Conformidade e proteção de dados

O modelo de segurança, a infraestrutura em escala global e a capacidade de inovação inigualável do Google Cloud ajudarão você a manter sua empresa segura e dentro dos padrões de conformidade. Como parte do nosso compromisso com a transparência e a privacidade, fornecemos uma visualização de pessoa com informações privilegiadas das práticas de conformidade, risco e segurança do Google Cloud.

Criptografia em repouso

Criptografia de dados armazenados em um disco ou backup, os dois nas camadas do sistema e do dispositivo de armazenamento: o Google Cloud é o primeiro grande provedor de nuvem a fazer isso por padrão.

Integridade da implantação

Ajuda a garantir que as configurações e os códigos implantados no ambiente de produção do Google Cloud estão devidamente revisados e autorizados.

Acesso privilegiado

Gerenciamento de acesso da equipe do Google Cloud para visualizar ou modificar os dados de clientes armazenados no Google Cloud.

Compliance

Auditoria frequente de serviços do Google Cloud para garantir a conformidade com frameworks, diretrizes e requisitos regulamentares.

Detalhes

Última modificação: 21 de maio de 2020

Criptografia em repouso

Criptografia em repouso se refere à criptografia de dados armazenados em um disco ou backup. O Google Cloud é o primeiro grande provedor de nuvem a oferecer criptografia em repouso por padrão, usando uma abordagem multicamadas que inclui criptografia no nível do dispositivo ou do sistema de armazenamento.

Por que isso é importante

A criptografia em repouso protege os dados de serem divulgados para indivíduos e sistemas sem autorização quando forem armazenados em uma nuvem pública. Muitos provedores de nuvem têm criptografia no nível do dispositivo de armazenamento, o que protege os dados em casos de comprometimento físico. Indo além, o Google Cloud também oferece criptografia no nível do sistema de armazenamento. Isso permite que o Google Cloud desempenhe tarefas operacionais, como fazer o backup de dados sem que as equipes de suporte ou os engenheiros do Google Cloud tenham acesso ao conteúdo.

Como o Google Cloud realiza a implementação

O Google usa diversas camadas de criptografia para proteger os dados em repouso do cliente nos produtos do Google Cloud.

Os dados para armazenamento são divididos em blocos, e cada um deles é criptografado com uma chave de criptografia de dados exclusiva. Essas chaves de criptografia de dados são armazenadas com os dados e criptografadas (encapsuladas) por meio de chaves de criptografia de chaves, que são armazenadas e utilizadas exclusivamente dentro do serviço de gerenciamento de chaves central do Google. O serviço de gerenciamento de chaves do Google é redundante e distribuído no mundo inteiro. Os dados armazenados no Google Cloud são criptografados no nível de armazenamento usando AES256 ou AES128.

O Google usa a Tink, uma biblioteca criptográfica comum, para implementar a criptografia de maneira consistente em quase todos os produtos do Google Cloud. Como essa biblioteca comum é amplamente acessível, basta apenas uma pequena equipe de criptógrafos para implementar e manter adequadamente esse código rigorosamente controlado e revisado.

Para mais informações, leia o whitepaper Criptografia em repouso no Google Cloud Platform.

Pacote de produtos

Cloud Storage

Fato

Nossas práticas de criptografia são auditadas por auditores externos pelo menos uma vez ao ano. Para mais detalhes sobre criptografia em repouso no Google Cloud, veja nosso relatório de auditoria SOC 2.

Acesso privilegiado

O gerenciamento adequado do acesso privilegiado em uma organização ajuda a evitar a divulgação acidental de dados confidenciais e a reduzir o risco de um usuário não autorizado acessar esses dados.

Por que isso é importante

Ao armazenar dados em uma nuvem pública, é importante não só implementar um gerenciamento de acesso adequado para a equipe, como também entender como o provedor de nuvem garante que esses dados serão acessados pelos funcionários somente para fins comerciais legítimos. O provedor de nuvem deve acessar esses dados apenas para seguir instruções do cliente, garantir a operação do serviço ou obedecer às obrigações legais.

Como o Google Cloud realiza a implementação

Além da criptografia, o Google Cloud usa uma combinação de identidades fortes para contas de serviço e individuais, sistemas ACL e um controle interno semelhante à autorização binária para garantir que o acesso aos dados do cliente seja válido. Em relação ao acesso a dados armazenados nos serviços integrados à transparência no acesso, controles técnicos adicionais estão à disposição para assegurar que um registro de justificativa comercial seja gerado para cada acesso. Esses acessos são monitorados e auditados regularmente.

Saiba mais sobre como reduzir o risco de pessoa com informações privilegiadas nesta apresentação em vídeo (em inglês).

Pacote de produtos
Fato

Em alguns casos, a equipe do Google acessará dados de clientes predominantemente como resultado de eventos iniciados por eles, como entrar em contato com o suporte ao cliente ou denunciar abusos nos documentos públicos do G Suite. Em relação aos Serviços com a transparência no acesso ativada, informaremos a você quando a equipe do Google Cloud acessar dados de clientes.

Integridade da implantação

A integridade da implantação se refere à capacidade do Google Cloud de garantir que as configurações e os códigos implantados no ambiente de produção que interagirem com os dados de clientes serão devidamente revisados e autorizados. Autorização binária para Borg, ou BinAuthz, é uma verificação interna de aplicação no momento da implantação que avalia se as configurações e o software de produção implantados no Google Cloud estão devidamente revisados e autorizados, especialmente se o código puder acessar dados do usuário.

Por que isso é importante

A BinAuthz garante que as implantações de código e de configuração atendam a determinados padrões mínimos. Ela também pode ser usada em um modo de auditoria não obrigatório para avisar quando determinados requisitos não forem atendidos. Com a BinAuthz, o Google Cloud reduz o risco de pessoas com informações privilegiadas, evita possíveis ataques e dá suporte à uniformidade dos próprios sistemas de produção. O gerenciamento de acesso privilegiado se concentra em garantir que todos os acessos aos dados por indivíduos sejam autorizados. Já a integridade da implantação garante que o acesso programático aos dados seja autorizado. Essa verificação assegura que todo acesso programático aos dados do cliente, bem como as mudanças no ambiente de produção, gerem uma trilha de auditoria.

Como o Google Cloud realiza a implementação

Nossa infraestrutura é projetada para sistemas altamente escalonáveis usando um sistema de gerenciamento de clusters chamado Borg (em inglês). Executamos centenas de milhares de jobs de vários aplicativos diferentes e em vários clusters, cada um com até dezenas de milhares de máquinas. Como resultado, nosso ambiente de produção é razoavelmente homogêneo, permitindo que os pontos de contato para acessar dados do usuário sejam controlados e auditados com mais facilidade. A BinAuthz oferece um serviço de aplicação no momento da implantação para evitar a inicialização de jobs não autorizados, bem como de trilhas de auditoria da configuração e do código usados em jobs com a BinAuthz ativada.

Saiba mais sobre o assunto no whitepaper da autorização binária para Borg
Pacote de produtos
Fato

Todo serviço do Google Cloud em visualização ou GA exige que a autorização binária para Borg esteja ativada em jobs que têm acesso aos dados de clientes.

Ofertas de conformidade

Migrar para a nuvem significa proteger cargas de trabalho confidenciais e, ao mesmo tempo, alcançar e manter a conformidade com diretrizes, frameworks e requisitos de regulamentação complexos. Regiões e setores diferentes têm requisitos variados. Esses requisitos podem ser autorizados por uma autoridade reguladora ou podem ser criados por organizações com padrões confiáveis, entre outras opções. O Google Cloud oferece suporte aos clientes no mundo inteiro, em vários setores, e entende a importância de atender às necessidades de conformidade para garantir que os clientes continuem com suas práticas comerciais. O Google Cloud é submetido, regularmente, a verificações independentes de controles de conformidade, privacidade e segurança, e tem certificações, atestados de conformidade e relatórios de auditoria de acordo com os padrões estabelecidos ao redor do mundo. Também criamos documentações e mapeamentos de recursos referentes aos frameworks e às legislações em países onde certificações ou atestados formais não são exigidos ou aplicados.

Veja todas as ofertas de conformidade (em inglês)
Por que isso é importante

Entendemos que você precisa de verificações independentes de controles de conformidade, privacidade e segurança dos nossos produtos. Por isso, nossas certificações, atestados de conformidade e relatórios de auditoria de acordo com padrões globais inspiram confiança. Isso significa que um auditor independente examinou os controles disponíveis nos data centers, na infraestrutura e nas operações. Essas certificações incluem os padrões de segurança independentes mais amplamente reconhecidos e aceitos internacionalmente, como a norma ISO/IEC 27001 para controles de segurança e a norma ISO/IEC 27017 para segurança na nuvem, além da SOC 1, 2 e 3 do AICPA. Essas certificações nos ajudam a atender às demandas dos padrões do setor, como CSA STAR e PCI-DSS, além de muitos outros padrões regionais. Continuamos a expandir nossa lista de ofertas de conformidade globalmente para ajudar nossos clientes a atender às obrigações de conformidade.

Como o Google Cloud realiza a implementação

Nossos serviços são submetidos regularmente a verificações independentes de controles de segurança, privacidade e conformidade, e têm certificações, atestados de conformidade e relatórios de auditoria de acordo com padrões do mundo todo. A cada ano avaliamos os serviços que se aproximam da disponibilidade geral (GA, na sigla em inglês) para incluí-los no escopo dos nossos grandes ciclos de auditoria.

Para mais detalhes sobre como obedecer às exigências de determinada oferta de conformidade, acesse a página Gerenciador de relatórios de conformidade (em inglês) para visualizar relatórios de auditoria terceirizados de alguns dos nossos maiores frameworks de compliance.

Pacote de produtos
Fato

100% das ofertas que exigem certificações ou atestados formais recebem validações independentes terceirizadas.

Confira nossos relatórios de auditoria terceirizados (em inglês)