資料保護與法規遵循

Google Cloud 提供安全性模型、世界級基礎架構以及獨有的創新技術,可協助您確保貴機構的安全性和法規遵循。基於我們所做出的資訊公開與隱私權承諾,因此使用者可透過內部檢視來查詢 Google Cloud 的安全性、風險及法規遵循做法。

靜態資料加密

同時針對儲存裝置和儲存系統層級的磁碟或備份上所儲存的資料進行加密:Google Cloud 是首家對這類資料採取預設加密做法的主要雲端服務供應商。

部署完整性

協助確保部署至 Google Cloud 實際工作環境的程式碼和設定都經過確實的審查與授權。

特殊存取權限

管理檢視或修改 Google Cloud 上所儲存客戶資料的 Google Cloud 人員存取權。

法規遵循

定期稽核 Google Cloud 服務以協助確保符合法規要求、架構與規範。

詳細資料

最後修訂日期:2020 年 5 月 21 日

靜態資料加密

靜態資料加密是指對儲存於磁碟或備份上的資料進行加密。Google Cloud 採取同時包含儲存裝置層級和儲存系統層級兩種加密的分層做法,是首家預設提供靜態資料加密的主要雲端服務供應商。

重要性說明

靜態資料加密可保護公用雲端上所儲存的資料,避免外洩給未經授權的個人和系統。許多雲端服務供應商僅提供儲存裝置層級的加密,此做法可於實體裝置遭駭的情況下保護資料,但 Google Cloud 還另外提供儲存系統層級的加密。如此一來,不需要透過 Google Cloud 工程師或支援團隊存取內容,就能夠讓 Google Cloud 執行備份資料等操作任務。

Google Cloud 的實作方法

Google 採用多層式加密技術,可妥善保護儲存在 Google Cloud 產品/服務中的靜態客戶資料。

系統會將儲存的資料分割為多個區塊,每個區塊都會以專屬的資料加密金鑰進行加密。這些資料加密金鑰會與資料儲存在同一處,並以「金鑰加密金鑰」進行加密 (又稱「包裝」)。金鑰加密金鑰是 Google 金鑰管理服務內的專用金鑰,這類金鑰都會儲存於此項集中式管理服務。Google 的金鑰管理服務支援備援功能,且服務範圍遍及世界各個角落。系統會使用 AES256 或 AES128 金鑰,於儲存空間層級將存在 Google Cloud 中的資料加密。

Google 使用的密碼編譯程式庫是常見的 Tink,幾乎所有的 Google Cloud 產品/服務都是透過這個程式庫加密資料。由於這個程式庫十分常見且普遍,因此您只需要建立小型密碼編譯團隊,即可妥善採用及維護這類受到嚴密控管與審查的程式碼。

如需相關資訊,請參閱 Google Cloud Platform 靜態資料加密白皮書。

產品套件

Cloud Storage

資訊

外部稽核人員每年都會針對我們採用的加密做法進行至少一次的稽核。查看 SOC 2 稽核報告以進一步瞭解 Google Cloud 靜態資料加密的詳細資訊。

特殊存取權限

在機構內適當地管理特殊存取權限,有助於防止意外揭露機密資料,以及大幅降低未經授權的使用者存取這類資料的風險。

重要性說明

如果您將資料儲存在公用雲端環境,那麼不僅需要針對自己的員工實施適當的存取權管理做法,還要瞭解雲端服務供應商如何確保其員工只會基於合法的商業目的存取您的資料。雲端服務供應商應僅在為確保服務順利運作或確實遵循法律義務的情況下,並經客戶指示,才能存取這類資料。

Google Cloud 的實作方法

除了加密外,Google Cloud 還會針對個人和服務帳戶以及 ACL 系統進行高強度身分驗證,再結合類似二進位授權的內部管控機制,確保使用者透過有效的權限來存取客戶資料。為了存取資料存取透明化控管機制整合式服務中儲存的資料,我們還採用了其他技術性控管服務,以確保系統能夠針對每項存取要求建立業務理由記錄檔。這類存取會受到定期監控及稽核。

請觀看這部影片簡報,以進一步瞭解如何將內部風險降至最低。

產品套件
資訊

在某些情況下,Google 人員之所以會存取客戶資料,絕大多數都是因為客戶採取了某些動作,例如聯絡客戶服務團隊,或是在 G Suite 公開文件中檢舉濫用情形。如果是已啟用資料存取透明化控管機制的服務,您就能得知 Google Cloud 人員何時存取您的客戶資料。

部署完整性

部署完整性是指 Google Cloud 是否能確保部署至其實際工作環境中與客戶資料進行互動的程式碼和設定,都已經過確實的審查與授權。Borg 適用的二進位授權 (或稱 BinAuthz) 是內部的部署期間強制檢查機制,可確保部署在 Google Cloud 的實際工作環境軟體和設定都已經過確實的審查與授權 (特別是可存取使用者資料的程式碼)。

重要性說明

BinAuthz 可確保程式碼和設定部署作業符合最基本的安全標準。BinAuthz 還可用於非強制稽核模式,此模式會在安全未達某些標準時發出警告。採用 BinAuthz 後,Google Cloud 成功降低了內部風險、順利阻擋各種可能的攻擊,並整合了 Google Cloud 實際工作環境系統。特殊存取權限管理著重在確保個人的所有資料存取行為均獲得授權,而部署完整性則用於確保透過程式存取資料的行為已取得授權。此驗證程序可確保每次以程式輔助的方式存取客戶資料以及變更實際工作環境時,系統都會產生稽核追蹤。

Google Cloud 的實作方法

我們的基礎架構專為具高度擴充性的系統而設計,而這類系統會使用名為 Borg 的叢集管理系統。我們在多個叢集中執行數十萬個來自多種應用程式的工作,每個叢集包含多達數萬台機器。因此,我們的實際工作環境仍具有相當高的同質性,可以更輕鬆地控管及稽核用來存取使用者資料的接觸點。BinAuthz 提供部署期間強制執行服務,可防範未經授權的工作啟動。此外,BinAuthz 也提供稽核追蹤功能,用於追蹤啟用 BinAuthz 的工作中所使用的程式碼和設定。

如需詳細資料,請參閱 Borg 適用的二進位授權白皮書
產品套件
資訊

每個搶先版或正式發行版的 Google Cloud 服務都必須在可存取客戶資料的工作上啟用 Borg 適用的二進位授權。

法規遵循服務

遷移至雲端意味著您必須保護機密性質的工作負載,同時符合複雜的法規要求、架構與規範,並持續遵循這些相關規定,而不同地區及不同產業的法規要求又各有差異。這類法規要求可能由監管單位強制規定或是由信譽良好的標準機構制定。Google Cloud 支援遍布全球各類產業的客戶,也充分瞭解法規遵循需求的重要性,使客戶足以順利開展業務。Google Cloud 定期接受安全性、隱私權和法規遵循控管機制的獨立驗證審查,並獲得符合全球標準的認證、法規遵循證明及稽核報告。此外,我們也針對可能不需要或可能未採用正式認證或證明的架構和法律,製作了資源說明文件與資源對應。

查看所有法規遵循服務
重要性說明

我們瞭解您希望我們的產品接受安全性、隱私權和法規遵循控管機制的獨立驗證審查,並且要取得符合全球標準的認證、法規遵循證明及稽核報告,這樣才值得您的信賴。也就是說,Google 資料中心、基礎架構和營運狀況的相關控管機制,皆通過獨立稽核單位的檢驗。這些認證涵蓋獲得國際廣泛認可的獨立安全標準,其中包括安全控管方面的 ISO/IEC 27001、雲端安全性方面的 ISO/IEC 27017、雲端服務隱私權方面的 ISO/IEC 27018,以及 AICPA SOC 1、2 和 3。這些認證有助於我們符合 CSA STAR 和 PCI-DSS, 等業界標準的要求,以及許多其他地區的標準。我們持續在全球拓展法規遵循服務項目,以協助客戶善盡法規遵循義務。

Google Cloud 的實作方法

我們的服務定期接受安全性、隱私權和法規遵循控管機制的獨立驗證審查,並獲得符合全球標準的認證、法規遵循證明及稽核報告。我們每年都會評估即將正式發行 (GA) 的服務,決定是否將其納入我們主要的稽核週期內。

如要進一步瞭解我們如何達到特定的法規遵循要求,請造訪法規遵循報告管理員頁面,並查看第三方稽核報告,以釐清我們主要的法規遵循管理架構。

產品套件
資訊

所有需要正式證明或認證的法規遵循服務均由獨立的第三方進行驗證。

歡迎查閱我們的第三方稽核報告