我們已根據 GDPR 更新 Google Workspace 的《資料處理修訂條款》和 Google Cloud Platform 的《資料處理與安全性條款》,您是否已接受新版條款內容?如果您尚未接受修訂後的條款,請參閱這篇說明文章或觀看這部影片,以瞭解 Google Workspace 的相關操作指示。您也可以在這篇說明文章中找到 Google Cloud Platform 的相關操作說明。

法規遵循和認證

GDPR 的許多規定皆可對應至國際安全性與隱私權標準,以及產業架構的相關控制功能。
Google Cloud 會經過第三方單位的定期稽核,檢驗個別產品是否符合這項標準。透過我們的 SOC 2 報告,您可以清楚瞭解我們目前針對安全性、可用性、處理完整性,以及機密性或隱私權提供的各項控制功能,藉此評估 Google Cloud 是否適合成為您的雲端服務供應商。
Google Cloud 會經過第三方單位的定期稽核,檢驗個別產品是否符合 SOC 3 標準。透過我們的 SOC 3 報告,您可以全方位瞭解我們目前針對安全性、可用性、處理完整性,以及機密性或隱私權提供的各項控制功能。在您評估選擇 Google Cloud 負責處理資料的 GDPR 風險時,這份報告可做為快速參考指南。
CSA STAR 包含多項關於資訊公開、嚴格稽核和統合標準的重要原則。CSA STAR 可讓雲端供應商提交自我評估報告,記載旗下服務是否符合 CSA 發布的最佳做法。Google 的 CSA 自我評估報告可供您針對我們的服務進行評估,尤其是評估 GDPR 第 28 條規定的遵循情形。
Google Cloud Platform、我們的共用基礎架構Google Workspace 均已通過認證,確定符合 ISO/IEC 27001 標準。ISO/IEC 27001 概略定義及提供資訊安全管理系統的規範,同時還指定一組最佳做法,並詳細列出與資訊風險管理相關的安全管理機制。
ISO/IEC 27017:2015 針對佈建及使用雲端服務時適用的資訊安全管理機制提供相關規範,內容包括針對 ISO/IEC 27002 中指定的相關管理機制提供額外實作規範,以及特別針對雲端服務提供相關的額外管理機制和實作規範。
ISO/IEC 27018 與保護個人識別資訊 (PII) 相關,處理的是雲端服務最重要的面向之一:隱私權。這項標準以現行的 ISO/IEC 27002 控管規範為基礎,特別針對雲端隱私權制定額外項目,並就個人資料提供最新控管規範,詳列身為 PII 處理方的公開雲端服務供應商適用哪些安全控管規範。
如要進一步瞭解 Google 所有的標準、規範與認證,請參閱我們的法規遵循頁面