Informe sobre seguridad de Google

DESCARGAR VERSIÓN EN PDF

Introducción

Hasta ahora, las organizaciones siempre habían visto la nube pública como una forma de ahorrar en los costes y de aumentar la capacidad de los centros de datos privados. Sin embargo, en la actualidad, el panorama ha cambiado y las empresas recurren a la nube pública por la seguridad que ofrece, ya que se han dado cuenta de que los proveedores pueden invertir más en equipo humano y en procesos para conseguir una infraestructura segura.

Google es una empresa pionera en los servicios en la nube, y por eso comprende las implicaciones de seguridad de este modelo de nube. Nuestros servicios en la nube están diseñados para ofrecer más seguridad que muchas soluciones in situ tradicionales. La seguridad es una prioridad a la hora de proteger nuestras operaciones y, dado que Google se ejecuta en la misma infraestructura que ponemos a disposición de nuestros clientes, tu organización puede beneficiarse directamente de estas mismas medidas de protección. Por eso nos centramos en la seguridad, y la protección de datos está entre nuestros principales criterios de diseño. La seguridad impulsa no solo nuestra estructura organizativa, sino también nuestras prioridades de formación y nuestros procesos de contratación. Además, da forma a nuestros centros de datos y la tecnología que albergan. Es fundamental tanto para nuestras operaciones diarias como para planificar la recuperación tras fallos, incluida la forma en que abordamos las amenazas, y es una de nuestras prioridades a la hora de gestionar los datos de los clientes. La seguridad también es la piedra angular sobre la que se fundamentan nuestros controles de cuenta, nuestras auditorías de cumplimiento y las certificaciones que ofrecemos a nuestros clientes.

En esta publicación, describimos la filosofía de Google en materia de seguridad y cumplimiento para Google Cloud, nuestra plataforma de productos y servicios de nube pública. Abordamos minuciosamente cuestiones de seguridad, lo que incluye detalles sobre controles técnicos y organizativos relacionados con cómo protege Google tus datos. Consulta este enlace para obtener más información en materia de cumplimiento y sobre cómo cumplir los requisitos del reglamento.

La cultura de seguridad de Google

Google ha creado una cultura de seguridad dinámica e inclusiva para todos sus empleados. La influencia de esta cultura siempre es palpable: durante el proceso de contratación, cuando se incorporan los empleados, como parte de su formación continua y en los eventos para crear conciencia que se organizan en toda la empresa.

Comprobación de antecedentes de los empleados

Antes de unirse a nuestro personal, Google verifica la formación de cada candidato y los empleos anteriores que haya tenido, y contacta con sus referencias internas y externas. Siempre que la legislación laboral local o las regulaciones legales lo permitan, Google también puede llevar a cabo comprobaciones de seguridad, de antecedentes penales, del estado financiero y de inmigración. El alcance de estas comprobaciones de antecedentes depende del puesto deseado.

Formación en seguridad para todos los empleados

Todos los empleados de Google reciben formación en seguridad como parte del proceso de orientación y también de forma continua mientras trabajan en Google. Durante la orientación, los nuevos empleados aceptan nuestro código de conducta, donde se destaca nuestro compromiso de mantener la información del cliente segura y protegida. En función del puesto ejercido, puede ser necesaria formación adicional sobre aspectos de seguridad específicos. Por ejemplo, el equipo de seguridad de la información instruye a los nuevos ingenieros en ámbitos como prácticas de programación segura, diseño de productos y herramientas de pruebas de vulnerabilidad automatizadas. Los ingenieros también asisten a presentaciones técnicas sobre temas relacionados con la seguridad y reciben un boletín con información sobre nuevas amenazas, patrones de ataque y técnicas de mitigación, entre otros aspectos.

Eventos internos sobre privacidad y seguridad

En Google se llevan a cabo convenciones internas de forma habitual para favorecer la innovación en el campo de la seguridad y de la privacidad de los datos, así como para concienciar al respecto. Todos los empleados pueden disfrutar de estas conferencias. La seguridad y la privacidad son áreas en constante evolución, y Google sabe que el compromiso de los empleados es un factor clave para que haya conciencia con respecto a estos ámbitos. Un ejemplo de esto es la Semana de la Privacidad, durante la cual Google organiza eventos en oficinas de todo el mundo para concienciar sobre la privacidad en todas sus facetas, desde el desarrollo de software, la gestión de datos y la aplicación de políticas hasta la puesta en práctica de nuestros principios de privacidad. Google también suele organizar charlas sobre tecnología, donde se abordan temas que a menudo incluyen cuestiones de seguridad y de privacidad.

Nuestro equipo específico de seguridad

Google cuenta con profesionales de la seguridad y de la privacidad, que forman parte de nuestra división de ingeniería y operaciones de software. Nuestro equipo incluye a algunos de los principales expertos del mundo en seguridad de la información, de las aplicaciones y de la red. Estos profesionales se encargan de mantener los sistemas de defensa de la empresa, mediante el desarrollo de los procesos de revisión, la creación de la infraestructura de seguridad y la implementación de las políticas de Google de dicho ámbito. El equipo especializado en seguridad de Google analiza constantemente amenazas de este tipo a través de herramientas comerciales y personalizadas, pruebas de penetración, procesos de control de calidad y revisiones de seguridad del software.

Dentro de Google, el equipo de seguridad de la información revisa los planes de seguridad para todas las redes, sistemas y servicios. También proporciona servicios de asesoría de proyectos específicos para los equipos de productos e ingeniería de Google, supervisa la actividad sospechosa en las redes de Google, aborda las amenazas que afectan a la seguridad de la información, realiza revisiones y auditorías de seguridad periódicas y contrata a expertos externos para que lleven a cabo evaluaciones de seguridad habitualmente. De hecho, hemos creado un equipo a tiempo completo (Project Zero) con el objetivo de evitar ataques dirigidos. Para ello, informamos a los proveedores de software de los errores que encontramos y después los archivamos en una base de datos externa.

El equipo de seguridad también participa en actividades de investigación y divulgación para proteger a los usuarios de Internet en general, no solo a aquellos que eligen las soluciones de Google. Algunos resultados de esta investigación son el descubrimiento de POODLE, una vulnerabilidad que afecta a SSL 3.0, y de las debilidades del paquete de cifrado. Además, el equipo de seguridad publica documentos de investigación disponibles para todo el mundo y organiza proyectos de código abierto y convenciones académicas, en los que también participa.

Nuestro equipo específico de privacidad

El equipo de privacidad de Google actúa de forma independiente de las organizaciones de seguridad y de desarrollo de productos. No obstante, participa en todos los lanzamientos de productos de Google, ya que revisa la documentación del diseño y revisa el código para verificar que se cumplan los requisitos de privacidad. También ayuda a que se lancen productos que reflejen estándares de privacidad sólidos: es decir, que ofrezcan una recogida de datos de usuario transparente y opciones de configuración de privacidad eficaces para usuarios y administradores, y todo ello mientras seguimos gestionando de forma adecuada la información almacenada en nuestra plataforma. Tras lanzar los productos, el equipo de privacidad supervisa los procesos automatizados que elaboran auditorías sobre el tráfico de datos para verificar que el uso de datos es adecuado. Además, lleva a cabo una investigación que nos permite estar a la vanguardia de las prácticas recomendadas de privacidad para nuestras tecnologías emergentes.

Especialistas en auditoría interna y en cumplimiento

Google cuenta con un equipo específico de auditoría interna que revisa el cumplimiento de la legislación y de los reglamentos sobre seguridad de todo el mundo. Cuando se crean estándares de auditoría, el equipo de auditoría interna determina los controles, procesos y sistemas necesarios para cumplirlos. Este equipo facilita y ayuda a realizar las auditorías y evaluaciones independientes de terceros.

Colaboración con la comunidad de investigación sobre seguridad

Google mantiene, desde hace mucho tiempo, una estrecha relación con la comunidad que investiga cuestiones de seguridad y apreciamos su ayuda a la hora de identificar las vulnerabilidades de Google Cloud y de otros productos de Google. Nuestro programa Vulnerability Reward Program anima a los investigadores a informar sobre problemas de diseño e implementación que pueden poner en riesgo los datos de los clientes, y para ello ofrece recompensas de decenas de miles de dólares. Por ejemplo, en Chrome alertamos a los usuarios sobre el software malicioso y las suplantaciones de identidad, y ofrecemos recompensas a los usuarios que encuentren errores de seguridad.

Gracias a nuestra colaboración con la comunidad de investigación, hemos acabado con más de 700 errores de seguridad en Chrome y, por consiguiente, hemos pagado más de 1,25 millones de dólares en recompensas. En total, se han concedido más de 2 millones de dólares a través de distintos programas de recompensas de Google por la detección de vulnerabilidades. Agradecemos públicamente el esfuerzo de estas personas y las incluimos como colaboradores de nuestros productos y servicios.

Seguridad operativa

La seguridad no es algo en lo que pensemos de vez en cuando ni el tema de iniciativas ocasionales: es una parte esencial de nuestras operaciones.

Gestión de las vulnerabilidades

En Google, administramos un proceso de gestión de vulnerabilidades que busca constantemente amenazas de seguridad. Para ello, utilizamos herramientas de terceros disponibles en el mercado y diseñamos otras según nuestras necesidades; también empleamos estrategias intensivas de penetración manual y automatizada, procesos de control de calidad, revisiones de seguridad del software y auditorías externas. El equipo de gestión de vulnerabilidades se encarga del seguimiento y la supervisión de todo tipo de vulnerabilidades. Cuando se identifica alguna que requiere solución, se registra, se le otorga prioridad en función de la gravedad y se asigna a un propietario. El equipo lleva a cabo un seguimiento constante de las vulnerabilidades hasta poder verificar que los problemas se han solucionado. Google también se relaciona e interactúa con los miembros de la comunidad de investigación de seguridad para hacer un seguimiento de las incidencias notificadas en sus servicios y en las herramientas de código abierto. Si quieres consultar más información sobre cómo informar de este tipo de incidencias, ve al sitio web Seguridad para aplicaciones de Google.

Prevención del software malicioso

Un ataque eficaz de este tipo de programas puede poner en peligro la seguridad de las cuentas, robar datos y hasta obtener acceso adicional a una red. En Google, extremamos las precauciones ante este tipo de amenazas a nuestras redes y a nuestros clientes. Por ello, utilizamos distintos métodos para evitar, detectar y erradicar el software malicioso. Google ayuda a decenas de millones de usuarios cada día a protegerse frente a este tipo de problemas a través de advertencias en Google Chrome, Mozilla Firefox y Safari de Apple cuando intentan acceder a sitios web que podrían robarles su información personal o instalar un software diseñado para hacerse con el control de sus ordenadores. Los sitios web de software malicioso o los archivos adjuntos de los correos electrónicos pueden instalar este tipo de software en los dispositivos de los usuarios para robar información privada, realizar robos de identidad o atacar a otros ordenadores. Cuando los usuarios visitan estos sitios, el software que intenta hacerse con el control de su ordenador se descarga sin que lo sepan. La estrategia de Google contra el software malicioso comienza con la prevención de infecciones, gracias a análisis manuales y automatizados que exploran el índice de búsquedas de Google en busca de sitios web que puedan incluir software malicioso o estar destinados a la suplantación de identidad. Aproximadamente mil millones de usuarios utilizan Navegación Segura de Google de forma habitual. La tecnología Navegación Segura de Google examina miles de millones de URL cada día en busca de sitios web no seguros. A diario descubrimos miles de sitios de este tipo, muchos de los cuales son sitios web legítimos que han sufrido ataques. Cuando pasa esto, mostramos advertencias en la Búsqueda de Google y en los navegadores web. Además de nuestra solución Navegación Segura, Google ofrece VirusTotal, un servicio gratuito online que analiza archivos y URLs, lo que permite la identificación de virus, gusanos, troyanos y demás contenido malicioso que se puede detectar a través de los motores antivirus y de los análisis de sitios web. Los objetivos de VirusTotal son ayudar a mejorar el sector de los antivirus y la seguridad, y hacer de Internet un lugar más seguro gracias al desarrollo de herramientas y servicios gratuitos.

Google utiliza varios motores antivirus en Gmail, en Drive, en servidores y en estaciones de trabajo para ayudar a identificar el software malicioso que las firmas de antivirus pueden pasar por alto.

Supervisión

El programa de supervisión de seguridad de Google se centra en la información recogida del tráfico de la red interna, de las acciones que realizan los empleados en los sistemas y del conocimiento externo de las vulnerabilidades. El tráfico interno se supervisa en muchos puntos de nuestra red mundial para detectar posibles actividades sospechosas como, por ejemplo, la presencia de tráfico procedente de conexiones con redes de robots. Esto se lleva a cabo mediante una combinación de herramientas comerciales y de código abierto para capturar y analizar tráfico. Asimismo, Google utiliza un sistema de correlación respaldado por su propia tecnología para realizar este análisis. El análisis de la red se complementa mediante el examen de los registros del sistema para identificar comportamientos inusuales, como intentos de acceso a los datos de los clientes. Los ingenieros de seguridad de Google implementan alertas de búsqueda permanentes en los repositorios de datos públicos para detectar incidentes relacionados con la seguridad que puedan afectar a la infraestructura de la empresa. También revisan constantemente los informes de seguridad entrantes y supervisan las listas de distribución, las entradas de los blogs y las wikis públicas. El análisis automático de la red permite determinar cuándo puede existir una amenaza desconocida e informa de ello al personal de seguridad de Google. Además, se complementa con el análisis automático de los registros del sistema.

Gestión de incidentes

Contamos con un riguroso proceso de gestión de incidentes para actividades relacionadas con la seguridad que pueden afectar a la confidencialidad, la integridad o la disponibilidad de los sistemas o de los datos. Si ocurre un incidente, el equipo de seguridad lo registra y le asigna una prioridad en función de la gravedad que tenga. A los eventos que afectan directamente a la seguridad de los clientes se les atribuye la prioridad más alta. Este proceso especifica las medidas que deben adoptarse en cada caso, así como los procedimientos de notificación, derivación, mitigación y documentación. La estructura del programa de gestión de incidentes relacionados con la seguridad de Google se basa en las directrices para la resolución de incidentes que proporciona el NIST (el instituto nacional de normas y tecnología de Estados Unidos): NIST SP 800-61. Los miembros más importantes de este programa tienen formación en informática forense y en la gestión de pruebas para prepararse ante estos incidentes, lo que incluye el uso de herramientas tanto de Google como de terceros. En las áreas más importantes, por ejemplo, los sistemas que almacenan información sensible de los clientes, se llevan a cabo pruebas de los planes de respuesta ante incidentes. Estas pruebas abarcan una gran variedad de casos, incluidas las amenazas internas y las vulnerabilidades del software. Para que los incidentes de seguridad puedan resolverse lo antes posible, el equipo de seguridad de Google está disponible las 24 horas para todos los empleados. Si un incidente involucra datos de clientes, Google o sus partners se pondrán en contacto con ellos y colaborarán con las labores de investigación a través de su equipo de asistencia. En nuestro informe describimos el proceso completo de respuesta de Google ante incidentes relacionados con los datos.

Tecnología con seguridad como elemento fundamental

Google Cloud se ejecuta en una plataforma tecnológica que se ha concebido, diseñado y desarrollado para funcionar de forma segura. Google es una empresa innovadora en tecnologías de hardware, software, redes y gestión de sistemas. Nos encargamos de diseñar nuestros servidores, nuestro sistema operativo y nuestros centros de datos, que están distribuidos geográficamente. Al usar los principios de defensa reforzada, hemos creado una infraestructura de TI más segura y más fácil de gestionar que otras tecnologías tradicionales.

Centros de datos de última generación

La filosofía de Google en materia de seguridad y protección de datos se encuentra entre nuestros principales criterios de diseño. La seguridad física de los centros de datos de Google cuenta con un modelo de seguridad por capas que incluye medidas de protección como tarjetas de acceso electrónicas con un diseño personalizado, alarmas, barreras en los accesos para vehículos, cercado perimetral, detectores de metales y autenticación biométrica. Además, las plantas de los centros de datos están protegidas por un sistema de detección de intrusos con rayos láser. Nuestros centros de datos están vigilados las 24 horas con cámaras interiores y exteriores de alta resolución que detectan y siguen a los posibles intrusos. En caso de incidente, es posible consultar los registros de acceso, los informes de actividad y las imágenes de las cámaras. Además, los centros de datos disponen de guardias de seguridad experimentados que han superado rigurosas comprobaciones de antecedentes y han recibido la formación adecuada para patrullar las instalaciones de forma regular. A medida que te acercas a la planta del centro de datos, las medidas de seguridad aumentan. Solo es posible acceder a través de un pasillo de seguridad que cuenta con un control de acceso de múltiples factores mediante el uso de distintivos de seguridad y autenticación biométrica. Solo pueden entrar los empleados con funciones concretas que dispongan de la debida autorización. Menos del 1 % de los Googlers pisarán uno de nuestros centros de datos durante su paso por la empresa.

Energía para nuestros centros de datos

Para que todos los servicios estén en orden y funcionen las 24 horas, los centros de datos de Google cuentan con sistemas de alimentación redundantes y controles medioambientales. Los componentes más importantes disponen de una fuente de energía principal y de otra alternativa, ambas con la misma potencia. Los generadores de respaldo con motores diésel proporcionan suficiente energía eléctrica de emergencia para que todos los centros de datos funcionen a plena capacidad. Los sistemas de refrigeración preservan los servidores y otros tipos de hardware a una temperatura de funcionamiento constante, lo que reduce el riesgo de suspensión del servicio. Los equipos de detección y extinción de incendios ayudan a prevenir que el hardware sufra daños. Los detectores de calor, incendios y humo activan alarmas sonoras y visibles en las áreas afectadas, que aparecen en las consolas de operaciones de seguridad y en los servicios de supervisión remota.

Impacto medioambiental

En Google, diseñamos y construimos nuestras propias instalaciones para reducir el impacto ambiental que conlleva gestionar nuestros centros de datos. Instalamos controles de temperatura inteligentes, utilizamos técnicas de refrigeración gratuita, como el uso del aire exterior o de agua reutilizada para refrigerar, y rediseñamos la forma en que se distribuye la energía para que no se pierda de forma innecesaria. Para evaluar las mejoras, calculamos el rendimiento de cada instalación utilizando mediciones de eficiencia integrales. Somos la primera gran empresa de servicios de Internet que ha obtenido una certificación externa por nuestros elevados estándares en gestión energética, seguridad en el lugar de trabajo y cuidado del medioambiente en todos nuestros centros de datos. Concretamente, recibimos la certificación voluntaria ISO 50001 e incorporamos nuestros propios protocolos para superar los estándares.

Hardware y software personalizados para los servidores

Los centros de datos de Google albergan servidores y equipos de red personalizados, para fines específicos y eficientes en el consumo de energía, que diseñamos y fabricamos nosotros mismos. A diferencia de la mayoría del hardware disponible comercialmente, los servidores de Google no incluyen componentes innecesarios, como tarjetas de vídeo, conjuntos de chips o conectores periféricos, que pueden introducir vulnerabilidades. Nuestros servidores de producción ejecutan un sistema operativo (SO) de diseño personalizado basado en una versión simplificada y reforzada de Linux. Los servidores de Google y su sistema operativo están diseñados con el único propósito de proporcionar servicios de Google. Los recursos del servidor se asignan de forma dinámica, lo que proporciona flexibilidad para crecer y la capacidad de adaptarse de manera rápida y eficiente, al añadir o reasignar recursos en función de la demanda de los clientes. El mantenimiento de este entorno homogéneo se realiza mediante software de Google que supervisa constantemente los sistemas para detectar la presencia de modificaciones del código binario. Si se encuentra una modificación que difiere de la imagen de Google estándar, el sistema regresa automáticamente a su estado oficial. Estos mecanismos automatizados de resolución de incidentes se recuperan por sí solos y están diseñados para permitir que Google supervise y resuelva eventos desestabilizadores, reciba notificaciones de incidencias y ralentice las posibles amenazas para la red.

Seguimiento y eliminación de hardware

Google realiza un seguimiento meticuloso de la ubicación y el estado de todos los equipos dentro de nuestros centros de datos, desde la adquisición hasta la instalación, la retirada y la destrucción, mediante códigos de barras y etiquetas de recursos. Se han implementado detectores de metales y videovigilancia para que ningún equipo salga del centro de datos sin autorización. Si un componente no supera una prueba de rendimiento en algún momento de su ciclo de vida, se quita del inventario y se retira. Las unidades de disco duro de Google emplean tecnologías como el encriptado de disco completo (FDE) y el bloqueo de unidades para proteger los datos en reposo. Cuando se retira una unidad de disco duro, los usuarios autorizados se aseguran de que el disco se borre escribiendo ceros en la unidad y realizando un proceso de verificación de varios pasos para comprobar que la unidad no contenga datos. Si la unidad de almacenamiento no se puede borrar por algún motivo, se almacena de forma segura hasta que pueda destruirse físicamente. La destrucción física de los discos es un proceso de múltiples etapas que comienza con una trituradora que deforma la unidad, seguida de otra que la rompe hasta que solo quedan trozos pequeños, que luego se reciclan en una instalación segura. Cada centro de datos se adhiere a una política de eliminación estricta y cualquier divergencia se resuelve de inmediato. En nuestro informe describimos el proceso completo de eliminación de datos que realiza Google.

Una red mundial con ventajas de seguridad únicas

La red de datos IP de Google está formada por cables de fibra propios, cables de fibra públicos y cables submarinos. Esto nos permite ofrecer servicios de latencia baja y de alta disponibilidad en todo el mundo.

En otros servicios en la nube y soluciones in situ, los datos del cliente deben realizar varios trayectos entre dispositivos, que se conocen como "saltos", a través de la red de Internet pública. El número de saltos depende de la distancia entre el proveedor de Internet del cliente y el centro de datos de la solución. Cada salto supone una oportunidad para que alguien pueda atacar o interceptar dichos datos. Sin embargo, la red global de Google, al estar vinculada a la mayoría de los proveedores de Internet del mundo, puede limitar los saltos en la Internet pública y, de esta forma, mejora la seguridad de los datos en tránsito.

La defensa reforzada describe las diversas capas de defensa que protegen la red de Google de ataques externos. Solo pueden atravesarla los servicios y protocolos autorizados que cumplan con nuestros requisitos de seguridad. Se utilizan cortafuegos y listas de control de acceso (LCA) estándares del sector para separar la red. Todo el tráfico se enruta a través de servidores personalizados del frontend de Google (GFE) para detectar y detener solicitudes maliciosas y ataques de denegación de servicio distribuido (DDoS). Además, los servidores frontend de Google solo pueden comunicarse internamente con una lista controlada de servidores. Esta configuración de denegación predeterminada evita que los servidores frontend de Google accedan a recursos no deseados. Los registros se examinan a menudo para revelar cualquier uso malintencionado de errores de programación. Solo el personal autorizado puede acceder a los dispositivos de red.

Protección de los datos en tránsito

Los datos son vulnerables a un acceso no autorizado cuando viajan a través de Internet o dentro de las redes. Por eso, la protección de los datos en tránsito es una de las mayores prioridades de Google. Los servidores frontend de Google (GFE) mencionados anteriormente son compatibles con protocolos de encriptado eficaces, como TLS, para proteger las conexiones entre los dispositivos de los clientes y los servicios web y APIs de Google. Los clientes de la nube pueden aprovechar este encriptado para los servicios que se ejecutan en Google Cloud Platform gracias a su balanceador de carga. Google Cloud Platform también ofrece a los clientes más opciones de encriptado durante el transporte, como Cloud VPN, que sirve para establecer redes privadas virtuales con IPSec. Si quieres obtener información más detallada sobre estos temas, consulta los informes Encryption in Transit in Google Cloud y Application Layer Transport Security.

Solución de baja latencia y alta disponibilidad

Google diseña los componentes de nuestra plataforma para que sean muy redundantes. Esta redundancia se aplica al diseño de nuestros servidores, a cómo almacenamos los datos, a la conectividad de la red y de Internet, y a los servicios de software en sí. Esta iniciativa de crear medios redundantes incluye la gestión de errores por diseño y da lugar a una solución que no depende de un solo servidor, centro de datos ni conexión de red. Los centros de datos de Google están distribuidos geográficamente para minimizar los efectos de las interrupciones del servicio en distintas regiones (como desastres naturales o problemas locales) en los productos que funcionan a escala mundial. En caso de que se produzca algún fallo en el hardware, el software o la red, los servicios de la plataforma y los planos de control pasan automática e instantáneamente a otra instalación para que los servicios de la plataforma puedan continuar sin interrupción. La infraestructura de alta redundancia de Google también ayuda a los clientes a protegerse de la pérdida de datos. Se pueden crear e implementar recursos de Google Cloud Platform en diferentes regiones y zonas, lo que permite a los clientes desarrollar sistemas resilientes y de alta disponibilidad.

Gracias al diseño de alta redundancia, Google ha logrado un tiempo de funcionamiento del 99,984 % para Gmail en los últimos años sin periodos inactivos programados. Básicamente, cuando Google necesita reparar o actualizar nuestra plataforma, los usuarios no experimentan periodos inactivos ni ventanas de mantenimiento.

Disponibilidad de los servicios

Es posible que algunos servicios de Google no estén disponibles en algunas jurisdicciones. A menudo, estas interrupciones son temporales y se deben a cortes en la red, pero otras son permanentes y se deben a bloqueos gubernamentales. El Informe de transparencia de Google también muestra interrupciones del tráfico recientes y en curso que afectan a los productos de Google. Proporcionamos estos datos para ayudar al público a analizar y comprender la disponibilidad de la información online.

Certificaciones independientes de terceros

Consulta más información sobre las certificaciones de terceros que ofrece Google Cloud.

Uso de datos

Nuestra filosofía

Los clientes de Google Cloud son los dueños de sus datos, no Google. Los datos que introducen los clientes en nuestros sistemas son suyos, y no los analizamos con fines publicitarios ni se los vendemos a terceros. Ofrecemos a nuestros clientes una adenda detallada sobre el tratamiento de datos en GCP y G Suite, que describe nuestro compromiso con la protección de los datos del cliente. También establece que Google no tratará datos para ningún otro propósito que no sea cumplir nuestras obligaciones contractuales. Por otro lado, si los clientes eliminan sus datos, nos comprometemos a eliminarlos también de nuestros sistemas en un plazo de 180 días. Por último, proporcionamos herramientas que permitan a los clientes llevarse sus datos de forma más fácil si deciden dejar de usar nuestros servicios; Google ofrece estas herramientas sin imponer penalizaciones ni costes adicionales. Lee nuestros principios de confianza para obtener más información sobre la filosofía y los compromisos de Google Cloud con los clientes.

Acceso a datos y restricciones

Acceso administrativo

Para que los datos de cada cliente sean privados y estén protegidos, Google los aísla de manera lógica y los separa de los del resto de los clientes y usuarios, aunque se almacenen en un mismo servidor físico. Solo un pequeño grupo de empleados de Google tiene acceso a los datos de los clientes. Los derechos y niveles de acceso de los empleados de Google varían según la función y el cargo que desempeñen. Para asignar los privilegios de acceso a las distintas responsabilidades, se emplean los conceptos de mínimo privilegio y de necesidad de conocer. A los empleados de Google solo se les concede un conjunto limitado de permisos predeterminados para acceder a los recursos de la empresa, como el correo electrónico de empleado y el portal interno de Google para empleados. Para conseguir más accesos, deben seguir un proceso formal que implica realizar una solicitud y, tras esta, recibir la aprobación pertinente de un propietario de datos o del sistema, de un gestor o de otros directivos, según se estipula en las políticas de seguridad de Google. Las aprobaciones de las solicitudes de acceso se gestionan mediante herramientas de flujo de trabajo que conservan registros de auditoría de todos los cambios. Estas herramientas controlan tanto la modificación de la configuración de autorización como el proceso de aprobación para garantizar la aplicación uniforme de las políticas pertinentes. La configuración de autorización de los empleados se utiliza para controlar el acceso a todos los recursos, incluidos los datos y los sistemas de los productos de Google Cloud. Solo se proporcionan servicios de asistencia a administradores autorizados de clientes cuyas identidades se han verificado de varias maneras. Nuestros equipos específicos de seguridad, privacidad y auditorías internas llevan a cabo supervisiones y auditorías del acceso de los Googlers. También ofrecemos registros de auditoría a los clientes a través de Transparencia de acceso, una función de GCP.

Para administradores de clientes

En cada organización de clientes, el propietario del proyecto controla los cargos y privilegios administrativos de Google Cloud. Esto significa que un miembro del equipo puede gestionar ciertos servicios o llevar a cabo funciones administrativas específicas sin tener por ello acceso a todos los ajustes y datos.

Solicitudes de datos por parte de los servicios policiales

El cliente, como propietario de los datos, es el principal responsable a la hora de responder ante las solicitudes por parte de los servicios policiales. Sin embargo, al igual que otras empresas de tecnología y de comunicación, Google puede recibir solicitudes directas por parte de gobiernos y tribunales de todo el mundo para que proporcionemos datos sobre el uso que haya hecho una persona de los servicios que ofrece la empresa. Tomamos medidas para proteger la privacidad de los clientes y limitar las solicitudes excesivas, a la vez que cumplimos nuestras obligaciones legales. Por eso, el respeto por la privacidad y la seguridad de los datos que almacenas con Google sigue siendo una prioridad para nosotros. Cuando recibimos una solicitud legal, nuestro equipo la revisa para que se ajuste a los requisitos legales y a las políticas de Google. En términos generales, para que cumplamos con la solicitud, esta debe realizarse por escrito, estar firmada por una persona autorizada del organismo solicitante y haberse emitido de acuerdo con la legislación aplicable. Si consideramos que una solicitud de información es demasiado amplia, intentaremos acotarla y, si es necesario, la rechazaremos. Por ejemplo, en el 2006, Google fue la única de las empresas de búsqueda más importantes que rechazó una solicitud del Gobierno de EE. UU. que pretendía obtener las consultas de búsqueda realizadas por los usuarios durante dos meses. Presentamos un recurso contra la citación y, finalmente, un tribunal rechazó la solicitud del Gobierno. En algunos casos, recibimos solicitudes para obtener toda la información asociada a una cuenta de Google y podemos pedir al organismo que la solicita que la delimite a un producto o a un servicio específico. Creemos que el público merece saber en qué medida solicitan los gobiernos información de los usuarios a Google. Por eso nos convertimos en la primera empresa que comenzó a publicar informes de forma periódica sobre las solicitudes de datos que realizan los gobiernos. Puedes consultar información detallada sobre las solicitudes de datos y la respuesta de Google en nuestro Informe de transparencia y en el informe Government Requests for Cloud Customer Data. De acuerdo con la política de Google, se informa a los clientes si algún organismo solicita sus datos, a menos que la ley o una orden judicial lo prohíban de forma específica.

Proveedores externos

Google realiza directamente casi todas las actividades de tratamiento de datos para proporcionar sus servicios. No obstante, Google puede contratar a proveedores externos para que presten servicios relacionados con Google Cloud, como servicios de asistencia técnica o de otros tipos. Antes de incorporar proveedores externos, Google realiza una evaluación de las prácticas de seguridad y privacidad de dichos proveedores. El objetivo es asegurarse de que proporcionan unos niveles de seguridad y privacidad adecuados al acceso a los datos y al alcance de los servicios que se comprometen a ofrecer. Cuando Google ha evaluado los riesgos que presenta el proveedor externo, este debe suscribir las condiciones del contrato adecuadas en materia de seguridad, confidencialidad y privacidad.

Cumplimiento de las normativas

Nuestros clientes tienen diferentes necesidades de cumplimiento normativo, ya que pertenecen a distintos sectores, como el financiero, el farmacéutico y el industrial.

Te recomendamos que consultes nuestra información de cumplimiento más actualizada.

Conclusión

La protección de tus datos es una cuestión primordial a la hora de diseñar todas las operaciones de infraestructura, productos y personal de Google. Gracias a la escala de nuestras operaciones y a la colaboración con la comunidad de investigación sobre seguridad, Google puede afrontar vulnerabilidades de forma rápida o evitarlas por completo.

Creemos que Google puede ofrecer un nivel de protección que muy pocos proveedores de la nube pública o equipos de TI de empresas privadas pueden igualar. Debido a que la protección de datos es un aspecto fundamental para Google como empresa, podemos realizar grandes inversiones en seguridad, recursos y especialización a una escala imposible para otras organizaciones. Gracias a nuestra inversión, puedes centrarte en tu empresa y en innovar. La protección de datos no es solo una cuestión de seguridad. Los robustos compromisos contractuales de Google te aportan la certeza de que mantendrás el control sobre sus datos y sobre cómo se tratan, incluida la garantía de que no se utilizarán con fines publicitarios ni para ningún otro propósito que no sea el de ofrecer los servicios de Google Cloud.

Por estas y otras muchas razones, más de cinco millones de organizaciones en todo el mundo, incluido el 64 % de los integrantes de la lista Fortune 500, confían a Google su recurso más valioso: la información. Google continuará invirtiendo en nuestra plataforma para que puedas aprovechar nuestros servicios de forma segura y transparente.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...