סקירה כללית על אבטחה ותאימות בפלטפורמה של מפות Google

התוכן הזה עודכן לאחרונה בפברואר 2024 והוא מציג את המצב הקיים נכון לזמן שבו היא נכתבה. מדיניות האבטחה ומערכות האבטחה של Google עשויות להשתנות בעתיד, מכיוון שאנחנו כל הזמן פועלים לשיפור ההגנה על הלקוחות שלנו.

סמל PDF להורדה של גרסת PDF

מבוא

הפלטפורמה של מפות Google מספקת ממשקי API וערכות SDK ללקוחות לשותפים לפתח אפליקציות לאינטרנט ולנייד באמצעות טכנולוגית. בפלטפורמה של מפות Google יש יותר מ-50 ממשקי API ו-SDK ללקוחות במגוון תחומים. כלקוחות בתחום, לעיתים קרובות אתם אבטחה, שימוש בנתונים ודרישות רגולטוריות במהלך פיתוח הפתרונות שלכם. לשם כך עליך לוודא שהטכנולוגיה של הצד השלישי עומדת בדרישות האלה. בדרישות שלנו.

המסמך הזה מספק סיכום ברמה גבוהה של האנשים, התהליך אמצעי הבקרה הטכנולוגיים שזמינים בפלטפורמה של מפות Google, יחד עם תיאור היתרונות של השימוש בפלטפורמה. קודם כל, חשוב להבין עמודי התווך הטכנולוגיים העיקריים בפלטפורמה של מפות Google:

  • תשתיות, טכנולוגיות ומרכזי נתונים ש-Google מספקת. Google הפלטפורמה של מפות Google פועלת רק במרכזי נתונים ש-Google מספקת . על בסיס זה, היא מחילה ביקורות פנימיות ובדיקות של צד שלישי על את אמצעי בקרת האבטחה שהוא יורש מ-Google כדי לאמת שמפות Google הפלטפורמה מטמיעה בצורה נכונה את האבטחה, התפעול וההיבטים הטכניים אמצעי הבקרה שמתוארים במאמר הזה.
  • הטכנולוגיה של הפלטפורמה של מפות Google. בנוסף לאמצעי הבקרה שעברו בירושה, הפלטפורמה של מפות Google מספקת אפשרויות נוספות של אבטחה, פרטיות, נתונים אמצעי בקרה תפעוליים לחבילות המוצרים של Google.

המסמך הזה מסכם את תהליכי האבטחה ואמצעי הבקרה בפלטפורמה של מפות Google, באופן הבא:

  • התמקדות באבטחה ובפרטיות בכל רמות הארגון ב-Google
  • תשתית טכנית ואבטחת חומרה
  • אבטחה תפעולית
  • אמצעי בקרת אבטחה עיקריים
  • אבטחה בצד הלקוח, באינטרנט ובנייד
  • אישורים וביקורות נוכחיים בפלטפורמה של מפות Google
  • מסגרות משפטיות נתמכות ברחבי העולם

לקוחות פוטנציאליים יכולים לפנות למכירות שלהם ב-Google לקבלת מידע נוסף.

הארגון של Google שממוקד באבטחה ובפרטיות

האבטחה תורמת למבנה הארגוני, לתרבות הארגונית, לעדיפויות ההכשרה תהליכי הגיוס ב-Google. היא מעצבת את מרכזי הנתונים של Google בטכנולוגיה שהם מספקים. האבטחה עומדת בבסיס הפעולות היומיומיות של Google, כולל תכנון אסונות וניהול איומים. האבטחה נמצאת בעדיפות גבוהה ב-Google באופן שבו הוא מטפל בנתונים, בבקרות חשבונות, בביקורות תאימות ובתעשייה הסמכות. Google מתכננת את השירותים שלה כדי לספק אבטחה טובה יותר מהרבה שירותים חלופות מקומיות שמסתמכות על מספר ספקים ועל מספר פלטפורמות מצב שבו האבטחה היא בדרך כלל תהליך שלא קשור כלל. אתה נהנים מהיתרונות של תוכניות אבטחה ואמצעי אבטחה משולבים, בזמן השימוש בפלטפורמה של מפות Google מוצרים לעסק שלכם. האבטחה של הפלטפורמה של מפות Google נמצאת בעדיפות עליונה הפעילות שלו - פעולות שמשרתות יותר ממיליארד משתמשים ברחבי העולם.

יחד, Google והפלטפורמה של מפות Google מספקות שכבות אבטחה מרובות בכל החברה והארגון:

  • צוות אבטחה ייעודי של Google
  • צוות אבטחת המוצר בפלטפורמה של מפות Google
  • מעורבות פעילה עם הקהילה העולמית למחקרי אבטחה
  • צוות הפרטיות של הפלטפורמה של מפות Google
  • הדרכות בנושא אבטחה ופרטיות לעובדי Google
  • מומחי ביקורת פנימית ותאימות

צוותי אבטחה ייעודיים ב-Google

Google מספקת צוותי אבטחה ייעודיים, בכל החברה וגם בתוך המוצר קטגוריות.

צוותי האבטחה של כל מוצרי Google תומכים במגוון תחומי מוצרים של Google, כולל הפלטפורמה של מפות Google. צוות האבטחה כולל חלק הם מומחים באבטחת מידע, אבטחת אפליקציות, קריפטוגרפיה, ואבטחת רשת. הפעילויות שלהם כוללות:

  • מפתח, בודק ומטמיע תהליכי אבטחה. המידע הזה כולל בדיקת תוכניות האבטחה לרשתות של Google ומתן הצעות ספציפיות לפרויקט לייעוץ לצוותי מוצר והנדסה ב-Google. לדוגמה, מומחי קריפטוגרפיה בודקים השקות של מוצרים שמטמיעים קריפטוגרפיה כחלק מההצעה.
  • ניהול פעיל של איומי אבטחה. שימוש גם מסחרי וגם מותאם אישית הכלים, הצוות עוקב אחרי איומים מתמשכים ופעילות חשודה ב-Google עמוקה מאוד,
  • מבצע ביקורות והערכות שגרתיות, שעשויות לכלול מעורבות למומחים חיצוניים לביצוע בדיקות אבטחה.
  • פרסום מאמרי אבטחה לקהילה הרחבה יותר Google שומרת בלוג בנושא אבטחה וסדרת YouTube להדגיש כמה מצוותי האבטחה הספציפיים את ההישגים שלהם.

צוות האבטחה של הפלטפורמה של מפות Google משתף פעולה עם צוות האבטחה של בצוות האבטחה, שעובדים בצורה הדוקה יותר עם פיתוח מוצרים ו-SRE, כדי לפקח הטמעת אבטחה. באופן ספציפי, הצוות הזה מנהל את הנושאים הבאים:

  • הכלי Disaster Resilience Testing (DiRT), של הפלטפורמה של מפות Google, בודק המשכיות העסקית ויתירות הכשל במוצרי הפלטפורמה של מפות Google, התשתית של Google עם הזמינות הגבוהה ביותר.
  • בדיקת חדירה של צד שלישי. הפלטפורמה של מפות Google המוצרים נבדקים לפחות פעם בשנה כדי לשפר את התוצאות מצב האבטחה של Google ומספק לך אבטחה עצמאית ביטחון.

שיתוף פעולה עם קהילת המחקר בתחום האבטחה

ל-Google יש קשרים הדוקים עם מחקרים בתחום האבטחה כבר זמן רב הקהילה, ו-Google מעריכה מאוד את העזרה שלהם בזיהוי הפוטנציאל נקודות חולשה בפלטפורמה של מפות Google ובמוצרים אחרים של Google.

צוות הפרטיות הייעודי של הפלטפורמה של מפות Google

צוות הפרטיות הייעודי פועל בנפרד מפיתוח מוצרים לארגוני אבטחה. הוא תומך ביוזמות פנימיות של פרטיות במטרה לשפר בפרטיות: תהליכים קריטיים, כלים פנימיים, תשתית ואת פיתוח המוצרים שלנו. הצוות לשמירה על פרטיות מבצע את הפעולות הבאות:

  • מבטיח שהשקות מוצרים כוללות סטנדרטים מחמירים של פרטיות איסוף נתונים. הוא משתתף בכל השקה של מוצר Google דרך מסמכי תיעוד ובדיקות קוד.
  • לאחר השקת המוצר, צוות הפרטיות מפקח על תהליכים אוטומטיים לוודא באופן קבוע איסוף הנתונים המתאימים ושימוש בהם.
  • עורכת מחקר על שיטות מומלצות לשמירה על פרטיות.

הדרכות בנושא אבטחה ופרטיות לעובדי Google

אבטחה ופרטיות הם תחומים שמשתנים כל הזמן, ו-Google מזהה מעורבות של עובדים ייעודיים היא אמצעי מרכזי להעלאת המוּדעוּת. כל Google העובדים עוברים הכשרה בנושא אבטחה ופרטיות כחלק מהדרך והם מקבלים הדרכה שוטפת בנושא אבטחה ופרטיות. לכל אורך הקריירה שלהם ב-Google.

  • במהלך הכיוון: עובדים חדשים מסכימים קוד ההתנהגות, שמדגיש את המחויבות של Google שמירה על הבטיחות והאבטחה של נתוני הלקוחות.
  • הכשרה מיוחדת לפי תפקיד. במשרות מסוימות נדרשת הכשרה בנושא בהיבטים ספציפיים של אבטחה. לדוגמה, צוות אבטחת המידע שמנחה מהנדסים חדשים על שיטות תכנות מאובטחות, על תכנון מוצר כלים אוטומטיים לבדיקת נקודות חולשה. מהנדסי התוכנה משתתפים באופן קבוע בתדריכים בנושא אבטחה, ומקבלים ניוזלטר עם מידע על איומים חדשים, דפוסי תקיפה, שיטות לצמצום הבעיה ועוד.
  • אירועים מתמשכים. Google מארחת כנסים פנימיים באופן קבוע שפתוחים לכולם כדי להגביר את המוּדעוּת בקרב העובדים ולעודד חדשנות בתחום האבטחה והנתונים פרטיות. Google מארחת אירועים במשרדים ברחבי העולם כדי להגביר את המודעות אבטחה ופרטיות בפיתוח תוכנות, בטיפול בנתונים ובמדיניות לאכיפה.

מומחי ביקורת פנימית ותאימות

בפלטפורמה של מפות Google יש צוות ביקורת פנימי ייעודי שבודק את Google 'מוצרים' ציות לחוקים ולתקנות של אבטחה ברחבי העולם. כחדש נוצרים סטנדרטים של ביקורת ומעודכנים תקנים קיימים, הסטנדרטים הפנימיים שצוות הביקורת קובע אילו אמצעי בקרה, מערכות ותהליכים נחוצים כדי לעמוד בסטנדרטים האלה. הצוות תומך בביקורות ובהערכות עצמאיות על ידי צדדים שלישיים. למידע נוסף, ראו אישורי אבטחה ביקורות בהמשך המאמר.

פלטפורמה שמבוססת על אבטחה

Google מתכננת את השרתים, את מערכות ההפעלה הקנייניות שלה ואת המיקום הגיאוגרפי מרכזי נתונים מבוזרים תוך שימוש בעקרון של הגנה לעומק. מפות Google הפלטפורמה פועלת על תשתית טכנית מתוכננת ונבנתה לפעול באופן מאובטח. יצרנו תשתית IT מאובטחת יותר וקלה יותר יותר מאשר פתרונות מסורתיים יותר בארגון או מתארחים.

מרכזי נתונים מתקדמים

ההתמקדות של Google באבטחה ובהגנה על נתונים היא אחד המאמצים העיקריים של Google קריטריונים לעיצוב. האבטחה הפיזית בנתוני Google Centers הוא מודל אבטחה בשכבות. אבטחה פיזית כוללת אמצעי הגנה כמו כרטיסי גישה אלקטרוניים בעיצוב מיוחד, שעונים מעוררים, מחסומי גישה לרכבים, גידור היקפי, גלאי מתכות ומידע ביומטרי. בנוסף, כדי לזהות לעקוב אחר פורצים, Google משתמשת באמצעי אבטחה כמו חטיפה של קרן לייזר זיהוי ומעקב מסביב לשעון באמצעות מצלמות פנימיות וחיצוניות ברזולוציה גבוהה. גישה ליומני גישה, לרשומות הפעילות ולצילומים מהמצלמה שהתרחשה. מאבטחים מנוסים שעברו בדיקה קפדנית בדיקות רקע והכשרות, מבקרים באופן קבוע במרכזי הנתונים של Google. לפי המיקום שלך מתקרבים לקומה של מרכז הנתונים, אמצעי האבטחה גוברים גם הם. גישה אל לקומה של מרכז הנתונים אפשר לגשת רק דרך מסדרון מאובטח כוללת בקרת גישה רב-שלבית באמצעות תגי אבטחה ונתונים ביומטריים. רק עובדים מורשים בתפקידים ספציפיים יכולים להיכנס לקומה. פחות מאחוז אחד של עובדי Google ייכנסו אי פעם לאחד ממרכזי הנתונים של Google.

Google מפעילה מרכזי נתונים ברחבי העולם כדי למקסם את המהירות והאמינות של השירותים שלה. התשתית שלו מוגדרת בדרך כלל למילוי בקשות מ- מרכז הנתונים הקרוב ביותר למקור התנועה. לכן המיקום המדויק של הנתונים בפלטפורמה של מפות Google עשוי להשתנות בהתאם למקום תנועה כזו מגיעה, וייתכן שהנתונים האלה יעובדו על ידי שרתים שנמצאים באזור הכלכלי האירופי ובבריטניה, או שהועברו למדינות צד שלישי. לקוחות Google הצעות שבהן מוצרים של הפלטפורמה של מפות Google שמוטמעים זמינים לכלל המשתמשים (GA) בכל העולם ובדרך כלל מושכים קהל גלובלי. התשתית הטכנית שתומכת המוצרים האלה פרוסים בכל העולם כדי להפחית את זמן האחזור ולהבטיח יתירות המערכות שלנו. הפלטפורמה של מפות Google משתמשת בקבוצת משנה של רשת מרכז הנתונים הגלובלי של Google בהמשך:

מפת העולם שמוצגים בה מיקומים של מרכזי נתונים בצבע כחול נקודות

צפון ו- דרום אמריקה

אירופה

אסיה

הפעלת מרכזי נתונים של Google

כדי ששירותי Google ימשיכו לפעול מסביב לשעון ולספק שירותים ללא הפסקות, הנתונים בחשבון Google ובמרכזים יש מערכות כוח ואמצעי בקרה סביבתיים יתירים. לכל רכיב קריטי יש ספק כוח ראשי וחלופי השווים בעוצמתם. גנרטורים לגיבוי יכולים לספק די והותר הספק חשמלי לשעת חירום כדי להפעיל כל אחד ממרכזי הנתונים בקיבולת מלאה. מערכות הקירור שומרות על הפעלה עקבית לצמצום טמפרטורה עבור שרתים וחומרה אחרת, אשר מפחית את הסיכון לשירות הפסקות זמניות בשירות תוך צמצום ההשפעה הסביבתית. זיהוי שריפות וציוד דיכוי עוזר למנוע נזק לחומרה. גלאי חום, אש גלאי עשן וגלאי עשן מפעילים אזעקות שניתן לשמוע ולראות אותן באבטחה במסופי תפעול ובשולחנות עבודה וירטואליים למעקב.

Google היא חברת האינטרנט הראשונה שמספקת שירותי אינטרנט חיצוניים אישור על העמידה בדרישות המדיניות בנושאי סביבה, בטיחות במקום העבודה ואנרגיה במרכזי הנתונים של Google. לדוגמה, כדי להמחיש את הסיבה והמחויבות שלנו לשיטות ניהול אנרגיה, Google השיגה ISO וולונטרית 50001 הסמכות למרכזי הנתונים של הסוכנות באירופה.

חומרה ותוכנה של השרת בהתאמה אישית

במרכזי הנתונים של Google יש ציוד רשת ושרתים שנבנו במיוחד, חלק ש-Google מעצבת. אומנם שרתי Google מותאמים אישית כדי למקסם ביצועים, קירור ויעילות עוצמה, הם גם מיועדים לעזור להגן מפני התקפות פיזיות על חדירות. בניגוד לרוב הנכסים שזמינים באופן מסחרי חומרה, השרתים של Google לא כוללים רכיבים מיותרים כרטיסים, ערכות שבבים או מחברים של ציוד היקפי, שכולם יכולים ליצור נקודות חולשה. Google בודקת את ספקי הרכיבים ובוחרת רכיבים בזהירות, לעבוד עם ספקים כדי לבדוק ולאמת את מאפייני האבטחה שסופקו על ידי הרכיבים. Google מפתחת צ'יפים בהתאמה אישית, כמו Titan, שעוזר לנו לזהות ולבצע אימות באופן מאובטח למכשירי Google לגיטימיים ברמת החומרה, כולל הקוד שבהם משתמשים כדי לאתחל.

משאבי השרתים מוקצים באופן דינמי, וכך מתאפשרות גמישות בצמיחה ויכולת התאמה עצמית במהירות וביעילות, על ידי הוספה או הקצאה מחדש של המשאבים על סמך הביקוש מצד הלקוחות. סביבה הומוגנית זו מתוחזקת באמצעות תוכנה קניינית שעוקבת באופן שוטף אחרי המערכות כדי לאתר שינויים ברמה הבינארית. המנגנונים האוטומטיים של Google לתיקון עצמי נועדו שמאפשרים לנו לעקוב אחרי אירועים משבשים ולתקן אותם, לקבל התראות מידע על תקריות, ולהאט את סכנות אפשריות ברשת.

פריסה מאובטחת של שירותים

שירותי Google הם הקבצים הבינאריים של האפליקציות שמפתחים ב-Google כותבים לפעול בתשתית של Google. כדי להתמודד עם ההיקף הנדרש של עומס העבודה, אלפי מכונות עשויות להריץ קבצים בינאריים של אותו שירות. אשכול שירות תזמור, שנקרא Borg, שולט בשירותים מריצים ישירות בתשתית.

התשתית לא מבוססת על אמון בין השירותים שפועלים בתשתית. מודל האמון הזה נקרא מודל 'אפס אמון' מודל אבטחה. וברירת המחדל שלו היא שאין אמון באף מכשיר או משתמש, בתוך הרשת ומחוץ לה.

מכיוון שהתשתית נועדה להיות מרובת דיירים (multi-tenant), נתונים לקוחות (צרכנים, עסקים ואפילו הנתונים של Google עצמה) בתשתית משותפת. התשתית הזו מורכבת מעשרות של אלפי מכונות הומוגניות. התשתית אינה נפרדת את נתוני הלקוחות במכונה אחת או בקבוצת מכונות.

מעקב אחרי חומרה וסילוקה

Google עוקבת בקפידה אחרי המיקום והסטטוס של כל הציוד מרכזי נתונים באמצעות ברקודים ותגי נכסים. Google פורסת גלאי מתכות מעקב וידאו כדי לוודא שאף ציוד לא יוצא ממרכז הנתונים סף תחתון ללא אישור. אם רכיב מסוים לא עבר בדיקת ביצועים בכל שלב במחזור החיים שלו, הוא יוסר מהמלאי ויצא משימוש.

של התקני האחסון של Google, כולל כוננים קשיחים, כונני SSD מודולים של זיכרון שני שורות שורות (DIMM) שאינם תנודתיים, ומשתמשים בטכנולוגיות כמו דיסק מלא הצפנה (FDE) ונעילת אחסון כדי להגן על נתונים באחסון. כאשר נפח האחסון המכשיר הוצא משימוש, אנשים מורשים מאמתים שהדיסק נמחק על ידי כתיבת אפסים ל-Drive. הן גם מבצעות אימות רב-שלבי כדי לוודא שהכונן לא מכיל נתונים. אם לא ניתן למחוק אחסון של מכל סיבה שהיא, הוא מושמד פיזית. פגיעה פיזית מתבצעת באמצעות לגריסה ששוברת את הכונן לחתיכות קטנות ואז ממוחזרות במתקן מאובטח. כל מרכז נתונים פועל בהתאם למדיניות מחמירה בנושא השלכה, שונים יטופלו באופן מיידי.

יתרונות האבטחה של הרשת הגלובלית של Google

בענן גיאו-מרחבי אחר ובפתרונות מקומיים, הנתונים עוברים במכשירים שונים באינטרנט הציבורי בנתיבים שנקראים צעדים. מספר הצעדים תלוי במסלול האופטימלי בין ה-ISP של הלקוח למרכז הנתונים. כל צעד נוסף ייתן הזדמנות חדשה לתקיפה של נתונים נקלטו ב-Gemini. בגלל שהרשת הגלובלית של Google מקושרת לרוב ספקי האינטרנט בארה"ב הרשת של Google מגבילה את הצעדים באינטרנט הציבורי, עוזרת להגביל את הגישה של גורמים זדוניים לנתונים האלה.

הרשת של Google משתמשת בשכבות הגנה מרובות - הגנה לעומק כדי לעזור להגן על הרשת מפני מתקפות חיצוניות. רק שירותים מורשים פרוטוקולים שעומדים בדרישות האבטחה של Google מורשים לעבור ביניהן; כל דבר אחר מושמט באופן אוטומטי. כדי לאכוף הפרדה של רשתות, Google משתמש בחומות אש וברשימות של בקרת גישה. כל התנועה מנותבת דרך Google שרתי קצה קדמי (GFE) שעוזרים לזהות ולעצור בקשות זדוניות התקפות מניעת שירות מבוזרות (DDoS). היומנים נבדקים באופן סדיר לחשוף כל ניצול של שגיאות תכנות. הגישה למכשירים המחוברים לרשת היא מוגבל לעובדים מורשים בלבד.

התשתית הגלובלית של Google מאפשרת לנו להפעיל פרויקט Shield, שמספק הגנה בחינם וללא הגבלה לאתרים חשופות למתקפות DDoS שמשמשות לצנזור מידע. Microsoft Project שירות Shield זמין באתרי חדשות, באתרי זכויות אדם וב אתרים למעקב אחרי מערכות בחירות.

פתרונות עם זמן אחזור נמוך וזמינות גבוהה

רשת נתוני ה-IP של Google מורכבת מסיב נפרד, מסיב לשימוש ציבורי, לכבלים תת-ימיים. כך אנחנו יכולים לספק שירותים עם זמינות גבוהה וזמן אחזור נמוך ברחבי העולם.

Google מתכננת את רכיבי הפלטפורמה כך שיהיה יתירות מאוד. הזה היתירות חלה על תכנון השרת של Google, על האופן שבו Google מאחסנת נתונים, לרשת ולאינטרנט, וגם לשירותי התוכנה עצמם. הזה "יתירות של הכול" כולל טיפול בחריגות ויוצר פתרון שאינם תלויים בשרת יחיד, במרכז נתונים או בחיבור לרשת.

מרכזי הנתונים של Google מפוזרים באזורים גיאוגרפיים שונים כדי למזער את ההשפעות של שיבושים אזוריים במוצרים גלובליים, למשל, אסונות טבע או אסונות מקומיים קיימות הפסקות זמניות בשירות. במקרה של כשל בחומרה, בתוכנה או ברשת, שירותי הפלטפורמה ורמות הבקרה מועברים באופן אוטומטי ומיידי ממתקן אחד למתקן אחר, כדי ששירותי הפלטפורמה יוכלו להמשיך לפעול ללא הפרעה.

התשתית היתירה מאוד של Google גם עוזרת לך להגן על העסק שלך מאובדן נתונים. המערכות של Google מתוכננות כדי לצמצם זמן השבתה חלונות תחזוקה שבהם נצטרך לשירות או לשדרג את הפלטפורמה שלנו.

אבטחה תפעולית

אבטחה היא חלק בלתי נפרד מהתפעול של Google, ולא אקראית. הקטע הזה מתאר את התוכנות של Google לניהול נקודות חולשה, מניעת תוכנות זדוניות תוכניות, ניטור אבטחה וניהול אירועים.

ניהול נקודות חולשה

בתהליך הפנימי של Google לניהול נקודות חולשה מתבצע חיפוש פעיל אחר אבטחה באיומים בכל סטאק התוכנות. בתהליך משולבים כלים שזמינים מסחרית, כלים של קוד פתוח וכלים ייעודיים פנים-ארגוניים, שכוללים:

  • תהליכי בקרת איכות
  • בדיקות אבטחת תוכנה
  • מאמצים אוטומטיים וידניים אינטנסיביים במיוחד, כולל פעילות נרחבת של Red תרגילי צוות
  • בדיקת חדירה חיצונית חוזרת למפות Google מוצרי הפלטפורמה
  • ביקורות חיצוניות חוזרות

הארגון לניהול נקודות החולשה והשותפים שלו אחראים על זיהוי של נקודות חולשה ומעקב אחריהן. מאחר שכדי לשפר את האבטחה צריך לטפל בכל הבעיות ולתקן אותן, בצינורות עיבוד הנתונים האוטומטיים נערכות בדיקות חוזרות של מצב נקודות החולשה, מבוצע אימות של התיקונים ומסומנים לבדיקה פתרונות שגויים או חלקיים.

ניטור לצורכי אבטחה

תוכנית המעקב אחר אבטחה של Google מתמקדת במידע שנאסף מתנועה פנימית ברשת, מפעולות של עובדים במערכות ומ ידע חיצוני על נקודות חולשה. עיקרון מרכזי של Google הוא צבירה ולאחסן את כל נתוני הטלמטריה של האבטחה במקום אחד כדי לשמור על אבטחה מאוחדת את הניתוח.

במקומות רבים ברשת הגלובלית של Google, התנועה הפנימית נבדקת התנהגות חשודה, כמו נוכחות של תנועה שעשויה להעיד על בוטנט בחיבורים. Google משתמשת בשילוב של כלים בקוד פתוח וכלים מסחריים כדי לתעד ולנתח את התנועה כדי ש-Google תוכל לבצע את הניתוח הזה. א' מערכת התאמה קניינית המבוססת על הטכנולוגיה של Google, תומכת גם מהניתוח הזה. Google משלימה את ניתוח הרשת על ידי בחינת יומני המערכת לזהות התנהגות חריגה, כמו ניסיונות לגשת לנתוני לקוחות.

Threat Analysis Group ב-Google עוקב אחרי הגורמים לאיומים בהתפתחות של הטקטיקות והטכניקות שלהם. בדיקה של מהנדסי האבטחה של Google דוחות אבטחה נכנסים ועוקבים אחרי רשימות תפוצה ציבוריות, פוסטים בבלוגים וויקי. ניתוח רשת אוטומטי וניתוח אוטומטי של יומני המערכת עוזרים לקבוע מתי איום לא ידוע עלול להתרחש. אם התהליכים האוטומטיים מזהים בעיה מסוימת תועבר לטיפול של צוות האבטחה של Google.

זיהוי פריצות אבטחה

Google משתמשת בצינורות עיבוד נתונים מתוחכמים כדי לשלב אותות במכשירים נפרדים, אותות מבוססי רשת מכלי מעקב שונים נקודות בתשתית ואותות משירותי תשתית. כללים והבינה המלאכותית של מכונה שמבוססת על צינורות עיבוד הנתונים האלה מספקת אזהרות של מהנדסי אבטחה מפני תקריות אפשריות. החקירה של Google שצוותי התגובה לאירועים מתקנים את הפוטנציאל, חוקרים אותו ומגיבים לו אירועים 24 שעות ביממה, 365 ימים בשנה. Google עורכת תרגילים בצוות האדום בנוסף לבדיקת חדירה חיצונית כדי למדוד ולשפר את יעילות המנגנונים של Google לזיהוי ולתגובה.

ניהול אירועי אבטחה

ל-Google יש תהליך קפדני לניהול אירועי אבטחה שעלול משפיעה על הסודיות, התקינות או הזמינות של המערכות או הנתונים. התוכנית של Google לניהול אירועי אבטחה מבוססת על NIST הדרכה לטיפול בתקריות (NIST SP 800–61). Google מספקת הדרכה עבור חברי צוות מרכזיים בתחום הזיהוי הפורנזי ובטיפול בראיות כהכנה אירוע, כולל שימוש בכלים של צד שלישי ובכלים קנייניים.

Google בודקת תוכניות תגובה לאירועים בתחומים מרכזיים. הבדיקות האלה לוקחות בחשבון כולל איומים מבפנים ונקודות חולשה בתוכנה. כדי להגיע לפתרון מהיר של אירועי אבטחה, צוות האבטחה של Google זמין מסביב לשעון לכל העובדים.

שיטות לפיתוח תוכנות

Google משתמשת באמצעי הגנה על בקרת מקורות ובביקורות על ידי שני צדדים כדי באופן יזום להגביל את ההצגה של נקודות חולשה. Google מספקת גם ספריות למנוע ממפתחים להוסיף סוגים מסוימים של באגים באבטחה. עבור למשל, ל-Google יש ספריות ומסגרות (frameworks) שנועדו לבטל את XSS. נקודות חולשה בערכות SDK. ל-Google יש גם כלים אוטומטיים לזיהוי אבטחה באגים, כמו fuzzers, כלי ניתוח סטטיים וסורקי אבטחת אינטרנט.

אמצעי הגנה על קוד מקור

קוד המקור של Google מאוחסן במאגרים עם תקינות מקור מובנית ופיקוח, שיאפשרו לבדוק גם גרסאות קודמות וגם גרסאות קודמות של השירות. התשתית מחייבת לבנות את הקבצים הבינאריים של השירות. מקוד מקור ספציפי אחרי שהוא נבדק, נמצא בבדיקה ונבדק. בינארי ההרשאה ל-Borg (BAB) היא בדיקת אכיפה פנימית שמתרחשת כשהשירות נפרס. בדיקת BAB:

  • מוודא שתוכנת הייצור וההגדרות האישיות שנפרסו ב-Google נבדקו ואושרו, במיוחד כאשר הקוד הזה יכול לגשת לנתוני משתמשים
  • מוודאת שפריסות הקוד וההגדרות עומדות בסטנדרטים מינימליים מסוימים
  • מגביל את היכולת של גורמים פנימיים או יריבים ליצור תוכנות זדוניות שינויים בקוד המקור וגם מספקים נתיב פורנזי השירות בחזרה למקור שלו

צמצום סיכון פנימי

Google מגבילה ועוקבת באופן פעיל אחרי פעילויות של עובדים שקיבלו הרשאת אדמין לתשתית. Google פועלת כל הזמן כדי לבטל את הצורך בגישה בעלת הרשאות למשימות מסוימות באמצעות אוטומטית שיכולה לבצע את אותן משימות באופן בטוח ומבוקר. עבור לדוגמה, Google דורשת אישורים משני גורמים לפעולות מסוימות, ו-Google משתמשת ממשקי API מוגבלים שמאפשרים לנפות באגים בלי לחשוף מידע רגיש.

הגישה של עובדי Google למידע של משתמשי קצה מתועדת באמצעות הוּקים (hooks) לתשתית. צוות האבטחה של Google עוקב אחר דפוסי הגישה לחקור אירועים חריגים.

בדיקה של תוכנית התאוששות מאסון (DR) – DiRT

הפלטפורמה של מפות Google מפעילה תוכנית התאוששות מאסון (DR) שנתית של כל החברה אירועי בדיקה (DiRT) כדי לוודא שהשירותים של הפלטפורמה של מפות Google הפעילות העסקית הפנימית תמשיך לפעול בזמן אסון. DiRT היה שפותחו כדי למצוא נקודות חולשה במערכות קריטיות באמצעות כשלים וכדי לתקן את נקודות החולשה האלה לפני שכשלים באופן לא מבוקר. DiRT בוחן את החוסן הטכני של Google על ידי ניתוחי ובודקת את העמידות התפעולית של Google על ידי מניעה מפורשת עובדים חיוניים, מומחים באזור ומנהיגים שישתתפו. הכול באופן כללי לשירותים הזמינים נדרשים בדיקות DiRT פעילות שוטפות כדי לאמת את החוסן והזמינות שלהם.

כדי להתכונן לתרגיל DiRT, Google משתמשת בקבוצה עקבית של לגבי תעדוף,

פרוטוקולי תקשורת, ציפיות להשפעה ודרישות תכנון לבדיקה, כולל תוכניות שכבר נבדקו ואושרו לביטול החזרה. תרחישים ותרגילים של DiRT לא רק לאלץ כשלים טכניים בשירות עצמו, אלא גם עשויים לכלול כשלים מתוכננים בתהליך, זמינות של אנשי מפתח, מערכות תמיכה תקשורת וגישה פיזית. DiRT מאמת שהתהליכים קיימים בפועל פועלות בפועל. זה גם מבטיח שהצוותים עוברים הכשרה מוקדמת החוויה שהם יכולים להשתמש בה בזמן הפסקות זמניות בשירות, שיבושים ואסונות מעשה ידי אדם או טבעי.

אמצעי בקרת אבטחה עיקריים

בקטע הזה מתוארים אמצעי האבטחה העיקריים של הפלטפורמה של מפות Google כדי להגן על הפלטפורמה שלה.

הצפנה

הצפנה מוסיפה שכבת הגנה על הנתונים. ההצפנה מבטיחה שאם התוקף מקבל גישה לנתונים, הוא לא יכול לקרוא את הנתונים בלי שתהיה להם גם גישה למפתחות ההצפנה. גם אם מקבל גישה לנתונים (לדוגמה, על ידי גישה לחיבור קווי בין מרכזי נתונים או על ידי גניבת התקן אחסון), הם לא יוכלו כדי להבין או לפענח אותו.

ההצפנה מספקת מנגנון חשוב באופן שבו Google עוזרת להגן על פרטיות הנתונים. הוא מאפשר למערכות לבצע מניפולציות על נתונים, לדוגמה גיבוי - ומהנדסים שיתמכו בתשתית של Google, מבלי לספק גישה לתוכן עבור המערכות או העובדים האלה.

הצפנה במנוחה

הצפנה במצב מנוחה בסעיף הזה היא הצפנה שמשמשת להגנה על נתונים מאוחסן בדיסק (כולל כונני SSD) או מדיה לגיבוי. הנתונים הם מוצפן ברמת האחסון, בדרך כלל באמצעות AES256 (הצפנה מתקדמת סטנדרטי). לעיתים קרובות, הנתונים מוצפנים בכמה רמות בסביבת הייצור של Google סטאק אחסון במרכזי נתונים, כולל ברמת החומרה, ללא דרישה מצד לקוחות Google לבצע פעולה כלשהי. שימוש במספר שכבות הצפנה

מוסיף הגנה על נתונים מיותרים ומאפשר ל-Google לבחור את הגישה האופטימלית בהתאם לדרישות האפליקציה. Google משתמשת בספריות קריפטוגרפיות נפוצות שבהם משולבים המודול FIPS 140-2 של Google להטמיע הצפנה בכל המוצרים באופן עקבי. שימוש עקבי בכללים המשותפים פירושו שרק צוות קטן של קריפטוגרפים צריך להטמיע לשמור את הקוד הזה מפוקח ונבדק.

הגנה על הנתונים במעבר

נתונים עלולים להיות חשופים לגישה לא מורשית במהלך המעבר שלהם באינטרנט. הפלטפורמה של מפות Google תומכת בהצפנה חזקה במעבר בין לקוחות במכשירים וברשתות, ושרתי ממשק הקצה של Google (GFE) של Google. Google ממליץ ללקוחות/למפתחים להשתמש בהצפנה החזקה ביותר של Google שנתמכת (TLS 1.3) כאשר יוצרים אפליקציות כשיטה מומלצת. חלק מהלקוחות יש תרחישים לדוגמה שדורשים סטים ישנים של אלגוריתמים להצפנה (cipher suite) מטעמי תאימות, לכן הפלטפורמה של מפות Google תומכת בסטנדרטים חלשים יותר, אבל היא לא מומלצת ולהשתמש בהם ככל האפשר. ב-Google Cloud יש גם אפשרויות תחבורה נוספות של אפשרויות הצפנה, כולל Cloud VPN ליצירת פרטיות וירטואלית ברשתות של IPsec עבור מוצרי הפלטפורמה של מפות Google.

הגנה על נתונים במעבר בין מרכזי נתונים של Google

אבטחת שכבת התעבורה של אפליקציה (ALTS) מבטיחה ש-Google תקינה שתעבורת הנתונים מוגנת ומוצפנת לפי הצורך. לאחר לחיצת יד בין הלקוח לשרת מלא, הלקוח והשרת מנהלים משא ומתן על הסודות הקריפטוגרפיים המשותפים הנחוצים הצפנה ואימות של תעבורת הנתונים ברשת, ALTS מאבטח את RPC (מרחוק נוהלי קריאה) לתנועה על ידי אילוץ תקינות, באמצעות הערך המשותף של ההסכם את הסודות שלנו. Google תומכת בכמה פרוטוקולים לשמירה על תקינות האפליקציה, כמו AES-GMAC (תקן ההצפנה המתקדם), עם מפתחות של 128 ביט. בכל פעם שיש תנועה משמש כגבול פיזי שנמצא בשליטתה של Google או מטעמה, לדוגמה: מעבר ב-WAN (רשת תקשורת רחבה) בין מרכזי נתונים, כל הפרוטוקולים ישודרגו באופן אוטומטי כדי לספק הצפנה ותקינות.

זמינות השירות בפלטפורמה של מפות Google

יכול להיות שחלק מהשירותים של הפלטפורמה של מפות Google לא יהיו זמינים בכל מקום למיקומים גיאוגרפיים. השיבושים האלה בדרך כלל זמניים ונובעים מהפסקות זמניות בפעילות הרשת, אבל חלקם קבועים ונובעים מהגבלות מצד גורמי ממשל. השקיפות המקיפה של Google בדוחות ובלוח הבקרה של סטטוס המינוי מוצגים נתונים עדכניים שיבושים מתמשכים בתנועה לשירותי הפלטפורמה של מפות Google. Google מספקת הנתונים האלה יעזרו לכם לנתח ולהבין את נתוני זמן הפעולה התקינה של Google.

אבטחה בצד הלקוח

אבטחה היא אחריות משותפת בין ספק שירותי Cloud לבין לקוח/שותף שמטמיע מוצרים של הפלטפורמה של מפות Google. הקטע הזה מפרט את תחומי האחריות של הלקוח/השותף שיש להתחשב בהם כאשר תכנון פתרון של הפלטפורמה של מפות Google.

ממשקי API של JavaScript

אתרים מאובטחים

JavaScript API של מפות Google מפרסם קבוצה של המלצות שמאפשרות להתאים אישית את המדיניות בנושא אבטחת תוכן (CSP) של האתר שלהם כדי להימנע נקודות חולשה כגון סקריפטים חוצי-אתרים, חטיפת קליקים (clickjacking) והחדרת נתונים מתקפות. ב-JavaScript API יש תמיכה בשתי צורות של CSP: מדיניות CSP מחמירה באמצעות צפנים חד-פעמיים ולהוסיף את CSP לרשימת ההיתרים.

אבטחת JavaScript

קוד ה-JavaScript נסרק באופן קבוע כדי לאתר דפוסי אבטחה ידועים. ניתן לפתור בעיות במהירות. JavaScript API מופץ מדי שבוע אם יתעוררו בעיות כלשהן, או על פי דרישה.

Mobile Application Security (MAS)

Mobile Application Security (MAS) הוא מאמץ פתוח וגמיש שמבוסס על קהל של עשרות מחברים וביקורות מכל רחבי העולם. פרויקט הדגל של OWASP Mobile Application Security (MAS) מספק אבטחה תקן לאפליקציות לנייד (OWASP MASVS) ומדריך בדיקות מקיף (OWASP MASTG) שעוסק בתהליכים, בשיטות ובכלים שבהם נעשה שימוש במהלך אפליקציה לנייד בדיקות אבטחה וגם קבוצה מקיפה של מקרי בדיקה שמאפשרים לבודקים כדי לספק תוצאות עקביות ומלאות.

  • תקן האימות לאבטחת אפליקציות לנייד של OWASP (MASVS) מספק בסיס להשוואה של נתונים מלאים ועקביים. בדיקות אבטחה ל-iOS ול-Android.
  • OWASP Mobile Application Security Guide (MASTG) הוא מדריך מקיף שכולל את התהליכים, הטכניקות והכלים שבהם נעשה שימוש במהלך ניתוח האבטחה באפליקציות לנייד, וגם מקרי בדיקה לאימות הדרישות שמפורטות ב-MASVS.
  • רשימת המשימות לאבטחת אפליקציות לנייד של OWASP כוללת קישורים למקרי הבדיקה של MASTG עבור כל בקרת MASVS.
    • הערכות אבטחה / מבחנים: ודאו שאתם לפחות מכסה את שטח מתקפה רגיל ולהתחיל לחקור.
    • תאימות רגילה: כולל גרסאות MASVS ו-MASTG ומזהי שמירה.
    • לומדים ותרגלו את מיומנויות האבטחה בניידים.
    • באגים ב-Big Bounities: עוברים שלב אחרי שלב שמכסים את שטח המתקפה בנייד.

מומלץ להשתמש ב-OWASP MAS כדי לשפר את האפליקציות ל-iOS ול-Android יכולות אבטחה, בדיקה ואימות.

Android

במהלך הפיתוח של אפליקציות ל-Android, יש גם משאבים נוספים שכדאי להביא בחשבון הם שיטות מומלצות לשימוש באפליקציות קהילתיות ל-Android. האבטחה כוללות שיטות מומלצות לאכיפה תקשורת, הגדרת ההרשאות הנכונות, אחסון בטוח לנתונים, שירות של יחסי התלות ועוד.

iOS

כשמפתחים אפליקציות ל-iOS, כדאי לעיין במאמר מבוא של Apple לאבטחה מדריך תכנות, שכולל שיטות מומלצות ל-iOS פלטפורמה.

איסוף נתונים, שימוש בהם ושמירה שלהם

Google Maps Platform מחויבת לשקיפות בנוגע לאיסוף נתונים, שימוש בנתונים ושמירת נתונים. איסוף הנתונים בפלטפורמה של מפות Google, השימוש בהם והשימוש בהן כפוף לתנאים של הפלטפורמה של מפות Google השירות, שכולל את מדיניות הפרטיות של Google מדיניות.

איסוף נתונים

הנתונים נאספים באמצעות מוצרי הפלטפורמה של מפות Google. כלקוחות, יש לך שליטה על המידע שתשדר לפלטפורמה של מפות Google באמצעות ממשקי API וערכות SDK. כל הבקשות בפלטפורמה של מפות Google נרשמות ביומן, לכלול קודי סטטוס של תגובות מהמוצר.

נתונים מתועדים בפלטפורמה של מפות Google

הנתונים מתועדים בפלטפורמה של מפות Google בכל המוצרים. היומנים מכילים מספר רשומות שכוללות בדרך כלל:

  • מזהה חשבון שיכול להיות מפתח API, Client-ID או פרויקט ב-Cloud מספר. זה נדרש לצורך תפעול, תמיכה וחיוב.
  • כתובת ה-IP של השרת, השירות או המכשיר ששלחו את הבקשה. לגבי ממשקי API, חשוב לשים לב שכתובת ה-IP שתישלח לפלטפורמה של מפות Google תלויה באופן שבו ההפעלה של ה-API מוטמעת באפליקציה/בפתרון. עבור ערכות SDK, כתובת ה-IP הכתובת של המכשיר המפעיל מתועדת.
  • כתובת ה-URL של הבקשה, שמכילה את ה-API והפרמטרים שמועברים אל API. לדוגמה, ל-Geocoding API נדרשים פרמטרים (כתובת ומפתח API). בקידוד גיאוגרפי יש גם כמה . כתובת ה-URL של הבקשה תכלול את כל הפרמטרים שמועברים אל לאחר השיפור.
  • התאריך והשעה של הבקשה.
  • באפליקציות אינטרנט נרשמות כותרות של בקשות שבדרך כלל כוללות נתונים כמו סוג דפדפן האינטרנט ומערכת ההפעלה.
  • לאפליקציות לנייד שמשתמשות ב-SDK יש את גרסת Google Play, הספרייה, ושם האפליקציה נרשמו.

גישה ליומן בפלטפורמה של מפות Google

הגישה ליומנים מוגבלת מאוד ומורשה רק לצוות ספציפי חברים שיש להם צורך עסקי לגיטימי. כל בקשת גישה אל קובצי יומן מתועדים למטרות ביקורת, שאומתו באמצעות ביקורות של צד שלישי בתקן ISO 27001 ו-SOC 2.

שימוש בנתונים

נתונים שנאספים על ידי הפלטפורמה של מפות Google משמשים למטרות הבאות:

  • שיפור המוצרים והשירותים של Google
  • מתן תמיכה טכנית ללקוחות
  • מעקב תפעולי והתראות
  • שמירה על אבטחת הפלטפורמה
  • תכנון קיבולת הפלטפורמה

לתשומת ליבכם: הפלטפורמה של מפות Google אף פעם לא תמכור נתוני תפעול של משתמשים צדדים שלישיים הצדדים כפי שמתועד במדיניות הפרטיות של Google.

שמירה ואנונימיזציה של נתונים

נתונים שנאספים ביומנים של הפלטפורמה של מפות Google עשויים להישמר לפרקי זמן שונים זמן בהתאם לצרכים העסקיים, בכפוף לאנונימיזציה של הנתונים ול-Google כללי המדיניות בנושא השמטת נתונים. כתובות IP עוברות אנונימיזציה באופן אוטומטי ברגע מעשי (חלק מכתובת ה-IP נמחק). שימוש מצטבר ואנונימי נתונים סטטיסטיים הנגזרים מיומנים עשויים להישמר ללא הגבלת זמן.

אישורים שקשורים לאבטחה, לתעשייה, לזמינות גבוהה, לאישורים סביבתיים ביקורות

ISO 27001

ארגון התקינה הבינלאומי (ISO) הוא ארגון עצמאי, ארגון בינלאומי לא ממשלתי עם חברות בינלאומית 163 גופי תקנים לאומיים. משפחת ISO/IEC 27000 של סטנדרטים עוזרים לארגונים לשמור על נכסי המידע שלהם מאובטח.

תיאור של ISO/IEC 27001 והדרישות לאבטחת מידע מערכת ניהול (ISMS), מציינת קבוצה של שיטות מומלצות ומפרטת אמצעי אבטחה שיכולים לעזור בניהול סיכוני מידע.

הפלטפורמה של מפות Google והתשתית המשותפת של Google אושרו כ-ISO/IEC תואם לתקן 27001. תקן 27001 לא מחייב מידע ספציפי אמצעי הבקרה לאבטחה, אבל המסגרת הרעיונית ורשימת הפקדים שהיא כוללת מאפשרים Google להבטיח מודל מקיף לשיפור האבטחה באופן קבוע ניהול.

אפשר להוריד ולבדוק את אישור תקן ISO 27001 של הפלטפורמה של מפות Google. ממנהל דוחות התאימות של Google.

SOC 2 סוג II

SOC 2 הוא דוח שמבוסס על Auditing Standards Board (מועצת תקני הביקורת) של The American Institute of Certified Public Accountants (AICPA) קריטריונים קיימים להרשאות Trust (TSC). המטרה של מטרת הדוח היא להעריך את מערכות המידע של הארגון שרלוונטיות אבטחה, זמינות, תקינות העיבוד, סודיות ופרטיות. רשתות חברתיות 2 דוחות מסוג II מונפקים חצי שנה בסביבות יוני ו דצמבר.

אפשר להוריד ולבדוק את דוח הביקורת SOC 2 Type II של הפלטפורמה של מפות Google. ממנהל דוחות התאימות של Google.

Cloud Security Alliance (CSA)

Cloud Security Alliance (1, 2) היא עמותה היא "לקדם את השימוש בשיטות מומלצות לשמירה על אבטחה ותקנות בתחום מחשוב הענן, ותספק הדרכה לגבי השימושים בענן מחשוב שעוזר לאבטח את כל צורות המחשוב האחרות".

התוכנית Security, Trust, and Assurance Registry של CSA - CSA STAR מיועדת כדי לעזור לכם להעריך ולבחור ספק של שירותי ענן, לבדיקה עצמית, ביקורת על ידי צד שלישי ומעקב רציף.

הפלטפורמה של מפות Google עברה את שלבי ההערכה של צד שלישי אישור (CSA STAR ברמה 1: אימות)

Google היא גם נותנת חסות למודעות CSA וחברה ב-International CSA (International CSA) המועצה לתקינה (ISC) והמייסדה של CSA מרכז מצוינות GDPR.

ISO 22301:2019

ארגון התקינה הבינלאומי (ISO) הוא ארגון עצמאי, ארגון בינלאומי לא ממשלתי עם חברות בינלאומית 163 גופי תקנים לאומיים.

ISO 22301:2019 הוא תקן בינלאומי לעסקים ניהול המשכיות, שנועד לעזור לארגונים להטמיע, לתחזק ולתחזק ולשפר את מערכת הניהול כדי למנוע, להתכונן, להגיב ולהתאושש משיבושים שבהם הם נובעים.

מרכזי הנתונים שתומכים במוצרים של הפלטפורמה של מפות Google אושרו בתור תואם לתקן ISO 22301:2019 ו-BS EN ISO 22301:2019 לאחר בדיקה של מבקר עצמאי מצד שלישי. ציות לסטנדרטים האלה עבור במרכזי הנתונים מראים שמיקומים שמתארחים במוצרים ובשירותים של Google עומדות בדרישות שמפורטות בתקן ISO 22301:2019 ובתקן BS EN ISO 22301:2019.

ISO 50001

ארגון התקינה הבינלאומי (ISO) הוא ארגון עצמאי, ארגון בינלאומי לא ממשלתי עם חברות בינלאומית 163 גופי תקנים לאומיים.

ISO 50001:2018 הוא תקן בינלאומי לאנרגיה המיועד לעזור לארגונים ליישם, לתחזק ולתחזק לשפר מערכת ניהול כדי לשלב ניהול אנרגיה מאמצים לשיפור האיכות והניהול הסביבתי.

מרכזי הנתונים של Google באירופה, המזרח התיכון ואפריקה (EMEA) שמשתמשים בפלטפורמה של מפות Google מוסמכים לתקן ISO תואם לתקן 50001:2018 לאחר ביקורת של צד שלישי עצמאי החדש. תאימות לתקן ISO 50001:2018 למרכזי הנתונים של Google מוכיחה מיקומים בהיקף שמארחים מוצרים ושירותים של Google עומדים בדרישות כמו מוגדר על ידי ISO 50001:2018.

בהמשך מפורטות התחייבויות חוזיות גלובליות.

התחייבויות חוזיות באירופה

בקטע הזה מתוארות התחייבויות חוזיות אירופאיות.

General Data Protection Regulation (התקנה הכללית להגנה על מידע (GDPR)) של האיחוד האירופי

General Data Protection Regulation (התקנה הכללית להגנה על מידע (GDPR)) (GDPR) היא חקיקה בנושא פרטיות שהחליפה את חוק 95/46/EC דירקטיבה בנושא הגנה על נתונים מ-24 באוקטובר 1995 ב-25 במאי, 2018. תקנות ה-GDPR מפרטות דרישות ספציפיות לעסקים ולארגונים נמצאים באירופה או שמספקים שירותים למשתמשים באירופה. הפלטפורמה של מפות Google מקדמות יוזמות ששומרות על סדר עדיפויות ומשפרות את האבטחה והפרטיות של המידע האישי של הלקוחות, ואנחנו רוצים אתכם, כלקוחות של הפלטפורמה של מפות Google, להרגיש בטוחים להשתמש בשירותי Google לאור דרישות ה-GDPR. אם המיקום אתם עובדים בשיתוף עם הפלטפורמה של מפות Google, היא תתמוך בתאימות ל-GDPR מאמצים של:

  1. מחויבות בחוזים של Google לציות ל-GDPR ביחס העיבוד של מידע אישי ב-Google בכל שירותי הפלטפורמה של מפות Google
  2. מספקים לכם את המסמכים ואת המשאבים שיעזרו לכם לשמור על הפרטיות שלכם הערכת שירותי Google
  3. ממשיכים לפתח את היכולות של Google בהתאם לסביבה הרגולטורית שינויים

ההחלטות בנוגע למידת ההתאמה של האיחוד האירופי, EEA, שווייץ ובריטניה

כפי שמתועד במדיניות הפרטיות של Google, האיחוד האירופי הנציבות האירופית קבעה שמדינות מסוימות מחוץ לאירופה האזור הכלכלי (EEA) מגן על מידע אישי באופן הולם. כלומר, ניתן להעביר נתונים מהאיחוד האירופי (EU) ומנורווגיה, מליכטנשטיין, ומאיסלנד למדינות האלה. בריטניה ושווייץ אימצו מנגנונים של התאמה.

סעיפים חוזיים סטנדרטיים של האיחוד האירופי

הנציבות האירופית פרסמה סעיפים חוזיים סטנדרטיים (SCC) חדשים של האיחוד האירופי כדי לעזור להגן על הנתונים באירופה יחד עם הסעיפים החוזיים הסטנדרטיים (SCC). Google אימצה את סעיפי ה-SCC בחוזים של הפלטפורמה של מפות Google כדי להגן על נתונים ולעמוד בדרישות של החוק האירופי להגנה על פרטיות. כמו בסעיפים החוזיים הסטנדרטיים (SCC) הקודמים, ניתן להשתמש בסעיפים כדי לאפשר העברות חוקיות של נתונים.

UK Data Protection Act (החוק להגנה על נתונים בבריטניה)

חוק ההגנה על נתונים משנת 2018 הוא ההטמעה של בריטניה General Data Protection Regulation (התקנות הכלליות להגנה על מידע, GDPR). "ה-GDPR של בריטניה" הוא ה-GDPR של האיחוד האירופי כפי שתוקן והותאם לחוק הבריטי במסגרת האיחוד האירופי (נסיגה מעסקה) החוק משנת 2018, וחקיקת משנה רלוונטית שנערכה על פי החוק הזה.

החוק הפדרלי השווייצרי בנושא הגנה על נתונים (FDPA)

החוק השווייצרי להגנה על נתונים, המוכר באופן רשמי בתור הפדרלי חוק ההגנה על נתונים (FADP), היא תקנה להגנה על נתונים שמטרתה מגינים על אנשים הפרטיות וזכויות היסוד בזמן עיבוד הנתונים שלהן.

התחייבויות חוזיות שאינן אירופאיות

בקטע הזה מתוארות התחייבויות חוזיות שאינן אירופאיות.

Lei Geral de Proteção de Dados (LGPD)

החוק Lei Geral de Proteção de Dados (LGPD) בברזיל הוא נתונים חוק הפרטיות שחל על העיבוד של מידע אישי על ידי עסקים ארגונים בברזיל או שירותים למשתמשים בברזיל, בין במקרים אחרים. חוק ה-LGPD תקף עכשיו וכולל את ההגנות הבאות:

  • קובע איך עסקים וארגונים יכולים לאסוף נתונים, להשתמש בהם ולטפל בהם מידע אישי
  • תוספת או החלפה של חוקי פרטיות מגזריים פדרליים קיימים, כדי להגדיל את אחריותיות
  • מתירה קנסות על עסקים וארגונים שלא עומדים בתנאי דרישות
  • מאפשרת ליצור רשות להגנה על מידע
  • מגדירים כללים להעברת מידע אישי שנאסף בתוך ברזיל

Google מציעה מוצרים ופתרונות שבהם אפשר להשתמש במסגרת חוק ה-LGPD אסטרטגיית תאימות:

  • תכונות של אבטחה ופרטיות שעוזרות לך לעמוד בדרישות ה-LGPD להגן על מידע אישי ולשלוט בו
  • שירותים ותשתיות שנועדו להבטיח את האבטחה של עיבוד הנתונים ומיישמים נוהלי פרטיות מתאימים
  • התפתחות רציפה של המוצרים והיכולות של Google בהתאם לתקנות שינויים בפריסה לרוחב

לקוחות בפלטפורמה של מפות Google צריכים להעריך את עיבוד המידע האישי שלהם נתונים ולבדוק אם דרישות ה-LGPD חלות עליהם. Google מומלץ לפנות לייעוץ משפטי כדי לקבל הנחיות לגבי חוק LGPD דרישות ספציפיות שחלות על הארגון שלך, כי האתר הזה לא .

התחייבויות חוזיות למדינות בארה"ב

החוק בקונטיקט בנוגע לפרטיות נתונים ולמעקב באינטרנט

Connecticut's Act Concerning Data Privacy and Online (החוק בקונטיקט בנוגע לפרטיות נתונים ולנתונים באינטרנט) Monitoring, Pub. חוק מס' 2015 נכנס לתוקף ב-1 בינואר, 2023. כדאי לעיין במאמר בנושא הגנה על נתונים לנאמני מידע של Google תנאים לקבלת מידע נוסף.

חוק הפרטיות לצרכנים בקליפורניה (California Consumer Privacy Act = CCPA)

חוק הפרטיות לצרכנים בקליפורניה (California Consumer Privacy Act = CCPA) (1, 2) הוא חוק פרטיות נתונים שמספק לצרכנים בקליפורניה מספר הגנות, כולל הזכות לגשת ל"מכירה", למחוק אותה או לבטל את ההסכמה מתוך הפרטים האישיים שלהם. החל מ-1 בינואר 2020, עסקים שאוספים של תושבי קליפורניה מידע אישי ולעמוד בדרישות סף מסוימות לדוגמה, הכנסות ונפח עיבוד הנתונים) יצטרכו לעמוד בדרישות והתחייבויות. חוק זכויות הפרטיות בקליפורניה (CPRA) הוא חוק בנושא פרטיות נתונים מתקנים את ה-CCPA ומרחיב אותו. החוק ייכנס לתוקף ב-1 בינואר 2023. Google מחויבת מאוד לעזור ללקוחות שלה לעמוד בהתחייבויות שלהם תקנות אלו בנוגע לנתונים באמצעות הצעת כלים נוחים ופיתוח ביטחון ואמצעי הגנה על אבטחה בשירותים ובחוזים של Google. פרטים נוספים זמינים מידע על האחריות שלכם כעסק בכפוף ל-CCPA באתר של משרד התובע הכללי בקליפורניה. פרטים נוספים תנאי ההגנה על המידע לנאמני מידע של Google בכל הנוגע מידע נוסף.

Colorado Privacy Act (חוק הפרטיות בקולורדו, CPA)

Colorado Privacy Act (חוק הפרטיות בקולורדו), Colo. Rev. Stat. § 6-1-1301 וכן הלאה. נכנס לתוקף ב-1 בינואר 2023. הפעולה משפיעה על פרטיות המידע האישי זכויות יוצרים והם חלים על ישויות משפטיות שמנהלות עסקים או מייצרות מסחר מוצרים או שירותים שמיועדים באופן מכוון לתושבי קולורדו ש:

  • לשלוט במידע אישי של לפחות 100,000 צרכנים בכל יומן או לעבד אותו שנה
  • להפיק הכנסות ממכירת מידע אישי ולשלוט או לעבד מידע אישי של לפחות 25,000 צרכנים

כדאי לעיין במאמר בנושא הגנה על נתונים לנאמני מידע של Google תנאים לקבלת מידע נוסף.

חוק הפרטיות לצרכנים ביוטה (Utah Consumer Privacy Act = UCPA)

Utah Consumer Privacy Act (חוק הפרטיות לצרכנים ביוטה), Utah Code Ann. § 13-61-101 וכן הלאה seq. נכנס לתוקף ב-1 בינואר 2023. חוק UCPA חל על המכירה של מידע אישי ופרסום מטורגט, ומגדיר מה כוללים מכירה: "חילופי מידע אישי תמורת תמורה כספית על ידי נאמן מידע לצד שלישי."

כדאי לעיין במאמר בנושא הגנה על נתונים לנאמני מידע של Google תנאים לקבלת מידע נוסף.

חוק ההגנה על נתונים לצרכנים בווירג'יניה (Virginia Consumer Data Protection Act = VCDPA)

חוק Virginia Consumer Data Protection Act (חוק ההגנה על נתונים לצרכנים בווירג'יניה, VCDPA) נכנס לתוקף. ב-1 בינואר 2023. החוק הזה מעניק לתושבי וירג'יניה זכויות מסוימות מידע אישי שנאסף על ידי עסקים בהתאם לתנאים המפורטים בחוק.

מידע נוסף זמין במאמר בנושא הגנה על נתונים לנאמני מידע של Google תנאים לקבלת מידע נוסף.

סיכום

אבטחה היא הקריטריונים העיקריים לתכנון כל התשתית של Google, המוצרים והתפעול. היקף הפעילות של Google ושיתוף הפעולה שלה עם קהילת המחקר בתחום האבטחה, אנחנו יכולים לטפל בנקודות חולשה במהירות וברוב המקרים כדי למנוע אותם לחלוטין. Google מפעילה שירותים משלה, כמו כמו חיפוש Google, YouTube ו-Gmail, באותה תשתית שהם שזמינות ללקוחות שלה, שנהנים ישירות מאמצעי הבקרה לאבטחה של Google ושיטות עבודה אחרות.

Google מאמינה שהיא יכולה לספק הגנה ברמה נמוכה יחסית של ענן ציבורי ספקים או צוותי IT של ארגונים פרטיים יכולים להתאים. כי ההגנה על הנתונים ליבה לעסק של Google, אנחנו יכולים לבצע השקעות נרחבות באבטחה, ובמומחיות בקנה מידה גדול שאין לאחרים. ההשקעה של Google מאפשר לכם להתמקד בעסק ובחדשנות. נמשיך להשקיע בפלטפורמה שלנו כדי לאפשר לכם להפיק תועלת משירותי Google בצורה שקופה.