Protección de datos y cumplimiento

Google Cloud aprovecha su modelo de seguridad, su infraestructura a escala mundial y su capacidad única de innovación para ayudarte a mantener a tu empresa protegida y al día en el cumplimiento de las normativas pertinentes. Como parte de nuestro compromiso con la transparencia y la privacidad, ofrecemos información de primera mano sobre las prácticas que rigen el cumplimiento, los riesgos y la seguridad de Google Cloud.

Encriptado en reposo

Google Cloud es el primer proveedor importante de servicios en la nube que encripta de manera predeterminada los datos almacenados en un disco o en una copia de seguridad tanto en la capa del dispositivo de almacenamiento como en la del sistema de almacenamiento.

Integridad de despliegue

Permite asegurarse de que el código y las configuraciones que se despliegan en el entorno de producción de Google Cloud se han revisado y autorizado de forma adecuada.

Acceso privilegiado

Gestión del acceso del personal de Google Cloud para ver o modificar los datos de clientes almacenados en Google Cloud.

Cumplimiento

Los servicios de Google Cloud se auditan con regularidad para verificar que cumplen los requisitos normativos, los marcos reguladores y las directrices.

Detalles

Última modificación: 21 de mayo del 2020

Encriptado en reposo

Cuando hablamos del encriptado en reposo, nos referimos al que se utiliza con los datos almacenados en un disco o en una copia de seguridad. Google Cloud es el primer proveedor importante de servicios en la nube que ofrece un encriptado en reposo de manera predeterminada. Para ello, utiliza un enfoque multicapa que incluye un encriptado a nivel tanto de dispositivo de almacenamiento como de sistema de almacenamiento.

Por qué es importante

El encriptado en reposo protege los datos que se almacenan en una nube pública y evita que se revelen a individuos o sistemas no autorizados. Aunque muchos proveedores de servicios en la nube ofrecen un encriptado a nivel de dispositivo de almacenamiento, que protege los datos frente a cualquier peligro físico, Google Cloud también proporciona un encriptado a nivel de sistema de almacenamiento. De este modo, se pueden llevar a cabo tareas operativas como la creación de copias de seguridad de los datos sin que los ingenieros ni los equipos de asistencia de Google Cloud tengan acceso al contenido.

Cómo se implementa en Google Cloud

Google utiliza varias capas de encriptado en los productos de Google Cloud para proteger los datos en reposo de los clientes.

Los datos almacenados se dividen en fragmentos, donde cada uno se encripta con una clave única de encriptado de datos. Dichas claves de encriptado de datos se almacenan junto con los datos y se encriptan (o "encapsulan") con claves de encriptado de claves que se guardan y usan exclusivamente dentro del servicio de gestión de claves centralizado de Google, un servicio redundante distribuido por todo el mundo. Los datos almacenados en Google Cloud se encriptan a nivel de almacenamiento mediante AES256 o AES128.

Google utiliza una biblioteca criptográfica común (Tink) para implementar el encriptado de manera uniforme en casi todos los productos de Google Cloud. Dado que esta biblioteca común es ampliamente accesible, solo se necesita un pequeño equipo de criptógrafos para implementar y mantener de forma adecuada este código estrictamente controlado y revisado.

Para obtener más información, consulta el informe Encriptado en reposo en Google Cloud Platform.

Conjunto de productos

Cloud Storage

Datos

Al menos una vez al año, un equipo de auditores externos auditan nuestras prácticas de encriptado. Consulta nuestro informe de auditoría SOC 2 para obtener más información sobre el encriptado en reposo de Google Cloud.

Acceso privilegiado

En cualquier organización, la gestión adecuada del acceso privilegiado puede ayudar a evitar la divulgación accidental de datos confidenciales y minimizar el riesgo de que un usuario no autorizado acceda a ellos.

Por qué es importante

Si almacenas tus datos en una nube pública, además de implementar la gestión de accesos correspondiente para el personal, es crucial que entiendas de qué modo se cerciora el proveedor de servicios en la nube de que sus empleados únicamente acceden a tus datos con fines comerciales legítimos. El proveedor de servicios en la nube solo debe acceder a estos datos si se lo pide el cliente, para comprobar que el servicio funciona correctamente o para cumplir una obligación legal.

Cómo se implementa en Google Cloud

Además del encriptado, Google Cloud usa una combinación de identidades sólidas para individuos y cuentas de servicio, sistemas de LCA y un control interno similar a la autorización binaria para asegurarse de que el acceso a los datos del cliente procede. En cuanto a los datos almacenados en servicios con Transparencia de acceso integrada, se realizan unos controles técnicos adicionales para asegurar la creación de un registro que refleje las justificaciones comerciales de cada acceso. Estos accesos se monitorizan y auditan con regularidad.

Echa un vistazo a esta presentación en vídeo para obtener más información sobre la minimización de riesgos internos.

Conjunto de productos
Datos

En algunos casos, el personal de Google tendrá que acceder a datos de clientes; la mayoría de las veces, a raíz de un evento iniciado por el cliente (por ejemplo, si contacta con el servicio de asistencia o denuncia un uso inadecuado en los documentos públicos de Google Workspace). En el caso de los servicios que tienen habilitada la Transparencia de acceso, te informaremos cuando el personal de Google Cloud manipule los datos de clientes.

Integridad de despliegue

Cuando hablamos de integridad de despliegue, nos referimos a la capacidad que tiene Google Cloud para asegurarse de que el código y las configuraciones desplegadas en su entorno de producción que interaccionan con los datos de clientes están debidamente revisadas y autorizadas. La autorización binaria para Borg, o BinAuthz, es un proceso de verificación de cumplimiento interno en el momento del despliegue que comprueba que la configuración y el software de producción desplegados en Google Cloud se han revisado y autorizado de forma adecuada, sobre todo si el código puede acceder a los datos de usuario.

Por qué es importante

BinAuthz se asegura de que los despliegues de código y configuración cumplan una serie de estándares mínimos. También se puede usar en modo de auditoría no exigible para emitir advertencias en caso de que no se satisfagan determinados requisitos. La adopción de BinAuthz ayuda a Google Cloud a reducir los riesgos internos, a prevenir posibles ataques y a respaldar la uniformidad de sus sistemas de producción. Mientras que la gestión de accesos privilegiados se centra en asegurarse de que todos los individuos que acceden a los datos cuentan con la autorización adecuada, la integridad de despliegue controla que el acceso programático a los datos esté autorizado. Esta verificación comprueba que se genera un registro de auditoría a raíz de todo acceso programático a los datos de clientes o de cualquier cambio en el entorno de producción.

Cómo se implementa en Google Cloud

Nuestra infraestructura está diseñada para sistemas de alta escalabilidad, por lo que utiliza un sistema de gestión de clústeres denominado Borg. Ejecutamos cientos de miles de tareas desde muchas aplicaciones de numerosos clústeres, donde cada uno está compuesto por decenas de miles de máquinas. En consecuencia, nuestro entorno de producción es bastante homogéneo, por lo que los puntos de contacto correspondientes al acceso a datos de usuarios se pueden controlar y auditar con mayor facilidad. BinAuthz presta un servicio de cumplimiento en el momento del despliegue destinado a evitar que se inicien tareas sin autorización, y proporciona un registro de auditoría del código y la configuración utilizados en las tareas en las que BinAuthz está habilitada.

Para obtener más información, consulta el informe Autorización binaria para Borg.
Conjunto de productos
Datos

En todos los servicios de Google Cloud en modo de vista previa o con disponibilidad general se debe habilitar la autorización binaria para Borg en las tareas que tengan acceso a los datos de clientes.

Información sobre cumplimiento

La transición a la nube implica tener que proteger cargas de trabajo sensibles y, al mismo tiempo, cumplir y mantener la conformidad con complejos requisitos normativos, marcos reguladores y directrices. Los requisitos varían en función del sector y la región. Puede que estos requisitos los exija una autoridad reguladora, o bien que los hayan creado organizaciones normativas, entre otras. Google Cloud ofrece sus servicios internacionalmente a clientes de diferentes sectores y comprende la importancia de adherirse a los requisitos de conformidad para asegurarse de que los clientes puedan realizar sus actividades empresariales. Además, somete con regularidad sus controles de seguridad, privacidad y cumplimiento a una verificación independiente para obtener certificaciones, atestaciones o informes de auditoría que les permitan cumplir las normativas de distintas partes del mundo. Por último, se han creado recursos y documentos de referencia que se ajustan a los marcos reguladores y las leyes en aquellas áreas en las que no se aplican o no son necesarias certificaciones y atestaciones formales.

Ver todos los recursos sobre cumplimiento
Por qué es importante

Sabemos que necesitas que algún proceso de verificación independiente respalde los controles de seguridad, privacidad y cumplimiento de nuestros productos. Por eso, nuestras certificaciones, atestaciones o informes de auditoría que demuestran que cumplimos las normativas de cualquier parte del mundo nos hacen merecedores de tu confianza, pues reflejan que un auditor independiente ha examinado los controles de nuestros centros de datos, de nuestra infraestructura y de nuestras operaciones. Estas certificaciones incluyen los estándares de seguridad independientes más reconocidos y aceptados internacionalmente, como la norma ISO/IEC 27001 para los controles de seguridad, la ISO/IEC 27017 para la seguridad en la nube y la ISO/IEC 27018 para la privacidad en la nube, así como los controles SOC 1, 2 y 3 del colegio estadounidense de contables públicos certificados (AICPA). Estas certificaciones nos ayudan a estar a la altura de estándares del sector como CSA STAR, PCI DSS y otros estándares regionales. Seguimos ampliando nuestra lista de información sobre el cumplimiento en todas partes del mundo para ayudar a nuestros clientes a satisfacer sus obligaciones legales.

Cómo se implementa en Google Cloud

Sometemos con regularidad los controles de seguridad, privacidad y cumplimiento de nuestros servicios a una verificación independiente para obtener certificaciones, atestaciones o informes de auditoría que demuestren que cumplimos las normativas de cualquier parte del mundo. Además, todos los años evaluamos los servicios que pasarán a estar disponibles de forma general para incluirlos en nuestros ciclos de auditorías principales.

Si quieres obtener más información sobre cómo seguimos un recurso de cumplimiento específico, visita la página Administrador de informes de cumplimiento para ver los informes de auditoría de terceros sobre algunos de nuestros principales marcos reguladores de cumplimiento.

Conjunto de productos
Datos

Todos los recursos de cumplimiento que requieren una certificación o atestación formal los valida un tercero independiente.

Ver nuestros informes de auditoría de terceros