Cloud 第三方風險管理資源中心

Google Cloud 可能會聘僱第三方 (即「分包商」) 執行與 Google Cloud 服務相關的特定活動。這些分包商會受到 Google Cloud 第三方風險管理 (TPRM) 計畫的監控和管理，確保與任何分包商的合作關係都符合 Google Cloud 在安全性、法規遵循和作業效率方面的高標準。

Google Cloud 的 TPRM 計畫採取以風險為準的做法，會根據第三方造成的風險程度，對其進行識別、評估、管理和監控。提供重要服務的第三方會受到更嚴格的管理和監督。具體來說，TPRM 計畫會區分處理客戶資料的分包商 (複委託者) 和不處理客戶資料的分包商。下列內容說明 Google Cloud 在分包商生命週期各階段執行的第三方風險管理活動。

Google Cloud 的 TPRM 計畫由雲端資安長 (CISO) 組織負責管理，並由 Google 的企業第三方風險管理計畫、採購、供應商管理組織、風險與法規遵循團隊，以及法律團隊提供支援，確保整個組織能妥善管理第三方風險。

在與第三方合作之前，Google Cloud TPRM 計畫要求先完成評估，以便將第三方歸類，並判斷第三方服務的風險程度。風險等級用於定義盡職調查、簽約、到職訓練和持續監控的相關規定。在這個階段，我們會評估整體集中度風險，以判斷將新分包商導入 Google Cloud 的影響。

Google Cloud 團隊在招募分包商時，會依照既定程序，在服務開始前與分包商簽訂適當的合約。這些合約涵蓋 Google Cloud 嚴格的安全性、隱私權和法規遵循規定，以及涉及分包商時，我們對客戶的義務。

合約中會明訂服務水準協議、KPI 或其他成效指標，並為分包商制定成效策略，確保持續進行成效監控。

在分包商加入後，Google Cloud 相關團隊會持續監控他們在各層面的成效和風險管理相關表現。我們會透過明確的主要成效指標 (KPI) 和季度業務審查 (QBR) 會議，每季 (至少) 正式管理成效。

我們每年會進行風險評估 (類似盡職調查評估)，並持續監控分包商，以便偵測風險狀況是否有變化，進而決定是否需要進一步評估。

如果現有分包商的服務類型或地點有變更，Google Cloud 會在合約議定時間內通知客戶。

Google Cloud 會透過集中式事件管理計畫，追蹤、管理及解決在監控期間找出的任何事件。這個計畫會讓各部門的專家組成專屬的跨職能團隊，確保能及時進行調查、補救及主動溝通。如需更多資訊，請參閱 Google Cloud 的資料事件應變程序。

Google Cloud 瞭解服務持續性對客戶成功的重要性，並設有完善的內部控管機制來確保服務不中斷。

Google Cloud 會定期評估分包商維持企業營運的計畫，找出潛在風險並制定策略，以減輕風險帶來的影響。我們也會根據合約，定期監控分包商的表現，確保其將服務品質維持在定義的主要成效指標 (KPI) 範圍內。

客戶資料並非屬 Google 所有，您才是資料的擁有者。我們只會依照您的指示處理客戶資料，不會決定處理的目的或基本方式。因此，我們是客戶資料的處理者，而非控管者或共同控管者。

Google 會透過複委託者執行與 Google Cloud 服務相關的特定活動，例如技術支援服務。根據《Cloud 資料處理附加條款》，Google 向客戶保證，其與複委託者簽訂的書面協議將包含特定保護措施。透過該協議，Google 將確保以下事項：

Google 會稽核複委託者的安全性及隱私權做法，並根據該複委託者可能會存取的資料和提供的服務範圍，判斷其採取的安全性及隱私權防護層級是否恰當。

Google 評估複委託者的各項風險後，複委託者必須簽訂適當的安全性、機密性和隱私權合約條款。具體而言，Google 會透過合約確保複委託者僅在執行特定活動的必要範圍內存取客戶資料，且所有存取行為均符合 Google Cloud 的資料保護條款。

如要進一步瞭解 Google Cloud 的隱私權服務，請參閱隱私權資源中心。