تمّ إجراء آخر تعديل على هذا المحتوى في فبراير 2024 ويمثّل الوضع الراهن. اعتبارًا من وقت كتابتها. قد تتغير سياسات وأنظمة الأمان في Google من الآن فصاعدًا، بينما نعمل باستمرار على تحسين حماية عملائنا.

تنزيل نسخة PDF

مقدمة

توفّر منصة خرائط Google واجهات برمجة تطبيقات وحِزم تطوير برامج (SDK) للعملاء الشركاء في تطوير تطبيقات الويب وتطبيقات الأجهزة الجوّالة باستخدام المعلومات الجغرافية المكانية لـ Google التكنولوجيا. توفّر "منصة خرائط Google" أكثر من 50 واجهة برمجة تطبيقات وحزمة تطوير برامج (SDK) للعملاء وعبر مجالات متعددة. كعميل في المجال، يجب أن تفي غالبًا والأمان واستخدام البيانات والمتطلبات التنظيمية عند وضع الحلول. ويشمل ذلك ضمان توافق التكنولوجيا التابعة لجهة خارجية لديك مع تلك المتطلبات متطلبات المشروع.

يقدم هذا المستند ملخصًا عالي المستوى للأشخاص والعملية وهي الضوابط التقنية التي تقدمها "منصة خرائط Google"، إلى جانب وصف وفوائد استخدام المنصة. أولاً، من المهم فهم الاثنين الأساسية للتكنولوجيا الأساسية أسفل منصة خرائط Google:

• التكنولوجيا ومراكز البيانات والبنية الأساسية التي توفّرها Google Google تعمل "منصة خرائط Google" بالكامل في مراكز البيانات التي توفّرها Google البنية التحتية. وبناءً على ذلك، فإنها تطبّق عمليات التدقيق الداخلية والجهات الخارجية عناصر التحكم في الأمان التي يتم اكتسابها من Google للتحقق من أن خرائط Google تنفِّذ المنصة بشكل صحيح عناصر الأمان والتشغيل والفني. عناصر التحكم الموضحة في هذه المقالة.
• تكنولوجيا "منصة خرائط Google". بالإضافة إلى عناصر التحكم المكتسَبة، توفّر "منصة خرائط Google" المزيد من الأمان والخصوصية والبيانات والضوابط التشغيلية لمجموعات منتجات Google.

يلخّص هذا المستند العمليات وعناصر التحكّم في الأمان في "منصة خرائط Google". مجمعة على النحو التالي:

• التركيز على الأمان والخصوصية في جميع مستويات مؤسسة Google
• البنية الأساسية التقنية وأمان الأجهزة
• الأمن التشغيلي
• عناصر التحكُّم في أمان المفاتيح
• الأمان من جهة العميل، على الويب والأجهزة الجوّالة
• الشهادات وعمليات التدقيق الحالية في "منصة خرائط Google"
• أُطر العمل القانونية المتوافقة في جميع أنحاء العالم

يمكن للعملاء المحتملين التواصل مع فريق مبيعات Google للحصول على معلومات إضافية.

مؤسسة Google التي تركّز على الأمان والخصوصية

يقود الأمان الهيكل التنظيمي والثقافة وأولويات التدريب وعمليات التوظيف عبر Google. فهي تشكل تصميم مراكز بيانات Google والتكنولوجيا التي يقدمونها. يرتكز الأمان على عمليات Google اليومية بما في ذلك التخطيط للكوارث وإدارة التهديدات. Google تعطي الأولوية للأمان في كيفية معالجتها للبيانات، وعناصر التحكم في الحساب، وعمليات التدقيق في الامتثال، والمجال والشهادات. تصمّم Google خدماتها لتوفير مستوى أمان أفضل من العديد من الخدمات. بدائل محلية تعتمد على مورّدين متعددين ومنصات متعددة حيث يكون الأمان عملية غير متصلة. يمكنك الاستفادة من حلول Google برامج وعناصر تحكّم أمنية متكاملة عند الاستفادة من "منصة خرائط Google" منتجات لنشاطك التجاري. تضع "منصة خرائط Google" الأولوية للأمان في عملياتها — وهي عمليات تخدم أكثر من مليار مستخدم في جميع أنحاء العالم.

توفّر Google و"منصة خرائط Google" معًا طبقات أمان متعدّدة في جميع أنحاء الشركة والمؤسسة:

• فريق الأمان المخصّص من Google
• فريق أمان منتجات "منصة خرائط Google"
• المشاركة الفعّالة مع منتدى أبحاث الأمان العالمي
• فريق خصوصية "منصة خرائط Google"
• تدريب على أمان وخصوصية موظفي Google
• متخصصو التدقيق الداخلي والامتثال

فرق الأمان المخصصة في Google

توفّر Google فرقًا أمنية مخصّصة في جميع أنحاء الشركة وداخل المنتج المختلفة.

تدعم فرق الأمان على مستوى Google مجالات منتجات متعددة في Google، بما في ذلك Google Maps Platform يضم فريق الأمن بعضًا من أفراد أفضل الخبراء في أمان المعلومات، وأمان التطبيقات، والتشفير، وأمن الشبكات. وتشمل أنشطتهم ما يلي:

• تطوير عمليات الأمان ومراجعتها وتنفيذها وتشمل هذه المعلومات ما يلي: مراجعة خطط الأمان لشبكات Google وتقديم أهداف خاصة بالمشروعات وتقديم الاستشارات لفِرق المنتجات والهندسة في جميع خدمات Google. على سبيل المثال: خبراء في التشفير يراجعون عمليات إطلاق المنتجات التي تطبّق التشفير كجزء من العرض.
• إدارة التهديدات الأمنية بفعالية: استخدام كل من العناصر التجارية والمخصصة يراقب الفريق التهديدات المستمرة والأنشطة المريبة على Google جديدة.
• إجراء عمليات تدقيق وتقييم روتينية، والتي يمكن أن تتضمن إشراك من الخبراء الخارجيين لإجراء التقييمات الأمنية.
• نشر مقالات حول الأمان للمنتدى الأوسع نطاقًا تحتفظ Google مدونة أمان وسلسلة YouTube تسلط الضوء على العديد من فرق الأمان المحددة إنجازاتهم.

يتعاون فريق أمان "منصة خرائط Google" مع جميع وفريق الأمان، والعمل عن كثب مع تطوير المنتجات وSRE للإشراف على أمان البيانات. على وجه التحديد، يدير هذا الفريق ما يلي:

• اختبار DiRT) الخاص بمنصة "خرائط Google" لمواجهة الكوارث، يختبر هذا المجال استمرارية النشاط التجاري وتجاوز أعطال منتجات "منصة خرائط Google"، بنية Google الأساسية المتاحة بشكل كبير.
• اختبار الاختراق من جهات خارجية منصة خرائط Google وأن يتم اختبار الاختراق على أساس سنوي على الأقل لتحسين وضع Google الأمني وتزويدك بالأمان المستقل الضمان.

التعاون مع منتدى أبحاث الأمان

لطالما اعتمدت Google علاقة وثيقة بأبحاث الأمان. المنتدى، وتقدّر Google كثيرًا مساعدتها في تحديد الثغرات الأمنية في "منصة خرائط Google" ومنتجات Google الأخرى.

• التعاون في المنتديات على الإنترنت من خلال Project Zero Project Zero هو فريق من الباحثين في مجال الأمان المكرس لأبحاث ثغرات أول يوم. إن بعض الأمثلة على هذا البحث هي اكتشاف في استغلال Spectre، وهو الرمز Meltdown استغلال طبقة المقابس الآمنة لطبقة المقابس الآمنة 3.0 ومجموعة التشفير والضعف
• البحث الأكاديمية: يعمل مهندسو الأمان والباحثون في Google بشكل فعّال المشاركة والنشر في مجتمع الأمان الأكاديمي وسياسة مجتمع الأبحاث. يمكن العثور على جهات النشر المتعلقة بالأمان على موقع أبحاث Google الإلكتروني: لقد قامت فرق الأمان في Google نشر حسابًا متعمقًا لممارساته وخبراته في كتاب إنشاء أنظمة آمنة وموثوقة
• برنامج مكافآت رصد الثغرات الأمنية: تشارك "منصة خرائط Google" في برنامج المكافآت للمبلّغين عن الثغرات الأمنية الذي يقدّم مكافآت في عشرات الآلاف من الدولارات مقابل كل ثغرة أمنية مؤكدة. البرنامج ويشجع الباحثين على الإبلاغ عن مشكلات التصميم والتنفيذ التي قد لتعريض بيانات العملاء للخطر. في عام 2022، منحت Google للباحثين أكثر من 11.9 دولار أمريكي. مليون دولار من جوائز الجوائز. لمزيد من المعلومات حول هذا البرنامج، بما في ذلك المكافآت التي منحتها Google، يمكنك الاطّلاع على الإحصاءات الرئيسية لصيد الأخطاء. معلومات إضافية حول الإبلاغ عن مشاكل الأمان، راجِع كيفية تعامل Google مع حسابك. الثغرات الأمنية.
• أبحاث الأمان المفتوحة المصدر: يعمل مهندسو Google أيضًا على تنظيم المشاركة في المشروعات مفتوحة المصدر والمشروعات الأكاديمية والمؤتمرات. لتحسين الرمز البرمجي مفتوح المصدر، يسعى برنامج المكافآت للمبلّغين عن الثغرات الأمنية تقدّم أيضًا دعمًا للمشاريع المفتوحة المصدر
• التشفير: عمل متخصصو التشفير على مستوى العالم في Google على حماية بروتوكول أمان طبقة النقل (TLS). ضد الهجمات الكمّية على أجهزة الكمبيوتر وطوّرت الخوارزمية الدمج خوارزمية المنحنى الإهليلجي وما بعد الكم (CECPQ2). Google مطورو التشفير الذين طوروا تطبيق Tink، وهو نظام مفتوح المصدر من واجهات برمجة التطبيقات للتشفير. كما تستخدم Google Tink في المنتجات والخدمات.

فريق الخصوصية المخصّص في "منصة خرائط Google"

يعمل فريق الخصوصية المخصص بشكل منفصل عن تطوير المنتج المؤسسات الأمنية. يدعم مبادرات الخصوصية الداخلية لتحسين جميع من جوانب الخصوصية وهي: العمليات المهمة والأدوات الداخلية والبنية التحتية وتطوير المنتج. ينفّذ فريق الخصوصية الإجراءات التالية:

• تضمن أن عمليات إطلاق المنتجات تتضمن معايير خصوصية قوية حول جمع البيانات. تشارك في كل عملية إطلاق لمنتج من Google من خلال وثائق التصميم ومراجعات التعليمات البرمجية.
• بعد إطلاق المنتج، يشرف فريق الخصوصية على العمليات الآلية التي والتحقق المستمر من جمع البيانات واستخدامها بشكل مناسب.
• يجري بحثًا حول أفضل ممارسات الخصوصية.

تدريب على أمان وخصوصية موظفي Google

يشهد الأمان والخصوصية مجالان دائم التغيُّر، وتدرك Google أنّ فمشاركة الموظفين المخصصة هي وسيلة رئيسية لزيادة الوعي. Google بالكامل يخضع الموظفون لتدريبات حول الأمان والخصوصية كجزء من الدورة ويتلقّون تدريبًا مستمرًا وإلزاميًا في ما يتعلّق بالأمان والخصوصية طوال حياتهم المهنية في Google.

• أثناء التوجيه: يوافق الموظفون الجدد على إرشادات Google مدونة السلوك، التي تسلط الضوء على التزام Google الحفاظ على سلامة معلومات العملاء وأمانها.
• تدريب متخصص حسب الدور الوظيفي: تتطلب بعض الأدوار الوظيفية التدريب على جوانب معينة من الأمان. على سبيل المثال، لا يعرف فريق أمن المعلومات وتقوم بإرشاد المهندسين الجدد حول ممارسات البرمجة الآمنة، وتصميم المنتجات، لاختبار الثغرات الأمنية الآلية. مهندسون يحرصون على حضور جلسات أمن بشكل منتظم الملخّصات وتلقّي النشرات الإخبارية الأمنية التي تتناول التهديدات والهجمات الجديدة وأنماط التخفيف وتقنيات التخفيف وغيرها.
• الأحداث الجارية: تستضيف Google مؤتمرات داخلية منتظمة متاحة للجميع زيادة الوعي وتعزيز الابتكار في مجال الأمان والبيانات الخصوصية. تستضيف Google فعاليات عبر المكاتب العالمية لزيادة الوعي الأمان والخصوصية في مجال تطوير البرامج ومعالجة البيانات ووضع السياسات التنفيذ.

متخصصو التدقيق الداخلي والامتثال

تتضمَّن "منصة خرائط Google" فريق تدقيق داخليًا مخصَّصًا لمراجعة Google المنتجات والامتثال لقوانين ولوائح الأمان حول العالم. كجديد إنشاء معايير التدقيق وتحديث المعايير الحالية، فريق التدقيق يحدد عناصر التحكم والعمليات والأنظمة اللازمة للمساعدة تلبي تلك المعايير. يدعم هذا الفريق عمليات التدقيق والتقييمات المستقلة من خلال والجهات الخارجية. لمزيد من المعلومات، راجع شهادات الأمان عمليات التدقيق القسم لاحقًا في هذا المستند.

منصة مصمّمة مع التركيز في المقام الأول على الأمان

تصمم Google خوادمها وأنظمة التشغيل المملوكة لها ومواقع جغرافية مراكز البيانات الموزعة باستخدام مبدأ الدفاع بعمق. خرائط Google تعمل المنصة على بنية أساسية تقنية مصمَّمة ومصمّمة للعمل. بأمان. لقد أنشأنا بنية تحتية لتكنولوجيا المعلومات تتسم بأنها أكثر أمانًا وأسهل أكثر من الحلول التقليدية داخل الشركة أو المستضافة.

مراكز بيانات متطورة

إنّ تركيز Google على أمان البيانات وحمايتها هو من أهم معايير التصميم. الأمان المادي في بيانات Google في الوسط هو نموذج أمان متعدد الطبقات. يشمل الأمان المادي وسائل الوقاية مثل بطاقات الوصول الإلكترونية ذات التصميم المخصص وأجهزة الإنذار وحواجز الوصول إلى المركبات والأسوار المحيطة وأجهزة الكشف عن المعادن والمقاييس الحيوية بالإضافة إلى ذلك، لاكتشاف تعقّب المخترقين، وتتّبع Google إجراءات أمنية مثل تسلّل أشعة الليزر والرصد والمراقبة على مدار الساعة طوال أيام الأسبوع من خلال كاميرات داخلية وخارجية عالية الدقة. تتوفر سجلات الوصول وسجلات الأنشطة ولقطات الكاميرا في حالة وقوع الحادث. حرّاس أمن من ذوي الخبرة، الذين خضعوا لتدابير صارمة والفحوصات الأمنية والتدريبات، والتمركز بشكل روتيني في مراكز بيانات Google. أثناء لتقترب أكثر من أرضية مركز البيانات، فستزداد التدابير الأمنية أيضًا. الوصول إلى لا يمكن إدخال أرضية مركز البيانات إلا عبر ممر أمان التحكُّم في الوصول المتعدّد العوامل باستخدام شارات الأمان والمقاييس الحيوية. لا يُسمح بالانضمام إلا للموظفين الموافَق عليهم الذين لديهم أدوار محدّدة. أقل من واحد بالمائة من سيتواجد موظفو Google في أي وقت في أحد مراكز بيانات Google.

تدير Google مراكز بيانات على مستوى العالم وتهدف إلى زيادة سرعتها وموثوقيتها إلى أقصى حد. لخدماتها. يتم إعداد بنيتها الأساسية بشكل عام لخدمة حركة البيانات من أقرب مركز بيانات إلى مصدر الزيارات. لذلك قد يختلف الموقع الجغرافي الدقيق لبيانات "منصة خرائط Google" حسب الموقع الجغرافي تنشأ هذه الزيارات، ويمكن معالجة هذه البيانات من خلال خوادم تقع في المنطقة الاقتصادية الأوروبية والمملكة المتحدة أو يتم نقلها إلى بلدان خارجية عملاء Google للعروض حيث تتوفّر منتجات "منصة خرائط Google" التي يتم تنفيذها للجميع في جميع أنحاء العالم. وغالبًا ما تجذب جمهورًا عالميًا البنية الأساسية التقنية التي تدعم نشر هذه المنتجات على مستوى العالم لتقليل وقت الاستجابة وضمان وفرة والأنظمة المختلفة. تستخدم "منصة خرائط Google" مجموعة فرعية من شبكة مركز البيانات العالمية من Google مدرجة أدناه للرجوع إليها:

أمريكا الشمالية والجنوبية

• الولايات المتحدة
• تشيلي

أوروبا

• بلجيكا
• فنلندا
• هولندا

آسيا

• تايوان
• سنغافورة

تشغيل مراكز بيانات Google

لمواصلة توفير الخدمات على مدار 24 ساعة طوال أيام الأسبوع وتقديم خدمات بلا انقطاع، يمكنك استخدام بيانات Google المراكز لديها أنظمة طاقة زائدة وضوابط بيئية. كل الحالات المهمة يحتوي على مصدر طاقة أساسي وبديل، ولكل منهما طاقة متساوية. يمكن للمولدات الاحتياطية توفير ما يكفي من الطاقة الكهربائية في حالات الطوارئ لتشغيل جميع البيانات في الوسط بكامل طاقته. تحافظ أنظمة التبريد على استمرار تشغيلها. درجة الحرارة للخوادم والأجهزة الأخرى، مما يقلل من مخاطر الصيانة حالات انقطاع الخدمة مع تقليل التأثير البيئي. الكشف عن الحرائق وتساعد معدّات القمع في منع تلف الأجهزة. كاشفات الحرارة والحريق أجهزة الكاشفة وأجهزة كاشف الدخان تُطلق إنذارات صوتية ومرئية في أجهزة الأمان ووحدات التحكم بالعمليات وفي مكاتب المراقبة عن بُعد.

وكانت Google هي أول شركة كبرى لخدمات الإنترنت تستعين بأدوات خارجية شهادة في الإدارة العالية لالطاقة والبيئة والسلامة في مكان العمل ومعاييرها عبر مراكز بيانات Google. على سبيل المثال، لإثبات اتّفاقية Google التزام Google بممارسات إدارة الطاقة، حصلت Google على شهادة 50001 شهادة لمراكز البيانات التابعة لها في أوروبا.

أجهزة وبرامج الخادم المخصّصة

تمتلك مراكز بيانات Google خوادم ومعدات شبكة مخصصة لغرض معين، وبعض التي تصممها Google. يتم تخصيص خوادم Google لتحقيق أقصى قدر من والأداء والتبريد وكفاءة الطاقة، فهي مصممة أيضًا للمساعدة الحماية ضد هجمات التسلّل المادي. على عكس معظم المنتجات التجارية المتوفرة تجاريًا أجهزة، لا تتضمن خوادم Google مكونات غير ضرورية مثل الفيديو أو البطاقات أو الشرائح أو الموصلات الطرفية، والتي يمكن أن تقدم جميعها الثغرات الأمنية. وتفحص Google مورّدي المكوّنات وتختار المكونات بعناية، والعمل مع الموردين لتدقيق خصائص الأمان التي المقدمة من المكونات. تصمّم Google شرائح مخصّصة، مثل Titan، التي تساعدنا في تحديد ومصادقة البيانات بشكل آمن أجهزة Google الشرعية على مستوى الأجهزة، بما في ذلك الرمز الذي تشير إليه التي تستخدمها الأجهزة للتشغيل.

يتم تخصيص موارد الخادم ديناميكيًا. وهذا يمنحنا المرونة اللازمة للنمو وتتيح لنا التكيّف بسرعة وكفاءة مع طلب العملاء من خلال إضافة إعادة تخصيص الموارد. يتم الحفاظ على هذه البيئة المتجانسة بواسطة برنامج الاحتكاري الذي يراقب باستمرار الأنظمة لمعرفة والتعديلات. تم تصميم آليات Google الآلية للشفاء الذاتي تمكننا من مراقبة الأحداث التي تسبب زعزعة الاستقرار ومعالجتها، وكذلك استلام الإشعارات بشأن الحوادث، وإبطاء حلول الاختراق المحتملة على الشبكة.

نشر الخدمة بأمان

خدمات Google هي برامج ثنائية للتطبيقات يكتبها مطورو Google على بنية Google الأساسية. للتعامل مع الحجم المطلوب من أعباء العمل، ربما تقوم آلاف الأجهزة بتشغيل برامج ثنائية من نفس الخدمة. مجموعة تسمى Borg، وهي تتحكم في الخدمات التي في البنية الأساسية مباشرة.

ولا تفترض البنية أي ثقة بين الخدمات على البنية التحتية. يُشار إلى نموذج الثقة هذا على أنّه نموذج الثقة المعدومة أمان البيانات. يعني نموذج الأمان انعدام الثقة أنّه ما مِن أجهزة أو مستخدمين موثوق بها بشكل افتراضي، سواء كانت داخل الشبكة أو خارجها.

ولأن البنية الأساسية مصممة لتخدم موظفين متعددين، فإن البيانات الواردة من منصات يتم توزيع العملاء (المستهلكين والأنشطة التجارية وحتى بيانات Google الخاصة) عبر البنية التحتية المشتركة. تتكون هذه البنية التحتية من عشرات آلاف الأجهزة المتجانسة. لا تفصل البنية الأساسية بيانات العملاء على جهاز واحد أو مجموعة من الأجهزة

تتبُّع الأجهزة والتخلص منها

تتتبّع Google بدقة موقع جميع المعدات وحالتها ضمن مراكز البيانات باستخدام الرموز الشريطية وعلامات الأصول. تنشر Google أجهزة الكشف عن المعادن والمراقبة بالفيديو للمساعدة في التأكد من عدم خروج أي معدات من مركز البيانات الطابق بدون إذن. إذا فشل أحد المكونات في اجتياز اختبار الأداء في لأي مرحلة خلال دورة حياتها، تتم إزالتها من المستودع وإزالتها.

أجهزة تخزين Google، بما في ذلك محركات الأقراص الثابتة ومحركات الأقراص ذات الحالة الصلبة وحدتا ذاكرة مزدوجة مضمّنة وغير متطايرة (DIMM)، تستخدم تقنيات مثل مساحة القرص الكامل تشفير (FDE) وقفل محرك الأقراص لحماية البيانات غير النشطة. عندما تكون سعة التخزين تتم إزالة الجهاز، ويتحقق الأفراد المصرح لهم من محو بيانات القرص بواسطة كتابة الأصفار في محرك الأقراص. كما يقومون أيضًا بإجراء التحقق متعدد الخطوات لضمان عدم احتواء محرك الأقراص على بيانات. إذا تعذر محو بيانات محرك الأقراص لـ أنه تم تدميرها جسديًا لأي سبب. ويتم التدمير المادي عن طريق استخدام آلة التقطيع التي تقسم محرك الأقراص إلى أجزاء صغيرة، تُعاد تدويرها بعد ذلك في آمنة. يلتزم كل مركز بيانات بسياسة التخلص من البيانات الصارمة معالجة الخلافات على الفور.

مزايا الأمان لشبكة Google العالمية

في السحابة الجغرافية المكانية الأخرى والحلول داخل الشركة، تنتقل البيانات بين الأجهزة عبر الإنترنت العام في مسارات تُعرف باسم القفزات. عدد القفزات على المسار الأمثل بين مزوّد خدمة الإنترنت للعميل ومركز البيانات. تقدم كل قفزة إضافية فرصة جديدة لمهاجمة البيانات أو وتم اعتراضه. وذلك لأن شبكة Google العالمية مرتبطة بمعظم مزودي خدمة الإنترنت في العالم، تحد شبكة Google من القفزات عبر شبكة الإنترنت العامة، وبالتالي يساعد في تقييد وصول الجهات المسيئة إلى تلك البيانات.

تستخدم شبكة Google طبقات دفاعية متعددة - دفاعية بعمق - للمساعدة حماية الشبكة من الهجمات الخارجية. الخدمات والخدمات المعتمَدة فقط السماح للبروتوكولات التي تستوفي متطلبات الأمان لدى Google باجتيازها يتم إسقاط أي شيء آخر تلقائيًا. لفرض فصل الشبكة، يستخدم جدران الحماية وقوائم التحكم في الوصول. يتم توجيه جميع حركة المرور عبر Google خوادم الواجهة الأمامية (GFE) للمساعدة في اكتشاف الطلبات الضارة وإيقافها هجمات الحرمان من الخدمات الموزعة (DDoS). يتم فحص السجلات بشكل روتيني الكشف عن أي استغلال لأخطاء البرمجة. الوصول إلى الأجهزة المتصلة بالشبكة ويقتصر على الموظفين المصرح لهم فقط.

تتيح لنا البنية الأساسية العالمية لـ Google تشغيل مشروع Shield: توفّر حماية مجانية وغير محدودة للمواقع الإلكترونية المعرّضة لهجمات حجب الخدمة الموزّعة (DDoS) التي تُستخدم لمراقبة المعلومات. المشروع تتوفّر خدمة Shield للمواقع الإلكترونية الإخبارية والمواقع الإلكترونية المعنيّة بحقوق الإنسان ومواقع مراقبة الانتخابات.

وقت استجابة سريع وحلول متاحة بدرجة كبيرة

تتكون شبكة بيانات IP التابعة لـ Google من الألياف الخاصة بها، من الألياف المتاحة للجمهور، والكابلات البحرية. وتتيح لنا هذه الشبكة تقديم عروض وقت الاستجابة المنخفض في جميع أنحاء العالم.

تصمم Google مكونات منصتها على نحو متكرر للغاية. هذا النمط تنطبق التكرار على تصميم خادم Google، وعلى كيفية تخزين Google للبيانات، والاتصال بالشبكة والإنترنت، وخدمات البرمجيات نفسها. هذا النمط "تكرار كل شيء" يتضمن التعامل مع الاستثناءات وإنشاء حل لا تعتمد على خادم واحد أو مركز بيانات أو اتصال شبكة واحد.

يتم توزيع مراكز بيانات Google جغرافيًا للحد من آثار وتعطل إقليمي على المنتجات العالمية، مثل حدوث كوارث طبيعية أو إعاقة حدوث انقطاعات في الخدمة. إذا تعطلت الأجهزة أو البرامج أو الشبكة، فإن خدمات النظام الأساسي يتم تحويل طائرات التحكم تلقائيًا وسريعًا من منشأة إلى أخرى بحيث تستمر خدمات المنصة بدون انقطاع.

تساعدك بنية Google الأساسية عالية التكرار أيضًا في حماية نشاطك التجاري من فقدان البيانات. تم تصميم أنظمة Google لتقليل وقت الاستراحة أو ونوافذ الصيانة عندما نحتاج إلى صيانة منصتنا أو ترقيتها.

الأمن التشغيلي

يُعد الأمان جزءًا لا يتجزأ من عمليات Google، وليس مجرد عنصر ثانوي. هذا القسم برامج إدارة الثغرات الأمنية في Google ومنع البرامج الضارة والمراقبة الأمنية وإدارة الحوادث.

إدارة الثغرات الأمنية

تعمل عملية إدارة الثغرات الداخلية في Google على البحث عن الأمان بشكل فعّال التهديدات عبر جميع حزم التكنولوجيا. تستخدم هذه العملية مزيجًا من والأدوات التجارية ومفتوحة المصدر والمصممة لغرض داخلي، وتشمل التالي:

• عمليات ضمان الجودة
• مراجعات أمان البرامج
• جهود اختراق آلي ويدوي مكثفة، بما في ذلك نطاق Red تمارين الفريق
• اختبار الاختراق الخارجي بصورة متكرّرة لخرائط Google منتجات المنصة
• عمليات التدقيق الخارجي المتكررة

تقع على عاتق مؤسسة إدارة الثغرات الأمنية وشركائها مسؤولية ومتابعة الثغرات الأمنية. لأنّ مستوى الأمان يتحسّن فقط بعد معالجة المشكلات بشكل كامل، تعمل مسارات التشغيل الآلي على إعادة تقييم حالة الثغرة الأمنية والتحقق من التصحيحات والإبلاغ عن خطأ أو جزئي الحل.

المراقبة الأمنية

يركز برنامج مراقبة الأمان من Google على المعلومات التي يتم جمعها من حركة بيانات الشبكة الداخلية، ومن إجراءات الموظفين على الأنظمة، ومن معرفة خارجية بالثغرات الأمنية. يتمثل أحد مبادئ Google الأساسية في تجميع جميع بيانات القياس عن بُعد للأمان وتخزّنها في مكان واحد لتعزيز الأمان في مؤسستك التحليل.

في العديد من النقاط عبر شبكة Google العالمية، يتم فحص حركة البيانات الداخلية سلوك مريب، مثل وجود زيارات قد تشير إلى شبكة الروبوت الاتصالات. تستخدم Google مزيجًا من الأدوات مفتوحة المصدر والأدوات التجارية التقاط وتحليل حركة المرور حتى تتمكن Google من إجراء هذا التحليل. حاسمة نظام ترابط مملوك ومبني على تقنية Google ويدعم أيضًا هذا التحليل. تكمّل Google تحليل الشبكة عن طريق فحص سجلات النظام تحديد السلوك غير المعتاد، مثل محاولات الوصول إلى بيانات العميل.

تعمل مجموعة تحليل التهديدات في Google على مراقبة جهات التهديد تطور أساليبهم وأساليبهم. مراجعة من مهندسي الأمان في Google تقارير الأمان الواردة ومراقبة القوائم البريدية العامة ومشاركات المدونات مواقع wiki. يساعد التحليل الآلي للشبكة والتحليل الآلي لسجلات النظام في تحديد وقت وجود تهديد غير معروف. إذا اكتشفت العمليات الآلية عند وجود مشكلة، يتم تصعيدها إلى موظفي الأمان في Google.

كشف التسلل

تستخدم Google مسارات معالجة بيانات متطورة لدمج أنظمة التشغيل المستندة إلى المضيف إشارات على الأجهزة الفردية وإشارات مستندة إلى الشبكة من عمليات المراقبة المختلفة والنقاط في البنية التحتية والإشارات من خدمات البنية التحتية. القواعد وذكاء الآلة القائم على هذه المسارات، لتقديم لمهندسي الأمان وتحذيرات من وقوع حوادث محتملة. تحقيق Google والاستجابة للعرقلة وفرزها والتحقيق فيها والاستجابة لها على مدار 24 ساعة في اليوم و365 يومًا في العام. تجري Google تدريبات الفريق الأحمر في بالإضافة إلى اختبار الاختراق الخارجي لقياس وتحسين فعالية آليات الكشف والاستجابة من Google.

إدارة الحوادث

تتّبع Google إجراءات صارمة لإدارة الحوادث الأمنية التي قد تؤثر على سرية أو سلامة أو توفر الأنظمة أو البيانات. يتمحور برنامج إدارة حوادث الأمان من Google حول إطار عمل الأمن السيبراني وفقًا للمعهد الوطني للمعايير والتكنولوجيا (NIST). إرشادات حول التعامل مع الحوادث (NIST SP 800–61) تقدّم Google دورات تدريبية كبار الموظفين في الطب الشرعي والتعامل مع الأدلة استعدادًا حدث، بما في ذلك استخدام أدوات تابعة لجهات خارجية وأدوات خاصة.

تختبر Google خطط الاستجابة للحوادث في المجالات الرئيسية. تأخذ هذه الاختبارات في الاعتبار عدة بما في ذلك التهديدات الداخلية والثغرات في البرامج. للمساعدة لضمان الحل السريع للحوادث الأمنية، فإن فريق أمان Google طوال 24 ساعة طوال أيام الأسبوع لجميع الموظفين.

ممارسات تطوير البرامج

تستخدم Google إجراءات حماية عناصر التحكّم في المصادر والمراجعات الصادرة عن طرفين لاتخاذ إجراءات استباقية الحد من إدخال الثغرات الأمنية. وتوفر Google أيضًا مكتبات تمنع مطوري البرامج من تقديم فئات معينة من أخطاء الأمان. بالنسبة تمتلك Google مكتبات وأُطر عمل مصممة للتخلص من بروتوكول XSS الثغرات الأمنية في حِزم SDK. توفّر Google أيضًا أدوات مبرمَجة لرصد الأمان. الأخطاء، مثل أدوات الكشف عن الأخطاء وأدوات التحليل الثابتة وأدوات فحص أمان الويب.

إجراءات الحماية باستخدام رمز المصدر

يتم تخزين رمز مصدر Google في مستودعات مع تضمين تكامل المصدر وسلامته والحوكمة، مما يجعل من الممكن تدقيق الإصدارات الحالية والسابقة للخدمة. تتطلب البنية الأساسية إنشاء البرامج الثنائية للخدمة. من رمز مصدر محدّد بعد مراجعته والتحقّق من صحته واختباره. برنامج ثنائي إنّ تفويض Borg (BAB) هو فحص داخلي لإجراءات التنفيذ. يحدث عند نشر الخدمة. يتولى BAB الإجراءات التالية:

• يضمن أن برامج الإنتاج والتهيئة المستخدمة في Google تتم مراجعته والموافقة عليه، لا سيما عندما يمكن لهذا الرمز الوصول إلى بيانات المستخدم
• ضمان استيفاء عمليات نشر الرموز البرمجية والضبط للحد الأدنى من معايير معيّنة
• تحدّ من قدرة الشخص الداخلي أو الخصوم على اتّخاذ إجراءات ضارة على رمز المصدر، كما يوفّر مسارًا جنائيًا من الخدمة إلى مصدرها

تقليل المخاطر الداخلية

تحد Google وتراقب بشكل فعال أنشطة الموظفين الذين منح حق الوصول الإداري إلى البنية التحتية. تعمل Google باستمرار والقضاء على الحاجة إلى الوصول المتميز لمهام معينة باستخدام التشغيل الآلي التي يمكنها إنجاز المهام نفسها بطريقة آمنة ومراقَبة. بالنسبة مثلاً، تطلب Google موافقات الطرفَين على بعض الإجراءات، كما تستخدم Google واجهات برمجة تطبيقات محدودة تتيح تصحيح الأخطاء بدون الكشف عن المعلومات الحساسة.

ويتم تسجيل دخول موظف Google إلى معلومات المستخدم من خلال مستويات منخفضة من البنية الأساسية الأساسية. يقوم فريق الأمان في Google بمراقبة أنماط الوصول التحقيق في الأحداث غير المعتادة.

اختبار الاستعادة من الكوارث - الترابي

توفّر "منصة خرائط Google" ميزة استعادة البيانات عند حدوث كوارث سنوية على مستوى الشركة وعلى مستوى الشركة. اختبار أحداث (DiRT) للتأكّد من أنّ خدمات "منصة خرائط Google" استمرار تشغيل العمليات التجارية الداخلية أثناء حدوث كارثة. كانت للعثور على الثغرات الأمنية في الأنظمة المهمة من خلال التسبب في الأخطاء، وإصلاح تلك الثغرات قبل حدوث الأخطاء في بطريقة غير منضبطة. تختبر ميزة DiRT قوة Google الفنية من خلال مشاركة البث المباشر واختبار المرونة التشغيلية لـ Google من خلال منعها بشكل صريح والموظفين المهمين وخبراء المنطقة والقادة من المشاركة. جميعها عامةً يجب أن تخضع الخدمات المتوفرة لإجراء اختبار DRT بشكل مستمر ونشط والتحقق من مرونتها وتوافرها.

للتحضير لتمرين DiRT، تستخدم Google مجموعة متسقة من من القواعد المتعلقة بتحديد الأولويات

وبروتوكولات الاتصال وتوقعات التأثير ومتطلبات تصميم الاختبار، بما في ذلك خطط العودة إلى الحالة السابقة التي تمت مراجعتها مسبقًا والموافقة عليها. تمارين وسيناريوهات ترابية لا يقتصر الأمر على فرض الأعطال الفنية في الخدمة نفسها فحسب، بل يمكن أن يشمل أيضًا والإخفاقات في العملية المصممة، وتوافر الموظفين الرئيسيين، والأنظمة الداعمة، والاتصالات والوصول المادي. يتحقق DiRT من أن العمليات في مكانها الصحيح على أرض الواقع. كما أنها تضمن تدريب الفرق مسبقًا وحصولها على التي يمكن الاستفادة منها خلال فترات الانقطاع الفعلية والكوارث والكوارث من صنع الإنسان أو طبيعية.

عناصر التحكُّم في أمان المفاتيح

يوضِّح هذا القسم عناصر التحكّم في الأمان الرئيسية التي توفّرها "منصة خرائط Google". لحماية منصتها.

التشفير

يضيف التشفير طبقة دفاعية لحماية البيانات. يضمن التشفير أنه إذا تمكن المهاجم من الوصول إلى البيانات، فلن يتمكن المهاجم قراءة البيانات دون الحاجة أيضًا إلى الوصول إلى مفاتيح التشفير. حتى إذا لم تكن على المهاجم الوصول إلى البيانات (على سبيل المثال، من خلال الوصول إلى الاتصال السلكي بين مراكز البيانات أو عن طريق سرقة أحد أجهزة التخزين)، فلن يكون بمقدورهم فهمه أو فك تشفيره.

يوفر التشفير آلية مهمة في الطريقة التي تساعد بها Google في حماية وخصوصية البيانات. فهي تسمح للأنظمة بمعالجة البيانات - على سبيل المثال، النسخ الاحتياطي - والمهندسين لدعم البنية التحتية لـ Google، دون توفير وصول تلك الأنظمة أو الموظفين إلى المحتوى.

التشفير غير النشِط

التشفير "في حالة عدم النشاط" يعني هذا القسم التشفير المستخدم لحماية البيانات التي يتم تخزينها على قرص (بما في ذلك محركات الأقراص ذات الحالة الصلبة) أو وسائط النسخ الاحتياطي. البيانات مشفّرة على مستوى مساحة التخزين، وبوجه عام باستخدام AES256 (التشفير المتقدّم) عادي). غالبًا ما يتم تشفير البيانات على مستويات متعددة في إنتاج Google. مكدس التخزين في مراكز البيانات، بما في ذلك على مستوى الأجهزة، دون اشتراط اتخاذ أي إجراء من جانب عملاء Google استخدام طبقات تشفير متعددة

توفير حماية متكررة للبيانات ويسمح لـ Google باختيار الطريقة المثلى استنادًا إلى متطلبات الطلب. تستخدم Google مكتبات تشفير شائعة التي تتضمن وحدة FIPS 140-2 التي تم التحقق من صحتها من Google تطبيق التشفير بشكل متسق عبر المنتجات يعد الاستخدام المتسق المكتبات تعني أن فريقًا صغيرًا فقط من المبرمجين يحتاج إلى تنفيذ وحافظ على هذا التعليمات البرمجية الخاضعة للرقابة والمراجعة.

حماية البيانات التي يتم نقلها

يمكن أن تكون البيانات عرضة للوصول غير المصرّح به أثناء انتقالها على الإنترنت. توفّر "منصة خرائط Google" تشفيرًا قويًا أثناء النقل بين العميل والأجهزة والشبكات وخوادم واجهة Google الأمامية (GFE) من Google. Google توصي العملاء/المطورين باستخدام أقوى تشفير معتمد من Google (TLS 1.3) عند إنشاء التطبيقات كإحدى أفضل الممارسات. بعض العملاء هناك حالات استخدام تتطلب مجموعات رموز قديمة لأسباب تتعلق بالتوافق، تتوافق "منصة خرائط Google" مع هذه المعايير الأضعف، ولكنّها لا تنصح متى أمكن ذلك. توفّر لك Google Cloud أيضًا وسيلة نقل إضافية. خيارات التشفير، بما في ذلك Cloud VPN لإنشاء خادم افتراضي خاص الشبكات التي تستخدم IPsec لمنتجات "منصة خرائط Google".

حماية البيانات التي يتم نقلها بين مراكز بيانات Google

يضمن بروتوكول أمان طبقة التطبيق (ALTS) ضمان سلامة Google حماية وتشفير حركة البيانات حسب الحاجة. بعد تأكيد الاتصال بين العميل والخادم تمامًا يتفاوض العميل والخادم على أسرار التشفير المشتركة اللازمة يقوم ALTS بتشفير حركة مرور الشبكة ومصادقتها، ويؤمن RPC (عن بعد) إجراء استدعاء) حركة المرور من خلال فرض التكامل، باستخدام البيانات المشتركة التي تم التفاوض عليها الأسرار. تتوافق Google مع بروتوكولات متعددة لضمان السلامة، مثل معيار التشفير المتقدّم AES-GMAC (معيار التشفير المتقدّم) مع مفاتيح 128 بت كلما ازدادت حركة المرور تترك حدودًا مادية تتحكم فيها Google أو نيابةً عنها، على سبيل المثال في نقل البيانات عبر شبكة الاتصال الواسعة WAN بين مراكز البيانات، وجميع البروتوكولات تتم ترقيتها تلقائيًا لتوفير ضمانات التشفير وسلامة الجهاز.

مدى توفّر خدمة "منصة خرائط Google"

قد لا تتوفر بعض خدمات "منصة خرائط Google" على مستوى جميع هذه المناطق. تكون بعض الانقطاعات في الخدمة مؤقتة (بسبب تاريخ غير متوقع) حدث، مثل انقطاع في الشبكة)، ولكن تظل قيود الخدمة الأخرى دائمة بسبب القيود التي تفرضها الحكومة. الشفافية الشاملة لشركة Google يعرض التقرير ولوحة بيانات الحالة الأحداث الأخيرة الأعطال المستمرة في حركة المرور في خدمات "منصة خرائط Google". توفّر Google هذه البيانات لمساعدتك في تحليل وفهم معلومات مدة تشغيل Google.

الأمان من جهة العميل

يُعد الأمان مسؤولية مشتركة بين مقدّم خدمة السحابة الإلكترونية شريك أو عميل ينفِّذ منتجات "منصة خرائط Google". هذا القسم توضح تفاصيل مسؤوليات العميل/الشريك التي يجب مراعاتها عند تصميم حل "منصة خرائط Google".

واجهات برمجة تطبيقات JavaScript

المواقع الآمنة

تنشر واجهة برمجة تطبيقات JavaScript للخرائط مجموعة من الاقتراحات التي تسمح ضبط سياسة أمان المحتوى (CSP) لموقعه الإلكتروني لتجنّب ثغرات أمنية مثل "البرمجة النصية على المواقع" و"تمويه النقر" و"إدخال البيانات" الهجمات. تتوافق واجهة برمجة تطبيقات JavaScript مع نموذجين من سياسة CSP: سياسة CSP صارمة تستخدم nonces. وسياسة CSP في القائمة المسموح بها.

أمان JavaScript

يتم فحص JavaScript بانتظام بحثًا عن أنماط الأمان المعروفة. يتم إصلاح المشكلات بسرعة. يتم إصدار واجهة برمجة تطبيقات JavaScript أسبوعيًا الإيقاع أو عند الطلب، في حالة ظهور أي مشكلات.

أمان تطبيقات الأجهزة الجوّالة (MAS)

يُعد أمان تطبيقات الأجهزة الجوّالة (MAS) جهدًا مفتوحًا وسريعًا و يعتمد على حشد الموارد من مساهمات العشرات من المؤلفين والمراجعين من جميع أنحاء العالم. يوفّر المشروع الرئيسي لأمان التطبيقات للأجهزة الجوّالة (MAS) من OWASP معيار تطبيقات الأجهزة الجوّالة (OWASP MASVS) ودليل الاختبار الشامل (OWASP) MASTG) التي تتناول العمليات والتقنيات والأدوات المستخدمة أثناء تطبيق الهاتف المحمول واختبار الأمان، بالإضافة إلى مجموعة شاملة من حالات الاختبار التي تتيح للمختبرين لتقديم نتائج متسقة وكاملة.

• معيار التحقُّق من أمان تطبيق الأجهزة الجوّالة OWASP (MASVS) يوفر أساسًا للمعلومات الكاملة والمتسقة اختبارات الأمان لكل من iOS وAndroid.
• دليل اختبار أمان تطبيقات الأجهزة الجوّالة (MASTG) من OWASP هو دليل شامل يغطي العمليات والتقنيات والأدوات المستخدمة أثناء تحليل أمان تطبيقات الأجهزة الجوّالة، بالإضافة إلى مجموعة شاملة من حالات اختبار للتحقق من المتطلبات المدرجة في MASVS.
• تحتوي قائمة التحقق من أمان تطبيق الأجهزة الجوّالة OWASP على أو روابط إلى حالات اختبار MASTG لكل عنصر تحكم MASVS.
  • تقييمات / اختبارات الأمان: تأكد من أنك تغطي على الأقل الأجزاء المُعرضة للهجوم وبدء الاستكشاف.
  • الامتثال المعياري: يشمل إصدارَي MASVS وMASTG وأرقام تعريف الالتزام.
  • تعلَّم مهاراتك في الأمان على الأجهزة الجوّالة وممارستها.
  • مكافآت تصحيح الأخطاء: تمكّن من تغطية الأجزاء المعرضة للهجوم على الأجهزة الجوّالة خطوة بخطوة.

الاستفادة من OWASP MAS لتحسين تطبيق iOS وAndroid وإمكانيات الأمان والاختبار والمصادقة

Android

ومن الموارد الأخرى التي يجب مراعاتها عند تطوير تطبيقات Android أفضل الممارسات المتعلّقة بتطبيقات منتدى Android يعمل برنامج الأمان الإرشادات تحتوي على أفضل الممارسات الإرشادية بشأن فرض الاتصالات، تحديد الأذونات الصحيحة، تخزين البيانات الآمن، الخدمة والتبعيات والمزيد.

iOS

عند تطوير تطبيقات iOS، اطّلِع على المقالة مقدمة عن "الأمان" من Apple دليل الترميز، الذي يحتوي على أفضل الممارسات لنظام التشغيل iOS النظام الأساسي.

جمع البيانات واستخدامها والاحتفاظ بها

تلتزم "منصة خرائط Google" بالشفافية في ما يتعلّق بجمع البيانات واستخدام البيانات والاحتفاظ بها. يمكن أن تجمع بيانات "منصة خرائط Google" واستخدامها والاحتفاظ بالبيانات لبنود خدمة "منصة خرائط Google" "الخدمة"، التي تتضمّن سياسة خصوصية Google السياسة:

جمع البيانات

يتم جمع البيانات من خلال استخدام منتجات "منصة خرائط Google". كعميل، يمكنك التحكّم في المعلومات التي تنقلها إلى "منصة خرائط Google". من خلال واجهات برمجة التطبيقات وحزم SDK. يتم تسجيل جميع طلبات "منصة خرائط Google"، والتي تضمين رموز حالة الاستجابة من المنتج.

البيانات المسجَّلة في "منصة خرائط Google"

وتسجّل "منصة خرائط Google" البيانات في مجموعة المنتجات. تحتوي السجلات على العديد الإدخالات التي تتضمن عادةً ما يلي:

• معرّف الحساب الذي يمكن أن يكون مفتاح واجهة برمجة تطبيقات أو معرّف عميل أو مشروع على Google Cloud الصف. وهذا الإجراء مطلوب للعمليات والدعم والفوترة.
• عنوان IP للخادم أو الخدمة أو الجهاز الذي يقدّم الطلب. بالنسبة إلى واجهات برمجة التطبيقات، يُرجى ملاحظة أن عنوان IP الذي يتم إرساله إلى Google Maps Platform سيعتمد على كيفية يتم تنفيذ استدعاء واجهة برمجة التطبيقات في التطبيق أو الحل. بالنسبة إلى حزم تطوير البرامج (SDK)، لا يُستخدم عنوان IP إلى عنوان جهاز الاستدعاء.
• عنوان URL للطلب، الذي يحتوي على واجهة برمجة التطبيقات والمعلمات التي يتم تمريرها إلى واجهة برمجة التطبيقات. على سبيل المثال، تتطلب Geocoding API اثنين (العنوان ومفتاح واجهة برمجة التطبيقات). يحتوي الترميز الجغرافي أيضًا على عدد من الاختيارات المعلَمات. سيحتوي عنوان URL للطلب على جميع المعلمات التي يتم تمريرها إلى خدمة ما.
• تاريخ ووقت الطلب
• تحتوي تطبيقات الويب على عناوين طلبات تم تسجيلها والتي تتضمن عادةً بيانات مثل نوع متصفح الويب ونظام التشغيل.
• تتضمن تطبيقات الأجهزة الجوّالة التي تستخدم حزمة SDK إصدار Google Play أو مكتبة وتسجيل اسم التطبيق.

الوصول إلى سجلّ "منصة خرائط Google"

يكون الوصول إلى السجلات مشروطًا بدرجة كبيرة ومعتمدًا فقط لفريق محدد الأعضاء الذين لديهم احتياجات تجارية مشروعة. كل طلب وصول إلى يتم توثيق ملفات السجل لأغراض التدقيق، والتي يتم التحقق منها من خلال عمليات التدقيق التي أجرتها الجهات الخارجية وفقًا لمعيارَي ISO 27001 وSOC 2

استخدام البيانات

يتم استخدام البيانات التي تجمعها "منصة خرائط Google" للأغراض التالية:

• تحسين منتجات Google وخدماتها
• توفير الدعم الفني للعملاء
• المراقبة والتنبيه التشغيلي
• الحفاظ على أمان المنصة
• تخطيط قدرات المنصات

تجدر الإشارة إلى أنّ "منصة خرائط Google" لا تبيع أبدًا بيانات عمليات المستخدم إلى جهات الأطراف الأخرى كما هو موثق في سياسة خصوصية Google.

الاحتفاظ بالبيانات وإخفاء الهوية

قد يتم الاحتفاظ بالبيانات التي تم جمعها في سجلّات "منصة خرائط Google" لفترات مختلفة. من الوقت وفقًا لاحتياجات العمل، مع مراعاة إخفاء هوية البيانات من Google سياسات إخفاء المحتوى يتم إخفاء هوية عناوين IP تلقائيًا بمجرد عمليًا (سيتم حذف جزء من عنوان IP). استخدام مجمّع مجهول الهوية قد يتم الاحتفاظ بالإحصائيات الناتجة من السجلات إلى أجل غير مسمى.

يشير ذلك المصطلح إلى شهادات الأمان والمجال والتوفّر العالي والشهادات البيئية. عمليات التدقيق

ISO 27001

المنظمة الدولية لتوحيد المقاييس (ISO) هي منظمة مستقلة منظمة دولية غير حكومية لديها عضوية دولية في 163 هيئة معايير وطنية. تتوافق مجموعة ISO/IEC 27000 مع والمعايير التي تساعد المؤسسات في الاحتفاظ بأصول المعلومات بأمان.

يوضّح المعيار ISO/IEC 27001 متطلبات أمان المعلومات ويقدّمها. مجموعة من أفضل الممارسات (ISMS)، ويوضح بالتفصيل عناصر التحكم في الأمان التي يمكن أن تساعد في إدارة مخاطر المعلومات.

تم اعتماد "منصة خرائط Google" والبنية التحتية المشتركة من Google كمنظمة ISO/IEC متوافق مع 27001. لا يشترط المعيار 27001 تقديم معلومات محددة عناصر التحكم في الأمان، لكن إطار العمل وقائمة التحقق من عناصر التحكم التي توضح تضمن Google استخدام نموذج أمان شامل ومحسَّن بشكلٍ مستمر. المشروع.

يمكنك تنزيل ومراجعة شهادة ISO 27001 لمنصة "خرائط Google" من مدير تقارير الامتثال في Google

SOC 2 النوع II

SOC 2 هو تقرير يستند إلى مجلس معايير التدقيق. "المعهد الأمريكي للمحاسبين القانونيين المعتمدين" (AICPA) وفقًا لمعايير خدمات الثقة (TSC) الحالية. إن الغرض من يهدف هذا التقرير إلى تقييم نظم معلومات إحدى المؤسسات ذات الصلة والأمان والتوافر وسلامة المعالجة والسرية والخصوصية. SOC يتم إصدار تقريرَي النوع الثاني نصف سنوي في شهر حزيران (يونيو) تقريبًا. ديسمبر.

يمكنك تنزيل تقرير تدقيق SOC 2 Type II لمنصة "خرائط Google" ومراجعتها من مدير تقارير الامتثال في Google

تحالف أمان السحابة الإلكترونية (CSA)

إنّ Cloud Security Alliance (1 و2) هي مؤسسة غير ربحية "تعزيز استخدام أفضل الممارسات لتوفير الأمان في الحوسبة السحابية، وتقديم التعليم حول استخدامات الحوسبة للمساعدة في تأمين جميع أشكال الحوسبة الأخرى".

تم تصميم برنامج Security, Trust and Assurance Registry (CSA STAR) الخاص بـ CSA. لمساعدتك في تقييم واختيار مقدّم الخدمات السحابية من خلال اتّباع ثلاث خطوات وبرنامج التقييم الذاتي وتدقيق الجهة الخارجية والمراقبة المستمرة.

حقّقت "منصة خرائط Google" نتائج تستند إلى تقييمات الجهات الخارجية. شهادة (المستوى 1 من شهادة CSA STAR: المصادقة)

تُعد Google أيضًا أحد رعاة CSA وعضو في منظمة CSA الدولية مجلس توحيد المعايير (ISC) وعضو مؤسس في CSA مركز التميّز للائحة العامّة لحماية البيانات (GDPR).

ISO 22301:2019

المنظمة الدولية لتوحيد المقاييس (ISO) هي منظمة مستقلة منظمة دولية غير حكومية لديها عضوية دولية في 163 هيئة معايير وطنية.

ISO 22301:2019 هو معيار دولي للأنشطة التجارية إدارة الاستمرارية المصممة لمساعدة المؤسسات على تنفيذ وصيانة وتحسين نظام الإدارة لمنعها والاستعداد لها والاستجابة لها من الاضطرابات عند ظهورها.

يتم اعتماد مراكز البيانات التي تدعم منتجات "منصة خرائط Google" امتثالا لمعيار ISO 22301:2019 وBS EN ISO 22301:2019 بعد خضوعها لعملية تدقيق عن طريق مدقق خارجي مستقل. ولذلك فإن الالتزام بهذه المعايير بالنسبة إلى مراكز البيانات أن المواقع التي تستضيف منتجات Google وخدماتها استيفاء المتطلبات على النحو المحدّد في ISO 22301:2019 وBS EN ISO 22301:2019.

ISO 50001

المنظمة الدولية لتوحيد المقاييس (ISO) هي منظمة مستقلة منظمة دولية غير حكومية لديها عضوية دولية في 163 هيئة معايير وطنية.

ISO 50001:2018 هو معيار دولي للطاقة المشروعات المصممة لمساعدة المؤسسات على تنفيذ المهام وصيانتها تحسين نظام الإدارة لدمج إدارة الطاقة في نظام الإدارة الجهود لتحسين الجودة والإدارة البيئية.

إنّ مراكز بيانات Google في أوروبا والشرق الأوسط وأفريقيا والتي تستخدمها "منصة خرائط Google" حاصلة على شهادة ISO. متوافق مع 50001:2018 بعد خضوعه لعملية تدقيق أجرتها جهة خارجية مستقلة المدقق. يوضح الامتثال لمعيار ISO 50001:2018 لمراكز بيانات Google أن إن المواقع الواقعة في النطاق التي تستضيف منتجات Google وخدماتها تفي بالمتطلبات حيث المحددة في ISO 50001:2018.

أُطر العمل القانونية المتوافقة

في ما يلي التزامات تعاقدية عالمية.

التزامات التعاقد الأوروبية

يصف هذا القسم الالتزامات التعاقدية الأوروبية.

لائحة الاتحاد الأوروبي العامة لحماية البيانات (GDPR)

اللائحة العامة لحماية البيانات (اللائحة العامة لحماية البيانات) هي تشريع لحماية الخصوصية حل محل 95/46/EC توجيه بشأن حماية البيانات بتاريخ 24 تشرين الأول (أكتوبر) 1995 في 25 أيار (مايو)، 2018. تحدد اللائحة العامة لحماية البيانات متطلبات محددة للأنشطة التجارية والمؤسسات التي يتم إنشاؤها في أوروبا أو تخدم المستخدمين في أوروبا منصة خرائط Google المبادرات التي تعطي الأولوية وتحسّن الأمان والخصوصية من البيانات الشخصية للعملاء، ويريدونك، بصفتك أحد عملاء "منصة خرائط Google"، أن تشعر بالثقة عند استخدام خدمات Google في ضوء متطلبات اللائحة العامة لحماية البيانات (GDPR). في حال حذف شراكتك مع "منصة خرائط Google"، ستدعم الامتثال للائحة العامة لحماية البيانات (GDPR). الجهود من خلال:

1. الالتزام في عقود Google بالامتثال للائحة العامة لحماية البيانات في ما يتعلق معالجة Google للبيانات الشخصية في جميع خدمات "منصة خرائط Google"
2. توفير الوثائق والمراجع لمساعدتك في الحفاظ على خصوصيتك تقييم خدمات Google
3. مواصلة تطوير إمكانات Google باعتبارها الإطار التنظيمي التغييرات

قرارات الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية وسويسرا والمملكة المتحدة

كما هو موثق في سياسة خصوصية Google، لا يلتزم قرّرت المفوضية أنّ بعض البلدان خارج أوروبا توفير المنطقة الاقتصادية (EEA) وتوفير حماية كافية للمعلومات الشخصية، ما يعني: البيانات التي يمكن نقلها من الاتحاد الأوروبي (EU) والنرويج وليختنشتاين وأيسلندا إلى تلك البلدان. وقد اعتمدت المملكة المتحدة وسويسرا إجراءات وآليات مدى الملاءمة.

البنود التعاقدية النموذجية للاتحاد الأوروبي

نشرت المفوضية الأوروبية البنود التعاقدية النموذجية الجديدة للاتحاد الأوروبي للمساعدة في لحماية البيانات الأوروبية جنبًا إلى جنب مع البنود التعاقدية النموذجية. أدرجت Google البنود التعاقدية النموذجية إلى عقود Google Maps Platform لحماية البيانات وتلبية متطلبات تشريع الخصوصية الأوروبية. ومثل البنود التعاقدية النموذجية السابقة، ويمكن استخدام البنود لتسهيل عمليات النقل المشروع للبيانات.

قانون حماية البيانات في المملكة المتحدة

قانون حماية البيانات لعام 2018 هو تنفيذ المملكة المتحدة لـ اللائحة العامة لحماية البيانات (GDPR). "اللائحة العامة لحماية البيانات في المملكة المتحدة" تعني اللائحة العامة لحماية البيانات في الاتحاد الأوروبي التعديلات على قانون المملكة المتحدة وإدراجه بموجب قانون المملكة المتحدة في الاتحاد الأوروبي (انسحاب) القانون 2018، والتشريعات الثانوية السارية بموجب هذا القانون

القانون الفيدرالي السويسري لحماية البيانات (FDPA)

قانون حماية البيانات السويسري، المعروف رسميًا باسم القانون الفيدرالي قانون حماية البيانات (FADP)، هو لائحة لحماية البيانات تهدف إلى وحماية الأشخاص الخصوصية والحقوق الأساسية عند معالجة البيانات.

التزامات تعاقدية غير أوروبية

يصف هذا القسم الالتزامات التعاقدية غير الأوروبية.

Lei Geral de Proteção de Dados (LGPD)

إنّ قانون Lei Geral de Proteção de Dados (LGPD) في البرازيل هو بيانات قانون الخصوصية الذي يحكم معالجة البيانات الشخصية من قبل الشركات المؤسسات القائمة في البرازيل، أو التي تخدم المستخدمين في البرازيل، من بين في حالات أخرى. وقد أصبح قانون LGPD ساري المفعول الآن، ويوفِّر الحماية التالية:

• تنظم كيفية قيام الشركات والمؤسسات بجمع البيانات واستخدامها والتعامل معها بيانات شخصية
• استكمال قوانين الخصوصية الفيدرالية الحالية في القطاع العام أو استبدالها لزيادة المساءلة
• يسمح بفرض غرامات على الأنشطة التجارية والمؤسسات التي لا تلبّي متطلباتها المتطلبات
• تسمح بإنشاء "هيئة حماية البيانات"
• يفرض قواعد بشأن نقل البيانات الشخصية التي يتم جمعها داخل البرازيل.

تقدِّم Google منتجات وحلولاً يمكنك استخدامها كجزء من قانون LGPD. استراتيجية الامتثال:

• ميزات الأمان والخصوصية التي تساعدك على الامتثال لقانون LGPD وتحسين حماية البيانات الشخصية وإدارتها
• خدمات وبنية أساسية تم تصميمها لضمان أمان معالجة البيانات واستخدام ممارسات الخصوصية المناسبة
• التطوير المستمر لمنتجات Google وقدراتها باعتبارها الجهة التنظيمية تغييرات الوضع الأفقي

يحتاج عملاء "منصة خرائط Google" إلى تقييم طريقة معالجتهم للبيانات الشخصية وتحديد ما إذا كانت متطلبات قانون LGPD تنطبق عليها. Google ننصحك باستشارة خبير قانوني للحصول على إرشادات بشأن قانون LGPD. متطلبات محددة تسري على مؤسستك، حيث إن هذا الموقع لا يشكل مشورة قانونية.

الالتزامات التعاقدية للولايات الأمريكية

قانون ولاية كونيتيكت بشأن خصوصية البيانات والمراقبة على الإنترنت

قانون كونيتيكت بشأن خصوصية البيانات وعلى الإنترنت المراقبة، Pub. دخل القانون رقم 2015 حيز التنفيذ في 1 كانون الثاني (يناير)، 2023. راجِع مقالة حماية البيانات بين مسؤولي التحكّم بالبيانات في Google بنود الخدمة للاطّلاع على مزيد من المعلومات

قانون خصوصية المستهلك في كاليفورنيا (CCPA)

قانون خصوصية المستهلك في كاليفورنيا (CCPA) (1، 2) هو قانون خصوصية البيانات الذي يزوّد المستهلكين في كاليفورنيا بعدد من متطلبات الخصوصية بما في ذلك حق الوصول إلى "البيع" وحذفه وإيقافه من معلوماتهم الشخصية. اعتبارًا من 1 كانون الثاني (يناير) 2020، ستبدأ الأنشطة التجارية التي تجمع المقيمين في كاليفورنيا معلوماتك الشخصية وتستوفي عتبة معينة ( مثل الأرباح وحجم معالجة البيانات) يجب أن تلتزم بهذه والالتزامات. قانون حقوق الخصوصية في كاليفورنيا (CPRA) هو قانون خصوصية بيانات وتعديل "قانون خصوصية المستهلك في كاليفورنيا" (CCPA) والتوسّع في نطاقه. يسري هذا القانون اعتبارًا من 1 كانون الثاني (يناير) 2023. تلتزم Google بشدة بمساعدة عملائها في الوفاء بالتزاماتهم بموجب ولوائح البيانات هذه من خلال توفير أدوات ملائمة وتعزيز مستوى الخصوصية والحماية الأمنية في خدمات Google وعقودها. يمكنك الاطّلاع على المزيد معلومات حول مسؤولياتك كنشاط تجاري بموجب قانون خصوصية المستهلك في كاليفورنيا (CCPA) الموقع الإلكتروني لمكتب المدّعي العام في ولاية كاليفورنيا. ارجع إلى بنود حماية البيانات بين مسؤولي التحكّم بالبيانات في Google مزيد من المعلومات.

قانون الخصوصية في كولورادو (CPA)

قانون الخصوصية في كولورادو، قوانين ولاية كولورادو. الفقرة 6-1-1301 وما يليها. اعتبارًا من 1 كانون الثاني (يناير) 2023. يؤدي هذا العمل إلى إنشاء خصوصية للبيانات الشخصية الحقوق وينطبق على الكيانات القانونية التي تنفّذ أنشطة تجارية أو تنتج المنتجات أو الخدمات التي تستهدف سكان ولاية كولورادو عمدًا يؤدي إلى تنفيذ أحد الإجراءين التاليين:

• التحكّم في البيانات الشخصية لما لا يقل عن 100,000 مستهلك في التقويم أو معالجتها السنة
• يمكنك استخلاص الأرباح من بيع البيانات الشخصية والتحكم في أو معالجة من البيانات الشخصية لما لا يقل عن 25,000 مستهلك

راجِع مقالة حماية البيانات بين مسؤولي التحكّم بالبيانات في Google بنود الخدمة للاطّلاع على مزيد من المعلومات

قانون خصوصية المستهلك في يوتا (UCPA)

قانون خصوصية المستهلك في يوتا، يوتا كود آن. § 13-61-101 وآخر تسلسلي اعتبارًا من 1 كانون الثاني (يناير) 2023. تنطبق UCPA على بيع البيانات الشخصية والإعلانات المستهدفة، وتحدد ما يفعله وما لا يفعله عملية بيع: "تبادل البيانات الشخصية مقابل تعويض مالي من خلال تحكمها بجهة خارجية".

راجِع مقالة حماية البيانات بين مسؤولي التحكّم بالبيانات في Google بنود الخدمة للاطّلاع على مزيد من المعلومات

قانون حماية بيانات المستهلك في فرجينيا (VCDPA)

تم اعتماد قانون حماية بيانات المستهلك في فرجينيا (VCDPA) يسري في 1 كانون الثاني (يناير) 2023. يمنح هذا القانون سكان فيرجينيا بعض الحقوق للبيانات الشخصية التي تجمعها الأنشطة التجارية بموجب الشروط المنصوص عليها في القانون.

يُرجى الرجوع إلى مقالة حماية البيانات بين مسؤولي التحكّم بالبيانات في Google بنود الخدمة للاطّلاع على مزيد من المعلومات

ملخّص

فالأمان هو معيار تصميم أساسي لجميع البنية التحتية في Google، والمنتجات والعمليات. حجم عمليات Google وتعاونها مع منتدى الأبحاث الأمنية يمكننا من التعامل مع الثغرات بسرعة، وغالبًا ما يتم منعها تمامًا. تدير Google خدماتها الخاصة، مثل مثل "بحث Google" وYouTube وGmail، على البنية الأساسية نفسها المتوفرة المتاحة لعملائها، الذين يستفيدون بشكل مباشر من عناصر التحكم في الأمان في Google والممارسات.

وتعتقد Google أنه يمكن أن توفر مستوى من الحماية لا يستفيد منه إلا أن مع مقدمي الخدمة أو فرق تكنولوجيا المعلومات في المؤسسة الخاصة. لأن حماية البيانات جوهر أعمال Google، يمكننا إجراء استثمارات مكثفة في مجال الأمان، والموارد والخبرة على نطاق واسع لا يمكن للآخرين استثمارات Google يجعلك تركز على نشاطك التجاري وابتكارك. سنواصل الاستثمار في منصتنا للسماح لك بالاستفادة من خدمات Google بطريقة آمنة تتسم بالشفافية.