Centro risorse per la gestione del rischio di terze parti

Google Cloud si impegna a mantenere un solido programma di gestione dei rischi di terze parti che non solo salvaguardi le operazioni di Google Cloud, ma mantenga la fiducia di clienti e partner di Google Cloud.

Contatta il team di venditaApprofondimenti CISO

Introduzione

Google Cloud può coinvolgere terze parti (subcontraenti) per svolgere attività specifiche in relazione ai servizi Google Cloud. Questi subappaltatori sono monitorati e gestiti tramite il programma di gestione dei rischi di terze parti (TPRM) di Google Cloud, progettato per garantire che gli impegni con qualsiasi subcontraente soddisfino gli elevati standard di sicurezza, conformità ed efficienza operativa di Google Cloud.


L'impegno di Google Cloud si riflette in un continuo investimento per migliorare le nostre capacità di gestione del rischio di terze parti, per rimanere al passo con un panorama dei rischi in continua evoluzione. Inoltre, ci aspettiamo che le terze parti si assumano la responsabilità sociale, ambientale ed etica come definita nel Codice di condotta per i fornitori.

Codice di condotta per i fornitori

Panoramica dei subcontraenti

Il programma TPRM di Google Cloud adotta un approccio basato sul rischio per identificare, valutare, gestire e monitorare le terze parti in modo proporzionale al livello di rischio che queste comportano. Le terze parti che forniscono servizi importanti sono trattate con una governance e una supervisione più elevate. In particolare, il programma TPRM distingue tra i subcontraenti che trattano i dati dei clienti (sub-responsabili) e quelli che non lo fanno. Il contenuto che segue descrive le attività di gestione del rischio di terze parti di Google Cloud in ogni fase del ciclo di vita di un subcontraente.

Immagine dei fornitori

Governance dei rischi di terze parti

Il programma TPRM di Google Cloud è governato e gestito dall'organizzazione Cloud Chief Information Security Officer (CISO) ed è supportato dal programma aziendale di Google per la gestione dei rischi esterni, dalle organizzazioni di approvvigionamento, gestione fornitori, dai team di rischio e conformità, e dal team legale per garantire una gestione appropriata del rischio delle terze parti in tutta l'organizzazione. 


È presente un organismo di gestione interfunzionale a livello esecutivo incaricato di supervisionare e gestire Google Cloud, compreso il rischio di terze parti. L'organo di gestione utilizza una propensione e tolleranza al rischio definite per garantire che il potenziale rischio introdotto dai subcontraenti sia gestito entro limiti accettabili. Inoltre, sono in atto norme e procedure per garantire coerenza e completezza nel modo in cui Google Cloud valuta, monitora e gestisce i rischi complessivi di terze parti.

Ciclo di vita della gestione del rischio di terze parti di Google Cloud

Pianificazione

Prima di coinvolgere una terza parte, il programma TPRM di Google Cloud richiede di completare una valutazione per la sua classificazione e determinare il livello di rischio rappresentato dai suoi servizi. Il livello di rischio viene utilizzato per definire i requisiti per la due diligence, la stipula dei contratti e l'onboarding, nonché per il monitoraggio continuo. In questa fase viene valutato il rischio di concentrazione complessivo per determinare l'impatto dell'onboarding di un nuovo subcontraente in Google Cloud.

Immagine della pianificazione
Immagine della due diligence

Due diligence

Il programma TPRM di Google Cloud è progettato per affrontare un'ampia gamma di aree di rischio relative a terze parti, tra cui sicurezza delle informazioni, privacy, gestione degli incidenti, continuità operativa, conformità normativa, stabilità finanziaria, rischio legati alla posizione geografica, capacità operativa. Per gestire efficacemente questi rischi, Google Cloud coinvolge esperti interni in materia che forniscono approfondimenti specializzati e sviluppano strategie personalizzate di mitigazione e gestione del rischio. Questa competenza consente a Google Cloud di identificare, valutare e mitigare in modo proattivo i potenziali rischi in tutti i rapporti con terze parti. 

Portare a termine con successo una valutazione una valutazione di due diligence è essenziale per l'onboarding e l'inizio del servizio. Su base annuale, i subcontraenti vengono rivalutati e tutti i problemi identificati vengono monitorati, gestiti e risolti utilizzando un processo di gestione dei problemi centralizzato. Al termine della due diligence, i risultati vengono aggregati e condivisi con la gestione di Google Cloud. 

Contrattazione

I team di Google Cloud che eseguono l'onboarding dei subcontraenti seguono procedure definite per stipulare contratti appropriati con i subcontraenti prima dell'inizio dei servizi. Questi contratti affrontano i rigorosi requisiti di sicurezza, privacy e conformità di Google Cloud, nonché i nostri obblighi nei confronti dei clienti in merito ai subcontraenti. 

Gli SLA, i KPI o altre metriche sul rendimento sono definiti contrattualmente e vengono sviluppate strategie di rendimento per i subcontraenti per garantire che il monitoraggio del rendimento venga effettuato su base continuativa.

Onboarding

Una volta completata la due diligence, Google informerà i clienti, entro i tempi concordati contrattualmente, dell'assegnazione di un nuovo subcontraente. 

Ad esempio: Google Cloud fornisce a tutti i clienti un preavviso di almeno 30 giorni prima che un nuovo sub-responsabile inizi a trattare i dati dei clienti. 

Il servizio subappaltato può iniziare e, nel caso di sub-responsabili, l'accesso ai dati dei clienti può essere eseguito solo dopo il periodo di notifica applicabile.

Monitoraggio costante

Una volta completato l'onboarding, i subcontraenti vengono monitorati continuamente dai team Google Cloud pertinenti in varie dimensioni relative a prestazioni e gestione dei rischi. Il rendimento viene gestito formalmente almeno trimestralmente attraverso indicatori chiave di prestazione (KPI) definiti e riunioni di analisi economica trimestrale (QBR). 

Mentre le analisi del rischio (simili ai test di due diligence) vengono condotte su base annuale, i subcontraenti sono monitorati continuamente per rilevare potenziali cambiamenti nella postura del rischio che potrebbero richiedere un'ulteriore valutazione. 

In caso di modifiche al tipo di servizio o alla località di un subcontraente esistente, Google Cloud informerà i clienti entro i tempi concordati contrattualmente. 

Tutti gli incidenti identificati da Google Cloud durante il monitoraggio vengono tracciati, gestiti e risolti attraverso un programma centrale di gestione degli incidenti che riunisce un team cross-funzionale di esperti in un formato di team dedicato per garantire l'indagine, la correzione e la comunicazione proattiva in modo tempestivo. Ulteriori informazioni sono disponibili sul processo di risposta agli incidenti relativi ai dati di Google Cloud.


Processo di risposta agli incidenti relativi ai dati di Google Cloud
Immagine del monitoraggio
Immagine del contratto risolto

Risoluzione

La risoluzione pianificata dei subcontraenti viene gestita tramite piani di uscita che vengono sviluppati al momento dell'onboarding e sono progettati per garantire che non vi siano impatti negativi sul provisioning dei servizi da parte di Google Cloud.

In che modo Google Cloud garantisce la continuità del servizio

Google Cloud comprende l'importanza della continuità del servizio per il successo dei clienti e dispone di controlli interni completi per proteggerla.

Google Cloud effettua regolarmente test del programma di continuità operativa dei nostri subcontraenti per identificare potenziali rischi e sviluppare strategie per mitigarne l'impatto. Il rendimento dei subcontraenti, rispetto ai contratti, viene monitorato regolarmente per mantenere la qualità del servizio entro i limiti degli indicatori chiave di prestazione (KPI) definiti.



In caso di circostanze impreviste, in cui Google Cloud debba trasferire il servizio da un subcontraente, sono in atto piani di uscita per garantire una transizione senza interruzioni del servizio.

In che modo Google Cloud protegge i dati dei clienti

I dati del cliente sono tuoi, non di Google. Trattiamo i dati dei clienti solo in base alle tue istruzioni e non determiniamo gli scopi o i mezzi essenziali di questo trattamento. Siamo quindi un responsabile del trattamento dei dati dei clienti, non un titolare o un contitolare del trattamento.

Google si avvale di sub-responsabili per svolgere attività limitate in relazione ai servizi Google Cloud, come i servizi di assistenza tecnica. Come da Addendum per il trattamento dei dati Cloud, Google si impegna nei confronti dei clienti a stipulare accordi scritti con i sub-responsabili che contengano determinate protezioni. Google si assicurerà tramite questo accordo che:



  

  1. Il sub-responsabile acceda e utilizzi i dati del cliente esclusivamente nella misura necessaria a soddisfare le obbligazioni definite nel subcontratto. 
  2. Il sub-responsabile esegua questo trattamento in conformità all'accordo scritto con Google. 
  3. Se richiesto dalla legge vigente, al sub-responsabile vengano imposti i relativi obblighi in materia di protezione dei dati (come descritto nell'Addendum per il trattamento dei dati Cloud).
Addendum per il trattamento dei dati Cloud

Google conduce un controllo delle Norme di tutela della privacy e della sicurezza adottate dal sub-responsabile per assicurare che questo fornisca un livello di sicurezza e privacy consono all'accesso ai dati e alla portata dei servizi per cui viene incaricato. 

Dopo che Google ha valutato i rischi presentati dal sub-responsabile, quest'ultimo dovrà sottoscrivere dei termini contrattuali consoni in merito alla sicurezza, alla riservatezza e alla privacy. In particolare, Google si assicurerà tramite il contratto che il sub-responsabile acceda ai dati dei clienti solo nella misura necessaria per svolgere la sua attività limitata e che ogni accesso avvenga in conformità ai termini di protezione dei dati di Google Cloud. 

Per maggiori informazioni sulle offerte di Google Cloud in materia di privacy, consulta il Centro risorse per la privacy.

Centro risorse per la privacy
Immagine di un lucchetto

Fai il prossimo passo

Per maggiori informazioni sui subcontraenti, contatta il tuo rappresentante dell'account o contattaci.

Inizia gratuitamente
Google Cloud
DocumentiAssistenza
Console
Accedi
Inizia gratuitamente
Contattaci
  • Accelera la tua trasformazione digitale
  • Sia che la tua azienda sia all'inizio o a buon punto del suo percorso verso la trasformazione digitale, Google Cloud può aiutarti a risolvere le sfide più difficili.
  • Prodotti Google Cloud
  • Scopri oltre 100 prodotti. I nuovi clienti ricevono 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei workload. Tutti i clienti hanno a disposizione oltre 25 prodotti gratuitamente, entro i limiti di utilizzo mensili.
  • Risparmia con il nostro approccio trasparente ai prezzi
  • Il pagamento a consumo di Google Cloud offre risparmi automatici in base all'utilizzo mensile e alle tariffe scontate per risorse prepagate. Contattaci oggi per richiedere un preventivo.
Google Cloud