این محتوا آخرین بار در فوریه 2024 به روز شده است و نشان دهنده وضعیت موجود در زمان نگارش آن است. سیاست‌ها و سیستم‌های امنیتی Google ممکن است در آینده تغییر کنند، زیرا ما به طور مداوم حفاظت از مشتریان خود را بهبود می‌بخشیم.

دانلود نسخه pdf

مقدمه

پلتفرم نقشه‌های Google API و SDK را برای مشتریان و شرکا فراهم می‌کند تا برنامه‌های وب و موبایل را با استفاده از فناوری مکانی Google توسعه دهند. Google Maps Platform بیش از 50+ API و SDK را برای مشتریان در صنایع مختلف ارائه می دهد. به عنوان یک مشتری در صنعت، اغلب باید هنگام ساخت راه حل های خود، امنیت، استفاده از داده ها و الزامات قانونی را رعایت کنید. این شامل اطمینان از اینکه فناوری شخص ثالث شما همان الزامات را برآورده می کند، می شود.

این سند خلاصه‌ای از افراد، فرآیندها و کنترل‌های فناوری ارائه شده توسط پلتفرم نقشه‌های گوگل را به همراه مزایای استفاده از پلتفرم ارائه می‌کند. اول، درک دو رکن اصلی فناوری در زیر پلتفرم نقشه های گوگل بسیار مهم است:

• فناوری‌ها، مراکز داده و زیرساخت‌های ارائه‌شده توسط Google . پلتفرم نقشه های گوگل به طور کامل بر روی مراکز داده و زیرساخت های ارائه شده توسط گوگل کار می کند. بر این اساس، ممیزی های داخلی و شخص ثالث را برای کنترل های امنیتی که از Google به ارث برده است اعمال می کند تا تأیید کند که پلتفرم نقشه های Google به درستی کنترل های امنیتی، عملیاتی و فنی شرح داده شده در این مقاله را اجرا می کند.
• فناوری پلتفرم نقشه های گوگل علاوه بر کنترل‌های موروثی، پلتفرم نقشه‌های Google امنیت، حریم خصوصی، داده‌ها و کنترل‌های عملیاتی بیشتری را برای مجموعه‌های محصولات Google فراهم می‌کند.

این سند فرآیندها و کنترل‌های امنیتی پلتفرم Google Maps را به صورت زیر گروه‌بندی می‌کند:

• روی امنیت و حریم خصوصی در تمام سطوح سازمان Google تمرکز کنید
• زیرساخت های فنی و امنیت سخت افزاری
• امنیت عملیاتی
• کنترل های امنیتی کلیدی
• امنیت سمت مشتری، هم وب و هم موبایل
• گواهینامه ها و ممیزی های فعلی در پلتفرم نقشه های گوگل
• چارچوب های قانونی پشتیبانی شده، در سطح جهانی

مشتریان بالقوه می توانند برای کسب اطلاعات بیشتر با نماینده فروش Google خود تماس بگیرند.

سازمان متمرکز بر امنیت و حریم خصوصی Google

امنیت ساختار سازمانی، فرهنگ، اولویت‌های آموزشی و فرآیندهای استخدام را در سراسر Google هدایت می‌کند. طراحی مراکز داده گوگل و فناوری ارائه شده توسط آنها را شکل می دهد. امنیت زیربنای عملیات روزمره Google از جمله برنامه ریزی بلایا و مدیریت تهدید است. Google در نحوه مدیریت داده‌ها، کنترل‌های حساب، ممیزی انطباق و گواهی‌های صنعتی، امنیت را در اولویت قرار می‌دهد. Google خدمات خود را طوری طراحی می‌کند که امنیت بهتری نسبت به بسیاری از جایگزین‌های داخلی که به چندین فروشنده و پلتفرم‌های متعددی که امنیت اغلب فرآیندی غیرمرتبط است، متکی هستند، ارائه می‌کند. وقتی از محصولات پلتفرم Google Maps برای کسب و کار خود استفاده می کنید، از برنامه ها و کنترل های امنیتی یکپارچه Google بهره مند می شوید. پلتفرم نقشه های گوگل امنیت را در اولویت عملیات خود قرار می دهد - عملیاتی که به بیش از یک میلیارد کاربر در سراسر جهان خدمات ارائه می دهد.

Google و Google Maps Platform با هم چندین لایه امنیتی را در سراسر شرکت و سازمان فراهم می‌کنند:

• تیم امنیتی اختصاصی گوگل
• تیم امنیتی محصول پلتفرم نقشه های گوگل
• مشارکت فعال با جامعه تحقیقاتی امنیت جهانی
• تیم حریم خصوصی پلتفرم نقشه های گوگل
• آموزش امنیت و حریم خصوصی کارکنان Google
• متخصصان ممیزی داخلی و انطباق

تیم های امنیتی اختصاصی در گوگل

Google تیم‌های امنیتی اختصاصی را در سراسر شرکت و در حوزه‌های محصول ارائه می‌کند.

تیم‌های امنیتی سراسر Google از چندین حوزه محصول در Google پشتیبانی می‌کنند، از جمله Google Maps Platform. تیم امنیتی شامل برخی از برجسته ترین متخصصان جهان در امنیت اطلاعات، امنیت برنامه ها، رمزنگاری و امنیت شبکه است. فعالیت های آنها شامل موارد زیر است:

• فرآیندهای امنیتی را توسعه، بررسی و پیاده سازی می کند . این شامل بررسی طرح‌های امنیتی برای شبکه‌های Google و ارائه مشاوره پروژه‌های خاص به محصولات و تیم‌های مهندسی در سراسر Google است. برای مثال، متخصصان رمزنگاری، عرضه‌های محصولی را بررسی می‌کنند که رمزنگاری را به عنوان بخشی از پیشنهاد پیاده‌سازی می‌کنند.
• به طور فعال تهدیدهای امنیتی را مدیریت می کند . این تیم با استفاده از ابزارهای تجاری و سفارشی، تهدیدات جاری و فعالیت مشکوک در شبکه‌های Google را رصد می‌کند.
• ممیزی‌ها و ارزیابی‌های معمولی را انجام می‌دهد که می‌تواند شامل درگیر کردن کارشناسان خارجی برای انجام ارزیابی‌های امنیتی باشد.
• مقالات امنیتی را برای جامعه گسترده تر منتشر می کند . Google یک وبلاگ امنیتی و یک سری YouTube دارد که چندین تیم امنیتی خاص و دستاوردهای آنها را برجسته می کند.

تیم امنیتی پلتفرم Google Maps با تیم امنیتی سراسر Google همکاری می‌کند و با توسعه محصول و SRE همکاری نزدیک‌تری دارد تا بر اجرای امنیت نظارت کند. به طور مشخص، این تیم موارد زیر را مدیریت می کند:

• تست مقاومت در برابر بلایا (DiRT) پلتفرم Google Maps که تداوم کسب و کار و شکست محصولات پلتفرم Google Maps را آزمایش می‌کند، بر روی زیرساخت بسیار در دسترس Google اجرا می‌شود.
• تست نفوذ شخص ثالث محصولات پلتفرم نقشه‌های Google حداقل به صورت سالانه تست نفوذ می‌شوند تا وضعیت امنیتی Google را بهبود بخشند و تضمین امنیتی مستقلی را برای شما فراهم کنند.

همکاری با جامعه تحقیقات امنیتی

گوگل مدت‌هاست که از یک رابطه نزدیک با جامعه تحقیقاتی امنیتی برخوردار است و گوگل برای شناسایی آسیب‌پذیری‌های احتمالی در پلتفرم نقشه‌های گوگل و سایر محصولات گوگل بسیار ارزش قائل است.

• همکاری جامعه آنلاین از طریق Project Zero . Project Zero تیمی از محققان امنیتی است که به تحقیق در مورد آسیب‌پذیری‌های روز صفر اختصاص دارد. برخی از نمونه‌های این تحقیق عبارتند از: کشف اکسپلویت Spectre ، بهره‌برداری Meltdown ، بهره‌برداری POODLE SSL 3.0 و نقاط ضعف مجموعه رمز .
• تحقیقات آکادمیک - مهندسان و محققان امنیتی Google به طور فعال در جامعه امنیت دانشگاهی و جامعه تحقیقاتی حریم خصوصی شرکت می کنند و منتشر می کنند. انتشارات مرتبط با امنیت را می‌توانید در سایت Google Research پیدا کنید. تیم‌های امنیتی Google گزارشی عمیق از شیوه‌ها و تجربیات خود در کتاب سیستم‌های امن و قابل اعتماد ساختمان منتشر کرده‌اند.
• برنامه پاداش آسیب پذیری - پلتفرم نقشه های گوگل در برنامه پاداش آسیب پذیری شرکت می کند که برای هر آسیب پذیری تایید شده ده ها هزار دلار پاداش ارائه می کند. این برنامه محققان را تشویق می‌کند تا مسائل طراحی و پیاده‌سازی را گزارش کنند که ممکن است داده‌های مشتری را در معرض خطر قرار دهد. در سال 2022، گوگل بیش از 11.9 میلیون دلار جایزه به محققان اهدا کرد. برای اطلاعات بیشتر در مورد این برنامه، از جمله جوایزی که گوگل داده است، به آمار کلیدی Bug Hunters مراجعه کنید. اطلاعات بیشتر در مورد گزارش مشکلات امنیتی، به نحوه برخورد Google با آسیب‌پذیری‌های امنیتی مراجعه کنید.
• تحقیقات امنیتی منبع باز - مهندسان گوگل همچنین پروژه های منبع باز و کنفرانس های دانشگاهی را سازماندهی کرده و در آن شرکت می کنند. برای بهبود کد منبع باز، برنامه پاداش آسیب پذیری همچنین به پروژه های منبع باز یارانه می دهد.
• رمزنگاری - رمزنگاران کلاس جهانی گوگل برای محافظت از اتصالات TLS در برابر حملات کامپیوتری کوانتومی کار کردند و الگوریتم ترکیبی منحنی بیضی و پس کوانتومی (CECPQ2) را توسعه دادند. رمزنگاران گوگل Tink را توسعه دادند که یک کتابخانه منبع باز از APIهای رمزنگاری است. گوگل همچنین از Tink در محصولات و خدمات داخلی خود استفاده می کند.

تیم اختصاصی حریم خصوصی پلتفرم نقشه های گوگل

تیم اختصاصی حریم خصوصی به طور جداگانه از سازمان های توسعه محصول و امنیت عمل می کند. این برنامه از ابتکارات حریم خصوصی داخلی برای بهبود همه بخش‌های حریم خصوصی پشتیبانی می‌کند: فرآیندهای حیاتی، ابزارهای داخلی، زیرساخت‌ها و توسعه محصول. تیم حریم خصوصی موارد زیر را انجام می دهد:

• تضمین می‌کند که راه‌اندازی محصول از استانداردهای قوی حفظ حریم خصوصی در مورد جمع‌آوری داده‌ها استفاده می‌کند. در هر راه اندازی محصول Google از طریق اسناد طراحی و بررسی کد شرکت می کند.
• پس از راه اندازی محصول، تیم حریم خصوصی بر فرآیندهای خودکار نظارت می کند که به طور مداوم جمع آوری و استفاده از داده های مناسب را تأیید می کند.
• تحقیقاتی را در مورد بهترین شیوه های حفظ حریم خصوصی انجام می دهد.

آموزش امنیت و حریم خصوصی کارمندان Google

امنیت و حریم خصوصی یک حوزه دائماً در حال تغییر هستند و Google تشخیص می‌دهد که مشارکت اختصاصی کارمندان ابزاری کلیدی برای افزایش آگاهی است. همه کارمندان Google به‌عنوان بخشی از فرآیند جهت‌یابی، آموزش‌های امنیتی و حریم خصوصی را می‌گذرانند، و در طول حرفه خود در Google، آموزش‌های مداوم و اجباری امنیت و حریم خصوصی را دریافت می‌کنند.

• در طول جهت‌یابی : کارمندان جدید با آیین‌نامه رفتار Google موافقت می‌کنند، که بر تعهد Google برای ایمن نگه‌داشتن اطلاعات مشتری تاکید می‌کند.
• آموزش تخصصی بر اساس نقش شغلی . برخی از نقش های شغلی نیاز به آموزش در مورد جنبه های خاصی از امنیت دارند. به عنوان مثال، تیم امنیت اطلاعات مهندسین جدید را در مورد شیوه های کدگذاری ایمن، طراحی محصول و ابزارهای خودکار تست آسیب پذیری آموزش می دهد. مهندسان در جلسات توجیهی امنیتی منظم شرکت می‌کنند و خبرنامه‌های امنیتی را دریافت می‌کنند که تهدیدات جدید، الگوهای حمله، تکنیک‌های کاهش و غیره را پوشش می‌دهد.
• رویدادهای در حال انجام Google میزبان کنفرانس‌های داخلی منظمی است که برای همه کارمندان باز است تا آگاهی و نوآوری را در امنیت و حریم خصوصی داده‌ها افزایش دهد. Google رویدادها را در سراسر دفاتر جهانی میزبانی می‌کند تا آگاهی از امنیت و حریم خصوصی در توسعه نرم‌افزار، مدیریت داده‌ها و اجرای خط‌مشی را افزایش دهد.

متخصصان ممیزی داخلی و انطباق

Google Maps Platform دارای یک تیم حسابرسی داخلی اختصاصی است که مطابقت محصولات Google با قوانین و مقررات امنیتی در سراسر جهان را بررسی می کند. با ایجاد استانداردهای حسابرسی جدید و به روز رسانی استانداردهای موجود، تیم حسابرسی داخلی تعیین می کند که چه کنترل ها، فرآیندها و سیستم هایی برای کمک به تحقق این استانداردها مورد نیاز است. این تیم از ممیزی ها و ارزیابی های مستقل توسط اشخاص ثالث پشتیبانی می کند. برای اطلاعات بیشتر، بخش گواهینامه‌ها و ممیزی‌های امنیتی را در ادامه این سند ببینید.

پلتفرم با امنیت در هسته خود ساخته شده است

گوگل سرورها، سیستم عامل های اختصاصی و مراکز داده توزیع شده جغرافیایی خود را با استفاده از اصل دفاع عمیق طراحی می کند. پلتفرم نقشه های گوگل بر روی یک زیرساخت فنی طراحی و ساخته شده است تا ایمن کار کند. ما یک زیرساخت فناوری اطلاعات ایجاد کرده‌ایم که نسبت به راه‌حل‌های سنتی‌تر داخلی یا میزبانی، ایمن‌تر و مدیریت آن آسان‌تر است.

مراکز داده پیشرفته

تمرکز گوگل بر امنیت و حفاظت از داده ها یکی از معیارهای اصلی طراحی گوگل است. امنیت فیزیکی در مراکز داده گوگل یک مدل امنیتی لایه لایه است. امنیت فیزیکی شامل پادمانی‌هایی مانند کارت‌های دسترسی الکترونیکی سفارشی، هشدارها، موانع دسترسی خودرو، حصارهای محیطی، فلزیاب‌ها و بیومتریک می‌شود. علاوه بر این، برای شناسایی و ردیابی متجاوزان، Google از اقدامات امنیتی مانند تشخیص نفوذ پرتو لیزر و نظارت 24/7 توسط دوربین‌های داخلی و خارجی با وضوح بالا استفاده می‌کند. گزارش های دسترسی، سوابق فعالیت و فیلم دوربین در صورت وقوع حادثه در دسترس هستند. نگهبانان امنیتی باتجربه، که تحت بررسی‌ها و آموزش‌های دقیق سوابق قرار گرفته‌اند، به طور معمول در مراکز داده Google گشت‌زنی می‌کنند. با نزدیک شدن به طبقه مرکز داده، اقدامات امنیتی نیز افزایش می یابد. دسترسی به طبقه مرکز داده تنها از طریق یک راهرو امنیتی امکان پذیر است که کنترل دسترسی چند عاملی را با استفاده از نشان های امنیتی و بیومتریک اجرا می کند. فقط کارمندان تایید شده با نقش های خاص می توانند وارد شوند. کمتر از یک درصد از کارمندان گوگل تا به حال پا به یکی از مراکز داده گوگل خواهند گذاشت.

Google مراکز داده را در سطح جهانی و برای به حداکثر رساندن سرعت و قابلیت اطمینان خدمات خود اداره می کند. زیرساخت آن به طور کلی برای سرویس دهی به ترافیک از مرکز داده ای تنظیم شده است که نزدیک ترین محل به مبدا ترافیک است. بنابراین، مکان دقیق داده‌های پلتفرم نقشه‌های Google ممکن است بسته به محل منشأ چنین ترافیکی متفاوت باشد، و این داده‌ها ممکن است توسط سرورهایی که در منطقه اقتصادی اروپا و بریتانیا قرار دارند مدیریت شوند یا به کشورهای ثالث منتقل شوند. پیشنهادات مشتریان Google که در آن محصولات پلتفرم Google Maps پیاده‌سازی می‌شوند، عموماً در سطح جهانی در دسترس هستند و اغلب مخاطبان جهانی را جذب می‌کنند. زیرساخت فنی که از این محصولات پشتیبانی می‌کند در سطح جهانی برای کاهش تأخیر و اطمینان از افزونگی سیستم‌ها به کار گرفته شده است. پلتفرم نقشه های گوگل از زیرمجموعه ای از شبکه مرکز داده جهانی گوگل که در زیر فهرست شده است برای مرجع استفاده می کند:

آمریکای شمالی و جنوبی

• ایالات متحده آمریکا
• شیلی

اروپا

• بلژیک
• فنلاند
• هلند

آسیا

• تایوان
• سنگاپور

تقویت مراکز داده گوگل

مراکز داده Google برای اینکه کارها 24 ساعته و 7 ساعت هفته در حال اجرا باشند و خدمات بی وقفه ارائه کنند، سیستم‌های برق اضافی و کنترل‌های محیطی دارند. هر جزء حیاتی دارای یک منبع برق اولیه و متناوب است که هر کدام دارای قدرت برابر هستند. ژنراتورهای پشتیبان می توانند انرژی الکتریکی اضطراری کافی را برای راه اندازی هر مرکز داده با ظرفیت کامل فراهم کنند. سیستم‌های خنک‌کننده دمای عملیاتی ثابتی را برای سرورها و سایر سخت‌افزارها حفظ می‌کنند، که خطر قطع سرویس را کاهش می‌دهد و در عین حال اثرات محیطی را به حداقل می‌رساند . تجهیزات تشخیص و اطفاء حریق به جلوگیری از آسیب سخت افزاری کمک می کند. آشکارسازهای حرارت، آشکارسازهای آتش، و آشکارسازهای دود آلارم‌های قابل مشاهده و شنیداری را در کنسول‌های عملیات امنیتی و میزهای نظارت از راه دور ایجاد می‌کنند.

Google اولین شرکت بزرگ خدمات اینترنتی است که گواهینامه خارجی استانداردهای بالای محیطی، ایمنی محل کار و مدیریت انرژی خود را در سراسر مراکز داده Google دریافت کرده است. به عنوان مثال، برای نشان دادن تعهد گوگل به شیوه های مدیریت انرژی، گوگل گواهینامه های داوطلبانه ISO 50001 را برای مراکز داده خود در اروپا دریافت کرد.

سخت افزار و نرم افزار سرور سفارشی

مراکز داده گوگل دارای سرورها و تجهیزات شبکه ای هستند که برخی از آنها را گوگل طراحی می کند. در حالی که سرورهای Google برای به حداکثر رساندن عملکرد، خنک‌سازی و بهره‌وری انرژی سفارشی‌سازی شده‌اند، آنها همچنین برای محافظت در برابر حملات نفوذ فیزیکی طراحی شده‌اند. برخلاف اکثر سخت‌افزارهای تجاری موجود، سرورهای Google شامل اجزای غیرضروری مانند کارت‌های ویدئویی، چیپ‌ست‌ها یا کانکتورهای جانبی نیستند که همگی می‌توانند آسیب‌پذیری‌هایی را ایجاد کنند. Google فروشندگان قطعات را بررسی می‌کند و قطعات را با دقت انتخاب می‌کند و با فروشندگان کار می‌کند تا ویژگی‌های امنیتی ارائه‌شده توسط اجزا را بررسی و تأیید کند. Google تراشه‌های سفارشی مانند Titan را طراحی می‌کند که به ما کمک می‌کند دستگاه‌های Google قانونی را در سطح سخت‌افزار شناسایی و احراز هویت کنیم، از جمله کدی که این دستگاه‌ها برای راه‌اندازی استفاده می‌کنند.

منابع سرور به صورت پویا تخصیص داده می شوند. این به ما انعطاف‌پذیری برای رشد می‌دهد و به ما امکان می‌دهد با افزودن یا تخصیص مجدد منابع، سریع و کارآمد با تقاضای مشتری سازگار شویم. این محیط همگن توسط نرم افزار اختصاصی نگهداری می شود که به طور مداوم سیستم ها را برای تغییرات در سطح باینری نظارت می کند. مکانیزم‌های خودکار و خوددرمانی Google به‌گونه‌ای طراحی شده‌اند که ما را قادر می‌سازند رویدادهای بی‌ثبات‌کننده را نظارت و اصلاح کنیم، اعلان‌های مربوط به حوادث را دریافت کنیم، و خطرات احتمالی در شبکه را کاهش دهیم.

استقرار خدمات امن

سرویس های گوگل باینری های اپلیکیشنی هستند که توسعه دهندگان گوگل روی زیرساخت گوگل می نویسند و اجرا می کنند. برای رسیدگی به مقیاس مورد نیاز حجم کاری، هزاران ماشین ممکن است باینری های یک سرویس را اجرا کنند. یک سرویس ارکستراسیون خوشه ای به نام Borg ، سرویس هایی را که مستقیماً روی زیرساخت اجرا می شوند کنترل می کند.

زیرساخت هیچ گونه اعتمادی بین خدماتی که در زیرساخت اجرا می شوند، قائل نیست. این مدل اعتماد به عنوان یک مدل امنیتی صفر اعتماد نامیده می شود. یک مدل امنیتی با اعتماد صفر به این معنی است که هیچ دستگاه یا کاربر به طور پیش فرض قابل اعتماد نیست، چه در داخل یا خارج از شبکه باشد.

از آنجایی که این زیرساخت به گونه‌ای طراحی شده است که چند مستاجر باشد، داده‌های مشتریان Google (مصرف‌کنندگان، کسب‌وکارها و حتی داده‌های خود Google) در زیرساخت‌های مشترک توزیع می‌شوند. این زیرساخت از ده ها هزار ماشین همگن تشکیل شده است. زیرساخت داده های مشتری را روی یک ماشین یا مجموعه ای از ماشین ها جدا نمی کند

ردیابی و دفع سخت افزار

گوگل با استفاده از بارکدها و برچسب‌های دارایی، مکان و وضعیت تمام تجهیزات را در مراکز داده خود به دقت ردیابی می‌کند. Google برای اطمینان از اینکه هیچ تجهیزاتی بدون مجوز از کف مرکز داده خارج نمی‌شود، فلزیاب‌ها و نظارت تصویری را به کار می‌گیرد. اگر یک جزء نتواند تست عملکرد را در هر نقطه از چرخه عمر خود قبول کند، از موجودی حذف شده و بازنشسته می شود.

دستگاه‌های ذخیره‌سازی Google، از جمله درایوهای سخت، درایوهای حالت جامد، و ماژول‌های حافظه داخلی دوگانه غیرفرار (DIMM)، از فناوری‌هایی مانند رمزگذاری کامل دیسک (FDE) و قفل کردن درایو برای محافظت از داده‌ها در حالت استراحت استفاده می‌کنند. وقتی یک دستگاه ذخیره‌سازی بازنشسته می‌شود، افراد مجاز با نوشتن صفر در درایو تأیید می‌کنند که دیسک پاک شده است. آنها همچنین یک فرآیند تأیید چند مرحله ای را انجام می دهند تا مطمئن شوند که درایو حاوی داده ای نیست. اگر درایو به هر دلیلی پاک نشود، از نظر فیزیکی از بین می رود. تخریب فیزیکی با استفاده از یک خردکن انجام می شود که درایو را به قطعات کوچک می شکند و سپس در یک مرکز امن بازیافت می شوند. هر مرکز داده از یک سیاست دفع دقیق تبعیت می کند و هر گونه انحراف فوراً رسیدگی می شود.

مزایای امنیتی شبکه جهانی گوگل

در دیگر راه‌حل‌های فضایی ابری و داخلی، داده‌ها بین دستگاه‌ها در سراسر اینترنت عمومی در مسیرهایی به نام hops حرکت می‌کنند. تعداد پرش ها به مسیر بهینه بین ISP مشتری و مرکز داده بستگی دارد. هر پرش اضافی فرصت جدیدی را برای حمله یا رهگیری داده ها ارائه می کند. از آنجایی که شبکه جهانی گوگل به اکثر ISP های دنیا مرتبط است، شبکه گوگل پرش ها را در سراسر اینترنت عمومی محدود می کند و بنابراین به محدود کردن دسترسی بازیگران بد به آن داده ها کمک می کند.

شبکه Google از چندین لایه دفاعی - دفاع عمیق - برای کمک به محافظت از شبکه در برابر حملات خارجی استفاده می کند. فقط سرویس‌ها و پروتکل‌های مجاز که الزامات امنیتی Google را برآورده می‌کنند مجاز به عبور از آن هستند. هر چیز دیگری به طور خودکار حذف می شود. برای اعمال جداسازی شبکه، گوگل از فایروال ها و لیست های کنترل دسترسی استفاده می کند. تمام ترافیک از طریق سرورهای Google Front End (GFE) جهت کمک به شناسایی و توقف درخواست های مخرب و حملات انکار سرویس توزیع شده (DDoS) هدایت می شود. لاگ ها به طور معمول مورد بررسی قرار می گیرند تا هرگونه سوء استفاده از خطاهای برنامه نویسی را آشکار کنند. دسترسی به دستگاه های شبکه فقط به کارمندان مجاز محدود شده است.

زیرساخت جهانی Google به ما امکان می دهد Project Shield را اجرا کنیم، که محافظت رایگان و نامحدودی را برای وب سایت هایی که در برابر حملات DDoS آسیب پذیر هستند و برای سانسور اطلاعات استفاده می شوند، ارائه می دهد. Project Shield برای وب سایت های خبری، وب سایت های حقوق بشر و وب سایت های نظارت بر انتخابات در دسترس است.

تأخیر کم و راه حل های بسیار در دسترس

شبکه داده IP Google از فیبر خود، فیبر در دسترس عموم و کابل های زیر دریا تشکیل شده است. این شبکه به ما امکان می دهد خدمات بسیار در دسترس و با تاخیر کم را در سراسر جهان ارائه دهیم.

گوگل اجزای پلتفرم خود را طوری طراحی می کند که بسیار زائد باشند. این افزونگی در مورد طراحی سرور Google، نحوه ذخیره داده‌ها توسط Google، اتصال شبکه و اینترنت و خود سرویس‌های نرم‌افزاری اعمال می‌شود. این "زائد بودن همه چیز" شامل رسیدگی به استثناها می شود و راه حلی ایجاد می کند که به یک سرور، مرکز داده یا اتصال شبکه وابسته نیست.

مراکز داده Google از نظر جغرافیایی توزیع شده اند تا اثرات اختلالات منطقه ای را بر محصولات جهانی به حداقل برسانند، مانند زمانی که بلایای طبیعی یا قطعی های محلی رخ می دهد. اگر سخت‌افزار، نرم‌افزار یا شبکه از کار بیفتد، سرویس‌های پلت‌فرم و هواپیماهای کنترلی به‌طور خودکار و سریع از یک مرکز به مرکز دیگر منتقل می‌شوند تا خدمات پلت‌فرم بدون وقفه ادامه یابد.

زیرساخت بسیار اضافی Google همچنین به شما کمک می کند تا از کسب و کار خود در برابر از دست دادن داده محافظت کنید. سیستم‌های Google به گونه‌ای طراحی شده‌اند که زمان‌هایی که نیاز به سرویس‌دهی یا ارتقای پلتفرم خود داریم، زمان خرابی یا پنجره‌های تعمیر و نگهداری را به حداقل برسانند.

امنیت عملیاتی

امنیت در عملیات Google یکپارچه است، نه یک فکر بعدی. این بخش برنامه‌های مدیریت آسیب‌پذیری Google، برنامه پیشگیری از بدافزار، نظارت بر امنیت و برنامه‌های مدیریت حوادث را توضیح می‌دهد.

مدیریت آسیب پذیری

فرآیند مدیریت آسیب‌پذیری داخلی Google به طور فعال تهدیدهای امنیتی را در تمام پشته‌های فناوری اسکن می‌کند. این فرآیند از ترکیبی از ابزارهای تجاری، منبع باز و داخلی استفاده می کند و شامل موارد زیر است:

• فرآیندهای تضمین کیفیت
• بررسی های امنیتی نرم افزار
• تلاش‌های نفوذ خودکار و دستی فشرده، از جمله تمرین‌های گسترده تیم قرمز
• آزمایش نفوذ خارجی مکرر برای محصولات Google Maps Platform
• ممیزی های خارجی مکرر

سازمان مدیریت آسیب پذیری و شرکای آن مسئولیت ردیابی و پیگیری آسیب پذیری ها را بر عهده دارند. از آنجایی که امنیت تنها پس از رفع کامل مشکلات بهبود می‌یابد، خطوط لوله اتوماسیون به طور مداوم وضعیت آسیب‌پذیری را مجدداً ارزیابی می‌کنند، وصله‌ها را تأیید می‌کنند و وضوح نادرست یا جزئی را علامت‌گذاری می‌کنند.

نظارت بر امنیت

برنامه نظارت بر امنیت Google بر اطلاعاتی متمرکز است که از ترافیک شبکه داخلی، از اقدامات کارمندان در سیستم‌ها، و از دانش خارجی درباره آسیب‌پذیری‌ها جمع‌آوری شده است. یک اصل اصلی گوگل این است که تمام داده های تله متری امنیتی را در یک مکان برای تجزیه و تحلیل امنیتی یکپارچه جمع آوری و ذخیره کند.

در بسیاری از نقاط در سراسر شبکه جهانی Google، ترافیک داخلی برای رفتارهای مشکوک بررسی می شود، مانند وجود ترافیکی که ممکن است نشان دهنده اتصالات بات نت باشد. گوگل از ترکیبی از ابزارهای منبع باز و تجاری برای ضبط و تجزیه ترافیک استفاده می کند تا گوگل بتواند این تحلیل را انجام دهد. یک سیستم همبستگی اختصاصی که بر پایه فناوری گوگل ساخته شده است نیز از این تحلیل پشتیبانی می کند. گوگل تجزیه و تحلیل شبکه را با بررسی گزارش های سیستم برای شناسایی رفتار غیرعادی، مانند تلاش برای دسترسی به داده های مشتری، تکمیل می کند.

گروه تجزیه و تحلیل تهدید در گوگل عوامل تهدید و تکامل تاکتیک ها و تکنیک های آنها را زیر نظر دارد. مهندسان امنیت Google گزارش‌های امنیتی ورودی را بررسی می‌کنند و فهرست‌های پستی عمومی، پست‌های وبلاگ و ویکی‌ها را نظارت می‌کنند. تجزیه و تحلیل خودکار شبکه و تجزیه و تحلیل خودکار گزارش‌های سیستم به تعیین زمان ممکن تهدید ناشناخته کمک می‌کند. اگر فرآیندهای خودکار مشکلی را شناسایی کنند، به کارکنان امنیتی Google ارسال می‌شود.

تشخیص نفوذ

Google از خطوط لوله پردازش داده پیچیده برای ادغام سیگنال‌های مبتنی بر میزبان در دستگاه‌های جداگانه، سیگنال‌های مبتنی بر شبکه از نقاط نظارتی مختلف در زیرساخت و سیگنال‌های خدمات زیرساخت استفاده می‌کند. قوانین و اطلاعات ماشینی ساخته شده در بالای این خطوط لوله به مهندسان امنیتی عملیاتی هشدارهایی را در مورد حوادث احتمالی می دهد. تیم‌های تحقیق و واکنش Google در ۲۴ ساعت شبانه‌روز و ۳۶۵ روز سال، این حوادث احتمالی را تریاژ، بررسی و پاسخ‌گویی می‌کنند. Google علاوه بر تست نفوذ خارجی، تمرین‌های تیم قرمز را برای اندازه‌گیری و بهبود اثربخشی مکانیسم‌های تشخیص و پاسخ Google انجام می‌دهد.

مدیریت حوادث

Google برای رویدادهای امنیتی که ممکن است محرمانه بودن، یکپارچگی یا در دسترس بودن سیستم‌ها یا داده‌ها را تحت تأثیر قرار دهد، یک فرآیند مدیریت حادثه دقیق دارد. برنامه مدیریت حوادث امنیتی Google بر اساس دستورالعمل NIST در مورد رسیدگی به حوادث ( NIST SP 800-61 ) ساختار یافته است. Google برای کارکنان کلیدی در زمینه پزشکی قانونی و مدیریت شواهد در آماده‌سازی یک رویداد، از جمله استفاده از ابزارهای شخص ثالث و اختصاصی، آموزش می‌دهد.

گوگل طرح های واکنش به حادثه را برای مناطق کلیدی آزمایش می کند. این تست ها سناریوهای مختلفی از جمله تهدیدات داخلی و آسیب پذیری های نرم افزاری را در نظر می گیرند. برای اطمینان از حل سریع حوادث امنیتی، تیم امنیتی Google 24 ساعته در دسترس همه کارمندان است.

شیوه های توسعه نرم افزار

Google از محافظت‌های کنترل منبع و بررسی‌های دو طرفه برای محدود کردن فعالانه معرفی آسیب‌پذیری‌ها استفاده می‌کند. گوگل همچنین کتابخانه هایی را فراهم می کند که مانع از معرفی کلاس های خاصی از اشکالات امنیتی توسط توسعه دهندگان می شود. به عنوان مثال، گوگل دارای کتابخانه ها و چارچوب هایی است که برای از بین بردن آسیب پذیری های XSS در SDK ها طراحی شده اند. گوگل همچنین دارای ابزارهای خودکار برای تشخیص اشکالات امنیتی مانند fuzzer ها، ابزارهای تحلیل استاتیک و اسکنرهای امنیتی وب است.

حفاظت از کد منبع

کد منبع Google در مخازن با یکپارچگی و حاکمیت منبع داخلی ذخیره می شود که امکان ممیزی نسخه های فعلی و گذشته سرویس را فراهم می کند. زیرساخت مستلزم آن است که باینری های یک سرویس پس از بررسی، بررسی و آزمایش از کد منبع خاصی ساخته شوند. مجوز دودویی برای Borg (BAB) یک بررسی اجرایی داخلی است که هنگام استقرار یک سرویس رخ می دهد. BAB کارهای زیر را انجام می دهد:

• اطمینان حاصل می کند که نرم افزار تولید و پیکربندی مستقر در Google بازبینی و مجاز است، به ویژه زمانی که آن کد می تواند به داده های کاربر دسترسی داشته باشد.
• اطمینان حاصل می کند که استقرار کد و پیکربندی با حداقل استانداردهای معینی مطابقت دارد
• توانایی یک خودی یا حریف را برای ایجاد تغییرات مخرب در کد منبع محدود می کند و همچنین یک دنباله پزشکی قانونی از یک سرویس به منبع آن ارائه می دهد.

کاهش ریسک داخلی

Google فعالیت های کارمندانی را که دسترسی اداری به زیرساخت به آنها داده شده است محدود و فعالانه نظارت می کند. Google به طور مستمر در تلاش است تا با استفاده از اتوماسیونی که می تواند همان وظایف را به روشی ایمن و کنترل شده انجام دهد، نیاز به دسترسی ممتاز برای کارهای خاص را از بین ببرد. به عنوان مثال، Google برای برخی از اقدامات به تأییدیه های دو طرفه نیاز دارد و Google از API های محدودی استفاده می کند که امکان اشکال زدایی را بدون افشای اطلاعات حساس فراهم می کند.

دسترسی کارکنان Google به اطلاعات کاربر نهایی از طریق قلاب‌های زیرساختی سطح پایین ثبت می‌شود. تیم امنیتی گوگل بر الگوهای دسترسی نظارت می کند و رویدادهای غیرعادی را بررسی می کند.

تست بازیابی فاجعه - DiRT

Google Maps Platform رویدادهای آزمایشی بازیابی فاجعه (DiRT) سالانه، در سراسر شرکت را اجرا می‌کند تا اطمینان حاصل کند که خدمات پلتفرم نقشه‌های Google و عملیات داخلی کسب‌وکار در طول یک فاجعه به کار خود ادامه می‌دهند. DiRT برای یافتن آسیب‌پذیری‌ها در سیستم‌های حیاتی با ایجاد عمد خرابی‌ها، و رفع آن آسیب‌پذیری‌ها قبل از وقوع خرابی‌ها به‌صورت کنترل‌نشده، توسعه داده شد. DiRT استحکام فنی Google را با شکستن سیستم‌های زنده آزمایش می‌کند و انعطاف‌پذیری عملیاتی Google را با جلوگیری صریح از مشارکت پرسنل مهم، کارشناسان منطقه و رهبران آزمایش می‌کند. همه سرویس‌های عموماً در دسترس باید دارای آزمایش مداوم و فعال DiRT و تأیید انعطاف‌پذیری و در دسترس بودن آنها باشند.

برای آماده شدن برای تمرین DiRT، Google از مجموعه قوانین ثابتی در مورد اولویت بندی استفاده می کند.

پروتکل های ارتباطی، انتظارات تاثیر، و الزامات طراحی تست، از جمله طرح های برگشتی از پیش بازبینی شده و تایید شده. تمرینات و سناریوهای DiRT نه تنها باعث ایجاد نقص فنی در خود سرویس می شود، بلکه می تواند شامل خرابی های طراحی شده در فرآیند، در دسترس بودن پرسنل کلیدی، سیستم های پشتیبانی، ارتباطات و دسترسی فیزیکی باشد. DiRT تأیید می کند که فرآیندهای موجود در عمل در عمل کار می کنند. همچنین تضمین می‌کند که تیم‌ها از قبل آموزش دیده‌اند و تجربه‌ای دارند که می‌توانند در طول قطعی‌ها، اختلالات، و بلایای مصنوعی یا طبیعی از آن استفاده کنند.

کنترل های امنیتی کلیدی

این بخش کنترل‌های امنیتی اصلی را که Google Maps Platform برای محافظت از پلتفرم خود پیاده‌سازی می‌کند، شرح می‌دهد.

رمزگذاری

رمزگذاری یک لایه دفاعی برای محافظت از داده ها اضافه می کند. رمزگذاری تضمین می‌کند که اگر مهاجم به داده‌ها دسترسی پیدا کند، مهاجم نمی‌تواند داده‌ها را بدون دسترسی به کلیدهای رمزگذاری بخواند. حتی اگر مهاجم به داده‌ها دسترسی پیدا کند (مثلاً با دسترسی به اتصال سیمی بین مراکز داده یا با سرقت یک دستگاه ذخیره‌سازی)، نمی‌تواند آن را درک یا رمزگشایی کند.

رمزگذاری مکانیسم مهمی در نحوه کمک Google به محافظت از حریم خصوصی داده ها فراهم می کند. این به سیستم‌ها اجازه می‌دهد تا داده‌ها را دستکاری کنند - به عنوان مثال، برای پشتیبان‌گیری - و مهندسین برای پشتیبانی از زیرساخت Google، بدون دسترسی به محتوا برای آن سیستم‌ها یا کارمندان.

رمزگذاری در حالت استراحت

رمزگذاری "در حالت استراحت" در این بخش به معنای رمزگذاری مورد استفاده برای محافظت از داده هایی است که روی دیسک (از جمله درایوهای حالت جامد) یا رسانه های پشتیبان ذخیره می شوند. داده ها در سطح ذخیره سازی رمزگذاری می شوند، معمولاً با استفاده از AES256 (استاندارد رمزگذاری پیشرفته). داده ها اغلب در سطوح مختلف در پشته ذخیره سازی تولید Google در مراکز داده، از جمله در سطح سخت افزار، بدون نیاز به هیچ اقدامی از سوی مشتریان Google، رمزگذاری می شوند. استفاده از چندین لایه رمزگذاری

حفاظت اضافی از داده ها را اضافه می کند و به Google اجازه می دهد تا رویکرد بهینه را بر اساس الزامات برنامه انتخاب کند. Google از کتابخانه‌های رمزنگاری متداول استفاده می‌کند که ماژول تأیید شده FIPS 140-2 Google را برای پیاده‌سازی رمزگذاری به‌طور مداوم در بین محصولات در خود جای داده است. استفاده مداوم از کتابخانه های رایج به این معنی است که فقط یک تیم کوچک از رمزنگاران نیاز به پیاده سازی و نگهداری این کد کاملاً کنترل شده و بازبینی شده دارند.

حفاظت از داده ها در حال انتقال

داده ها می توانند در برابر دسترسی های غیرمجاز در حین حرکت در اینترنت آسیب پذیر باشند. Google Maps Platform از رمزگذاری قوی در حین انتقال بین دستگاه‌ها و شبکه‌های مشتری و سرورهای Google Front End (GFE) پشتیبانی می‌کند. Google توصیه می‌کند که مشتریان/توسعه‌دهندگان از قوی‌ترین مجموعه رمزنگاری پشتیبانی‌شده Google (TLS 1.3) هنگام ایجاد برنامه‌ها به عنوان بهترین روش استفاده کنند. برخی از مشتریان موارد استفاده دارند که به دلایل سازگاری به مجموعه‌های رمز قدیمی‌تری نیاز دارند، بنابراین Google Maps Platform از این استانداردهای ضعیف‌تر پشتیبانی می‌کند، اما استفاده از آنها را در صورت امکان توصیه نمی‌کند. Google Cloud همچنین گزینه‌های رمزگذاری حمل و نقل اضافی، از جمله Cloud VPN برای ایجاد شبکه‌های خصوصی مجازی با استفاده از IPsec برای محصولات پلتفرم Google Maps را به شما ارائه می‌دهد.

حفاظت از داده های در حال انتقال بین مراکز داده Google

امنیت حمل و نقل لایه برنامه (ALTS) تضمین می کند که یکپارچگی ترافیک Google محافظت شده و در صورت لزوم رمزگذاری می شود. پس از تکمیل یک پروتکل دست دادن بین مشتری و سرور و مذاکره مشتری و سرور در مورد اسرار رمزنگاری مشترک لازم برای رمزگذاری و احراز هویت ترافیک شبکه، ALTS با استفاده از اسرار مشترک مذاکره شده، ترافیک RPC (تماس رویه از راه دور) را ایمن می کند. Google از چندین پروتکل برای تضمین یکپارچگی، مانند AES-GMAC (استاندارد رمزگذاری پیشرفته)، با کلیدهای 128 بیتی پشتیبانی می کند. هر زمان که ترافیک از یک مرز فیزیکی خارج می‌شود که توسط Google یا از طرف آن کنترل می‌شود، به‌عنوان مثال در حمل و نقل از طریق WAN (شبکه گسترده) بین مراکز داده، همه پروتکل‌ها به طور خودکار ارتقا می‌یابند تا رمزگذاری و تضمین یکپارچگی ارائه شود.

در دسترس بودن سرویس پلتفرم نقشه های گوگل

ممکن است برخی از خدمات پلتفرم Google Maps در همه مناطق جغرافیایی در دسترس نباشد. برخی از اختلالات سرویس موقتی هستند (به دلیل یک رویداد پیش بینی نشده، مانند قطع شدن شبکه)، اما سایر محدودیت های سرویس به دلیل محدودیت های اعمال شده توسط دولت دائمی هستند. گزارش جامع شفافیت و داشبورد وضعیت Google، اختلالات اخیر و جاری در ترافیک سرویس‌های پلتفرم Google Maps را نشان می‌دهد. Google این داده ها را برای کمک به تجزیه و تحلیل و درک اطلاعات uptime Google ارائه می دهد.

امنیت سمت مشتری

امنیت یک مسئولیت مشترک بین ارائه‌دهنده خدمات Cloud و مشتری/شریکی است که محصولات پلتفرم Google Maps را پیاده‌سازی می‌کند. در این بخش مسئولیت های مشتری/شریک زندگی که باید هنگام معماری راه حل پلت فرم Google Maps در نظر گرفته شود ، در نظر گرفته می شود.

API های JavaScript

سایت های امن

MAPS JavaScript API مجموعه ای از توصیه ها را منتشر می کند که به مشتری امکان می دهد خط مشی امنیت محتوای سایت خود (CSP) را تنظیم کند تا از آسیب پذیری هایی مانند اسکریپت های متقابل سایت ، کلیک و حملات تزریق داده جلوگیری کند. API JavaScript از دو شکل CSP پشتیبانی می کند: CSP دقیق با استفاده از NONCES و ALLIST CSP.

جاوا اسکریپت ایمن

جاوا اسکریپت به طور مرتب برای ضد الگوی امنیتی شناخته شده اسکن می شود و مشکلات به سرعت از بین می روند. در صورت بروز هرگونه مشکلی ، API JavaScript در صورت بروز هرگونه مشکلی در هفته یا تقاضا منتشر می شود.

امنیت برنامه تلفن همراه (MAS)

Security Application Mobile (MAS) یک تلاش باز ، چابک و منبع جمعیت است که از کمک ده ها نویسنده و داوران از سراسر جهان ساخته شده است. پروژه شاخص امنیت برنامه های کاربردی موبایل OWASP (MAS) یک استاندارد امنیتی برای برنامه های تلفن همراه (OWASP MASVS) و یک راهنمای آزمایش جامع (OWASP MASTG) ارائه می دهد که فرآیندها، تکنیک ها و ابزارهای مورد استفاده در طول تست امنیتی برنامه تلفن همراه و همچنین را پوشش می دهد. مجموعه ای جامع از موارد تست که آزمایش کنندگان را قادر می سازد نتایج ثابت و کاملی را ارائه دهند.

• استاندارد تأیید امنیت برنامه Mobile OWASP (MASVS) پایه ای برای آزمایش های امنیتی کامل و مداوم برای iOS و Android ارائه می دهد.
• راهنمای تست امنیت برنامه کاربردی موبایل OWASP (MASTG) یک کتابچه راهنمای جامع است که فرآیندها ، تکنیک ها و ابزارهای مورد استفاده در زمان تجزیه و تحلیل امنیت کاربردی موبایل را پوشش می دهد ، و همچنین مجموعه ای جامع از موارد آزمایشی برای تأیید الزامات ذکر شده در MASV.
• چک لیست امنیتی برنامه های کاربردی موبایل OWASP شامل پیوندهایی به موارد تست MASTG برای هر کنترل MASVS است.
  • ارزیابی های امنیتی / pentests: اطمینان حاصل کنید که حداقل سطح حمله استاندارد را پوشش می دهید و شروع به کاوش می کنید.
  • انطباق استاندارد: شامل نسخه های MASV و MASTG و شناسه های متعهد است.
  • مهارت های امنیتی موبایل خود را بیاموزید و تمرین کنید.
  • BUNNTIES BUNGE: مرحله به مرحله با پوشش سطح حمله موبایل بروید.

در نظر بگیرید که OWASP MAS را برای ارتقاء قابلیت های امنیت ، آزمایش و احراز هویت برنامه های کاربردی iOS و Android خود در نظر بگیرید.

اندروید

هنگام تهیه برنامه های Android ، منبع دیگری که باید در نظر بگیرید بهترین روش های برنامه Android Community است. دستورالعمل های امنیتی حاوی راهنمایی های بهترین عملکرد در مورد اجرای ارتباطات ایمن ، تعریف مجوزهای صحیح ، ذخیره داده های ایمن ، وابستگی به خدمات و موارد دیگر است.

iOS

هنگام تهیه برنامه های iOS ، مقدمه اپل را در راهنمای کدگذاری امن ، که شامل بهترین شیوه ها برای پلت فرم iOS است ، در نظر بگیرید.

جمع آوری داده ها ، استفاده و نگهداری

پلت فرم Google Maps متعهد به شفافیت در مورد جمع آوری داده ها ، استفاده از داده ها و حفظ داده ها است. جمع آوری داده ها ، استفاده و حفظ پلت فرم Google Maps منوط به شرایط خدمات پلت فرم Google Maps است که شامل خط مشی رازداری Google است.

جمع آوری داده ها

داده ها از طریق استفاده از محصولات پلت فرم Google Maps جمع آوری می شوند. شما به عنوان مشتری ، شما کنترل می کنید که اطلاعاتی را که به سیستم عامل Google Maps از طریق API و SDK منتقل می کنید ، کنترل می کنید. کلیه درخواست های پلتفرم Google Maps وارد شده است که شامل کدهای وضعیت پاسخ از محصول است.

Google Maps Platform داده های وارد شده

Google Maps Platform داده ها را در مجموعه محصول ثبت می کند. سیاههها حاوی چندین ورودی هستند که به طور معمول عبارتند از:

• شناسه حساب که می تواند یک کلید API ، شناسه مشتری یا شماره پروژه ابری باشد. این برای عملیات ، پشتیبانی و صورتحساب لازم است.
• آدرس IP سرور ، سرویس یا دستگاه درخواست کننده. برای API ها ، توجه داشته باشید که آدرس IP ارسال شده به پلت فرم Google Maps به نحوه اجرای API دعوت در برنامه/راه حل شما بستگی دارد. برای SDK ها ، آدرس IP دستگاه فراخوانی وارد شده است.
• URL را درخواست کنید ، که شامل API و پارامترهای منتقل شده به API است. به عنوان مثال ، API GeoCoding به دو پارامتر (آدرس و کلید API) نیاز دارد. GeoCoding همچنین دارای تعدادی پارامترهای اختیاری است. URL درخواست شامل تمام پارامترهای منتقل شده به سرویس است.
• تاریخ و زمان درخواست.
• برنامه های وب دارای هدرهای درخواست شده هستند که به طور معمول شامل داده هایی مانند نوع مرورگر وب و سیستم عامل هستند.
• برنامه های تلفن همراه با استفاده از SDK نسخه Google Play ، کتابخانه و نام برنامه را وارد می کنند.

Google Maps Platform Access دسترسی به سیستم

دسترسی به سیاههها بسیار محدود و فقط به اعضای تیم خاص که نیاز به تجارت مشروع دارند ، مجاز است. هر درخواست دسترسی به پرونده های log برای اهداف حسابرسی ثبت شده است ، که از طریق حسابرسی های شخص ثالث ISO 27001 و SOC 2 Google تأیید می شود.

استفاده از داده ها

داده های جمع آوری شده توسط پلت فرم Google Maps برای اهداف زیر استفاده می شود:

• بهبود محصولات و خدمات Google
• ارائه پشتیبانی فنی مشتری
• نظارت و هشدار عملیاتی
• حفظ امنیت سکو
• برنامه ریزی ظرفیت پلت فرم

لطفاً توجه داشته باشید که Google Maps Platform هرگز داده های عملکرد کاربر را به اشخاص ثالث نمی فروشد ، همانطور که در خط مشی رازداری Google مستند شده است.

حفظ داده ها و ناشناس سازی

داده های جمع آوری شده در سیاهههای مربوط به پلتفرم Google Maps ممکن است برای مدت زمان های مختلف بر اساس نیازهای تجاری ، منوط به داده های ناشناس سازی و ردیابی داده های گوگل حفظ شوند. آدرس های IP در اسرع وقت به طور خودکار ناشناس می شوند (بخشی از آدرس IP حذف می شود). آمار استفاده ناشناس ، کل حاصل از سیاههها ممکن است به طور نامحدود حفظ شود.

امنیت ، صنعت ، در دسترس بودن بالا و گواهینامه های زیست محیطی و حسابرسی

ISO 27001

سازمان بین المللی استاندارد سازی (ISO) یک سازمان بین المللی مستقل و غیر دولتی با عضویت بین المللی 163 نهاد استاندارد ملی است. خانواده استاندارد ISO/IEC 27000 به سازمان ها کمک می کند تا دارایی های اطلاعاتی خود را ایمن نگه دارند.

ISO/IEC 27001 تشریح می کند و الزامات مربوط به یک سیستم مدیریت امنیت اطلاعات (ISMS) را ارائه می دهد ، مجموعه ای از بهترین شیوه ها را مشخص می کند و کنترل های امنیتی را که می تواند به مدیریت خطرات اطلاعات کمک کند ، جزئیات می دهد.

Google Maps Platform و زیرساخت های مشترک Google به عنوان ISO/IEC 27001 سازگار هستند. استاندارد 27001 کنترل های امنیتی اطلاعات خاص را به عهده نمی گیرد ، اما چارچوب و لیست چک کنترل های موجود در آن به Google اجازه می دهد تا از یک مدل جامع و مداوم در حال بهبود برای مدیریت امنیت اطمینان حاصل کند.

می توانید صدور گواهینامه ISO 27001 پلتفرم Google Maps را از مدیر گزارش های Google Connection بارگیری و مرور کنید.

SOC 2 نوع II

SOC 2 گزارشی است که بر اساس هیئت استاندارد حسابرسی موسسه حسابداران معتبر حسابداران عمومی آمریکا (AICPA) معیارهای خدمات اعتماد موجود (TSC) است. هدف از این گزارش ، ارزیابی سیستم های اطلاعاتی سازمان مربوط به امنیت ، در دسترس بودن ، یکپارچگی پردازش ، محرمانه بودن و حریم خصوصی است. گزارش های SOC 2 نوع II در حدود سالانه در حدود ژوئن و دسامبر صادر می شود.

شما می توانید گزارش حسابرسی Google Maps Platform SOC 2 Type II را از مدیر گزارش های Google Decliance بارگیری و مرور کنید.

اتحاد امنیتی ابر (CSA)

Alliance Cloud Security ( 1 ، 2 ) یک سازمان غیرانتفاعی است که مأموریت آن "ارتقاء استفاده از بهترین شیوه ها برای ارائه تضمین امنیتی در محاسبات ابری است ، و آموزش در مورد استفاده از محاسبات ابری برای کمک به امنیت سایر اشکال محاسبات است. "

برنامه رجیستری امنیت ، اعتماد و تضمین CSA (CSA Star) برای کمک به شما در ارزیابی و انتخاب یک ارائه دهنده خدمات ابری از طریق یک برنامه سه مرحله ای از ارزیابی خود ، حسابرسی شخص ثالث و نظارت مداوم طراحی شده است.

Google Maps Platform به گواهینامه ارزیابی شخص ثالث (سطح 1 ستاره CSA: تأیید) دست یافته است

Google همچنین یک اسپانسر CSA و عضو شورای استاندارد سازی بین المللی CSA (ISC) و عضو موسس مرکز تعالی CSA GDPR است.

ISO 22301:2019

سازمان بین المللی استاندارد سازی (ISO) یک سازمان بین المللی مستقل و غیر دولتی با عضویت بین المللی 163 نهاد استاندارد ملی است.

ISO 22301: 2019 یک استاندارد بین المللی برای مدیریت تداوم تجارت است که برای کمک به سازمانها برای اجرای ، حفظ و بهبود یک سیستم مدیریتی برای جلوگیری ، آماده سازی ، پاسخ دادن و بهبودی از اختلالات در هنگام بروز طراحی شده است.

مراکز داده ای که از محصولات پلت فرم Google Maps پشتیبانی می کنند به عنوان ISO 22301: 2019 و BS EN ISO 22301: 2019 سازگار هستند پس از انجام حسابرسی توسط یک حسابرس شخص ثالث مستقل. رعایت این استانداردها برای مراکز داده Google نشان می دهد که مکانهایی که میزبان محصولات و خدمات Google هستند ، الزامات مطابق با ISO 22301: 2019 و BS EN ISO 22301: 2019 را برآورده می کنند.

ISO 50001

سازمان بین المللی استاندارد سازی (ISO) یک سازمان بین المللی مستقل و غیر دولتی با عضویت بین المللی 163 نهاد استاندارد ملی است.

ISO 50001: 2018 یک استاندارد بین المللی برای مدیریت انرژی است که برای کمک به سازمانها در اجرای ، حفظ و بهبود یک سیستم مدیریتی برای ادغام مدیریت انرژی در تلاشهای کلی آنها برای بهبود کیفیت و مدیریت محیط زیست طراحی شده است.

مراکز داده Google EMEA که توسط Google Maps Platform مورد استفاده قرار می گیرد به عنوان ISO 50001: 2018 مطابق با حسابرسی توسط یک حسابرس مستقل شخص ثالث ، مطابق با ISO 50001: 2018 است. ISO 50001: رعایت 2018 برای مراکز داده Google نشان می دهد که مکان های درون مقیاس میزبان محصولات و خدمات Google ، الزامات مطابق با ISO 50001: 2018 را برآورده می کنند.

از چارچوب های قانونی پشتیبانی شده

در زیر تعهدات قراردادی جهانی وجود دارد.

تعهدات قراردادی اروپا

در این بخش تعهدات قراردادی اروپا توضیح داده شده است.

مقررات حفاظت از داده های عمومی اتحادیه اروپا (GDPR)

آیین نامه عمومی حفاظت از داده ها ( GDPR ) قانون حفظ حریم خصوصی است که دستورالعمل 95/46/EC را در مورد حمایت از داده ها از 24 اکتبر 1995 در 25 مه 2018 جایگزین کرده است. GDPR الزامات خاصی را برای مشاغل و سازمانهایی که در اروپا ایجاد شده اند یا خدمت می کند ، ارائه می دهد کاربران در اروپا. Google نقشه های قهرمانان بستر های نرم افزاری را که در اولویت بندی و بهبود امنیت و حریم خصوصی داده های شخصی مشتری قرار دارد ، نقشه می کند و از شما می خواهد که به عنوان یک مشتری پلتفرم Google Maps ، با توجه به نیازهای GDPR ، با استفاده از خدمات Google احساس اطمینان کنید. اگر با Google Maps Platform شریک شوید ، از تلاشهای انطباق GDPR شما پشتیبانی می کند:

1. تعهد در قراردادهای Google برای رعایت GDPR در رابطه با پردازش داده های شخصی Google در کلیه سرویس های Google Maps Platform
2. به شما اسناد و منابع برای کمک به شما در ارزیابی حریم خصوصی خدمات Google به شما کمک می کند
3. با تغییر چشم انداز نظارتی ، همچنان به تکامل قابلیت های Google ادامه می یابد

تصمیمات کفایت اتحادیه اروپا ، EEA ، سوئیسی و انگلیس

همانطور که در سیاست حفظ حریم خصوصی Google مستند شده است ، کمیسیون اروپا مشخص کرده است که برخی از کشورهای خارج از منطقه اقتصادی اروپا (EEA) به طور مناسب از اطلاعات شخصی محافظت می کنند ، به این معنی که داده ها می توانند از اتحادیه اروپا (EU) و نروژ ، لیختن اشتاین و و منتقل شوند ایسلند به آن کشورها. بریتانیا و سوئیس مکانیسم های کفایت مشابهی را اتخاذ کرده اند.

بندهای قراردادی استاندارد اتحادیه اروپا

کمیسیون اروپا SCC های جدید اتحادیه اروپا را برای کمک به محافظت از داده های اروپایی به همراه SCC منتشر کرده است. Google SCC ها را در قراردادهای پلت فرم Google Maps خود برای محافظت از داده ها و برآورده کردن الزامات قانون حفظ حریم خصوصی اروپا گنجانیده است. مانند SCC های قبلی ، از این بندها می توان برای تسهیل نقل و انتقالات قانونی داده ها استفاده کرد.

قانون حفاظت از داده های انگلیس

قانون حفاظت از داده ها 2018 اجرای مقررات عمومی حفاظت از داده ها (GDPR) در بریتانیا است. "انگلستان GDPR" به معنای GDPR اتحادیه اروپا است که طبق قانون اتحادیه اروپا (انصراف) در انگلستان در سال 2018 اصلاح شده و در قانون انگلستان گنجانیده شده است ، و قوانین ثانویه قابل اجرا تحت آن قانون است.

قانون فدرال سوئیس در مورد حفاظت از داده ها (FDPA)

قانون حفاظت از داده های سوئیس ، که به طور رسمی به عنوان قانون فدرال در زمینه حفاظت از داده ها (FADP) شناخته می شود ، یک آیین نامه حفاظت از داده ها است که هدف آن محافظت از حریم خصوصی و حقوق اساسی افراد هنگام پردازش داده های آنها است.

تعهدات قراردادی غیر اروپایی

در این بخش تعهدات قراردادی غیر اروپایی توضیح داده شده است.

Lei Geral de Proteção de Dados (LGPD)

Lei Geral de Proteção de Dados (LGPD) برزیل یک قانون حفظ حریم خصوصی داده است که حاکم بر پردازش داده های شخصی توسط مشاغل و سازمانهایی است که در برزیل تأسیس شده اند ، یا کسانی که در برزیل خدمت می کنند ، از جمله موارد دیگر. LGPD اکنون مؤثر است و محافظت های زیر را ارائه می دهد:

• تنظیم چگونه مشاغل و سازمانها می توانند داده های شخصی را جمع آوری ، استفاده و اداره کنند
• مکمل یا جایگزین قوانین موجود در حریم خصوصی بخش فدرال برای افزایش مسئولیت پذیری
• جریمه های مربوط به مشاغل و سازمانهایی را که قادر به برآورده کردن نیازهای آن نیستند ، مجاز می کند
• امکان ایجاد یک مقام حفاظت از داده ها را فراهم می کند
• قوانینی را برای انتقال داده های شخصی جمع آوری شده در برزیل تحمیل می کند

Google محصولات و راه حل هایی را ارائه می دهد که می توانید به عنوان بخشی از استراتژی انطباق LGPD استفاده کنید:

• ویژگی های امنیتی و حریم خصوصی که به شما کمک می کند تا با LGPD مطابقت داشته باشید و از داده های شخصی بهتر محافظت و مدیریت کنید
• خدمات و زیرساخت های ساخته شده برای اطمینان از امنیت پردازش داده ها و استفاده از شیوه های حفظ حریم خصوصی مناسب
• تکامل مداوم محصولات و قابلیت های گوگل با تغییر چشم انداز نظارتی

Google Maps Platform مشتریان باید پردازش داده های شخصی خود را ارزیابی کنند و تعیین کنند که آیا الزامات LGPD برای آنها قابل اجرا است یا خیر. Google توصیه می کند که با یک متخصص حقوقی مشورت کنید تا در مورد الزامات خاص LGPD که برای سازمان شما اعمال می شود ، راهنمایی کنید ، زیرا این سایت مشاوره حقوقی را تشکیل نمی دهد.

تعهدات قراردادی ایالتی ایالات متحده

قانون کانکتیکات در مورد حریم خصوصی داده ها و نظارت آنلاین

قانون کانکتیکات در مورد حریم خصوصی داده ها و نظارت آنلاین ، میخانه. قانون شماره 22015 در تاریخ 1 ژانویه 2023 به مرحله اجرا درآمد. برای اطلاعات بیشتر به شرایط محافظت از داده های کنترل کننده Google Controller مراجعه کنید.

قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا (CCPA)

قانون حفظ حریم خصوصی مصرف کننده کالیفرنیا (CCPA) ( 1 ، 2 ) یک قانون حفظ حریم خصوصی داده است که تعدادی از حمایت های حریم خصوصی از جمله حق دسترسی ، حذف و امتناع "فروش" اطلاعات شخصی آنها را در اختیار مصرف کنندگان کالیفرنیا قرار می دهد. از اول ژانویه سال 2020 ، مشاغلی که اطلاعات شخصی ساکنان کالیفرنیا را جمع می کنند و آستانه های خاصی را برآورده می کنند (به عنوان مثال ، درآمد ، حجم پردازش داده ها) باید این تعهدات را رعایت کنند. قانون حقوق حریم خصوصی کالیفرنیا (CPRA) یک قانون حفظ حریم خصوصی داده است که بر CCPA اصلاح و گسترش می یابد. این قانون در تاریخ 1 ژانویه 2023 به اجرا در می آید. گوگل بسیار متعهد است با ارائه ابزارهای مناسب و ایجاد حریم خصوصی و محافظت از امنیت قوی در خدمات و قراردادهای گوگل ، به مشتریان خود در انجام تعهدات خود تحت این مقررات داده کمک کند. می توانید اطلاعات بیشتری در مورد مسئولیت های خود به عنوان مشاغل تحت CCPA در دفتر کالیفرنیا از وب سایت دادستان کل پیدا کنید. برای اطلاعات بیشتر به شرایط محافظت از داده های کنترل کننده Google Controller مراجعه کنید.

قانون حفظ حریم خصوصی کلرادو (CPA)

قانون حفظ حریم خصوصی کلرادو ، کولو. § 6-1-1301 ET SEQ. در تاریخ 1 ژانویه 2023 به مرحله اجرا درآمد. این قانون حقوق حریم خصوصی داده های شخصی را ایجاد می کند و در مورد اشخاص حقوقی که تجارت را انجام می دهند یا محصولات تجاری یا خدماتی را تولید می کنند که عمداً برای ساکنان کلرادو هدف قرار گرفته اند و این موارد است ، اعمال می شود.

• کنترل یا پردازش داده های شخصی حداقل 100000 مصرف کننده در هر سال تقویم
• درآمد حاصل از فروش داده های شخصی را بدست آورید و داده های شخصی حداقل 25000 مصرف کننده را کنترل کنید

برای اطلاعات بیشتر به شرایط محافظت از داده های کنترل کننده Google Controller مراجعه کنید.

قانون حفظ حریم خصوصی مصرف کننده یوتا (UCPA)

قانون حفظ حریم خصوصی مصرف کننده یوتا ، کد یوتا آن. § 13-61-101 و SEQ. در تاریخ 1 ژانویه 2023 به مرحله اجرا درآمد. UCPA در مورد فروش داده های شخصی و تبلیغات هدفمند اعمال می شود و آنچه را که انجام می دهد و شامل فروش نمی شود ، تعریف می کند: "مبادله داده های شخصی برای بررسی پولی توسط یک کنترلر به شخص ثالث. "

برای اطلاعات بیشتر به شرایط محافظت از داده های کنترل کننده Google Controller مراجعه کنید.

قانون حفاظت از داده های مصرف کننده ویرجینیا (VCDPA)

قانون حفاظت از داده های مصرف کننده ویرجینیا ("VCDPA") در تاریخ 1 ژانویه 2023 به مرحله اجرا درآمد. این قانون حقوق خاصی را برای داده های شخصی جمع آوری شده توسط مشاغل تحت شرایط بیان شده در قانون فراهم می کند.

لطفاً برای اطلاعات بیشتر به شرایط محافظت از داده های کنترل کننده Google Controller مراجعه کنید.

خلاصه

امنیت یک معیارهای اصلی طراحی برای کلیه زیرساخت ها ، محصولات و عملیات Google است. مقیاس عملیات Google و همکاری آن با انجمن تحقیقات امنیتی ما را قادر می سازد تا به سرعت آسیب پذیری ها را برطرف کنیم و اغلب برای جلوگیری از آنها به طور کامل. Google خدمات خود را مانند Search ، YouTube و Gmail را در همان زیرساخت هایی که در اختیار مشتریان خود قرار می دهد ، اجرا می کند ، که مستقیماً از کنترل ها و شیوه های امنیتی Google بهره مند می شوند.

گوگل معتقد است که می تواند سطح حفاظتی را ارائه دهد که تعداد کمی از ارائه دهندگان ابر عمومی یا تیم های IT شرکت های خصوصی می توانند با هم مطابقت داشته باشند. از آنجا که محافظت از داده ها برای تجارت Google اصلی است ، ما می توانیم سرمایه گذاری های گسترده ای را در زمینه امنیت ، منابع و تخصص در مقیاس انجام دهیم که دیگران نتوانند. سرمایه گذاری Google شما را آزاد می کند تا روی تجارت و نوآوری خود تمرکز کنید. ما همچنان به سرمایه گذاری در پلتفرم خود ادامه خواهیم داد تا به شما اجازه دهیم از خدمات Google به روشی امن و شفاف بهره مند شوید.

،

این محتوا آخرین بار در فوریه 2024 به روز شد و وضعیت موجود از زمان نوشته شده را نشان می دهد. سیاست ها و سیستم های امنیتی Google ممکن است تغییر کند ، زیرا ما به طور مداوم محافظت از مشتریان را بهبود می بخشیم.

بارگیری نسخه PDF

مقدمه

Google Maps Platform API و SDK را برای مشتریان و شرکا فراهم می کند تا با استفاده از فناوری جغرافیایی Google ، برنامه های وب و تلفن همراه را توسعه دهند. Google Maps Platform بیش از 50+ API و SDK را برای مشتریان در صنایع متعدد ارائه می دهد. به عنوان یک مشتری در صنعت ، شما اغلب باید هنگام ساختن راه حل های خود ، امنیت ، استفاده از داده ها و الزامات نظارتی را برآورده کنید. این شامل اطمینان از این که فناوری شخص ثالث شما با همان الزامات مطابقت دارد.

این سند خلاصه ای از سطح بالا از افراد ، فرآیند و کنترل های فناوری ارائه شده توسط پلت فرم Google Maps را به همراه توصیف مزایای استفاده از این سیستم عامل ارائه می دهد. اول ، درک دو ستون اصلی فناوری در زیر پلت فرم Google Maps مهم است:

• فن آوری های ارائه شده به Google ، مراکز داده و زیرساخت ها . Google Maps Platform کاملاً در مراکز داده و زیرساخت های ارائه شده با Google کار می کند. از این مبنای ، ممیزی های داخلی و شخص ثالث را در مورد کنترل های امنیتی که از Google به ارث می برد ، برای تأیید اعتبار اینکه Google Maps به درستی کنترل های امنیتی ، عملیاتی و فنی را که در این مقاله شرح داده شده است ، اعمال می کند.
• Google Maps Technology Platform . علاوه بر کنترل های ارثی ، Google Maps Platform امنیت ، حریم خصوصی ، داده ها و کنترل های عملیاتی اضافی را برای مجموعه های محصول Google فراهم می کند.

این سند به طور خلاصه فرایندها و کنترل های امنیتی Google Maps Platform ، به شرح زیر است:

• روی امنیت و حفظ حریم خصوصی در تمام سطوح سازمان Google تمرکز کنید
• زیرساخت های فنی و امنیت سخت افزار
• امنیت عملیاتی
• کنترل های امنیتی کلیدی
• امنیت طرف مشتری ، چه وب و چه موبایل
• گواهینامه ها و ممیزی های فعلی در سیستم عامل Google Maps
• از چارچوب های قانونی پشتیبانی شده ، در سطح جهان

مشتریان بالقوه می توانند برای اطلاعات بیشتر به نماینده فروش Google خود دسترسی پیدا کنند.

سازمان امنیت و حریم خصوصی Google

امنیت ساختار سازمانی ، فرهنگ ، اولویت های آموزشی و فرآیندهای استخدام در سراسر Google را هدایت می کند. این طراحی مراکز داده Google و فناوری ارائه شده را شکل می دهد. امنیت زیربنای عملیات روزمره Google ، از جمله برنامه ریزی فاجعه و مدیریت تهدید است. Google امنیت را در نحوه کنترل داده ها ، کنترل حساب ، حسابرسی های انطباق و گواهینامه های صنعت اولویت بندی می کند. Google خدمات خود را برای ارائه امنیت بهتر از بسیاری از گزینه های پیش فرض که به چندین فروشنده و چندین سیستم عامل متکی هستند ، طراحی می کند که در آن امنیت اغلب یک فرآیند بدون اتصال است. شما از برنامه ها و کنترل های یکپارچه Google بهره می برید که از محصولات Google Maps Platform برای تجارت خود استفاده می کنید. Google Maps Platform امنیت را در عملکرد خود در اولویت قرار می دهد - عملیاتی که بیش از یک میلیارد کاربر در سراسر جهان خدمت می کند.

با هم ، Google و Google Maps Platform چندین لایه امنیت را در سراسر شرکت و سازمان فراهم می کنند:

• تیم امنیتی اختصاصی Google
• Google Maps Platform Team Product Product Product
• درگیری فعال با جامعه تحقیقات امنیتی جهانی
• Google Maps Team Platform Platform
• آموزش امنیت و حریم خصوصی کارمندان Google
• متخصصان حسابرسی داخلی و انطباق

تیم های امنیتی اختصاصی در Google

Google تیم های امنیتی اختصاصی را در سراسر شرکت و در مناطق محصول فراهم می کند.

تیم های امنیتی گسترده Google از چندین منطقه محصول در Google پشتیبانی می کنند ، از جمله Google Maps Platform. تیم امنیتی شامل برخی از مهمترین کارشناسان جهان در امنیت اطلاعات ، امنیت برنامه ها ، رمزنگاری و امنیت شبکه است. فعالیتهای آنها شامل موارد زیر است:

• فرایندهای امنیتی را توسعه داده ، بررسی و پیاده سازی می کند . این شامل بررسی برنامه های امنیتی برای شبکه های Google و ارائه مشاوره خاص پروژه به تیم های محصول و مهندسی در سراسر Google است. به عنوان مثال ، متخصصان رمزنگاری ، راه اندازی محصول را بررسی می کنند که رمزنگاری را به عنوان بخشی از این پیشنهاد اجرا می کنند.
• به طور فعال تهدیدات امنیتی را مدیریت می کند . این تیم با استفاده از هر دو ابزار تجاری و سفارشی ، تهدیدات مداوم و فعالیت مشکوک در شبکه های Google را کنترل می کند.
• ممیزی ها و ارزیابی های معمول را انجام می دهد ، که می تواند درگیر متخصصان خارج از کشور برای انجام ارزیابی های امنیتی باشد.
• مقالات امنیتی را به جامعه گسترده تر منتشر می کند . گوگل یک وبلاگ امنیتی و یک سری YouTube را حفظ می کند که چندین تیم امنیتی خاص و دستاوردهای آنها را برجسته می کند.

تیم امنیتی Google Maps Platform با تیم امنیتی در سراسر Google همکاری می کند و با توسعه محصول و SRE برای نظارت بر اجرای امنیت ، از نزدیک همکاری می کند. به طور خاص ، این تیم موارد زیر را مدیریت می کند:

• تست مقاومت در برابر فاجعه Google Maps Platform (DIRT) ، که تست استمرار تجارت و عدم موفقیت محصولات Google Maps Platform را آزمایش می کند ، در زیرساخت های بسیار در دسترس Google اجرا می شود.
• آزمایش نفوذ شخص ثالث. Google Maps Platform Products نفوذ حداقل سالانه برای ارتقاء وضعیت امنیتی Google و تضمین امنیت مستقل در اختیار شما قرار می گیرد.

همکاری با جامعه تحقیقات امنیتی

Google مدتهاست که با انجمن تحقیقات امنیتی رابطه نزدیکی دارد و Google کمک آنها را در شناسایی آسیب پذیری های احتمالی در پلت فرم Google Maps و سایر محصولات Google بسیار ارزیابی می کند.

• همکاری جامعه آنلاین از طریق پروژه صفر . Project Zero تیمی از محققان امنیتی است که به تحقیق در مورد آسیب پذیری های روز صفر اختصاص داده شده است. برخی از نمونه های این تحقیق عبارتند از: کشف سوء استفاده از Specter ، بهره برداری از ذوب ، بهره برداری Poodle SSL 3.0 و نقاط ضعف مجموعه رمزگذاری .
• تحقیقات دانشگاهی - مهندسان و محققان امنیتی گوگل به طور فعال در جامعه امنیت دانشگاهی و جامعه تحقیقات حریم خصوصی شرکت و منتشر می کنند. نشریات مرتبط با امنیت را می توان در سایت تحقیقات Google Google یافت. تیم های امنیتی Google یک گزارش عمیق از شیوه ها و تجربه خود در کتاب سیستم های امن و قابل اعتماد ساختمان منتشر کرده اند.
• برنامه پاداش آسیب پذیری - پلت فرم نقشه های Google Maps در برنامه پاداش آسیب پذیری شرکت می کند که برای هر آسیب پذیری تأیید شده در ده ها هزار دلار پاداش می دهد. این برنامه محققان را ترغیب می کند تا گزارش های طراحی و اجرای را گزارش دهند که ممکن است داده های مشتری را در معرض خطر قرار دهد. در سال 2022 ، گوگل بیش از 11.9 میلیون دلار پول جایزه به محققان اعطا کرد. برای کسب اطلاعات بیشتر در مورد این برنامه ، از جمله پاداش Google Google ، به آمار کلیدی Bug Hunters مراجعه کنید. اطلاعات بیشتر در مورد گزارش مسائل امنیتی ، به نحوه برخورد Google آسیب پذیری های امنیتی مراجعه کنید.
• تحقیقات امنیت منبع باز - مهندسان گوگل همچنین در پروژه های منبع باز و کنفرانس های دانشگاهی سازماندهی و شرکت می کنند. برای بهبود کد منبع باز ، برنامه پاداش آسیب پذیری همچنین یارانه هایی را برای پروژه های منبع باز فراهم می کند.
• رمزنگاری -رمزنگاران کلاس جهانی گوگل برای محافظت از اتصالات TLS در برابر حملات رایانه ای کوانتومی تلاش کردند و الگوریتم ترکیبی بیضوی و پس از کوانه (CECPQ2) را توسعه دادند. Cryptographers Google Tink را توسعه داد ، که یک کتابخانه منبع باز از API های رمزنگاری است. Google همچنین از Tink در محصولات و خدمات داخلی خود استفاده می کند.

تیم حریم خصوصی اختصاصی پلتفرم Google Maps

تیم اختصاصی حریم خصوصی به طور جداگانه از توسعه محصول و سازمان های امنیتی فعالیت می کند. این برنامه از ابتکارات حریم خصوصی داخلی برای بهبود کلیه بخش های حریم خصوصی پشتیبانی می کند: فرآیندهای مهم ، ابزارهای داخلی ، زیرساخت ها و توسعه محصول. تیم حفظ حریم خصوصی موارد زیر را انجام می دهد:

• تضمین می کند که راه اندازی محصول از استانداردهای حریم خصوصی قوی پیرامون جمع آوری داده ها برخوردار است. این شرکت در هر محصول Google از طریق مستندات طراحی و بررسی کد شرکت می کند.
• پس از راه اندازی محصول ، تیم حفظ حریم خصوصی بر فرآیندهای خودکار نظارت می کند که به طور مداوم جمع آوری و استفاده از داده های مناسب را تأیید می کند.
• تحقیق در مورد بهترین شیوه های حریم خصوصی را انجام می دهد.

آموزش امنیت و حریم خصوصی کارمندان Google

امنیت و حریم خصوصی یک منطقه در حال تغییر است و گوگل تشخیص می دهد که مشارکت اختصاصی کارمندان یک وسیله اصلی برای افزایش آگاهی است. کلیه کارمندان Google به عنوان بخشی از روند جهت گیری ، تحت آموزش امنیت و حریم خصوصی قرار می گیرند و آموزش های مداوم ، امنیتی و حفظ حریم خصوصی را در طول مشاغل Google خود دریافت می کنند.

• در حین جهت گیری : کارمندان جدید با کد رفتار Google موافق هستند ، که تعهد Google را برای ایمن و ایمن نگه داشتن اطلاعات مشتری برجسته می کند.
• آموزش تخصصی توسط نقش شغلی . برخی از نقش های شغلی نیاز به آموزش در مورد جنبه های خاص امنیت دارد. به عنوان مثال ، تیم امنیت اطلاعات به مهندسان جدید در مورد شیوه های رمزگذاری ایمن ، طراحی محصول و ابزارهای تست آسیب پذیری خودکار دستور می دهد. مهندسان در جلسات امنیتی منظم شرکت می کنند و خبرنامه های امنیتی را دریافت می کنند که تهدیدهای جدید ، الگوهای حمله ، تکنیک های کاهش و موارد دیگر را پوشش می دهد.
• وقایع در حال انجام Google میزبان کنفرانس های داخلی منظم برای همه کارمندان برای افزایش آگاهی و ایجاد نوآوری در امنیت و حریم خصوصی داده ها است. Google میزبان رویدادها در دفاتر جهانی برای افزایش آگاهی از امنیت و حریم خصوصی در توسعه نرم افزار ، مدیریت داده ها و اجرای سیاست است.

متخصصان حسابرسی داخلی و انطباق

Google Maps Platform یک تیم حسابرسی داخلی اختصاصی دارد که پیروی از محصولات Google با قوانین و مقررات امنیتی در سراسر جهان را بررسی می کند. با ایجاد استانداردهای حسابرسی جدید و به روزرسانی استانداردهای موجود ، تیم حسابرسی داخلی تعیین می کند که کنترل ها ، فرآیندها و سیستم ها برای کمک به رعایت آن استانداردها چه کنترل می کنند. این تیم از ممیزی ها و ارزیابی های مستقل توسط اشخاص ثالث پشتیبانی می کند. برای اطلاعات بیشتر ، بعداً در این سند به بخش گواهینامه های امنیتی و حسابرسی مراجعه کنید.

سکوی ساخته شده با امنیت در هسته آن

Google سرورهای خود ، سیستم عامل های اختصاصی و مراکز داده توزیع جغرافیایی را با استفاده از اصل دفاع در عمق طراحی می کند. Google Maps Platform بر روی یک زیرساخت فنی طراحی و ساخته شده است که برای کارکرد ایمن طراحی و ساخته شده است. ما یک زیرساخت IT ایجاد کرده ایم که مدیریت آن ایمن تر و آسانتر از راه حل های سنتی در محل یا میزبان است.

مراکز داده پیشرفته

تمرکز Google بر امنیت و محافظت از داده ها از جمله معیارهای اصلی طراحی Google است. امنیت فیزیکی در مراکز داده Google یک مدل امنیتی لایه ای است. امنیت فیزیکی شامل حفاظت هایی مانند کارتهای دسترسی الکترونیکی با طراحی سفارشی ، آلارم ، موانع دسترسی به وسیله نقلیه ، شمشیربازی پیرامونی ، آشکارسازهای فلزی و بیومتریک است. علاوه بر این ، برای تشخیص و ردیابی متجاوزان ، گوگل از اقدامات امنیتی مانند تشخیص نفوذ پرتوی لیزر و نظارت 24/7 توسط دوربین های داخلی و بیرونی با وضوح بالا استفاده می کند. در صورت بروز حادثه ، پرونده های دسترسی ، سوابق فعالیت و فیلم های دوربین در دسترس هستند. نگهبانان با تجربه ، که تحت بررسی و آموزش دقیق پیش زمینه و آموزش قرار گرفته اند ، به طور مرتب مراکز داده Google را گشت زنی می کنند. با نزدیک شدن به طبقه مرکز داده ، اقدامات امنیتی نیز افزایش می یابد. دسترسی به طبقه مرکز داده فقط از طریق یک کریدور امنیتی که کنترل دسترسی چند عاملی را با استفاده از نشان های امنیتی و بیومتریک انجام می دهد ، امکان پذیر است. فقط کارمندان تأیید شده با نقش های خاص ممکن است وارد شوند. کمتر از یک درصد از کارمندان Google تا به حال در یکی از مراکز داده Google پا می گیرند.

Google مراکز داده در سطح جهان را اداره می کند و برای به حداکثر رساندن سرعت و قابلیت اطمینان خدمات خود. زیرساخت های آن به طور کلی برای ارائه ترافیک از مرکز داده که نزدیکترین جایی است که از ترافیک استفاده می شود ، تنظیم شده است. بنابراین مکان دقیق داده های پلتفرم Google Maps بسته به مکانی که چنین ترافیکی در آن وجود دارد ممکن است متفاوت باشد و این داده ها ممکن است توسط سرورهای واقع در EEA و انگلیس انجام شود یا به کشورهای ثالث منتقل شوند. پیشنهادات مشتریان Google که محصولات Google Maps Platform به طور کلی در سطح جهان در دسترس هستند و اغلب مخاطبان جهانی را به خود جلب می کنند. زیرساخت های فنی که از این محصولات پشتیبانی می کند ، در سطح جهان برای کاهش تأخیر و اطمینان از افزونگی سیستم ها مستقر می شود. پلت فرم Google Maps از زیر مجموعه ای از شبکه Google Global Data Center که در زیر برای مرجع ذکر شده است استفاده می کند:

آمریکای شمالی و جنوبی

• ایالات متحده آمریکا
• شیلی

اروپا

• بلژیک
• فنلاند
• هلند

آسیا

• تایوان
• سنگاپور

نیرو دادن به مراکز داده Google

برای نگه داشتن کارها 24/7 و ارائه خدمات بدون وقفه ، مراکز داده Google دارای سیستم های قدرت اضافی و کنترل های زیست محیطی هستند. هر مؤلفه بحرانی دارای منبع تغذیه اولیه و متناوب است که هر کدام دارای قدرت برابر هستند. ژنراتورهای پشتیبان می توانند انرژی الکتریکی اضطراری کافی را برای اجرای هر مرکز داده با ظرفیت کامل فراهم کنند. سیستم های خنک کننده دمای کار ثابت را برای سرورها و سایر سخت افزار حفظ می کنند ، که ضمن به حداقل رساندن تأثیرات زیست محیطی ، خطر قطع خدمات را کاهش می دهد. تجهیزات تشخیص آتش سوزی و سرکوب به جلوگیری از آسیب سخت افزاری کمک می کند. ردیاب های گرما ، ردیاب های آتش نشانی و آشکارسازهای دود باعث ایجاد هشدارهای شنیدنی و قابل مشاهده در کنسول های عملیات امنیتی و میزهای نظارت از راه دور می شوند.

Google اولین شرکت عمده خدمات اینترنتی است که گواهینامه خارجی استانداردهای بالای محیط زیست ، ایمنی در محل کار و مدیریت انرژی را در مراکز داده Google دریافت می کند. به عنوان مثال ، برای نشان دادن تعهد گوگل در شیوه های مدیریت انرژی ، گوگل گواهینامه های داوطلبانه ISO 50001 را برای مراکز داده خود در اروپا بدست آورد.

سخت افزار و نرم افزار سرور سفارشی

مراکز داده Google دارای سرورهای ساخته شده و تجهیزات شبکه هستند که برخی از آنها Google Designs را طراحی می کند. در حالی که سرورهای Google برای به حداکثر رساندن عملکرد ، خنک کننده و بهره وری انرژی سفارشی می شوند ، آنها همچنین برای محافظت در برابر حملات نفوذ فیزیکی طراحی شده اند. بر خلاف اکثر سخت افزار تجاری در دسترس ، سرورهای Google شامل اجزای غیر ضروری مانند کارت های ویدیویی ، چیپست یا اتصالات محیطی نیستند که همه این موارد می توانند آسیب پذیری ها را معرفی کنند. Google Vets فروشندگان مؤلفه ها را با مراقبت انتخاب می کنند و با فروشندگان برای حسابرسی و اعتبار دادن به خصوصیات امنیتی که توسط مؤلفه ها ارائه می شود ، همکاری می کند. Google تراشه های سفارشی مانند Titan را طراحی می کند که به ما کمک می کند تا با اطمینان و هویت دستگاه های مشروع Google را در سطح سخت افزار ، از جمله کدی که این دستگاه ها برای بوت شدن استفاده می کنند ، شناسایی و تأیید کنیم.

منابع سرور به صورت پویا اختصاص می یابد. This gives us flexibility for growth and lets us adapt quickly and efficiently to customer demand by adding or reallocating resources. This homogeneous environment is maintained by proprietary software that continually monitors systems for binary-level modifications. Google's automated, self-healing mechanisms are designed to enable us to monitor and remediate destabilizing events, receive notifications about incidents, and slow down potential compromises on the network.

Secure service deployment

Google services are the application binaries that Google developers write and run on Google's infrastructure. To handle the required scale of the workload, thousands of machines might be running binaries of the same service. A cluster orchestration service, called Borg , controls the services that are running directly on the infrastructure.

The infrastructure does not assume any trust between the services that are running on the infrastructure. This trust model is referred to as a zero-trust security model. A zero-trust security model means that no devices or users are trusted by default, whether they are inside or outside of the network.

Because the infrastructure is designed to be multi-tenant, data from Google's customers (consumers, businesses, and even Google's own data) is distributed across shared infrastructure. This infrastructure is composed of tens of thousands of homogeneous machines. The infrastructure does not segregate customer data onto a single machine or set of machines

Hardware tracking and disposal

Google meticulously tracks the location and status of all equipment within its data centers using barcodes and asset tags. Google deploys metal detectors and video surveillance to help make sure that no equipment leaves the data center floor without authorization. If a component fails to pass a performance test at any point during its lifecycle, it's removed from inventory and retired.

Google storage devices, including hard drives, solid-state drives, and non-volatile dual in-line memory modules (DIMM), use technologies like full disk encryption (FDE) and drive locking to protect data at rest. When a storage device is retired, authorized individuals verify that the disk is erased by writing zeros to the drive. They also perform a multiple-step verification process to ensure the drive contains no data. If a drive cannot be erased for any reason, it's physically destroyed. Physical destruction is done by using a shredder that breaks the drive into small pieces, which are then recycled at a secure facility. Each data center adheres to a strict disposal policy and any variances are immediately addressed.

Security benefits of Google's global network

In other geospatial cloud and on-premises solutions, data travels between devices across the public internet in paths known as hops . The number of hops depends on the optimal route between the customer's ISP and the data center. Each additional hop introduces a new opportunity for data to be attacked or intercepted. Because Google's global network is linked to most ISPs in the world, Google's network limits hops across the public internet, and therefore helps limit access to that data by bad actors.

Google's network uses multiple layers of defense—defense in depth—to help protect the network against external attacks. Only authorized services and protocols that meet Google's security requirements are allowed to traverse it; anything else is automatically dropped. To enforce network segregation, Google uses firewalls and access control lists. All traffic is routed through Google Front End (GFE) servers to help detect and stop malicious requests and distributed denial-of-service (DDoS) attacks. Logs are routinely examined to reveal any exploitation of programming errors. Access to networked devices is restricted to only authorized employees.

Google's global infrastructure allows us to run Project Shield , which provides free, unlimited protection to websites that are vulnerable to DDoS attacks that are used to censor information. Project Shield is available for news websites, human rights websites, and election-monitoring websites.

Low latency and highly available solutions

Google's IP data network consists of its own fiber, of publicly available fiber, and of undersea cables. This network allows us to deliver highly available and low-latency services across the globe.

Google designs the components of its platform to be highly redundant. This redundancy applies to Google's server design, to how Google stores data, to network and internet connectivity, and to the software services themselves. This "redundancy of everything" includes exception handling and creates a solution that is not dependent on a single server, data center, or network connection.

Google data centers are geographically distributed to minimize the effects of regional disruptions on global products, such as when natural disasters or local outages occur. If hardware, software, or a network fails, platform services and control planes are automatically and swiftly shifted from one facility to another so that platform services can continue without interruption.

Google's highly redundant infrastructure also helps you protect your business from data loss. Google's systems are designed to minimize downtime or maintenance windows for when we need to service or upgrade our platform.

Operational security

Security is integral to Google's operations, not an afterthought. This section describes Google's vulnerability management programs, malware prevention program, security monitoring, and incident management programs.

مدیریت آسیب پذیری

Google's internal vulnerability management process actively scans for security threats across all technology stacks. This process uses a combination of commercial, open source, and purpose-built in-house tools, and includes the following:

• Quality assurance processes
• Software security reviews
• Intensive automated and manual penetration efforts, including extensive Red Team exercises
• Recurring external penetration testing for Google Maps Platform products
• Recurring external audits

The vulnerability management organization and its partners are responsible for tracking and following up on vulnerabilities. Because security improves only after issues are fully addressed, automation pipelines continuously reassess the state of a vulnerability, verify patches, and flag incorrect or partial resolution.

Security monitoring

Google's security monitoring program is focused on information that's gathered from internal network traffic, from employee actions on systems, and from outside knowledge of vulnerabilities. A core Google principle is to aggregate and store all security telemetry data in one location for unified security analysis.

At many points across Google's global network, internal traffic is inspected for suspicious behavior, such as the presence of traffic that might indicate botnet connections. Google uses a combination of open source and commercial tools to capture and parse traffic so that Google can perform this analysis. A proprietary correlation system built on top of Google's technology also supports this analysis. Google supplements network analysis by examining system logs to identify unusual behavior, such as attempts to access customer data.

The Threat Analysis Group at Google monitors threat actors and the evolution of their tactics and techniques. Google security engineers review inbound security reports and monitor public mailing lists, blog posts, and wikis. Automated network analysis and automated analysis of system logs helps determine when an unknown threat might exist. If the automated processes detect an issue, it's escalated to Google's security staff.

تشخیص نفوذ

Google uses sophisticated data processing pipelines to integrate host-based signals on individual devices, network-based signals from various monitoring points in the infrastructure, and signals from infrastructure services. Rules and machine intelligence built on top of these pipelines give operational security engineers warnings of possible incidents. Google's investigation and incident-response teams triage, investigate, and respond to these potential incidents 24 hours a day, 365 days a year. Google conducts Red Team exercises in addition to external penetration testing to measure and improve the effectiveness of Google's detection and response mechanisms.

مدیریت حوادث

Google has a rigorous incident management process for security events that might affect the confidentiality, integrity, or availability of systems or data. Google's security incident management program is structured around the NIST guidance on handling incidents ( NIST SP 800–61 ). Google provides training for key staff members in forensics and in handling evidence in preparation for an event, including the use of third-party and proprietary tools.

Google tests incident response plans for key areas. These tests consider various scenarios, including insider threats and software vulnerabilities. To help ensure the swift resolution of security incidents, the Google security team is available 24/7 to all employees.

Software development practices

Google uses source control protections and two-party reviews to proactively limit the introduction of vulnerabilities. Google also provides libraries that prevent developers from introducing certain classes of security bugs. For example, Google has libraries and frameworks designed to eliminate XSS vulnerabilities in SDKs. Google also has automated tools for detecting security bugs, such as fuzzers, static analysis tools, and web security scanners.

Source code protections

Google's source code is stored in repositories with built-in source integrity and governance, which makes it possible to audit both current and past versions of the service. The infrastructure requires that a service's binaries be built from specific source code after it is reviewed, checked in, and tested. Binary Authorization for Borg (BAB) is an internal enforcement check that occurs when a service is deployed. BAB does the following:

• Ensures that the production software and configuration deployed at Google is reviewed and authorized, particularly when that code can access user data
• Ensures code and configuration deployments meet certain minimum standards
• Limits the ability of an insider or adversary to make malicious modifications to source code and also provides a forensic trail from a service back to its source

Reducing Insider Risk

Google limits and actively monitors the activities of employees who have been granted administrative access to the infrastructure. Google continually works to eliminate the need for privileged access for particular tasks by using automation that can accomplish the same tasks in a safe and controlled way. For example, Google requires two-party approvals for some actions, and Google uses limited APIs that allow debugging without exposing sensitive information.

Google employee access to end-user information is logged through low-level infrastructure hooks. Google's security team monitors access patterns and investigates unusual events.

Disaster Recovery Testing - DiRT

Google Maps Platform runs annual, company-wide, multi-day Disaster Recovery Testing events (DiRT) to ensure that Google Maps Platform's services and internal business operations continue to run during a disaster. DiRT was developed to find vulnerabilities in critical systems by intentionally causing failures, and to fix those vulnerabilities before failures happen in an uncontrolled manner. DiRT tests Google's technical robustness by breaking live systems and tests Google's operational resilience by explicitly preventing critical personnel, area experts, and leaders from participating. All generally available services are required to have ongoing, active DiRT testing and validation of their resilience and availability.

To prepare for a DiRT exercise, Google employs a consistent set of rules around prioritization,

communication protocols, impact expectations, and test design requirements, including pre-reviewed and approved rollback plans. DiRT exercises and scenarios not only force technical failures in the service itself, but also can include designed failures in process, availability of key personnel, supporting systems, communications, and physical access. DiRT validates that the processes in place actually work in practice. It also ensures that teams are pre-trained and have experience they can draw upon during actual outages, disruptions, and disasters man-made or natural.

Key security controls

This section describes the main security controls that Google Maps Platform implements to protect its platform.

رمزگذاری

Encryption adds a layer of defense for protecting data. Encryption ensures that if an attacker gets access to data, the attacker cannot read the data without also having access to the encryption keys. Even if an attacker gets access to data (for example, by accessing the wire connection between data centers or by stealing a storage device), they won't be able to understand or decrypt it.

Encryption provides an important mechanism in how Google helps protect the privacy of data. It allows systems to manipulate data—for example, for backup—and engineers to support Google's infrastructure, without providing access to content for those systems or employees.

رمزگذاری در حالت استراحت

Encryption "at rest" in this section means encryption used to protect data that is stored on a disk (including solid-state drives) or backup media. Data is encrypted at the storage level, generally using AES256 (Advanced Encryption Standard). Data is often encrypted at multiple levels in Google's production storage stack in data centers, including at the hardware level, without requiring any action by Google customers. Using multiple layers of encryption

adds redundant data protection and allows Google to choose the optimal approach based on application requirements. Google uses common cryptographic libraries which incorporate Google's FIPS 140-2 validated module to implement encryption consistently across products. Consistent use of common libraries means that only a small team of cryptographers needs to implement and maintain this tightly controlled and reviewed code.

Protecting data in transit

Data can be vulnerable to unauthorized access as it travels across the internet. Google Maps Platform supports strong encryption in transit between customer devices and networks, and Google's Google Front End (GFE) servers. Google recommends that customers/developers use Google's strongest supported cipher suite (TLS 1.3) when creating applications as a best practice. Some customers have use cases that require older cipher suites for compatibility reasons, so Google Maps Platform supports these weaker standards, but does not recommend using them whenever possible. Google Cloud also offers you additional transport encryption options, including Cloud VPN for establishing virtual private networks using IPsec for Google Maps Platform products.

Protecting data in transit between Google data centers

Application Layer Transport Security (ALTS) ensures that the integrity of Google traffic is protected and encrypted as needed. After a handshake protocol between the client and the server is complete and the client and the server negotiate the necessary shared cryptographic secrets for encrypting and authenticating network traffic, ALTS secures RPC (Remote Procedure Call) traffic by forcing integrity, using the negotiated shared secrets. Google supports multiple protocols for integrity guarantees, such as AES-GMAC (Advanced Encryption Standard), with 128-bit keys. Whenever traffic leaves a physical boundary controlled by or on behalf of Google, for example in transit over WAN (Wide Area Network) between data centers, all protocols are upgraded automatically to provide encryption and integrity guarantees.

Google Maps Platform Service Availability

Some Google Maps Platform services might not be available across all geographies. Some service disruptions are temporary (due to an unanticipated event, such as a network outage), but other service limitations are permanent due to government-imposed restrictions. Google's comprehensive Transparency Report and status dashboard show recent and ongoing disruptions of traffic to Google Maps Platform services. Google provides this data to help you analyze and understand Google's uptime information.

Client-side security

Security is a shared responsibility between a Cloud Service Provider and the customer/partner implementing Google Maps Platform products. This section details the customer/partner responsibilities that should be considered when architecting a Google Maps Platform solution.

JavaScript APIs

Secure Sites

Maps JavaScript API publishes a set of recommendations that allow a customer to fine tune their site Content Security Policy (CSP) to avoid vulnerabilities like cross-site scripting, clickjacking, and data injection attacks. The JavaScript API supports two forms of CSP: strict CSP using nonces and allowlist CSP.

Secure JavaScript

The JavaScript is regularly scanned for known security anti-patterns, and problems are quickly remediated. The JavaScript API is released on a weekly cadence or on demand, should any problems arise.

Mobile Application Security (MAS)

Mobile Application Security (MAS) is an open, agile, crowd-sourced effort, made of the contributions of dozens of authors and reviewers from all over the world. پروژه شاخص امنیت برنامه های کاربردی موبایل OWASP (MAS) یک استاندارد امنیتی برای برنامه های تلفن همراه (OWASP MASVS) و یک راهنمای آزمایش جامع (OWASP MASTG) ارائه می دهد که فرآیندها، تکنیک ها و ابزارهای مورد استفاده در طول تست امنیتی برنامه تلفن همراه و همچنین را پوشش می دهد. مجموعه ای جامع از موارد تست که آزمایش کنندگان را قادر می سازد نتایج ثابت و کاملی را ارائه دهند.

• OWASP Mobile Application Security Verification Standard (MASVS) provides a baseline for complete and consistent security tests for both iOS and Android.
• OWASP Mobile Application Security Testing Guide (MASTG) is a comprehensive manual covering the processes, techniques, and tools used during mobile application security analysis, as well as an exhaustive set of test cases for verifying the requirements listed in the MASVS.
• The OWASP Mobile Application Security Checklist contains links to the MASTG test cases for each MASVS control.
  • Security Assessments / Pentests: Ensure you're at least covering the standard attack surface and start exploring.
  • Standard Compliance: Includes MASVS and MASTG versions and commit IDs.
  • Learn and practice your mobile security skills.
  • Bug Bounties: Go step by step covering the mobile attack surface.

Consider leveraging the OWASP MAS to enhance your iOS and Android application security, testing, and authentication capabilities.

اندروید

When developing Android applications, another resource to consider are the Android community application best practices. The Security guidelines contain best-practices guidance on enforcing secure communications, defining the correct permissions, safe data storage, service dependencies and more.

iOS

When developing iOS applications, consider Apple's Introduction to Secure Coding Guide , which contains best practices for the iOS Platform.

Data collection, usage, and retention

Google Maps Platform is committed to transparency regarding data collection, data usage, and data retention. Google Maps Platform's data collection, usage, and retention are subject to the Google Maps Platform Terms of Service , which includes the Google Privacy Policy .

Data collection

Data is collected through use of Google Maps Platform Products. As a customer, you are in control of what information you transmit to Google Maps Platform through APIs and SDKs. All Google Maps Platform requests are logged, which include response status codes from the product.

Google Maps Platform logged data

Google Maps Platform logs data across the product suite. Logs contain multiple entries which typically include:

• Account identifier which can be an API key, Client ID, or Cloud project number. This is required for operations, support, and billing.
• IP address of the requesting server, service, or device. For APIs, note that the IP address sent to Google Maps Platform will be dependent on how the API invocation is implemented in your application/solution. For SDKs, the IP address of the invoking device is logged.
• Request URL , which contains the API and parameters being passed to the API. For example, the Geocoding API requires two parameters (address and API key). Geocoding also has a number of optional parameters. The request URL would contain all parameters passed to the service.
• Date and time of the request.
• Web applications have request headers logged which typically include data such as type of web browser and operating system.
• Mobile Applications using an SDK have the Google Play version, library, and application name logged.

Google Maps Platform log access

Access to logs is highly restricted and authorized only to specific team members who have a legitimate business need. Each access request to the log files is documented for auditing purposes, which is verified through Google's ISO 27001 and SOC 2 third-party audits.

استفاده از داده ها

Data collected by Google Maps Platform is used for the following purposes:

• Improving Google products and services
• Providing customer technical support
• Operational monitoring and alerting
• Maintaining platform security
• Platform capacity planning

Please note that Google Maps Platform never sells user operation data to third parties as documented in Google's Privacy Policy .

Data retention and anonymization

Data collected in Google Maps Platform logs may be retained for various lengths of time based on business needs, subject to Google's data anonymization and redaction policies. IP addresses are automatically anonymized as soon as practicable (part of the IP address is deleted). Anonymized, aggregate usage statistics derived from logs may be retained indefinitely.

Security, industry, high availability, and environmental certifications & audits

ISO 27001

The International Organization for Standardization (ISO) is an independent, non-governmental international organization with an international membership of 163 national standards bodies. The ISO/IEC 27000 family of standards helps organizations keep their information assets secure.

ISO/IEC 27001 outlines and provides the requirements for an information security management system (ISMS), specifies a set of best practices, and details the security controls that can help manage information risks.

Google Maps Platform and Google's Common Infrastructure are certified as ISO/IEC 27001 compliant. The 27001 standard does not mandate specific information security controls, but the framework and checklist of controls it lays out allow Google to ensure a comprehensive and continually improving model for security management.

You can download and review the Google Maps Platform ISO 27001 certification from the Google Compliance Reports Manager .

SOC 2 نوع II

The SOC 2 is a report based on the Auditing Standards Board of the American Institute of Certified Public Accountants' (AICPA) existing Trust Services Criteria (TSC). The purpose of this report is to evaluate an organization's information systems relevant to security, availability, processing integrity, confidentiality, and privacy. SOC 2 Type II reports are issued semi-annually around June and December.

You can download and review the Google Maps Platform SOC 2 Type II Audit Report from the Google Compliance Reports Manager .

Cloud Security Alliance (CSA)

The Cloud Security Alliance ( 1 , 2 ) is a nonprofit organization whose mission is to "promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing. "

The CSA's Security, Trust, and Assurance Registry Program (CSA STAR) is designed to help you assess and select a cloud service provider through a three-step program of self-assessment, third-party audit, and continuous monitoring.

Google Maps Platform has achieved the third-party assessment-based certification (CSA STAR Level 1: Attestation)

Google is also a CSA sponsor and a member of CSA's International Standardization Council (ISC) , and a founding member of the CSA GDPR Center of Excellence.

ISO 22301:2019

The International Organization for Standardization (ISO) is an independent, non-governmental international organization with an international membership of 163 national standards bodies.

ISO 22301:2019 is an international standard for business continuity management that is designed to help organizations implement, maintain and improve a management system to prevent, prepare for, respond to, and recover from disruptions when they arise.

The data centers which support Google Maps Platform products are certified as ISO 22301:2019 and BS EN ISO 22301:2019 compliant after undergoing an audit by an independent third-party auditor. Compliance with these standards for Google's data centers demonstrates that locations hosting Google products and services meet the requirements as defined by ISO 22301:2019 and BS EN ISO 22301:2019.

ISO 50001

The International Organization for Standardization (ISO) is an independent, non-governmental international organization with an international membership of 163 national standards bodies.

ISO 50001:2018 is an international standard for energy management that is designed to help organizations implement, maintain, and improve a management system to integrate energy management into their overall efforts to improve quality and environmental management.

The Google EMEA data centers used by Google Maps Platform are certified as ISO 50001:2018 compliant after undergoing an audit by an independent third party auditor. ISO 50001:2018 compliance for Google's data centers demonstrates that in-scope locations hosting Google products and services meet the requirements as defined by ISO 50001:2018.

Supported legal frameworks

Following are global contractual commitments.

European contractual commitments

This section describes European contractual commitments.

EU General Data Protection Regulation (GDPR)

The General Data Protection Regulation ( GDPR ) is privacy legislation that replaced the 95/46/EC Directive on Data Protection of 24 October 1995 on May 25, 2018. GDPR lays out specific requirements for businesses and organizations that are established in Europe or who serve users in Europe. Google Maps Platform champions initiatives that prioritize and improve the security and privacy of customer personal data, and want you, as a Google Maps Platform customer, to feel confident using Google's services in light of GDPR requirements. If you partner with Google Maps Platform, it will support your GDPR compliance efforts by:

1. Committing in Google's contracts to comply with the GDPR in relation to Google's processing of personal data in all Google Maps Platform services
2. Giving you the documentation and resources to assist you in your privacy assessment of Google's services
3. Continuing to evolve Google's capabilities as the regulatory landscape changes

EU, EEA, Swiss, and UK adequacy decisions

As documented in the Google privacy policy , the European Commission has determined that certain countries outside of the European Economic Area (EEA) adequately protect personal information, which means that data can be transferred from the European Union (EU) and Norway, Liechtenstein, and Iceland to those countries. بریتانیا و سوئیس مکانیسم های کفایت مشابهی را اتخاذ کرده اند.

EU Standard Contractual Clauses

The European Commission has published new EU SCCs to help safeguard European data together with the SCCs. Google has incorporated the SCCs into its Google Maps Platform contracts to protect data and meet the requirements of European privacy legislation. Like the previous SCCs, these clauses can be used to facilitate lawful transfers of data.

UK Data Protection Act

قانون حفاظت از داده ها 2018 اجرای مقررات عمومی حفاظت از داده ها (GDPR) در بریتانیا است. "UK GDPR" means the EU GDPR as amended and incorporated into UK law under the UK European Union (Withdrawal) Act 2018, and applicable secondary legislation made under that Act.

Swiss Federal Act on Data Protection (FDPA)

The Swiss Data Protection Act , known formally as the Federal Act on Data Protection (FADP), is a data protection regulation that aims to protect persons' privacy and fundamental rights when their data is processed.

Non-European contractual commitments

This section describes non-European contractual commitments.

Lei Geral de Proteção de Dados (LGPD)

Brazil's Lei Geral de Proteção de Dados (LGPD) is a data privacy law that governs the processing of personal data by businesses and organizations who are established in Brazil, or who serve users in Brazil, among other cases. The LGPD is now effective, and offers the following protections:

• Regulates how businesses and organizations can collect, use, and handle personal data
• Supplements or replaces existing federal sectoral privacy laws to increase accountability
• Authorizes fines on businesses and organizations that fail to meet its requirements
• Allows for the creation of a Data Protection Authority
• Imposes rules on the transfer of personal data collected within Brazil

Google offers products and solutions that you can use as part of a LGPD compliance strategy:

• Security and privacy features that help you to comply with LGPD and better protect and govern personal data
• Services and infrastructure built to ensure the security of data processing and employing appropriate privacy practices
• Continuous evolution of Google's products and capabilities as the regulatory landscape changes

Google Maps Platform customers need to evaluate their processing of personal data and determine if the LGPD's requirements are applicable to them. Google recommends that you consult with a legal expert to obtain guidance on LGPD specific requirements applicable to your organization, as this site does not constitute legal advice.

US State contractual commitments

Connecticut's Act Concerning Data Privacy and Online Monitoring

The Connecticut's Act Concerning Data Privacy and Online Monitoring , Pub. Act No. 22015 went into effect on January 1, 2023. Refer to the Google Controller-Controller Data Protection Terms for more information.

قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا (CCPA)

The California Consumer Privacy Act (CCPA) ( 1 , 2 ) is a data privacy law that provides California consumers with a number of privacy protections, including right to access, delete, and opt-out of the "sale" of their personal information. Starting January 1, 2020, businesses that collect California residents' personal information and meet certain thresholds (for example, revenue, volume of data processing) will need to comply with these obligations. The California Privacy Rights Act (CPRA) is a data privacy law that amends and expands upon the CCPA. The law takes effect on January 1, 2023. Google is very committed to helping its customers meet their obligations under these data regulations by offering convenient tools and building robust privacy and security protections into Google's services and contracts. You can find more information about your responsibilities as a business under the CCPA on the California Office of the Attorney General's website . Refer to the Google Controller-Controller Data Protection Terms for more information.

قانون حفظ حریم خصوصی کلرادو (CPA)

The Colorado Privacy Act , Colo. Rev. Stat. § 6-1-1301 et seq. went into effect on January 1, 2023. The act creates personal data privacy rights and applies to legal entities that conduct business or produce commercial products or services that are intentionally targeted to Colorado residents and that either:

• Control or process personal data of at least 100,000 consumers per calendar year
• Derive revenue from the sale of personal data and control or process the personal data of at least 25,000 consumers

Refer to the Google Controller-Controller Data Protection Terms for more information.

Utah Consumer Privacy Act (UCPA)

The Utah Consumer Privacy Act , Utah Code Ann. § 13-61-101 et seq. went into effect on January 1, 2023. The UCPA applies to the sale of personal data and targeted advertising, and defines what does and does not include a sale: "the exchange of personal data for monetary consideration by a controller to a third party. "

Refer to the Google Controller-Controller Data Protection Terms for more information.

Virginia Consumer Data Protection Act (VCDPA)

The Virginia Consumer Data Protection Act ("VCDPA") went into effect on January 1, 2023. This law provides Virginia residents certain rights for personal data collected by businesses under conditions outlined in the law.

Please refer to the Google Controller-Controller Data Protection Terms for more information.

خلاصه

Security is a primary design criteria for all of Google's infrastructure, products, and operations. Google's scale of operations and its collaboration with the security research community enable us to address vulnerabilities quickly, and often to prevent them entirely. Google runs its own services, such as Search, YouTube, and Gmail, on the same infrastructure that it makes available to its customers, who benefit directly from Google's security controls and practices.

Google believes that it can offer a level of protection that few public cloud providers or private enterprise IT teams can match. Because protecting data is core to Google's business, we can make extensive investments in security, resources, and expertise at a scale that others cannot. Google's investment frees you to focus on your business and innovation. We will continue to invest in our platform to let you benefit from Google services in a secure and transparent manner.

،

This content was last updated in February 2024, and represents the status quo as of the time it was written. Google's security policies and systems may change going forward, as we continually improve protection for our customers.

Download pdf version

مقدمه

Google Maps Platform provides APIs and SDKs for customers and partners to develop web and mobile applications using Google's geospatial technology. Google Maps Platform offers over 50+ APIs and SDK for customers across multiple industries. As a customer in industry, you must often meet security, data usage, and regulatory requirements when building your solutions. This includes ensuring your third-party technology meets those same requirements.

This document provides a high-level summary of the people, process, and technology controls offered by Google Maps Platform, along with describing the benefits of using the platform. First, it's important to understand the two primary technology pillars beneath Google Maps Platform:

• Google-provided technologies, data centers, and infrastructure . Google Maps Platform operates entirely on Google-provided data centers and infrastructure. From this basis it applies internal and 3rd-party audits to the security controls it inherits from Google to validate that Google Maps Platform correctly implements the security, operational, and technical controls described in this paper.
• Google Maps Platform technology . In addition to the inherited controls, Google Maps Platform provides additional security, privacy, data, and operational controls for Google's product suites.

This document summarizes Google Maps Platform's security processes and controls, grouped as follows:

• Focus on security and privacy at all levels of Google's organization
• Technical infrastructure and hardware security
• Operational security
• Key security controls
• Client-side security, both web and mobile
• Current certifications and audits in Google Maps Platform
• Supported legal frameworks, globally

Potential customers can reach out to their Google sales representative for additional information.

Google's security and privacy-focused organization

Security drives the organizational structure, culture, training priorities, and hiring processes across Google. It shapes the design of Google data centers and the technology they provide. Security underpins Google's everyday operations, including disaster planning and threat management. Google prioritizes security in how it handles data, account controls, compliance audits, and industry certifications. Google designs its services to deliver better security than many on-premise alternatives that rely on multiple vendors and multiple platforms where security is often an unconnected process. You benefit from Google's integrated security programs and controls when you leverage Google Maps Platform products for your business. Google Maps Platform makes security a priority in its operations—operations that serve over a billion users across the world.

Together, Google and Google Maps Platform provide multiple layers of security throughout the company and organization:

• Google dedicated security team
• Google Maps Platform product security team
• Active involvement with the global security research community
• Google Maps Platform privacy team
• Google employee security and privacy training
• Internal audit and compliance specialists

Dedicated security teams at Google

Google provides dedicated security teams across the company and within product areas.

The Google-wide security teams support multiple product areas at Google, including Google Maps Platform. The security team includes some of the world's foremost experts in information security, application security, cryptography, and network security. Their activities include the following:

• Develops, reviews, and implements security processes . This includes reviewing security plans for Google networks and providing project-specific consulting to product and engineering teams across Google. For example, cryptography specialists review product launches that implement cryptography as part of the offering.
• Actively manages security threats . Using both commercial and custom tools, the team monitors ongoing threats and suspicious activity on Google networks.
• Performs routine audits and evaluations , which can involve engaging outside experts to conduct security assessments.
• Publishes security articles to the wider community . Google maintains a security blog and a YouTube Series highlighting several of the specific Security Teams and their accomplishments.

The Google Maps Platform security team collaborates with the Google-wide security team, working more closely with product development and SRE to oversee security implementation. Specifically, this team manages the following:

• Google Maps Platform's Disaster Resilience Testing (DiRT) , which tests the business continuity and failover of Google Maps Platform products, runs on Google's highly available infrastructure.
• Third party penetration testing . Google Maps Platform products are penetration tested on at least an annual basis to enhance Google's security posture and provide you with independent security assurance.

Collaboration with the security research community

Google has long enjoyed a close relationship with the security research community, and Google greatly values their help with identifying potential vulnerabilities in Google Maps Platform and other Google products.

• Online community collaboration via Project Zero . Project Zero is a team of security researchers dedicated to researching zero-day vulnerabilities. Some examples of this research are the discovery of the Spectre exploit, the Meltdown exploit, the POODLE SSL 3.0 exploit , and cipher suite weaknesses .
• Academic research - Google's security engineers and researchers actively participate and publish in the academic security community and the privacy research community. Security related publications can be found on Google's Google Research site . Google's security teams have published an in-depth account of their practices and experience in the Building Secure and Reliable Systems book.
• Vulnerability Rewards Program - Google Maps Platform participates in the Vulnerability Reward Program which offers rewards in the tens of thousands of dollars for each confirmed vulnerability. The program encourages researchers to report design and implementation issues that might put customer data at risk. In 2022, Google awarded researchers over $11.9 million in prize money. For more information about this program, including the rewards Google gave, see Bug Hunters Key Stats . Additional information on reporting security issues, see How Google handles security vulnerabilities .
• Open source security research - Google's engineers also organize and participate in open source projects and academic conferences. To improve open-source code, the Vulnerability Reward Program also provides subsidies to open-source projects .
• Cryptography - Google's world-class cryptographers worked to protect TLS connections against quantum computer attacks and developed the combined elliptic-curve and post-quantum (CECPQ2) algorithm . Google cryptographers developed Tink , which is an open source library of cryptographic APIs. Google also uses Tink in its internal products and services.

Google Maps Platform's dedicated privacy team

The dedicated privacy team operates separately from product development and security organizations. It supports internal privacy initiatives to improve all parts of privacy: critical processes, internal tools, infrastructure, and product development. The privacy team performs the following:

• Ensures that product launches incorporate strong privacy standards around data collection. It participates in every Google product launch through both design documentation and code reviews.
• After product launch, the privacy team oversees automated processes that continually verify appropriate data collection and use.
• Conducts research on privacy best practices.

Google employee security and privacy training

Security and privacy are an ever-changing area, and Google recognizes that dedicated employee engagement is a key means of raising awareness. All Google employees undergo security and privacy training as part of the orientation process, and they receive ongoing, mandatory security and privacy training throughout their Google careers.

• During orientation : New employees agree to Google's Code of Conduct , which highlights Google's commitment to keeping customer information safe and secure.
• Specialized training by job role . Certain job roles require training on specific aspects of security. For instance, the information security team instructs new engineers on secure coding practices, product design, and automated vulnerability testing tools. Engineers attend regular security briefings and receive security newsletters that cover new threats, attack patterns, mitigation techniques, and more.
• Ongoing events . Google hosts regular internal conferences open to all employees to raise awareness and drive innovation in security and data privacy. Google hosts events across global offices to raise awareness of security and privacy in software development, data handling, and policy enforcement.

Internal audit and compliance specialists

Google Maps Platform has a dedicated internal audit team that reviews Google products' compliance with security laws and regulations around the world. As new auditing standards are created and existing standards are updated, the internal audit team determines what controls, processes, and systems are needed to help meet those standards. This team supports independent audits and assessments by third parties. For more information, see Security Certifications & Audits section later in this document.

Platform built with security at its core

Google designs its servers, proprietary operating systems, and geographically distributed data centers using the principle of defense in depth. Google Maps Platform runs on a technical infrastructure designed and built to operate securely. We've created an IT infrastructure that is more secure and easier to manage than more traditional on-premises or hosted solutions.

State-of-the-art data centers

Google's focus on security and protection of data is among Google's primary design criteria . The physical security in Google data centers is a layered security model. Physical security includes safeguards like custom-designed electronic access cards, alarms, vehicle access barriers, perimeter fencing, metal detectors, and biometrics. In addition, to detect and track intruders, Google uses security measures such as laser beam intrusion detection and 24/7 monitoring by high-resolution interior and exterior cameras. Access logs, activity records, and camera footage are available in case an incident occurs. Experienced security guards, who have undergone rigorous background checks and training, routinely patrol Google's data centers. As you get closer to the data center floor, security measures also increase. Access to the data center floor is only possible through a security corridor that implements multi-factor access control using security badges and biometrics. Only approved employees with specific roles may enter. Less than one percent of Google employees will ever set foot in one of Google's data centers.

Google operates data centers globally and to maximize the speed and reliability of its services. Its infrastructure is generally set up to serve traffic from the data center that is the closest to where the traffic originates. Therefore the precise location of Google Maps Platform data may vary depending on where such traffic originates, and this data may be handled by servers located in the EEA and UK or transferred to third countries. Google customers' offerings where Google Maps Platform products are implemented are generally available globally and often attract a global audience. The technical infrastructure that supports these products is deployed globally to reduce latency and ensure redundancy of systems. Google Maps Platform uses a subset of Google Global Data Center Network listed below for reference:

آمریکای شمالی و جنوبی

• ایالات متحده آمریکا
• شیلی

اروپا

• بلژیک
• فنلاند
• هلند

آسیا

• تایوان
• سنگاپور

Powering Google data centers

To keep things running 24/7 and provide uninterrupted services, Google data centers have redundant power systems and environmental controls. Every critical component has a primary and alternate power source, each with equal power. Backup generators can provide enough emergency electrical power to run each data center at full capacity. Cooling systems maintain a constant operating temperature for servers and other hardware, which reduces the risk of service outages while minimizing environmental impact . Fire detection and suppression equipment helps prevent hardware damage. Heat detectors, fire detectors, and smoke detectors trigger audible and visible alarms at security operations consoles and at remote monitoring desks.

Google is the first major internet services company to get external certification of its high environmental, workplace safety, and energy management standards throughout Google data centers. For example, to demonstrate Google's commitment to energy management practices, Google obtained voluntary ISO 50001 certifications for its data centers in Europe.

Custom server hardware and software

Google data centers have purpose-built servers and network equipment, some of which Google designs. While Google's servers are customized to maximize performance, cooling, and power efficiency, they are also designed to help protect against physical intrusion attacks. Unlike most commercially available hardware, Google's servers don't include unnecessary components such as video cards, chipsets, or peripheral connectors, all of which can introduce vulnerabilities. Google vets component vendors and chooses components with care, working with vendors to audit and validate the security properties that are provided by the components. Google designs custom chips, such as Titan , that help us securely identify and authenticate legitimate Google devices at the hardware level, including the code that these devices use to boot up.

Server resources are dynamically allocated. This gives us flexibility for growth and lets us adapt quickly and efficiently to customer demand by adding or reallocating resources. This homogeneous environment is maintained by proprietary software that continually monitors systems for binary-level modifications. Google's automated, self-healing mechanisms are designed to enable us to monitor and remediate destabilizing events, receive notifications about incidents, and slow down potential compromises on the network.

Secure service deployment

Google services are the application binaries that Google developers write and run on Google's infrastructure. To handle the required scale of the workload, thousands of machines might be running binaries of the same service. A cluster orchestration service, called Borg , controls the services that are running directly on the infrastructure.

The infrastructure does not assume any trust between the services that are running on the infrastructure. This trust model is referred to as a zero-trust security model. A zero-trust security model means that no devices or users are trusted by default, whether they are inside or outside of the network.

Because the infrastructure is designed to be multi-tenant, data from Google's customers (consumers, businesses, and even Google's own data) is distributed across shared infrastructure. This infrastructure is composed of tens of thousands of homogeneous machines. The infrastructure does not segregate customer data onto a single machine or set of machines

Hardware tracking and disposal

Google meticulously tracks the location and status of all equipment within its data centers using barcodes and asset tags. Google deploys metal detectors and video surveillance to help make sure that no equipment leaves the data center floor without authorization. If a component fails to pass a performance test at any point during its lifecycle, it's removed from inventory and retired.

Google storage devices, including hard drives, solid-state drives, and non-volatile dual in-line memory modules (DIMM), use technologies like full disk encryption (FDE) and drive locking to protect data at rest. When a storage device is retired, authorized individuals verify that the disk is erased by writing zeros to the drive. They also perform a multiple-step verification process to ensure the drive contains no data. If a drive cannot be erased for any reason, it's physically destroyed. Physical destruction is done by using a shredder that breaks the drive into small pieces, which are then recycled at a secure facility. Each data center adheres to a strict disposal policy and any variances are immediately addressed.

Security benefits of Google's global network

In other geospatial cloud and on-premises solutions, data travels between devices across the public internet in paths known as hops . The number of hops depends on the optimal route between the customer's ISP and the data center. Each additional hop introduces a new opportunity for data to be attacked or intercepted. Because Google's global network is linked to most ISPs in the world, Google's network limits hops across the public internet, and therefore helps limit access to that data by bad actors.

Google's network uses multiple layers of defense—defense in depth—to help protect the network against external attacks. Only authorized services and protocols that meet Google's security requirements are allowed to traverse it; anything else is automatically dropped. To enforce network segregation, Google uses firewalls and access control lists. All traffic is routed through Google Front End (GFE) servers to help detect and stop malicious requests and distributed denial-of-service (DDoS) attacks. Logs are routinely examined to reveal any exploitation of programming errors. Access to networked devices is restricted to only authorized employees.

Google's global infrastructure allows us to run Project Shield , which provides free, unlimited protection to websites that are vulnerable to DDoS attacks that are used to censor information. Project Shield is available for news websites, human rights websites, and election-monitoring websites.

Low latency and highly available solutions

Google's IP data network consists of its own fiber, of publicly available fiber, and of undersea cables. This network allows us to deliver highly available and low-latency services across the globe.

Google designs the components of its platform to be highly redundant. This redundancy applies to Google's server design, to how Google stores data, to network and internet connectivity, and to the software services themselves. This "redundancy of everything" includes exception handling and creates a solution that is not dependent on a single server, data center, or network connection.

Google data centers are geographically distributed to minimize the effects of regional disruptions on global products, such as when natural disasters or local outages occur. If hardware, software, or a network fails, platform services and control planes are automatically and swiftly shifted from one facility to another so that platform services can continue without interruption.

Google's highly redundant infrastructure also helps you protect your business from data loss. Google's systems are designed to minimize downtime or maintenance windows for when we need to service or upgrade our platform.

Operational security

Security is integral to Google's operations, not an afterthought. This section describes Google's vulnerability management programs, malware prevention program, security monitoring, and incident management programs.

مدیریت آسیب پذیری

Google's internal vulnerability management process actively scans for security threats across all technology stacks. This process uses a combination of commercial, open source, and purpose-built in-house tools, and includes the following:

• Quality assurance processes
• Software security reviews
• Intensive automated and manual penetration efforts, including extensive Red Team exercises
• Recurring external penetration testing for Google Maps Platform products
• Recurring external audits

The vulnerability management organization and its partners are responsible for tracking and following up on vulnerabilities. Because security improves only after issues are fully addressed, automation pipelines continuously reassess the state of a vulnerability, verify patches, and flag incorrect or partial resolution.

Security monitoring

Google's security monitoring program is focused on information that's gathered from internal network traffic, from employee actions on systems, and from outside knowledge of vulnerabilities. A core Google principle is to aggregate and store all security telemetry data in one location for unified security analysis.

At many points across Google's global network, internal traffic is inspected for suspicious behavior, such as the presence of traffic that might indicate botnet connections. Google uses a combination of open source and commercial tools to capture and parse traffic so that Google can perform this analysis. A proprietary correlation system built on top of Google's technology also supports this analysis. Google supplements network analysis by examining system logs to identify unusual behavior, such as attempts to access customer data.

The Threat Analysis Group at Google monitors threat actors and the evolution of their tactics and techniques. Google security engineers review inbound security reports and monitor public mailing lists, blog posts, and wikis. Automated network analysis and automated analysis of system logs helps determine when an unknown threat might exist. If the automated processes detect an issue, it's escalated to Google's security staff.

تشخیص نفوذ

Google uses sophisticated data processing pipelines to integrate host-based signals on individual devices, network-based signals from various monitoring points in the infrastructure, and signals from infrastructure services. Rules and machine intelligence built on top of these pipelines give operational security engineers warnings of possible incidents. Google's investigation and incident-response teams triage, investigate, and respond to these potential incidents 24 hours a day, 365 days a year. Google conducts Red Team exercises in addition to external penetration testing to measure and improve the effectiveness of Google's detection and response mechanisms.

مدیریت حوادث

Google has a rigorous incident management process for security events that might affect the confidentiality, integrity, or availability of systems or data. Google's security incident management program is structured around the NIST guidance on handling incidents ( NIST SP 800–61 ). Google provides training for key staff members in forensics and in handling evidence in preparation for an event, including the use of third-party and proprietary tools.

Google tests incident response plans for key areas. These tests consider various scenarios, including insider threats and software vulnerabilities. To help ensure the swift resolution of security incidents, the Google security team is available 24/7 to all employees.

Software development practices

Google uses source control protections and two-party reviews to proactively limit the introduction of vulnerabilities. Google also provides libraries that prevent developers from introducing certain classes of security bugs. For example, Google has libraries and frameworks designed to eliminate XSS vulnerabilities in SDKs. Google also has automated tools for detecting security bugs, such as fuzzers, static analysis tools, and web security scanners.

Source code protections

Google's source code is stored in repositories with built-in source integrity and governance, which makes it possible to audit both current and past versions of the service. The infrastructure requires that a service's binaries be built from specific source code after it is reviewed, checked in, and tested. Binary Authorization for Borg (BAB) is an internal enforcement check that occurs when a service is deployed. BAB does the following:

• Ensures that the production software and configuration deployed at Google is reviewed and authorized, particularly when that code can access user data
• Ensures code and configuration deployments meet certain minimum standards
• Limits the ability of an insider or adversary to make malicious modifications to source code and also provides a forensic trail from a service back to its source

Reducing Insider Risk

Google limits and actively monitors the activities of employees who have been granted administrative access to the infrastructure. Google continually works to eliminate the need for privileged access for particular tasks by using automation that can accomplish the same tasks in a safe and controlled way. For example, Google requires two-party approvals for some actions, and Google uses limited APIs that allow debugging without exposing sensitive information.

Google employee access to end-user information is logged through low-level infrastructure hooks. Google's security team monitors access patterns and investigates unusual events.

Disaster Recovery Testing - DiRT

Google Maps Platform runs annual, company-wide, multi-day Disaster Recovery Testing events (DiRT) to ensure that Google Maps Platform's services and internal business operations continue to run during a disaster. DiRT was developed to find vulnerabilities in critical systems by intentionally causing failures, and to fix those vulnerabilities before failures happen in an uncontrolled manner. DiRT tests Google's technical robustness by breaking live systems and tests Google's operational resilience by explicitly preventing critical personnel, area experts, and leaders from participating. All generally available services are required to have ongoing, active DiRT testing and validation of their resilience and availability.

To prepare for a DiRT exercise, Google employs a consistent set of rules around prioritization,

communication protocols, impact expectations, and test design requirements, including pre-reviewed and approved rollback plans. DiRT exercises and scenarios not only force technical failures in the service itself, but also can include designed failures in process, availability of key personnel, supporting systems, communications, and physical access. DiRT validates that the processes in place actually work in practice. It also ensures that teams are pre-trained and have experience they can draw upon during actual outages, disruptions, and disasters man-made or natural.

Key security controls

This section describes the main security controls that Google Maps Platform implements to protect its platform.

رمزگذاری

Encryption adds a layer of defense for protecting data. Encryption ensures that if an attacker gets access to data, the attacker cannot read the data without also having access to the encryption keys. Even if an attacker gets access to data (for example, by accessing the wire connection between data centers or by stealing a storage device), they won't be able to understand or decrypt it.

Encryption provides an important mechanism in how Google helps protect the privacy of data. It allows systems to manipulate data—for example, for backup—and engineers to support Google's infrastructure, without providing access to content for those systems or employees.

رمزگذاری در حالت استراحت

Encryption "at rest" in this section means encryption used to protect data that is stored on a disk (including solid-state drives) or backup media. Data is encrypted at the storage level, generally using AES256 (Advanced Encryption Standard). Data is often encrypted at multiple levels in Google's production storage stack in data centers, including at the hardware level, without requiring any action by Google customers. Using multiple layers of encryption

adds redundant data protection and allows Google to choose the optimal approach based on application requirements. Google uses common cryptographic libraries which incorporate Google's FIPS 140-2 validated module to implement encryption consistently across products. Consistent use of common libraries means that only a small team of cryptographers needs to implement and maintain this tightly controlled and reviewed code.

Protecting data in transit

Data can be vulnerable to unauthorized access as it travels across the internet. Google Maps Platform supports strong encryption in transit between customer devices and networks, and Google's Google Front End (GFE) servers. Google recommends that customers/developers use Google's strongest supported cipher suite (TLS 1.3) when creating applications as a best practice. Some customers have use cases that require older cipher suites for compatibility reasons, so Google Maps Platform supports these weaker standards, but does not recommend using them whenever possible. Google Cloud also offers you additional transport encryption options, including Cloud VPN for establishing virtual private networks using IPsec for Google Maps Platform products.

Protecting data in transit between Google data centers

Application Layer Transport Security (ALTS) ensures that the integrity of Google traffic is protected and encrypted as needed. After a handshake protocol between the client and the server is complete and the client and the server negotiate the necessary shared cryptographic secrets for encrypting and authenticating network traffic, ALTS secures RPC (Remote Procedure Call) traffic by forcing integrity, using the negotiated shared secrets. Google supports multiple protocols for integrity guarantees, such as AES-GMAC (Advanced Encryption Standard), with 128-bit keys. Whenever traffic leaves a physical boundary controlled by or on behalf of Google, for example in transit over WAN (Wide Area Network) between data centers, all protocols are upgraded automatically to provide encryption and integrity guarantees.

Google Maps Platform Service Availability

Some Google Maps Platform services might not be available across all geographies. Some service disruptions are temporary (due to an unanticipated event, such as a network outage), but other service limitations are permanent due to government-imposed restrictions. Google's comprehensive Transparency Report and status dashboard show recent and ongoing disruptions of traffic to Google Maps Platform services. Google provides this data to help you analyze and understand Google's uptime information.

Client-side security

Security is a shared responsibility between a Cloud Service Provider and the customer/partner implementing Google Maps Platform products. This section details the customer/partner responsibilities that should be considered when architecting a Google Maps Platform solution.

JavaScript APIs

Secure Sites

Maps JavaScript API publishes a set of recommendations that allow a customer to fine tune their site Content Security Policy (CSP) to avoid vulnerabilities like cross-site scripting, clickjacking, and data injection attacks. The JavaScript API supports two forms of CSP: strict CSP using nonces and allowlist CSP.

Secure JavaScript

The JavaScript is regularly scanned for known security anti-patterns, and problems are quickly remediated. The JavaScript API is released on a weekly cadence or on demand, should any problems arise.

Mobile Application Security (MAS)

Mobile Application Security (MAS) is an open, agile, crowd-sourced effort, made of the contributions of dozens of authors and reviewers from all over the world. پروژه شاخص امنیت برنامه های کاربردی موبایل OWASP (MAS) یک استاندارد امنیتی برای برنامه های تلفن همراه (OWASP MASVS) و یک راهنمای آزمایش جامع (OWASP MASTG) ارائه می دهد که فرآیندها، تکنیک ها و ابزارهای مورد استفاده در طول تست امنیتی برنامه تلفن همراه و همچنین را پوشش می دهد. مجموعه ای جامع از موارد تست که آزمایش کنندگان را قادر می سازد نتایج ثابت و کاملی را ارائه دهند.

• OWASP Mobile Application Security Verification Standard (MASVS) provides a baseline for complete and consistent security tests for both iOS and Android.
• OWASP Mobile Application Security Testing Guide (MASTG) is a comprehensive manual covering the processes, techniques, and tools used during mobile application security analysis, as well as an exhaustive set of test cases for verifying the requirements listed in the MASVS.
• The OWASP Mobile Application Security Checklist contains links to the MASTG test cases for each MASVS control.
  • Security Assessments / Pentests: Ensure you're at least covering the standard attack surface and start exploring.
  • Standard Compliance: Includes MASVS and MASTG versions and commit IDs.
  • Learn and practice your mobile security skills.
  • Bug Bounties: Go step by step covering the mobile attack surface.

Consider leveraging the OWASP MAS to enhance your iOS and Android application security, testing, and authentication capabilities.

اندروید

When developing Android applications, another resource to consider are the Android community application best practices. The Security guidelines contain best-practices guidance on enforcing secure communications, defining the correct permissions, safe data storage, service dependencies and more.

iOS

When developing iOS applications, consider Apple's Introduction to Secure Coding Guide , which contains best practices for the iOS Platform.

Data collection, usage, and retention

Google Maps Platform is committed to transparency regarding data collection, data usage, and data retention. Google Maps Platform's data collection, usage, and retention are subject to the Google Maps Platform Terms of Service , which includes the Google Privacy Policy .

Data collection

Data is collected through use of Google Maps Platform Products. As a customer, you are in control of what information you transmit to Google Maps Platform through APIs and SDKs. All Google Maps Platform requests are logged, which include response status codes from the product.

Google Maps Platform logged data

Google Maps Platform logs data across the product suite. Logs contain multiple entries which typically include:

• Account identifier which can be an API key, Client ID, or Cloud project number. This is required for operations, support, and billing.
• IP address of the requesting server, service, or device. For APIs, note that the IP address sent to Google Maps Platform will be dependent on how the API invocation is implemented in your application/solution. For SDKs, the IP address of the invoking device is logged.
• Request URL , which contains the API and parameters being passed to the API. For example, the Geocoding API requires two parameters (address and API key). Geocoding also has a number of optional parameters. The request URL would contain all parameters passed to the service.
• Date and time of the request.
• Web applications have request headers logged which typically include data such as type of web browser and operating system.
• Mobile Applications using an SDK have the Google Play version, library, and application name logged.

Google Maps Platform log access

Access to logs is highly restricted and authorized only to specific team members who have a legitimate business need. Each access request to the log files is documented for auditing purposes, which is verified through Google's ISO 27001 and SOC 2 third-party audits.

استفاده از داده ها

Data collected by Google Maps Platform is used for the following purposes:

• Improving Google products and services
• Providing customer technical support
• Operational monitoring and alerting
• Maintaining platform security
• Platform capacity planning

Please note that Google Maps Platform never sells user operation data to third parties as documented in Google's Privacy Policy .

Data retention and anonymization

Data collected in Google Maps Platform logs may be retained for various lengths of time based on business needs, subject to Google's data anonymization and redaction policies. IP addresses are automatically anonymized as soon as practicable (part of the IP address is deleted). Anonymized, aggregate usage statistics derived from logs may be retained indefinitely.

Security, industry, high availability, and environmental certifications & audits

ISO 27001

The International Organization for Standardization (ISO) is an independent, non-governmental international organization with an international membership of 163 national standards bodies. The ISO/IEC 27000 family of standards helps organizations keep their information assets secure.

ISO/IEC 27001 outlines and provides the requirements for an information security management system (ISMS), specifies a set of best practices, and details the security controls that can help manage information risks.

Google Maps Platform and Google's Common Infrastructure are certified as ISO/IEC 27001 compliant. The 27001 standard does not mandate specific information security controls, but the framework and checklist of controls it lays out allow Google to ensure a comprehensive and continually improving model for security management.

You can download and review the Google Maps Platform ISO 27001 certification from the Google Compliance Reports Manager .

SOC 2 نوع II

The SOC 2 is a report based on the Auditing Standards Board of the American Institute of Certified Public Accountants' (AICPA) existing Trust Services Criteria (TSC). The purpose of this report is to evaluate an organization's information systems relevant to security, availability, processing integrity, confidentiality, and privacy. SOC 2 Type II reports are issued semi-annually around June and December.

You can download and review the Google Maps Platform SOC 2 Type II Audit Report from the Google Compliance Reports Manager .

Cloud Security Alliance (CSA)

The Cloud Security Alliance ( 1 , 2 ) is a nonprofit organization whose mission is to "promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing. "

The CSA's Security, Trust, and Assurance Registry Program (CSA STAR) is designed to help you assess and select a cloud service provider through a three-step program of self-assessment, third-party audit, and continuous monitoring.

Google Maps Platform has achieved the third-party assessment-based certification (CSA STAR Level 1: Attestation)

Google is also a CSA sponsor and a member of CSA's International Standardization Council (ISC) , and a founding member of the CSA GDPR Center of Excellence.

ISO 22301:2019

The International Organization for Standardization (ISO) is an independent, non-governmental international organization with an international membership of 163 national standards bodies.

ISO 22301:2019 is an international standard for business continuity management that is designed to help organizations implement, maintain and improve a management system to prevent, prepare for, respond to, and recover from disruptions when they arise.

The data centers which support Google Maps Platform products are certified as ISO 22301:2019 and BS EN ISO 22301:2019 compliant after undergoing an audit by an independent third-party auditor. Compliance with these standards for Google's data centers demonstrates that locations hosting Google products and services meet the requirements as defined by ISO 22301:2019 and BS EN ISO 22301:2019.

ISO 50001

The International Organization for Standardization (ISO) is an independent, non-governmental international organization with an international membership of 163 national standards bodies.

ISO 50001:2018 is an international standard for energy management that is designed to help organizations implement, maintain, and improve a management system to integrate energy management into their overall efforts to improve quality and environmental management.

The Google EMEA data centers used by Google Maps Platform are certified as ISO 50001:2018 compliant after undergoing an audit by an independent third party auditor. ISO 50001:2018 compliance for Google's data centers demonstrates that in-scope locations hosting Google products and services meet the requirements as defined by ISO 50001:2018.

Supported legal frameworks

Following are global contractual commitments.

European contractual commitments

This section describes European contractual commitments.

EU General Data Protection Regulation (GDPR)

The General Data Protection Regulation ( GDPR ) is privacy legislation that replaced the 95/46/EC Directive on Data Protection of 24 October 1995 on May 25, 2018. GDPR lays out specific requirements for businesses and organizations that are established in Europe or who serve users in Europe. Google Maps Platform champions initiatives that prioritize and improve the security and privacy of customer personal data, and want you, as a Google Maps Platform customer, to feel confident using Google's services in light of GDPR requirements. If you partner with Google Maps Platform, it will support your GDPR compliance efforts by:

1. Committing in Google's contracts to comply with the GDPR in relation to Google's processing of personal data in all Google Maps Platform services
2. Giving you the documentation and resources to assist you in your privacy assessment of Google's services
3. Continuing to evolve Google's capabilities as the regulatory landscape changes

EU, EEA, Swiss, and UK adequacy decisions

As documented in the Google privacy policy , the European Commission has determined that certain countries outside of the European Economic Area (EEA) adequately protect personal information, which means that data can be transferred from the European Union (EU) and Norway, Liechtenstein, and Iceland to those countries. بریتانیا و سوئیس مکانیسم های کفایت مشابهی را اتخاذ کرده اند.

EU Standard Contractual Clauses

The European Commission has published new EU SCCs to help safeguard European data together with the SCCs. Google has incorporated the SCCs into its Google Maps Platform contracts to protect data and meet the requirements of European privacy legislation. Like the previous SCCs, these clauses can be used to facilitate lawful transfers of data.

UK Data Protection Act

قانون حفاظت از داده ها 2018 اجرای مقررات عمومی حفاظت از داده ها (GDPR) در بریتانیا است. "UK GDPR" means the EU GDPR as amended and incorporated into UK law under the UK European Union (Withdrawal) Act 2018, and applicable secondary legislation made under that Act.

Swiss Federal Act on Data Protection (FDPA)

The Swiss Data Protection Act , known formally as the Federal Act on Data Protection (FADP), is a data protection regulation that aims to protect persons' privacy and fundamental rights when their data is processed.

Non-European contractual commitments

This section describes non-European contractual commitments.

Lei Geral de Proteção de Dados (LGPD)

Brazil's Lei Geral de Proteção de Dados (LGPD) is a data privacy law that governs the processing of personal data by businesses and organizations who are established in Brazil, or who serve users in Brazil, among other cases. The LGPD is now effective, and offers the following protections:

• Regulates how businesses and organizations can collect, use, and handle personal data
• Supplements or replaces existing federal sectoral privacy laws to increase accountability
• Authorizes fines on businesses and organizations that fail to meet its requirements
• Allows for the creation of a Data Protection Authority
• Imposes rules on the transfer of personal data collected within Brazil

Google offers products and solutions that you can use as part of a LGPD compliance strategy:

• Security and privacy features that help you to comply with LGPD and better protect and govern personal data
• Services and infrastructure built to ensure the security of data processing and employing appropriate privacy practices
• Continuous evolution of Google's products and capabilities as the regulatory landscape changes

Google Maps Platform customers need to evaluate their processing of personal data and determine if the LGPD's requirements are applicable to them. Google recommends that you consult with a legal expert to obtain guidance on LGPD specific requirements applicable to your organization, as this site does not constitute legal advice.

US State contractual commitments

Connecticut's Act Concerning Data Privacy and Online Monitoring

The Connecticut's Act Concerning Data Privacy and Online Monitoring , Pub. Act No. 22015 went into effect on January 1, 2023. Refer to the Google Controller-Controller Data Protection Terms for more information.

قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا (CCPA)

The California Consumer Privacy Act (CCPA) ( 1 , 2 ) is a data privacy law that provides California consumers with a number of privacy protections, including right to access, delete, and opt-out of the "sale" of their personal information. Starting January 1, 2020, businesses that collect California residents' personal information and meet certain thresholds (for example, revenue, volume of data processing) will need to comply with these obligations. The California Privacy Rights Act (CPRA) is a data privacy law that amends and expands upon the CCPA. The law takes effect on January 1, 2023. Google is very committed to helping its customers meet their obligations under these data regulations by offering convenient tools and building robust privacy and security protections into Google's services and contracts. You can find more information about your responsibilities as a business under the CCPA on the California Office of the Attorney General's website . Refer to the Google Controller-Controller Data Protection Terms for more information.

قانون حفظ حریم خصوصی کلرادو (CPA)

The Colorado Privacy Act , Colo. Rev. Stat. § 6-1-1301 et seq. went into effect on January 1, 2023. The act creates personal data privacy rights and applies to legal entities that conduct business or produce commercial products or services that are intentionally targeted to Colorado residents and that either:

• Control or process personal data of at least 100,000 consumers per calendar year
• Derive revenue from the sale of personal data and control or process the personal data of at least 25,000 consumers

Refer to the Google Controller-Controller Data Protection Terms for more information.

Utah Consumer Privacy Act (UCPA)

The Utah Consumer Privacy Act , Utah Code Ann. § 13-61-101 et seq. went into effect on January 1, 2023. The UCPA applies to the sale of personal data and targeted advertising, and defines what does and does not include a sale: "the exchange of personal data for monetary consideration by a controller to a third party. "

Refer to the Google Controller-Controller Data Protection Terms for more information.

Virginia Consumer Data Protection Act (VCDPA)

The Virginia Consumer Data Protection Act ("VCDPA") went into effect on January 1, 2023. This law provides Virginia residents certain rights for personal data collected by businesses under conditions outlined in the law.

Please refer to the Google Controller-Controller Data Protection Terms for more information.

خلاصه

Security is a primary design criteria for all of Google's infrastructure, products, and operations. Google's scale of operations and its collaboration with the security research community enable us to address vulnerabilities quickly, and often to prevent them entirely. Google runs its own services, such as Search, YouTube, and Gmail, on the same infrastructure that it makes available to its customers, who benefit directly from Google's security controls and practices.

Google believes that it can offer a level of protection that few public cloud providers or private enterprise IT teams can match. Because protecting data is core to Google's business, we can make extensive investments in security, resources, and expertise at a scale that others cannot. Google's investment frees you to focus on your business and innovation. We will continue to invest in our platform to let you benefit from Google services in a secure and transparent manner.

،

This content was last updated in February 2024, and represents the status quo as of the time it was written. Google's security policies and systems may change going forward, as we continually improve protection for our customers.

Download pdf version

مقدمه

Google Maps Platform provides APIs and SDKs for customers and partners to develop web and mobile applications using Google's geospatial technology. Google Maps Platform offers over 50+ APIs and SDK for customers across multiple industries. As a customer in industry, you must often meet security, data usage, and regulatory requirements when building your solutions. This includes ensuring your third-party technology meets those same requirements.

This document provides a high-level summary of the people, process, and technology controls offered by Google Maps Platform, along with describing the benefits of using the platform. First, it's important to understand the two primary technology pillars beneath Google Maps Platform:

• Google-provided technologies, data centers, and infrastructure . Google Maps Platform operates entirely on Google-provided data centers and infrastructure. From this basis it applies internal and 3rd-party audits to the security controls it inherits from Google to validate that Google Maps Platform correctly implements the security, operational, and technical controls described in this paper.
• Google Maps Platform technology . In addition to the inherited controls, Google Maps Platform provides additional security, privacy, data, and operational controls for Google's product suites.

This document summarizes Google Maps Platform's security processes and controls, grouped as follows:

• Focus on security and privacy at all levels of Google's organization
• Technical infrastructure and hardware security
• Operational security
• Key security controls
• Client-side security, both web and mobile
• Current certifications and audits in Google Maps Platform
• Supported legal frameworks, globally

Potential customers can reach out to their Google sales representative for additional information.

Google's security and privacy-focused organization

Security drives the organizational structure, culture, training priorities, and hiring processes across Google. It shapes the design of Google data centers and the technology they provide. Security underpins Google's everyday operations, including disaster planning and threat management. Google prioritizes security in how it handles data, account controls, compliance audits, and industry certifications. Google designs its services to deliver better security than many on-premise alternatives that rely on multiple vendors and multiple platforms where security is often an unconnected process. You benefit from Google's integrated security programs and controls when you leverage Google Maps Platform products for your business. Google Maps Platform makes security a priority in its operations—operations that serve over a billion users across the world.

Together, Google and Google Maps Platform provide multiple layers of security throughout the company and organization:

• Google dedicated security team
• Google Maps Platform product security team
• Active involvement with the global security research community
• Google Maps Platform privacy team
• Google employee security and privacy training
• Internal audit and compliance specialists

Dedicated security teams at Google

Google provides dedicated security teams across the company and within product areas.

The Google-wide security teams support multiple product areas at Google, including Google Maps Platform. The security team includes some of the world's foremost experts in information security, application security, cryptography, and network security. Their activities include the following:

• Develops, reviews, and implements security processes . This includes reviewing security plans for Google networks and providing project-specific consulting to product and engineering teams across Google. For example, cryptography specialists review product launches that implement cryptography as part of the offering.
• Actively manages security threats . Using both commercial and custom tools, the team monitors ongoing threats and suspicious activity on Google networks.
• Performs routine audits and evaluations , which can involve engaging outside experts to conduct security assessments.
• Publishes security articles to the wider community . Google maintains a security blog and a YouTube Series highlighting several of the specific Security Teams and their accomplishments.

The Google Maps Platform security team collaborates with the Google-wide security team, working more closely with product development and SRE to oversee security implementation. Specifically, this team manages the following:

• Google Maps Platform's Disaster Resilience Testing (DiRT) , which tests the business continuity and failover of Google Maps Platform products, runs on Google's highly available infrastructure.
• Third party penetration testing . Google Maps Platform products are penetration tested on at least an annual basis to enhance Google's security posture and provide you with independent security assurance.

Collaboration with the security research community

Google has long enjoyed a close relationship with the security research community, and Google greatly values their help with identifying potential vulnerabilities in Google Maps Platform and other Google products.

• Online community collaboration via Project Zero . Project Zero is a team of security researchers dedicated to researching zero-day vulnerabilities. Some examples of this research are the discovery of the Spectre exploit, the Meltdown exploit, the POODLE SSL 3.0 exploit , and cipher suite weaknesses .
• Academic research - Google's security engineers and researchers actively participate and publish in the academic security community and the privacy research community. Security related publications can be found on Google's Google Research site . Google's security teams have published an in-depth account of their practices and experience in the Building Secure and Reliable Systems book.
• Vulnerability Rewards Program - Google Maps Platform participates in the Vulnerability Reward Program which offers rewards in the tens of thousands of dollars for each confirmed vulnerability. The program encourages researchers to report design and implementation issues that might put customer data at risk. In 2022, Google awarded researchers over $11.9 million in prize money. For more information about this program, including the rewards Google gave, see Bug Hunters Key Stats . Additional information on reporting security issues, see How Google handles security vulnerabilities .
• Open source security research - Google's engineers also organize and participate in open source projects and academic conferences. To improve open-source code, the Vulnerability Reward Program also provides subsidies to open-source projects .
• Cryptography - Google's world-class cryptographers worked to protect TLS connections against quantum computer attacks and developed the combined elliptic-curve and post-quantum (CECPQ2) algorithm . Google cryptographers developed Tink , which is an open source library of cryptographic APIs. Google also uses Tink in its internal products and services.

Google Maps Platform's dedicated privacy team

The dedicated privacy team operates separately from product development and security organizations. It supports internal privacy initiatives to improve all parts of privacy: critical processes, internal tools, infrastructure, and product development. The privacy team performs the following:

• Ensures that product launches incorporate strong privacy standards around data collection. It participates in every Google product launch through both design documentation and code reviews.
• After product launch, the privacy team oversees automated processes that continually verify appropriate data collection and use.
• Conducts research on privacy best practices.

Google employee security and privacy training

Security and privacy are an ever-changing area, and Google recognizes that dedicated employee engagement is a key means of raising awareness. All Google employees undergo security and privacy training as part of the orientation process, and they receive ongoing, mandatory security and privacy training throughout their Google careers.

• During orientation : New employees agree to Google's Code of Conduct , which highlights Google's commitment to keeping customer information safe and secure.
• Specialized training by job role . Certain job roles require training on specific aspects of security. For instance, the information security team instructs new engineers on secure coding practices, product design, and automated vulnerability testing tools. Engineers attend regular security briefings and receive security newsletters that cover new threats, attack patterns, mitigation techniques, and more.
• Ongoing events . Google hosts regular internal conferences open to all employees to raise awareness and drive innovation in security and data privacy. Google hosts events across global offices to raise awareness of security and privacy in software development, data handling, and policy enforcement.

Internal audit and compliance specialists

Google Maps Platform has a dedicated internal audit team that reviews Google products' compliance with security laws and regulations around the world. As new auditing standards are created and existing standards are updated, the internal audit team determines what controls, processes, and systems are needed to help meet those standards. This team supports independent audits and assessments by third parties. For more information, see Security Certifications & Audits section later in this document.

Platform built with security at its core

Google designs its servers, proprietary operating systems, and geographically distributed data centers using the principle of defense in depth. Google Maps Platform runs on a technical infrastructure designed and built to operate securely. We've created an IT infrastructure that is more secure and easier to manage than more traditional on-premises or hosted solutions.

State-of-the-art data centers

Google's focus on security and protection of data is among Google's primary design criteria . The physical security in Google data centers is a layered security model. Physical security includes safeguards like custom-designed electronic access cards, alarms, vehicle access barriers, perimeter fencing, metal detectors, and biometrics. In addition, to detect and track intruders, Google uses security measures such as laser beam intrusion detection and 24/7 monitoring by high-resolution interior and exterior cameras. Access logs, activity records, and camera footage are available in case an incident occurs. Experienced security guards, who have undergone rigorous background checks and training, routinely patrol Google's data centers. As you get closer to the data center floor, security measures also increase. Access to the data center floor is only possible through a security corridor that implements multi-factor access control using security badges and biometrics. Only approved employees with specific roles may enter. Less than one percent of Google employees will ever set foot in one of Google's data centers.

Google operates data centers globally and to maximize the speed and reliability of its services. Its infrastructure is generally set up to serve traffic from the data center that is the closest to where the traffic originates. Therefore the precise location of Google Maps Platform data may vary depending on where such traffic originates, and this data may be handled by servers located in the EEA and UK or transferred to third countries. Google customers' offerings where Google Maps Platform products are implemented are generally available globally and often attract a global audience. The technical infrastructure that supports these products is deployed globally to reduce latency and ensure redundancy of systems. Google Maps Platform uses a subset of Google Global Data Center Network listed below for reference:

آمریکای شمالی و جنوبی

• ایالات متحده آمریکا
• شیلی

اروپا

• بلژیک
• فنلاند
• هلند

آسیا

• تایوان
• سنگاپور

Powering Google data centers

To keep things running 24/7 and provide uninterrupted services, Google data centers have redundant power systems and environmental controls. Every critical component has a primary and alternate power source, each with equal power. Backup generators can provide enough emergency electrical power to run each data center at full capacity. Cooling systems maintain a constant operating temperature for servers and other hardware, which reduces the risk of service outages while minimizing environmental impact . Fire detection and suppression equipment helps prevent hardware damage. Heat detectors, fire detectors, and smoke detectors trigger audible and visible alarms at security operations consoles and at remote monitoring desks.

Google is the first major internet services company to get external certification of its high environmental, workplace safety, and energy management standards throughout Google data centers. For example, to demonstrate Google's commitment to energy management practices, Google obtained voluntary ISO 50001 certifications for its data centers in Europe.

Custom server hardware and software

Google data centers have purpose-built servers and network equipment, some of which Google designs. While Google's servers are customized to maximize performance, cooling, and power efficiency, they are also designed to help protect against physical intrusion attacks. Unlike most commercially available hardware, Google's servers don't include unnecessary components such as video cards, chipsets, or peripheral connectors, all of which can introduce vulnerabilities. Google vets component vendors and chooses components with care, working with vendors to audit and validate the security properties that are provided by the components. Google designs custom chips, such as Titan , that help us securely identify and authenticate legitimate Google devices at the hardware level, including the code that these devices use to boot up.

Server resources are dynamically allocated. This gives us flexibility for growth and lets us adapt quickly and efficiently to customer demand by adding or reallocating resources. This homogeneous environment is maintained by proprietary software that continually monitors systems for binary-level modifications. Google's automated, self-healing mechanisms are designed to enable us to monitor and remediate destabilizing events, receive notifications about incidents, and slow down potential compromises on the network.

Secure service deployment

Google services are the application binaries that Google developers write and run on Google's infrastructure. To handle the required scale of the workload, thousands of machines might be running binaries of the same service. A cluster orchestration service, called Borg , controls the services that are running directly on the infrastructure.

The infrastructure does not assume any trust between the services that are running on the infrastructure. This trust model is referred to as a zero-trust security model. A zero-trust security model means that no devices or users are trusted by default, whether they are inside or outside of the network.

Because the infrastructure is designed to be multi-tenant, data from Google's customers (consumers, businesses, and even Google's own data) is distributed across shared infrastructure. This infrastructure is composed of tens of thousands of homogeneous machines. The infrastructure does not segregate customer data onto a single machine or set of machines

Hardware tracking and disposal

Google meticulously tracks the location and status of all equipment within its data centers using barcodes and asset tags. Google deploys metal detectors and video surveillance to help make sure that no equipment leaves the data center floor without authorization. If a component fails to pass a performance test at any point during its lifecycle, it's removed from inventory and retired.

Google storage devices, including hard drives, solid-state drives, and non-volatile dual in-line memory modules (DIMM), use technologies like full disk encryption (FDE) and drive locking to protect data at rest. When a storage device is retired, authorized individuals verify that the disk is erased by writing zeros to the drive. They also perform a multiple-step verification process to ensure the drive contains no data. If a drive cannot be erased for any reason, it's physically destroyed. Physical destruction is done by using a shredder that breaks the drive into small pieces, which are then recycled at a secure facility. Each data center adheres to a strict disposal policy and any variances are immediately addressed.

Security benefits of Google's global network

In other geospatial cloud and on-premises solutions, data travels between devices across the public internet in paths known as hops . The number of hops depends on the optimal route between the customer's ISP and the data center. Each additional hop introduces a new opportunity for data to be attacked or intercepted. Because Google's global network is linked to most ISPs in the world, Google's network limits hops across the public internet, and therefore helps limit access to that data by bad actors.

Google's network uses multiple layers of defense—defense in depth—to help protect the network against external attacks. Only authorized services and protocols that meet Google's security requirements are allowed to traverse it; anything else is automatically dropped. To enforce network segregation, Google uses firewalls and access control lists. All traffic is routed through Google Front End (GFE) servers to help detect and stop malicious requests and distributed denial-of-service (DDoS) attacks. Logs are routinely examined to reveal any exploitation of programming errors. Access to networked devices is restricted to only authorized employees.

Google's global infrastructure allows us to run Project Shield , which provides free, unlimited protection to websites that are vulnerable to DDoS attacks that are used to censor information. Project Shield is available for news websites, human rights websites, and election-monitoring websites.

Low latency and highly available solutions

Google's IP data network consists of its own fiber, of publicly available fiber, and of undersea cables. This network allows us to deliver highly available and low-latency services across the globe.

Google designs the components of its platform to be highly redundant. This redundancy applies to Google's server design, to how Google stores data, to network and internet connectivity, and to the software services themselves. This "redundancy of everything" includes exception handling and creates a solution that is not dependent on a single server, data center, or network connection.

Google data centers are geographically distributed to minimize the effects of regional disruptions on global products, such as when natural disasters or local outages occur. If hardware, software, or a network fails, platform services and control planes are automatically and swiftly shifted from one facility to another so that platform services can continue without interruption.

Google's highly redundant infrastructure also helps you protect your business from data loss. Google's systems are designed to minimize downtime or maintenance windows for when we need to service or upgrade our platform.

Operational security

Security is integral to Google's operations, not an afterthought. This section describes Google's vulnerability management programs, malware prevention program, security monitoring, and incident management programs.

مدیریت آسیب پذیری

Google's internal vulnerability management process actively scans for security threats across all technology stacks. This process uses a combination of commercial, open source, and purpose-built in-house tools, and includes the following:

• Quality assurance processes
• Software security reviews
• Intensive automated and manual penetration efforts, including extensive Red Team exercises
• Recurring external penetration testing for Google Maps Platform products
• Recurring external audits

The vulnerability management organization and its partners are responsible for tracking and following up on vulnerabilities. Because security improves only after issues are fully addressed, automation pipelines continuously reassess the state of a vulnerability, verify patches, and flag incorrect or partial resolution.

Security monitoring

Google's security monitoring program is focused on information that's gathered from internal network traffic, from employee actions on systems, and from outside knowledge of vulnerabilities. A core Google principle is to aggregate and store all security telemetry data in one location for unified security analysis.

At many points across Google's global network, internal traffic is inspected for suspicious behavior, such as the presence of traffic that might indicate botnet connections. Google uses a combination of open source and commercial tools to capture and parse traffic so that Google can perform this analysis. A proprietary correlation system built on top of Google's technology also supports this analysis. Google supplements network analysis by examining system logs to identify unusual behavior, such as attempts to access customer data.

The Threat Analysis Group at Google monitors threat actors and the evolution of their tactics and techniques. Google security engineers review inbound security reports and monitor public mailing lists, blog posts, and wikis. Automated network analysis and automated analysis of system logs helps determine when an unknown threat might exist. If the automated processes detect an issue, it's escalated to Google's security staff.

تشخیص نفوذ

Google uses sophisticated data processing pipelines to integrate host-based signals on individual devices, network-based signals from various monitoring points in the infrastructure, and signals from infrastructure services. Rules and machine intelligence built on top of these pipelines give operational security engineers warnings of possible incidents. Google's investigation and incident-response teams triage, investigate, and respond to these potential incidents 24 hours a day, 365 days a year. Google conducts Red Team exercises in addition to external penetration testing to measure and improve the effectiveness of Google's detection and response mechanisms.

مدیریت حوادث

Google has a rigorous incident management process for security events that might affect the confidentiality, integrity, or availability of systems or data. Google's security incident management program is structured around the NIST guidance on handling incidents ( NIST SP 800–61 ). Google provides training for key staff members in forensics and in handling evidence in preparation for an event, including the use of third-party and proprietary tools.

Google tests incident response plans for key areas. These tests consider various scenarios, including insider threats and software vulnerabilities. To help ensure the swift resolution of security incidents, the Google security team is available 24/7 to all employees.

Software development practices

Google uses source control protections and two-party reviews to proactively limit the introduction of vulnerabilities. Google also provides libraries that prevent developers from introducing certain classes of security bugs. For example, Google has libraries and frameworks designed to eliminate XSS vulnerabilities in SDKs. Google also has automated tools for detecting security bugs, such as fuzzers, static analysis tools, and web security scanners.

Source code protections

Google's source code is stored in repositories with built-in source integrity and governance, which makes it possible to audit both current and past versions of the service. The infrastructure requires that a service's binaries be built from specific source code after it is reviewed, checked in, and tested. Binary Authorization for Borg (BAB) is an internal enforcement check that occurs when a service is deployed. BAB does the following:

• Ensures that the production software and configuration deployed at Google is reviewed and authorized, particularly when that code can access user data
• Ensures code and configuration deployments meet certain minimum standards
• Limits the ability of an insider or adversary to make malicious modifications to source code and also provides a forensic trail from a service back to its source

Reducing Insider Risk

Google limits and actively monitors the activities of employees who have been granted administrative access to the infrastructure. Google continually works to eliminate the need for privileged access for particular tasks by using automation that can accomplish the same tasks in a safe and controlled way. For example, Google requires two-party approvals for some actions, and Google uses limited APIs that allow debugging without exposing sensitive information.

Google employee access to end-user information is logged through low-level infrastructure hooks. Google's security team monitors access patterns and investigates unusual events.

Disaster Recovery Testing - DiRT

Google Maps Platform runs annual, company-wide, multi-day Disaster Recovery Testing events (DiRT) to ensure that Google Maps Platform's services and internal business operations continue to run during a disaster. DiRT was developed to find vulnerabilities in critical systems by intentionally causing failures, and to fix those vulnerabilities before failures happen in an uncontrolled manner. DiRT tests Google's technical robustness by breaking live systems and tests Google's operational resilience by explicitly preventing critical personnel, area experts, and leaders from participating. All generally available services are required to have ongoing, active DiRT testing and validation of their resilience and availability.

To prepare for a DiRT exercise, Google employs a consistent set of rules around prioritization,

communication protocols, impact expectations, and test design requirements, including pre-reviewed and approved rollback plans. DiRT exercises and scenarios not only force technical failures in the service itself, but also can include designed failures in process, availability of key personnel, supporting systems, communications, and physical access. DiRT validates that the processes in place actually work in practice. It also ensures that teams are pre-trained and have experience they can draw upon during actual outages, disruptions, and disasters man-made or natural.

Key security controls

This section describes the main security controls that Google Maps Platform implements to protect its platform.

رمزگذاری

Encryption adds a layer of defense for protecting data. Encryption ensures that if an attacker gets access to data, the attacker cannot read the data without also having access to the encryption keys. Even if an attacker gets access to data (for example, by accessing the wire connection between data centers or by stealing a storage device), they won't be able to understand or decrypt it.

Encryption provides an important mechanism in how Google helps protect the privacy of data. It allows systems to manipulate data—for example, for backup—and engineers to support Google's infrastructure, without providing access to content for those systems or employees.

رمزگذاری در حالت استراحت

Encryption "at rest" in this section means encryption used to protect data that is stored on a disk (including solid-state drives) or backup media. Data is encrypted at the storage level, generally using AES256 (Advanced Encryption Standard). Data is often encrypted at multiple levels in Google's production storage stack in data centers, including at the hardware level, without requiring any action by Google customers. Using multiple layers of encryption

adds redundant data protection and allows Google to choose the optimal approach based on application requirements. Google uses common cryptographic libraries which incorporate Google's FIPS 140-2 validated module to implement encryption consistently across products. Consistent use of common libraries means that only a small team of cryptographers needs to implement and maintain this tightly controlled and reviewed code.

Protecting data in transit

Data can be vulnerable to unauthorized access as it travels across the internet. Google Maps Platform supports strong encryption in transit between customer devices and networks, and Google's Google Front End (GFE) servers. Google recommends that customers/developers use Google's strongest supported cipher suite (TLS 1.3) when creating applications as a best practice. Some customers have use cases that require older cipher suites for compatibility reasons, so Google Maps Platform supports these weaker standards, but does not recommend using them whenever possible. Google Cloud also offers you additional transport encryption options, including Cloud VPN for establishing virtual private networks using IPsec for Google Maps Platform products.

Protecting data in transit between Google data centers

Application Layer Transport Security (ALTS) ensures that the integrity of Google traffic is protected and encrypted as needed. After a handshake protocol between the client and the server is complete and the client and the server negotiate the necessary shared cryptographic secrets for encrypting and authenticating network traffic, ALTS secures RPC (Remote Procedure Call) traffic by forcing integrity, using the negotiated shared secrets. Google supports multiple protocols for integrity guarantees, such as AES-GMAC (Advanced Encryption Standard), with 128-bit keys. Whenever traffic leaves a physical boundary controlled by or on behalf of Google, for example in transit over WAN (Wide Area Network) between data centers, all protocols are upgraded automatically to provide encryption and integrity guarantees.

Google Maps Platform Service Availability

Some Google Maps Platform services might not be available across all geographies. Some service disruptions are temporary (due to an unanticipated event, such as a network outage), but other service limitations are permanent due to government-imposed restrictions. Google's comprehensive Transparency Report and status dashboard show recent and ongoing disruptions of traffic to Google Maps Platform services. Google provides this data to help you analyze and understand Google's uptime information.

Client-side security

Security is a shared responsibility between a Cloud Service Provider and the customer/partner implementing Google Maps Platform products. This section details the customer/partner responsibilities that should be considered when architecting a Google Maps Platform solution.

JavaScript APIs

Secure Sites

Maps JavaScript API publishes a set of recommendations that allow a customer to fine tune their site Content Security Policy (CSP) to avoid vulnerabilities like cross-site scripting, clickjacking, and data injection attacks. The JavaScript API supports two forms of CSP: strict CSP using nonces and allowlist CSP.

Secure JavaScript

The JavaScript is regularly scanned for known security anti-patterns, and problems are quickly remediated. The JavaScript API is released on a weekly cadence or on demand, should any problems arise.

Mobile Application Security (MAS)

Mobile Application Security (MAS) is an open, agile, crowd-sourced effort, made of the contributions of dozens of authors and reviewers from all over the world. پروژه شاخص امنیت برنامه های کاربردی موبایل OWASP (MAS) یک استاندارد امنیتی برای برنامه های تلفن همراه (OWASP MASVS) و یک راهنمای آزمایش جامع (OWASP MASTG) ارائه می دهد که فرآیندها، تکنیک ها و ابزارهای مورد استفاده در طول تست امنیتی برنامه تلفن همراه و همچنین را پوشش می دهد. مجموعه ای جامع از موارد تست که آزمایش کنندگان را قادر می سازد نتایج ثابت و کاملی را ارائه دهند.

• OWASP Mobile Application Security Verification Standard (MASVS) provides a baseline for complete and consistent security tests for both iOS and Android.
• OWASP Mobile Application Security Testing Guide (MASTG) is a comprehensive manual covering the processes, techniques, and tools used during mobile application security analysis, as well as an exhaustive set of test cases for verifying the requirements listed in the MASVS.
• The OWASP Mobile Application Security Checklist contains links to the MASTG test cases for each MASVS control.
  • Security Assessments / Pentests: Ensure you're at least covering the standard attack surface and start exploring.
  • Standard Compliance: Includes MASVS and MASTG versions and commit IDs.
  • Learn and practice your mobile security skills.
  • Bug Bounties: Go step by step covering the mobile attack surface.

Consider leveraging the OWASP MAS to enhance your iOS and Android application security, testing, and authentication capabilities.

اندروید

When developing Android applications, another resource to consider are the Android community application best practices. The Security guidelines contain best-practices guidance on enforcing secure communications, defining the correct permissions, safe data storage, service dependencies and more.

iOS

When developing iOS applications, consider Apple's Introduction to Secure Coding Guide , which contains best practices for the iOS Platform.

Data collection, usage, and retention

Google Maps Platform is committed to transparency regarding data collection, data usage, and data retention. Google Maps Platform's data collection, usage, and retention are subject to the Google Maps Platform Terms of Service , which includes the Google Privacy Policy .

Data collection

Data is collected through use of Google Maps Platform Products. As a customer, you are in control of what information you transmit to Google Maps Platform through APIs and SDKs. All Google Maps Platform requests are logged, which include response status codes from the product.

Google Maps Platform logged data

Google Maps Platform logs data across the product suite. Logs contain multiple entries which typically include:

• Account identifier which can be an API key, Client ID, or Cloud project number. This is required for operations, support, and billing.
• IP address of the requesting server, service, or device. For APIs, note that the IP address sent to Google Maps Platform will be dependent on how the API invocation is implemented in your application/solution. For SDKs, the IP address of the invoking device is logged.
• Request URL , which contains the API and parameters being passed to the API. For example, the Geocoding API requires two parameters (address and API key). Geocoding also has a number of optional parameters. The request URL would contain all parameters passed to the service.
• Date and time of the request.
• Web applications have request headers logged which typically include data such as type of web browser and operating system.
• Mobile Applications using an SDK have the Google Play version, library, and application name logged.

Google Maps Platform log access

Access to logs is highly restricted and authorized only to specific team members who have a legitimate business need. Each access request to the log files is documented for auditing purposes, which is verified through Google's ISO 27001 and SOC 2 third-party audits.

استفاده از داده ها

Data collected by Google Maps Platform is used for the following purposes:

• Improving Google products and services
• Providing customer technical support
• Operational monitoring and alerting
• Maintaining platform security
• Platform capacity planning

Please note that Google Maps Platform never sells user operation data to third parties as documented in Google's Privacy Policy .

Data retention and anonymization

Data collected in Google Maps Platform logs may be retained for various lengths of time based on business needs, subject to Google's data anonymization and redaction policies. IP addresses are automatically anonymized as soon as practicable (part of the IP address is deleted). Anonymized, aggregate usage statistics derived from logs may be retained indefinitely.

Security, industry, high availability, and environmental certifications & audits

ISO 27001

The International Organization for Standardization (ISO) is an independent, non-governmental international organization with an international membership of 163 national standards bodies. The ISO/IEC 27000 family of standards helps organizations keep their information assets secure.

ISO/IEC 27001 outlines and provides the requirements for an information security management system (ISMS), specifies a set of best practices, and details the security controls that can help manage information risks.

Google Maps Platform and Google's Common Infrastructure are certified as ISO/IEC 27001 compliant. The 27001 standard does not mandate specific information security controls, but the framework and checklist of controls it lays out allow Google to ensure a comprehensive and continually improving model for security management.

You can download and review the Google Maps Platform ISO 27001 certification from the Google Compliance Reports Manager .

SOC 2 نوع II

The SOC 2 is a report based on the Auditing Standards Board of the American Institute of Certified Public Accountants' (AICPA) existing Trust Services Criteria (TSC). The purpose of this report is to evaluate an organization's information systems relevant to security, availability, processing integrity, confidentiality, and privacy. SOC 2 Type II reports are issued semi-annually around June and December.

You can download and review the Google Maps Platform SOC 2 Type II Audit Report from the Google Compliance Reports Manager .

Cloud Security Alliance (CSA)

The Cloud Security Alliance ( 1 , 2 ) is a nonprofit organization whose mission is to "promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing. "

The CSA's Security, Trust, and Assurance Registry Program (CSA STAR) is designed to help you assess and select a cloud service provider through a three-step program of self-assessment, third-party audit, and continuous monitoring.

Google Maps Platform has achieved the third-party assessment-based certification (CSA STAR Level 1: Attestation)

Google is also a CSA sponsor and a member of CSA's International Standardization Council (ISC) , and a founding member of the CSA GDPR Center of Excellence.

ISO 22301:2019

The International Organization for Standardization (ISO) is an independent, non-governmental international organization with an international membership of 163 national standards bodies.

ISO 22301:2019 is an international standard for business continuity management that is designed to help organizations implement, maintain and improve a management system to prevent, prepare for, respond to, and recover from disruptions when they arise.

The data centers which support Google Maps Platform products are certified as ISO 22301:2019 and BS EN ISO 22301:2019 compliant after undergoing an audit by an independent third-party auditor. Compliance with these standards for Google's data centers demonstrates that locations hosting Google products and services meet the requirements as defined by ISO 22301:2019 and BS EN ISO 22301:2019.

ISO 50001

The International Organization for Standardization (ISO) is an independent, non-governmental international organization with an international membership of 163 national standards bodies.

ISO 50001:2018 is an international standard for energy management that is designed to help organizations implement, maintain, and improve a management system to integrate energy management into their overall efforts to improve quality and environmental management.

The Google EMEA data centers used by Google Maps Platform are certified as ISO 50001:2018 compliant after undergoing an audit by an independent third party auditor. ISO 50001:2018 compliance for Google's data centers demonstrates that in-scope locations hosting Google products and services meet the requirements as defined by ISO 50001:2018.

Supported legal frameworks

Following are global contractual commitments.

European contractual commitments

This section describes European contractual commitments.

EU General Data Protection Regulation (GDPR)

The General Data Protection Regulation ( GDPR ) is privacy legislation that replaced the 95/46/EC Directive on Data Protection of 24 October 1995 on May 25, 2018. GDPR lays out specific requirements for businesses and organizations that are established in Europe or who serve users in Europe. Google Maps Platform champions initiatives that prioritize and improve the security and privacy of customer personal data, and want you, as a Google Maps Platform customer, to feel confident using Google's services in light of GDPR requirements. If you partner with Google Maps Platform, it will support your GDPR compliance efforts by:

1. Committing in Google's contracts to comply with the GDPR in relation to Google's processing of personal data in all Google Maps Platform services
2. Giving you the documentation and resources to assist you in your privacy assessment of Google's services
3. Continuing to evolve Google's capabilities as the regulatory landscape changes

EU, EEA, Swiss, and UK adequacy decisions

As documented in the Google privacy policy , the European Commission has determined that certain countries outside of the European Economic Area (EEA) adequately protect personal information, which means that data can be transferred from the European Union (EU) and Norway, Liechtenstein, and Iceland to those countries. بریتانیا و سوئیس مکانیسم های کفایت مشابهی را اتخاذ کرده اند.

EU Standard Contractual Clauses

The European Commission has published new EU SCCs to help safeguard European data together with the SCCs. Google has incorporated the SCCs into its Google Maps Platform contracts to protect data and meet the requirements of European privacy legislation. Like the previous SCCs, these clauses can be used to facilitate lawful transfers of data.

UK Data Protection Act

قانون حفاظت از داده ها 2018 اجرای مقررات عمومی حفاظت از داده ها (GDPR) در بریتانیا است. "UK GDPR" means the EU GDPR as amended and incorporated into UK law under the UK European Union (Withdrawal) Act 2018, and applicable secondary legislation made under that Act.

Swiss Federal Act on Data Protection (FDPA)

The Swiss Data Protection Act , known formally as the Federal Act on Data Protection (FADP), is a data protection regulation that aims to protect persons' privacy and fundamental rights when their data is processed.

Non-European contractual commitments

This section describes non-European contractual commitments.

Lei Geral de Proteção de Dados (LGPD)

Brazil's Lei Geral de Proteção de Dados (LGPD) is a data privacy law that governs the processing of personal data by businesses and organizations who are established in Brazil, or who serve users in Brazil, among other cases. The LGPD is now effective, and offers the following protections:

• Regulates how businesses and organizations can collect, use, and handle personal data
• Supplements or replaces existing federal sectoral privacy laws to increase accountability
• Authorizes fines on businesses and organizations that fail to meet its requirements
• Allows for the creation of a Data Protection Authority
• Imposes rules on the transfer of personal data collected within Brazil

Google offers products and solutions that you can use as part of a LGPD compliance strategy:

• Security and privacy features that help you to comply with LGPD and better protect and govern personal data
• Services and infrastructure built to ensure the security of data processing and employing appropriate privacy practices
• Continuous evolution of Google's products and capabilities as the regulatory landscape changes

Google Maps Platform customers need to evaluate their processing of personal data and determine if the LGPD's requirements are applicable to them. Google recommends that you consult with a legal expert to obtain guidance on LGPD specific requirements applicable to your organization, as this site does not constitute legal advice.

US State contractual commitments

Connecticut's Act Concerning Data Privacy and Online Monitoring

The Connecticut's Act Concerning Data Privacy and Online Monitoring , Pub. Act No. 22015 went into effect on January 1, 2023. Refer to the Google Controller-Controller Data Protection Terms for more information.

قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا (CCPA)

The California Consumer Privacy Act (CCPA) ( 1 , 2 ) is a data privacy law that provides California consumers with a number of privacy protections, including right to access, delete, and opt-out of the "sale" of their personal information. Starting January 1, 2020, businesses that collect California residents' personal information and meet certain thresholds (for example, revenue, volume of data processing) will need to comply with these obligations. The California Privacy Rights Act (CPRA) is a data privacy law that amends and expands upon the CCPA. The law takes effect on January 1, 2023. Google is very committed to helping its customers meet their obligations under these data regulations by offering convenient tools and building robust privacy and security protections into Google's services and contracts. You can find more information about your responsibilities as a business under the CCPA on the California Office of the Attorney General's website . Refer to the Google Controller-Controller Data Protection Terms for more information.

قانون حفظ حریم خصوصی کلرادو (CPA)

The Colorado Privacy Act , Colo. Rev. Stat. § 6-1-1301 et seq. went into effect on January 1, 2023. The act creates personal data privacy rights and applies to legal entities that conduct business or produce commercial products or services that are intentionally targeted to Colorado residents and that either:

• Control or process personal data of at least 100,000 consumers per calendar year
• Derive revenue from the sale of personal data and control or process the personal data of at least 25,000 consumers

Refer to the Google Controller-Controller Data Protection Terms for more information.

Utah Consumer Privacy Act (UCPA)

The Utah Consumer Privacy Act , Utah Code Ann. § 13-61-101 et seq. went into effect on January 1, 2023. The UCPA applies to the sale of personal data and targeted advertising, and defines what does and does not include a sale: "the exchange of personal data for monetary consideration by a controller to a third party. "

Refer to the Google Controller-Controller Data Protection Terms for more information.

Virginia Consumer Data Protection Act (VCDPA)

The Virginia Consumer Data Protection Act ("VCDPA") went into effect on January 1, 2023. This law provides Virginia residents certain rights for personal data collected by businesses under conditions outlined in the law.

Please refer to the Google Controller-Controller Data Protection Terms for more information.

خلاصه

Security is a primary design criteria for all of Google's infrastructure, products, and operations. Google's scale of operations and its collaboration with the security research community enable us to address vulnerabilities quickly, and often to prevent them entirely. Google runs its own services, such as Search, YouTube, and Gmail, on the same infrastructure that it makes available to its customers, who benefit directly from Google's security controls and practices.

Google believes that it can offer a level of protection that few public cloud providers or private enterprise IT teams can match. Because protecting data is core to Google's business, we can make extensive investments in security, resources, and expertise at a scale that others cannot. Google's investment frees you to focus on your business and innovation. We will continue to invest in our platform to let you benefit from Google services in a secure and transparent manner.