بررسی اجمالی امنیت و انطباق برای پلتفرم Google Maps

این محتوا آخرین بار در مارس ۲۰۲۶ به‌روزرسانی شده است و نشان‌دهنده وضعیت موجود در زمان نگارش آن است. سیاست‌ها و سیستم‌های امنیتی گوگل ممکن است در آینده تغییر کنند، زیرا ما به طور مداوم حفاظت از مشتریان خود را بهبود می‌بخشیم.

مقدمه

پلتفرم نقشه‌های گوگل، APIها و SDKها را برای مشتریان و شرکا فراهم می‌کند تا با استفاده از فناوری مکانی-فضایی گوگل، برنامه‌های وب و موبایل را توسعه دهند. پلتفرم نقشه‌های گوگل بیش از ۵۰+ API و SDK را برای مشتریان در صنایع مختلف ارائه می‌دهد. به عنوان یک مشتری در صنعت، شما اغلب باید هنگام ساخت راه‌حل‌های خود، الزامات امنیتی، استفاده از داده‌ها و مقررات را رعایت کنید. این شامل اطمینان از مطابقت فناوری شخص ثالث شما با همان الزامات نیز می‌شود.

این سند خلاصه‌ای سطح بالا از کنترل‌های افراد، فرآیندها و فناوری ارائه شده توسط پلتفرم نقشه‌های گوگل، همراه با شرح مزایای استفاده از این پلتفرم، ارائه می‌دهد. ابتدا، درک دو رکن اصلی فناوری در زیر پلتفرم نقشه‌های گوگل مهم است:

  • فناوری‌ها، مراکز داده و زیرساخت‌های ارائه شده توسط گوگل . پلتفرم نقشه‌های گوگل کاملاً بر روی مراکز داده و زیرساخت‌های ارائه شده توسط گوگل عمل می‌کند. بر این اساس، ممیزی‌های داخلی و شخص ثالث را بر روی کنترل‌های امنیتی که از گوگل به ارث برده است، اعمال می‌کند تا تأیید کند که پلتفرم نقشه‌های گوگل به درستی کنترل‌های امنیتی، عملیاتی و فنی شرح داده شده در این مقاله را پیاده‌سازی می‌کند.
  • فناوری پلتفرم نقشه‌های گوگل . علاوه بر کنترل‌های ارثی، پلتفرم نقشه‌های گوگل کنترل‌های امنیتی، حریم خصوصی، داده‌ای و عملیاتی بیشتری را برای مجموعه محصولات گوگل فراهم می‌کند.

این سند، فرآیندها و کنترل‌های امنیتی پلتفرم نقشه‌های گوگل را به صورت خلاصه و به شرح زیر گروه‌بندی می‌کند:

  • تمرکز بر امنیت و حریم خصوصی در تمام سطوح سازمانی گوگل
  • زیرساخت فنی و امنیت سخت‌افزاری
  • امنیت عملیاتی
  • کنترل‌های امنیتی کلیدی
  • امنیت سمت کلاینت، هم در وب و هم در موبایل
  • گواهینامه‌ها و ممیزی‌های فعلی در پلتفرم نقشه‌های گوگل
  • چارچوب‌های قانونی پشتیبانی‌شده، در سطح جهانی

مشتریان بالقوه می‌توانند برای اطلاعات بیشتر با نماینده فروش گوگل خود تماس بگیرند.

فرهنگ متمرکز بر امنیت و حریم خصوصی گوگل

امنیت، ساختار سازمانی، فرهنگ، اولویت‌های آموزشی و فرآیندهای استخدام را در سراسر گوگل هدایت می‌کند. این امر طراحی مراکز داده گوگل و فناوری ارائه شده توسط آنها را شکل می‌دهد. امنیت، زیربنای عملیات روزمره گوگل، از جمله برنامه‌ریزی در برابر بلایای طبیعی و مدیریت تهدید است. گوگل امنیت را در نحوه مدیریت داده‌ها، کنترل حساب‌ها، ممیزی‌های انطباق و گواهینامه‌های صنعتی در اولویت قرار می‌دهد. گوگل خدمات خود را به گونه‌ای طراحی می‌کند که امنیت بهتری نسبت به بسیاری از جایگزین‌های درون سازمانی که به فروشندگان متعدد و پلتفرم‌های متعدد متکی هستند، ارائه دهد، در حالی که امنیت اغلب یک فرآیند غیرمرتبط است. شما هنگام استفاده از محصولات پلتفرم نقشه‌های گوگل برای کسب و کار خود، از برنامه‌ها و کنترل‌های امنیتی یکپارچه گوگل بهره‌مند می‌شوید. پلتفرم نقشه‌های گوگل، امنیت را در اولویت عملیات خود قرار می‌دهد - عملیاتی که به بیش از یک میلیارد کاربر در سراسر جهان خدمت‌رسانی می‌کند.

گوگل و پلتفرم نقشه‌های گوگل در کنار هم، چندین لایه امنیتی را در سراسر شرکت و سازمان فراهم می‌کنند:

  • تیم امنیتی اختصاصی گوگل
  • تیم امنیت محصول پلتفرم نقشه‌های گوگل
  • مشارکت فعال با جامعه تحقیقاتی امنیت جهانی
  • تیم حفظ حریم خصوصی پلتفرم نقشه‌های گوگل
  • آموزش امنیت و حریم خصوصی کارمندان گوگل
  • متخصصان حسابرسی داخلی و انطباق

تیم‌های امنیتی اختصاصی در گوگل

گوگل تیم‌های امنیتی اختصاصی را در سراسر شرکت و در حوزه‌های محصول ارائه می‌دهد.

تیم‌های امنیتی در سراسر گوگل، از حوزه‌های مختلف محصولات گوگل، از جمله پلتفرم نقشه‌های گوگل، پشتیبانی می‌کنند. این تیم امنیتی شامل برخی از برجسته‌ترین متخصصان جهان در زمینه امنیت اطلاعات، امنیت برنامه‌ها، رمزنگاری و امنیت شبکه است. فعالیت‌های آنها شامل موارد زیر است:

  • فرآیندهای امنیتی را توسعه، بررسی و پیاده‌سازی می‌کند . این شامل بررسی برنامه‌های امنیتی برای شبکه‌های گوگل و ارائه مشاوره ویژه پروژه به تیم‌های محصول و مهندسی در سراسر گوگل می‌شود. به عنوان مثال، متخصصان رمزنگاری، عرضه محصولاتی را که رمزنگاری را به عنوان بخشی از پیشنهاد خود پیاده‌سازی می‌کنند، بررسی می‌کنند.
  • مدیریت فعال تهدیدات امنیتی . این تیم با استفاده از ابزارهای تجاری و سفارشی، تهدیدات جاری و فعالیت‌های مشکوک در شبکه‌های گوگل را رصد می‌کند.
  • ممیزی‌ها و ارزیابی‌های معمول را انجام می‌دهد ، که می‌تواند شامل مشارکت متخصصان خارجی برای انجام ارزیابی‌های امنیتی باشد.
  • مقالات امنیتی را برای جامعه گسترده‌تر منتشر می‌کند . گوگل یک وبلاگ امنیتی و یک مجموعه یوتیوب دارد که چندین تیم امنیتی خاص و دستاوردهای آنها را برجسته می‌کند.

تیم امنیتی پلتفرم نقشه‌های گوگل با تیم امنیتی کل گوگل همکاری می‌کند و با توسعه محصول و SRE برای نظارت بر پیاده‌سازی امنیت، همکاری نزدیک‌تری دارد. به طور خاص، این تیم موارد زیر را مدیریت می‌کند:

  • تست تاب‌آوری در برابر بلایا (DiRT) پلتفرم نقشه‌های گوگل، که تداوم کسب‌وکار و بازیابی اطلاعات از دست رفته محصولات پلتفرم نقشه‌های گوگل را آزمایش می‌کند، بر روی زیرساخت بسیار در دسترس گوگل اجرا می‌شود.
  • تست نفوذ شخص ثالث. محصولات پلتفرم نقشه‌های گوگل حداقل سالانه مورد آزمایش نفوذ قرار می‌گیرند تا وضعیت امنیتی گوگل را بهبود بخشند و تضمین امنیتی مستقلی را برای شما فراهم کنند.

همکاری با جامعه تحقیقاتی امنیتی

گوگل مدت‌هاست که رابطه نزدیکی با جامعه تحقیقات امنیتی دارد و گوگل برای کمک آنها در شناسایی آسیب‌پذیری‌های بالقوه در پلتفرم نقشه‌های گوگل و سایر محصولات گوگل ارزش زیادی قائل است. تیم‌های امنیتی ما در فعالیت‌های تحقیقاتی و اطلاع‌رسانی برای بهره‌مندی جامعه آنلاین شرکت می‌کنند. به عنوان مثال، ما پروژه Zero را اجرا می‌کنیم که تیمی از محققان امنیتی است که به تحقیق در مورد آسیب‌پذیری‌های روز صفر اختصاص داده شده است. برخی از نمونه‌های این تحقیقات عبارتند از کشف اکسپلویت Spectre ، اکسپلویت Meltdown ، اکسپلویت POODLE SSL 3.0 و نقاط ضعف مجموعه رمزنگاری .

مهندسان و محققان امنیتی گوگل به طور فعال در جامعه دانشگاهی امنیت و جامعه تحقیقاتی حریم خصوصی مشارکت و مقالاتی منتشر می‌کنند. نشریات مرتبط با امنیت را می‌توان در سایت تحقیقات گوگل گوگل یافت. تیم‌های امنیتی گوگل شرح مفصلی از شیوه‌ها و تجربیات خود را در کتاب «ساخت سیستم‌های امن و قابل اعتماد» منتشر کرده‌اند.

برنامه پاداش آسیب‌پذیری ما برای هر آسیب‌پذیری تأیید شده، ده‌ها هزار دلار پاداش ارائه می‌دهد. این برنامه محققان را تشویق می‌کند تا مشکلات طراحی و پیاده‌سازی را که ممکن است داده‌های مشتری را در معرض خطر قرار دهد، گزارش دهند. در سال ۲۰۲۴، گوگل بیش از ۱۲ میلیون دلار جایزه نقدی و از زمان شروع برنامه پاداش آسیب‌پذیری در سال ۲۰۱۰، بیش از ۶۵ میلیون دلار به محققان اعطا کرده است. برای کمک به بهبود امنیت کدهای متن‌باز، برنامه آسیب‌پذیری همچنین ابتکارات متنوعی را در اختیار محققان قرار می‌دهد. برای اطلاعات بیشتر در مورد این برنامه، از جمله پاداش‌هایی که گوگل ارائه داده است، به آمار کلیدی شکارچیان باگ مراجعه کنید.

رمزنگاران جهانی ما در پروژه‌های رمزنگاری پیشرو در صنعت مشارکت دارند. به عنوان مثال، ما چارچوب هوش مصنوعی امن (SAIF) را برای کمک به ایمن‌سازی سیستم‌های هوش مصنوعی طراحی کردیم. علاوه بر این، برای محافظت از اتصالات TLS در برابر حملات رایانه‌های کوانتومی، الگوریتم ترکیبی منحنی بیضوی و پساکوانتومی (CECPQ2) را توسعه دادیم. رمزنگاران ما Tink را توسعه دادند که یک کتابخانه متن‌باز از APIهای رمزنگاری است. ما همچنین از Tink در محصولات و خدمات داخلی خود استفاده می‌کنیم.

برای اطلاعات بیشتر در مورد نحوه گزارش مشکلات امنیتی، به نحوه برخورد گوگل با آسیب‌پذیری‌های امنیتی مراجعه کنید.

تیم اختصاصی حفظ حریم خصوصی پلتفرم گوگل مپس

تیم اختصاصی حفظ حریم خصوصی، جدا از سازمان‌های توسعه محصول و امنیت فعالیت می‌کند. این تیم از ابتکارات داخلی حفظ حریم خصوصی برای بهبود تمام بخش‌های حفظ حریم خصوصی پشتیبانی می‌کند: فرآیندهای حیاتی، ابزارهای داخلی، زیرساخت‌ها و توسعه محصول. تیم حفظ حریم خصوصی موارد زیر را انجام می‌دهد:

  • تضمین می‌کند که هر محصول GMP که بر حریم خصوصی تأثیر می‌گذارد، از طریق ارزیابی مستندات طراحی و بررسی عرضه، استانداردهای قوی حریم خصوصی و حریم خصوصی از طریق طراحی را در بر می‌گیرد.
  • در هر مرحله از توسعه، با تیم‌های محصول GMP مشورت می‌کند تا در مورد سیاست حفظ حریم خصوصی و زیرساخت‌های Google، طراحی حریم خصوصی، فناوری‌ها و کنترل‌های بهبود حریم خصوصی و ارزیابی و کاهش ریسک حریم خصوصی مشاوره دهد.
  • پس از عرضه محصول، تیم حفظ حریم خصوصی بر فرآیندهایی نظارت می‌کند که جمع‌آوری و استفاده مناسب از داده‌ها را تأیید می‌کنند.
  • در مورد بهترین شیوه‌های حفظ حریم خصوصی تحقیق می‌کند، در گروه‌های کاری استانداردهای بین‌المللی حفظ حریم خصوصی مشارکت دارد و در اجلاس‌ها و کنفرانس‌های دانشگاهی حفظ حریم خصوصی شرکت می‌کند.

آموزش امنیت و حریم خصوصی کارمندان گوگل

همه کارمندان گوگل به عنوان بخشی از فرآیند توجیهی، آموزش امنیت و حریم خصوصی را می‌گذرانند و در طول دوران کاری خود در گوگل، آموزش‌های مداوم در زمینه امنیت و حریم خصوصی دریافت می‌کنند. در طول دوره توجیهی، کارمندان جدید با اصول اخلاقی ما موافقت می‌کنند که تعهد گوگل به حفظ امنیت و ایمنی اطلاعات مشتری را برجسته می‌کند.

بسته به نقش شغلی‌شان، ممکن است لازم باشد کارمندان آموزش‌های بیشتری در مورد جنبه‌های خاص امنیتی ببینند. به عنوان مثال، تیم امنیت اطلاعات، مهندسان جدید را در مورد شیوه‌های کدنویسی امن، طراحی محصول و ابزارهای تست آسیب‌پذیری خودکار آموزش می‌دهد. مهندسان به طور منظم در جلسات توجیهی امنیتی شرکت می‌کنند و خبرنامه‌های امنیتی را دریافت می‌کنند که شامل تهدیدات جدید، الگوهای حمله، تکنیک‌های کاهش خطر و موارد دیگر می‌شود.

امنیت و حریم خصوصی حوزه‌هایی هستند که دائماً در حال تغییرند و ما می‌دانیم که مشارکت اختصاصی کارکنان، ابزاری کلیدی برای افزایش آگاهی است. ما به طور منظم کنفرانس‌های داخلی برگزار می‌کنیم که برای همه کارکنان آزاد است تا آگاهی را افزایش داده و نوآوری در امنیت و حریم خصوصی داده‌ها را هدایت کنیم. ما رویدادهایی را در دفاتر جهانی برگزار می‌کنیم تا آگاهی از امنیت و حریم خصوصی در توسعه نرم‌افزار، مدیریت داده‌ها و اجرای سیاست‌ها را افزایش دهیم.

متخصصان حسابرسی داخلی و انطباق

پلتفرم نقشه‌های گوگل یک تیم حسابرسی داخلی اختصاصی دارد که انطباق محصولات گوگل با قوانین و مقررات امنیتی در سراسر جهان را بررسی می‌کند. با ایجاد استانداردهای حسابرسی جدید و به‌روزرسانی استانداردهای موجود، تیم حسابرسی داخلی تعیین می‌کند که چه کنترل‌ها، فرآیندها و سیستم‌هایی برای کمک به رعایت آن استانداردها مورد نیاز است. این تیم از حسابرسی‌ها و ارزیابی‌های مستقل توسط اشخاص ثالث پشتیبانی می‌کند. برای اطلاعات بیشتر، به بخش «گواهینامه‌ها و حسابرسی‌های امنیتی» در ادامه این سند مراجعه کنید.

پلتفرمی که امنیت در هسته آن قرار دارد

گوگل سرورها، سیستم عامل‌های اختصاصی و مراکز داده توزیع‌شده جغرافیایی خود را با استفاده از اصل دفاع در عمق طراحی می‌کند. پلتفرم نقشه‌های گوگل بر روی یک زیرساخت فنی اجرا می‌شود که برای عملکرد ایمن طراحی و ساخته شده است. ما یک زیرساخت فناوری اطلاعات ایجاد کرده‌ایم که نسبت به راهکارهای سنتی داخلی یا میزبانی‌شده، امن‌تر و مدیریت آن آسان‌تر است.

مراکز داده پیشرفته

تمرکز گوگل بر امنیت و حفاظت از داده‌ها از جمله معیارهای اصلی طراحی گوگل است. امنیت فیزیکی در مراکز داده گوگل یک مدل امنیتی لایه‌ای است. امنیت فیزیکی شامل اقدامات حفاظتی مانند کارت‌های دسترسی الکترونیکی سفارشی، آلارم‌ها، موانع دسترسی به وسایل نقلیه، حصارکشی محیطی، فلزیاب‌ها و بیومتریک‌ها می‌شود. علاوه بر این، گوگل برای شناسایی و ردیابی مزاحمان، از اقدامات امنیتی مانند تشخیص نفوذ پرتو لیزر و نظارت 24 ساعته توسط دوربین‌های داخلی و خارجی با وضوح بالا استفاده می‌کند. گزارش‌های دسترسی، سوابق فعالیت و فیلم‌های دوربین در صورت وقوع حادثه در دسترس هستند. نگهبانان امنیتی باتجربه، که تحت بررسی‌های دقیق و آموزش‌های لازم قرار گرفته‌اند، به طور معمول در مراکز داده گوگل گشت‌زنی می‌کنند. با نزدیک شدن به طبقه مرکز داده، اقدامات امنیتی نیز افزایش می‌یابد. دسترسی به طبقه مرکز داده فقط از طریق یک راهروی امنیتی که کنترل دسترسی چند عاملی را با استفاده از نشان‌های امنیتی و بیومتریک پیاده‌سازی می‌کند، امکان‌پذیر است. فقط کارمندان تأیید شده با نقش‌های خاص می‌توانند وارد شوند. کمتر از یک درصد از کارمندان گوگل هرگز پا به یکی از مراکز داده گوگل می‌گذارند.

گوگل مراکز داده را در سطح جهانی اداره می‌کند تا سرعت و قابلیت اطمینان خدمات خود را به حداکثر برساند. زیرساخت آن عموماً برای ارائه خدمات از مرکز داده‌ای که نزدیکترین به مبدا ترافیک است، تنظیم شده است. بنابراین، مکان دقیق داده‌های پلتفرم نقشه‌های گوگل ممکن است بسته به محل مبدا این ترافیک متفاوت باشد و این داده‌ها ممکن است توسط سرورهایی واقع در منطقه اقتصادی اروپا و بریتانیا مدیریت شوند یا به کشورهای ثالث منتقل شوند. پیشنهادات مشتریان گوگل که محصولات پلتفرم نقشه‌های گوگل در آنها پیاده‌سازی می‌شوند، عموماً در سطح جهانی در دسترس هستند و اغلب مخاطبان جهانی را جذب می‌کنند. زیرساخت فنی که از این محصولات پشتیبانی می‌کند، برای کاهش تأخیر و تضمین افزونگی سیستم‌ها، در سطح جهانی مستقر شده است. پلتفرم نقشه‌های گوگل از زیرمجموعه‌ای از شبکه مرکز داده جهانی گوگل که در زیر برای مرجع ذکر شده است، استفاده می‌کند:

نقشه جهان که مکان‌های مراکز داده را با نقاط آبی نشان می‌دهد

آمریکای شمالی و جنوبی

اروپا

آسیا

تأمین انرژی مراکز داده گوگل

برای اینکه همه چیز به صورت ۲۴ ساعته و ۷ روز هفته در حال اجرا باشد و خدمات بدون وقفه ارائه شود، مراکز داده گوگل دارای سیستم‌های برق اضافی و کنترل‌های محیطی هستند. هر جزء حیاتی دارای یک منبع برق اصلی و جایگزین است که هر کدام قدرت برابری دارند. ژنراتورهای پشتیبان می‌توانند برق اضطراری کافی را برای راه‌اندازی هر مرکز داده با ظرفیت کامل فراهم کنند. سیستم‌های خنک‌کننده دمای عملیاتی ثابتی را برای سرورها و سایر سخت‌افزارها حفظ می‌کنند که خطر قطع خدمات را کاهش می‌دهد و در عین حال تأثیرات زیست‌محیطی را به حداقل می‌رساند . تجهیزات تشخیص و اطفاء حریق به جلوگیری از آسیب سخت‌افزاری کمک می‌کند. آشکارسازهای گرما، آشکارسازهای آتش و آشکارسازهای دود، آلارم‌های صوتی و تصویری را در کنسول‌های عملیات امنیتی و میزهای نظارت از راه دور فعال می‌کنند.

گوگل اولین شرکت بزرگ خدمات اینترنتی است که گواهینامه خارجی استانداردهای بالای زیست‌محیطی، ایمنی محل کار و مدیریت انرژی را در سراسر مراکز داده گوگل دریافت کرده است. به عنوان مثال، برای نشان دادن تعهد گوگل به شیوه‌های مدیریت انرژی، گوگل گواهینامه‌های داوطلبانه ISO 50001 را برای مراکز داده خود در اروپا دریافت کرد.

سخت‌افزار و نرم‌افزار سرور سفارشی

مراکز داده گوگل دارای سرورها و تجهیزات شبکه‌ای هستند که به صورت اختصاصی ساخته شده‌اند و برخی از آنها توسط گوگل طراحی می‌شوند. در حالی که سرورهای گوگل برای به حداکثر رساندن عملکرد، خنک‌سازی و بهره‌وری انرژی سفارشی‌سازی شده‌اند، همچنین برای محافظت در برابر حملات نفوذ فیزیکی طراحی شده‌اند. برخلاف اکثر سخت‌افزارهای موجود در بازار، سرورهای گوگل شامل اجزای غیرضروری مانند کارت‌های گرافیک، چیپست‌ها یا کانکتورهای جانبی نیستند که همه آنها می‌توانند باعث ایجاد آسیب‌پذیری شوند. گوگل فروشندگان قطعات را بررسی می‌کند و قطعات را با دقت انتخاب می‌کند و با فروشندگان برای ممیزی و اعتبارسنجی ویژگی‌های امنیتی ارائه شده توسط قطعات همکاری می‌کند. گوگل تراشه‌های سفارشی مانند Titan را طراحی می‌کند که به ما کمک می‌کنند دستگاه‌های قانونی گوگل را در سطح سخت‌افزار، از جمله کدی که این دستگاه‌ها برای بوت شدن استفاده می‌کنند، به طور ایمن شناسایی و تأیید کنیم.

منابع سرور به صورت پویا تخصیص داده می‌شوند. این به ما انعطاف‌پذیری برای رشد می‌دهد و به ما اجازه می‌دهد تا با اضافه کردن یا تخصیص مجدد منابع، به سرعت و به طور موثر با تقاضای مشتری سازگار شویم. این محیط همگن توسط نرم‌افزار اختصاصی نگهداری می‌شود که به طور مداوم سیستم‌ها را برای تغییرات در سطح دودویی نظارت می‌کند. مکانیسم‌های خودکار و خود-درمانگر گوگل به گونه‌ای طراحی شده‌اند که ما را قادر به نظارت و اصلاح رویدادهای بی‌ثبات‌کننده، دریافت اعلان‌ها در مورد حوادث و کاهش سرعت سازش‌های احتمالی در شبکه می‌کند.

استقرار امن سرویس

سرویس‌های گوگل، فایل‌های باینری برنامه‌هایی هستند که توسعه‌دهندگان گوگل آنها را می‌نویسند و روی زیرساخت گوگل اجرا می‌کنند. برای مدیریت مقیاس مورد نیاز حجم کار، ممکن است هزاران دستگاه، فایل‌های باینری یک سرویس را اجرا کنند. یک سرویس هماهنگ‌سازی خوشه‌ای، به نام Borg ، سرویس‌هایی را که مستقیماً روی زیرساخت اجرا می‌شوند، کنترل می‌کند.

این زیرساخت هیچ گونه اعتمادی بین سرویس‌هایی که روی زیرساخت اجرا می‌شوند، قائل نمی‌شود. این مدل اعتماد، مدل امنیتی صفر-اعتماد نامیده می‌شود. مدل امنیتی صفر-اعتماد به این معنی است که هیچ دستگاه یا کاربری، چه در داخل شبکه و چه در خارج از آن، به طور پیش‌فرض مورد اعتماد نیست.

از آنجا که این زیرساخت به صورت چند مستأجری طراحی شده است، داده‌های مشتریان گوگل (مصرف‌کنندگان، کسب‌وکارها و حتی داده‌های خود گوگل) در سراسر زیرساخت مشترک توزیع می‌شود. این زیرساخت از ده‌ها هزار دستگاه همگن تشکیل شده است. این زیرساخت، داده‌های مشتری را در یک دستگاه یا مجموعه‌ای از دستگاه‌ها تفکیک نمی‌کند.

ردیابی و دفع سخت‌افزار

گوگل با استفاده از بارکدها و برچسب‌های دارایی، مکان و وضعیت تمام تجهیزات موجود در مراکز داده خود را با دقت ردیابی می‌کند. گوگل از فلزیاب‌ها و نظارت تصویری استفاده می‌کند تا مطمئن شود هیچ تجهیزاتی بدون مجوز از طبقه مرکز داده خارج نمی‌شود. اگر یک قطعه در هر مرحله از چرخه عمر خود نتواند تست عملکرد را با موفقیت پشت سر بگذارد، از موجودی حذف و از رده خارج می‌شود.

دستگاه‌های ذخیره‌سازی گوگل، شامل هارد دیسک‌ها، درایوهای حالت جامد و ماژول‌های حافظه دوخطی غیرفرار (DIMM)، از فناوری‌هایی مانند رمزگذاری کامل دیسک (FDE) و قفل درایو برای محافظت از داده‌های در حال سکون استفاده می‌کنند. هنگامی که یک دستگاه ذخیره‌سازی از رده خارج می‌شود، افراد مجاز با نوشتن صفر روی درایو، پاک شدن دیسک را تأیید می‌کنند. آنها همچنین یک فرآیند تأیید چند مرحله‌ای را انجام می‌دهند تا مطمئن شوند که درایو حاوی هیچ داده‌ای نیست. اگر به هر دلیلی نتوان درایو را پاک کرد، از نظر فیزیکی از بین می‌رود. از بین بردن فیزیکی با استفاده از دستگاه خردکن انجام می‌شود که درایو را به قطعات کوچک خرد می‌کند و سپس این قطعات در یک مرکز امن بازیافت می‌شوند. هر مرکز داده به یک سیاست دفع سختگیرانه پایبند است و هرگونه مغایرت بلافاصله مورد بررسی قرار می‌گیرد.

مزایای امنیتی شبکه جهانی گوگل

در سایر راهکارهای ابری و درون سازمانی مبتنی بر مکان، داده‌ها بین دستگاه‌ها در سراسر اینترنت عمومی در مسیرهایی که به عنوان هاپ شناخته می‌شوند، حرکت می‌کنند. تعداد هاپ‌ها به مسیر بهینه بین ISP مشتری و مرکز داده بستگی دارد. هر هاپ اضافی، فرصت جدیدی را برای حمله یا رهگیری داده‌ها ایجاد می‌کند. از آنجا که شبکه جهانی گوگل به اکثر ISPهای جهان متصل است، شبکه گوگل هاپ‌ها را در سراسر اینترنت عمومی محدود می‌کند و بنابراین به محدود کردن دسترسی به آن داده‌ها توسط افراد خرابکار کمک می‌کند.

شبکه گوگل از چندین لایه دفاعی - دفاع در عمق - برای کمک به محافظت از شبکه در برابر حملات خارجی استفاده می‌کند. فقط سرویس‌ها و پروتکل‌های مجاز که الزامات امنیتی گوگل را برآورده می‌کنند، اجازه عبور از آن را دارند؛ هر چیز دیگری به طور خودکار حذف می‌شود. برای اجرای جداسازی شبکه، گوگل از فایروال‌ها و لیست‌های کنترل دسترسی استفاده می‌کند. تمام ترافیک از طریق سرورهای Google Front End (GFE) هدایت می‌شود تا به شناسایی و توقف درخواست‌های مخرب و حملات انکار سرویس توزیع‌شده (DDoS) کمک کند. گزارش‌ها به طور معمول بررسی می‌شوند تا هرگونه سوءاستفاده از خطاهای برنامه‌نویسی آشکار شود. دسترسی به دستگاه‌های شبکه فقط به کارمندان مجاز محدود شده است.

زیرساخت جهانی گوگل به ما اجازه می‌دهد تا پروژه شیلد را اجرا کنیم، که محافظت رایگان و نامحدودی را برای وب‌سایت‌هایی که در برابر حملات DDoS که برای سانسور اطلاعات استفاده می‌شوند، آسیب‌پذیر هستند، فراهم می‌کند. پروژه شیلد برای وب‌سایت‌های خبری، وب‌سایت‌های حقوق بشر و وب‌سایت‌های نظارت بر انتخابات در دسترس است.

راهکارهای با تأخیر کم و دسترسی بالا

شبکه داده IP گوگل شامل فیبر نوری اختصاصی خود، فیبر نوری عمومی و کابل‌های زیر دریا است. این شبکه به ما امکان می‌دهد تا خدمات با دسترسی بالا و تأخیر کم را در سراسر جهان ارائه دهیم.

گوگل اجزای پلتفرم خود را به گونه‌ای طراحی می‌کند که بسیار افزونگی داشته باشند. این افزونگی در طراحی سرور گوگل، نحوه ذخیره داده‌ها توسط گوگل، اتصال به شبکه و اینترنت و خود سرویس‌های نرم‌افزاری اعمال می‌شود. این « افزونگی همه چیز » شامل مدیریت استثنائات نیز می‌شود و راهکاری ایجاد می‌کند که به یک سرور، مرکز داده یا اتصال شبکه واحد وابسته نیست.

مراکز داده گوگل از نظر جغرافیایی توزیع شده‌اند تا اثرات اختلالات منطقه‌ای بر محصولات جهانی، مانند زمانی که بلایای طبیعی یا قطعی‌های محلی رخ می‌دهد، به حداقل برسد. اگر سخت‌افزار، نرم‌افزار یا شبکه‌ای از کار بیفتد، سرویس‌های پلتفرم و صفحات کنترل به طور خودکار و سریع از یک مرکز به مرکز دیگر منتقل می‌شوند تا سرویس‌های پلتفرم بتوانند بدون وقفه ادامه یابند.

زیرساخت بسیار افزونگی گوگل همچنین به شما کمک می‌کند تا از کسب و کار خود در برابر از دست دادن داده‌ها محافظت کنید. سیستم‌های گوگل به گونه‌ای طراحی شده‌اند که زمان از کار افتادگی یا زمان‌های نگهداری را برای زمانی که نیاز به سرویس یا ارتقاء پلتفرم خود داریم، به حداقل برسانند.

امنیت عملیاتی

امنیت بخش جدایی‌ناپذیر عملیات گوگل است، نه یک امر فرعی. این بخش برنامه‌های مدیریت آسیب‌پذیری، برنامه پیشگیری از بدافزار، نظارت امنیتی و برنامه‌های مدیریت حوادث گوگل را شرح می‌دهد.

مدیریت آسیب‌پذیری

فرآیند مدیریت آسیب‌پذیری داخلی گوگل، به‌طور فعال تهدیدات امنیتی را در تمام حوزه‌های فناوری اسکن می‌کند. این فرآیند از ترکیبی از ابزارهای تجاری، متن‌باز و ابزارهای اختصاصی داخلی استفاده می‌کند و شامل موارد زیر است:

  • فرآیندهای تضمین کیفیت
  • بررسی‌های امنیتی نرم‌افزار
  • تلاش‌های فشرده نفوذ خودکار و دستی، از جمله تمرینات گسترده تیم قرمز
  • تست نفوذ خارجی مکرر برای محصولات پلتفرم نقشه‌های گوگل
  • ممیزی‌های خارجی مکرر

سازمان مدیریت آسیب‌پذیری و شرکای آن مسئول ردیابی و پیگیری آسیب‌پذیری‌ها هستند. از آنجا که امنیت تنها پس از رسیدگی کامل به مشکلات بهبود می‌یابد، خطوط لوله اتوماسیون به طور مداوم وضعیت استقرار وصله را برای کاهش آسیب‌پذیری‌ها مجدداً ارزیابی می‌کنند و استقرار نادرست یا جزئی را علامت‌گذاری می‌کنند.

برای کمک به بهبود قابلیت‌های تشخیص، سازمان مدیریت آسیب‌پذیری بر شاخص‌های باکیفیتی تمرکز می‌کند که نویز را از سیگنال‌هایی که نشان‌دهنده تهدیدات واقعی هستند، جدا می‌کنند. این سازمان همچنین تعامل با صنعت و جامعه متن‌باز را تقویت می‌کند. به عنوان مثال، آنها یک برنامه پاداش وصله برای اسکنر امنیت شبکه Tsunami اجرا می‌کنند که به توسعه‌دهندگانی که آشکارسازهای متن‌باز برای آسیب‌پذیری‌ها ایجاد می‌کنند، پاداش می‌دهد.

پیشگیری از بدافزار

گوگل برای محصولات اصلی خود (مانند Gmail، Google Drive، Google Chrome، YouTube، Google Ads و Google Search) محافظت در برابر بدافزار ارائه می‌دهد که از تکنیک‌های مختلف تشخیص بدافزار استفاده می‌کنند. برای کشف پیشگیرانه فایل‌های بدافزار، ما از خزش وب، انفجار فایل، تشخیص استاتیک سفارشی، تشخیص پویا و تشخیص یادگیری ماشینی استفاده می‌کنیم. ما همچنین از چندین موتور آنتی‌ویروس استفاده می‌کنیم.

برای کمک به محافظت از کارمندانمان، ما از قابلیت‌های امنیتی پیشرفته داخلی Chrome Enterprise Premium و ویژگی Enhanced Safe Browsing در Google Chrome استفاده می‌کنیم. این قابلیت‌ها امکان تشخیص پیشگیرانه سایت‌های فیشینگ و بدافزار را هنگام مرور وب توسط کارمندانمان فراهم می‌کنند. ما همچنین دقیق‌ترین تنظیمات امنیتی موجود در Google Workspace، مانند Gmail Security Sandbox، را برای اسکن پیشگیرانه پیوست‌های مشکوک فعال می‌کنیم. گزارش‌های این قابلیت‌ها، همانطور که در بخش بعدی توضیح داده شده است، به سیستم‌های نظارت امنیتی ما ارسال می‌شوند.

نظارت امنیتی

برنامه نظارت امنیتی گوگل بر اطلاعاتی متمرکز است که از ترافیک شبکه داخلی، از اقدامات کارمندان روی سیستم‌ها و از دانش خارجی در مورد آسیب‌پذیری‌ها جمع‌آوری می‌شود. یکی از اصول اصلی گوگل، جمع‌آوری و ذخیره تمام داده‌های تله‌متری امنیتی در یک مکان برای تجزیه و تحلیل امنیتی یکپارچه است.

در بسیاری از نقاط شبکه جهانی گوگل، ترافیک داخلی برای یافتن رفتارهای مشکوک، مانند وجود ترافیکی که ممکن است نشان‌دهنده اتصالات بات‌نت باشد، بررسی می‌شود. گوگل از ترکیبی از ابزارهای متن‌باز و تجاری برای ثبت و تجزیه ترافیک استفاده می‌کند تا بتواند این تجزیه و تحلیل را انجام دهد. یک سیستم همبستگی اختصاصی که بر اساس فناوری گوگل ساخته شده است نیز از این تجزیه و تحلیل پشتیبانی می‌کند. گوگل با بررسی گزارش‌های سیستم برای شناسایی رفتارهای غیرمعمول، مانند تلاش برای دسترسی به داده‌های مشتری، تجزیه و تحلیل شبکه را تکمیل می‌کند.

گروه تحلیل تهدید در گوگل، عوامل تهدید و تکامل تاکتیک‌ها و تکنیک‌های آنها را رصد می‌کند. مهندسان امنیت گوگل گزارش‌های امنیتی ورودی را بررسی کرده و فهرست‌های پستی عمومی، پست‌های وبلاگ و ویکی‌ها را رصد می‌کنند. تحلیل خودکار شبکه و تحلیل خودکار گزارش‌های سیستم به تعیین زمان وجود یک تهدید ناشناخته کمک می‌کند. اگر فرآیندهای خودکار مشکلی را تشخیص دهند، آن را به کارکنان امنیتی گوگل ارجاع می‌دهند.

تشخیص نفوذ

گوگل از خطوط لوله پردازش داده پیچیده برای ادغام سیگنال‌های مبتنی بر میزبان در دستگاه‌های منفرد، سیگنال‌های مبتنی بر شبکه از نقاط مختلف نظارتی در زیرساخت و سیگنال‌های دریافتی از سرویس‌های زیرساختی استفاده می‌کند. قوانین و هوش ماشینی که بر روی این خطوط لوله ساخته شده‌اند، به مهندسان امنیت عملیاتی در مورد حوادث احتمالی هشدار می‌دهند. تیم‌های تحقیق و واکنش به حوادث گوگل، این حوادث بالقوه را 24 ساعت شبانه‌روز و 365 روز سال، اولویت‌بندی، بررسی و به آنها پاسخ می‌دهند. گوگل علاوه بر آزمایش نفوذ خارجی، تمرینات تیم قرمز را نیز انجام می‌دهد تا اثربخشی مکانیسم‌های تشخیص و واکنش گوگل را اندازه‌گیری و بهبود بخشد.

مدیریت حادثه

گوگل یک فرآیند مدیریت حادثه دقیق برای رویدادهای امنیتی دارد که ممکن است بر محرمانگی، یکپارچگی یا در دسترس بودن سیستم‌ها یا داده‌ها تأثیر بگذارد. برنامه مدیریت حادثه امنیتی گوگل بر اساس راهنمای NIST در مورد مدیریت حوادث ( NIST SP 800–61 ) ساختار یافته است. گوگل آموزش‌هایی را برای اعضای کلیدی کارکنان در زمینه پزشکی قانونی و مدیریت شواهد در آماده‌سازی برای یک رویداد، از جمله استفاده از ابزارهای شخص ثالث و اختصاصی، ارائه می‌دهد.

گوگل طرح‌های واکنش به حوادث را برای حوزه‌های کلیدی آزمایش می‌کند. این آزمایش‌ها سناریوهای مختلفی از جمله تهدیدات داخلی و آسیب‌پذیری‌های نرم‌افزاری را در نظر می‌گیرند. برای اطمینان از حل سریع حوادث امنیتی، تیم امنیتی گوگل به صورت 24 ساعته و 7 روز هفته در دسترس همه کارمندان است.

برای اطلاعات بیشتر در مورد فرآیند پاسخگویی به حوادث داده‌ای ما، به مدیریت حوادث پلتفرم نقشه‌های گوگل مراجعه کنید.

شیوه‌های توسعه نرم‌افزار

گوگل از محافظت‌های کنترل منبع و بررسی‌های دوطرفه برای محدود کردن پیشگیرانه‌ی ورود آسیب‌پذیری‌ها استفاده می‌کند. گوگل همچنین کتابخانه‌هایی را ارائه می‌دهد که مانع از ورود دسته‌های خاصی از اشکالات امنیتی توسط توسعه‌دهندگان می‌شود. به عنوان مثال، گوگل کتابخانه‌ها و چارچوب‌هایی دارد که برای از بین بردن آسیب‌پذیری‌های XSS در SDKها طراحی شده‌اند. گوگل همچنین ابزارهای خودکاری برای تشخیص اشکالات امنیتی، مانند فازرها، ابزارهای تحلیل استاتیک و اسکنرهای امنیتی وب دارد.

محافظت از کد منبع

کد منبع گوگل در مخازنی با یکپارچگی و مدیریت منبع داخلی ذخیره می‌شود که امکان ممیزی نسخه‌های فعلی و قبلی سرویس را فراهم می‌کند. این زیرساخت مستلزم آن است که فایل‌های باینری یک سرویس پس از بررسی، ورود و آزمایش، از کد منبع خاصی ساخته شوند. مجوز دودویی برای Borg (BAB) یک بررسی اجرای داخلی است که هنگام استقرار یک سرویس رخ می‌دهد. BAB موارد زیر را انجام می‌دهد:

  • تضمین می‌کند که نرم‌افزار تولیدی و پیکربندی مستقر در گوگل بررسی و تأیید شود، به‌ویژه زمانی که آن کد می‌تواند به داده‌های کاربر دسترسی داشته باشد.
  • تضمین می‌کند که کد و پیکربندی‌های پیاده‌سازی‌شده، حداقل استانداردهای خاصی را رعایت می‌کنند.
  • توانایی یک نفوذی یا دشمن را برای ایجاد تغییرات مخرب در کد منبع محدود می‌کند و همچنین یک مسیر قانونی از یک سرویس به منبع آن ارائه می‌دهد.

کاهش ریسک داخلی

گوگل فعالیت‌های کارمندانی را که به آنها دسترسی مدیریتی به زیرساخت داده شده است، محدود و به طور فعال نظارت می‌کند. گوگل به طور مداوم تلاش می‌کند تا با استفاده از اتوماسیونی که می‌تواند همان وظایف را به روشی ایمن و کنترل‌شده انجام دهد، نیاز به دسترسی ممتاز برای وظایف خاص را از بین ببرد. به عنوان مثال، گوگل برای برخی اقدامات به تأیید دو طرفه نیاز دارد و از APIهای محدودی استفاده می‌کند که امکان اشکال‌زدایی را بدون افشای اطلاعات حساس فراهم می‌کنند.

دسترسی کارمندان گوگل به اطلاعات کاربر نهایی از طریق قلاب‌های زیرساختی سطح پایین ثبت می‌شود. تیم امنیتی گوگل الگوهای دسترسی را رصد کرده و رویدادهای غیرمعمول را بررسی می‌کند.

تست بازیابی پس از سانحه - DiRT

پلتفرم نقشه‌های گوگل، رویدادهای تست بازیابی پس از سانحه (DiRT) را سالانه، در سطح شرکت و چند روزه برگزار می‌کند تا اطمینان حاصل شود که خدمات و عملیات تجاری داخلی پلتفرم نقشه‌های گوگل در طول یک فاجعه همچنان به کار خود ادامه می‌دهند. DiRT برای یافتن آسیب‌پذیری‌ها در سیستم‌های حیاتی با ایجاد عمدی خرابی‌ها و رفع این آسیب‌پذیری‌ها قبل از وقوع خرابی‌ها به شیوه‌ای کنترل نشده توسعه داده شده است. DiRT با شکستن سیستم‌های فعال، استحکام فنی گوگل را آزمایش می‌کند و با جلوگیری صریح از مشارکت پرسنل حیاتی، کارشناسان منطقه و رهبران، تاب‌آوری عملیاتی گوگل را می‌آزماید. همه سرویس‌های موجود ملزم به انجام آزمایش DiRT مداوم و فعال و اعتبارسنجی تاب‌آوری و در دسترس بودن خود هستند.

برای آماده شدن برای یک تمرین DiRT، گوگل مجموعه‌ای از قوانین ثابت در مورد اولویت‌بندی، پروتکل‌های ارتباطی، انتظارات تأثیرگذاری و الزامات طراحی آزمایش، از جمله برنامه‌های از پیش بررسی شده و تأیید شده برای بازگرداندن سرویس، را به کار می‌گیرد. تمرین‌ها و سناریوهای DiRT نه تنها نقص‌های فنی را در خود سرویس اعمال می‌کنند، بلکه می‌توانند شامل نقص‌های طراحی شده در فرآیند، در دسترس بودن پرسنل کلیدی، سیستم‌های پشتیبانی، ارتباطات و دسترسی فیزیکی نیز باشند. DiRT تأیید می‌کند که فرآیندهای موجود در عمل واقعاً کار می‌کنند. همچنین تضمین می‌کند که تیم‌ها از قبل آموزش دیده‌اند و تجربه‌ای دارند که می‌توانند در طول قطعی‌ها، اختلالات و بلایای طبیعی یا انسانی واقعی از آنها استفاده کنند.

کنترل‌های امنیتی کلیدی

این بخش، کنترل‌های امنیتی اصلی که پلتفرم نقشه‌های گوگل برای محافظت از پلتفرم خود پیاده‌سازی می‌کند را شرح می‌دهد.

رمزگذاری

رمزگذاری یک لایه دفاعی برای محافظت از داده‌ها اضافه می‌کند. رمزگذاری تضمین می‌کند که اگر مهاجمی به داده‌ها دسترسی پیدا کند، نمی‌تواند داده‌ها را بدون دسترسی به کلیدهای رمزگذاری بخواند. حتی اگر مهاجمی به داده‌ها دسترسی پیدا کند (مثلاً با دسترسی به اتصال سیمی بین مراکز داده یا با سرقت یک دستگاه ذخیره‌سازی)، قادر به درک یا رمزگشایی آن نخواهد بود.

رمزگذاری، سازوکار مهمی در نحوه‌ی کمک گوگل به حفاظت از حریم خصوصی داده‌ها فراهم می‌کند. این سازوکار به سیستم‌ها اجازه می‌دهد داده‌ها را دستکاری کنند - مثلاً برای پشتیبان‌گیری - و مهندسان می‌توانند از زیرساخت‌های گوگل پشتیبانی کنند، بدون اینکه دسترسی به محتوا را برای آن سیستم‌ها یا کارمندان فراهم کنند.

رمزگذاری در حالت استراحت

رمزگذاری «در حالت سکون» در این بخش به معنای رمزگذاری مورد استفاده برای محافظت از داده‌های ذخیره شده روی دیسک (از جمله درایوهای حالت جامد) یا رسانه پشتیبان است. داده‌ها در سطح ذخیره‌سازی، عموماً با استفاده از AES256 (استاندارد رمزگذاری پیشرفته) رمزگذاری می‌شوند. داده‌ها اغلب در چندین سطح در پشته ذخیره‌سازی تولید گوگل در مراکز داده، از جمله در سطح سخت‌افزار، بدون نیاز به هیچ اقدامی از سوی مشتریان گوگل رمزگذاری می‌شوند.

استفاده از چندین لایه رمزگذاری، محافظت از داده‌های اضافی را افزایش می‌دهد و به گوگل اجازه می‌دهد تا رویکرد بهینه را بر اساس نیازهای برنامه انتخاب کند. گوگل از کتابخانه‌های رمزنگاری رایج که ماژول معتبر FIPS 140-2 گوگل را در خود جای داده‌اند، برای پیاده‌سازی رمزگذاری به طور مداوم در بین محصولات خود استفاده می‌کند. استفاده مداوم از کتابخانه‌های رایج به این معنی است که تنها یک تیم کوچک از رمزنگاران نیاز به پیاده‌سازی و نگهداری این کد کاملاً کنترل‌شده و بررسی‌شده دارند.

محافظت از داده‌ها در حین انتقال

Data can be vulnerable to unauthorized access as it travels across the internet. Google Maps Platform supports strong encryption in transit between customer devices and networks, and Google's Google Front End (GFE) servers. Google recommends that customers/developers use Google's strongest supported cipher suite (TLS 1.3) when creating applications as a best practice. Some customers have use cases that require older cipher suites for compatibility reasons, so Google Maps Platform supports these weaker standards, but does not recommend using them whenever possible. Google Cloud also offers you additional transport encryption options, including Cloud VPN for establishing virtual private networks using IPsec for Google Maps Platform products.

Protecting data in transit between Google data centers

Application Layer Transport Security (ALTS) ensures that the integrity of Google traffic is protected and encrypted as needed. After a handshake protocol between the client and the server is complete and the client and the server negotiate the necessary shared cryptographic secrets for encrypting and authenticating network traffic, ALTS secures RPC (Remote Procedure Call) traffic by forcing integrity, using the negotiated shared secrets. Google supports multiple protocols for integrity guarantees, such as AES-GMAC (Advanced Encryption Standard), with 128-bit keys. Whenever traffic leaves a physical boundary controlled by or on behalf of Google, for example in transit over WAN (Wide Area Network) between data centers, all protocols are upgraded automatically to provide encryption and integrity guarantees.

Google Maps Platform Service Availability

Some Google Maps Platform services might not be available across all geographies. Some service disruptions are temporary (due to an unanticipated event, such as a network outage), but other service limitations are permanent due to government-imposed restrictions. Google's comprehensive Transparency Report and status dashboard show recent and ongoing disruptions of traffic to Google Maps Platform services. Google provides this data to help you analyze and understand Google's uptime information.

Client-side security

Security is a shared responsibility between a Cloud Service Provider and the customer/partner implementing Google Maps Platform products. This section details the customer/partner responsibilities that should be considered when architecting a Google Maps Platform solution.

JavaScript APIs

Secure Sites

Maps JavaScript API publishes a set of recommendations that allow a customer to fine tune their site Content Security Policy (CSP) to avoid vulnerabilities like cross-site scripting, clickjacking, and data injection attacks. The JavaScript API supports two forms of CSP: strict CSP using nonces and allowlist CSP.

Secure JavaScript

The JavaScript is regularly scanned for known security anti-patterns, and problems are quickly remediated. The JavaScript API is released on a weekly cadence or on demand, should any problems arise.

Mobile Application Security (MAS)

Mobile Application Security (MAS) is an open, agile, crowd-sourced effort, made of the contributions of dozens of authors and reviewers from all over the world. The OWASP Mobile Application Security (MAS) flagship project provides a security standard for mobile apps (OWASP MASVS) and a comprehensive testing guide (OWASP MASTG) that covers the processes, techniques, and tools used during a mobile app security test, as well as an exhaustive set of test cases that enables testers to deliver consistent and complete results.

  • OWASP Mobile Application Security Verification Standard (MASVS) provides a baseline for complete and consistent security tests for both iOS and Android.
  • OWASP Mobile Application Security Testing Guide (MASTG) is a comprehensive manual covering the processes, techniques, and tools used during mobile application security analysis, as well as an exhaustive set of test cases for verifying the requirements listed in the MASVS.
  • The OWASP Mobile Application Security Checklist contains links to the MASTG test cases for each MASVS control.
    • Security Assessments / Pentests: Ensure you're at least covering the standard attack surface and start exploring.
    • Standard Compliance: Includes MASVS and MASTG versions and commit IDs.
    • Learn and practice your mobile security skills.
    • Bug Bounties: Go step by step covering the mobile attack surface.

Consider leveraging the OWASP MAS to enhance your iOS and Android application security, testing, and authentication capabilities.

اندروید

When developing Android applications, another resource to consider are the Android community application best practices. The Security guidelines contain best-practices guidance on enforcing secure communications, defining the correct permissions, safe data storage, service dependencies and more.

آی‌او‌اس

When developing iOS applications, consider Apple's Introduction to Secure Coding Guide , which contains best practices for the iOS Platform.

Data collection, usage, and retention

Google Maps Platform is committed to transparency regarding data collection, data usage, and data retention. Google Maps Platform's data collection, usage, and retention are subject to the Google Maps Platform Terms of Service , which includes the Google Privacy Policy .

جمع‌آوری داده‌ها

Data is collected through use of Google Maps Platform Products. As a customer, you are in control of what information you transmit to Google Maps Platform through APIs and SDKs. All Google Maps Platform requests are logged, which include response status codes from the product.

Google Maps Platform logged data

Google Maps Platform logs data across the product suite. Logs contain multiple entries which typically include:

  • Account identifier which can be an API key, Client ID, or Cloud project number. This is required for operations, support, and billing.
  • IP address of the requesting server, service, or device. For APIs, note that the IP address sent to Google Maps Platform will be dependent on how the API invocation is implemented in your application/solution. For SDKs, the IP address of the invoking device is logged.
  • Request URL , which contains the API and parameters being passed to the API. For example, the Geocoding API requires two parameters (address and API key). Geocoding also has a number of optional parameters. The request URL would contain all parameters passed to the service.
  • Date and time of the request.
  • Web applications have request headers logged which typically include data such as type of web browser and operating system.
  • Mobile Applications using an SDK (Android and iOS) have the version, library,and application name logged.

Google Maps Platform log access

Access to logs is highly restricted and authorized only to specific team members who have a legitimate business need. Each access request to the log files is documented for auditing purposes, which is verified through Google's ISO 27001 and SOC 2 third-party audits.

Data usage

Data collected by Google Maps Platform is used for the following purposes:

  • Improving Google products and services
  • Providing customer technical support
  • Operational monitoring and alerting
  • Maintaining platform security
  • Platform capacity planning

Please note that Google does not sell your personal information to third parties as documented in Google's Privacy Policy .

Data retention and anonymization

User data collected in Google Maps Platform logs may be retained for various lengths of time based on business needs, subject to storage and retention policies. User data is retained only when there is a legitimate business need, and it is deleted when it is no longer necessary for the purposes for which the data was collected. Acceptable means of deletion are strictly defined and include all layers through garbage collection. Deletion processes are monitored and verified to ensure compliance.

Anonymized, aggregate usage statistics derived from logs may be retained longer. All data anonymization is reviewed by the privacy team to ensure that it meets a sufficient technical standard and is appropriate to meet privacy, product, and regulatory needs.

Support for compliance requirements

Google Maps Platform regularly undergoes independent verification of its security, compliance and quality controls, and receives certifications, attestations, and audit reports to demonstrate compliance. Key international standards that we are audited against are the following:

In addition, our SOC 2 and SOC 3 reports are available to our customers. We also participate in sector and country specific frameworks, such as NIST 800-53 and TISAX (Germany).

For a complete listing of our compliance offerings, see our Security and Compliance Trust Center .

خلاصه

Security is a primary design criteria for all of Google's infrastructure, products, and operations. Google's scale of operations and its collaboration with the security research community enable us to address vulnerabilities quickly, and often to prevent them entirely. Google runs its own services, such as Search, YouTube, and Gmail, on the same infrastructure that it makes available to its customers, who benefit directly from Google's security controls and practices.

Google believes that it can offer a level of protection that few public cloud providers or private enterprise IT teams can match. Because protecting data is core to Google's business, we can make extensive investments in security, resources, and expertise at a scale that others cannot. Google's investment frees you to focus on your business and innovation. We will continue to invest in our platform to let you benefit from Google services in a secure and transparent manner.

قدم بعدی چیست؟