Segurança do Google Cloud Platform

O Google Cloud Platform atende a rigorosos padrões de compliance e privacidade que testam a proteção, privacidade e segurança dos dados.

Auditorias independentes de infraestrutura, serviços e operações

Nossos clientes e regulamentadores esperam a realização de verificações independentes dos controles de proteção, privacidade e compliance. O Google passa por várias auditorias independentes e terceirizadas para oferecer essa garantia. Isso significa que um auditor independente examinou os controles existentes nos centros de dados, nas infraestruturas e operações. O Google passa por auditorias anuais que cobrem as seguintes normas:

  • SSAE16/ISAE 3402 Tipo II:
  • ISO 27001, uma das normas de segurança independentes mais reconhecidas e aceitas em todo o mundo. O Google recebeu a certificação ISO 27001 para sistemas, aplicativos, equipe, tecnologia, processos e data centers a serviço do Google Cloud Platform. Você pode conferir a certificação ISO 27001 concedida ao Google Cloud Platform aqui. Também recebemos a certificação ISO 27001 para a nossa infraestrutura comum compartilhada. Confira a certificação ISO 27001 para a infraestrutura comum aqui.
  • ISO 27017 - Segurança de nuvem. Esta é uma norma internacional de prática para controles de segurança de informações baseada na ISO/IEC 27002, especificamente para serviços de nuvem. Confira nossa certificação ISO 27017 aqui.
  • ISO 27018 - Privacidade de nuvem. Esta é uma norma internacional de prática para proteção de informações de identificação pessoal (PII, na sigla em inglês) em serviços de nuvem pública. Confira nossa certificação ISO 27018 aqui.
  • FedRamp ATO para o Google App Engine
  • PCI DSS v3.2

A abordagem da auditoria de terceiros realizada no Google é abrangente para oferecer garantias sobre o nível de segurança das informações do Google em termos de confidencialidade, integridade e disponibilidade. Os clientes podem usar essas auditorias de terceiros para avaliar de que modo os produtos do Google atendem às suas necessidades de compliance e processamento de dados.

HIPAA

O Google Cloud Platform também oferecerá suporte a clientes com cobertura da HIPAA por meio da adesão ao Contrato de parceria comercial (BAA). Atualmente, o BAA do Cloud Platform cobre: Compute Engine, Cloud Storage, Cloud SQL para MySQL, Cloud SQL para PostgreSQL, Cloud Dataproc, Genomics, BigQuery, Kubernetes Engine, Container Registry, Cloud Dataflow, Cloud Bigtable, Cloud Pub/Sub, Cloud Translation API, Cloud Speech API, Stackdriver Logging, Stackdriver Error Reporting, Stackdriver Trace, Stackdriver Debugger, Cloud Datalab, Cloud Machine Learning Engine, Cloud Natural Language, Cloud Data Loss Prevention API, Cloud Vision API, Google App Engine, Cloud Load Balancing, Cloud VPN e Cloud Spanner. Saiba mais sobre compliance com a HIPAA.

CSA STAR

O Google Cloud concluiu a autoavaliação do Cloud Security Alliance (CSA) STAR. Saiba mais aqui.

Certificação MTCS Nível 3 (Cingapura)

O Singapore Multi-Tier Cloud Security Standard (MTCS SS 584) é uma certificação de segurança em nuvem, gerenciada pela Singapore Info-comm Media Development Authority (IMDA). Essa certificação tem três níveis criados para certificar os provedores de serviços de nuvem em várias categorias de segurança operacional. Dentre todos eles, o Nível 3 tem os requisitos mais rigorosos. Após a avaliação, que incluiu uma auditoria feita por um órgão de certificação MTCS independente, 114 serviços do Google Cloud e 20 sites de data center receberam a certificação Nível 3. O escopo dos serviços incluídos na certificação destaca o compromisso contínuo do Google Cloud para garantir controles operacionais e de segurança em todos os três modelos de serviços: Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) e Software-as-a-Service (SaaS). Faça o download do certificado neste link.

O Google Cloud Platform e a Diretiva de proteção de dados da UE

Como parte dos rigorosos padrões de privacidade e compliance do Google e do compromisso com os nossos clientes, a Google Inc. está certificada sob os programas Privacy Shield Framework para UE-EUA e Privacy Shield Framework para Suíça-EUA. Além disso, o Google oferece aos clientes do Cloud Platform cláusulas de contrato no modelo da UE como uma forma de atender aos requisitos de adequação e segurança da Diretiva de Proteção de Dados da UE. As autoridades de proteção de dados da União Europeia concluíram que as cláusulas do modelo de contrato do Google estão em conformidade com as expectativas regulatórias da UE. Isso confirma que os serviços do Google Cloud oferecem compromissos suficientes para atender aos fluxos de dados internacionais da Europa para o resto do mundo. Para mais informações sobre a aprovação do Google Cloud pelo Grupo de Trabalho do Artigo 29, consulte as respectivas decisões para o G Suite e para o Google Cloud Platform. Saiba mais sobre a Proteção de Dados da UE.

Google Cloud Platform e G Suite atendem aos requisitos da NIST 800-171

A publicação especial 800-171 do Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês) foi lançada em junho de 2015. O foco é a proteção da confidencialidade de informações não classificadas controladas (CUI, na sigla em inglês) em sistemas de informação e organizações não governamentais. O documento também define os requisitos de segurança para alcançar esse objetivo. Os controles de segurança da NIST 800-171 podem ser mapeados diretamente para a NIST 800-53. O mapeamento dos controles está disponível na página D-2 da publicação NIST.SP.800-171.

Os serviços abaixo foram submetidos à avaliação independente de uma empresa externa que confirmou que os serviços operam em compliance com os controles da NIST 800-53 no escopo da FedRAMP, que inclui todos os controles necessários descritos na NIST 800-171. O atestado pode ser encontrado neste link.

A lista de serviços cobertos inclui os seguintes itens:

  • Edições do G Suite: G Suite Basic, G Suite Business, G Suite for Education, G Suite Enterprise, G Suite para organizações sem fins lucrativos e G Suite para agências governamentais.
  • Serviços do G Suite: Gmail (inclusive Talk), Hangouts, Hangouts Chat, Hangouts Meet, Agenda, Drive, Documentos, Planilhas, Apresentações, Formulários, Desenhos, Vault, Sites, Grupos do Google, Contatos, Sala de aula, Cloud Search, Keep, Admin Console, Cloud Identity, App Maker, gerenciamento de dispositivos Chrome e Android e ChromeSync.
  • Serviços do Google Cloud Platform: App Engine, BigQuery, Cloud Datastore, Cloud Storage, Cloud Console, Genomics, Cloud Dataflow, Cloud Dataproc, Cloud Pub/Sub, Cloud Datalab, Compute Engine, Kubernetes Engine, Container Registry, Ambiente flexível do App Engine, Cloud Functions, Cloud SQL, Cloud Bigtable, Cloud Spanner, Plataforma de aprendizado de máquina, Cloud Jobs API, Natural Language API, Speech API, Translation API, Vision API, Cloud Video Intelligence API, Cloud CDN (content delivery network), Cloud DNS (serviço de nome de domínio), Cloud Load Balancing, Cloud Virtual Network Core, Stackdriver Logging, Stackdriver Error Reporting, Stackdriver Trace, Stackdriver Debugger, Deployment Manager, Cloud Endpoints, Cloud Shell, Cloud Mobile App, Cloud Billing API, Cloud SDK, Container Builder, Cloud Source Repositories, DLP API, Cloud Identity-Aware Proxy, Cloud Resource Manager, Cloud Security Scanner, Cloud Key Management Service, Google Service Control (Chemist), Cloud Launcher, Cloud IAM.

Google Cloud Platform e G Suite atendem aos requisitos da NIST 800-53

A quarta revisão da publicação especial 800-53 do Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês) foi lançada em abril de 2013. Essa publicação foi desenvolvida pelo NIST para promover as próprias responsabilidades legais nos termos da Lei Federal de Gestão da Segurança da Informação (FISMA), Direito Público (PL) 107-347. O NIST é responsável por desenvolver padrões e diretrizes de segurança da informação, incluindo requisitos mínimos para os sistemas federais da informação. Esses padrões e diretrizes não se aplicam aos sistemas de segurança nacional sem a aprovação explícita das autoridades federais responsáveis com controle sobre políticas de tais sistemas.

Os serviços abaixo foram submetidos à avaliação independente de uma empresa terceira que confirmou que os serviços operam em compliance com os controles da NIST 800-53. O atestado pode ser encontrado neste link.

A lista de serviços cobertos inclui os seguintes itens:

  • Edições do G Suite: G Suite Basic, G Suite Business, G Suite for Education, G Suite Enterprise, G Suite para organizações sem fins lucrativos e G Suite para agências governamentais.
  • Serviços do G Suite: Gmail (inclusive Talk), Hangouts, Hangouts Chat, Hangouts Meet, Agenda, Drive, Documentos, Planilhas, Apresentações, Formulários, Desenhos, Vault, Sites, Grupos do Google, Contatos, Sala de aula, Cloud Search, Keep, Admin Console, Cloud Identity, App Maker, gerenciamento de dispositivos Chrome e Android e ChromeSync.
  • Serviços do Google Cloud Platform: App Engine, BigQuery, Cloud Datastore, Cloud Storage, Cloud Console, Genomics, Cloud Dataflow, Cloud Dataproc, Cloud Pub/Sub, Cloud Datalab, Compute Engine, Kubernetes Engine, Container Registry, Ambiente flexível do App Engine, Cloud Functions, Cloud SQL, Cloud Bigtable, Cloud Spanner, Plataforma de aprendizado de máquina, Cloud Jobs API, Natural Language API, Speech API, Translation API, Vision API, Cloud Video Intelligence API, Cloud CDN (content delivery network), Cloud DNS (serviço de nome de domínio), Cloud Load Balancing, Cloud Virtual Network Core, Stackdriver Logging, Stackdriver Error Reporting, Stackdriver Trace, Stackdriver Debugger, Deployment Manager, Cloud Endpoints, Cloud Shell, Cloud Mobile App, Cloud Billing API, Cloud SDK, Container Builder, Cloud Source Repositories, DLP API, Cloud Identity-Aware Proxy, Cloud Resource Manager, Cloud Security Scanner, Cloud Key Management Service, Google Service Control (Chemist), Cloud Launcher, Cloud IAM.

Proteção de informações pessoais e dados do My Number (Japão)

O governo japonês emite um número exclusivo para cada residente (natural ou estrangeiro) do país. A emissão desse número, também conhecido como número de seguridade social ou identificação fiscal, é regulada pela "Lei do My Number".

Nossos clientes têm a responsabilidade de proteger as informações pessoais e os dados do My Number quando usam o Google Cloud Platform. Os produtos do Google Cloud Platform têm certificação ISO 27001 e ISO 27018. As duas são certificações internacionais relativas a práticas para a proteção de informações (como informações pessoais e dados do My Number), incluindo as medidas adequadas para o controle de acesso.

FISC (Japão)

O Center for Financial Industry Information Systems (FISC) é uma fundação de interesse público que realiza pesquisas relacionadas a tecnologia, uso, controle e defesa de ameaças para os sistemas de informações financeiras do Japão. Um dos principais documentos criados por essa organização é o "FISC Security Guidelines on Computer Systems for Banking and Related Financial Institutions" (Diretrizes de segurança do FISC para sistemas computacionais de instituições bancárias e financeiras relacionadas). Esse documento descreve os controles para instalações, operações e infraestruturas técnicas.

O Google desenvolveu um guia para ajudar os clientes a entender como o nosso ambiente de controle está alinhado às diretrizes do FISC. A maioria dos controles descritos no nosso guia faz parte dos nossos programas de compliance auditados por terceiros, incluindo as certificações ISO 27001, ISO 27017 e ISO 27108. Veja a nossa resposta aos controles do FISC:

Diretrizes de práticas recomendadas da MPAA

A Motion Picture Association of America (MPAA) criou um documento de diretrizes de práticas recomendadas para provedores de nuvem. De acordo com um modelo de segurança compartilhado, os clientes que usam o Google Cloud Platform podem configurar os próprios serviços de nuvem para serem compatíveis com essas práticas recomendadas. Embora não seja uma certificação formal, os aspectos relacionados ao controle das diretrizes estão estreitamente alinhados com os principais programas de compliance do Google auditados por terceiros, incluindo as certificações ISO 27001, ISO 27017, ISO 27108 e CSA STAR. Este documento traz mais detalhes sobre os controles da MPAA adotados pelo Google Cloud Platform. O Google contrata auditores externos para validar esses controles regularmente.

Lei Sarbanes-Oxley (SOX)

Como parte dos requisitos da SOX, todas as empresas públicas dos EUA são responsáveis por estabelecer e monitorar controles internos, incluindo os mantidos por terceiros, como por exemplo um fornecedor de serviço de nuvem. Portanto, se um cliente de nuvem (em potencial) for uma empresa que é pública dos EUA ou que planeja se tornar pública, ela deverá refletir sobre como o uso de um fornecedor de nuvem impactará os controles de geração de relatórios financeiros.

Se um cliente processa informações contábeis ou financeiras no Google Cloud Platform, a gerência do cliente pode determinar que alguns dos serviços do Google Cloud Platform estão no escopo das obrigações da empresa com relação à SOX. A decisão sobre a aplicabilidade da SOX sobre o Google Cloud Platform é da gerência do cliente. Se o cliente solicita informações sobre controles de produtos específicos do GCP, nós encaminhamos o relatório de controle da organização de serviço (SOC, na sigla em inglês) do Google Cloud Platform número 1, tipo II. Esse relatório inclui descrições do Google sobre os sistemas e controles do GCP, além de um parecer de auditor independente sobre os seguintes pontos: a precisão da descrição da gerência, a adequação dos controles descritos para cumprir os objetivos declarados e a eficácia desses controles no cumprimento desses objetivos.

Princípios de privacidade australianos

A Lei de privacidade australiana de 1988 (Lei de privacidade), que inclui os Princípios de privacidade australianos (APPs, na sigla em inglês), regula a forma como entidades de APP coletam, usam e gerenciam informações pessoais e confidenciais.

Tendo em conta que os clientes são responsáveis por assegurar o cumprimento das respectivas obrigações de acordo com a Lei de privacidade (incluindo os APPs), este artigo os ajuda a compreender como a informação é armazenada, processada, mantida, acessada e protegida no Google Cloud durante o uso do Google Cloud Platform e do G Suite.

Padrões da Autoridade de Regulação Prudencial Australiana (APRA)

Na Austrália, o setor de serviços financeiros é regulamentado pela Australian Prudential Regulation Authority (Autoridade de Regulação Prudencial Australiana ou APRA, na sigla em inglês). A missão da APRA é estabelecer e aplicar os padrões prudenciais criados para garantir que, em todas as circunstâncias razoáveis, as promessas financeiras feitas pelas instituições supervisionadas sejam cumpridas dentro de um sistema financeiro estável, eficiente e competitivo. Os padrões prudenciais CPS 231, CPG 234 e CPG 235 são três desses guias de padrões e boas práticas que orientam a terceirização, o gerenciamento de risco em segurança da informação e tecnologia da informação, além do gerenciamento de risco dos dados, respectivamente.

Produzimos dois artigos recentemente em resposta aos três padrões prudenciais mencionados acima. O primeiro artigo contém informações gerais para instituições financeiras que pretendem usar os serviços do Google Cloud, referindo-se especificamente ao padrão prudencial CPS 231 da APRA. No segundo artigo, que destaca a resposta do Google Cloud aos padrões CPG 234 e CPG 235 da APRA, mapeamos os controles e processos do GCP e G Suite destacados no nosso relatório Service Organization Control 2 (SOC 2) Tipo II para definir as diretrizes de segurança e controles citados nos padrões CPG 234 e CPG 235 da APRA. O mapeamento foi criado para oferecer um formato mais resumido dos controles de compliance do Google Cloud que correspondem aos requisitos específicos da APRA. Os clientes podem entrar em contato com a equipe de vendas do Cloud para acessar esse mapeamento de controle.

Esquema Nacional de Segurança (Espanha)

A certificação do Esquema Nacional de Seguridad (Esquema Nacional de Segurança ou ENS, na sigla em espanhol) foi desenvolvida pela ENAC em estreita parceria com o Ministério das Finanças e Administração Pública e o Centro Criptológico Nacional (CCN). A ENS foi estabelecida como parte do decreto real 3/2010. Esse decreto e a respectiva alteração publicada por meio do decreto real 951/2015 servem para estabelecer os princípios e requisitos que protegem adequadamente as informações para entidades do setor público. O Google Cloud (GCP e G Suite) atendeu a todos os requisitos para cumprir as exigências de alto nível da ENS e dos decretos reais 3/2010 e 951/2015.

Resposta às vulnerabilidades da CPU

Veja informações sobre Spectre e Meltdown

Saiba mais

Perguntas frequentes

Respostas para perguntas frequentes

Ver perguntas frequentes

Artigo sobre segurança

Leia mais sobre a abordagem do Google em relação à segurança

Ver artigo

Entre em contato

Fale sobre segurança com um membro da equipe do Cloud Platform

Entre em contato