Seguridad de Google Cloud Platform

Google Cloud Platform cumple con rigurosas normas de privacidad y cumplimiento que ponen a prueba la seguridad y la privacidad de los datos.

Auditorías independientes de infraestructura, servicios y operaciones

Nuestros clientes y reguladores esperan una verificación independiente de los controles de seguridad, privacidad y cumplimiento. Google se somete a diversas auditorías independientes de terceros de manera regular para proporcionar esta seguridad. Esto significa que un auditor independiente ha examinado los controles que existen en nuestros centros de datos, infraestructura y operaciones. Google realiza auditorías anuales para las siguientes normas:

  • SSAE16/ISAE 3402 Tipo II:
  • ISO 27001, una de las normas de seguridad independientes más reconocidas y aceptadas internacionalmente. Google obtuvo la certificación ISO 27001 para los sistemas, aplicaciones, personas, tecnología, procesos y centros de datos que suministran Google Cloud Platform. Encontrarás nuestro Certificado ISO 27001 aquí. Google también obtuvo la certificación ISO 27001 para su infraestructura común compartida. Encontrarás el Certificado ISO 27001 para la infraestructura común aquí.
  • ISO 27017, Cloud Security: esta es una norma internacional de práctica para los controles de seguridad de la información basada en ISO/IEC 27002 específicamente para los servicios en nube. Nuestro Certificado ISO 27017 está aquí.
  • ISO 27018, Cloud Privacy: esta es una norma internacional de práctica para la protección de información de identificación personal (PII) en servicios públicos de nube. Nuestro Certificado ISO 27018 está aquí.
  • FedRAMP ATO para Google App Engine
  • PCI DSS v3.2

El enfoque de la realización de auditorías de terceros de Google está diseñado para proporcionar garantías del nivel de seguridad de la información de Google con respecto a confidencialidad, integridad y disponibilidad. Los clientes pueden utilizar las auditorías de terceros para evaluar de qué manera los productos de Google satisfacen sus necesidades de cumplimiento y procesamiento de datos.

HIPAA

Google Cloud Platform también admite clientes cubiertos por HIPAA mediante la participación en un Acuerdo de socio comercial (BAA). El BAA de Cloud Platform actualmente abarca Compute Engine, Cloud Storage, Cloud SQL para MySQL, Cloud Dataproc, Genomics, BigQuery, Container Engine, Container Registry, Cloud Dataflow, Cloud Bigtable, Pub/Sub de Cloud, la API de Cloud Translation, la API de Cloud Speech, Stackdriver Logging, Stackdriver Error Reporting, Cloud Datalab, Google Cloud Machine Learning, la API de Cloud Natural Language y la API de Cloud Data Loss Prevention. Obtén más información sobre el cumplimiento de la HIPAA.

CSA STAR

Google Cloud completó la autoevaluación STAR de Cloud Security Alliance (CSA). Más información aquí.

Google Cloud Platform y la Directiva de protección de datos de la UE

Como parte de los rigurosos estándares de privacidad y cumplimiento de Google y de nuestro compromiso con los clientes, Google Inc. tiene la certificación del Marco de trabajo del Escudo de la privacidad entre la UE y los EE.UU. y el Escudo de la privacidad entre Suiza y los EE.UU. Además, Google ofrece a los clientes de Cloud Platform cláusulas de contratos con modelo de la UE como una manera de cumplir con los requisitos de idoneidad y seguridad de la Directiva de protección de datos de la UE. Las autoridades de protección de datos de la Unión Europea concluyeron que las cláusulas contractuales modelo de Google cumplen con las expectativas regulatorias de la UE y confirman que los servicios de Google Cloud proporcionan compromisos suficientes para enmarcar los flujos de datos internacionales desde Europa hacia el resto del mundo. Para conocer más detalles sobre la aprobación de Google Cloud por el Grupo de trabajo del artículo 29, consulta las decisiones correspondientes para G Suite y Google Cloud Platform. Obtén más información sobre la Protección de datos de la UE.

Protección de información personal y los datos de Mi número (Japón)

El Gobierno japonés emite un número único para cada residente de Japón (doméstico y extranjero). Este número, que también se conoce como el número de seguridad social o de contribuyente, está protegido por la ley sobre "Mi número".

La responsabilidad de proteger la información personal y los datos de "Mi número" reside en nuestros clientes cuando usan Google Cloud Platform. Los productos de Google Cloud Platform cuentan con los certificados ISO 27001 e ISO 27018. Estas son certificaciones internacionales relacionadas con las prácticas de protección de la información (como información personal y los datos de “Mi número”) y contiene medidas de control de acceso apropiadas.

FISC (Japón)

FISC (Center for Financial Industry Information Systems) es una fundación de interés público incorporada, cuya tarea es conducir investigaciones relacionadas con la tecnología, el uso, el control y la amenaza y defensa de la información financiera en Japón. Uno de los documentos clave creados por la organización se titula "Lineamientos de seguridad del FISC para el uso de sistemas informáticos en la banca y otras instituciones financieras relacionadas". Este documento describe los controles que se deben implementar en relación con las instalaciones, las operaciones y la infraestructura técnica.

Google preparó una guía para ayudar a sus clientes a entender la manera en que el entorno de control de Google se alinea con los lineamientos del FISC. La mayoría de los controles descritos en nuestra guía forman parte de los programas de cumplimiento auditados por terceros, que incluyen las certificaciones ISO 27001, ISO 27017 e ISO 27108. Consulta nuestra repuesta a los controles del FISC:

Lineamientos sobre las recomendaciones de la MPAA

La Asociación Cinematográfica de los Estados Unidos (MPAA) creó una guía de recomendaciones para proveedores de servicios en la nube. Bajo un modelo de seguridad compartida, los clientes de Google Cloud Platform pueden configurar sus servicios de nube de manera que se consideren estas recomendaciones. Aunque no se trata de una certificación formal, los aspectos de control de estos lineamientos coinciden estrechamente con los programas principales de cumplimento auditados por terceros de Google, que incluyen las certificaciones ISO 27001, ISO 27017, ISO 27108 y CSA STAR. Este documento detalla los controles de la MPAA que Google Cloud Platform implementa. Google contrata a un auditor externo para validar estos controles periódicamente.

Preguntas frecuentes

Respuestas a tus preguntas frecuentes

Ver las preguntas frecuentes

Informe de seguridad

Lee más acerca del enfoque de Google sobre la seguridad

Ver el informe

Comunícate con nosotros

Habla con un miembro del equipo de Cloud Platform sobre seguridad

Comunícate con nosotros