Relatórios do SOC 2 adicionais do Google Cloud
Emitimos relatórios SOC 2 Tipo II separados para um pequeno subconjunto de produtos do Google Cloud, incluindo AppSheet, Backup e recuperação de desastres, Google Cloud VMware Engine, Bare Metal Solution, Apigee Edge, Actifio Heritage, StratoZone, Google Security Operations SOAR, Mandiant e Looker (Google Cloud Core). Esses relatórios são emitidos anualmente e os clientes podem obtê-los entrando em contato com o departamento de vendas ou o suporte.
Cartas de ponte
Cartas de ponte são atestados feitos pelo gerenciamento do provedor de serviços (neste caso, o Google Cloud) e têm o objetivo de "fazer uma ponte" para cobrir o intervalo entre a data de término do relatório do SOC e a data de término do período do cliente. As cartas de ponte resumem mudanças ou problemas relevantes identificados no ambiente de controle interno após a data de término do período do relatório do SOC mais recente. As cartas de ponte estão disponíveis apenas para relatórios SOC 1 e SOC 2
O Google Cloud cria cartas de ponte mensais, cada uma delas cobrindo o período desde o relatório SOC mais recente. Por exemplo, o Google Cloud emite uma carta de ponte no início de janeiro para cobrir o período de 1º de novembro a 31 de dezembro, que estende o período de cobertura do relatório SOC emitido anteriormente com uma data de término de 31 de outubro.
As cartas de ponte do SOC para os relatórios SOC 2 principais do Google Cloud e do Google Workspace são disponibilizadas no Gerenciador de relatórios de compliance para os períodos encerrados em 31 de março, 30 de junho, 30 de setembro e 31 de dezembro e podem ser baixadas diretamente. Se for necessário uma carta de ponte que cubra uma data de término de período ou escopo de produto diferente, entre em contato com a equipe de vendas ou o suporte.
Perguntas frequentes
Quem realiza a auditoria independente de terceiros?
Os auditores independentes do Google Cloud são a Ernst & Young LLP e a Coalfire.
Qual é a diferença entre um relatório SOC 2 Tipo II e um relatório SOC 2 Tipo I?
Um relatório do SOC 2 de Tipo I aborda o design dos controles da organização de serviço em um ponto específico. Um relatório do SOC 2 Tipo II aborda o projeto e a eficácia operacional dos controles da organização de serviços ao longo de um período. Por exemplo, um SOC 2 Tipo I pode avaliar os controles da organização de serviço a partir de hoje, mas um SOC 2 Tipo II avalia os controles da organização de serviço nos últimos seis meses. O Google Cloud só emite relatórios do SOC 2 Tipo II.
Serviços no escopo
A seguir, estão listados os serviços do Google Cloud que estão no escopo do SOC 2.
Google Cloud
Nos casos em que simplificamos o nome do serviço, também incluímos o nome anterior entre parênteses.
AI Platform Deep Learning Container
Pesquisa de arquitetura neural (NAS) do AI Platform
AI Platform Training e Prediction
IA antilavagem de dinheiro (AML)
Serviço de transferência de dados do BigQuery
Inventário de recursos do Cloud
Cloud External Key Manager (Cloud EKM)
Cloud Hardware Security Module (HSM)
Sistema de detecção de intrusões do Cloud (IDS)
Cloud Key Management Service (KMS)
Cloud Life Sciences (antigo Google Genomics)
Cloud NAT (conversão de endereços de rede)
Cloud Run (totalmente gerenciado)
Rede privada virtual (VPN, na sigla em inglês) na nuvem
Gerenciamento de configurações
IA generativa na Vertex AI (antigo Suporte de IA generativa na Vertex AI)
GKE Enterprise Config Management
Google Cloud Identity-Aware Proxy
Google Cloud VMware Engine (GCVE)
Identity and Access Management (IAM)
Justificativas de acesso às chaves (KAJ, na sigla em inglês)
Serviço gerenciado para o Microsoft Active Directory (AD)
Migrate to Virtual Machines (antigo Migrate for Compute Engine)
Notebooks (antigo AI Platform Notebooks)
Proteção de Dados Sensíveis (incluindo Cloud Data Loss Prevention)
Serviço de transferência do Cloud Storage
Inteligência contra ameaças para Google Security Operations
Vertex AI para Conversação (antigo Generative AI App Builder)
Rotulação de dados da Vertex AI
Vertex AI Platform (antiga Vertex AI)
Vertex AI para Pesquisa (antigo Gen App Builder – Enterprise Search)
Google Workspace
Produtos e serviços relevantes
Transparência no acesso
Transparência no acesso
Quando os administradores do Google Cloud acessam seu conteúdo, a transparência no acesso mostra registros quase em tempo real das ações realizadas por eles.
Cloud Key Management Service
Cloud Key Management Service
Gerencie chaves criptográficas para seus serviços em nuvem da mesma maneira que você faz no local. Proteja os secrets e outros dados confidenciais que você armazena no Google Cloud.
Google Cloud Armor
Google Cloud Armor
Oferece defesa em escala contra ataques DDoS de infraestrutura e aplicativos com os sistemas de segurança e infraestrutura globais do Google.
Security Command Center
Security Command Center
Previne e detecta ameaças em máquinas virtuais, redes, aplicativos e armazenamento em um local e toma as medidas necessárias antes que elas causem danos ou perdas.
Proteção de Dados Sensíveis (incluindo Cloud Data Loss Prevention)
Proteção de Dados Sensíveis (incluindo Cloud Data Loss Prevention)
Oferece classificações e encobrimentos rápidos e escalonáveis de elementos de dados sensíveis, como nomes, números de cartões de crédito, credenciais do Google Cloud e muito mais.
VPC Service Controls
VPC Service Controls
Mantém a privacidade dos dados confidenciais ao definir um perímetro de segurança ao redor dos recursos do GCP, como buckets do Cloud Storage, instâncias do Bigtable e conjuntos de dados do BigQuery.
Ofertas relacionadas
SOC 1O Google Cloud é submetido a uma auditoria regular conduzida por terceiros para certificar produtos individuais de acordo com os padrões SOC 2.
SOC 3O Google Cloud e o Google Workspace são submetidos a uma auditoria regular conduzida por terceiros para certificar produtos individuais de acordo com os padrões SOC 3.
Vá além
Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos do programa Sempre gratuito.
Conheça práticas recomendadas de segurança
Confira nossas práticas recomendadasResolva problemas comuns
Confira vídeos de casos de uso de segurançaTrabalhe com um parceiro
Conheça nossos parceiros de segurança
