Centro de recursos sobre la gestión de riesgos de terceros

Google Cloud se dedica a mantener un sólido programa de gestión de riesgos de terceros que no solo protege las operaciones de Google Cloud, sino que también mantiene la confianza de los clientes y partners de Google Cloud.

Introducción

Google Cloud puede contratar a terceros (subcontratistas) para que realicen actividades específicas en relación con los servicios de Google Cloud. Estos subcontratistas se supervisan y gestionan mediante el programa de gestión de riesgos de terceros (TPRM) de Google Cloud, que se ha diseñado para garantizar que las relaciones con cualquier subcontratista cumplan los altos estándares de seguridad, cumplimiento y eficiencia operativa de Google Cloud.


El compromiso de Google Cloud se refleja en la inversión continua que hacemos para mejorar nuestras funciones de gestión de riesgos de terceros, de forma que podamos anticiparnos a los cambios constantes en el panorama de riesgos. Además, se espera que las partes terceras asuman las responsabilidades sociales, medioambientales y éticas que se definen en el Código de Conducta para Proveedores.

Información general sobre los subcontratistas

El programa de gestión de riesgos de terceros de Google Cloud adopta un enfoque basado en riesgos para identificar, evaluar, gestionar y monitorizar a los terceros en función del nivel de riesgo que supongan. Las empresas externas que proporcionan servicios importantes se someten a un control y una supervisión más estrictos. En concreto, el programa de gestión de riesgos de terceros distingue entre los subcontratistas que tratan datos de clientes (subencargados) y los que no. A continuación se describen las actividades de Gestión de Riesgos de Terceros de Google Cloud en cada fase del ciclo de vida de un subcontratista.

Imagen de proveedores

Gobernanza de riesgos de terceros

El programa de gestión de riesgos de terceros de Google Cloud está regido y gestionado por la organización del director de seguridad de la información de Cloud (CISO) y cuenta con el respaldo del programa de gestión de riesgos de terceros de Google, el aprovisionamiento, la organización de gestión de proveedores, las organizaciones de riesgo y cumplimiento, y los equipos legales de Google para garantizar una gestión adecuada de los riesgos de terceros en toda la empresa. 


Se ha establecido un órgano directivo multifuncional y ejecutivo para supervisar y gestionar Google Cloud, incluidos los riesgos relacionados con terceros. El órgano de gestión utiliza un apetito y una tolerancia al riesgo definidos para garantizar que el riesgo potencial que introducen los subcontratistas se gestione dentro de unos límites aceptables. Además, se han implementado políticas y procedimientos para garantizar la coherencia y la minuciosidad en la forma en que Google Cloud evalúa, monitoriza y gestiona los riesgos generales de terceros.

Ciclo de vida de la gestión de riesgos de terceros de Google Cloud

Planificación

Antes de contratar a un tercero, el programa de gestión de riesgos de terceros de Google Cloud requiere que se complete una evaluación para clasificar al tercero y determinar el nivel de riesgo que supone el servicio de terceros. El nivel de riesgo se utiliza para definir los requisitos de diligencia debida, contratación y acogida, así como para la monitorización continua. En esta fase, se evalúa el riesgo de concentración general para determinar el impacto de incorporar a un nuevo subcontratista en Google Cloud.

Imagen de planificación
Imagen de due diligence

Due diligence

El programa TPRM de Google Cloud está diseñado para abordar una amplia gama de áreas de riesgo de terceros, como la seguridad de la información, la privacidad, la gestión de incidentes, la continuidad empresarial, el cumplimiento normativo, la estabilidad financiera, el riesgo de ubicación y la capacidad operativa, entre otros. Para gestionar estos riesgos de forma eficaz, Google Cloud cuenta con expertos internos en la materia que proporcionan información valiosa especializada y desarrollan estrategias de mitigación y gestión de riesgos personalizadas. Esta experiencia permite a Google Cloud identificar, evaluar y mitigar de forma proactiva los posibles riesgos en las relaciones con terceros. 

Completar satisfactoriamente una evaluación de diligencia debida es esencial para la incorporación y el inicio del servicio. Cada año, se vuelve a evaluar a los subcontratistas y se hace un seguimiento, se gestionan y se solucionan los problemas que se detecten mediante un proceso centralizado de gestión de problemas. Cuando se completa la diligencia debida, los resultados se agregan y se comparten con Google Cloud Management. 

Contratación

Los equipos de Google Cloud que incorporan a subcontratistas siguen procesos definidos para firmar los contratos pertinentes con ellos antes de que se inicien los servicios. Estos contratos abordan los sólidos requisitos de seguridad, privacidad y cumplimiento de Google Cloud, así como nuestras obligaciones con los clientes en relación con los subcontratistas. 

Los acuerdos de nivel de servicio, los indicadores clave de rendimiento y otras métricas de rendimiento se definen contractualmente y se desarrollan estrategias de rendimiento para los subcontratistas para asegurar que se monitoriza el rendimiento de forma continua.

Incorporación

Una vez que se haya completado la investigación previa, Google notificará a los clientes, dentro de los plazos acordados contractualmente, la contratación de un nuevo Subcontratista. 

Por ejemplo, Google Cloud proporciona a todos los clientes al menos 30 días antes de que un nuevo subencargado del tratamientoempiece a tratar los datos de clientes. 

El servicio subcontratado solo puede iniciarse y, en el caso de los subcontratistas, el acceso a los datos de clientes solo se puede proporcionar después del periodo de notificación correspondiente.

Monitorización continua

Una vez que se ha incorporado a los subcontratistas, los equipos de Google Cloud pertinentes los monitorizan de forma continua en varias dimensiones relacionadas con el rendimiento y la gestión de riesgos. El rendimiento se gestiona formalmente cada trimestre (como mínimo) mediante indicadores clave de rendimiento definidos y reuniones trimestrales de revisión empresarial. 

Aunque las evaluaciones de riesgos (similares a las evaluaciones de diligencia debida) se realizan anualmente, los subcontratistas se monitorizan de forma continua para detectar posibles cambios en la posición de riesgo que puedan requerir una evaluación adicional. 

Si se produce un cambio en el tipo de servicio o en la ubicación de un subcontratista, Google Cloud informará a los clientes dentro de los plazos acordados contractualmente. 

Los incidentes que Google Cloud identifica durante la monitorización se registran, gestionan y resuelven a través de un programa central de gestión de incidentes que reúne a un equipo de expertos multifuncionales en un formato de equipo específico para garantizar la investigación, la corrección y la comunicación proactiva de forma oportuna. Consulta más información sobre el proceso de respuesta a incidentes de datos de Google Cloud.


Imagen de monitorización
Imagen de contrato resuelto

Resolución

La resolución planificada de los contratos con subcontratistas se gestiona mediante planes de salida que se desarrollan en el momento de la incorporación y se diseñan para garantizar que no haya ningún impacto adverso en la prestación de servicios por parte de Google Cloud.

Cómo garantiza Google Cloud la continuidad del servicio

En Google Cloud somos conscientes de la importancia que tiene la continuidad del servicio para el éxito de los clientes y contamos con controles internos exhaustivos para protegerla.

Google Cloud realiza evaluaciones periódicas del programa de continuidad empresarial de nuestros subcontratistas para identificar posibles riesgos y desarrollar estrategias para mitigar su impacto. El rendimiento de los subcontratistas se compara con los contratos y se monitoriza periódicamente para mantener la calidad del servicio dentro de los indicadores clave de rendimiento (KPI) definidos.



En caso de circunstancias imprevistas en las que Google Cloud necesite transferir el servicio de un subcontratista, se han establecido planes de salida para asegurar una transición fluida sin interrupciones en el servicio.

Cómo protege Google Cloud los datos de los clientes

Tú eres el propietario de los datos de clientes, no Google. Solo tratamos los datos del cliente de acuerdo con sus instrucciones y no determinamos los fines ni los medios esenciales de dicho tratamiento. Por tanto, somos encargados del tratamiento de los datos de los clientes, no responsables del tratamiento ni corresponsables del tratamiento.

Google utiliza subencargados del tratamiento del tratamiento para realizar actividades limitadas en relación con los servicios de Google Cloud, como los servicios de asistencia técnica. De acuerdo con nuestra Adenda sobre Tratamiento de Datos de Cloud, Google se compromete con los clientes a que sus acuerdos por escrito con los subcontratistas contendrán ciertas protecciones. A través de ese acuerdo, Google se asegurará de que:



  

  1. El subencargado del tratamiento solo accederá y usará los datos de clientes en la medida en que sea necesario para llevar a cabo las obligaciones para las que se le ha subcontratado. 
  2. El subencargado del tratamiento lleva a cabo dicho tratamiento de conformidad con el contrato por escrito con Google; y 
  3. Si lo exige la legislación aplicable, se imponen al subencargado del tratamiento las obligaciones de protección de datos pertinentes (tal y como se especifican en el Apéndice sobre el Tratamiento de Datos de Cloud).

Google lleva a cabo una auditoría de las prácticas de seguridad y privacidad de los Subencargados del tratamiento de datos para asegurar que los Subencargados del tratamiento de datos proporcionan un nivel de seguridad y privacidad adecuado a su acceso a los datos y al alcance de los servicios para los que se les contrata. 

Una vez que Google ha evaluado los riesgos que presenta el subencargado del tratamiento, este debe suscribir los términos contractuales adecuados en materia de seguridad, confidencialidad y privacidad. En concreto, Google se asegurará mediante el contrato de que el subencargado del tratamiento acceda a los datos del cliente solo en la medida necesaria para realizar su actividad limitada y de que todo acceso se ajuste a los términos de protección de datos de Google Cloud. 

Para obtener más información sobre las soluciones de privacidad de Google Cloud, consulta el Centro de recursos de privacidad.

Imagen de un candado

Ve un paso más allá

Si quieres más información sobre los subcontratistas, ponte en contacto con tu representante de cuentas o con nosotros.

Google Cloud