Segurança do Google Cloud Platform

O Google Cloud Platform atende a rigorosos padrões de conformidade e privacidade que testam a proteção, privacidade e segurança dos dados.

Auditorias independentes de infraestrutura, serviços e operações

Nossos clientes e regulamentadores esperam a realização de verificações independentes dos controles de proteção, privacidade e conformidade. O Google passa regularmente por várias auditorias independentes e terceirizadas para oferecer essa garantia. Isso significa que um auditor independente examinou os controles existentes nos centros de dados, nas infraestruturas e operações. O Google passa por auditorias anuais que cobrem as seguintes normas:

  • SSAE16/ISAE 3402 Tipo II:
  • ISO 27001, uma das normas de segurança independentes mais reconhecidas e aceitas em todo o mundo. O Google recebeu a certificação ISO 27001 para sistemas, aplicativos, equipe, tecnologia, processos e data centers a serviço do Google Cloud Platform. Você pode conferir a certificação ISO 27001 concedida ao Google Cloud Platform aqui. Também recebemos a certificação ISO 27001 para a nossa infraestrutura comum compartilhada. Confira a certificação ISO 27001 para a infraestrutura comum aqui.
  • ISO 27017 - Segurança de nuvem. Esta é uma norma internacional de prática para controles de segurança de informações baseada na ISO/IEC 27002, especificamente para serviços de nuvem. Confira nossa certificação ISO 27017 aqui.
  • ISO 27018 - Privacidade de nuvem. Esta é uma norma internacional de prática para proteção de informações de identificação pessoal (PII, na sigla em inglês) em serviços de nuvem pública. Confira nossa certificação ISO 27018 aqui.
  • FedRamp ATO para o Google App Engine
  • PCI DSS v3.2

A abordagem da auditoria de terceiros realizada no Google é abrangente para oferecer garantias sobre o nível de segurança das informações do Google em relação à confidencialidade, integridade e disponibilidade. Os clientes podem usar essas auditorias de terceiros para avaliar de que modo os produtos do Google atendem às suas necessidades de conformidade e processamento de dados.

HIPAA

O Google Cloud Platform também oferecerá suporte a clientes com cobertura da HIPAA por meio da adesão ao Contrato de associado comercial. No momento, o BAA do Cloud Platform cobre: Compute Engine, Cloud Storage, Cloud SQL para MySQL, Cloud SQL para PostgreSQL, Cloud Dataproc, Genomics, BigQuery, Container Engine, Container Registry, Cloud Dataflow, Cloud Bigtable, Cloud Pub/Sub, Cloud Translation API, Cloud Speech API, Stackdriver Logging, Stackdriver Error Reporting, Stackdriver Trace, Cloud Datalab, Cloud Machine Learning Engine, Cloud Natural Language API, Cloud Data Loss Prevention API e Cloud Vision API. Saiba mais sobre a conformidade com a HIPAA.

CSA STAR

O Google Cloud concluiu a autoavaliação do Cloud Security Alliance (CSA) STAR. Saiba mais aqui.

Certificação MTCS Nível 3 (Cingapura)

O Singapore Multi-Tier Cloud Security Standard (MTCS SS 584) é uma certificação de segurança em nuvem, gerenciada pela Singapore Info-comm Media Development Authority (IMDA). Essa certificação tem três níveis criados para certificar os provedores de serviços de nuvem em várias categorias de segurança operacional. Dentre todos eles, o Nível 3 tem os requisitos mais rigorosos. Após a avaliação, que incluiu uma auditoria feita por um órgão de certificação MTCS independente, 114 serviços do Google Cloud e 20 sites de data center receberam a certificação Nível 3. O escopo dos serviços incluídos na certificação destaca o compromisso contínuo do Google Cloud para garantir controles operacionais e de segurança em todos os três modelos de serviços: Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) e Software-as-a-Service (SaaS). Faça o download do certificado neste link.

O Google Cloud Platform e a Diretiva de proteção de dados da UE

Como parte dos rigorosos padrões de privacidade e conformidade do Google e do compromisso com os nossos clientes, a Google Inc. está certificada sob os programas Privacy Shield Framework para UE-EUA e Privacy Shield Framework para Suíça-EUA. Além disso, o Google oferece aos clientes do Cloud Platform cláusulas de contrato no modelo da UE como uma forma de atender aos requisitos de adequação e segurança da Diretiva de Proteção de Dados da UE. As autoridades de proteção de dados da União Europeia concluíram que as cláusulas do modelo de contrato do Google estão em conformidade com as expectativas regulatórias da UE. Isso confirma que os serviços do Google Cloud oferecem compromissos suficientes para atender aos fluxos de dados internacionais da Europa para o resto do mundo. Para mais informações sobre a aprovação do Google Cloud pelo Grupo de Trabalho do Artigo 29, consulte as respectivas decisões para o G Suite e para o Google Cloud Platform. Saiba mais sobre a Proteção de Dados da UE.

Proteção de informações pessoais e dados do My Number (Japão)

O governo japonês emite um número exclusivo para cada residente (natural ou estrangeiro) do país. A emissão desse número, também conhecido como número de seguridade social ou identificação fiscal, é regulada pela "Lei do My Number".

Nossos clientes têm a responsabilidade de proteger as informações pessoais e os dados do My Number quando usam o Google Cloud Platform. Os produtos do Google Cloud Platform têm certificação ISO 27001 e ISO 27018. As duas são certificações internacionais relativas a práticas para a proteção de informações (como informações pessoais e dados do My Number), incluindo as medidas adequadas para o controle de acesso.

FISC (Japão)

O Center for Financial Industry Information Systems (FISC) é uma fundação de interesse público que realiza pesquisas relacionadas a tecnologia, uso, controle e defesa de ameaças para os sistemas de informações financeiras do Japão. Um dos principais documentos criados por essa organização é o "FISC Security Guidelines on Computer Systems for Banking and Related Financial Institutions" (Diretrizes de segurança do FISC para sistemas computacionais de instituições bancárias e financeiras relacionadas). Esse documento descreve os controles para instalações, operações e infraestruturas técnicas.

O Google desenvolveu um guia para ajudar os clientes a entender como o nosso ambiente de controle está alinhado às diretrizes do FISC. A maioria dos controles descritos no nosso guia faz parte dos nossos programas de compliance auditados por terceiros, incluindo as certificações ISO 27001, ISO 27017 e ISO 27108. Veja a nossa resposta aos controles do FISC:

Diretrizes de práticas recomendadas da MPAA

A Motion Picture Association of America (MPAA) criou um documento de diretrizes de práticas recomendadas para provedores de nuvem. De acordo com um modelo de segurança compartilhado, os clientes que usam o Google Cloud Platform podem configurar os próprios serviços de nuvem para serem compatíveis com essas práticas recomendadas. Embora não seja uma certificação formal, os aspectos relacionados ao controle das diretrizes estão estreitamente alinhados com os principais programas de compliance do Google auditados por terceiros, incluindo as certificações ISO 27001, ISO 27017, ISO 27108 e CSA STAR. Este documento traz mais detalhes sobre os controles da MPAA adotados pelo Google Cloud Platform. O Google contrata regularmente auditores externos para validar esses controles.

Perguntas frequentes

Respostas para perguntas frequentes

Ver perguntas frequentes

Artigo sobre segurança

Leia mais sobre a abordagem do Google em relação à segurança

Ver artigo

Entre em contato

Fale sobre segurança com um membro da equipe do Cloud Platform

Entrar em contato conosco