Panoramica della sicurezza e della conformità per Google Maps Platform

Questi contenuti sono stati aggiornati l'ultima volta a febbraio 2024 e rappresentano lo status quo del momento in cui sono stati redatti. Criteri e sistemi di sicurezza di Google possono variare in futuro, grazie al costante miglioramento della protezione per i nostri clienti.

Icona PDF Scarica la versione PDF

Introduzione

Google Maps Platform fornisce API e SDK a clienti e partner per sviluppare applicazioni web e mobile che utilizzano la tecnologia geospaziale di Google. Google Maps Platform offre oltre 50 API e SDK per i clienti di vari settori. Come cliente del settore, quando crei le tue soluzioni devi soddisfare spesso i requisiti normativi, di utilizzo dei dati e di sicurezza. Ciò include garantire che la tecnologia di terze parti soddisfi gli stessi requisiti.

Questo documento fornisce un riepilogo generale delle persone, dei processi e dei controlli tecnologici offerti da Google Maps Platform, oltre a descrivere i vantaggi dell'utilizzo della piattaforma. Innanzitutto, è importante comprendere i due principali pilastri tecnologici di base di Google Maps Platform:

  • Tecnologie, data center e infrastruttura forniti da Google. Google Maps Platform opera interamente su data center e infrastruttura forniti da Google. Su questa base, applica controlli interni e di terze parti ai controlli di sicurezza che eredita da Google per confermare che Google Maps Platform implementi correttamente i controlli di sicurezza, operativi e tecnici descritti in questo documento.
  • Tecnologia Google Maps Platform. Oltre ai controlli ereditati, Google Maps Platform offre ulteriori controlli per sicurezza, privacy, dati e operazioni per le suite di prodotti di Google.

Questo documento riassume i processi e i controlli di sicurezza di Google Maps Platform, raggruppati come segue:

  • Priorità alla sicurezza e alla privacy a tutti i livelli dell'organizzazione Google
  • Sicurezza hardware e infrastruttura tecnica
  • Sicurezza operativa
  • Controlli di sicurezza principali
  • Sicurezza lato client, web e mobile
  • Certificazioni e controlli attuali in Google Maps Platform
  • Quadri giuridici supportati a livello globale

I potenziali clienti possono contattare il rappresentante di vendita Google per ulteriori informazioni.

L'organizzazione di Google incentrata sulla sicurezza e sulla privacy

La sicurezza guida la struttura organizzativa, la cultura, le priorità della formazione e i processi di assunzione in Google. e determina la progettazione dei data center e la tecnologia che forniscono. La sicurezza è alla base delle operazioni quotidiane di Google, tra cui pianificazione in caso di emergenza e gestione delle minacce. Google dà la priorità alla sicurezza nel modo in cui gestisce i dati, i controlli dell'account, i controlli di conformità e le certificazioni di settore. Google progetta i suoi servizi per offrire una sicurezza migliore rispetto a molte alternative on-premise che si basano su più fornitori e più piattaforme, in cui la sicurezza è spesso un processo non connesso. Quando utilizzi i prodotti Google Maps Platform per la tua azienda, puoi usufruire dei programmi e dei controlli di sicurezza integrati di Google. La sicurezza di Google Maps Platform è una priorità nelle operazioni che servono oltre un miliardo di utenti in tutto il mondo.

Insieme, Google e Google Maps Platform forniscono più livelli di sicurezza in tutta l'azienda e l'organizzazione:

  • Il team di sicurezza dedicato di Google
  • Il team per la sicurezza dei prodotti di Google Maps Platform
  • Coinvolgimento attivo nella comunità globale di ricerca sulla sicurezza
  • Il team dedicato alla privacy di Google Maps Platform
  • Formazione sulla sicurezza e la privacy dei dipendenti Google
  • Specialisti interni di controlli e conformità

Team dedicati alla sicurezza di Google

Google fornisce team di sicurezza dedicati in tutta l'azienda e in tutte le aree di prodotto.

I team di sicurezza di Google supportano diverse aree di prodotti in Google, tra cui Google Maps Platform. Il team addetto alla sicurezza include alcuni dei principali esperti al mondo in materia di sicurezza informatica, sicurezza delle applicazioni, crittografia e sicurezza di rete. Le attività includono:

  • Sviluppa, esamina e implementa i processi di sicurezza. Ciò include la revisione dei piani di sicurezza per le reti Google e la fornitura di consulenze specifiche per progetto ai team di prodotto e di progettazione di Google. Ad esempio, gli esperti di crittografia esaminano i lanci di prodotti che implementano la crittografia come parte dell'offerta.
  • Gestisce attivamente le minacce alla sicurezza. Utilizzando strumenti sia commerciali che personalizzati, il team monitora le minacce in corso e le attività sospette sulle reti Google.
  • Effettua controlli e valutazioni di routine, che possono comportare il coinvolgimento di esperti esterni per l'esecuzione di valutazioni della sicurezza.
  • Pubblica articoli sulla sicurezza per un'intera community. Google gestisce un blog sulla sicurezza e una serie di YouTube che mette in evidenza alcuni dei team di sicurezza specifici e i loro risultati.

Il team di sicurezza di Google Maps Platform collabora con il team di sicurezza di Google, lavorando a stretto contatto con lo sviluppo del prodotto e con l'SRE per supervisionare l'implementazione della sicurezza. Nello specifico, questo team gestisce quanto segue:

  • Il Disaster Resilience Testing (DiRT) di Google Maps Platform, che verifica la continuità aziendale e il failover dei prodotti Google Maps Platform, viene eseguito sull'infrastruttura ad alta disponibilità di Google.
  • Test di penetrazione di terze parti. I prodotti Google Maps Platform vengono sottoposti a test di penetrazione almeno una volta all'anno per migliorare il livello di sicurezza di Google e fornirti una garanzia di sicurezza indipendente.

Collaborazione con la comunità di esperti della sicurezza

Google intrattiene da tempo un rapporto stretto con la comunità di ricerca sulla sicurezza e apprezza molto il suo aiuto nell'identificazione di potenziali vulnerabilità in Google Maps Platform e in altri prodotti Google.

  • Collaborazione online con la community tramite Project Zero. Project Zero è un team di ricercatori che si occupano di ricercare le vulnerabilità zero-day. Alcuni esempi di questa ricerca sono la scoperta dell'exploit Spectre, dell'exploit Meltdown, dell'exploit POODLE SSL 3.0 e dei punti deboli delle suite di crittografia.
  • Ricerca accademica - I tecnici e i ricercatori di sicurezza di Google partecipano e pubblicano attivamente nella community accademica sulla sicurezza e nella community di ricerca sulla privacy. Le pubblicazioni relative alla sicurezza sono disponibili sul sito di Google Research di Google. I team per la sicurezza di Google hanno pubblicato un resoconto approfondito delle loro pratiche e della loro esperienza nel libro Building Secure and Reliable Systems.
  • Vulnerability Rewards Program: Google Maps Platform partecipa al Vulnerability Reward Program che offre premi di decine di migliaia di dollari per ogni vulnerabilità confermata. Il programma incoraggia i ricercatori a segnalare problemi di progettazione e implementazione che potrebbero mettere a rischio i dati dei clienti. Nel 2022, Google ha assegnato ai ricercatori oltre 11,9 milioni di premi in denaro. Per ulteriori informazioni su questo programma, inclusi i premi accordati da Google, consulta la pagina Bug Hunters Key Stats. Per ulteriori informazioni sulla segnalazione di problemi di sicurezza, vedi In che modo Google gestisce le vulnerabilità di sicurezza.
  • Ricerca sulla sicurezza open source - Gli ingegneri di Google organizzano e partecipano anche a progetti open source e a conferenze accademiche. Per migliorare il codice open source, il Vulnerability Reward Program offre anche sussidi per i progetti open source.
  • Crittografia: i migliori analisti di crittografia di Google hanno lavorato per proteggere le connessioni TLS dagli attacchi informatici quantistici e hanno sviluppato l'algoritmo combinato a curva ellittica e post-quantistico (CECPQ2). I crittografi di Google hanno sviluppato Tink, una libreria open source di API crittografiche. Google usa Tink anche nei prodotti e servizi interni.

Il team dedicato alla privacy di Google Maps Platform

Il team dedicato alla privacy opera separatamente dalle organizzazioni per la sicurezza e lo sviluppo dei prodotti. Supporta iniziative interne relative alla privacy per migliorare tutti gli aspetti della privacy: processi critici, strumenti interni, infrastruttura e sviluppo dei prodotti. Il team dedicato alla privacy procede nel seguente modo:

  • Garantisce che i lanci di prodotti includano rigorosi standard di privacy per la raccolta dei dati. Partecipa al lancio di ogni prodotto Google tramite la documentazione di progettazione e le revisioni del codice.
  • Dopo il lancio del prodotto, il team dedicato alla privacy supervisiona i processi automatizzati che verificano continuamente la raccolta e l'utilizzo appropriati dei dati.
  • Conduce ricerche sulle best practice relative alla privacy.

Formazione sulla sicurezza e la privacy dei dipendenti Google

La sicurezza e la privacy sono aree in continua evoluzione e Google riconosce che il coinvolgimento dedicato dei dipendenti è uno strumento fondamentale per aumentare la consapevolezza. Tutti i dipendenti di Google ricevono corsi di formazione sulla sicurezza e sulla privacy nell'ambito del processo di orientamento e ricevono una formazione continua e obbligatoria sulla sicurezza e sulla privacy durante la loro carriera in Google.

  • Durante l'orientamento: i nuovi dipendenti accettano il codice di condotta di Google, che evidenzia l'impegno di Google a mantenere i dati dei clienti protetti e al sicuro.
  • Formazione specializzata per ruolo professionale. Alcuni ruoli richiedono l'addestramento su aspetti specifici della sicurezza. Ad esempio, il team per la sicurezza delle informazioni istruisce i nuovi ingegneri su pratiche di codifica sicure, progettazione del prodotto e strumenti di test automatizzato delle vulnerabilità. Gli ingegneri partecipano a regolari report sulla sicurezza e ricevono newsletter sulla sicurezza che trattano nuove minacce, modelli di attacco, tecniche di mitigazione e altro ancora.
  • Eventi in corso. Google ospita regolarmente conferenze interne aperte a tutti i dipendenti per sensibilizzare e promuovere l'innovazione in materia di sicurezza e privacy dei dati. Google ospita eventi in tutti gli uffici di tutto il mondo per aumentare la consapevolezza in termini di sicurezza e privacy per lo sviluppo di software, la gestione dei dati e l'applicazione di criteri.

Specialisti interni di controlli e conformità

Google Maps Platform ha un team di audit interno dedicato che esamina la conformità dei prodotti Google alle leggi e normative sulla sicurezza di tutto il mondo. Man mano che vengono creati nuovi standard di controllo e aggiornati quelli esistenti, il team di controllo interno determina quali controlli, processi e sistemi sono necessari per contribuire a soddisfare tali standard. Questo team supporta controlli e valutazioni indipendenti da parte di terze parti. Per ulteriori informazioni, consulta la sezione Controlli e certificazioni di sicurezza più avanti in questo documento.

Piattaforma creata mettendo la sicurezza al primo posto

Google progetta i propri server, sistemi operativi proprietari e data center distribuiti geograficamente utilizzando il principio della difesa in profondità. Google Maps Platform funziona su un'infrastruttura tecnica progettata e realizzata per funzionare in modo sicuro. Abbiamo creato un'infrastruttura IT più sicura e facile da gestire rispetto alle soluzioni più tradizionali on-premise o in hosting.

Data center all'avanguardia

L'attenzione alla sicurezza e alla protezione dei dati è uno dei criteri di progettazione principali di Google. La sicurezza fisica nei data center di Google è un modello di sicurezza a più livelli. La sicurezza fisica include misure di salvaguardia come carte di accesso elettroniche progettate su misura, rilevatori, barriere di accesso ai veicoli, recinzioni perimetrali, metal detector e biometria. Inoltre, per rilevare e monitorare gli intrusi, Google utilizza misure di sicurezza come il rilevamento delle intrusioni a fascio laser e il monitoraggio 24 ore su 24, 7 giorni su 7, tramite telecamere interne ed esterne ad alta risoluzione. I log degli accessi, le registrazioni delle attività e i filmati della videocamera sono disponibili in caso di incidente. I servizi di sicurezza esperti, che hanno superato rigorosi controlli dei precedenti e formazione, controllano regolarmente i data center di Google. Man mano che ti avvicini al data center, aumentano anche le misure di sicurezza. L'accesso al piano del data center è possibile solo attraverso un corridoio di sicurezza che implementa il controllo dell'accesso a più fattori utilizzando badge di sicurezza e dati biometrici. Possono accedervi solo i dipendenti approvati con ruoli specifici. Meno dell'1% dei dipendenti di Google metterà mai piede in uno dei data center di Google.

Google gestisce data center a livello globale e per massimizzare la velocità e l'affidabilità dei propri servizi. La sua infrastruttura è in genere configurata per gestire il traffico dal data center più vicino al punto di origine del traffico. Di conseguenza, la posizione esatta dei dati di Google Maps Platform può variare a seconda dell'origine di questo traffico e questi dati potrebbero essere gestiti da server situati nel SEE e nel Regno Unito o trasferiti in paesi terzi. Le offerte dei clienti di Google in cui vengono implementati i prodotti Google Maps Platform sono generalmente disponibili a livello globale e spesso attirano un pubblico globale. L'infrastruttura tecnica che supporta questi prodotti viene distribuita a livello globale per ridurre la latenza e garantire la ridondanza dei sistemi. Google Maps Platform utilizza un sottoinsieme della rete globale di data center di Google elencato di seguito come riferimento:

Mappa del mondo che mostra le sedi dei data center come punti blu

Nord America e Sud America

Europa

Asia

Potenziamento dei data center di Google

Per garantire un'operatività costante 24 ore su 24, 7 giorni su 7 e fornire servizi senza interruzioni, i data center di Google dispongono di sistemi di alimentazione ridondanti e controlli ambientali. Ogni componente critico ha una fonte di alimentazione primaria e alternativa, ognuna con la stessa potenza. I generatori di backup possono fornire una quantità di energia elettrica di emergenza sufficiente a far funzionare ogni data center alla massima capacità. I sistemi di raffreddamento mantengono una temperatura di funzionamento costante per i server e altro hardware, il che riduce il rischio di interruzioni dei servizi e riduce al contempo l'impatto ambientale. L'apparecchiatura di rilevamento e estinzione degli incendi aiuta a prevenire danni all'hardware. I rilevatori di calore e di incendi e di fumo attivano allarmi udibili e visibili nelle console operative di sicurezza e nelle scrivanie di monitoraggio remoto.

Google è la prima grande società di servizi internet a ottenere una certificazione esterna degli elevati standard ambientali, di sicurezza sul posto di lavoro e di gestione dell'energia nei data center di Google. Ad esempio, per dimostrare l'impegno di Google nelle pratiche di gestione dell'energia, Google ha ottenuto certificazioni ISO 50001 volontarie per i propri data center in Europa.

Hardware e software personalizzati per i server

I data center di Google dispongono di server e apparecchiature di rete appositamente progettati, alcuni dei quali progettati da Google. Sebbene i server di Google siano personalizzati per massimizzare le prestazioni, il raffreddamento e l'efficienza energetica, sono anche progettati per contribuire a proteggerti dagli attacchi di intrusione fisica. A differenza della maggior parte dell'hardware disponibile in commercio, i server di Google non includono componenti non necessari come schede video, chipset o connettori periferici, che possono introdurre vulnerabilità. Google esamina e convalida i fornitori di componenti con cura, collaborando con i fornitori per verificare e convalidare le proprietà di sicurezza fornite dai componenti. Google progetta chip personalizzati, come Titan, che ci aiutano a identificare e autenticare in modo sicuro i dispositivi Google legittimi a livello di hardware, compreso il codice utilizzato da questi dispositivi per l'avvio.

Le risorse del server vengono allocate in modo dinamico. Questo ci offre la flessibilità necessaria per la crescita e ci permette di adattarci in modo rapido ed efficiente alla domanda dei clienti mediante l'aggiunta o la riallocazione delle risorse. Questo ambiente omogeneo è gestito da un software proprietario che monitora costantemente i sistemi per rilevare eventuali modifiche a livello binario. I meccanismi automatizzati di riparazione automatica di Google sono progettati per consentirci di monitorare e risolvere eventi destabilizzanti, ricevere notifiche sugli incidenti e rallentare le potenziali compromissioni sulla rete.

Deployment sicuro dei servizi

I servizi Google sono i programmi binari delle applicazioni che gli sviluppatori Google scrivono ed eseguono nell'infrastruttura di Google. Per gestire la scalabilità richiesta del carico di lavoro, migliaia di macchine potrebbero eseguire programmi binari dello stesso servizio. Un servizio di orchestrazione dei cluster, chiamato Borg, controlla i servizi in esecuzione direttamente sull'infrastruttura.

L'infrastruttura non presuppone alcun trust tra i servizi in esecuzione sull'infrastruttura. Questo modello di attendibilità è chiamato modello di sicurezza Zero Trust. Un modello di sicurezza Zero Trust implica che per impostazione predefinita nessun dispositivo o utente è considerato attendibile, né all'interno né all'esterno della rete.

Poiché l'infrastruttura è progettata per essere multi-tenant, i dati dei clienti di Google (clienti, aziende e persino i dati di Google) vengono distribuiti nell'infrastruttura condivisa. Questa infrastruttura è composta da decine di migliaia di macchine omogenee. L'infrastruttura non separa i dati dei clienti su una sola macchina

Monitoraggio e smaltimento dell'hardware

Google monitora meticolosamente la posizione e lo stato di tutte le apparecchiature all'interno dei data center utilizzando codici a barre e asset tag. Google implementa metal detector e sistemi di sorveglianza video per assicurarsi che nessuna apparecchiatura esca dal pavimento del data center senza autorizzazione. Se un componente non supera un test delle prestazioni in un qualsiasi momento del suo ciclo di vita, viene rimosso dall'inventario e ritirato.

I dispositivi di archiviazione di Google, inclusi dischi rigidi, unità a stato solido e moduli di memoria in linea (DIMM) non volatili, utilizzano tecnologie come la crittografia dell'intero disco (FDE) e il blocco delle unità per proteggere i dati at-rest. Quando un dispositivo di archiviazione viene ritirato, le persone autorizzate verificano che il disco sia stato cancellato scrivendo zeri sull'unità. Esegue anche una procedura di verifica in più passaggi per assicurarsi che l'unità non contenga dati. Se per qualsiasi motivo un'unità non può essere cancellata, viene distrutta fisicamente. La distruzione fisica avviene mediante un trituratore che suddivide l'unità in piccoli pezzi, che vengono poi riciclati in una struttura sicura. Ogni data center rispetta una rigorosa politica di smaltimento e qualsiasi variazione viene immediatamente risolta.

Vantaggi della sicurezza della rete globale di Google

In altre soluzioni on-premise e cloud geospaziali, i dati si spostano tra i dispositivi sulla rete internet pubblica in percorsi chiamati hop. Il numero di hop dipende dalla route ottimale tra l'ISP del cliente e il data center. Ogni hop aggiuntivo introduce una nuova opportunità che i dati vengano attaccati o intercettati. Poiché la rete globale di Google è collegata alla maggior parte degli ISP al mondo, la rete di Google limita gli hop sulla rete internet pubblica e, di conseguenza, contribuisce a limitare l'accesso ai dati da parte di malintenzionati.

La rete di Google utilizza più livelli di difesa (difesa in profondità) per proteggere la rete dagli attacchi esterni. Solo i servizi e i protocolli autorizzati che soddisfano i requisiti di sicurezza di Google possono attraversarlo; tutto il resto viene eliminato automaticamente. Per applicare la segregazione della rete, Google usa firewall ed elenchi di controllo dell'accesso. Tutto il traffico viene instradato tramite server Google Front End (GFE) per contribuire a rilevare e interrompere le richieste dannose e gli attacchi DDoS (Distributed Denial-of-Service). I log vengono esaminati regolarmente per rivelare qualsiasi sfruttamento degli errori di programmazione. L'accesso ai dispositivi in rete è limitato solo ai dipendenti autorizzati.

L'infrastruttura globale di Google ci permette di eseguire Project Shield, che fornisce protezione illimitata e senza costi ai siti web vulnerabili agli attacchi DDoS che vengono utilizzati per censurare le informazioni. Project Shield è disponibile per siti web di notizie, siti web sui diritti umani e siti web che monitorano le elezioni.

Soluzioni a bassa latenza e ad alta disponibilità

La rete di dati IP di Google è composta dalla propria fibra, da fibra disponibile pubblicamente e da cavi sottomarini. Questa rete ci consente di offrire servizi a disponibilità elevata e bassa latenza in tutto il mondo.

Google progetta i componenti della sua piattaforma in modo che siano altamente ridondanti. Questa ridondanza si applica alla progettazione dei server di Google, al modo in cui Google archivia i dati, alla rete e alla connettività internet, nonché ai servizi software stessi. Questa "ridondanza di tutto" include la gestione delle eccezioni e crea una soluzione che non dipende da un singolo server, data center o connessione di rete.

I data center di Google sono distribuiti geograficamente in modo da ridurre al minimo gli effetti delle interruzioni a livello regionale sui prodotti globali, come ad esempio in caso di calamità naturali o interruzioni locali. In caso di guasto dell'hardware, del software o di una rete, i servizi e i piani di controllo della piattaforma vengono spostati automaticamente e rapidamente da una struttura all'altra, in modo che i servizi della piattaforma possano continuare senza interruzioni.

L'infrastruttura altamente ridondante di Google ti aiuta anche a proteggere la tua azienda dalla perdita di dati. I sistemi di Google sono progettati in modo da ridurre al minimo i tempi di inattività o i periodi di manutenzione per la nostra piattaforma.

Sicurezza operativa

La sicurezza è parte integrante delle operazioni di Google, non un pensiero in secondo piano. Questa sezione descrive i programmi di gestione delle vulnerabilità, il programma di prevenzione di malware, il monitoraggio della sicurezza e i programmi di gestione degli incidenti di Google.

Gestione delle vulnerabilità

Il processo interno di gestione delle vulnerabilità di Google scansiona attivamente tutti gli stack tecnologici per rilevare eventuali minacce alla sicurezza. Questa procedura utilizza una combinazione di strumenti commerciali, open source e interni appositamente progettati e include quanto segue:

  • Processi di garanzia di qualità
  • Revisioni della sicurezza del software
  • Intensi sforzi di penetrazione automatici e manuali, tra cui esercitazioni estese del Red Team
  • Test di penetrazione esterni ricorrenti per i prodotti Google Maps Platform
  • Controlli esterni ricorrenti

L'organizzazione per la gestione delle vulnerabilità e i suoi partner sono responsabili del monitoraggio e del follow-up delle vulnerabilità. Poiché la sicurezza migliora solo dopo che i problemi sono stati completamente risolti, le pipeline di automazione rivalutano continuamente lo stato di una vulnerabilità, verificano le patch e segnalano la risoluzione errata o parziale.

Monitoraggio della sicurezza

Il programma di monitoraggio della sicurezza di Google è incentrato sulle informazioni raccolte dal traffico di rete interno, dalle azioni dei dipendenti sui sistemi e dalla conoscenza esterna delle vulnerabilità. Uno dei principi fondamentali di Google è l'aggregazione e l'archiviazione di tutti i dati telemetrici sulla sicurezza in un'unica posizione per l'analisi unificata della sicurezza.

In molti punti della rete globale di Google, il traffico interno viene controllato per rilevare comportamenti sospetti, come la presenza di traffico che potrebbe indicare connessioni botnet. Google utilizza una combinazione di strumenti open source e commerciali per acquisire e analizzare il traffico in modo che possa eseguire questa analisi. Anche un sistema di correlazione proprietario basato sulla tecnologia di Google supporta questa analisi. Google integra l'analisi della rete esaminando i log di sistema per identificare comportamenti insoliti, come i tentativi di accedere ai dati dei clienti.

Il Threat Analysis Group di Google monitora gli autori delle minacce e l'evoluzione delle loro tattiche e tecniche. I tecnici della sicurezza di Google esaminano i report sulla sicurezza in entrata e monitorano le mailing list pubbliche, i post dei blog e i wiki. L'analisi automatizzata della rete e l'analisi automatizzata dei log di sistema aiutano a determinare quando potrebbe esistere una minaccia sconosciuta. Se i processi automatizzati rilevano un problema, questo viene riassegnato al personale addetto alla sicurezza di Google.

Rilevamento delle intrusioni

Google utilizza pipeline di elaborazione dati sofisticate per integrare indicatori basati su host sui singoli dispositivi, indicatori basati sulla rete provenienti da vari punti di monitoraggio nell'infrastruttura e indicatori dei servizi di infrastruttura. Le regole e l'intelligence artificiale basate su queste pipeline inviano avvisi agli ingegneri della sicurezza operativa sui possibili incidenti. I team di indagine e risposta agli incidenti di Google valutano, esaminano e rispondono a questi potenziali incidenti 24 ore su 24, 365 giorni l'anno. Oltre ai test di penetrazione esterni, Google conduce esercizi Red Team per misurare e migliorare l'efficacia dei meccanismi di rilevamento e risposta di Google.

Gestione degli incidenti

Google dispone di un rigoroso processo di gestione degli incidenti per gli eventi di sicurezza che potrebbero influire su riservatezza, integrità o disponibilità di sistemi o dati. Il programma di gestione degli incidenti di sicurezza di Google è strutturato in base alle linee guida del NIST sulla gestione degli incidenti (NIST SP 800-61). Google offre ai membri chiave del personale la formazione per l'analisi forense e la gestione delle prove in preparazione a un evento, incluso l'uso di strumenti proprietari e di terze parti.

Google testa i piani di risposta agli incidenti per le aree chiave. Questi test prendono in considerazione diversi scenari, tra cui minacce interne e vulnerabilità dei software. Per garantire la rapida risoluzione degli incidenti relativi alla sicurezza, il team per la sicurezza di Google è disponibile 24 ore su 24, 7 giorni su 7, per tutti i dipendenti.

Pratiche di sviluppo software

Google utilizza le protezioni per il controllo dei file sorgente e le revisioni in due parti per limitare in modo proattivo l'introduzione di vulnerabilità. Google fornisce inoltre librerie che impediscono agli sviluppatori di introdurre determinate classi di bug di sicurezza. Ad esempio, Google dispone di librerie e framework progettati per eliminare le vulnerabilità XSS negli SDK. Google dispone inoltre di strumenti automatizzati per rilevare i bug di sicurezza, come fuzzer, strumenti di analisi statica e scanner di sicurezza web.

Protezioni per il codice sorgente

Il codice sorgente di Google è archiviato in repository con integrità e governance integrate del codice sorgente, che consentono di controllare le versioni attuali e passate del servizio. L'infrastruttura richiede che i programmi binari di un servizio vengano creati da un codice sorgente specifico dopo l'esame, il check-in e il test. Autorizzazione binaria per Borg (BAB) è un controllo di applicazione interno che si verifica quando viene eseguito il deployment di un servizio. BAB effettua le seguenti operazioni:

  • Garantisce che il software di produzione e la configurazione di cui è stato eseguito il deployment in Google vengano esaminati e autorizzati, in particolare
  • Garantisce che i deployment di codice e configurazione soddisfino determinati standard minimi
  • Limita la capacità di un addetto ai lavori o di un avversario di apportare modifiche dannose al codice sorgente e fornisce anche una traccia forense da un servizio alla sua origine

Ridurre il rischio per gli addetti ai lavori

Google limita e monitora attivamente le attività dei dipendenti a cui è stato concesso l'accesso amministrativo all'infrastruttura. Google si impegna costantemente per eliminare la necessità di accesso privilegiato per attività specifiche utilizzando l'automazione che può svolgere le stesse attività in modo sicuro e controllato. Ad esempio, Google richiede l'approvazione di due parti per alcune azioni, mentre Google utilizza API limitate che consentono il debug senza esporre informazioni sensibili.

L'accesso dei dipendenti Google alle informazioni degli utenti finali viene registrato tramite hook dell'infrastruttura di basso livello. Il team per la sicurezza di Google monitora i pattern di accesso e analizza eventi insoliti.

Test di ripristino di emergenza - DiRT

Google Maps Platform organizza eventi annuali di test di ripristino di emergenza (DiRT) a livello aziendale e della durata di più giorni per garantire che i servizi e le operazioni aziendali interne di Google Maps Platform continuino a essere eseguiti durante un'emergenza. DiRT è stato sviluppato per trovare le vulnerabilità nei sistemi critici causando intenzionalmente errori e per correggere queste vulnerabilità prima che gli errori si verificassero in modo incontrollato. DiRT verifica la solidità tecnica di Google interrompendo i sistemi attivi e testa la resilienza operativa di Google impedendo esplicitamente la partecipazione di personale critico, esperti dell'area e leader. Tutti i servizi in disponibilità generale devono disporre di test DiRT attivi e della convalida della loro resilienza e disponibilità e della loro convalida.

Per prepararsi a un esercizio DiRT, Google utilizza un insieme di regole coerente sulla prioritizzazione,

protocolli di comunicazione, aspettative di impatto e requisiti di progettazione dei test, inclusi piani di rollback pre-esaminati e approvati. Gli esercizi e gli scenari di DiRT non solo forzano errori tecnici nel servizio stesso, ma possono anche includere errori progettati durante il processo, disponibilità di personale chiave, sistemi di supporto, comunicazioni e accesso fisico. DiRT verifica che i processi in atto funzionino effettivamente nella pratica. Garantisce inoltre che i team siano preaddestrati e abbiano esperienza a cui attingere durante interruzioni effettive, disastri naturali o artificiali.

Controlli di sicurezza principali

Questa sezione descrive i principali controlli di sicurezza che Google Maps Platform implementa per proteggere la sua piattaforma.

Crittografia

La crittografia aggiunge un livello di protezione per la protezione dei dati. La crittografia garantisce che, se un utente malintenzionato ha accesso ai dati, non possa leggere i dati senza avere accesso anche alle chiavi di crittografia. Anche se un utente malintenzionato accede ai dati (ad esempio, tramite la connessione tramite cavo tra i data center o rubando un dispositivo di archiviazione), non sarà in grado di comprenderli o decriptarli.

La crittografia fornisce un meccanismo importante su come Google contribuisce a proteggere la privacy dei dati. Consente ai sistemi di manipolare i dati, ad esempio per il backup, e agli ingegneri di supportare l'infrastruttura di Google, senza concedere l'accesso ai contenuti a tali sistemi o dipendenti.

Crittografia at-rest

La crittografia "at-rest" in questa sezione indica la crittografia utilizzata per proteggere i dati archiviati su un disco (incluse le unità a stato solido) o su un supporto di backup. I dati vengono criptati a livello di archiviazione, in genere utilizzando l'algoritmo AES256 (Advanced Encryption Standard). I dati vengono spesso criptati a più livelli nello stack di archiviazione di produzione di Google nei data center, anche a livello di hardware, senza richiedere alcuna azione da parte dei clienti di Google. Usare più livelli di crittografia

aggiunge una protezione dei dati ridondante e consente a Google di scegliere l'approccio ottimale in base ai requisiti dell'applicazione. Google utilizza librerie crittografiche comuni che incorporano il modulo convalidato FIPS 140-2 di Google per implementare la crittografia in modo coerente in tutti i prodotti. Un uso coerente delle librerie comuni significa che solo un piccolo team di crittografi deve implementare e gestire questo codice rigorosamente controllato e rivisto.

Protezione dei dati in transito

I dati possono essere vulnerabili ad accessi non autorizzati mentre si spostano su internet. Google Maps Platform supporta una crittografia avanzata dei dati in transito tra i dispositivi e le reti dei clienti e i server Google Front End (GFE). Come best practice, Google consiglia a clienti e sviluppatori di utilizzare il pacchetto di crittografia più avanzato di Google (TLS 1.3) durante la creazione delle applicazioni. Alcuni clienti hanno casi d'uso che richiedono suite di crittografia meno recenti per motivi di compatibilità, quindi Google Maps Platform supporta questi standard più deboli, ma ne sconsiglia l'uso se possibile. Google Cloud offre inoltre ulteriori opzioni di crittografia dei trasporti, tra cui Cloud VPN per la creazione di reti private virtuali utilizzando IPsec per i prodotti Google Maps Platform.

Protezione dei dati in transito tra i data center di Google

Application Layer Transport Security (ALTS) garantisce che l'integrità del traffico Google sia protetta e crittografata secondo necessità. Dopo che un protocollo di handshake tra il client e il server è stato completato e il client e il server negoziano i secret di crittografia condivisi necessari per criptare e autenticare il traffico di rete, Apigee protegge il traffico RPC (chiamata di procedura remota) forzando l'integrità, utilizzando i secret condivisi negoziati. Google supporta più protocolli per le garanzie di integrità, ad esempio AES-GMAC (Advanced Encryption Standard), con chiavi a 128 bit. Ogni volta che il traffico lascia un confine fisico controllato da Google o per conto di Google, ad esempio in transito sulla WAN (Wide Area Network) tra data center, viene eseguito automaticamente l'upgrade di tutti i protocolli per fornire garanzie di crittografia e integrità.

Disponibilità del servizio Google Maps Platform

Alcuni servizi di Google Maps Platform potrebbero non essere disponibili in tutte le aree geografiche. Alcune interruzioni del servizio sono temporanee (a causa di un evento imprevisto, come un'interruzione di rete), ma altre limitazioni dei servizi sono permanenti a causa di restrizioni imposte dal governo. Il Rapporto sulla trasparenza completo e la dashboard dello stato di Google mostrano le interruzioni recenti e in corso del traffico dei servizi Google Maps Platform. Google fornisce questi dati per aiutarti ad analizzare e comprendere le informazioni sull'uptime di Google.

Sicurezza lato client

La sicurezza è una responsabilità condivisa tra un fornitore di servizi cloud e il cliente/partner che implementa i prodotti di Google Maps Platform. Questa sezione descrive nel dettaglio le responsabilità del cliente/partner da considerare quando si progetta una soluzione Google Maps Platform.

API JavaScript

Siti sicuri

L'API Maps JavaScript pubblica una serie di suggerimenti che consentono a un cliente di ottimizzare il Content Security Policy (CSP) del proprio sito per evitare vulnerabilità come cross-site scripting, clickjacking e attacchi di data injection. L'API JavaScript supporta due forme di CSP: CSP restrittivo con nonce e CSP nella lista consentita.

JavaScript sicuro

Il codice JavaScript viene regolarmente scansionato alla ricerca di anti-pattern di sicurezza noti e i problemi vengono risolti rapidamente. L'API JavaScript viene rilasciata ogni settimana oppure on demand, in caso di problemi.

MAS (Mobile Application Security)

Mobile Application Security (MAS) è un'iniziativa aperta, agile e basata sul crowdsourcing, frutto del contributo di decine di autori e revisori di tutto il mondo. Il progetto di punta OWASP Mobile Application Security (MAS) fornisce uno standard di sicurezza per le app mobile (OWASP MASVS) e una guida completa ai test (OWASP MASTG) che tratta processi, tecniche e strumenti utilizzati durante un test di sicurezza delle app mobile, oltre a una serie completa di scenari di test che consente ai tester di fornire risultati coerenti e completi.

  • MASVS (Mobile Application Security Verification Standard) OWASP fornisce una base di riferimento per test di sicurezza completi e coerenti sia per iOS che per Android.
  • MASTG (Mobile Application Security Testing Guide) OWASP è un manuale completo che tratta i processi, le tecniche e gli strumenti utilizzati durante l'analisi della sicurezza delle applicazioni mobile, nonché un insieme esaustivo di scenari di test per verificare i requisiti elencati nel MASVS.
  • L'elenco di controllo per la sicurezza delle applicazioni mobile OWASP contiene link agli scenari di test MASTG per ciascun controllo MASVS.
    • Valutazioni di sicurezza / pentest: assicurati di coprire almeno la superficie di attacco standard e inizia a esplorare.
    • Conformità standard: include le versioni MASVS e MASTG e gli ID commit.
    • Acquisisci familiarità e metti in pratica le tue competenze in materia di sicurezza sui dispositivi mobili.
    • Bug Bounties: procedi passo dopo passo per trattare la superficie di attacco mobile.

Valuta la possibilità di sfruttare il MAS OWASP per migliorare le funzionalità di sicurezza, test e autenticazione delle tue applicazioni iOS e Android.

Android

Per lo sviluppo di app Android, un'altra risorsa da considerare sono le best practice per le app della community Android. Le linee guida per la sicurezza contengono indicazioni sulle best practice per l'applicazione di comunicazioni sicure, la definizione di autorizzazioni corrette, archiviazione sicura dei dati, dipendenze dei servizi e altro ancora.

iOS

Per lo sviluppo di applicazioni per iOS, prendi in considerazione l'articolo Introduction to Secure Coding Guide di Apple, che contiene le best practice per la piattaforma iOS.

Raccolta, utilizzo e conservazione dei dati

Google Maps Platform si impegna a offrire la massima trasparenza in merito alla raccolta, all'utilizzo e alla conservazione dei dati. La raccolta, l'utilizzo e la conservazione dei dati di Google Maps Platform sono soggetti ai Termini di servizio di Google Maps Platform, che includono le Norme sulla privacy di Google.

Raccolta dei dati

I dati vengono raccolti mediante l'utilizzo dei Prodotti Google Maps Platform. Come cliente, hai il controllo delle informazioni che trasmetti a Google Maps Platform tramite API e SDK. Vengono registrate tutte le richieste di Google Maps Platform, incluse i codici di stato di risposta del prodotto.

Dati registrati di Google Maps Platform

Google Maps Platform registra i dati di tutta la suite di prodotti. I log contengono più voci, che in genere includono:

  • Identificatore account, che può essere una chiave API, un ID client o un numero di progetto Cloud. Questo passaggio è necessario per operazioni, assistenza e fatturazione.
  • Indirizzo IP del server, del servizio o del dispositivo richiedente. Per le API, tieni presente che l'indirizzo IP inviato a Google Maps Platform dipenderà da come verrà implementata la chiamata all'API nella tua applicazione/soluzione. Per gli SDK, viene registrato l'indirizzo IP del dispositivo che richiede la chiamata.
  • URL richiesta, che contiene l'API e i parametri trasmessi all'API. Ad esempio, l'API Geocoding richiede due parametri (indirizzo e chiave API). La geocodifica ha anche una serie di parametri facoltativi. L'URL della richiesta contiene tutti i parametri trasmessi al servizio.
  • Data e ora della richiesta.
  • Le applicazioni web hanno intestazioni delle richieste registrate che in genere includono dati come il tipo di browser web e il sistema operativo.
  • Nelle applicazioni mobile che utilizzano un SDK vengono registrati la versione, la libreria e il nome dell'applicazione di Google Play.

Accesso ai log di Google Maps Platform

L'accesso ai log è altamente limitato e autorizzato solo a membri specifici del team che hanno un'esigenza aziendale legittima. Ogni richiesta di access ai file di log è documentata a scopo di access, che viene verificato tramite controlli di terze parti ISO 27001 e SOC 2 di Google.

Utilizzo dei dati

I dati raccolti da Google Maps Platform vengono utilizzati per i seguenti scopi:

  • Migliorare i prodotti e i servizi Google
  • Fornire assistenza tecnica al cliente
  • Monitoraggio operativo e avvisi
  • Mantenimento della sicurezza della piattaforma
  • Pianificazione della capacità della piattaforma

Tieni presente che Google Maps Platform non vende mai i dati delle operazioni degli utenti a terze parti come documentato nelle Norme sulla privacy di Google.

Conservazione e anonimizzazione dei dati

I dati raccolti nei log di Google Maps Platform possono essere conservati per periodi di tempo diversi in base alle esigenze aziendali, in conformità alle norme di Google relative all'anonimizzazione e all'oscuramento dei dati. Gli indirizzi IP vengono anonimizzati automaticamente non appena possibile (parte dell'indirizzo IP viene eliminata). Le statistiche sull'utilizzo aggregate e anonimizzate, ricavate dai log, possono essere conservate a tempo indeterminato.

Certificazioni e controlli relativi a sicurezza, settore, alta disponibilità e ambientali

ISO 27001

L'Organizzazione internazionale per la normazione (ISO) è un'organizzazione internazionale indipendente e non governativa che conta 163 organismi nazionali di normazione a livello internazionale. La famiglia di standard ISO/IEC 27000 aiuta le organizzazioni a proteggere le proprie risorse informative.

Lo standard ISO/IEC 27001 delinea e fornisce i requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS), specifica una serie di best practice e descrive nel dettaglio i controlli di sicurezza che possono aiutare a gestire i rischi informativi.

Google Maps Platform e l'infrastruttura comune di Google sono certificate secondo la norma ISO/IEC 27001. Lo standard 27001 non impone controlli specifici sulla sicurezza delle informazioni, ma il framework e l'elenco di controllo dei controlli che definisce consentono a Google di garantire un modello completo e in costante miglioramento per la gestione della sicurezza.

Puoi scaricare ed esaminare la certificazione ISO 27001 di Google Maps Platform dal Gestore dei report di conformità di Google.

SOC 2 Tipo II

Il SOC 2 è un report basato sui Trust Services Criteria (TSC) esistenti dell'Auditing Standards Board dell'American Institute of Certified Public Accountants' (AICPA). Lo scopo di questo report è valutare i sistemi di informazione di un'organizzazione pertinenti a sicurezza, disponibilità, integrità del trattamento, riservatezza e privacy. I report SOC 2 Type II vengono emessi con cadenza semestrale intorno a giugno e dicembre.

Puoi scaricare ed esaminare il report di controllo SOC 2 Type II di Google Maps Platform dal Gestore dei report di conformità di Google.

Cloud Security Alliance (CSA)

La Cloud Security Alliance (1, 2) è un'organizzazione non profit la cui missione è "promuovere l'uso delle best practice per fornire garanzia di sicurezza nell'ambito del cloud computing e fornire formazione sugli utilizzi del cloud computing per contribuire a proteggere tutte le altre forme di computing".

Il Security, Trust and Assurance Registry Program (CSA STAR) di CSA è progettato per aiutarti a valutare e selezionare un provider di servizi cloud tramite un programma di tre fasi di autovalutazione, audit di terze parti e monitoraggio continuo.

Google Maps Platform ha ottenuto la certificazione basata sulla valutazione di terze parti (CSA STAR livello 1: Attestazione)

Google è anche sponsor CSA, membro dell'International Standardization Council (ISC) di CSA e membro fondatore del Centro di eccellenza GDPR.

ISO 22301:2019

L'Organizzazione internazionale per la normazione (ISO) è un'organizzazione internazionale indipendente e non governativa che conta 163 organismi nazionali di normazione a livello internazionale.

ISO 22301:2019 è uno standard internazionale per la gestione della continuità aziendale progettato per aiutare le organizzazioni a implementare, mantenere e migliorare un sistema di gestione per prevenire, prepararsi, rispondere e riprendersi dalle interruzioni quando si verificano.

I data center che supportano i prodotti Google Maps Platform sono certificati come conformi agli standard ISO 22301:2019 e agli standard BS EN ISO 22301:2019 dopo essere stati sottoposti a un controllo da parte di un revisore indipendente di terze parti. La conformità a questi standard per i data center di Google dimostra che le sedi che ospitano prodotti e servizi Google soddisfano i requisiti definiti dagli standard ISO 22301:2019 e dalla normativa BS EN ISO 22301:2019.

ISO 50001

L'Organizzazione internazionale per la normazione (ISO) è un'organizzazione internazionale indipendente e non governativa che conta 163 organismi nazionali di normazione a livello internazionale.

ISO 50001:2018 è uno standard internazionale per la gestione dell'energia progettato per aiutare le organizzazioni a implementare, mantenere e migliorare un sistema di gestione per integrare la gestione dell'energia nelle loro iniziative generali volte a migliorare la qualità e la gestione ambientale.

I data center Google EMEA utilizzati da Google Maps Platform sono certificati come conformi alla norma ISO 50001:2018 dopo essere stati sottoposti a un controllo da parte di un revisore indipendente di terze parti. La conformità allo standard ISO 50001:2018 per i data center di Google dimostra che le sedi incluse nell'ambito che ospitano prodotti e servizi Google soddisfano i requisiti definiti dalla norma ISO 50001:2018.

Di seguito sono riportati gli impegni contrattuali globali.

Impegni contrattuali europei

Questa sezione descrive gli impegni contrattuali europei.

Regolamento generale sulla protezione dei dati (GDPR) dell'UE

Il Regolamento generale sulla protezione dei dati (GDPR) è una legislazione sulla privacy che, il 25 maggio 2018, ha sostituito la Direttiva 95/46/CE sulla protezione dei dati del 24 ottobre 1995. Il GDPR stabilisce requisiti specifici per le aziende e le organizzazioni con sede in Europa o che forniscono servizi agli utenti in Europa. Google Maps Platform partecipa alle iniziative che danno la priorità alla sicurezza e alla privacy dei dati personali dei clienti e ne migliorano la sicurezza. Inoltre, vogliamo che tu, in qualità di cliente di Google Maps Platform, tu possa utilizzare i servizi di Google alla luce dei requisiti del GDPR. Se collabori con Google Maps Platform, quest'ultimo sosterrà i tuoi sforzi per la conformità al GDPR tramite:

  1. Impegnarsi nei contratti di Google a rispettare il GDPR in relazione al trattamento dei dati personali da parte di Google in tutti i servizi Google Maps Platform
  2. Fornendoti la documentazione e le risorse per aiutarti nella valutazione della privacy dei servizi Google,
  3. Continuando a evolvere le capacità di Google con i cambiamenti del panorama normativo

Decisioni di adeguatezza dell'UE, del SEE, della Svizzera e del Regno Unito

Come documentato nelle Norme sulla privacy di Google, la Commissione europea ha stabilito che alcuni paesi esterni allo Spazio economico europeo (SEE) sono tenuti a proteggere le informazioni personali in maniera adeguata, il che significa che i dati possono essere trasferiti dall'Unione Europea (UE), dalla Norvegia, dal Liechtenstein e dall'Islanda ai paesi in questione. Il Regno Unito e la Svizzera hanno adottato meccanismi di adeguatezza simili.

Clausole contrattuali tipo dell'UE

La Commissione europea ha pubblicato nuove SCC dell'UE per contribuire a salvaguardare i dati europei insieme alle SCC. Google ha incorporato le SCC nei propri contratti di Google Maps Platform per proteggere i dati e soddisfare i requisiti della legislazione europea sulla privacy. Come le SCC precedenti, queste clausole possono essere utilizzate per facilitare trasferimenti legali di dati.

Data Protection Act del Regno Unito

Il Data Protection Act del 2018 è l'implementazione del Regolamento generale sulla protezione dei dati (GDPR) nel Regno Unito. Per "GDPR del Regno Unito" si intende il GDPR dell'Unione Europea come modificato e integrato nella legge del Regno Unito ai sensi dell'UK European Union (Withdrawal) Act 2018 e dalla legislazione secondaria vigente promulgata ai sensi di tale atto.

Legge federale svizzera sulla protezione dei dati

La Legge svizzera sulla protezione dei dati, nota formalmente come Legge federale sulla protezione dei dati (FADP), è un regolamento sulla protezione dei dati che mira a proteggere la privacy e i diritti fondamentali delle persone durante il trattamento dei loro dati.

Impegni contrattuali non europei

Questa sezione descrive gli impegni contrattuali non europei.

LGPD (Lei Geral de Proteção de Dados)

La Lei Geral de Proteção de Dados (LGPD) del Brasile è una legge sulla privacy dei dati che regola il trattamento dei dati personali da parte di aziende e organizzazioni con sede in Brasile o che forniscono assistenza agli utenti in Brasile, tra gli altri casi. La LGPD è ora in vigore e offre le seguenti protezioni:

  • Regola il modo in cui le aziende e le organizzazioni possono raccogliere, utilizzare e gestire i dati personali
  • Integra o sostituisce le leggi federali sulla privacy di settore esistenti per aumentare la responsabilizzazione
  • Autorizza le multe per le aziende e le organizzazioni che non soddisfano i suoi requisiti
  • Permette la creazione di un'autorità competente per la protezione dei dati personali
  • Impone regole sul trasferimento dei dati personali raccolti all'interno del Brasile

Google offre prodotti e soluzioni che puoi utilizzare nell'ambito di una strategia di conformità alla LGPD:

  • Funzionalità di sicurezza e privacy che ti aiutano a rispettare la LGPD e a proteggere e gestire meglio i dati personali
  • Infrastruttura e servizi creati per garantire la sicurezza del trattamento dati e l'adozione di adeguate
  • Evoluzione continua dei prodotti e delle capacità di Google con l'evolversi del panorama normativo

I clienti di Google Maps Platform devono valutare il trattamento dei dati personali e determinare se i requisiti della LGPD sono applicabili. Google ti consiglia di rivolgerti a un esperto legale per ricevere assistenza sui requisiti specifici della legge LGPD applicabili alla tua organizzazione, in quanto questo sito non rappresenta una consulenza legale.

Impegni contrattuali degli stati degli Stati Uniti

Connecticut's Act Concerning Data Privacy and Online Monitoring

Il Connecticut's Act Concerning Data Privacy and Online Monitoring, Pub. Act n. 22015 è entrato in vigore il 1° gennaio 2023. Per ulteriori informazioni, consulta i Termini di Google per la protezione dei dati titolare-titolare.

California Consumer Privacy Act (CCPA)

Il California Consumer Privacy Act (CCPA) (1, 2) è una legge sulla privacy dei dati che offre ai consumatori della California una serie di misure di tutela della privacy, tra cui il diritto di accedere, eliminare e disattivare la "vendita" delle loro informazioni personali. A partire dal 1° gennaio 2020, le attività che raccolgono informazioni personali dei residenti in California e soddisfano determinate soglie (ad esempio entrate, volume di trattamento dei dati) dovranno rispettare questi obblighi. Il California Privacy Rights Act (CPRA) è una legge sulla privacy dei dati che emenda e amplia il CCPA. La legge entrerà in vigore il 1° gennaio 2023. Google si impegna molto ad aiutare i propri clienti a soddisfare gli obblighi previsti da queste normative sui dati, offrendo pratici strumenti e integrando solide misure di protezione della privacy e della sicurezza nei servizi e nei contratti di Google. Puoi trovare ulteriori informazioni sulle tue responsabilità in qualità di azienda ai sensi del CCPA sul sito web del California Office of the Attorney General. Per ulteriori informazioni, consulta i Termini di Google per la protezione dei dati titolare-titolare.

Colorado Privacy Act (CPA)

Il Colorado Privacy Act, Colo. Rev. Stat. § 6-1-1301 e ssgg. è entrato in vigore il 1° gennaio 2023. La legge crea diritti alla privacy dei dati personali e si applica alle persone giuridiche che conducono attività commerciali o producono prodotti o servizi commerciali destinati intenzionalmente ai residenti in Colorado e che:

  • Controllare o elaborare i dati personali di almeno 100.000 consumatori per anno solare
  • Ricavare entrate dalla vendita di dati personali e controllare o elaborare i dati personali di almeno 25.000 consumatori

Per ulteriori informazioni, consulta i Termini di Google per la protezione dei dati titolare-titolare.

Utah Consumer Privacy Act (UCPA).

Lo Utah Consumer Privacy Act, Utah Code Ann. § 13-61-101 e seguenti è entrato in vigore il 1° gennaio 2023. L'UCPA si applica alla vendita di dati personali e alla pubblicità mirata e definisce cosa include e cosa non include una vendita: "lo scambio di dati personali per un corrispettivo monetario da parte di un titolare a una terza parte".

Per ulteriori informazioni, consulta i Termini di Google per la protezione dei dati titolare-titolare.

Virginia Consumer Data Protection Act (VCDPA)

Il Virginia Consumer Data Protection Act ("VCDPA") è entrato in vigore il 1° gennaio 2023. Questa legge conferisce ai residenti in Virginia determinati diritti per i dati personali raccolti dalle attività alle condizioni stabilite dalla legge.

Per ulteriori informazioni, consulta i Termini di Google per la protezione dei dati titolare-titolare.

Riepilogo

La sicurezza è uno dei criteri di progettazione principali per l'infrastruttura, i prodotti e le operazioni di Google. La portata delle operazioni di Google e la collaborazione con la community di ricerca sulla sicurezza ci consentono di risolvere rapidamente le vulnerabilità e spesso di prevenirle del tutto. Google gestisce i propri servizi, come Ricerca, YouTube e Gmail, sulla stessa infrastruttura che mette a disposizione dei propri clienti, che beneficiano direttamente dei controlli e delle procedure di sicurezza di Google.

Google ritiene di poter offrire un livello di protezione eguagliabile da pochi provider di servizi cloud pubblici o team IT aziendali privati. Poiché la protezione dei dati è fondamentale per l'attività di Google, possiamo fare ingenti investimenti in sicurezza, risorse e competenze su una scala che altri non conoscono. L'investimento di Google ti permette di concentrarti sulla tua attività e sull'innovazione. Continueremo a investire nella nostra piattaforma per consentirti di usufruire dei servizi Google in modo sicuro e trasparente.