Centro de recursos de administración de riesgos de terceros

Google Cloud se dedica a mantener un sólido programa de administración de riesgos de terceros que no solo protege las operaciones de Google Cloud, sino que también mantiene la confianza de los clientes y socios de Google Cloud.

Comunicarse con VentasEstadísticas de CISO

Introducción

Google Cloud puede contratar a terceros (subcontratistas) para realizar actividades específicas relacionadas con los servicios de Google Cloud. Estos subcontratistas se supervisan y administran a través del programa de Administración de riesgos de terceros (TPRM) de Google Cloud, que está diseñado para garantizar que los compromisos con cualquier subcontratista cumplan con los altos estándares de seguridad, cumplimiento y eficiencia operativa de Google Cloud.


El compromiso de Google Cloud se refleja en la inversión continua para mejorar nuestras capacidades de administración de riesgos de terceros, y así mantenerse a la vanguardia en un panorama de riesgos en constante cambio. Además, se espera que los terceros adopten la responsabilidad social, ambiental y ética según se define en el Código de Conducta de Proveedores.

Código de Conducta de Proveedores

Descripción general de los subcontratistas

El programa de TPRM de Google Cloud adopta un enfoque basado en riesgos para identificar, evaluar, administrar y supervisar a terceros de forma proporcional al nivel de riesgo que estos representan. Los terceros que proporcionan servicios importantes se tratan con una mayor administración y supervisión. En particular, el programa de TPRM distingue entre los subcontratistas que procesan datos de clientes (subprocesadores) y los que no lo hacen. El contenido que se muestra a continuación describe las actividades de administración de riesgos de terceros de Google Cloud en cada fase del ciclo de vida de un subcontratista.

Imagen de los proveedores

Administración de riesgos de terceros

El programa de TPRM de Google Cloud se rige y administra a través de la organización del director de seguridad de la información (CISO) de Cloud y cuenta con el respaldo del programa de administración de riesgos de terceros de Google, la adquisición, las organizaciones de administración de proveedores, los equipos de riesgo y cumplimiento, y los equipos legales para garantizar la administración adecuada del riesgo de terceros en toda la organización. 


Se cuenta con un organismo de administración de nivel ejecutivo y multifuncional para supervisar y administrar Google Cloud, incluido el riesgo de terceros. Este organismo utiliza una tolerancia y una disposición al riesgo definidas para garantizar que el riesgo potencial que introducen los subcontratistas se administre dentro de límites aceptables. Además, se implementan políticas y procedimientos para garantizar la coherencia y la minuciosidad en la forma en que Google Cloud evalúa, supervisa y administra los riesgos generales de terceros.

Ciclo de vida de la administración de riesgos de terceros de Google Cloud

Planificación

Antes de contratar a un tercero, el programa de TPRM de Google Cloud requiere que se complete una evaluación para clasificar al tercero y determinar el nivel de riesgo que representa el servicio de terceros. El nivel de riesgo se usa para definir los requisitos de diligencia debida, de contratación y de incorporación, así como la supervisión continua. En esta etapa, se evalúa el riesgo de concentración general para determinar el impacto de la incorporación de un nuevo subcontratista a Google Cloud.

Imagen de planificación
Imagen de diligencia debida

Diligencia debida

El programa de TPRM de Google Cloud está diseñado para abordar una amplia gama de áreas de riesgo de terceros, como la seguridad de la información, la privacidad, la administración de incidentes, la continuidad empresarial, el cumplimiento de las normativas, la estabilidad financiera, el riesgo de ubicación y la capacidad operativa, entre otros. Para administrar estos riesgos de forma eficaz, Google Cloud cuenta con expertos internos en la materia que proporcionan estadísticas especializadas y desarrollan estrategias de mitigación y administración de riesgos adaptadas. Esta experiencia permite que Google Cloud identifique, evalúe y mitigue de forma proactiva los posibles riesgos en las relaciones con terceros. 

La realización satisfactoria de una evaluación de diligencia debida es esencial para la integración y el inicio del servicio. Anualmente, se vuelve a evaluar a los subcontratistas y se hace un seguimiento, se administran y se corrigen los problemas identificados a través de un proceso central de administración de problemas. Una vez que se completa la diligencia debida, los resultados se agregan y se comparten con la administración de Google Cloud. 

Contratación

Los equipos de Google Cloud que incorporan subcontratistas siguen procesos definidos para ejecutar los contratos adecuados con los subcontratistas antes de que comiencen los servicios. Estos contratos abordan los requisitos sólidos de seguridad, privacidad y cumplimiento de Google Cloud, así como nuestras obligaciones con los clientes sobre los subcontratistas. 

Los ANS, los KPI y otras métricas de rendimiento se definen contractualmente, y se desarrollan estrategias de rendimiento para los subcontratistas con el objetivo de garantizar que la supervisión del rendimiento se lleve a cabo de forma continua.

Integración

Una vez que se complete la diligencia debida, Google notificará a los clientes dentro de los plazos acordados en el contrato de un nuevo subcontratista. 

Por ejemplo, Google Cloud les proporciona a todos los clientes al menos 30 días antes de que un nuevo subencargado del tratamiento de datos comience a procesar los datos del cliente. 

El servicio subcontratado solo puede comenzar y, en el caso de los subencargados del tratamiento de datos, el acceso a los datos del cliente solo puede aprovisionarse después del período de notificación aplicable.

Supervisión continua

Una vez que se incorporan los subcontratistas, los equipos correspondientes de Google Cloud los supervisan de forma continua en varias dimensiones relacionadas con el rendimiento y la administración de riesgos. El rendimiento se administra de forma formal trimestralmente (como mínimo) a través de indicadores clave de rendimiento (KPI) definidos y reuniones para una revisión del informe trimestral de operaciones (QBR). 

Si bien las evaluaciones de riesgos (similares a las evaluaciones de diligencia debida) se realizan de forma anual, los subcontratistas se supervisan de forma continua para detectar posibles cambios en la postura de riesgo que pueden justificar una evaluación adicional. 

Si hay un cambio en el tipo de servicio o en la ubicación de un subcontratista existente, Google Cloud informará a los clientes dentro de los plazos acordados en el contrato. 

Cualquier incidente que Google Cloud identifique durante la supervisión se registra, administra y resuelve a través de un programa central de administración de incidentes que reúne a un equipo multidisciplinario de expertos en un formato de equipo específico para garantizar la investigación, la corrección y la comunicación proactiva de manera oportuna. Puedes encontrar más información en el proceso de respuesta ante incidentes de datos de Google Cloud.


Proceso de respuesta ante incidentes de datos de Google Cloud
Imagen que representa supervisión
Imagen de contrato rescindido

Finalización

La rescisión planificada de los subcontratistas se administra a través de planes de salida que se desarrollan en el momento de la integración y están diseñados para garantizar que no haya un impacto adverso en la prestación de servicios por parte de Google Cloud.

Cómo Google Cloud garantiza la continuidad del servicio

Google Cloud comprende la importancia de la continuidad del servicio para el éxito de los clientes y cuenta con controles internos integrales para protegerla.

Google Cloud realiza evaluaciones periódicas del programa de continuidad empresarial de nuestros subcontratistas para identificar posibles riesgos y desarrollar estrategias para mitigar su impacto. El rendimiento del subcontratista, en comparación con los contratos, se supervisa con regularidad para mantener la calidad del servicio dentro de los indicadores clave de rendimiento (KPI) definidos.



En caso de circunstancias imprevistas en las que Google Cloud necesite transferir el servicio de un subcontratista, se implementarán planes de salida para garantizar una transición fluida y sin interrupciones en el servicio.

Cómo Google Cloud protege los datos de los clientes

Los datos de cliente son de tu propiedad, no de Google. Solo procesamos los datos del cliente de acuerdo con tus instrucciones y no determinamos los fines ni los medios esenciales de ese procesamiento. Por lo tanto, somos un encargado del tratamiento de datos del cliente, no un responsable del tratamiento ni un corresponsable del tratamiento de datos.

Google usa subencargados del tratamiento de datos para realizar actividades limitadas en relación con los servicios de Google Cloud, como los servicios de asistencia técnica. Según nuestro Anexo de Tratamiento de Datos de Cloud, Google se compromete con los clientes a que sus acuerdos escritos con los subencargados del tratamiento de datos contendrán ciertas protecciones. Google garantizará a través de ese acuerdo lo siguiente:



  

  1. El subencargado del tratamiento de datos solo accede y usa los datos del cliente en la medida necesaria para cumplir con las obligaciones que se le subcontratan. 
  2. El subencargado del tratamiento de datos realiza dicho procesamiento de conformidad con el acuerdo por escrito con Google. 
  3. Si la ley aplicable lo exige, se imponen al Subencargado las obligaciones de protección de datos correspondientes (como se describe en el Anexo de Tratamiento de Datos de Cloud).
Anexo de Procesamiento de Datos de Cloud

Google realiza una auditoría de las prácticas de seguridad y privacidad del subencargado del tratamiento de datos para garantizar que este proporciona un nivel adecuado de seguridad y privacidad para el acceso a los datos y el permiso de los servicios que se comprometen a prestar. 

Una vez que Google evalúa los riesgos que presenta el subencargado del tratamiento de datos, se le exige que suscriba las condiciones contractuales adecuadas en materia de seguridad, confidencialidad y privacidad. En particular, Google garantizará a través del contrato que el subencargado del tratamiento de datos acceda a los datos del cliente solo en la medida necesaria para realizar su actividad limitada y que todo acceso se realice de conformidad con las condiciones de protección de datos de Google Cloud. 

Para obtener más información sobre las ofertas de privacidad de Google Cloud, consulta el Centro de recursos de privacidad.

Centro de recursos de privacidad
Imagen de un candado

Da el siguiente paso

Para obtener más información sobre los subcontratistas, comunícate con tu representante de cuenta o con nosotros.

Comenzar gratis
Google Cloud
DocumentaciónAsistencia
Consola
Acceder
Comenzar gratis
Comunicarse con nosotros
  • Acelera tu transformación digital
  • Google Cloud puede ayudarte a superar los desafíos más complejos, ya sea que tu negocio recién comience su recorrido o se encuentre en una fase avanzada de la transformación digital.
  • Productos de Google Cloud
  • Explora más de 100 productos. Los clientes nuevos obtienen $300 en créditos gratuitos para ejecutar, probar e implementar cargas de trabajo. Todos los clientes pueden usar más de 25 productos gratis, hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque transparente de precios
  • Los precios de prepago de Google Cloud ofrecen ahorros automáticos en función del uso mensual y las tarifas con descuento para recursos prepagados. Comunícate con nosotros hoy para obtener una cotización.
Google Cloud