تم إجراء آخر تعديل على هذا المحتوى في شباط (فبراير) 2025، ويمثّل الوضع الراهن اعتبارًا من وقت كتابته. في إطار جهودنا المتواصلة لتحسين الحماية من أجل عملائنا، قد تتغيّر سياسات وأنظمة أمان Google من الآن فصاعدًا.
مقدمة
توفّر منصة خرائط Google واجهات برمجة تطبيقات وحِزم تطوير برامج للعملاء وال partners لتطوير تطبيقات الويب والتطبيقات المتوافقة مع الأجهزة الجوّالة باستخدام تكنولوجيا Google المتعلّقة بالمواقع الجغرافية. توفّر "منصّة خرائط Google" أكثر من 50 واجهة برمجة تطبيقات وحزمة تطوير برامج (SDK) للعملاء في مجالات متعددة. بصفتك عميلًا في المجال، عليك غالبًا استيفاء متطلبات الأمان واستخدام البيانات واللوائح التنظيمية عند إنشاء حلولك. ويشمل ذلك التأكّد من استيفاء التكنولوجيا التابعة لجهة خارجية للمتطلبات نفسها.
يوفّر هذا المستند ملخّصًا عامًا عن عناصر التحكّم في الأشخاص والعملية والتكنولوجيا التي تقدّمها "منصّة خرائط Google"، بالإضافة إلى وصف مزايا استخدام المنصة. أولاً، من المهم فهم المكوّنَين العميقَين التاليَين لتكنولوجيا "منصّة خرائط Google":
- التقنيات ومراكز البيانات والبنية الأساسية التي تقدّمها Google تعمل منصة Google Maps بالكامل على مراكز البيانات والبنية الأساسية التي تقدّمها Google. وبناءً على ذلك، تُطبّق عمليات التدقيق الداخلية والخارجية على عناصر التحكّم في الأمان التي تحصل عليها من Google للتحقّق من أنّ منصّة "خرائط Google" تنفّذ بشكلٍ صحيح عناصر التحكّم في الأمان والتشغيل والفنية описанة في هذه المقالة.
- تكنولوجيا "منصة خرائط Google" بالإضافة إلى عناصر التحكّم المُكتسَبة، تقدّم Google Maps Platform عناصر تحكّم إضافية في الأمان والخصوصية والبيانات والعمليات لمجموعات منتجات Google.
يلخّص هذا المستند عمليات الأمان وعناصر التحكّم في "منصّة خرائط Google"، ويصنّفها على النحو التالي:
- التركيز على الأمان والخصوصية على جميع مستويات مؤسسة Google
- البنية الأساسية التقنية وأمان الأجهزة
- الأمان التشغيلي
- عناصر التحكّم الرئيسية في الأمان
- الأمان من جهة العميل، سواء على الويب أو الأجهزة الجوّالة
- عمليات التدقيق والاعتمادات الحالية في "منصة خرائط Google"
- الأطر القانونية المتوافقة على مستوى العالم
يمكن للعملاء المحتملين التواصل مع ممثل مبيعات Google للحصول على معلومات إضافية.
ثقافة Google التي تركّز على الأمان والخصوصية
يشكّل الأمان الأساس الذي تستند إليه البنية التنظيمية والثقافة وأولويات التدريب وعمليات التوظيف في Google. وهي تحدّد تصميم مراكز بيانات Google والتكنولوجيا التي تقدّمها. يشكّل الأمان أساسًا لعمليات Google اليومية، بما في ذلك التخطيط للكوارث وإدارة التهديدات. تعطي Google الأولوية للأمان في كيفية التعامل مع البيانات وعناصر التحكّم في الحسابات وعمليات تدقيق الامتثال وشهادات الاعتماد في المجال. تصمّم Google خدماتها لتوفير مستوى أمان أفضل من العديد من البدائل المُستضافة على الموقع والتي تعتمد على مورّدين ومنصّات متعددة حيث غالبًا ما يكون الأمان عملية غير متّصلة. يمكنك الاستفادة من برامج الأمان وعناصر التحكّم المتكاملة من Google عند الاستفادة من منتجات "منصة خرائط Google" لنشاطك التجاري. تضع "منصة خرائط Google" الأمان في أولوية عملياتها، وهي عمليات تخدم أكثر من مليار مستخدم حول العالم.
توفّر Google وGoogle Maps Platform معًا طبقات أمان متعدّدة في جميع أنحاء الشركة والمؤسسة:
- فريق الأمان المتخصّص في Google
- فريق أمان منتجات "منصة خرائط Google"
- المشاركة النشطة في منتدى الأبحاث الأمنية العالمي
- فريق الخصوصية في "منصة خرائط Google"
- تدريب موظفي Google على الأمان والخصوصية
- المتخصّصون في التدقيق الداخلي والامتثال
فِرق الأمان المتخصّصة في Google
توفّر Google فِرق أمان مخصّصة في جميع أنحاء الشركة وضمن مجالات المنتجات.
تقدّم فِرق الأمان على مستوى Google الدعم في مجالات منتجات متعددة في Google، بما في ذلك "منصة خرائط Google". يتضمّن فريق الأمان بعضًا من أفضل الخبراء في العالم في مجال أمان المعلومات وأمان التطبيقات والتشفير وأمان الشبكات. تشمل أنشطتها ما يلي:
- تطوير عمليات الأمان ومراجعتها وتنفيذها ويشمل ذلك مراجعة خطط الأمان لشبكات Google وتقديم خدمات مستشارة خاصة بالمشروع لفِرق المنتجات والهندسة في Google. على سبيل المثال، يراجع متخصّصو التشفير عمليات إطلاق المنتجات التي تُنفِّذ التشفير كهدية مجانية.
- إدارة التهديدات الأمنية بشكل نشط باستخدام كلّ من الأدوات التجارية والمخصّصة، يراقب الفريق التهديدات المستمرة والنشاط المريب على شبكات Google.
- إجراء عمليات تدقيق وتقييمات روتينية، والتي يمكن أن تشمل الاستعانة بخبراء خارجيين لإجراء تقييمات الأمان
- نشر مقالات عن الأمان في المنتدى الأوسع نطاقًا تنشر Google مدوّنة أمان وسلسلة فيديوهات على YouTube تهدف إلى تسليط الضوء على العديد من فِرق الأمان وإنجازاتها.
يتعاون فريق أمان "منصة خرائط Google" مع فريق أمان Google، ويعمل بشكل وثيق مع فريق تطوير المنتجات وفريق SRE للإشراف على تنفيذ إجراءات الأمان. على وجه التحديد، يدير هذا الفريق ما يلي:
- إنّ اختبار قدرة التأقلم مع الكوارث (DiRT) في "منصة خرائط Google"، الذي يختبر استمرارية العمل وإمكانية التبديل في منتجات "منصة خرائط Google"، يتم تنفيذه على البنية الأساسية العالية التوفّر من Google.
- اختبار الاختراق من جهة خارجية تخضع منتجات Google Maps Platform لاختبار الاختراق سنويًا على الأقل لتحسين مستوى الأمان في Google وتقديم ضمان أمان مستقل لك.
التعاون مع منتدى أبحاث الأمان
تتمتع Google منذ فترة طويلة بعلاقة وثيقة مع منتدى باحثي الأمان، وتُقدّر Google بشدة مساعدتهم في تحديد نقاط الضعف المحتملة في "منصّة خرائط Google" ومنتجات Google الأخرى. تشارك فِرق الأمان لدينا في أنشطة البحث والتواصل للاستفادة من المنتدى على الإنترنت. على سبيل المثال، ندير Project Zero، وهو فريق من الباحثين المختصّين بالأمان ويكرّسون جهودهم لدراسة الثغرات الأمنية التي يتم اكتشافها للمرة الأولى. تشمل أمثلة هذا البحث اكتشاف Spectre وMeltdown وPOODLE SSL 3.0 وأوجه القصور في مجموعة التشفير.
يشارك مهندسو الأمان والباحثون في Google بشكل نشط في المجتمع الأكاديمي للأمان ومجتمع أبحاث الخصوصية وينشرون أبحاثهم. يمكن العثور على المنشورات المتعلّقة بالأمان على موقع Google Research الإلكتروني. نشرت فِرق الأمان في Google تقريرًا مفصّلاً عن ممارساتها وخبرتها في كتاب إنشاء أنظمة آمنة وموثوقة.
يقدّم برنامج مكافآت رصد الثغرات الأمنية مكافآت تبلغ قيمتها عشرات الآلاف من الدولارات لكل ثغرة أمنية مؤكدة. يشجع البرنامج الباحثين على الإبلاغ عن مشاكل التصميم والتنفيذ التي قد تؤدي إلى تعريض بيانات العملاء للخطر. في عام 2023، منحت Google للباحثين أكثر من 10 مليون دولار أمريكي من الجوائز المالية. للمساعدة في تحسين أمان الرموز البرمجية المفتوحة المصدر، يوفّر برنامج الثغرات الأمنية أيضًا مجموعة متنوعة من المبادرات للباحثين. لمزيد من المعلومات عن هذا البرنامج، بما في ذلك المكافآت التي تمنحها Google، يُرجى الاطّلاع على الإحصاءات الرئيسية لمطاردي الأخطاء.
يشارك خبراء التشفير لدينا من الطراز العالمي في مشاريع التشفير الرائدة في المجال. على سبيل المثال، لقد صممّنا إطار عمل الذكاء الاصطناعي الآمن (SAIF) للمساعدة في تأمين أنظمة الذكاء الاصطناعي. بالإضافة إلى ذلك، لحماية اتصالات بروتوكول أمان طبقة النقل (TLS) من هجمات أجهزة الكمبيوتر الكمّية، طوّرنا خوارزمية التشفير Combined Elliptic-Curve and Post-Quantum (CECPQ2). طوّر خبراء التشفير لدينا Tink، وهي مكتبة مفتوحة المصدر لواجهات برمجة التطبيقات التشفيرية. نستخدم أيضًا Tink في منتجاتنا وخدماتنا الداخلية.
لمزيد من المعلومات حول كيفية الإبلاغ عن مشاكل الأمان، يُرجى الاطّلاع على كيفية تعامل Google مع الثغرات الأمنية.
فريق الخصوصية المخصّص في "منصة خرائط Google"
يعمل فريق الخصوصية المخصّص بشكل منفصل عن فِرق تطوير المنتجات و فِرق الأمان. وتدعم هذه الميزة مبادرات الخصوصية الداخلية لتحسين كل أجزاء الخصوصية: العمليات المُهمّة والأدوات الداخلية والبنية الأساسية وتطوير المنتجات. ينفّذ فريق الخصوصية ما يلي:
- التأكّد من أنّ كل عملية إطلاق لمنتج من منتجات "مبادرة المعالجة المحدودة للبيانات" التي تؤثر في الخصوصية تتضمّن معايير خصوصية قوية و"الخصوصية من خلال التصميم" من خلال تقييم مستندات التصميم ومراجعة الإطلاق
- تقديم الاستشارات لفِرق منتجات "برنامج عمل المطوّرين" في أي مرحلة من مراحل التطوير لتقديم المشورة بشأن سياسة الخصوصية والبنية الأساسية في Google، وتصميم الخصوصية، وتكنولوجيات تعزيز الخصوصية وعناصر التحكّم فيها، وتقييم مخاطر الخصوصية والحدّ منها
- بعد إطلاق المنتج، يتولّى فريق الخصوصية الإشراف على العمليات التي تتحقّق من جمع البيانات واستخدامها بشكل مناسب.
- تُجري الأبحاث حول أفضل الممارسات المتعلّقة بالخصوصية، وتساهم في مجموعات العمل الدولية لمعايير الخصوصية، وتشارك في مناقشات أكاديمية حول الخصوصية والمؤتمرات. .
تدريب موظفي Google على الأمان والخصوصية
يخضع جميع موظفي Google لتدريب على الأمان والخصوصية كجزء من عملية التوجيه، ويتلقّون تدريبًا مستمرًا على الأمان والخصوصية طوال مسيرتهم المهنية في Google. خلال فترة التوجيه، يوافق الموظفون الجدد على رمز السلوك الذي يُبرز التزام Google بالحفاظ على سلامة معلومات العملاء وأمانها.
استنادًا إلى دور الموظفين الوظيفي، قد يُطلب منهم الحصول على تدريب إضافي حول جوانب معيّنة من الأمان. على سبيل المثال، يقدّم فريق أمان المعلومات للموظفين المهندسين الجدد تدريبات حول ممارسات الترميز الآمن وتصميم المنتجات وأدوات اختبار الثغرات الأمنية المبرمَجة. يحضر المهندسون جلسات إحاطة أمنية منتظمة ويتلقّون نشرات إخبارية حول الأمان تتناول التهديدات الجديدة وأنماط الهجمات وأساليب التخفيف من المخاطر وغير ذلك.
يشهد مجال الأمان والخصوصية تغييرات مستمرة، وندرك أنّ مشاركة الموظفين المخصّصين هي إحدى الوسائل الرئيسية لزيادة الوعي. نستضيف مؤتمرات داخلية منتظمة مفتوحة لجميع الموظفين لزيادة الوعي وتعزيز الابتكار في مجال الأمان وخصوصية البيانات. نستضيف فعاليات في مكاتبنا حول العالم لزيادة الوعي بالأمان والخصوصية في تطوير البرامج ومعالجة البيانات وفرض السياسات.
المتخصّصون في التدقيق الداخلي والامتثال
تتضمّن "منصة خرائط Google" فريق تدقيق داخليًا مخصّصًا لمراجعة امتثال منتجات Google للقوانين واللوائح التنظيمية المتعلقة بالأمان في جميع أنحاء العالم. عند إنشاء معايير مراجعة جديدة وتعديل المعايير الحالية، يحدّد فريق المراجعة الداخلي عناصر التحكّم والعمليات والأنظمة اللازمة للمساعدة في تلبية تلك المعايير. يقدّم هذا الفريق الدعم لعمليات التدقيق والتقييمات المستقلة التي تجريها جهات خارجية. لمزيد من المعلومات، يُرجى الاطّلاع على قسم شهادات الأمان والتدقيقات في وقت لاحق من هذا المستند.
منصة تم إنشاؤها مع التركيز على الأمان
تصمّم Google خوادمها وأنظمة التشغيل المملوكة ومراكز البيانات الموزّعة جغرافيًا باستخدام مبدأ الدفاع المتعدّد الطبقات. تعمل Google Maps Platform على بنية أساسية فنية مصمّمة ومُنشأة للعمل بأمان. لقد أنشأنا بنية أساسية لتكنولوجيا المعلومات أكثر أمانًا وسهولة في الإدارة مقارنةً بالحلول التقليدية المستضافة أو المستضافة على الموقع.
مراكز بيانات حديثة
يُعدّ تركيز Google على أمان البيانات وحمايتها من بين معيار التصميم الأساسي في Google. إنّ الأمان المادي في مراكز بيانات Google هو نموذج أمان متعدّد الطبقات. تشمل إجراءات الأمان المادي وسائل وقاية مثل بطاقات الوصول الإلكترونية المصمّمة خصيصًا وأجهزة الإنذار وحواجز وصول المركبات والأسيجة المحيطة بالمبنى وأجهزة رصد المعادن والمقاييس الحيوية. بالإضافة إلى ذلك، لرصد المُتسلّلين وتتبُّعهم، تستخدم Google تدابير أمان، مثل رصداقتحام شعاع الليزر والمراقبة على مدار الساعة من خلال كاميرات داخلية وخارجية عالية الدقة. تتوفّر سجلّات الوصول وسجلّات الأنشطة ولقطات الكاميرا في حال وقوع حادثة. يُجري حراس الأمن ذوو الخبرة، الذين اجتازوا عمليات تفتيش خلفي وتدريبًا صارمًا، دوريات منتظمة في مراكز بيانات Google. وكلما اقتربت من أرضية مركز البيانات، تزداد أيضًا تدابير الأمان. لا يمكن الوصول إلى طابق مركز البيانات إلا من خلال ممر أمان يطبق عناصر التحكّم في الوصول المتعدّدة العوامل باستخدام شارات الأمان والسمات الحيوية. ولا يمكن الدخول إلا للموظفين المعتمَدين الذين لديهم أدوار معيّنة. لن تطأ قدم أقل من واحد في المئة من موظفي Google أحد مراكز البيانات التابعة للشركة.
تدير Google مراكز بيانات على مستوى العالم لزيادة سرعة خدماتها وموثوقيتها إلى أقصى حدّ. يتم إعداد بنيته الأساسية بشكل عام لعرض الزيارات من مركز البيانات الأقرب إلى مصدر الزيارات. وبالتالي، قد يختلف الموقع الجغرافي الدقيق لبيانات "منصّة خرائط Google" حسب مصدر هذه الزيارات، وقد تعالج هذه البيانات خوادم واقعة في المنطقة الاقتصادية الأوروبية والمملكة المتحدة أو يتم نقلها إلى بلدان خارجية. إنّ عروض عملاء Google التي يتم فيها تنفيذ منتجات "منصّة خرائط Google" متاحة بشكل عام على مستوى العالم، ويجذب بعضها غالبًا جمهورًا عالميًا. يتم نشر البنية الأساسية الفنية التي توفّر هذه المنتجات على مستوى العالم لتقليل وقت الاستجابة وضمان تكرار الأنظمة. تستخدِم "منصّة خرائط Google" مجموعة فرعية من شبكة مراكز البيانات العالمية في Google المُدرَجة أدناه للرجوع إليها:
أمريكا الشمالية والجنوبية
أوروبا
آسيا
تشغيل مراكز بيانات Google
للحفاظ على تشغيل الخدمات على مدار الساعة طوال أيام الأسبوع وتقديم خدمات غير متقطّعة، تم تجهيز مراكز بيانات Google بأنظمة طاقة وعناصر تحكّم بيئية احتياطية. يحتوي كل عنصر مهم على مصدر طاقة أساسي وبديل، وكل منهما يقدّم طاقة متساوية. يمكن أن توفّر مولدات الطاقة الاحتياطية طاقة كهربائية كافية في حالات الطوارئ لتشغيل كل مركز بيانات بكامل طاقته. تحافظ أنظمة التبريد على درجة حرارة تشغيل ثابتة للخوادم والأجهزة الأخرى، ما يقلل من خطر انقطاع الخدمة مع الحد من التأثير البيئي. تساعد معدات رصدوإطفاء الحرائق في منع تلف الأجهزة. تُشغِّل أدوات رصد الحرارة وأدوات رصدالنار وأدوات رصد الدخان أجهزة إنذار مسموعة ومرئية في وحدات تحكّم عملياتالأمان وفي مكاتب المراقبة عن بُعد.
Google هي أوّل شركة كبرى لخدمات الإنترنت تحصل على اعتماد خارجي لمعاييرها العالية في ما يتعلّق بالبيئة وسلامة أماكن العمل وإدارة الطاقة في جميع مراكز بيانات Google. على سبيل المثال، لإثبات التزام Google بممارسات إدارة الطاقة، حصلت Google على شهادات ISO 50001 الطوعية لمراكز البيانات في أوروبا.
الأجهزة والبرامج المخصّصة للخادم
تحتوي مراكز بيانات Google على خوادم ومعدّات شبكة مخصّصة، وبعض هذه المعدّات من تصميم Google. على الرغم من أنّ خوادم Google مخصّصة لتحسين الأداء والتبريد وكفاءة استخدام الطاقة إلى أقصى حدّ، إلا أنّها مصمّمة أيضًا للمساعدة في الحماية من هجمات الاختراق المادي. على عكس معظم الأجهزة المتاحة تجاريًا، لا تتضمّن خوادم Google مكونات غير ضرورية، مثل بطاقات معالجة رسومات الفيديو أو شرائح المعالجة أو موصلات الأجهزة الطرفية، والتي يمكن أن تؤدي جميعها إلى تعريض خوادم Google لنقاط ضعف. تتحقّق Google من مورّدي المكوّنات وتختار المكوّنات بعناية، وتتعاون مع المورّدين لتدقيق خصائص الأمان التي توفرها المكوّنات والتحقّق منها. تصمّم Google شرائح مخصّصة، مثل Titan، تساعدنا في التعرّف على أجهزة Google الصالحة ومصادقتها بأمان على مستوى الأجهزة، بما في ذلك الرمز الذي تستخدمه هذه الأجهزة لبدء التشغيل.
يتم تخصيص موارد الخادم ديناميكيًا. يمنحنا ذلك المرونة اللازمة للنمو ويسمح لنا بالتكيّف بسرعة وكفاءة مع طلبات العملاء من خلال إضافة موارد أو إعادة تخصيصها. ويتم الحفاظ على هذه البيئة المتجانسة من خلال برامج خاصة ترصد الأنظمة باستمرار بحثًا عن تعديلات على مستوى الثنائيات. تم تصميم آليات الاستجابة الذاتية المبرمَجة من Google بهدف تمكيننا من رصد الأحداث التي تؤدي إلى عدم الاستقرار ومعالجتها، وتلقّي إشعارات بشأن الحوادث، وإبطاء عمليات الاختراق المحتملة على الشبكة.
نشر الخدمة بأمان
خدمات Google هي ملفات التطبيق الثنائية التي يكتبها مطوّرو Google ويشغّلونها على بنية Google الأساسية. للتعامل مع النطاق المطلوب من أعباء العمل، قد تعمل آلاف الأجهزة على تشغيل ملفات ثنائية للخدمة نفسها. تتحكّم خدمة تنسيق المجموعات المُسمّاة Borg في الخدمات التي يتم تشغيلها مباشرةً على البنية الأساسية.
لا تفترض البنية الأساسية أي ثقة بين الخدمات التي يتم تشغيلها على البنية الأساسية. يُشار إلى نموذج الثقة هذا باسم نموذج أمان "انعدام الثقة". يعني نموذج الأمان "عدم الثقة" أنّه لا يتم بشكلٍ تلقائي الوثوق بأي أجهزة أو مستخدمين، سواء كانوا داخل الشبكة أو خارجها.
بما أنّ البنية الأساسية مصمّمة لتكون متعددة المستأجرين، يتم توزيع بيانات عملاء Google (المستهلكون والأنشطة التجارية وحتى بيانات Google نفسها) على مستوى البنية الأساسية المشتركة. تتألف هذه البنية الأساسية من عشرات الاف من الأجهزة المتشابهة. لا تُفصِّل البنية الأساسية بيانات العملاء على جهاز واحد أو مجموعة من الأجهزة.
تتبُّع الأجهزة والتخلص منها
تتتبّع Google بدقة الموقع الجغرافي وحالة جميع المعدّات في مراكز البيانات باستخدام الرموز الشريطية وعلامات مواد العرض. تنشر Google أجهزة الكشف عن المعادن وأنظمة مراقبة الفيديو للمساعدة في التأكّد من عدم خروج أيّ أجهزة من طابق مركز البيانات بدون إذن. إذا تعذّر على أحد المكوّنات اجتياز اختبار الأداء في أي مرحلة من مراحل دورة حياته، تتم إزالته من المستودع وإيقاف عرضه.
تستخدم أجهزة التخزين من Google، بما في ذلك محركات الأقراص الثابتة ومحرك الأقراص الحالة الصلبة و وحدات الذاكرة المزدوجة غير القابلة للفقدان (DIMM)، تقنيات مثل تشفير الأقراص الكامل (FDE) وقفل محرك الأقراص لحماية البيانات غير النشطة. عند إيقاف استخدام أحد أجهزة التخزين نهائيًا، يتحقّق الأفراد المفوَّضون من محو البيانات من القرص من خلال كتابة أصفار في محرك الأقراص. ويُجري الفريق أيضًا عملية التحقّق بخطوات متعدّدة للتأكّد من أنّ محرك الأقراص لا يحتوي على أي بيانات. إذا تعذّر محو محرك أقراص لأي سبب، يتم إتلافه جسديًا. يتم إجراء عملية التدمير المادي باستخدام مفرّغ يكسر محرك الأقراص إلى قطع صغيرة، ويتم بعد ذلك إعادة تدويرها في مرفق آمن. يلتزم كل مركز بيانات بسياسة صارمة للتخلص من المعدّات، ويتم التعامل فورًا مع أي اختلافات.
مزايا الأمان في شبكة Google العالمية
في الحلول الأخرى المستندة إلى السحابة الإلكترونية والحلول المستندة إلى الموقع الجغرافي على الأجهزة، تنتقل البيانات بين الأجهزة على الإنترنت العام في مسارات تُعرف باسم القفزات. يعتمد عدد القفزات على المسار الأمثل بين مزوّد خدمة الإنترنت للعميل ومركز البيانات. توفّر كل قفزة إضافية فرصة جديدة لمهاجمة البيانات أو اعتراضها. بما أنّ شبكة Google العالمية مرتبطة بمعظم مزوّدي خدمات الإنترنت في العالم، تحدّ شبكة Google من عدد عمليات القفزة على الإنترنت العلني، وبالتالي تساعد في الحد من وصول الجهات السيئة إلى هذه البيانات.
تستخدم شبكة Google طبقات متعدّدة من الدفاع، أي "الدفاع في العمق"، للمساعدة في حماية الشبكة من الهجمات الخارجية. لا يُسمح بالمرور عبره إلا للخدمات والprotocols المعتمَدة التي تستوفي متطلبات الأمان في Google، ويتم تلقائيًا رفض أيّ طلبات أخرى. لفرض الفصل بين الشبكات، تستخدم Google جدران الحماية وقوائم التحكّم بالوصول. يتم توجيه جميع الزيارات من خلال خوادم Google Front End (GFE) للمساعدة في رصد الطلبات الضارّة وهجمات الحرمان من الخدمة (DDoS) ومنع حدوثها. يتم فحص السجلّات بشكل روتيني لكشف أي استغلال لأخطاء البرمجة. يقتصر الوصول إلى الأجهزة المتصلة بالشبكة على الموظفين المعتمَدين فقط.
تتيح لنا البنية الأساسية العالمية في Google تشغيل Project Shield، الذي يقدّم حماية مجانية وغير محدودة للمواقع الإلكترونية التي تكون عرضة لهجمات حجب الخدمة الموزّعة (DDoS) المستخدَمة لمراقبة المعلومات. تتوفّر خدمة Project Shield للمواقع الإلكترونية الإخبارية ومواقع حقوق الإنسان ومواقع مراقبة الانتخابات.
حلول تتميز بوقت استجابة منخفض ومدى توفّر عالٍ
تتألف شبكة بيانات بروتوكول الإنترنت من Google من الألياف البصرية الخاصة بها، والألياف البصرية المتاحة للجميع، والكابلات تحت سطح البحر. تتيح لنا هذه الشبكة تقديم خدمات متاحة بدرجة كبيرة وبوقت استجابة منخفض على مستوى العالم.
تصمّم Google مكونات منصّتها بحيث تكون متكرّرة للغاية. تنطبق هذه الميزة المتكررة على تصميم خادم Google وطريقة Google في تخزين البيانات و الاتصال بالشبكة والإنترنت وخدمات البرامج نفسها. ويشمل هذا "التكرار التام" معالجة الاستثناءات وينشئ حلًا لا يعتمد على خادم واحد أو مركز بيانات واحد أو اتصال شبكة واحد.
يتم توزيع مراكز بيانات Google جغرافيًا للحد من تأثيرات الانقطاعات الإقليمية على المنتجات العالمية، مثل الكوارث الطبيعية أو حالات الانقطاع المحلية. في حال تعطُّل الأجهزة أو البرامج أو الشبكة، يتم نقل خدمات المنصة وخطط التحكّم تلقائيًا وبسرعة من أحد المواقع إلى موقع آخر لكي تواصل خدمات المنصة العمل بدون انقطاع.
تساعدك أيضًا البنية الأساسية ذات التكرار العالي من Google في حماية نشاطك التجاري من فقدان البيانات. تم تصميم أنظمة Google لتقليل وقت الاستراحة أو فترات الصيانة عندما نحتاج إلى صيانة منصتنا أو ترقيتها.
الأمان التشغيلي
يُعدّ الأمان جزءًا أساسيًا من عمليات Google، وليس إجراءً يتم التفكير فيه بعد اكتمال العمليات. يصف هذا القسم برامج إدارة الثغرات الأمنية وبرامج منع البرامج الضارة وبرامج مراقبة الأمان وبرامج إدارة الحوادث في Google.
إدارة الثغرات الأمنية
تبحث عملية إدارة الثغرات الأمنية الداخلية في Google بشكل نشط عن تهديدات الأمان في جميع مجموعات التكنولوجيا. تستخدِم هذه العملية مزيجًا من الأدوات التجارية وأدوات المصدر المفتوح والأدوات الداخلية المخصّصة لهذا الغرض، وتشمل ما يلي:
- عمليات ضمان الجودة
- مراجعات أمان البرامج
- جهود مكثفة للاختراق الآلي واليدوي، بما في ذلك تمارين مكثفة لفريق Red Team
- اختبار الاختراق الخارجي المتكرّر لمنتجات "منصّة خرائط Google"
- عمليات التدقيق الخارجية المتكرّرة
تتحمّل مؤسسة إدارة الثغرات الأمنية وشركاؤها مسؤولية تتبُّع الثغرات الأمنية ومتابعتها. وبما أنّ الأمان لا يتحسن إلا بعد معالجة المشاكل بالكامل، فإنّ مسارات التشغيل الآلي تعيد باستمرار تقييم حالة نشر التصحيحات للحدّ من الثغرات الأمنية والإبلاغ عن عمليات النشر غير الصحيحة أو الجزئية.
للمساعدة في تحسين إمكانات رصد الثغرات، تركّز مؤسسة إدارة الثغرات على المؤشرات العالية الجودة التي تميّز بين الإشارات التي تشير إلى التهديدات الحقيقية والضوضاء. وتشجّع المؤسسة أيضًا التفاعل مع المجال ومع منتدى البرامج المفتوحة المصدر. على سبيل المثال، ينظّم الفريق برنامج مكافآت الإصلاح لأداة فحص أمان الشبكة Tsunami، والتي تكافئ المطوّرين الذين ينشئون أدوات رصد الثغرات الأمنية مفتوحة المصدر.
الحماية من البرامج الضارة
توفّر Google وسائل حماية من البرامج الضارة لمنتجاتنا الأساسية (مثل Gmail وGoogle Drive وGoogle Chrome وYouTube و"إعلانات Google" و"بحث Google") التي تستخدِم مجموعة متنوعة من أساليب رصد البرامج الضارة. لاكتشاف ملفات البرامج الضارة بشكل استباقي، نستخدم ميزة الزحف إلى الويب وتفجير الملفات وميزة رصد المحتوى الثابت المخصّصة وميزة رصد المحتوى الديناميكي وميزة رصد المحتوى باستخدام تعلُّم الآلة. ونستخدم أيضًا عدّة محرّكات لمكافحة الفيروسات.
للمساعدة في حماية موظفينا، نستخدم إمكانات الأمان المتقدّمة المدمجة في Chrome Enterprise Premium وميزة "التصفّح الآمن المحسّن" في Google Chrome. تتيح هذه الإمكانات رصد المواقع الإلكترونية التي تمارس التصيّد الاحتيالي والبرامج الضارة بشكل استباقي أثناء تصفّح موظفينا للويب. ونفعّل أيضًا إعدادات الأمان الأكثر صرامة المتاحة في Google Workspace، مثل "وضع الحماية للأمان" في Gmail، لفحص المرفقات المريبة بشكل استباقي. يتم نقل السجلات من هذه الإمكانات إلى أنظمة مراقبة الأمان لدينا، كما هو موضّح في القسم التالي.
مراقبة الأمان
يركز برنامج مراقبة الأمان في Google على المعلومات التي يتم جمعها من حركة البيانات الداخلية على الشبكة ومن إجراءات الموظفين على الأنظمة ومن المعلومات الخارجية حول الثغرات الأمنية. من المبادئ الأساسية في Google تجميع وحفظ جميع بيانات القياس عن بُعد للأمان في مكان واحد لتحليل الأمان الموحّد.
في العديد من النقاط على شبكة Google العالمية، يتم فحص الزيارات الداخلية بحثًا عن سلوك مريب، مثل توفّر زيارات قد تشير إلى اتصالات بشبكة بوت. تستخدم Google مزيجًا من الأدوات التجارية وأدوات المصدر المفتوح لتسجيل الزيارات وتحليلها كي تتمكّن من إجراء هذا التحليل. يتيح أيضًا هذا التحليل استخدام نظام ربط خاص تم إنشاؤه استنادًا إلى تكنولوجيا Google. تكمل Google تحليل الشبكة من خلال فحص سجلات النظام لتحديد السلوك غير المعتاد، مثل محاولات الوصول إلى بيانات العملاء.
ترصد مجموعة تحليل التهديدات في Google الجهات التي تشكل تهديدًا و تطور أساليبها وتقنياتها. يراجع مهندسو الأمان في Google تقارير الأمان الواردة ويراقبون القوائم البريدية العامة ومشاركات المدونات وملفّات المشروعات على الويب العلنية. يساعد التحليل المبرمَج للشبكة والتحليل المبرمَج لسجلّات النظام في تحديد الحالات التي قد يتوفّر فيها تهديد غير معروف. إذا رصدت العمليات المبرمَجة مشكلة، يتم تصعيدها إلى موظفي أمان Google.
رصد التسلّل
تستخدم Google قنوات معالجة بيانات متقدّمة لدمج الإشارات المستندة إلى المضيف على الأجهزة الفردية والإشارات المستندة إلى الشبكة من نقاط مراقبة مختلفة في البنية الأساسية والإشارات الواردة من خدمات البنية الأساسية. إنّ القواعد والذكاء الاصطناعي المبني على هذه القنوات يقدّم تحذيرات لمهندسي أمان العمليات بشأن الحوادث المحتمَلة. تعمل فِرق التحقيق و استجابة الحوادث في Google على تصنيف هذه الشدائد المحتملة والتحقّق منها والاستجابة لها على مدار 24 ساعة طوال أيام السنة. تُجري Google تدريبات "فريق Red Team" بالإضافة إلى اختبارات الاختراق الخارجية لقياس فعالية آليات رصد Google والاستجابة لها وتحسينها.
إدارة الحوادث
تتّبع Google عملية صارمة لإدارة الحوادث المتعلّقة بأحداث الأمان التي قد تؤثر في سرية الأنظمة أو البيانات أو سلامتها أو مدى توفّرها. يستند برنامج إدارة حوادث الأمان في Google إلى إرشادات معهد NIST بشأن التعامل مع الحوادث (NIST SP 800-61). تقدّم Google تدريبًا للموظفين الرئيسيين في مجال الطب الشرعي ومعالجة الأدلة استعدادًا لشدَّة الحدث، بما في ذلك استخدام أدوات تابعة لجهات خارجية وأدوات خاصة.
تختبر Google خطط الاستجابة للحوادث في المجالات الرئيسية. تأخذ هذه الاختبارات في الاعتبار سيناريوهات مختلفة، بما في ذلك التهديدات الداخلية والثغرات في البرامج. للمساعدة في ضمان حلّ الحوادث الأمنية بسرعة، يتوفر فريق أمان Google لجميع الموظفين على مدار الساعة وطوال أيام الأسبوع.
لمزيد من المعلومات عن عملية الاستجابة لحوادث البيانات، يُرجى الاطّلاع على مقالة إدارة الحوادث في Google Maps Platform.
ممارسات تطوير البرامج
تستخدم Google وسائل حماية التحكّم في المصدر ومراجعات الطرفَين لتجنّب حدوث ثغرات أمنية بشكل استباقي. توفّر Google أيضًا مكتبات تمنع المطوّرين من إدخال فئات معيّنة من أخطاء الأمان. على سبيل المثال، توفّر Google مكتبات وأُطر عمل مصمّمة للقضاء على نقاط ضعف XSS في حِزم SDK. تمتلك Google أيضًا أدوات مبرمَجة لرصد أخطاء الأمان، مثل أدوات البحث عن الأخطاء وأدوات التحليل الثابت وأدوات فحص أمان الويب.
إجراءات حماية رمز المصدر
يتم تخزين رمز Google المصدر في مستودعات تتضمّن ميزات مدمجة للحفاظ على سلامة المصدر وإدارته، ما يتيح تدقيق كلٍّ من الإصدارات الحالية والسابقة للخدمة. تتطلّب البنية الأساسية إنشاء ملفات الخدمة الثنائية من رمز مصدر معيّن بعد مراجعته وإيداعه واختباره. Binary Authorization for Borg (BAB) هو عملية تحقّق داخلية للتنفيذ تحدث عند نشر خدمة. تؤدي ميزة "الإعلانات المتجاوبة على شبكة البحث" ما يلي:
- التأكّد من أنّه تمت مراجعة واعتماد البرامج والإعدادات المخصّصة للإصدار العلني والتي تم نشرها في Google، خاصةً عندما يمكن لهذا الرمز الوصول إلى بيانات المستخدمين
- التأكّد من استيفاء عمليات نشر الرموز البرمجية والإعدادات لمعايير دنيا معيّنة
- الحدّ من قدرة المستخدم الداخلي أو الخصم على إجراء تعديلات ضارّة على رمز المصدر، كما يوفّر أيضًا مسارًا للتحقيق الجنائي من الخدمة إلى مصدرها
الحدّ من مخاطر المستخدمين الداخليين
تحدّ Google من أنشطة الموظفين الذين تم منحهم إذن وصول إداري إلى البنية التحتية وتراقبها بنشاط. تعمل Google باستمرار على القضاء على الحاجة إلى الوصول المميّز لمهام معيّنة من خلال استخدام التشغيل الآلي الذي يمكنه إنجاز المهام نفسها بطريقة آمنة وخاضعة للرقابة. على سبيل المثال، تشترط Google الحصول على موافقة الطرفَين لبعض الإجراءات، وتستخدم Google واجهتَي برمجة تطبيقات محدودتَين تتيحان تصحيح الأخطاء بدون الكشف عن معلومات حسّاسة.
يتم تسجيل وصول موظفي Google إلى معلومات المستخدم النهائي من خلال أدوات ربط البنية الأساسية من المستوى المنخفض. يراقب فريق الأمان في Google أنماط الوصول ويحقّق من الأحداث غير المعتادة.
اختبار الاستجابة للكوارث (DiRT)
تُجري "منصّة خرائط Google" اختبارات التعافي من الكوارث (DiRT) السنوية التي تستمر لعدة أيام على مستوى الشركة لضمان استمرار تشغيل خدمات "منصّة خرائط Google" وعمليات النشاط التجاري الداخلية أثناء الكوارث. تم تطوير أداة DiRT للعثور على نقاط الضعف في الأنظمة المهمة عن طريق التسبب عمدًا في الأعطال، وإصلاح هذه نقاط الضعف قبل حدوث الأعطال بطريقة غير خاضعة للرقابة. يختبر فريق DiRT قدرة Google الفنية من خلال إيقاف الأنظمة النشطة، كما يختبر قدرة Google على الاستجابة للحالات الطارئة من خلال منع الموظفين المهمين والخبراء في المجال والقادة من المشاركة صراحةً. يجب أن تخضع جميع الخدمات المتاحة بشكل عام لاختبار DiRT نشط ومستمر ويجب التحقّق من مستوى مقاومتها للأعطال ومدى توفّرها.
للاستعداد لإجراء عملية DiRT، تستخدِم Google مجموعة متسقة من القواعد حول تحديد الأولويات.
بروتوكولات الاتصالات وتوقّعات التأثير ومتطلبات تصميم الاختبار، بما في ذلك خطط الاسترداد التي تمت مراجعتها والموافقة عليها مسبقًا. لا تفرض تمارين وسيناريوهات DiRT تعطُّلات فنية في الخدمة نفسها فحسب، بل يمكن أن تتضمّن أيضًا تعطُّلات مصمّمة في العملية ومدى توفّر الموظفين الرئيسيين والأنظمة الداعمة وعمليات الاتصالات والوصول المادي. يُحقّق تحليل DiRT من أنّ العمليات المتّبعة في الواقع تعمل على نحوٍ سليم. ويضمن ذلك أيضًا أنّ الفِرق مدرَّبة مسبقًا ولديها خبرة يمكنها الاستفادة منها أثناء حالات الانقطاعات والاضطرابات والكوارث البشرية أو الطبيعية.
عناصر التحكّم الرئيسية في الأمان
يوضّح هذا القسم عناصر التحكّم الرئيسية في الأمان التي تنفّذها Google Maps Platform لحماية منصّتها.
التشفير
يضيف التشفير طبقة دفاع لحماية البيانات. يضمن التشفير أنّه إذا تمكّن مهاجم من الوصول إلى البيانات، لن يتمكّن من قراءة البيانات بدون الوصول أيضًا إلى مفاتيح التشفير. حتى إذا تمكّن أحد المهاجمين من الوصول إلى البيانات (على سبيل المثال، من خلال الوصول إلى اتصال الأسلاك بين مراكز البيانات أو من خلال سرقة جهاز تخزين)، لن يتمكّن من فهمها أو فك تشفيرها.
يشكّل التشفير آلية مهمة في الطريقة التي تساعد بها Google في حماية خصوصية البيانات. ويسمح هذا الإجراء للأنظمة بمعالجة البيانات، مثلاً لأجل الاحتفاظ بنسخة احتياطية، وللمهندسين بدعم البنية الأساسية في Google، بدون منح الوصول إلى المحتوى لهذه الأنظمة أو الموظفين.
تشفير البيانات في حال عدم النشاط
يشير التشفير "في حالة عدم النقل" في هذا القسم إلى التشفير المستخدَم لحماية البيانات التي يتم تخزينها على قرص (بما في ذلك محركات الأقراص ذات الحالة الصلبة) أو وسائط احتياطية. يتم تشفير البيانات على مستوى مساحة التخزين، بشكل عام باستخدام AES256 (معيار التشفير المُطوَّر). غالبًا ما يتم تشفير البيانات على مستويات متعددة في حِزمة تخزين Google في مراكز البيانات، بما في ذلك على مستوى الأجهزة، بدون أن يحتاج عملاء Google إلى اتّخاذ أي إجراء. استخدام طبقات متعدّدة من التشفير
تضيف طبقة حماية بيانات مكرّرة وتسمح لشركة Google باختيار النهج الأمثل استنادًا إلى متطلبات التطبيق. تستخدم Google مكتبات التشفير الشائعة التي تتضمّن وحدة Google التي تم التحقّق منها وفقًا لمعيار FIPS 140-2 لتطبيق التشفير بشكلٍ متسق في جميع المنتجات. ويؤدي الاستخدام المتسق للمكتبات الشائعة إلى أن يحتاج فريق صغير من خبراء التشفير فقط إلى تنفيذ هذه الرمز البرمجي الخاضع للرقابة الصارمة والمراجعة المستمرة والمحافظة عليه.
حماية البيانات أثناء نقلها
يمكن أن تكون البيانات عرضة للوصول غير المصرّح به أثناء نقلها عبر الإنترنت. توفّر "منصّة خرائط Google" تشفيرًا قويًا أثناء نقل البيانات بين أجهزة العملاء وشبكاتهم وخوادم Google Front End (GFE) من Google. تنصح Google العميلِين/المطوّرين باستخدام أفضل مجموعة من التشفير المتاحة في Google (TLS 1.3) عند إنشاء التطبيقات، وذلك كأفضل ممارسة. لدى بعض العملاء حالات استخدام تتطلّب مجموعات التشفير القديمة لأسباب التوافق، لذلك، تتوافق Google Maps Platform مع هذه المعايير الأضعف، ولكن لا ننصح باستخدامها كلما أمكن ذلك. تقدّم لك Google Cloud أيضًا خيارات إضافية لتشفير نقل البيانات، بما في ذلك شبكة VPN على Cloud لإنشاء الشبكات الخاصة الافتراضية باستخدام بروتوكول IPsec لمنتجات "منصة خرائط Google".
حماية البيانات أثناء نقلها بين مراكز بيانات Google
يضمن بروتوكول أمان النقل على مستوى التطبيق (ALTS) حماية سلامة زيارات Google وتشفيرها حسب الحاجة. بعد اكتمال بروتوكول تبادل المفتاح بين العميل والخادم وتفاوُض العميل والخادم على الأسرار المشفّرة المشترَكة اللازمة لتشفير حركة مرور الشبكة ومصادقتها، يؤمن ALTS حركة مرور استدعاء الإجراء عن بُعد (RPC) من خلال فرض السلامة باستخدام الأسرار المشترَكة التي تم التفاوض عليها. توفّر Google بروتوكولات متعددة لضمانات السلامة، مثل AES-GMAC (معيار التشفير المُطَور) باستخدام مفاتيح 128 بت. عندما تغادر الزيارات حدودًا جغرافية تتحكم فيها Google أو بالنيابة عنها، على سبيل المثال أثناء نقلها عبر شبكة WAN (شبكة منطقة واسعة) بين مراكز البيانات، يتم ترقية جميع البروتوكولات تلقائيًا لتوفير ضمانات التشفير والنزاهة.
مدى توفّر خدمة "منصة خرائط Google"
قد لا تتوفّر بعض خدمات Google Maps Platform في جميع مناطق العالم. يكون بعض انقطاعات الخدمة مؤقتًا (بسبب حدث غير متوقَّع، مثل انقطاع الشبكة)، ولكن تكون القيود الأخرى على الخدمة دائمة بسبب القيود المفروضة من قِبل الحكومة. يعرض تقرير الشفافية الشامل من Google ولوحة بيانات الحالة الانقطاعات الأخيرة والمستمرة في عدد الزيارات إلى خدمات "منصة خرائط Google". تقدّم Google هذه البيانات لمساعدتك في تحليل معلومات وقت تشغيل Google وفهمها.
الأمان من جهة العميل
تقع مسؤولية الأمان على عاتق كلّ من مقدّم خدمة السحابة الإلكترونية وال العميل/الشريك الذي ينفّذ منتجات "منصة خرائط Google". يوضّح هذا القسم بالتفصيل مسؤوليات العميل/الشريك التي يجب مراعاتها عند تخطيط حلّ على Google Maps Platform.
واجهات برمجة تطبيقات JavaScript
المواقع الإلكترونية الآمنة
تنشر واجهة برمجة التطبيقات JavaScript لـ "خرائط Google" مجموعة من الاقتراحات التي تسمح للعميل بتعديل سياسة أمان المحتوى (CSP) لموقعه الإلكتروني لتجنّب هجمات الثغرات الأمنية، مثل هجمات النصوص البرمجية على مستوى المواقع الإلكترونية وهجمات التلاعب بالنقرات وهجمات حقن البيانات. تتوافق JavaScript API مع شكلَين من بروتوكول CSP: بروتوكول CSP الصارم باستخدام أرقام التسلسل الفريد وبروتوكول CSP القائمة المسموح بها.
JavaScript الآمن
يتم فحص JavaScript بانتظام بحثًا عن الأنماط المضادة المعروفة للأمان، ويتم حلّ المشاكل بسرعة. يتم إصدار JavaScript API أسبوعيًا أو عند الطلب في حال حدوث أي مشاكل.
أمان تطبيقات الأجهزة الجوّالة (MAS)
أمان تطبيقات الأجهزة الجوّالة (MAS) هو جهد مفتوح ومرن ومتاح للجميع، وهو يستند إلى مساهمات عشرات المؤلّفين والمراجعين من جميع أنحاء العالم. يقدّم المشروع الرئيسي لأمان تطبيقات الأجهزة الجوّالة (MAS) من OWASP معيارًا لأمان التطبيقات المتوافقة مع الأجهزة الجوّالة (OWASP MASVS) ودليل اختبار شاملًا (OWASP MASTG) يتناول العمليات والأساليب والأدوات المستخدَمة أثناء اختبار أمان التطبيقات المتوافقة مع الأجهزة الجوّالة، بالإضافة إلى مجموعة شاملة من حالات الاختبار التي تتيح للمختبِرين تقديم نتائج متسقة وكاملة.
- يقدّم معيار التحقّق من أمان تطبيقات الأجهزة الجوّالة (MASVS) من OWASP أساسًا لاختبارات أمان كاملة ومتسقة لكل من iOS وAndroid.
- دليل اختبار أمان تطبيقات الأجهزة الجوّالة من OWASP (MASTG) هو دليل شامل يتناول العمليات والأساليب والأدوات المستخدَمة أثناء تحليل أمان تطبيقات الأجهزة الجوّالة، بالإضافة إلى مجموعة شاملة من حالات الاختبار للتحقّق من المتطلبات الواردة في "معيار التحقّق من أمان تطبيقات الأجهزة الجوّالة".
- تحتوي قائمة التحقّق من أمان تطبيقات الأجهزة الجوّالة من OWASP على
روابط تؤدي إلى حالات اختبار MASTG لكلّ عنصر تحكّم في MASVS.
- تقييمات الأمان / الاختبارات الأمنية: تأكَّد من تغطية مساحة الهجوم العادية على الأقل وابدأ الاستكشاف.
- الامتثال العادي: يتضمّن إصدارَي MASVS وMASTG ومعرّفات النسخ.
- تعلُّم مهارات أمان الأجهزة الجوّالة وممارستها
- مكافآت الأخطاء: يمكنك الاطّلاع على خطوات تفصيلية حول فرص مهاجمة الأجهزة الجوّالة.
ننصحك بالاستفادة من إطار عمل OWASP MAS لتحسين ميزات أمان تطبيقات iOS وAndroid واختبارها ومصادقتها.
Android
عند تطوير تطبيقات Android، يمكنك الاطّلاع على موارد أخرى، مثل أفضل الممارسات المتعلّقة بتطبيقات المنتدى على Android. تحتوي إرشادات الأمان على إرشادات حول أفضل الممارسات المتعلقة بفرض اتصالات آمنة وتحديد الأذونات الصحيحة وتخزين البيانات بأمان ومعرفة التبعيات للخدمات وغير ذلك.
iOS
عند تطوير تطبيقات iOS، ننصحك بالاطّلاع على دليل Apple المفصّل عن الترميز المُؤمَّن الذي يتضمّن أفضل الممارسات لمنصّة iOS.
جمع البيانات واستخدامها والاحتفاظ بها
تلتزم Google Maps Platform بالشفافية في ما يتعلق بجمع البيانات واستخدامها والاحتفاظ بها. يخضع جمع البيانات واستخدامها والاحتفاظ بها في Google Maps Platform لبنود خدمة Google Maps Platform، والتي تتضمّن سياسة خصوصية Google.
جمع البيانات
يتم جمع البيانات من خلال استخدام منتجات "منصّة خرائط Google". بصفتك عميلًا، يمكنك التحكّم في المعلومات التي ترسلها إلى "منصة خرائط Google" من خلال واجهات برمجة التطبيقات ومجموعات تطوير البرامج (SDK). يتم تسجيل جميع طلبات "منصّة خرائط Google"، والتي تشمل رموز حالة الاستجابة من المنتج.
البيانات المسجّلة في "منصة خرائط Google"
تسجِّل "منصّة خرائط Google" البيانات في حزمة المنتجات. تحتوي السجلات على عدة إدخالات تشمل عادةً ما يلي:
- معرّف الحساب الذي يمكن أن يكون مفتاح واجهة برمجة التطبيقات أو رقم تعريف العميل أو رقم مشروع Cloud هذا الإجراء مطلوب للعمليات والدعم والفوترة.
- عنوان IP للخادم أو الخدمة أو الجهاز الذي يُجري الطلب بالنسبة إلى واجهات برمجة التطبيقات، يُرجى العِلم أنّ عنوان IP الذي يتم إرساله إلى Google Maps Platform سيعتمد على كيفية تنفيذ طلب بيانات من واجهة برمجة التطبيقات في تطبيقك/الحلّ. بالنسبة إلى حِزم تطوير البرامج (SDK)، يتم تسجيل عنوان IP للجهاز الذي يُجري عملية الاستدعاء.
- عنوان URL للطلب، الذي يحتوي على واجهة برمجة التطبيقات والمَعلمات التي يتم تمريرها إلى واجهة برمجة التطبيقات على سبيل المثال، تتطلّب Geocoding API مَعلمتَين (العنوان ومفتاح واجهة برمجة التطبيقات). تتضمّن عملية ترميز المواقع الجغرافية أيضًا عددًا من المَعلمات الاختيارية. سيحتوي عنوان URL للطلب على جميع المَعلمات التي تم تمريرها إلى الخدمة.
- تاريخ ووقت الطلب
- تسجِّل تطبيقات الويب رؤوس الطلبات التي تتضمّن عادةً بيانات مثل نوع متصفّح الويب ونظام التشغيل.
- يتم تسجيل إصدار التطبيقات المتوافقة مع الأجهزة الجوّالة التي تستخدِم حزمة تطوير برامج (SDK) (Android وiOS) و المكتبة واسم التطبيق.
الوصول إلى سجلّات "منصة خرائط Google"
إنّ الوصول إلى السجلات محدود للغاية ومُصرَّح به فقط لأعضاء فريق محدّدين لديهم حاجة مشروعة متعلّقة بالنشاط التجاري. يتم توثيق كل طلب وصول إلىملفّات السجلّ لأغراض التدقيق، ويتم التحقّق من ذلك من خلال عمليات التدقيق التي تجريها جهات خارجية وفقًا لمعيارَي ISO 27001 وSOC 2 من Google.
استخدام البيانات
تُستخدَم البيانات التي تجمعها Google Maps Platform للأغراض التالية:
- تحسين منتجات Google وخدماتها
- تقديم الدعم الفني للعملاء
- المراقبة التشغيلية والتنبيهات
- الحفاظ على أمان المنصة
- تخطيط سعة المنصة
يُرجى العلم أنّ Google لا تبيع معلوماتك الشخصية إلى جهات خارجية، كما هو موضّح في سياسة خصوصية Google.
الاحتفاظ بالبيانات وإخفاء هويتها
قد يتم الاحتفاظ ببيانات المستخدمين التي يتم جمعها في سجلّات "منصّة خرائط Google" لمدّات مختلفة حسب احتياجات النشاط التجاري، وذلك وفقًا لسياسات التخزين والاحتفاظ بالبيانات. لا يتم الاحتفاظ ببيانات المستخدمين إلا عند توفّر حاجة تجارية مشروعة، ويتم حذفها عندما لا تعود ضرورية للأغراض التي تم جمع البيانات من أجلها. تم تحديد وسائل الحذف المقبولة بشكل صارم، وتشمل جميع الطبقات من خلال جمع المهملات. تتم مراقبة عمليات الحذف والتحقّق منها لضمان الامتثال.
قد يتم الاحتفاظ بإحصاءات الاستخدام المجمّعة والمجهولة الهوية المستمَدة من السجلات لفترة أطول. يراجع فريق الخصوصية جميع عمليات إخفاء هوية البيانات للتأكّد من أنّها تستوفي معيارًا تقنيًا كافيًا وأنّها مناسبة لتلبية احتياجات الخصوصية والمنتجات واللوائح التنظيمية.
تلبية متطلبات الامتثال
تخضع "منصة خرائط Google" بانتظام لعمليات تحقّق مستقلة للتأكّد من اتباع ضوابط الأمان والامتثال والجودة، وتتلقّى شهادات وإقرارات وتقارير تدقيق لإثبات الامتثال. في ما يلي المعايير الدولية الرئيسية التي يخضع لها تدقيقنا:
- ISO / IEC 27001 (إدارة أمان المعلومات)
- ISO / IEC 27017 (أمان البيانات على السحابة الإلكترونية)
- ISO / IEC 9001 (إدارة الجودة)
بالإضافة إلى ذلك، يتوفّر تقريرا SOC 2 وSOC 3 لعملائنا. ونشارك أيضًا في أُطر عمل خاصة بالقطاع والبلد، مثل NIST 800-53 وNIST 800-171 (حكومة الولايات المتحدة) وTISAX (ألمانيا).
للاطّلاع على قائمة كاملة بعروض الامتثال التي نقدّمها، يُرجى الانتقال إلى مركز الثقة للأمان والامتثال.
ملخّص
يُعدّ الأمان أحد المعايير الأساسية للتصميم في جميع البنية الأساسية والمنتجات والعمليات في Google. من خلال نطاق عمليات Google وتعاونها مع منتدى أبحاث الأمان، نتمكّن من معالجة الثغرات الأمنية بسرعة، وغالبًا ما نمنع حدوثها تمامًا. تشغّل Google خدماتها الخاصة، مثل "بحث Google" وYouTube وGmail، على البنية الأساسية نفسها التي توفّرها لعملائها، الذين يستفيدون مباشرةً من عناصر تحكّم الأمان وممارسات الأمان في Google.
تعتقد Google أنّها يمكن أن تقدّم مستوى حماية لا يمكن لعدد قليل من موفّري السحابة الإلكترونية المفتوحة أو فِرق تكنولوجيا المعلومات في الأنشطة التجارية الخاصة مجاروته. بما أنّ حماية البيانات هي ميزة أساسية في نشاط Google التجاري، يمكننا إجراء استثمارات مكثفة في الأمان والمواد المرجعية والخبرة على نطاق لا يمكن لغيرنا تحقيقه. من خلال استثمارات Google، يمكنك التركيز على نشاطك التجاري وتطويره. سنواصل الاستثمار في منصتنا لنتيح لك الاستفادة من خدمات Google بطريقة آمنة وشفافة.
الخطوات التالية
لمزيد من المعلومات حول ثقافة الأمان وفلسفتنا، يمكنك الاطّلاع على Building Secure and Reliable Systems (كتاب O'Reilly).
للاطّلاع على مزيد من المعلومات عن أفضل الممارسات المقترَحة، يُرجى قراءة إرشادات أمان Google Maps Platform.
لمزيد من المعلومات عن تغطية المنتجات حسب شهادة الامتثال، يُرجى الاطّلاع على خدمات Google Maps Platform المشمولة حسب برنامج الامتثال.
لمزيد من المعلومات عن نهجنا لإدارة الحوادث، يُرجى الاطّلاع على مقالة إدارة الحوادث في Google Maps Platform.