Konten ini terakhir diperbarui pada Februari 2024, dan menampilkan kondisi pada saat pembaruan tersebut dibuat. Kebijakan dan sistem keamanan Google dapat berubah di masa mendatang, seiring upaya kami untuk terus meningkatkan perlindungan bagi pelanggan.

Pengantar

Google Maps Platform menyediakan API dan SDK bagi pelanggan dan partner untuk mengembangkan aplikasi web dan seluler menggunakan teknologi geospasial Google. Google Maps Platform menawarkan lebih dari 50+ API dan SDK untuk pelanggan di berbagai industri. Sebagai pelanggan di industri, Anda sering kali harus memenuhi persyaratan keamanan, penggunaan data, dan peraturan saat membangun solusi Anda. Situasi ini mencakup memastikan teknologi pihak ketiga Anda memenuhi persyaratan yang sama tersebut.

Dokumen ini memberikan ringkasan umum tentang kontrol teknologi, proses, dan orang yang ditawarkan oleh Google Maps Platform, beserta penjelasan tentang manfaat penggunaan platform. Pertama, penting untuk memahami dua pilar teknologi utama di balik Google Maps Platform:

• Teknologi, pusat data, dan infrastruktur yang disediakan Google. Google Maps Platform beroperasi sepenuhnya di pusat data dan infrastruktur yang disediakan Google. Dari basis ini, audit internal dan pihak ketiga dilakukan pada kontrol keamanan yang diwarisi dari Google untuk memvalidasi bahwa Google Maps Platform menerapkan dengan benar kontrol keamanan, operasional, dan teknis sebagaimana dijelaskan dalam dokumen ini.
• Teknologi Google Maps Platform. Selain kontrol yang diwarisi, Google Maps Platform menyediakan kontrol keamanan, privasi, data, dan operasional tambahan untuk rangkaian produk Google.

Dokumen ini merangkum proses dan kontrol keamanan Google Maps Platform, yang dikelompokkan sebagai berikut:

• Fokus pada keamanan dan privasi di semua tingkat organisasi Google
• Infrastruktur teknis dan keamanan hardware
• Keamanan operasional
• Kontrol keamanan utama
• Keamanan sisi klien, baik web dan seluler
• Sertifikasi dan audit aktual di Google Maps Platform
• Framework hukum yang didukung, secara global

Calon pelanggan dapat menghubungi Sales Rep Google mereka untuk mendapatkan informasi tambahan.

Organisasi Google yang berfokus pada privasi dan keamanan

Keamanan menggerakkan struktur organisasi, budaya, prioritas pelatihan, dan proses perekrutan di seluruh Google. Keamanan juga berperan untuk membentuk desain pusat data Google dan teknologi yang disediakan. Keamanan mendukung operasi Google sehari-hari, termasuk perencanaan menghadapi bencana dan pengelolaan ancaman. Google memprioritaskan keamanan terkait caranya menangani data, kontrol akun, audit kepatuhan, dan sertifikasi industri. Google mendesain layanannya untuk memberikan keamanan yang lebih baik daripada alternatif lokal kebanyakan yang mengandalkan beberapa vendor dan beberapa platform yang faktor keamanannya sering kali berupa proses yang tidak terkoneksi. Anda memperoleh manfaat dari program dan kontrol keamanan terintegrasi Google saat Anda memanfaatkan produk Google Maps Platform untuk bisnis Anda. Google Maps Platform menjadikan keamanan sebagai prioritas dalam pengoperasiannya yang melayani lebih dari satu miliar pengguna di seluruh dunia.

Google dan Google Maps Platform bersama-sama memberikan beberapa lapisan keamanan di seluruh perusahaan dan organisasi:

• Tim keamanan khusus Google
• Tim keamanan produk Google Maps Platform
• Partisipasi aktif dengan komunitas riset keamanan global
• Tim privasi Google Maps Platform
• Pelatihan privasi dan keamanan untuk karyawan Google
• Spesialis audit internal dan kepatuhan

Tim keamanan khusus di Google

Google menghadirkan tim keamanan khusus di seluruh perusahaan dan dalam area produk.

Tim keamanan di seluruh Google mendukung beberapa area produk di Google, termasuk Google Maps Platform. Tim keamanan terdiri dari sejumlah pakar keamanan terkemuka di dunia dalam bidang keamanan informasi, keamanan aplikasi, kriptografi, dan keamanan jaringan. Aktivitas mereka mencakup hal-hal berikut:

• Mengembangkan, meninjau, dan menerapkan proses keamanan. Hal ini mencakup meninjau rencana keamanan untuk jaringan Google dan memberikan konsultasi khusus project kepada tim produk dan engineer di seluruh Google. Misalnya, spesialis kriptografi meninjau peluncuran produk yang menerapkan kriptografi sebagai bagian dari penawaran.
• Secara aktif mengelola ancaman keamanan. Menggunakan alat khusus dan komersial, tim memantau ancaman berkelanjutan dan aktivitas mencurigakan di jaringan Google.
• Melakukan audit dan evaluasi secara rutin, yang dapat melibatkan peran pakar eksternal untuk melakukan penilaian keamanan.
• Memublikasikan artikel keamanan ke komunitas yang lebih luas. Google mengelola blog keamanan dan Seri YouTube yang menyoroti beberapa Tim Keamanan khusus serta pencapaian mereka.

Tim keamanan Google Maps Platform berkolaborasi dengan tim keamanan di seluruh Google, menangani secara lebih intensif pengembangan dan SRE produk untuk mengawasi penerapan keamanan. Khususnya, tim ini mengelola hal-hal berikut:

• Pengujian Disaster Recovery (DiRT) Google Maps Platform, yang menguji keberlanjutan bisnis dan failover produk Google Maps Platform, yang berjalan pada infrastruktur Google yang sangat tersedia.
• Uji penetrasi pihak ketiga. Produk Google Maps Platform melewati proses uji penetrasi minimal setiap tahun untuk meningkatkan postur keamanan Google dan memberi Anda jaminan keamanan yang independen.

Kolaborasi dengan komunitas riset keamanan

Google sudah lama menjalin hubungan yang erat dengan komunitas riset keamanan, dan Google sangat menghargai bantuan mereka dalam mengidentifikasi potensi kerentanan di Google Maps Platform dan produk Google lainnya.

• Kolaborasi komunitas online melalui Project Zero. Project Zero adalah tim peneliti keamanan yang didedikasikan untuk melakukan riset kerentanan zero-day. Beberapa contoh dari riset ini adalah penemuan eksploitasi Spectre, eksploitasi Meltdown, eksploitasi POODLE SSL 3.0, dan kelemahan cipher suite.
• Riset akademis - Engineer dan peneliti keamanan Google secara aktif berpartisipasi dan melakukan publikasi di komunitas keamanan akademis dan komunitas riset privasi. Publikasi yang terkait dengan keamanan dapat ditemukan di situs Tim Riset Google. Tim keamanan Google telah memublikasikan studi yang mendalam mengenai praktik dan pengalaman mereka dalam buku Building Secure and Reliable Systems.
• Vulnerability Rewards Program - Google Maps Platform berpartisipasi dalam Vulnerability Reward Program yang menawarkan reward sebesar puluhan ribu dolar untuk setiap kerentanan yang terkonfirmasi. Program ini mendorong para peneliti untuk melaporkan masalah desain dan implementasi yang dapat membahayakan data pelanggan. Pada tahun 2022, Google memberikan penghargaan kepada para peneliti senilai lebih dari $11,9 juta dalam bentuk hadiah uang. Untuk informasi selengkapnya tentang program ini, termasuk reward yang diberikan Google, lihat Key Stats di Bug Hunters. Informasi tambahan tentang masalah pelaporan keamanan, lihat Cara Google menangani kerentanan keamanan.
• Riset keamanan open source - Engineer Google juga mengelola dan berpartisipasi dalam project open source dan konferensi akademis. Untuk meningkatkan kualitas kode open source, Vulnerability Reward Program juga memberikan subsidi untuk project open source.
• Kriptografi - Kriptografer kelas dunia Google bekerja untuk melindungi koneksi TLS terhadap serangan komputer kuantum dan mengembangkan algoritma kombinasi kurva eliptik dan pasca-kuantum (CECPQ2). Kriptografer Google mengembangkan Tink, yang merupakan library API kriptografis open source. Google juga menggunakan Tink dalam produk dan layanan internalnya.

Tim privasi khusus Google Maps Platform

Tim privasi khusus bekerja terpisah dari organisasi pengembangan dan keamanan produk. Tim ini mendukung inisiatif privasi internal untuk meningkatkan kualitas semua bagian privasi: proses penting, alat internal, infrastruktur, dan pengembangan produk. Tim privasi melakukan hal-hal berikut:

• Memastikan peluncuran produk memasukkan standar privasi yang ketat seputar pengumpulan data. Tim berpartisipasi dalam setiap peluncuran produk Google melalui dokumentasi desain dan peninjauan kode.
• Setelah peluncuran produk, tim privasi mengawasi proses otomatis yang terus-menerus memverifikasi pengumpulan dan penggunaan data yang sesuai.
• Melakukan riset seputar praktik terbaik privasi.

Pelatihan privasi dan keamanan untuk karyawan Google

Keamanan dan privasi adalah area yang terus berubah, dan Google mengakui bahwa interaksi karyawan yang berdedikasi adalah cara utama untuk meningkatkan awareness. Semua karyawan Google menjalani pelatihan keamanan dan privasi sebagai bagian dari proses orientasi, dan mereka mendapatkan pelatihan keamanan dan privasi wajib yang berkelanjutan selama karier Google mereka.

• Selama orientasi: Karyawan baru menyetujui Kode Etik Google, yang menyoroti komitmen Google untuk selalu menjaga keamanan dan melindungi informasi pelanggan.
• Pelatihan khusus berdasarkan peran pekerjaan. Peran pekerjaan tertentu membutuhkan pelatihan terkait aspek keamanan khusus. Misalnya, tim keamanan informasi memberikan instruksi kepada engineer baru tentang praktik coding yang aman, desain produk, dan alat pengujian kerentanan otomatis. Para engineer akan menghadiri pengarahan keamanan reguler dan menerima newsletter keamanan yang membahas ancaman baru, pola serangan, teknik mitigasi, dan lainnya.
• Acara yang berkelanjutan. Google menyelenggarakan konferensi internal reguler yang terbuka bagi semua karyawan untuk meningkatkan awareness dan mendorong inovasi dalam bidang keamanan dan privasi data. Google menyelenggarakan acara di berbagai kantor global untuk meningkatkan awareness terkait keamanan dan privasi dalam pengembangan software, pengendalian data, dan penegakan kebijakan.

Spesialis audit internal dan kepatuhan

Google Maps Platform memiliki tim audit internal khusus yang meninjau kepatuhan produk Google terhadap hukum dan peraturan keamanan di seluruh dunia. Saat ada pembuatan standar audit baru dan pembaruan standar lama, tim audit internal akan menentukan kontrol, proses, dan sistem yang diperlukan untuk membantu memenuhi standar tersebut. Tim ini mendukung audit dan penilaian independen oleh pihak ketiga. Untuk informasi selengkapnya, lihat bagian Sertifikasi & Audit Keamanan dalam dokumen ini.

Platform yang dibuat dengan fokus pada keamanan

Google mendesain server, sistem operasi eksklusif, dan pusat data yang tersebar secara geografis menggunakan prinsip-prinsip defense in depth. Google Maps Platform berjalan di infrastruktur teknis yang didesain dan dibuat untuk beroperasi dengan aman. Kami membuat infrastruktur IT yang lebih aman dan lebih mudah dikelola daripada solusi yang dihosting atau solusi lokal yang lebih konvensional.

Pusat data yang canggih

Fokus Google pada keamanan dan perlindungan data adalah salah satu kriteria desain utama Google. Keamanan fisik di pusat data Google adalah model keamanan berlapis. Keamanan fisik mencakup pengamanan seperti kartu akses elektronik yang didesain khusus, alarm, portal akses kendaraan, pagar sekeliling, detektor logam, dan biometrik. Selain itu, untuk mendeteksi dan melacak penyusup, Google menggunakan langkah-langkah keamanan seperti deteksi penyusupan sinar laser dan pemantauan 24/7 dengan kamera interior dan eksterior resolusi tinggi. Log akses, catatan aktivitas, dan rekaman kamera tersedia jika terjadi insiden. Penjaga keamanan berpengalaman, yang telah menjalani pelatihan dan pemeriksaan latar belakang yang ketat, secara rutin memeriksa pusat data Google. Saat Anda semakin dekat dengan lantai pusat data, langkah-langkah keamanan juga akan meningkat. Akses ke lantai pusat data hanya dapat dilakukan melalui koridor keamanan yang menerapkan kontrol akses multi-faktor menggunakan badge keamanan dan biometrik. Hanya karyawan yang disetujui dengan peran tertentu yang boleh masuk. Kurang dari satu persen karyawan Google yang akan pernah menginjakkan kaki di salah satu pusat data Google.

Google mengoperasikan pusat datanya secara global dan untuk memaksimalkan kecepatan dan keandalan layanannya. Infrastrukturnya umumnya disiapkan untuk menyalurkan traffic dari pusat data yang posisinya paling dekat dengan asal traffic tersebut. Oleh karena itu, lokasi presisi dari data Google Maps Platform mungkin tidak sama bergantung pada asal traffic tersebut, dan data ini mungkin ditangani oleh server yang berlokasi di EEA dan Inggris Raya atau ditransfer ke negara ketiga. Penawaran dari pelanggan Google yang menerapkan produk Google Maps Platform umumnya tersedia secara global dan sering kali menarik perhatian audiens dari seluruh dunia. Infrastruktur teknis yang mendukung produk ini di-deploy secara global untuk mengurangi latensi dan memastikan redundansi sistem. Google Maps Platform menggunakan subkumpulan Jaringan Pusat Data Global Google yang tercantum di bawah untuk referensi:

Amerika Utara & Selatan

• Amerika Serikat
• Cile

Eropa

• Belgia
• Finlandia
• Belanda

Asia

• Taiwan
• Singapura

Mengoperasikan pusat data Google

Untuk menjaga semuanya berjalan 24/7 dan memberikan layanan yang tidak terganggu, pusat data Google memiliki sistem daya dan kontrol lingkungan redundan. Setiap komponen penting memiliki sumber listrik utama dan alternatif, masing-masing dengan daya yang sama. Generator cadangan dapat menyediakan daya listrik darurat yang cukup untuk menjalankan setiap pusat data dengan kapasitas penuh. Sistem pendingin mempertahankan suhu operasional yang konstan untuk server dan hardware lainnya, yang akan mengurangi risiko pemadaman layanan sekaligus meminimalkan dampak lingkungan. Peralatan deteksi dan pencegah kebakaran membantu mencegah kerusakan hardware. Pendeteksi panas, detektor kebakaran, dan detektor asap memicu alarm yang terdengar dan terlihat di konsol operasi keamanan dan di meja pemantauan jarak jauh.

Google adalah perusahaan layanan internet besar pertama yang mendapatkan sertifikat eksternal untuk standarnya yang tinggi terkait pengelolaan lingkungan, keselamatan tempat kerja, dan energi di seluruh pusat data Google. Misalnya, untuk menunjukkan komitmen Google terhadap praktik pengelolaan energi, Google mendapatkan sertifikasi ISO 50001 yang bersifat sukarela untuk pusat datanya di Eropa.

Software dan hardware server khusus

Pusat data Google memiliki peralatan jaringan dan server yang dibuat untuk tujuan khusus, sebagiannya didesain oleh Google. Meskipun sudah disesuaikan untuk memaksimalkan performa, pendinginan, dan efisiensi daya, server Google juga didesain untuk membantu memberikan perlindungan terhadap serangan penyusupan fisik. Berbeda dari kebanyakan hardware yang tersedia secara komersial, server Google tidak menyertakan komponen yang tidak penting seperti kartu video, chipset, atau konektor periferal, yang semuanya dapat menimbulkan kerentanan. Google memeriksa vendor komponen dan memilih komponen dengan cermat, bekerja sama dengan vendor untuk mengaudit dan memvalidasi properti keamanan yang disediakan oleh komponen tersebut. Google mendesain chip khusus, seperti Titan, yang membantu kami mengidentifikasi dan mengautentikasi perangkat Google yang sah secara aman di tingkat hardware, termasuk kode yang digunakan oleh perangkat ini untuk melakukan booting.

Resource server dialokasikan secara dinamis. Hal ini memberi kami fleksibilitas untuk pertumbuhan dan memungkinkan kami beradaptasi dengan cepat dan efisien terhadap permintaan pelanggan dengan menambahkan atau mengalokasikan ulang resource. Lingkungan homogen ini dikelola oleh software eksklusif yang terus-menerus memantau sistem untuk mengetahui modifikasi tingkat biner. Mekanisme self-healing otomatis Google didesain untuk memungkinkan kami memantau dan memperbaiki peristiwa yang menimbulkan instabilitas, menerima notifikasi tentang insiden, dan memperlambat potensi penyusupan ke jaringan.

Deployment layanan yang aman

Layanan Google adalah program biner aplikasi yang ditulis dan dijalankan oleh developer Google di infrastruktur Google. Untuk menangani skala beban kerja yang diperlukan, ribuan mesin mungkin menjalankan biner layanan yang sama. Layanan orkestrasi cluster, yang disebut sebagai Borg, mengontrol layanan yang berjalan langsung di infrastruktur.

Infrastruktur tidak mengasumsikan adanya kepercayaan antara layanan yang berjalan di infrastruktur. Model kepercayaan ini disebut sebagai model keamanan zero-trust. Model keamanan zero-trust berarti tidak ada perangkat atau pengguna yang dipercaya secara default, baik mereka berada di dalam maupun di luar jaringan.

Karena infrastruktur didesain untuk menjadi multi-tenant, data dari pelanggan Google (konsumen, bisnis, dan bahkan data Google sendiri) didistribusikan di infrastruktur bersama. Infrastruktur ini terdiri dari puluhan ribu mesin homogen. Infrastruktur tidak memisahkan data pelanggan ke satu mesin atau sekumpulan mesin.

Pelacakan dan pembuangan hardware

Google melacak secara teliti lokasi dan status semua peralatan dalam pusat datanya menggunakan kode batang dan tag aset. Google men-deploy detektor logam dan video pengintai untuk membantu memastikan tidak ada peralatan yang keluar dari lantai pusat data tanpa otorisasi. Jika gagal lulus uji performa di titik mana pun selama siklus prosesnya, komponen akan dihapus dari inventaris dan dihentikan.

Perangkat penyimpanan Google, termasuk hard drive, solid-state drive, dan Dual In-line Memory Module (DIMM) non-volatil, menggunakan teknologi seperti enkripsi disk penuh (FDE) dan pengunci drive untuk melindungi data dalam penyimpanan. Saat perangkat penyimpanan dihentikan, individu yang berwenang akan memverifikasi bahwa disk telah dihapus dengan menuliskan angka nol ke drive. Drive juga melakukan proses verifikasi beberapa langkah untuk memastikan drive tidak berisi data. Jika drive tidak dapat dihapus karena alasan apa pun, drive tersebut akan dihancurkan secara fisik. Pemusnahan fisik dilakukan dengan menggunakan mesin penghancur yang memecah drive menjadi potongan-potongan kecil, yang kemudian didaur ulang di fasilitas yang aman. Setiap pusat data mematuhi kebijakan pembuangan yang ketat dan setiap varians akan segera ditangani.

Manfaat keamanan jaringan global Google

Dalam solusi lokal dan cloud geospasial lain, data melintas di antara perangkat di internet publik pada jalur yang dikenal sebagai hop. Jumlah hop bergantung pada rute optimal antara ISP pelanggan dan pusat data. Setiap hop tambahan memberikan peluang baru bagi data untuk diserang atau dicegat. Karena jaringan global Google terkoneksi ke sebagian besar ISP di dunia, jaringan Google membatasi hop di internet publik, sehingga membantu membatasi akses ke data tersebut oleh pihak yang tidak bertanggung jawab.

Jaringan Google menggunakan beberapa lapisan pertahanan—defense in depth—untuk membantu melindungi jaringan dari serangan eksternal. Hanya layanan dan protokol yang diberi otorisasi yang memenuhi persyaratan keamanan Google yang diperbolehkan untuk melintas; selebihnya akan ditolak secara otomatis. Untuk menerapkan pemisahan jaringan, Google menggunakan firewall dan daftar kontrol akses. Semua traffic dirutekan melalui server Google Front End (GFE) untuk membantu mendeteksi dan menghentikan permintaan berbahaya dan serangan distributed denial-of-service (DDoS). Log diperiksa secara rutin untuk mengungkap adanya eksploitasi error pemrograman. Akses ke perangkat jaringan dibatasi hanya untuk karyawan yang berwenang.

Infrastruktur global Google memungkinkan kami untuk menjalankan Project Shield, yang memberikan perlindungan gratis tanpa batas ke situs yang rentan terhadap serangan DDoS yang digunakan untuk menyensor informasi. Project Shield tersedia untuk situs berita, situs hak asasi manusia, dan situs pemantau pemilu.

Solusi yang sangat tersedia dan berlatensi rendah

Jaringan data IP Google terdiri dari kabel serat optiknya sendiri, kabel serat optik yang tersedia secara publik, dan kabel bawah laut. Jaringan ini memungkinkan kami memberikan layanan yang sangat tersedia dan berlatensi rendah di seluruh dunia.

Google mendesain komponen platform-nya agar memiliki redundansi yang tinggi. Redundansi ini berlaku untuk desain server Google, cara Google menyimpan data, konektivitas jaringan dan internet, serta layanan software mereka sendiri. "Redundansi semuanya" ini mencakup penanganan pengecualian dan menciptakan solusi yang tidak bergantung pada satu server, pusat data, atau koneksi jaringan.

Pusat data Google tersebar secara geografis untuk meminimalkan dampak gangguan regional terhadap produk global, seperti saat terjadi bencana alam dan pemadaman listrik lokal. Jika hardware, software, atau jaringan mengalami kegagalan, layanan platform dan bidang kontrol dialihkan secara otomatis dan cepat dari satu fasilitas ke fasilitas lainnya sehingga layanan platform dapat berlanjut tanpa gangguan.

Infrastruktur Google dengan redundansi tinggi juga membantu melindungi bisnis Anda dari kehilangan data. Sistem Google didesain untuk meminimalkan periode nonaktif atau masa pemeliharaan saat kami perlu menyervis atau mengupgrade platform.

Keamanan operasional

Keamanan adalah bagian integral dari pengoperasian Google, bukan sesuatu yang baru dipikirkan belakangan. Bagian ini menjelaskan program pengelolaan kerentanan, program pencegahan malware, pemantauan keamanan, dan program manajemen insiden Google.

Pengelolaan kerentanan

Proses pengelolaan kerentanan internal Google secara aktif memindai ancaman keamanan di seluruh technology stack. Proses ini menggunakan kombinasi alat komersial, open source, dan internal yang dibuat untuk tujuan khusus, serta menyertakan hal-hal berikut:

• Proses uji mutu
• Peninjauan keamanan software
• Upaya penetrasi otomatis dan manual yang intensif, termasuk latihan Red Team yang ekstensif
• Uji penetrasi eksternal yang berulang untuk produk Google Maps Platform
• Audit eksternal yang berulang

Organisasi pengelolaan kerentanan dan partnernya bertanggung jawab untuk melacak dan menindaklanjuti kerentanan. Karena keamanan hanya meningkat setelah masalah ditangani sepenuhnya, pipeline otomatisasi terus menilai ulang status kerentanan, memverifikasi patch, dan menandai resolusi yang salah atau resolusi parsial.

Pemantauan keamanan

Program pemantauan keamanan Google berfokus pada informasi yang dikumpulkan dari traffic jaringan internal, dari tindakan karyawan pada sistem, dan dari pengetahuan eksternal tentang kerentanan. Prinsip inti Google adalah menggabungkan dan menyimpan semua data telemetri keamanan di satu lokasi untuk analisis keamanan terpadu.

Pada banyak titik di seluruh jaringan global Google, traffic internal diperiksa terhadap perilaku yang mencurigakan, seperti kehadiran traffic yang mungkin mengindikasikan koneksi botnet. Google menggunakan kombinasi open source dan alat komersial untuk merekam dan mengurai traffic sehingga Google dapat melakukan analisis ini. Sistem korelasi eksklusif yang dibuat di teknologi Google juga mendukung analisis ini. Google melengkapi analisis jaringan dengan memeriksa log sistem untuk mengidentifikasi perilaku yang tidak biasa, seperti upaya untuk mengakses data pelanggan.

Threat Analysis Group di Google memantau pelaku ancaman serta evolusi taktik dan tekniknya. Para engineer keamanan Google meninjau laporan keamanan masuk dan memantau milis, postingan blog, dan wiki publik. Analisis jaringan otomatis dan analisis otomatis log sistem membantu menentukan saat kemungkinan ada ancaman yang tidak diketahui. Jika proses otomatis mendeteksi masalah, masalah akan dieskalasi ke staf keamanan Google.

Deteksi penyusupan

Google menggunakan pipeline pemrosesan data yang canggih untuk mengintegrasikan sinyal berbasis host di perangkat individual, sinyal berbasis jaringan dari berbagai titik pemantauan di infrastruktur, dan sinyal dari layanan infrastruktur. Aturan dan kecerdasan mesin yang dibangun di pipeline ini memberikan peringatan kepada engineer keamanan operasional tentang kemungkinan terjadinya insiden. Tim investigasi dan tim respons insiden Google menentukan prioritas, menyelidiki, dan merespons potensi insiden ini 24 jam dalam sehari, 365 hari dalam setahun. Selain uji penetrasi eksternal, Google melakukan latihan Red Team untuk mengukur dan meningkatkan efektivitas mekanisme deteksi dan respons Google.

Manajemen insiden

Google memiliki proses manajemen insiden yang ketat untuk peristiwa keamanan yang mungkin memengaruhi kerahasiaan, integritas, atau ketersediaan sistem atau data. Program manajemen insiden keamanan Google disusun berdasarkan panduan NIST dalam menangani insiden (NIST SP 800–61). Google memberikan pelatihan forensik dan penanganan bukti kepada anggota staf penting sebagai persiapan untuk menghadapi suatu peristiwa, termasuk penggunaan alat eksklusif dan alat pihak ketiga.

Google menguji rencana respons insiden untuk sejumlah area penting. Pengujian ini mempertimbangkan berbagai skenario, termasuk ancaman internal dan kerentanan software. Untuk membantu memastikan penyelesaian insiden keamanan dengan cepat, tim keamanan Google dapat dihubungi 24/7 oleh semua karyawan.

Praktik pengembangan software

Google menggunakan perlindungan kontrol sumber dan peninjauan dua pihak untuk membatasi secara proaktif timbulnya kerentanan. Google juga menyediakan library yang mencegah developer memasukkan kelas bug keamanan tertentu. Misalnya, Google memiliki library dan framework yang didesain untuk menghilangkan kerentanan XSS di SDK. Google juga memiliki alat otomatis untuk mendeteksi bug keamanan, seperti fuzzer, alat analisis statis, dan web security scanner.

Perlindungan kode sumber

Kode sumber Google disimpan di repositori dengan tata kelola dan integritas sumber bawaan, yang memungkinkan dilakukan audit terhadap layanan versi saat ini dan versi sebelumnya. Infrastruktur ini mengharuskan biner layanan di-build dari kode sumber tertentu setelah ditinjau, di-check in, dan diuji. Otorisasi Biner untuk Borg (BAB) adalah pemeriksaan penerapan internal yang terjadi saat layanan di-deploy. BAB melakukan hal berikut:

• Memastikan software dan konfigurasi produksi yang di-deploy di Google ditinjau dan diberi otorisasi, terutama ketika kode tersebut dapat mengakses data pengguna
• Memastikan deployment kode dan konfigurasi memenuhi standar minimum tertentu
• Membatasi kemampuan orang dalam atau penyerang untuk melakukan modifikasi berbahaya pada kode sumber dan juga menyediakan jejak forensik dari layanan kembali ke sumbernya.

Mengurangi Risiko Orang Dalam

Google membatasi dan secara aktif memantau aktivitas karyawan yang telah diberi akses administratif ke infrastruktur. Google terus-menerus berupaya agar akses istimewa untuk tugas tertentu tidak lagi diperlukan dengan penggunaan otomatisasi yang dapat menyelesaikan tugas yang sama dengan cara yang aman dan terkontrol. Misalnya, Google mewajibkan persetujuan dua pihak untuk beberapa tindakan, dan Google menggunakan API terbatas sehingga proses debug dapat dilakukan tanpa mengekspos informasi sensitif.

Akses karyawan Google ke informasi pengguna akhir dicatat melalui hook infrastruktur tingkat rendah. Tim keamanan Google memantau pola akses dan menyelidiki peristiwa yang tidak biasa.

Pengujian Disaster Recovery - DiRT

Google Maps Platform menjalankan acara Pengujian Disaster Recovery (DiRT) tahunan di seluruh perusahaan untuk memastikan layanan Google Maps Platform dan pengoperasian bisnis internal terus berjalan selama terjadi bencana. DiRT dikembangkan untuk menemukan kerentanan di sistem penting dengan menyebabkan kegagalan secara sengaja, dan untuk memperbaiki kerentanan tersebut sebelum kegagalan terjadi secara tidak terkontrol. DiRT menguji keandalan teknis Google dengan mematikan sistem aktif dan menguji ketahanan operasional Google dengan mencegah secara eksplisit staf penting, pakar area, dan pemimpin agar tidak berpartisipasi. Semua layanan yang tersedia secara umum harus menjalani pengujian DiRT aktif yang berkelanjutan dan validasi ketahanan dan ketersediaannya.

Untuk mempersiapkan latihan DiRT, Google menerapkan sekumpulan aturan yang konsisten di seputar penentuan prioritas,

protokol komunikasi, ekspektasi dampak, dan persyaratan desain uji, termasuk rencana rollback yang telah ditinjau sebelumnya dan disetujui. Latihan dan skenario DiRT tidak hanya memaksakan kegagalan teknis di layanan itu sendiri, tetapi juga bisa mencakup kegagalan yang didesain dalam hal proses, ketersediaan staf penting, sistem pendukung, komunikasi, dan akses fisik. DiRT memvalidasi bahwa proses yang ada benar-benar berfungsi. DiRT juga memastikan tim telah dilatih sebelumnya dan memiliki pengalaman yang bisa mereka gunakan selama terjadinya pemadaman listrik, gangguan, dan bencana alam atau bencana akibat ulah manusia.

Kontrol keamanan utama

Bagian ini menjelaskan kontrol keamanan utama yang diterapkan Google Maps Platform untuk melindungi platform-nya.

Enkripsi

Enkripsi menambahkan lapisan pertahanan untuk melindungi data. Enkripsi memastikan jika penyerang mendapatkan akses ke data, penyerang tersebut tidak dapat membaca data tanpa memiliki akses ke kunci enkripsi juga. Meskipun penyerang mendapatkan akses ke data (misalnya, dengan mengakses koneksi kabel di antara pusat data atau mencuri perangkat penyimpanan), mereka tidak akan dapat memahami atau mendekripsinya.

Enkripsi menyediakan mekanisme penting terkait cara Google membantu melindungi privasi data. Enkripsi memungkinkan sistem memanipulasi data (misalnya, untuk cadangan) dan engineer mendukung infrastruktur Google, tanpa memberikan akses ke konten untuk sistem atau karyawan tersebut.

Enkripsi dalam penyimpanan

Enkripsi "dalam penyimpanan" di bagian ini berarti enkripsi yang digunakan untuk melindungi data yang disimpan dalam disk (termasuk solid-state drive) atau media cadangan. Data dienkripsi di tingkat penyimpanan, umumnya menggunakan AES256 (Advanced Encryption Standard). Data sering kali dienkripsi di beberapa tingkat pada stack penyimpanan produksi Google di pusat data, termasuk di tingkat hardware, tanpa memerlukan tindakan apa pun dari pelanggan Google. Menggunakan beberapa lapisan enkripsi

akan menambah perlindungan data redundan dan memungkinkan Google memilih pendekatan yang optimal berdasarkan persyaratan aplikasi. Google menggunakan library kriptografis umum yang mengintegrasikan modul yang divalidasi FIPS 140-2 Google untuk menerapkan enkripsi secara konsisten di seluruh produk. Penggunaan library umum yang konsisten berarti hanya tim kecil kriptografer yang perlu menerapkan dan menjaga kode yang ditinjau dan dikontrol secara ketat ini.

Melindungi data dalam pengiriman

Data bisa rentan untuk diakses secara tidak sah saat melintas melalui internet. Google Maps Platform mendukung enkripsi yang kuat selama pengiriman antara perangkat dan jaringan pelanggan, dan server Google Front End (GFE) milik Google. Google merekomendasikan agar pelanggan/developer menggunakan cipher suite (TLS 1.3) terkuat yang didukung dari Google saat membuat aplikasi sebagai praktik terbaik. Beberapa pelanggan memiliki kasus penggunaan yang memerlukan cipher suite versi lebih lama karena alasan kompatibilitas, jadi Google Maps Platform mendukung standar yang lebih lemah ini, tetapi tidak merekomendasikan penggunaannya jika memungkinkan. Google Cloud juga menawarkan opsi enkripsi transportasi tambahan, termasuk Cloud VPN untuk membangun virtual private network menggunakan IPsec untuk produk Google Maps Platform.

Melindungi data dalam pengiriman di antara pusat data Google

Application Layer Transport Security (ALTS) memastikan integritas traffic Google dilindungi dan dienkripsi sesuai kebutuhan. Setelah protokol handshake antara klien dan server selesai dan klien serta server menegosiasikan rahasia kriptografis bersama yang diperlukan untuk mengenkripsi dan mengautentikasi traffic jaringan, ALTS mengamankan traffic RPC (Remote Procedure Call) dengan memaksakan integritas, menggunakan rahasia bersama yang dinegosiasikan. Google mendukung beberapa protokol untuk jaminan integritas, seperti AES-GMAC (Advanced Encryption Standard), dengan kunci 128 bit. Setiap kali traffic meninggalkan batas fisik yang dikontrol oleh atau atas nama Google, misalnya, dalam pengiriman melalui WAN (Wide Area Network) di antara pusat data, semua protokol diupgrade secara otomatis untuk memberikan jaminan integritas dan enkripsi.

Ketersediaan Layanan Google Maps Platform

Beberapa layanan Google Maps Platform mungkin tidak tersedia di semua geografi. Beberapa gangguan layanan bersifat sementara (karena peristiwa tidak terduga, seperti pemadaman jaringan), tetapi batasan layanan lainnya bersifat permanen karena pembatasan yang diberlakukan oleh pemerintah. Laporan Transparansi komprehensif Google dan dasbor status menunjukkan gangguan traffic saat ini dan berkelanjutan pada layanan Google Maps Platform. Google memberikan data ini untuk membantu Anda menganalisis dan memahami informasi waktu beroperasi Google.

Keamanan sisi klien

Keamanan adalah tanggung jawab bersama antara Penyedia Layanan Cloud dan pelanggan/partner yang menerapkan produk Google Maps Platform. Bagian ini memaparkan tanggung jawab pelanggan/partner yang harus dipertimbangkan saat merancang solusi Google Maps Platform.

JavaScript API

Situs Aman

Maps JavaScript API memublikasikan serangkaian rekomendasi yang memungkinkan pelanggan menyesuaikan Kebijakan Keamanan Konten (CSP) situsnya untuk menghindari kerentanan seperti pembuatan skrip lintas situs, clickjacking, dan serangan data injection. JavaScript API mendukung dua formulir CSP: CSP ketat yang menggunakan nonce dan daftar CSP yang diizinkan.

JavaScript Aman

JavaScript dipindai secara rutin terhadap anti-pola keamanan yang diketahui, dan masalah diperbaiki dengan cepat. JavaScript API dirilis setiap minggu atau sesuai permintaan jika ada masalah.

Mobile Application Security (MAS)

Mobile Application Security (MAS) adalah upaya urun daya (crowd-sourcing) terbuka yang dinamis, yang dibuat melalui kontribusi berbagai penulis dan peninjau dari seluruh dunia. Project unggulan OWASP Mobile Application Security (MAS) memberikan standar keamanan untuk aplikasi seluler (OWASP MASVS) dan panduan pengujian komprehensif (OWASP MASTG) yang mencakup proses, teknik, dan alat yang digunakan selama pengujian keamanan aplikasi seluler, serta kumpulan lengkap kasus pengujian yang memungkinkan penguji memberikan hasil yang konsisten dan lengkap.

• OWASP Mobile Application Security Verification Standard (MASVS) memberikan dasar untuk pengujian keamanan yang lengkap dan konsisten untuk iOS dan Android.
• OWASP Mobile Application Security Testing Guide (MASTG) adalah panduan komprehensif yang mencakup proses, teknik, dan alat yang digunakan selama analisis keamanan aplikasi, serta kumpulan lengkap kasus pengujian untuk memverifikasi persyaratan yang tercantum di MASVS.
• OWASP Mobile Application Security Checklist berisi link ke kasus pengujian MASTG untuk setiap kontrol MASVS.
  • Uji Penetrasi/Penilaian Keamanan: Pastikan Anda setidaknya memeriksa permukaan serangan standar dan mulailah menjelajah.
  • Kepatuhan Standar: Mencakup versi MASVS dan MASTG serta ID commit.
  • Pelajari dan latih keahlian keamanan seluler Anda.
  • Bug Bounty: Periksa permukaan serangan seluler, tahap demi tahap.

Sebaiknya manfaatkan OWASP MAS untuk meningkatkan keamanan aplikasi iOS dan Android, pengujian, dan kemampuan autentikasi.

Android

Saat mengembangkan aplikasi Android, resource lain yang harus dipertimbangkan adalah praktik terbaik aplikasi komunitas Android. Panduan keamanan berisi panduan praktik terbaik tentang penerapan komunikasi yang aman, penentuan izin yang benar, penyimpanan data yang aman, dependensi layanan, dan sebagainya.

iOS

Saat mengembangkan aplikasi iOS, pertimbangkan untuk membaca Introduction to Secure Coding Guide dari Apple, yang berisi praktik terbaik untuk Platform iOS.

Pengumpulan, penggunaan, dan retensi data

Google Maps Platform berkomitmen terhadap transparansi terkait pengumpulan data, penggunaan data, dan retensi data. Pengumpulan, penggunaan, dan retensi data Google Maps Platform tunduk kepada Persyaratan Layanan Google Maps Platform, yang mencakup Kebijakan Privasi Google.

Pengumpulan data

Data dikumpulkan melalui penggunaan Produk Google Maps Platform. Sebagai pelanggan, Anda dapat mengontrol informasi yang dikirim ke Google Maps Platform melalui API dan SDK. Semua permintaan Google Maps Platform dicatat, yang mencakup kode status respons dari produk.

Data yang dicatat Google Maps Platform

Google Maps Platform mencatat data di seluruh rangkaian produk. Log berisi beberapa entri yang umumnya mencakup:

• ID akun yang bisa berupa kunci API, Client-ID, atau nomor project Cloud. ID ini diperlukan untuk pengoperasian, dukungan, dan penagihan.
• Alamat IP dari server, layanan, atau perangkat yang mengirimkan permintaan. Untuk API, perhatikan bahwa alamat IP yang dikirim ke Google Maps Platform akan bergantung pada cara penerapan pemanggilan API di aplikasi/solusi Anda. Untuk SDK, alamat IP dari perangkat yang memanggil dicatat.
• URL Permintaan, yang berisi API dan parameter yang diteruskan ke API. Misalnya, Geocoding API memerlukan dua parameter (alamat dan kunci API). Geocoding juga memiliki sejumlah parameter opsional. URL permintaan akan berisi semua parameter yang diteruskan ke layanan.
• Tanggal dan waktu permintaan.
• Aplikasi web mencatat header permintaan yang umumnya mencakup data seperti jenis browser web dan sistem operasi.
• Aplikasi Seluler yang menggunakan SDK mencatat versi Google Play, library, dan nama aplikasi.

Akses log Google Maps Platform

Akses ke log sangat dibatasi dan hanya diizinkan untuk anggota tim khusus yang memiliki kebutuhan bisnis yang sah. Setiap permintaan akses ke file log didokumentasikan untuk tujuan audit, yang diverifikasi melalui audit ISO 27001 Google dan audit pihak ketiga SOC 2.

Penggunaan data

Data yang dikumpulkan oleh Google Maps Platform digunakan untuk tujuan berikut:

• Meningkatkan kualitas produk dan layanan Google
• Memberikan dukungan teknis kepada pelanggan
• Pemantauan dan pemberitahuan operasional
• Menjaga keamanan platform
• Perencanaan kapasitas platform

Perhatikan bahwa Google Maps Platform tidak pernah menjual data operasi pengguna kepada pihak ketiga sebagaimana yang didokumentasikan dalam Kebijakan Privasi Google.

Retensi dan anonimisasi data

Data yang dikumpulkan di log Google Maps Platform dapat disimpan selama durasi yang beragam bergantung pada kebutuhan bisnis, serta tunduk pada kebijakan anonimisasi dan penyamaran data Google. Alamat IP secara otomatis dianonimkan sesegera mungkin (bagian dari alamat IP dihapus). Statistik penggunaan gabungan dan anonim yang diambil dari log dapat disimpan tanpa batas waktu.

Sertifikasi & audit keamanan, industri, ketersediaan tinggi, dan lingkungan

ISO 27001

International Organization for Standardization (ISO) adalah organisasi internasional non-pemerintah yang independen dengan keanggotaan internasional yang terdiri dari 163 badan standar nasional. Rangkaian standar ISO/IEC 27000 membantu berbagai organisasi menjaga keamanan aset informasinya.

ISO/IEC 27001 menguraikan dan memberikan persyaratan untuk sistem pengelolaan keamanan informasi (ISMS), menentukan kumpulan praktik terbaik, dan menjelaskan kontrol keamanan yang dapat membantu mengelola risiko informasi.

Google Maps Platform dan Infrastruktur Standar Google disertifikasi sebagai mematuhi ISO/IEC 27001. Standar 27001 tidak mewajibkan kontrol keamanan informasi tertentu, tetapi framework dan checklist kontrol yang diuraikan di dalamnya memungkinkan Google menerapkan model yang komprehensif dan terus ditingkatkan kualitasnya untuk pengelolaan keamanan.

Anda dapat mendownload dan meninjau sertifikasi ISO 27001 Google Maps Platform dari Pengelola Laporan Kepatuhan Google.

SOC 2 Type II

SOC 2 adalah laporan berdasarkan Trust Services Criteria (TSC) saat ini dari Auditing Standards Board dari American Institute of Certified Public Accountants (AICPA). Tujuan laporan ini adalah untuk mengevaluasi sistem informasi organisasi terkait keamanan, ketersediaan, integritas pemrosesan, kerahasiaan, dan privasi. Laporan SOC 2 Type II dikeluarkan setiap enam bulan sekali sekitar bulan Juni dan Desember.

Anda dapat mendownload dan meninjau Laporan Audit SOC 2 Type II Google Maps Platform dari Pengelola Laporan Kepatuhan Google.

Cloud Security Alliance (CSA)

Cloud Security Alliance (1, 2) adalah organisasi nonprofit yang misinya adalah "mempromosikan penggunaan praktik terbaik untuk memberikan jaminan keamanan dalam Cloud Computing, dan memberikan edukasi tentang penggunaan Cloud Computing untuk membantu mengamankan semua bentuk komputasi lainnya".

Security, Trust, and Assurance Registry Program dari CSA (CSA STAR) didesain untuk membantu Anda menilai dan memilih penyedia layanan cloud melalui program pemeriksaan mandiri tiga langkah, audit pihak ketiga, dan pemantauan yang terus-menerus.

Google Maps Platform telah memperoleh sertifikasi berbasis penilaian dari pihak ketiga (CSA STAR Level 1: Pengesahan)

Google juga merupakan sponsor CSA dan anggota International Standardization Council (ISC) CSA, dan salah satu pendiri GDPR Center of Excellence CSA.

ISO 22301:2019

International Organization for Standardization (ISO) adalah organisasi internasional non-pemerintah yang independen dengan keanggotaan internasional yang terdiri dari 163 badan standar nasional.

ISO 22301:2019 adalah standar internasional untuk pengelolaan keberlangsungan bisnis yang didesain untuk membantu organisasi menerapkan, menjaga, dan meningkatkan sistem pengelolaan untuk mencegah, bersiap menghadapi, merespons, dan memulihkan dari gangguan ketika terjadi.

Pusat data yang mendukung produk Google Maps Platform disertifikasi sebagai mematuhi ISO 22301:2019 dan BS EN ISO 22301:2019 setelah menjalani audit oleh auditor pihak ketiga yang independen. Kepatuhan terhadap standar untuk pusat data Google ini menunjukkan bahwa lokasi yang menghosting produk dan layanan Google memenuhi persyaratan sebagaimana yang didefinisikan oleh ISO 22301:2019 dan BS EN ISO 22301:2019.

ISO 50001

International Organization for Standardization (ISO) adalah organisasi internasional non-pemerintah yang independen dengan keanggotaan internasional yang terdiri dari 163 badan standar nasional.

ISO 50001:2018 adalah standar internasional untuk pengelolaan energi yang didesain untuk membantu organisasi menerapkan, menjaga, dan meningkatkan sistem pengelolaan guna mengintegrasikan pengelolaan energi ke dalam keseluruhan upaya mereka untuk meningkatkan kualitas dan pengelolaan lingkungan.

Pusat data EMEA Google yang digunakan oleh Google Maps Platform disertifikasi sebagai mematuhi ISO 50001:2018 setelah menjalani audit oleh auditor pihak ketiga yang independen. Kepatuhan terhadap ISO 50001:2018 untuk pusat data Google menunjukkan bahwa lokasi dalam cakupan yang menghosting produk dan layanan Google memenuhi persyaratan sebagaimana yang didefinisikan oleh ISO 50001:2018.

Framework hukum yang didukung

Berikut adalah komitmen kontraktual global.

Komitmen kontraktual Eropa

Bagian ini menjelaskan komitmen kontraktual Eropa.

General Data Protection Regulation (GDPR) Uni Eropa

General Data Protection Regulation (GDPR) adalah legislasi privasi yang menggantikan Directive 95/46/EC tentang Perlindungan Data tertanggal 24 Oktober 1995 pada 25 Mei 2018. GDPR menjabarkan persyaratan spesifik untuk bisnis dan organisasi yang berada di Eropa atau yang melayani pengguna di Eropa. Google Maps Platform memelopori inisiatif yang memprioritaskan dan meningkatkan keamanan serta privasi data pribadi pelanggan, dan menginginkan Anda, sebagai pelanggan Google Maps Platform, merasa yakin dalam menggunakan layanan Google berkat adanya persyaratan GDPR. Jika Anda menjadi partner, Google Maps Platform akan mendukung upaya kepatuhan Anda terhadap GDPR dengan:

1. Berkomitmen untuk mematuhi GDPR terkait pemrosesan data pribadi oleh Google di semua layanan Google Maps Platform yang tercantum dalam kontrak Google
2. Memberi Anda dokumentasi dan resource untuk membantu Anda dalam penilaian privasi layanan Google
3. Terus-menerus meningkatkan kemampuan Google seiring dengan perubahan lanskap peraturan

Keputusan kecukupan Uni Eropa, EEA, Swiss, dan Inggris Raya

Sebagaimana yang didokumentasikan dalam Kebijakan privasi Google, Komisi Eropa telah menentukan bahwa negara tertentu di luar Wilayah Ekonomi Eropa (EEA) melindungi informasi pribadi secara memadai, yang berarti bahwa data dapat ditransfer dari Uni Eropa (EU) dan Norwegia, Liechtenstein, dan Islandia ke negara-negara tersebut. Inggris Raya dan Swiss telah menggunakan mekanisme kecukupan yang serupa.

Klausul Kontrak Standar Uni Eropa

Komisi Eropa telah memublikasikan SCC Uni Eropa baru untuk membantu mengamankan data Eropa bersama dengan SCC. Google telah mengintegrasikan SCC ke dalam kontrak Google Maps Platform untuk melindungi data dan memenuhi persyaratan legislasi privasi Eropa. Seperti SCC sebelumnya, klausul ini dapat digunakan untuk memfasilitasi transfer data yang sah.

Data Protection Act Inggris Raya

Data Protection Act 2018 adalah penerapan General Data Protection Regulation (GDPR) di Inggris Raya. "GDPR Inggris Raya" berarti GDPR Uni Eropa yang diubah dan dimasukkan ke hukum Inggris Raya berdasarkan European Union (Withdrawal) Act Inggris Raya 2018, dan legislasi sekunder yang berlaku yang dibuat berdasarkan Act tersebut.

Swiss Federal Act on Data Protection (FDPA)

Swiss Data Protection Act, yang sebelumnya dikenal sebagai Federal Act on Data Protection (FADP), adalah peraturan perlindungan data yang bertujuan untuk melindungi privasi dan hak dasar orang saat data mereka diproses.

Komitmen kontraktual Non-Eropa

Bagian ini menjelaskan komitmen kontraktual non-Eropa.

Lei Geral de Proteção de Dados (LGPD)

Lei Geral de Proteção de Dados (LGPD) Brasil adalah hukum privasi data yang mengatur pemrosesan data pribadi oleh bisnis dan organisasi yang berada di Brasil, atau yang antara lain melayani pengguna di Brasil. LGPD sekarang diberlakukan, dan menawarkan perlindungan berikut:

• Mengatur cara bisnis dan organisasi mengumpulkan, menggunakan, dan menangani data pribadi
• Melengkapi atau menggantikan hukum privasi sektoral federal yang ada untuk meningkatkan akuntabilitas
• Mengizinkan sanksi denda diberikan kepada bisnis atau organisasi yang gagal memenuhi persyaratannya
• Mengizinkan pendirian Otoritas Perlindungan Data
• Menerapkan aturan tentang transfer data pribadi yang dikumpulkan di Brazil

Google menawarkan produk dan solusi yang dapat Anda gunakan sebagai bagian dari strategi kepatuhan LGPD:

• Fitur keamanan dan privasi yang membantu Anda mematuhi LGPD dan melindungi serta mengelola data pribadi dengan lebih baik
• Layanan dan infrastruktur yang dibuat untuk memastikan keamanan pemrosesan data dan menerapkan praktik privasi yang sesuai
• Perkembangan produk dan kemampuan Google yang berkelanjutan seiring dengan perubahan lanskap peraturan

Pelanggan Google Maps Platform perlu mengevaluasi pemrosesan data pribadi mereka dan menentukan apakah persyaratan LGPD berlaku bagi mereka. Google merekomendasikan agar Anda berkonsultasi dengan pakar hukum untuk mendapatkan panduan tentang persyaratan khusus LGPD yang berlaku untuk organisasi Anda, karena situs ini bukan merupakan nasihat hukum.

Komitmen kontraktual Negara Bagian AS

Connecticut's Act Concerning Data Privacy and Online Monitoring

Connecticut's Act Concerning Data Privacy and Online Monitoring, Pub. Act No. 22015 diberlakukan pada 1 Januari 2023. Lihat Persyaratan Perlindungan Data Google untuk Antar-Pengontrol untuk mendapatkan informasi selengkapnya.

California Consumer Privacy Act (CCPA)

California Consumer Privacy Act (CCPA) (1, 2) adalah hukum privasi data yang memberikan sejumlah perlindungan privasi kepada pelanggan California, termasuk hak untuk mengakses, menghapus, dan memilih tidak ikut "penjualan" informasi pribadi. Mulai 1 Januari 2020, bisnis yang mengumpulkan informasi pribadi penduduk California dan memenuhi batas tertentu (misalnya, pendapatan, volume pemrosesan data) harus mematuhi kewajiban ini. California Privacy Rights Act (CPRA) adalah hukum privasi data yang mengubah dan memperluas CCPA. Hukum ini diberlakukan pada 1 Januari 2023. Google sangat berkomitmen untuk membantu pelanggannya memenuhi kewajiban mereka berdasarkan peraturan data ini dengan menawarkan alat yang praktis dan membuat perlindungan keamanan dan privasi yang andal ke dalam layanan dan kontrak Google. Anda dapat menemukan informasi selengkapnya tentang tanggung jawab Anda sebagai bisnis berdasarkan CCPA di situs California Office of the Attorney General. Lihat Persyaratan Perlindungan Data Google untuk Antar-Pengontrol untuk mendapatkan informasi selengkapnya.

Colorado Privacy Act (CPA)

Colorado Privacy Act, Colo. Rev. Stat. § 6-1-1301 et seq. diberlakukan pada 1 Januari 2023. Undang-undang ini menciptakan hak privasi data pribadi dan berlaku untuk entitas hukum yang menjalankan bisnis atau menghasilkan produk atau layanan komersial yang secara sengaja ditargetkan untuk penduduk Colorado dan yang:

• Mengontrol atau memproses data pribadi minimal sebanyak 100.000 konsumen per tahun kalender
• Memperoleh pendapatan dari penjualan data pribadi dan mengontrol atau memproses data pribadi minimal sebanyak 25.000 konsumen

Lihat Persyaratan Perlindungan Data Google untuk Antar-Pengontrol untuk mendapatkan informasi selengkapnya.

Utah Consumer Privacy Act (UCPA)

Utah Consumer Privacy Act, Utah Code Ann. § 13-61-101 et seq. diberlakukan pada 1 Januari 2023. UCPA berlaku untuk penjualan data pribadi dan iklan bertarget, dan menentukan apa yang termasuk dan bukan termasuk penjualan: "pertukaran data pribadi dengan imbalan uang oleh pengontrol kepada pihak ketiga."

Lihat Persyaratan Perlindungan Data Google untuk Antar-Pengontrol untuk mendapatkan informasi selengkapnya.

Virginia Consumer Data Protection Act (VCDPA)

Virginia Consumer Data Protection Act ("VCDPA") diberlakukan pada 1 Januari 2023. Hukum ini memberi hak tertentu kepada penduduk Virginia untuk data pribadi yang dikumpulkan oleh bisnis berdasarkan kondisi yang diuraikan dalam hukum.

Lihat Persyaratan Perlindungan Data Google untuk Antar-Pengontrol untuk mendapatkan informasi selengkapnya.

Ringkasan

Keamanan adalah kriteria desain utama untuk semua infrastruktur, produk, dan operasi Google. Skala pengoperasian Google dan kolaborasinya dengan komunitas riset keamanan memungkinkan kami mengatasi kerentanan dengan cepat, dan sering kali mencegah kerentanan sepenuhnya. Google menjalankan layanannya sendiri, seperti Penelusuran, YouTube, dan Gmail, di infrastruktur yang sama yang disediakan Google kepada pelanggannya, yang mendapatkan manfaat langsung dari kontrol dan praktik keamanan Google.

Google meyakini sanggup menawarkan tingkat perlindungan yang hanya mampu diberikan oleh segelintir penyedia cloud publik atau tim IT perusahaan swasta. Karena melindungi data adalah inti dari bisnis Google, kami dapat melakukan investasi ekstensif dalam keamanan, resource, dan kepakaran dengan skala yang tidak bisa dilakukan pihak lain. Investasi Google memungkinkan Anda bisa berfokus pada bisnis dan inovasi Anda. Kami akan terus berinvestasi pada platform kami agar Anda dapat memperoleh manfaat dari layanan Google secara aman dan transparan.