Central de recursos de gerenciamento de risco de terceiros

O Google Cloud se dedica a manter um programa robusto de gerenciamento de riscos de terceiros que não só protege as operações do Google Cloud, mas também mantém a confiança dos clientes e parceiros do Google Cloud.

Entre em contato com a equipe de vendasInsights do CISO

Introdução

O Google Cloud pode contratar terceiros (subcontratados) para realizar atividades específicas relacionadas aos serviços do Google Cloud. Esses subcontratados são monitorados e gerenciados pelo programa de gerenciamento de riscos de terceiros (TPRM, na sigla em inglês) do Google Cloud, que foi criado para garantir que os contratos com qualquer subcontratado mantenham os altos padrões de segurança, compliance e eficiência operacional do Google Cloud.


O compromisso do Google Cloud é refletido no investimento contínuo em aprimorar nossos recursos de gerenciamento de riscos de terceiros, para ficar à frente em um cenário de riscos em constante mudança. Além disso, espera-se que os terceiros assumam a responsabilidade social, ambiental e ética conforme definido no Código de Conduta do Fornecedor.

Código de Conduta do Fornecedor

Visão geral dos subcontratados

O programa TPRM do Google Cloud adota uma abordagem baseada em riscos para identificar, avaliar, gerenciar e monitorar terceiros de acordo com o nível de risco que eles representam. Terceiros que fornecem serviços importantes são tratados com governança e supervisão reforçadas. Em particular, o programa TPRM distingue entre subcontratados que processam dados do cliente (subprocessadores) e aqueles que não processam. O conteúdo abaixo descreve as atividades de gerenciamento de riscos de terceiros do Google Cloud em cada fase do ciclo de vida de um subcontratado.

Imagem de fornecedores

Governança de risco de terceiros

O programa de TPRM do Google Cloud é governado e gerenciado pela organização do Chief Information Security Officer (CISO) do Cloud e tem o suporte do programa corporativo de gerenciamento de riscos de terceiros do Google, de aquisição, de organizações de gerenciamento de fornecedores, de risco e compliance e de equipes jurídicas para garantir o gerenciamento adequado de riscos de terceiros em toda a organização. 


Um órgão de gestão multifuncional e executivo está em vigor para supervisionar e gerenciar o Google Cloud, incluindo o risco de terceiros. O órgão de gestão utiliza um apetite e uma tolerância a riscos definidos para garantir que o risco potencial introduzido pelos subcontratados seja gerenciado dentro de limites aceitáveis. Além disso, políticas e procedimentos estão em vigor para garantir a consistência e a exatidão na forma como o Google Cloud avalia, monitora e gerencia os riscos gerais de terceiros.

Ciclo de vida do gerenciamento de riscos de terceiros do Google Cloud

Planejamento

Antes de contratar um terceiro, o programa de gerenciamento de riscos de terceiros (TPRM, na sigla em inglês) do Google Cloud exige que uma avaliação seja concluída para classificar o terceiro e determinar o nível de risco representado pelo serviço. O nível de risco é usado para definir requisitos de auditoria, contratação e integração, além de monitoramento contínuo. Nessa etapa, o risco de concentração geral é avaliado para determinar o impacto da integração de um novo subcontratado ao Google Cloud.

Imagem de planejamento
Imagem de auditoria

Auditoria

O programa TPRM do Google Cloud foi criado para abordar uma ampla variedade de áreas de risco de terceiros, incluindo segurança da informação, privacidade, gerenciamento de incidentes, continuidade dos negócios, conformidade regulatória, estabilidade financeira, risco de localização, capacidade operacional, entre outras. Para gerenciar esses riscos de maneira eficaz, o Google Cloud conta com especialistas internos que fornecem insights especializados e desenvolvem estratégias personalizadas de gerenciamento e redução de riscos. Essa experiência permite que o Google Cloud identifique, avalie e mitigue riscos em potencial de forma proativa em relacionamentos com terceiros. 

A conclusão satisfatória de uma avaliação de auditoria é essencial para a integração e o início do serviço. Os subcontratados são reavaliados anualmente, e os problemas identificados são rastreados, gerenciados e resolvidos usando um processo central de gerenciamento de problemas. Após a conclusão da auditoria, os resultados são agregados e compartilhados com o Gerenciamento do Google Cloud. 

Contratação

As equipes do Google Cloud que fazem a integração de subcontratados seguem processos definidos para executar os contratos apropriados com os subcontratados antes do início dos serviços. Esses contratos abordam os requisitos robustos de segurança, privacidade e conformidade do Google Cloud, bem como nossas obrigações para com os clientes sobre subcontratados. 

SLAs, KPIs ou outras métricas de desempenho são definidos contratualmente e estratégias de desempenho são desenvolvidas para subcontratados para garantir que o monitoramento de desempenho seja realizado de forma contínua.

Integração

Depois que a auditoria for concluída, o Google vai notificar os clientes sobre o novo subcontratado dentro dos prazos acordados no contrato. 

Por exemplo, o Google Cloud dá a todos os clientes pelo menos 30 dias antes que um novo Subprocessador comece a processar os dados do cliente. 

O serviço subcontratado só pode começar e, no caso de subprocessadores, o acesso aos dados do cliente só pode ser provisionado após o período de notificação aplicável.

Monitoramento contínuo

Depois que os subcontratados são integrados, eles são monitorados continuamente pelas equipes relevantes do Google Cloud em várias dimensões relacionadas ao desempenho e gerenciamento de riscos. O desempenho é gerenciado formalmente a cada trimestre (no mínimo) por meio de indicadores principais de desempenho (KPIs) definidos e reuniões de revisão trimestral de negócios (QBR). 

As avaliações de risco (semelhantes às avaliações de auditoria de situação financeira) são realizadas anualmente, mas os subcontratados são monitorados de modo contínuo para detectar possíveis mudanças na postura de risco que possam justificar uma avaliação mais aprofundada. 

Se houver uma mudança no tipo de serviço ou no local de um subcontratado, o Google Cloud informará os clientes dentro dos prazos acordados no contrato. 

Os incidentes identificados pelo Google Cloud durante o monitoramento são rastreados, gerenciados e resolvidos por um programa central de gerenciamento de incidentes que reúne uma equipe multifuncional de especialistas em um formato dedicado para garantir a investigação, correção e comunicação proativa em tempo hábil. Saiba mais sobre o processo de resposta a incidentes de dados do Google Cloud.


Processo de resposta a incidentes de dados do Google Cloud
Imagem do monitoramento
Imagem de contrato rescindido

Rescisão

O encerramento planejado de Subcontratados é gerenciado por planos de saída que são desenvolvidos no momento da integração e desenvolvidos para garantir que não haja impacto negativo no provisionamento de serviços oferecidos pelo Google Cloud.

Como o Google Cloud garante a continuidade do serviço

O Google Cloud entende a importância da continuidade do serviço para o sucesso dos clientes e tem controles internos abrangentes para protegê-la.

O Google Cloud faz avaliações regulares do programa de continuidade de negócios dos nossos subcontratados para identificar possíveis riscos e desenvolver estratégias para mitigar o impacto deles. O desempenho do Subcontratado, em relação aos contratos, é monitorado regularmente para manter a qualidade do serviço dentro dos indicadores principais de desempenho (KPIs) definidos.



Quando houver circunstâncias imprevistas, em que o Google Cloud precisa fazer a transição de um serviço de um Subcontratado, planos de saída bem definidos estão em vigor para garantir uma transição tranquila, sem interrupção do serviço.

Como o Google Cloud protege os dados dos clientes

Os dados do cliente são seus, e não do Google. Processamos os dados do cliente apenas de acordo com suas instruções e não determinamos os propósitos ou os meios essenciais desse processamento. Portanto, somos um processador de dados do cliente, e não um controlador ou um controlador conjunto.

O Google usa Subprocessadores para realizar atividades limitadas relacionadas aos serviços do Google Cloud, como serviços de suporte técnico. De acordo com nosso Aditivo sobre tratamento de dados do Cloud, o Google se compromete com os clientes a incluir certas proteções nos contratos escritos com os subprocessadores. O Google vai garantir, por meio desse contrato, que:



  

  1. O Subprocessador só acessa e usa os dados do cliente na medida necessária para cumprir as obrigações subcontratadas a ele; 
  2. O subprocessador realiza o processamento de acordo com o contrato por escrito com o Google; e 
  3. Se exigido pela legislação aplicável, as obrigações relevantes de proteção de dados (conforme descritas no Aditivo sobre tratamento de dados do Cloud) são impostas ao Subprocessador.
Adendo sobre processamento de dados do Cloud

O Google realiza uma auditoria das práticas de segurança e privacidade do Aubprocessador para garantir que ele ofereça um nível de segurança e privacidade adequado ao acesso aos dados e ao escopo dos serviços que ele precisa prestar. 

Depois que o Google avalia os riscos apresentados pelo Subprocessador, este precisa assinar termos de contratos de segurança, confidencialidade e privacidade adequados. Em particular, o Google vai garantir, por meio do contrato, que o Subprocessador acesse os dados do cliente apenas na medida necessária para realizar a atividade limitada e que todo acesso esteja de acordo com os termos de proteção de dados do Google Cloud. 

Para mais informações sobre as ofertas de privacidade do Google Cloud, consulte a Central de recursos de privacidade.

Central de recursos de privacidade
Imagem de cadeado

Vá além

Para mais informações sobre subcontratados, entre em contato com seu representante de conta ou conosco.

Comece a usar gratuitamente
Google Cloud
DocumentosSuporte
Console
Fazer login
Comece gratuitamente
Entre em contato com nossa equipe
  • Acelere sua transformação digital
  • Seja no início da jornada ou já a caminho da transformação digital, o Google Cloud pode ajudar a superar os desafios mais difíceis.
  • Produtos do Google Cloud
  • Acesse mais de 100 produtos. Clientes novos ganham US$ 300,00 em créditos para executar, testar e implantar cargas de trabalho. Todos os clientes podem usar mais de 25 produtos gratuitamente até alcançarem os limites de uso mensais.
  • Economize com nossa abordagem de preços transparente
  • Os preços de pagamento por utilização do Google Cloud oferecem economia automática com base no uso mensal e preços com desconto para recursos pré-pagos. Entre em contato hoje mesmo para receber uma cotação.
Google Cloud