Descripción general de la seguridad en Google

Este contenido se actualizó por última vez en julio de 2024 y representa el statu quo en el momento de su redacción. Es posible que cambien las políticas y los sistemas de seguridad de Google de ahora en adelante, ya que mejoramos la protección de nuestros clientes de forma continua.

Descargar la versión en PDF

Introducción

Las empresas solían usar la nube pública para ahorrar costos, experimentar con nueva tecnología y proporcionar capacidad de crecimiento. Cada vez más empresas usan la nube pública para resguardar su seguridad, y notan que los proveedores de servicios en la nube pueden invertir más que las empresas en tecnología, personas y procesos para brindar una infraestructura más segura.

Como innovadores de la nube, Google comprende la seguridad en ella. Nuestros servicios en la nube están diseñados para ofrecer más seguridad que muchos enfoques locales. Nuestra prioridad en las operaciones que prestan servicios a usuarios de todo el mundo es la seguridad.

La seguridad es lo que impulsa la estructura organizativa, la cultura, las prioridades de capacitación y los procesos de contratación. Define el diseño de nuestros centros de datos y la tecnología que alojan. Es fundamental para las operaciones cotidianas y la planificación ante desastres, incluida la manera en la que abordamos las amenazas. y se ve priorizada en la forma en que manejamos los datos del cliente, los controles de la cuenta, las auditorías de cumplimiento y las certificaciones.

En este documento, describimos nuestro enfoque sobre seguridad, privacidad y cumplimiento de Google Cloud, que se compone de nuestro conjunto de productos y servicios en la nube pública. El documento se centra en los controles físicos, administrativos y técnicos que implementamos para ayudar a proteger tus datos.

Cultura enfocada en la privacidad y seguridad de Google

La cultura de Google hace hincapié en la importancia de proteger el gran volumen de información que pertenece a nuestros clientes. Esta cultura influye en los procesos de contratación y la integración de empleados. Avanzamos y refuerzamos los lineamientos y las tecnologías de protección de datos a través de capacitaciones y eventos continuos enfocados en la seguridad y la privacidad.

Nuestro equipo de seguridad dedicado

El equipo exclusivo para la seguridad incluye a algunos de los mejores expertos en laseguridad de la información, la seguridad de aplicaciones, la criptografía y la seguridad de redes. Este equipo mantiene nuestros sistemas de defensa, desarrolla procesos de revisión de seguridad, crea una infraestructura segura e implementa las políticas de seguridad. Además, realiza análisis de manera activa en busca de vulnerabilidades de seguridad, a través de herramientas comerciales y personalizadas. El equipo también realiza pruebas de penetración y ejecuta controles de calidad y seguridad.

Los miembros del equipo de seguridad revisan los planes de seguridad para nuestras redes y servicios, y proporcionan servicios de asesoría específicos de los proyectos a nuestros equipos de ingeniería y producto. Por ejemplo, nuestros ingenieros de criptografía revisan los lanzamientos de productos que incluyen implementaciones de criptografía. El equipo de seguridad supervisa la actividad sospechosa en nuestras redes y aborda las amenazas a la seguridad de la información según sea necesario. También realiza evaluaciones y auditorías de seguridad de rutina, que pueden incluir a expertos externos para que realicen evaluaciones de seguridad de forma habitual.

Colaboración con la comunidad de investigadores de seguridad

Hace tiempo que tenemos una relación estrecha con la comunidad de investigación de seguridad, por lo que valoramos mucho su ayuda para identificar posibles vulnerabilidades en Google Cloud y otros productos. Nuestros equipos de seguridad participan en actividades de investigación y alcance que benefician a la comunidad en línea. Por ejemplo, ejecutamos Project Zero, que es un equipo de investigadores de seguridad enfocado en investigar las vulnerabilidades de cero días. Algunos ejemplos de esta investigación son el descubrimiento del exploit Spectre, el exploit Meltdown, el el exploit POODLE SSL 3.0 y la debilidad del conjunto de algoritmos de cifrado.

Los investigadores y los ingenieros de seguridad de Google participan y publican contenido de forma activa en la comunidad para la seguridad académica y la investigación de privacidad. También organizan y participan en proyectos de código abierto y conferencias académicas. Los equipos de seguridad de Google publicaron una cuenta detallada de nuestras prácticas y experiencia en el libro Compila sistemas seguros y confiables.

Nuestro Programa de recompensas por detección de vulnerabilidades ofrece recompensas de decenas de miles de dólares por cada vulnerabilidad confirmada. El programa incentiva a los investigadores a informar sobre problemas en el diseño y la implementación que podrían poner en riesgo los datos de los clientes. En 2023, otorgamos a los investigadores más de 10 millones de dólares en dinero. Para ayudar a mejorar la seguridad del código abierto, el Programa de recompensas por detección de vulnerabilidades también proporciona una variedad de iniciativas a los investigadores. Para obtener más información sobre este programa, incluidas las recompensas que otorgamos, consulta Estadísticas clave de búsqueda de errores.

Nuestros criptógrafos de clase mundial participan en proyectos criptográficos líderes del sector. Por ejemplo, diseñamos el framework de IA segura (SAIF) para ayudar a proteger los sistemas de IA. Además, para proteger las conexiones de TLS contra ataques informáticos cuánticos, desarrollamos el algoritmo combinado de curva elíptica y poscuántica (CECPQ2). Nuestros criptógrafos desarrollaron Tink, que es una biblioteca de código abierto de APIs criptográficas. También usamos Tink en nuestros productos y servicios internos.

Para obtener más información sobre cómo informar problemas de seguridad, consulta Cómo Google maneja las vulnerabilidades de seguridad.

Capacitación interna sobre seguridad y privacidad

Todos los empleados de Google reciben capacitaciones sobre seguridad y privacidad como parte del proceso de orientación, y reciben capacitación constante sobre seguridad y privacidad durante su carrera profesional en Google. Durante la orientación, los empleados nuevos aceptan el código de conducta, que destaca nuestro compromiso con la preservación y la protección de los datos del cliente.

Según su puesto, es posible que los empleados deban realizar capacitaciones adicionales sobre aspectos específicos relacionados con la seguridad. Por ejemplo, el equipo de seguridad de la información instruye a los ingenieros nuevos sobre las prácticas seguras de codificación, el diseño de productos y las herramientas automatizadas de prueba de vulnerabilidad. Los ingenieros reciben resúmenes de noticias relacionadas con la seguridad de forma habitual y boletines informativos sobre amenazas, patrones de ataque y técnicas de mitigación nuevos, entre otros aspectos.

La seguridad y la privacidad son áreas en constante crecimiento, y reconocemos que la participación dedicada de los empleados es un medio clave para la concientización. Realizamos conferencias internas periódicas que están disponibles para todos los empleados a fin de fomentar la concientización y la innovación en seguridad y privacidad de datos. Organizamos eventos en oficinas de todo el mundo para concientizar sobre la seguridad y la privacidad en el desarrollo de software, el manejo de datos y la aplicación de políticas.

Equipo de privacidad dedicado

Nuestro equipo exclusivo de privacidad admite iniciativas de privacidad interna que ayudan a mejorar los procesos críticos, las herramientas internas, los productos y la infraestructura de la privacidad. El equipo de privacidad opera por separado de las organizaciones de seguridad y desarrollo de productos. Participan en los lanzamientos de productos de Google mediante la revisión de la documentación de diseño y del código para garantizar que se cumplan los requisitos de privacidad. El equipo ayuda a lanzar productos que incorporan estándares de privacidad sólidos en torno a la recopilación de datos del usuario.

Nuestros productos están diseñados para proporcionar a los usuarios y administradores opciones de configuración de privacidad significativas. Luego del lanzamiento de los productos, el equipo de privacidad supervisa los procesos automatizados en curso para verificar que los datos recopilados por los productos se usen de forma adecuada. Además, el equipo de privacidad realiza investigaciones sobre las prácticas recomendadas relacionadas con la privacidad para las tecnologías emergentes. Para comprender cómo nos comprometemos a preservar la privacidad de los datos de los usuarios y cumplir con las leyes y reglamentaciones de privacidad aplicables, consulta nuestro compromiso con el cumplimiento de las leyes de protección de datos. Para obtener más información, consulta el Centro de recursos de privacidad.

Especialistas en auditoría interna y cumplimiento

Contamos con un equipo dedicado de auditoría interna que revisa el cumplimiento de las leyes y normativas de seguridad de nuestros productos en todo el mundo. A medida que se crean estándares nuevos de auditoría y se actualizan los existentes, el equipo de auditoría interno determina los controles, procesos y sistemas necesarios para cumplirlos. Este equipo admite auditorías y evaluaciones independientes de terceros. Para obtener más información, consulta Compatibilidad con los requisitos de cumplimiento más adelante en este documento.

Seguridad operativa

La seguridad es un componente integral de nuestras operaciones en la nube, no es una ocurrencia tardía. En esta sección, se describen nuestros programas de administración de vulnerabilidades, el programa de prevención de software malicioso, la supervisión de seguridad y los programas de administración de incidentes.

Administración de vulnerabilidades

Nuestro proceso interno de administración de vulnerabilidades busca de manera activa amenazas de seguridad en todas las pilas tecnológicas. En este proceso, se usa una combinación de herramientas internas, comerciales, de código abierto, y con propósitos específicos, e incluye lo siguiente:

  • Procesos de control de calidad
  • Revisiones de seguridad del software
  • Pruebas intensivas de penetración manuales y automatizadas, incluidos ejercicios extensos de Red Team
  • Auditorías externas

La organización de administración de vulnerabilidades y sus socios son responsables de realizar el seguimiento de las vulnerabilidades. Dado que la seguridad solo mejora después de que se abordan los problemas en su totalidad, las canalizaciones de automatización vuelven a evaluar de forma continua el estado de la implementación de parches para mitigar las vulnerabilidades y marcar cualquier implementación incorrecta o parcial.

Para ayudar a mejorar las capacidades de detección, la organización de administración de vulnerabilidades se centra en indicadores de alta calidad que separan el ruido de los indicadores que indican amenazas reales. La organización también fomenta la interacción con la industria y la comunidad de código abierto. Por ejemplo, ejecutan un Programa de recompensas por parches para el análisis de seguridad de red de Tunami, que recompensa a los desarrolladores que crean detectores de código abierto en busca de vulnerabilidades.

Para obtener más información sobre las vulnerabilidades que mitigamos, consulta los boletines de seguridad de Google Cloud.

Prevención contra el software malicioso

Google mantiene protecciones contra software malicioso para nuestros productos principales (como Gmail, Google Drive, Google Chrome, YouTube, Google Ads y la Búsqueda de Google) que usan diversas técnicas de detección de software malicioso. Para descubrir archivos de software malicioso de forma proactiva, usamos el rastreo web, la detonación de archivos, la detección estática personalizada, la detección dinámica y la detección de aprendizaje automático. También usamos varios motores de antivirus.

Para proteger a nuestros empleados, usamos las funciones de seguridad avanzadas integradas de Chrome Enterprise Premium y la función de Navegación segura mejorada en Google Chrome. Estas capacidades permiten la detección proactiva de sitios de phishing y software malicioso mientras nuestros empleados navegan por la Web. También habilitamos la configuración de seguridad más rigurosa disponible en Google Workspace, como Gmail Security Sandbox, para analizar de forma proactiva los archivos adjuntos sospechosos. Los registros de estas capacidades se incorporan a nuestros sistemas de supervisión de seguridad, como se describe en la siguiente sección.

Supervisión de la seguridad

Nuestro programa de supervisión de seguridad se centra en la información que recopilamos del tráfico de red interno, las acciones de los empleados en los sistemas y del conocimiento externo sobre vulnerabilidades. Un principio central de Google es agregar y almacenar los datos de telemetría de seguridad en una ubicación para unificar el análisis de seguridad.

En varios puntos de nuestra red mundial, se inspecciona el tráfico interno en busca de comportamientos sospechosos, como la presencia de tráfico que podría indicar conexiones botnet. Utilizamos una combinación de herramientas de código abierto y de uso comercial para capturar y analizar el tráfico a fin de realizar este análisis. Un sistema de correlación propio creado sobre nuestra tecnología también admite este análisis. Complementamos el análisis de la red mediante la examinación de los registros del sistema para identificar comportamiento inusual, como intentos para acceder a datos de clientes.

Nuestros ingenieros en seguridad revisan los informes de seguridad entrantes y supervisan las listas de distribución públicas, las entradas de blog y los wikis. El análisis de red y el análisis automatizado de los registros del sistema ayudan a determinar cuándo puede existir una amenaza desconocida. Si los procesos automatizados detectan un problema, lo escalan a nuestro personal de seguridad.

Administración de incidentes

Contamos con un proceso de administración de incidentes riguroso para los eventos de seguridad que podrían afectar la confidencialidad, integridad o disponibilidad de los sistemas o datos. Nuestro programa de administración de incidentes de seguridad se alinea con la orientación del NIST sobre el control de incidentes (NIST SP 800–61). Los miembros clave de nuestro personal están capacitados para analizar intrusiones y manejar evidencia a fin de prepararse para un evento, incluido el uso de herramientas propias y de terceros.

Probamos los planes de respuesta ante incidentes para las áreas clave, como los sistemas que almacenan los datos del cliente. Estas pruebas consideran varias situaciones, incluidas las amenazas internas y las vulnerabilidades de software. El equipo de seguridad de Google está disponible las 24 horas, todos los días, para todos los empleados, con el objetivo de asegurar una resolución rápida de los incidentes de seguridad. Si un incidente afecta tus datos, Google o sus socios te informarán y nuestro equipo lo investigará. Para obtener más información sobre nuestro proceso de respuesta ante incidentes de datos, consulta Proceso de respuesta a incidentes de datos.

Tecnología con un enfoque central en la seguridad

Google Cloud se ejecuta en una plataforma de tecnología diseñada y construida para operar de forma segura. Somos una empresa innovadora en tecnologías de hardware, software, red y administración de sistemas. Diseñamos nuestros servidores, nuestro sistema operativo propio y nuestros centros de datos distribuidos de manera geográfica. Mediante el principio de defensa en profundidad, creamos una infraestructura de TI que es más segura y fácil de administrar que la mayoría de las tecnologías tradicionales.

Centros de datos de última generación

Nuestro enfoque en la seguridad y la protección de datos se encuentra entre los criterios de diseño principales. La seguridad física en los centros de datos de Google es un modelo de seguridad en capas. La seguridad física incluye protecciones como tarjetas de acceso electrónicas personalizadas, alarmas, barreras de acceso para vehículos, cercas perimetrales, detectores de metales y sistemas biométricos. Además, para detectar y rastrear intrusos, usamos medidas de seguridad, como la detección de intrusiones con rayos láser y supervisión las 24 horas, todos los días, mediante cámaras de alta resolución de interiores y exteriores. En caso de que ocurra un incidente, se pueden revisar los registros de acceso, los de actividad y las grabaciones de las cámaras. Los guardias de seguridad experimentados, que se sometieron a rigurosas investigaciones de antecedentes y recibieron capacitaciones, patrullan nuestros centros de datos de forma rutinaria. Cuanto más te acercas al piso del centro de datos, más aumenta la seguridad. Solo se puede acceder al centro de datos a través de un pasillo de seguridad en el que se implementan controles de acceso de varios factores, con credenciales de seguridad y datos biométricos. Solo los empleados autorizados con funciones específicas pueden ingresar. Muy pocos empleados de Google obtendrán acceso a uno de nuestros centros de datos.

Dentro de nuestros centros de datos, empleamos controles de seguridad en el espacio físico-lógico, definido como "la longitud de un brazo desde una máquina en un bastidor hasta el entorno de ejecución de la máquina". Estos controles incluyen el endurecimiento del hardware, el control de acceso basado en tareas, la detección de eventos anómalos y la autodefensa del sistema. Para obtener más información, consulta Cómo Google protege el espacio físico-lógico en un centro de datos.

La energía que impulsa nuestros centros de datos

Para mantener el funcionamiento las 24 horas, todos los días y proporcionar servicios sin interrupciones, nuestros centros de datos tienen sistemas de alimentación redundantes y controles de entorno. Cada componente fundamental tiene una fuente de alimentación principal y una alternativa, ambas con igual potencia. Los generadores de respaldo pueden proporcionar suficiente energía eléctrica en caso de emergencia, para que cada centro de datos funcione a máxima capacidad. Los sistemas de enfriamiento mantienen una temperatura de funcionamiento constante en los servidores y en otros tipos de hardware, lo que reduce el riesgo de interrupciones del servicio, a la vez que minimiza el impacto ambiental. El equipo de detección y extinción de incendios ayuda a evitar daños en el hardware. Los detectores de calor, detectores de incendios y detectores de humo activan alarmas de sonido y visuales en las consolas de operaciones de seguridad y en los puestos de supervisión remotos.

Somos la primera empresa importante de servicios de Internet en obtener una certificación externa por los altos estándares en la administración de entornos, seguridad laboral y energía en nuestros centros de datos. Por ejemplo, a fin de demostrar nuestro compromiso con las prácticas de administración de energía, obtuvimos las certificaciones voluntarias ISO 50001 para nuestros centros de datos en Europa. Para obtener más información sobre cómo reducimos nuestro impacto ambiental en Google Cloud, consulta Eficiencia.

Hardware y software de servidores personalizados

Nuestros centros de datos tienen servidores y equipos de red diseñados para propósitos específicos, algunos de los cuales diseñamos por nuestra cuenta. Si bien personalizamos nuestros servidores para maximizar el rendimiento, el enfriamiento y la eficiencia energética, también los diseñamos a fin de protegerlos contra los ataques de intrusión física. A diferencia de la mayoría del hardware disponible comercialmente, nuestros servidores no incluyen componentes innecesarios como tarjetas de video, chipsets o conectores periféricos, los cuales pueden dar lugar a vulnerabilidades. Evaluamos a los distribuidores de componentes y seleccionamos los componentes cuidadosamente, trabajando con proveedores para auditar y validar las propiedades de seguridad que estos proporcionan. Diseñamos chips personalizados, como Titan, que nos permiten identificar y autenticar de forma segura los dispositivos legítimos de Google en el nivel de hardware, incluido el código que usan estos dispositivos para el inicio.

Los recursos del servidor se asignan de forma dinámica. Esta asignación dinámica nos brinda flexibilidad para el crecimiento y permite que nos adaptemos con rapidez y eficiencia a la demanda del cliente mediante la adición o reasignación de recursos. Este entorno se mantiene mediante un software propio que supervisa los sistemas de forma continua para detectar modificaciones binarias. Nuestros mecanismos automatizados de autorecuperación están diseñados para permitirnos supervisar y solucionar eventos desestabilizadores, recibir notificaciones sobre incidentes y ralentizar los posibles riesgos para la red.

Seguimiento y eliminación del hardware

Realizamos un seguimiento meticuloso de la ubicación y el estado de los equipos dentro de los centros de datos mediante códigos de barras y etiquetas de elementos. Implementamos detectores de metales y cámaras de seguridad para garantizar que no se extraiga ningún equipo del piso del centro de datos sin autorización. Si un componente no pasa una prueba de cumplimiento en cualquier momento de su ciclo de vida, se quita del inventario y se da de baja.

Nuestros dispositivos de almacenamiento, incluidos los discos duros, las unidades de estado sólido y los módulos de memoria en línea (DIMMs) no volátiles, usan tecnologías como la encriptación de disco completo (FDE) y el bloqueo de la unidad para proteger los datos en reposo. Cuando se retira un dispositivo de almacenamiento, las personas autorizadas verifican que el dispositivo esté limpio. También realizan un proceso de verificación en varios pasos para asegurarse de que el dispositivo no contenga datos. Si un dispositivo no se puede borrar por algún motivo, se destruye físicamente. La destrucción física se realiza con una trituradora que rompe el dispositivo en pequeños pedazos, que luego se reciclan en una instalación segura. Cada centro de datos cumple con políticas de eliminación estrictas y cualquier desviación se atiende de manera inmediata. Para obtener más información, consulta Eliminación de datos en Google Cloud.

Prácticas de desarrollo de software

Buscamos limitar de forma proactiva las oportunidades de que se ingresen vulnerabilidades mediante protecciones de control de código fuente y revisiones de dos partes. También proporcionamos bibliotecas para evitar que los desarrolladores incorporen ciertas clases de errores de seguridad. Por ejemplo, tenemos bibliotecas y marcos de trabajo diseñados para eliminar vulnerabilidades de XSS en aplicaciones web. También tenemos herramientas automatizadas para detectar los errores de seguridad, incluidas las pruebas de fuzzing, las herramientas de análisis estático y los escáneres de seguridad web.

Para obtener más información, consulta Desarrollo de software seguro.

Controles de seguridad clave

Los servicios de Google Cloud están diseñados para ofrecer más seguridad que muchas soluciones locales. En esta sección, se describen los controles de seguridad principales que usamos para proteger tus datos.

Encriptación

Esta agrega una capa de defensa que permite proteger datos. La encriptación garantiza que, en caso de que un atacante acceda a tus datos, no pueda leerlos sin tener también acceso a las claves de encriptación. Incluso si un atacante obtiene acceso a tus datos (por ejemplo, si accede a la conexión cable entre centros de datos o roba un dispositivo de almacenamiento), no podrá leerlos ni desencriptarlos.

La encriptación proporciona un mecanismo importante que ayuda a proteger la privacidad de tus datos. Permite a los sistemas manipular los datos (por ejemplo, para la creación de copias de seguridad), y los ingenieros pueden mantener nuestra infraestructura sin proporcionar acceso al contenido a esos sistemas o empleados.

Protege datos en reposo

De forma predeterminada, Google Cloud usa varias capas de encriptación para proteger los datos del usuario que se almacenan en los centros de datos de producción de Google. La encriptación se aplica en la capa de aplicación, la capa del dispositivo de almacenamiento o ambas.

Para obtener más información sobre la encriptación en reposo, incluida la administración de claves de encriptación y el almacén de claves, consulta Encriptación en reposo en Google Cloud.

Seguridad de los datos en tránsito

A medida que viajan por Internet o dentro de las redes, los datos pueden ser vulnerables a sufrir acceso no autorizado. El tráfico entre tus dispositivos y Google Front End (GFE) se encripta con protocolos de encriptación potentes, como TLS.

Para obtener más información, consulta Encriptación en tránsito en Google Cloud.

Integridad de la cadena de suministro de software

La integridad de la cadena de software garantiza que se verifiquen el código y los objetos binarios subyacentes para los servicios que procesan tus datos y que se aprueben las pruebas de certificación. En Google Cloud, desarrollamos autorización binaria para Borg (BAB) a fin de revisar y autorizar el software de producción que implementamos. BAB ayuda a garantizar que solo el código autorizado pueda procesar tus datos. Además de BAB, usamos chips de seguridad de hardware (llamados Titan) que implementamos en servidores, dispositivos y periféricos. Estos chips ofrecen funciones de seguridad principales, como almacenamiento de claves seguro, raíz de confianza y autoridad firmada.

A fin de proteger la cadena de suministro de software, puedes implementar la autorización binaria para aplicar las políticas antes de implementar el código. Para obtener información sobre cómo proteger la cadena de suministro, consulta SLSA.

Protege datos en uso

Google Cloud admite la encriptación de datos para datos en uso con Confidential Computing. Confidential Computing proporciona aislamiento y certificación de hardware con un entorno de ejecución confiable (TEE). Confidential Computing protege las cargas de trabajo mediante el aislamiento criptográfico, lo que ayuda a garantizar la confidencialidad en un entorno de nube multiusuario. Este tipo de entorno criptográficamente aislado ayuda a evitar el acceso no autorizado o las modificaciones a las aplicaciones y los datos mientras las aplicaciones y datos están en uso. El TEE proporciona certificaciones verificables de forma independiente que certifican el estado del sistema y la ejecución de código. Confidential Computing puede ser una buena opción para las organizaciones que administran datos sensibles y regulados, y que necesitan garantías de seguridad y privacidad comprobables.

Beneficios de seguridad de nuestra red global

En otros servicios en la nube y soluciones locales, los datos de los clientes viajan entre dispositivos a través de la Internet pública en rutas conocidas como saltos. La cantidad de saltos dependerá de la ruta óptima entre el ISP del cliente y el centro de datos. Cada salto adicional ofrece una oportunidad nueva para atacar los datos o interceptarlos. Debido a que nuestra red global está vinculada a la mayoría de los ISP del mundo, limita los saltos en la Internet pública y, por lo tanto, ayuda a restringe el acceso a esos datos por parte de personas malintencionadas.

Nuestra red usa varias capas de defensa (defensa en profundidad) para ayudar a proteger la red contra ataques externos. Solo se les permite atravesarla a los servicios y protocolos autorizados que cumplen con nuestros requisitos de seguridad, cualquier otro intento se elimina automáticamente. Para aplicar la separación de redes, usamos firewalls y listas de control de acceso. El tráfico se enruta a través de servidores de GFE para ayudar a detectar y detener solicitudes maliciosas y ataques de denegación de servicio distribuido (DDoS). Los registros se evalúan de manera rutinaria en busca de cualquier explotación de errores de programación. El acceso a los dispositivos de red está restringido solo a los empleados autorizados.

Nuestra infraestructura global nos permite ejecutar Project Shield. Project Shield brinda protección ilimitada y gratuita a los sitios web vulnerables a ataques DDoS que se usan para censurar la información. Project Shield está disponible para sitios web de noticias, sitios web de derechos humanos y la supervisión de elecciones.

Soluciones con baja latencia y alta disponibilidad

Nuestra red de datos IP es de nuestra propia fibra, que está disponible de forma pública y como cables submarinos. Esta red nos permite entregar servicios de baja latencia con alta disponibilidad en todo el mundo.

Diseñamos los componentes de nuestra plataforma para que sean altamente redundantes. Esta redundancia se aplica al diseño de nuestro servidor, a la manera en que almacenamos los datos, a la conectividad de Internet y de la red y a los servicios de software. Dicha “redundancia en todo” incluye el manejo de excepciones y crea una solución que no depende de un solo servidor, centro de datos o conexión de red.

Nuestros centros de datos están distribuidos geográficamente para minimizar los efectos de las interrupciones regionales en los productos globales, como en el caso de desastres naturales y suspensiones de servicio locales. Si falla el hardware, el software o una red, los servicios de la plataforma y los planes de control se cambian de forma automática y rápida de una instalación a otra para que los servicios de la plataforma puedan continuar sin interrupción.

Nuestra infraestructura altamente redundante también te ayuda a proteger tu empresa contra la pérdida de datos. Puedes crear e implementar recursos de Google Cloud en varias regiones y zonas para compilar sistemas resilientes y de alta disponibilidad. Nuestros sistemas están diseñados para minimizar el tiempo de inactividad o los períodos de mantenimiento cuando necesitamos proporcionar un servicio o actualizar nuestra plataforma. Para obtener más información sobre cómo Google Cloud genera resiliencia y disponibilidad en su infraestructura y servicios principales, desde el diseño a través de las operaciones, consulta la guía de confiabilidad de la infraestructura de Google Cloud.

Disponibilidad del servicio de Google Cloud

Algunos servicios de Google Cloud no están disponibles en todas las ubicaciones geográficas. Algunas interrupciones del servicio son temporales (debido a un evento inesperado, como una interrupción de la red), pero otras limitaciones son permanentes debido a restricciones impuestas por el Gobierno. Nuestro Informe de transparencia y el panel de estado completos muestran interrupciones en el tráfico recientes y en curso, así como la disponibilidad de los servicios de Google Cloud. Proporcionamos estos datos para ayudarte a analizar y comprender la disponibilidad de los servicios.

Restricciones y acceso a los datos

En esta sección, se describe cómo restringimos el acceso a los datos y cómo respondemos a las solicitudes de datos de las agencias de orden público.

Uso de datos

Los datos que almacenas en nuestros sistemas son tuyos. No analizamos tus datos con fines publicitarios, no los vendemos a terceros ni los usamos para entrenar nuestros modelos de IA sin tu permiso. En el Anexo de Procesamiento de Datos de Cloud de Google Cloud, se describe nuestro compromiso con la protección de tus datos. En ese documento, se establece que no procesaremos datos con otro propósito que no sea para cumplir con las obligaciones contractuales. Si decides dejar de usar nuestros servicios, proporcionamos herramientas que te permiten llevarte tus datos, sin penalizaciones ni costos adicionales. Para obtener más información sobre nuestros compromisos con Google Cloud, consulta nuestros principios de confianza.

Acceso de administrador para empleados de Google

Nuestra infraestructura está diseñada para aislar de forma lógica los datos de cada cliente de los datos de otros clientes y usuarios, incluso cuando se almacenan en el mismo servidor físico. Solo un grupo pequeño de nuestros empleados cuenta con acceso a estos datos. Los derechos y niveles de acceso se basan en el puesto y la función de un empleado, y se les asignan los privilegios mínimos y la información básica necesarios para que cumplan con sus responsabilidades. Solo se les otorga un conjunto limitado de permisos predeterminados para acceder a los recursos de la empresa, como el correo electrónico del empleado y el portal interno del empleado de Google. Las solicitudes de acceso adicional deben seguir un proceso formal que incluya una solicitud y la aprobación del propietario de los datos o del sistema, del administrador o de otros ejecutivos, ya que así lo dictan nuestras políticas de seguridad.

Las herramientas de flujo de trabajo administran las aprobaciones, para mantener registros de auditoría sobre todos los cambios. Estas herramientas controlan tanto la modificación de la configuración de la autorización como el proceso de aprobación, para garantizar que las políticas de aprobación se apliquen de forma coherente. La configuración de autorización de un empleado se utiliza para controlar el acceso a los recursos, incluidos los datos y sistemas de los productos de Google Cloud. Los servicios de asistencia solo se proporcionan a los administradores autorizados por el cliente. Nuestros equipos de seguridad dedicados, los de privacidad y los de auditoría interna supervisan y auditan el acceso de los empleados, y te proporcionamos registros de auditoría a través de la Transparencia de acceso para Google Cloud. Además, cuando habilitas la aprobación de acceso, nuestro personal de asistencia e ingenieros requieren de tu aprobación explícita para acceder a tus datos.

Solicitudes de datos del orden público

Como propietario de los datos, eres el principal responsable de responder a las solicitudes de datos del orden público. Sin embargo, al igual que muchas empresas de tecnología, recibimos solicitudes directas de gobiernos y tribunales para divulgar información del cliente. Google cuenta con políticas y procedimientos operativos y otras medidas de organización para proteger contra las solicitudes ilegales o excesivas de datos del usuario que realizan las autoridades públicas. Cuando recibimos esa clase de solicitud, nuestro equipo la revisa para asegurarse de que satisfaga los requisitos legales y las políticas de Google. En términos generales, para cumplir con la solicitud, esta se debe realizar por escrito, emitir en virtud de una ley apropiada y estar firmada por un funcionario autorizado de la agencia que la realiza.

Creemos que el público merece saber hasta qué punto el Gobierno solicita información de nuestra parte. Nos convertimos en la primera empresa en publicar con regularidad informes sobre las solicitudes gubernamentales de datos. Puedes encontrar información detallada sobre las solicitudes de datos y nuestra respuesta en nuestro Informe de transparencia. Nuestra política es notificarte sobre las solicitudes de tus datos, a menos que esté prohibido por ley o por una orden judicial. Si deseas obtener más información, consulta Solicitudes gubernamentales de datos de clientes de Cloud.

Proveedores de terceros

Para la mayoría de las actividades de procesamiento de datos, proporcionamos los servicios en nuestra propia infraestructura. Sin embargo, podemos contratar a algunos proveedores externos para que brinden servicios relacionados con Google Cloud, como asistencia técnica y de clientes. Antes de incorporar un proveedor, evaluamos sus prácticas de seguridad y privacidad. Mediante esta evaluación, se verifica si el proveedor proporciona un nivel de seguridad y privacidad que sea adecuado para su acceso a los datos y para el alcance de los servicios que se comprometen a proporcionar. Después de evaluar los riesgos que presenta el proveedor de terceros, se le solicita que acepte los términos apropiados del contrato de seguridad, confidencialidad y privacidad.

Para obtener más información, consulta el Código de conducta del proveedor.

Asistencia para los requisitos de cumplimiento

Google Cloud se somete a verificaciones independientes periódicas de los controles de seguridad, privacidad y cumplimiento, y recibe informes de auditoría y certificaciones para demostrar que cumple. La seguridad de la información incluye controles específicos relacionados con la privacidad de los datos del cliente que ayudan a mantenerlos seguros.

Algunos de los estándares internacionales clave que se auditan son los siguientes:

Además, los informes de SOC 2 y SOC 3 están disponibles para nuestros clientes.

También participamos en marcos de trabajo específicos del sector y del país, como FedRAMP (Gobierno de EE.UU.), BSI C5 (Alemania) y MTCS (Singapur). Proporcionamos documentos y asignaciones de recursos para ciertos marcos de trabajo en los que es posible que no se requieran o no se puedan aplicar certificaciones formales.

Si operas en industrias reguladas, como finanzas, gubernamental, salud o educación, Google Cloud proporciona productos y servicios que te ayudan a cumplir con numerosos requisitos específicos de la industria. Por ejemplo, si debes cumplir con los siguientes requisitos: Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS), consulta Cumplimiento de las Normas de seguridad de datos de la PCI para obtener información sobre cómo implementar sus requisitos en Google Cloud.

Para obtener una lista completa de nuestras ofertas de cumplimiento, consulta el Centro de recursos de cumplimiento.

Administración y seguro de riesgos

Contamos con un programa de seguros sólido para muchos tipos de riesgos, incluida la cobertura de seguros de responsabilidad cibernética y de privacidad. Estas políticas incluyen cobertura para Google Cloud en eventos como el uso no autorizado o el acceso de nuestra red, acciones regulatorias cuando no es seguro; la falta de protección adecuada de la información confidencial, los costos de las notificaciones y los costos de administración de emergencias, incluida la investigación forense.

Productos y servicios de seguridad de Google Cloud

La seguridad es una responsabilidad compartida. Por lo general, eres responsable de proteger lo que subes a la nube, mientras que nosotros nos encargamos de proteger la nube. Por lo tanto, eres el responsable de la seguridad de tus datos y nosotros de la infraestructura subyacente. En la siguiente imagen, se visualiza esta relación como el modelo de responsabilidad compartida, que describe las responsabilidades que tenemos y que tienes en Google Cloud.

Responsabilidades de seguridad para proveedores y clientes de la nube.

En la capa de la infraestructura como servicio (IaaS), solo nuestro hardware, almacenamiento y red son nuestra responsabilidad. En la capa del software como servicio (SaaS), la seguridad de todo, excepto los datos, y su acceso y uso, son nuestra responsabilidad.

Google Cloud ofrece una variedad de servicios de seguridad que puedes aprovechar para proteger tu entorno de nube a gran escala. Para obtener más información, consulta Productos de identidad y seguridad en Google Cloud. También puedes encontrar más información en nuestro centro de prácticas recomendadas para la seguridad.

Conclusión

La protección de tus datos es una de las principales consideraciones de diseño para nuestras infraestructuras, productos y operaciones. Nuestra escala de operaciones y colaboración con la comunidad de investigadores de seguridad nos permiten abordar las vulnerabilidades con rapidez y, a menudo, evitarlas por completo. Ejecutamos nuestros propios servicios, como Búsqueda, YouTube y Gmail, en la misma infraestructura que ponemos a disposición de nuestros clientes, que se benefician directamente de nuestros controles y prácticas de seguridad.

Ofrecemos un nivel de protección que pueden coincidir con pocos proveedores de servicios en la nube pública o equipos de empresas privadas de TI. Debido a que la protección de datos es un aspecto fundamental de nuestro negocio, realizamos enormes inversiones en seguridad, recursos y especialistas a un nivel que el resto no puede lograr. Nuestra inversión permite que te enfoques en tu negocio y en la innovación. Nuestros compromisos sólidos contractuales te ayudan a mantener el control de tus datos y la forma en que se procesan. No usamos tus datos para fines publicitarios o de otro tipo que no sean para proporcionar servicios de Google Cloud.

Muchas organizaciones innovadoras nos confían su recurso más valioso: sus datos. Seguiremos invirtiendo en la seguridad de los servicios de Google Cloud para permitir que aproveches nuestros servicios de una manera segura y transparente.

¿Qué sigue?