Panoramica della sicurezza e della conformità per Google Maps Platform

Questi contenuti sono stati aggiornati a febbraio 2024 e rappresentano lo status quo. al momento in cui è stata scritta. Le norme e i sistemi di sicurezza di Google potrebbero cambiare in futuro, grazie al costante miglioramento della protezione per i nostri clienti.

Icona PDF Scarica la versione PDF

Introduzione

Google Maps Platform fornisce API e SDK per i clienti e partner per sviluppare applicazioni web e mobile utilizzando la tecnologia geospaziale di Google tecnologia. Google Maps Platform offre più di 50 API e SDK per i clienti in più settori. Come cliente del settore, spesso devi incontrare sicurezza, utilizzo dei dati e requisiti normativi al momento di creare le tue soluzioni. Devi, ad esempio, garantire che le tue tecnologie di terze parti i tuoi requisiti.

Questo documento fornisce un riepilogo di alto livello delle persone, dei processi e controlli tecnologici offerti da Google Maps Platform, oltre alla descrizione vantaggi derivanti dall'utilizzo della piattaforma. Innanzitutto, è importante comprendere i due pilastri tecnologici principali alla base di Google Maps Platform:

  • Tecnologie, data center e infrastruttura forniti da Google. Google Maps Platform opera interamente su data center e servizi forniti da Google dell'infrastruttura. Di conseguenza, applica controlli interni e di terze parti ai i controlli di sicurezza che eredita da Google per confermare che Google Maps La piattaforma implementa correttamente le funzionalità di sicurezza, operative e tecniche controlli descritti in questo documento.
  • Tecnologia Google Maps Platform. Oltre ai controlli ereditati, Google Maps Platform offre ulteriori funzionalità per sicurezza, privacy, dati e controlli operativi per le suite di prodotti Google.

Questo documento riassume i processi e i controlli di sicurezza di Google Maps Platform, raggruppate nel seguente modo:

  • Concentrati sulla sicurezza e sulla privacy a tutti i livelli dell'organizzazione di Google
  • Infrastruttura tecnica e sicurezza hardware
  • Sicurezza operativa
  • Controlli di sicurezza principali
  • Sicurezza lato client, sia web che mobile
  • Certificazioni e controlli attuali in Google Maps Platform
  • Quadri giuridici supportati a livello globale

I potenziali clienti possono contattare il team di vendita Google o un rappresentante per ulteriori informazioni.

Organizzazione incentrata sulla sicurezza e sulla privacy di Google

La sicurezza guida la struttura organizzativa, la cultura, le priorità di formazione e processi di assunzione su Google. È alla base della progettazione dei data center di Google la tecnologia che forniscono. La sicurezza è alla base delle operazioni quotidiane di Google, tra cui la pianificazione in caso di emergenza e la gestione delle minacce. Google dà la priorità alla sicurezza nel modo in cui gestisce i dati, i controlli degli account, i controlli di conformità e certificazioni. Google progetta i propri servizi in modo da offrire una sicurezza migliore di molti alternative on-premise che si basano su più fornitori e piattaforme in cui la sicurezza è spesso un processo non connesso. Trai beneficio dalle funzionalità programmi e controlli di sicurezza integrati nell'utilizzo di Google Maps Platform più prodotti per la tua attività. Per Google Maps Platform la sicurezza è una priorità operazioni che servono oltre un miliardo di utenti in tutto il mondo.

Insieme, Google e Google Maps Platform forniscono più livelli di sicurezza dell'azienda e dell'organizzazione:

  • Il team di sicurezza di Google dedicato
  • Il team per la sicurezza del prodotto Google Maps Platform
  • Coinvolgimento attivo della comunità globale di ricerca sulla sicurezza
  • Il team dedicato alla privacy di Google Maps Platform
  • Formazione sulla privacy e sulla sicurezza dei dipendenti Google
  • Specialisti interni di controlli e conformità

Team di sicurezza dedicati presso Google

Google fornisce team di sicurezza dedicati in tutta l'azienda e all'interno del prodotto in queste aree.

I team di sicurezza a livello di Google supportano diverse aree di prodotto presso Google, incluso Google Maps Platform. Il team di sicurezza include alcuni dei i principali esperti in sicurezza delle informazioni, sicurezza delle applicazioni, crittografia, e sicurezza di rete. Le loro attività includono:

  • Sviluppa, esamina e implementa i processi di sicurezza. Sono inclusi esaminare i piani di sicurezza per le reti Google e fornire servizi consulenza ai team di prodotto e di progettazione di Google. Ad esempio: specialisti di crittografia esaminano i lanci di prodotti che implementano la crittografia come parte dell'offerta.
  • Gestisce attivamente le minacce alla sicurezza. Uso sia commerciale che personalizzato strumenti, il team monitora le minacce continue e le attività sospette su Google reti.
  • Effettua controlli e valutazioni di routine, che può comportare l'impegno esperti esterni per condurre valutazioni della sicurezza.
  • Pubblica articoli sulla sicurezza per un pubblico più ampio. Google gestisce una blog sulla sicurezza e una serie YouTube mettendo in evidenza alcuni dei team di sicurezza specifici i loro risultati.

Il team di sicurezza di Google Maps Platform collabora con il team di assistenza team di sicurezza, lavorando a più stretto contatto con lo sviluppo dei prodotti e con l'SRE per supervisionare dell'implementazione della sicurezza. Nello specifico, questo team gestisce quanto segue:

  • Disaster Resilience Testing (DiRT) di Google Maps Platform, che esegue i test la continuità aziendale e il failover dei prodotti Google Maps Platform, vengono eseguiti l'infrastruttura ad alta disponibilità di Google.
  • Test di penetrazione di terze parti. Google Maps Platform prodotti vengono testati di penetrazione almeno una volta all'anno per migliorare il livello di sicurezza di Google e garantirti una sicurezza indipendente garanzia.

Collaborazione con la comunità di esperti della sicurezza

Google intrattiene da tempo una stretta relazione con lo studio sulla sicurezza community, e Google apprezza molto il loro aiuto nell'individuare potenziali le vulnerabilità in Google Maps Platform e in altri prodotti Google.

  • Collaborazione online con la community tramite Project Zero. Project Zero è un team di ricercatori di sicurezza dedicato alla ricerca le vulnerabilità zero-day. Alcuni esempi di questa ricerca sono la scoperta dell'exploit Spectre, il Meltdown l'exploit, l'exploit SSL POODLE 3.0 e la suite di crittografia i punti deboli.
  • Ricerca accademica: i ricercatori e gli ingegneri della sicurezza di Google attivamente partecipare e pubblicare nella comunità accademica della sicurezza e della privacy comunità di ricerca. Le pubblicazioni relative alla sicurezza sono disponibili nella sito di Google Research. I team di sicurezza di Google hanno pubblicato un resoconto approfondito delle proprie pratiche ed esperienze nella Libro Creazione di sistemi sicuri e affidabili.
  • Vulnerability Rewards Program - Google Maps Platform partecipa al Vulnerability Reward Program, che offre premi nel decine di migliaia di dollari per ogni vulnerabilità confermata. Il programma incoraggia i ricercatori a segnalare problemi di progettazione e implementazione che potrebbero e mettere a rischio i dati dei clienti. Nel 2022, Google ha assegnato ai ricercatori oltre 11,9 $ milioni di dollari. Per ulteriori informazioni su questo programma, inclusi i premi offerti da Google, vedi Bug Hunters Key Statistiche. Per ulteriori informazioni sulla segnalazione di problemi di sicurezza, leggi l'articolo Come gestisce Google vulnerabilità di sicurezza.
  • Ricerca open source sulla sicurezza - I tecnici di Google organizzano anche partecipare a progetti open source e al mondo accademico conferenze. Per migliorare il codice open source, il Vulnerability Reward Program offre anche sovvenzioni per progetti open source.
  • Crittografia: i crittografi di altissimo livello di Google hanno lavorato per proteggere TLS contro gli attacchi informatici quantistici e ha sviluppato il combinato algoritmo ellittica e post-quantistica (CECPQ2). Google di crittografia hanno sviluppato Tink, un programma open source libreria di API crittografiche. Google utilizza Tink anche nei suoi servizi i nostri prodotti e servizi.

Team dedicato alla privacy di Google Maps Platform

Il team dedicato alla privacy opera separatamente dallo sviluppo del prodotto e delle organizzazioni che operano nel settore della sicurezza. Supporta iniziative interne in materia di privacy per migliorare tutti parti della privacy: processi critici, strumenti interni, infrastruttura lo sviluppo dei prodotti. Il team dedicato alla privacy esegue le seguenti operazioni:

  • Garantisce che i lanci di prodotti includano standard rigorosi sulla privacy in materia di raccolta dei dati. Partecipa al lancio di ogni prodotto Google tramite documentazione di progettazione e revisioni del codice.
  • Dopo il lancio del prodotto, il team dedicato alla privacy supervisiona i processi automatizzati che verificare continuamente la raccolta e l'utilizzo appropriati dei dati.
  • Conduce ricerche sulle best practice relative alla privacy.

Formazione sulla privacy e sulla sicurezza dei dipendenti Google

La sicurezza e la privacy sono un'area in continua evoluzione e Google riconosce che un coinvolgimento dedicato dei dipendenti è un mezzo fondamentale per sensibilizzare l'opinione pubblica. Tutto Google dei dipendenti ricevono una formazione su sicurezza e privacy nell'ambito di questo orientamento di sicurezza, inoltre ricevono formazione continua obbligatoria sulla sicurezza e sulla privacy la loro carriera in Google.

  • Durante l'orientamento. I nuovi dipendenti accettano i Codice di condotta, che mette in evidenza l'impegno di Google a proteggendo i dati dei clienti.
  • Formazione specializzata in base al ruolo professionale. Alcuni ruoli professionali richiedono aspetti specifici della sicurezza. Ad esempio, il team per la sicurezza delle informazioni istruisce i nuovi ingegneri su pratiche di programmazione sicura, progettazione di prodotti e strumenti automatizzati per i test delle vulnerabilità. I tecnici partecipano regolarmente alla sicurezza briefing e ricevere newsletter sulla sicurezza che trattano nuove minacce, schemi, tecniche di mitigazione e altro ancora.
  • Eventi in corso. Google organizza regolarmente conferenze interne aperte a tutti sensibilizzare e promuovere l'innovazione nella sicurezza e nei dati privacy. Google ospita eventi in tutti gli uffici di tutto il mondo per sensibilizzare l'opinione pubblica sicurezza e privacy nello sviluppo di software, nella gestione dei dati e nelle norme dell'applicazione delle norme.

Specialisti interni di controlli e conformità

Google Maps Platform ha un team di audit interno dedicato che esamina le prodotti la conformità alle leggi e normative sulla sicurezza di tutto il mondo. Come nuovo vengono creati standard di controllo e vengono aggiornati gli standard esistenti, team di audit determina i controlli, i processi e i sistemi necessari per per soddisfare questi standard. Questo team supporta controlli e valutazioni indipendenti terze parti. Per ulteriori informazioni, consulta Certificazioni di sicurezza e Controlli più avanti in questo documento.

Piattaforma incentrata sulla sicurezza

Google progetta i propri server, sistemi operativi proprietari e, in data center distribuiti usando il principio della difesa in profondità. Google Maps La piattaforma viene eseguita su un'infrastruttura tecnica progettata e realizzata per funzionare in modo sicuro. Abbiamo creato un'infrastruttura IT più sicura e semplice delle soluzioni tradizionali in hosting o in loco.

Data center all'avanguardia

L'attenzione di Google alla sicurezza e alla protezione dei dati è tra le principali criteri di progettazione. La sicurezza fisica nei dati di Google center è un modello di sicurezza a più livelli. La sicurezza fisica include misure di salvaguardia come schede di accesso elettroniche progettate su misura, rilevatori, barriere di accesso ai veicoli, recinzioni perimetrali, metal detector e biometria. Inoltre, per rilevare e monitorare gli intrusi, Google usa misure di sicurezza quali l'intrusione a raggi laser il rilevamento e il monitoraggio 24/7 tramite telecamere interne ed esterne ad alta risoluzione. I log degli accessi, le registrazioni delle attività e i filmati della videocamera sono disponibili nel caso in cui in cui si verifica l'incidente. Agenti di sicurezza esperti, sottoposti a rigorosi controlli dei precedenti e formazione, pattugliano regolarmente i data center di Google. Man mano che ci si avvicina al piano del data center, aumentano anche le misure di sicurezza. Accedi a il pavimento del data center è possibile solo attraverso un corridoio di sicurezza implementa il controllo degli accessi a più fattori tramite badge di sicurezza e biometria. Possono accedervi solo i dipendenti approvati con ruoli specifici. Meno dell'1% di I dipendenti Google metteranno mai piede in uno dei data center Google.

Google gestisce data center in tutto il mondo e per massimizzare la velocità e l'affidabilità dei suoi servizi. La sua infrastruttura è in genere configurata per gestire il traffico il data center più vicino al punto in cui ha origine il traffico. Pertanto, la posizione esatta dei dati di Google Maps Platform può variare a seconda di dove ha origine tale traffico e questi dati potrebbero essere gestiti da server situati in nello Spazio economico europeo e nel Regno Unito o trasferiti in paesi terzi. Account cliente Google offerte dove I prodotti di Google Maps Platform sono generalmente disponibili a livello globale e spesso attirano un pubblico globale. L'infrastruttura tecnica che supporta il deployment di questi prodotti a livello globale riduce la latenza e assicura la ridondanza sistemi operativi. Google Maps Platform utilizza un sottoinsieme della rete di data center globale di Google come riferimento:

Mappa del mondo che mostra le sedi dei data center in blu il tuo benessere

Nord America e Sud America

Europa

Asia

Potenziamento dei data center di Google

Per garantire il funzionamento 24 ore su 24, 7 giorni su 7 e offrire servizi senza interruzioni, i dati di Google centrali dispongono di sistemi di alimentazione ridondanti e controlli ambientali. Ogni elemento fondamentale ha una fonte di alimentazione primaria e alternativa, entrambe con la stessa potenza. I generatori di backup possono fornire energia elettrica di emergenza sufficiente per gestire ogni dato del centro al massimo. I sistemi di raffreddamento mantengono un funzionamento costante temperatura di server e altro hardware, riducendo il rischio di assistenza di servizio e riduciamo al minimo l'impatto ambientale. Rilevamento incendi e le apparecchiature di soppressione aiutano a prevenire danni all'hardware. Rilevatori di calore, incendi rilevatori di fumo e fumo fanno scattare allarmi sonori e visibili alla sicurezza e alle scrivanie di monitoraggio remoto.

Google è la prima grande azienda di servizi internet ad avere accesso esterno certificazione del suo elevato livello di protezione ambientale, di sicurezza sul posto di lavoro e di gestione dell'energia standard nei data center Google. Ad esempio, per illustrare la l'impegno nelle pratiche di gestione dell'energia, Google ha ottenuto ISO volontariamente 50001 per i suoi data center in Europa.

Hardware e software personalizzati per i server

I data center di Google dispongono di server e apparecchiature di rete appositamente progettati, alcuni dei quali progettati da Google. Mentre i server di Google sono personalizzati per massimizzare prestazioni, raffreddamento ed efficienza energetica, sono inoltre progettate per per proteggerti da attacchi di intrusione fisica. A differenza della maggior parte dei prodotti hardware, i server di Google non includono componenti superflui come schede, chipset o connettori periferici, che possono introdurre le vulnerabilità. Google controlla i fornitori dei componenti e sceglie i componenti con cura, collaborando con i fornitori per controllare e convalidare le proprietà di sicurezza forniti dai componenti. Google progetta chip personalizzati, Titan, che ci aiutano a identificare e autenticarsi in modo sicuro ai dispositivi Google legittimi a livello di hardware, incluso il codice per l'avvio dei dispositivi.

Le risorse server vengono allocate dinamicamente. Questo ci offre flessibilità per la crescita e ci consente di adattarci in modo rapido ed efficiente alla domanda dei clienti aggiungendo e riallocare le risorse. Questo ambiente omogeneo è mantenuto software proprietario che monitora costantemente i sistemi per rilevare modifiche. I meccanismi di autocorrezione automatici di Google sono progettati per ci consentono di monitorare e risolvere eventi destabilizzanti, ricevere notifiche sugli incidenti e rallentare le potenziali compromissioni sulla rete.

Deployment sicuro dei servizi

I servizi Google sono i file binari delle applicazioni che gli sviluppatori di Google scrivono e vengono eseguite sull'infrastruttura di Google. Per gestire la scala richiesta del carico di lavoro, migliaia di macchine potrebbero eseguire programmi binari dello stesso servizio. Un cluster un servizio di orchestrazione, chiamato Borg, controlla i servizi che sono eseguiti direttamente sull'infrastruttura.

L'infrastruttura non presuppone alcuna attendibilità tra i servizi in esecuzione sull'infrastruttura. Questo modello di attendibilità è definito "Zero Trust" un modello di sicurezza. Un modello di sicurezza Zero Trust prevede che nessun dispositivo o utente attendibili per impostazione predefinita, all'interno o all'esterno della rete.

Poiché l'infrastruttura è progettata per essere multi-tenant, i dati provenienti clienti (consumatori, aziende e persino i dati di Google) vengono distribuiti in un'infrastruttura condivisa. Questa infrastruttura è composta da decine migliaia di macchine omogenee. L'infrastruttura non separa su una singola macchina o un unico insieme di macchine

Monitoraggio e smaltimento dell'hardware

Google monitora meticolosamente la posizione e lo stato di tutte le attrezzature all'interno del suo data center con codici a barre e asset tag. Google implementa metal detector video sorveglianza per impedire che le apparecchiature escano dal data center piano senza autorizzazione. Se un componente non supera un test delle prestazioni in in qualsiasi momento durante il suo ciclo di vita, viene rimosso dall'inventario e ritirato.

I dispositivi di archiviazione Google, inclusi dischi rigidi, unità a stato solido e i moduli di memoria Dual In-Line (DIMM) non volatili, usano tecnologie come l'intero disco la crittografia dei dati (FDE) e il blocco delle unità per proteggere i dati at-rest. Quando viene eseguito dispositivo viene ritirato, le persone autorizzate verificano che il disco sia stato cancellato scrivere zeri nell'unità. Esegue inoltre una verifica in più passaggi per assicurarti che l'unità non contenga dati. Se non è possibile cancellare i dati di un'unità per qualsiasi motivo, vengono distrutti fisicamente. La distruzione fisica viene effettuata utilizzando un trituratore che spezza il motore in piccoli pezzi, che vengono poi riciclati una struttura protetta. Ogni data center aderisce a rigide norme per lo smaltimento e a qualsiasi le variazioni vengono immediatamente affrontate.

Vantaggi della sicurezza della rete globale di Google

In altre soluzioni cloud geospaziali e on-premise, i dati viaggiano tra di dispositivi sulla rete internet pubblica in percorsi noti come hop. Il numero di hop dipende dal percorso ottimale tra l'ISP del cliente e il data center. Ogni hop aggiuntivo introduce una nuova opportunità per i dati di essere attaccati o intercettato. Poiché la rete globale di Google è collegata alla maggior parte degli ISP del mondo, la rete Google limita gli hop nella rete internet pubblica, pertanto aiuta a limitare l'accesso a questi dati da parte di malintenzionati.

La rete di Google utilizza più livelli di difesa (difesa in profondità) per per proteggere la rete da attacchi esterni. Solo servizi e servizi autorizzati i protocolli che soddisfano i requisiti di sicurezza di Google possono attraversarlo; qualsiasi altra opzione viene eliminata automaticamente. Per applicare la segregazione di rete, Google utilizza firewall ed elenchi di controllo dell'accesso. Tutto il traffico viene instradato tramite Google i server frontend (GFE) per contribuire a rilevare e bloccare le richieste dannose e degli attacchi DDoS (Distributed Denial-of-Service). I log vengono regolarmente esaminati rilevare eventuali errori di programmazione. L'accesso ai dispositivi in rete è solo ai dipendenti autorizzati.

L'infrastruttura globale di Google ci consente di eseguire Shield, che fornisce protezione senza costi e illimitata ai siti web vulnerabili agli attacchi DDoS utilizzati per censurare le informazioni. Progetto Shield è disponibile per siti web di notizie, siti web sui diritti umani e siti web di monitoraggio delle elezioni.

Soluzioni a bassa latenza e ad alta disponibilità

La rete di dati IP di Google è composta da una propria fibra composta da fibra disponibile pubblicamente, e dei cavi sottomarini. Questa rete ci consente di offrire prodotti ad alta disponibilità a bassa latenza in tutto il mondo.

Google progetta i componenti della sua piattaforma in modo che siano estremamente ridondanti. Questo la ridondanza si applica alla progettazione dei server di Google, al modo in cui Google archivia i dati, connettività di rete e a internet, nonché ai servizi software stessi. Questo "ridondanza di tutto" include la gestione delle eccezioni e crea una soluzione che non dipende da un singolo server, data center o connessione di rete.

I data center di Google sono distribuiti geograficamente per ridurre al minimo gli effetti della a livello regionale sui prodotti globali, ad esempio a causa di calamità naturali o o in caso di interruzioni del servizio. In caso di guasti all'hardware, al software o a una rete, i servizi della piattaforma e dei piani di controllo vengono spostati in modo automatico e rapido da una struttura un'altra in modo che i servizi della piattaforma possano continuare senza interruzioni.

L'infrastruttura a elevata ridondanza di Google ti aiuta anche a proteggere la tua attività dalla perdita di dati. I sistemi di Google sono progettati per ridurre al minimo i tempi di inattività periodi di manutenzione per gli interventi di manutenzione o upgrade della piattaforma.

Sicurezza operativa

La sicurezza è parte integrante delle operazioni di Google, non una riflessione a posteriori. Questa sezione descrive i programmi di Google per la gestione delle vulnerabilità, la prevenzione del malware di monitoraggio della sicurezza e programmi di gestione degli incidenti.

Gestione delle vulnerabilità

Il processo interno di gestione delle vulnerabilità di Google ricerca attivamente la sicurezza e minacce in tutti gli stack tecnologici. Questo processo utilizza una combinazione strumenti commerciali, open source e interni appositamente progettati e include seguenti:

  • Processi di controllo qualità
  • Revisioni della sicurezza del software
  • Sforzi intensivi di penetrazione automatici e manuali, incluso un ampio programma di Esercizi di squadra
  • Test di penetrazione esterni ricorrenti per Google Maps Prodotti della piattaforma
  • Controlli esterni ricorrenti

L'organizzazione di gestione delle vulnerabilità e i suoi partner sono responsabili il monitoraggio e il follow-up delle vulnerabilità. Perché la sicurezza migliora solo una volta risolti completamente i problemi, le pipeline di automazione rivalutano continuamente lo stato di una vulnerabilità, verificare le patch e segnalare errori parziali o errati risoluzione del problema.

Monitoraggio della sicurezza

Il programma di monitoraggio della sicurezza di Google è incentrato sulle informazioni raccolte dal traffico di rete interno, dalle azioni dei dipendenti sui sistemi e una conoscenza esterna delle vulnerabilità. Uno dei principi fondamentali di Google è l'aggregazione e archiviare tutti i dati di telemetria sulla sicurezza in un'unica posizione per una sicurezza unificata e analisi.

In molti punti della rete globale di Google, il traffico interno viene ispezionato comportamenti sospetti, ad esempio la presenza di traffico che potrebbe indicare una botnet e connessioni a Internet. Google utilizza una combinazione di strumenti open source e commerciali per acquisire e analizzare il traffico per consentire a Google di eseguire questa analisi. R di correlazione proprietario basato sulla tecnologia di Google supporta anche questa analisi. Google integra l'analisi della rete esaminando i log di sistema Rilevare comportamenti insoliti, come tentativi di accesso ai dati dei clienti.

Il Threat Analysis Group di Google monitora i soggetti malintenzionati e l'evoluzione delle loro tattiche e tecniche. Revisione da parte dei tecnici della sicurezza di Google report sulla sicurezza in entrata e monitorare mailing list pubbliche, post di blog e wiki. L'analisi automatizzata della rete e l'analisi automatizzata dei log di sistema determinare se potrebbe esistere una minaccia sconosciuta. Se i processi automatici rilevano un problema, viene riassegnato al personale di sicurezza di Google.

Rilevamento delle intrusioni

Google usa pipeline di elaborazione dati sofisticate per integrare su singoli dispositivi, indicatori basati sulla rete da vari sistemi da punti di accesso all'infrastruttura e indicatori dai servizi di infrastruttura. Regole e l'intelligenza artificiale basata su queste pipeline forniscono avvisi tecnici addetti alla sicurezza su possibili incidenti. le indagini di Google i team di risposta agli incidenti selezionano, indagano e rispondono a queste incidenti 24 ore su 24, 365 giorni all'anno. Google conduce esercizi Red Team a test di penetrazione esterni per misurare e migliorare efficacia dei meccanismi di rilevamento e risposta di Google.

Gestione degli incidenti

Google adotta un rigoroso processo di gestione degli incidenti per gli eventi di sicurezza che potrebbero pregiudicare la riservatezza, l'integrità o la disponibilità di sistemi o dati. Il programma di gestione degli incidenti di sicurezza di Google è strutturato in base al NIST indicazioni sulla gestione degli incidenti (NIST SP 800-61). Google offre formazione per i principali membri del personale in analisi forense e nella gestione delle prove in preparazione a un evento, incluso l'utilizzo di strumenti di terze parti e proprietari.

Google verifica i piani di risposta agli incidenti per aree chiave. Questi test prendono in considerazione più possibili, tra cui minacce interne e vulnerabilità dei software. Per garantire la rapida risoluzione degli incidenti relativi alla sicurezza, il team per la sicurezza di Google è disponibile 24 ore su 24, 7 giorni su 7, per tutti i dipendenti.

Pratiche di sviluppo software

Google utilizza le protezioni del controllo del codice sorgente e le revisioni in due parti per per limitare l'introduzione di vulnerabilità. Google fornisce inoltre biblioteche impedire agli sviluppatori di introdurre determinate classi di bug di sicurezza. Per Ad esempio, Google dispone di librerie e framework progettati per eliminare XSS le vulnerabilità negli SDK. Google dispone anche di strumenti automatizzati per rilevare i controlli di sicurezza, come fuzzer, strumenti di analisi statica e scanner di sicurezza web.

Protezioni del codice sorgente

Il codice sorgente di Google è archiviato in repository con integrità del codice sorgente integrata e governance, il che permette di controllare sia le versioni attuali che quelle passate del servizio. L'infrastruttura richiede la creazione dei file binari di un servizio da un codice sorgente specifico dopo che è stato esaminato, archiviato e testato. Binario L'autorizzazione per Borg (BAB) è un controllo interno delle applicazioni che si verifica quando viene eseguito il deployment di un servizio. BAB svolge le seguenti operazioni:

  • Garantisce che il software di produzione e la configurazione distribuiti in Google vengano vengano esaminati e autorizzati, in particolare quando il codice può accedere ai dati utente
  • Garantisce che i deployment di codice e configurazione soddisfino determinati standard minimi
  • Limita la capacità di un addetto ai lavori o di un avversario di commettere modifiche al codice sorgente e fornisce anche una traccia forense da all'origine

Ridurre il rischio per gli addetti ai lavori

Google limita e monitora attivamente le attività dei dipendenti che sono stati a cui è stato concesso l'accesso amministrativo all'infrastruttura. Google si impegna costantemente per elimina la necessità di accessi privilegiati per determinate attività utilizzando che possa svolgere le stesse attività in modo sicuro e controllato. Per Ad esempio, Google richiede l'approvazione di due parti per alcune azioni e utilizza API limitate che consentono il debug senza esporre informazioni sensibili.

L'accesso dei dipendenti Google alle informazioni degli utenti finali viene registrato tramite un hook dell'infrastruttura. Il team di sicurezza di Google monitora i pattern di accesso indaga su eventi insoliti.

Test di ripristino di emergenza - DiRT

Google Maps Platform esegue ogni anno un ripristino di emergenza di più giorni a livello aziendale Gli eventi di test (DiRT) per garantire che i servizi e le operazioni aziendali interne continuano a essere eseguite durante un disastro. DiRT era sviluppati per trovare vulnerabilità nei sistemi critici causando intenzionalmente gli errori e per correggere tali vulnerabilità prima che si verifichino errori in in modo incontrollato. DiRT testa la robustezza tecnica di Google da subito sistemi e testa la resilienza operativa di Google impedendo in modo esplicito la partecipazione di personale critico, esperti del settore e leader. Tutti in generale e servizi disponibili devono disporre di test DiRT attivi e continui e la convalida della loro resilienza e disponibilità.

Per prepararsi a un esercizio DiRT, Google utilizza un insieme coerente di sull'assegnazione delle priorità,

protocolli di comunicazione, aspettative di impatto e requisiti di progettazione dei test, inclusi i piani di rollback pre-rivisti e approvati. Esercizi e scenari DiRT non solo forzare guasti tecnici nel servizio stesso, ma può anche includere guasti dei processi progettati, disponibilità di personale chiave, sistemi di supporto, comunicazioni e accesso fisico. DiRT conferma che i processi in atto funzionano nella pratica. Assicura inoltre che i team siano preaddestrati e un'esperienza a cui possono attingere durante interruzioni, interruzioni e disastri reali artificiali o naturali.

Controlli di sicurezza principali

Questa sezione descrive i principali controlli di sicurezza utilizzati da Google Maps Platform per proteggere la piattaforma.

Crittografia

La crittografia aggiunge un livello di difesa per la protezione dei dati. La crittografia garantisce che, qualora un utente malintenzionato acceda a dati, non possa per leggere i dati senza avere accesso anche alle chiavi di crittografia. Anche se l’autore dell’attacco ottiene l’accesso ai dati (ad esempio, accedendo alla connessione tra data center o rubando un dispositivo di archiviazione), non potranno a comprenderlo o decriptarlo.

La crittografia fornisce un meccanismo importante nel modo in cui Google contribuisce a proteggere le privacy dei dati. Consente ai sistemi di manipolare i dati, ad esempio per backup e tecnici per supportare l'infrastruttura di Google, senza fornire l'accesso ai contenuti per quei sistemi o dipendenti.

Crittografia dei dati inattivi

Crittografia "at-rest" In questa sezione si intende la crittografia utilizzata per proteggere i dati Vengono archiviati su un disco (incluse le unità a stato solido o SSD) o su un supporto di backup. I dati sono È criptato a livello di archiviazione, in genere usando lo standard AES256 (Advanced Encryption) standard). Spesso i dati vengono criptati a più livelli nell'ambiente di produzione di Google di archiviazione nei data center, anche a livello di hardware, senza richiedono un'azione da parte dei clienti Google. Utilizzo di più livelli di crittografia

aggiunge una protezione dei dati ridondante e consente a Google di scegliere l'approccio ottimale in base ai requisiti dell'applicazione. Google utilizza librerie crittografiche comuni che incorporano il modulo convalidato FIPS 140-2 di Google per a implementare la crittografia in modo coerente in tutti i prodotti. Utilizzo coerente dei significa che solo un team ridotto di crittografi deve implementare questo codice revisionato e controllato rigorosamente.

Protezione dei dati in transito

I dati possono essere vulnerabili ad accessi non autorizzati mentre si spostano su internet. Google Maps Platform supporta una crittografia efficace in transito tra i clienti dispositivi e reti e i server Google Front End (GFE). Google consiglia a clienti/sviluppatori di utilizzare la crittografia più potente di Google supportata (TLS 1.3) durante la creazione di applicazioni come best practice. Alcuni clienti esistono casi d'uso che richiedono suite di crittografia meno recenti per motivi di compatibilità, quindi Google Maps Platform supporta questi standard più deboli, ma non consiglia di utilizzarli quando possibile. Google Cloud offre inoltre trasporti aggiuntivi di crittografia aggiuntive, tra cui Cloud VPN per stabilire che utilizzano IPsec per i prodotti Google Maps Platform.

Protezione dei dati in transito tra i data center di Google

Application Layer Transport Security (ALTS) garantisce che l'integrità dei servizi Google il traffico sia protetto e criptato se necessario. Dopo un handshake protocollo tra il client e il server sia completo e tra il client e il server negoziano i secret di crittografia condivisi necessari criptando e autenticando il traffico di rete, GKE protegge le RPC (remote della chiamata di procedura) forzando l'integrità, utilizzando il valore i tuoi segreti. Google supporta più protocolli per le garanzie di integrità, ad esempio AES-GMAC (Advanced Encryption Standard), con chiavi a 128 bit. Ogni volta che il traffico lascia un confine fisico controllato da o per conto di Google, ad esempio il transito su WAN (Wide Area Network) tra data center, tutti i protocolli sono upgrade automatico per fornire garanzie di crittografia e integrità.

Disponibilità del servizio Google Maps Platform

Alcuni servizi Google Maps Platform potrebbero non essere disponibili in tutti diverse aree geografiche. Alcune interruzioni del servizio sono temporanee (a causa di un evento imprevisto ad esempio un'interruzione della rete), ma altre limitazioni del servizio sono permanenti a causa di restrizioni imposte dal governo. La trasparenza completa di Google I report e la dashboard dello stato mostrano dati recenti e continue interruzioni del traffico verso i servizi Google Maps Platform. Google fornisce per aiutarti ad analizzare e comprendere le informazioni sull'uptime di Google.

Sicurezza lato client

La sicurezza è una responsabilità condivisa tra un fornitore di servizi cloud e cliente/partner che implementa i prodotti Google Maps Platform. Questa sezione descrive nel dettaglio le responsabilità del cliente/partner da prendere in considerazione quando la progettazione di una soluzione Google Maps Platform.

API JavaScript

Siti sicuri

L'API Maps JavaScript pubblica una serie di consigli che consentono una al cliente di perfezionare i criteri di sicurezza del contenuto (CSP) del sito per evitare vulnerabilità come cross-site scripting, clickjacking e data injection attacchi informatici. L'API JavaScript supporta due forme di CSP: CSP rigoroso con nonce e inserire nella lista consentita i CSP.

JavaScript sicuro

Il codice JavaScript viene analizzato regolarmente per individuare anti-pattern di sicurezza noti e vengono risolti rapidamente. L'API JavaScript viene rilasciata ogni settimana frequenza o on demand, in caso di problemi.

Mobile Application Security (MAS)

Mobile Application Security (MAS) è un impegno aperto, agile e basato sul crowdsourcing, realizzato contributi di decine di autori e revisori di tutto il mondo. Il progetto principale OWASP Mobile Application Security (MAS) offre una standard per app mobile (OWASP MASVS) e una guida completa al test (OWASP MASTG) che illustra i processi, le tecniche e gli strumenti utilizzati durante un'app mobile test di sicurezza, nonché un set esaustivo di scenari di test che consente ai tester per fornire risultati coerenti e completi.

  • Standard OWASP Mobile Application Security Verification (MASVS) fornisce una base di riferimento per una strategia completa e coerente test di sicurezza sia per iOS che per Android.
  • OWASP Mobile Application Security Testing Guide (MASTG) è un manuale completo che illustra i processi, le tecniche e gli strumenti utilizzati durante l'analisi della sicurezza delle applicazioni mobile, nonché un insieme esaustivo di scenari di test per verificare i requisiti elencati nel MASVS.
  • L'elenco di controllo per la sicurezza delle applicazioni mobile OWASP contiene Link agli scenari di test MASTG per ogni controllo MASVS.
    • Valutazioni della sicurezza / pentest: assicurati di coprire almeno le superficie di attacco standard e iniziare a esplorare.
    • Conformità standard: include le versioni MASVS e MASTG e gli ID di commit.
    • Acquisisci e metti in pratica le tue competenze in materia di sicurezza mobile.
    • Bug Bounties: illustra passo passo la superficie di attacco mobile.

Prendi in considerazione l'idea di sfruttare OWASP MAS per migliorare la tua applicazione iOS e Android funzionalità di sicurezza, test e autenticazione.

Android

Durante lo sviluppo di app Android, un'altra risorsa da considerare sono Best practice per le applicazioni della community Android. La sicurezza linee guida contengono indicazioni sulle best practice per l'applicazione delle norme sulla sicurezza. le comunicazioni, la definizione delle autorizzazioni corrette, l'archiviazione sicura dei dati, dipendenze e altro ancora.

iOS

Per lo sviluppo di applicazioni per iOS, prendi in considerazione l'introduzione alla sicurezza di Apple Guida alla programmazione, che contiene le best practice per iOS Piattaforma.

Raccolta, utilizzo e conservazione dei dati

Google Maps Platform si impegna a offrire la massima trasparenza in merito alla raccolta dei dati, utilizzo e conservazione dei dati. Raccolta, utilizzo, e la conservazione sono soggetti ai Termini di Servizio, che include le Norme sulla privacy di Google Norme.

Raccolta dei dati

I dati vengono raccolti tramite l'uso dei prodotti Google Maps Platform. Come cliente, sei tu ad avere il controllo delle informazioni che trasmetti a Google Maps Platform tramite API e SDK. Tutte le richieste a Google Maps Platform vengono registrate, Includono i codici di stato delle risposte del prodotto.

Dati registrati di Google Maps Platform

Google Maps Platform registra i dati in tutta la suite di prodotti. I log contengono più che in genere includono:

  • Identificatore account, che può essere una chiave API, un ID client o un progetto Cloud. numero. Questo passaggio è obbligatorio per le operazioni, l'assistenza e la fatturazione.
  • Indirizzo IP del server, del servizio o del dispositivo richiedente. Per le API, tieni presente che l'indirizzo IP inviato a Google Maps Platform dipenderà da come La chiamata all'API è implementata nell'applicazione o nella soluzione. Per gli SDK, l'IP l'indirizzo del dispositivo che richiama viene registrato.
  • URL richiesta, contenente l'API e i parametri che vengono trasmessi all'URL tramite Google Cloud CLI o tramite l'API Compute Engine. Ad esempio, l'API Geocoding richiede due (indirizzo e chiave API). La geocodifica presenta anche una serie di parametri. L'URL della richiesta conterrà tutti i parametri passati alla completamente gestito di Google Cloud.
  • Data e ora della richiesta.
  • Per le applicazioni web vengono registrate intestazioni delle richieste che in genere includono quali il tipo di browser web e il sistema operativo.
  • Le applicazioni mobile che utilizzano un SDK includono la versione, la libreria di Google Play e il nome dell'applicazione registrati.

Accesso ai log di Google Maps Platform

L'accesso ai log è altamente limitato e autorizzato solo per un team specifico che hanno esigenze aziendali legittime. Ogni richiesta di accesso al i file di log sono documentati per scopi di auditing, che vengono verificati tramite Audit di terze parti ISO 27001 e SOC 2 di Google.

Utilizzo dei dati

I dati raccolti da Google Maps Platform vengono utilizzati per i seguenti scopi:

  • Migliorare i prodotti e i servizi Google
  • Fornire assistenza tecnica ai clienti
  • Monitoraggio e avvisi operativi
  • Mantenimento della sicurezza della piattaforma
  • Pianificazione della capacità della piattaforma

Tieni presente che Google Maps Platform non vende mai i dati delle operazioni dell'utente a terze parti come documentato nelle Norme sulla privacy di Google.

Conservazione e anonimizzazione dei dati

I dati raccolti nei log di Google Maps Platform potrebbero essere conservati per diverse durate di tempo in base alle esigenze aziendali, fatta salva l'anonimizzazione dei dati di Google e i criteri di oscuramento. Gli indirizzi IP vengono anonimizzati automaticamente non appena è possibile (una parte dell'indirizzo IP viene eliminata). Utilizzo aggregato anonimo le statistiche derivate dai log possono essere conservate per un periodo indeterminato.

Certificazioni e certificazioni di sicurezza, settore, alta disponibilità e ambientali controlli

ISO 27001

L'Organizzazione internazionale per la standardizzazione (ISO) è un'organizzazione organizzazione internazionale non governativa con un'appartenenza internazionale a 163 organismi nazionali di normazione. La famiglia ISO/IEC 27000 di standard aiuta le organizzazioni a mantenere le proprie risorse informative in tutta sicurezza.

La ISO/IEC 27001 delinea e fornisce i requisiti per una sicurezza delle informazioni di gestione dei contenuti (ISMS), specifica una serie di best practice e descrive nel dettaglio controlli di sicurezza che possono aiutare a gestire i rischi informativi.

Google Maps Platform e l'infrastruttura comune di Google hanno ottenuto la certificazione ISO/IEC conforme alla norma 27001. Lo standard 27001 non richiede informazioni specifiche controlli di sicurezza, ma il framework e la lista di controllo dei controlli che definisce consentono Google di garantire un modello di sicurezza completo e in costante miglioramento gestione dei dispositivi.

Puoi scaricare e rivedere la certificazione ISO 27001 di Google Maps Platform da Gestione dei report di conformità di Google.

SOC 2 Tipo II

Il SOC 2 è un rapporto basato sull'Auditing Standards Board dell'American Institute of Certified Public Accountants (AICPA) criteri Trust Services (TSC) esistenti. Lo scopo di questo report ha lo scopo di valutare i sistemi informativi di un'organizzazione sicurezza, disponibilità, integrità del trattamento, riservatezza e privacy. SOC 2 I rapporti di tipo II vengono pubblicati semestralmente verso giugno e dicembre.

Puoi scaricare ed esaminare il report di audit SOC 2 Tipo II di Google Maps Platform. da Gestione dei report di conformità di Google.

Cloud Security Alliance (CSA)

La Cloud Security Alliance (1, 2) è un'organizzazione non profit la cui la missione è "promuovere l'uso delle best practice per fornire sicurezza le competenze nell'ambito del cloud computing e fornire una formazione sugli utilizzi del cloud Il computing per contribuire a proteggere tutte le altre forme di elaborazione."

Il Security, Trust, and Assurance Registry Program di CSA (CSA STAR) è progettato che ti aiuterà a valutare e selezionare un provider di servizi cloud in tre fasi programma di autovalutazione, audit di terze parti e monitoraggio continuo.

Google Maps Platform ha ottenuto la certificazione di terze parti certificazione (CSA STAR livello 1: Attestazione)

Google è anche sponsor CSA e membro del team International Standardization Council (ISC) e membro fondatore dell'CSA Centro di eccellenza GDPR.

ISO 22301:2019

L'Organizzazione internazionale per la standardizzazione (ISO) è un'organizzazione organizzazione internazionale non governativa con un'appartenenza internazionale a 163 organismi nazionali di normazione.

ISO 22301:2019 è uno standard internazionale per le aziende della continuità aziendale progettata per aiutare le organizzazioni a implementare, mantenere e migliorare un sistema di gestione per prevenire, preparare, rispondere e recuperare dalle interruzioni quando si presentano.

I data center che supportano i prodotti Google Maps Platform sono certificati come Conformi agli standard ISO 22301:2019 e BS EN ISO 22301:2019 dopo essere stati sottoposti ad audit un revisore indipendente di terze parti. La conformità a questi standard per le nei data center dimostra che le sedi che ospitano prodotti e servizi Google Soddisfano i requisiti definiti dagli standard ISO 22301:2019 e BS EN ISO 22301:2019.

ISO 50001

L'Organizzazione internazionale per la standardizzazione (ISO) è un'organizzazione organizzazione internazionale non governativa con un'appartenenza internazionale a 163 organismi nazionali di normazione.

ISO 50001:2018 è uno standard internazionale per l'energia progettata per aiutare le organizzazioni a implementare, mantenere e migliorare un sistema di gestione che integra la gestione dell'energia nel loro complesso per migliorare la qualità e la gestione ambientale.

I data center di Google EMEA utilizzati da Google Maps Platform sono certificati come ISO 50001:2018 conforme dopo essere stata sottoposta a revisione da parte di una terza parte indipendente come revisore di conti. La conformità alla norma ISO 50001:2018 per i data center di Google dimostra che le località che rientrano nell'ambito di applicazione che ospitano prodotti e servizi Google soddisfano i requisiti definita dalla norma ISO 50001:2018.

Di seguito sono riportati gli impegni contrattuali globali.

Impegni contrattuali europei

Questa sezione descrive gli impegni contrattuali europei.

Regolamento generale sulla protezione dei dati (GDPR) dell'UE

Il Regolamento generale sulla protezione dei dati (GDPR) (GDPR) è una legislazione sulla privacy che ha sostituito la normativa 95/46/CE Direttiva sulla protezione dei dati del 24 ottobre 1995, del 25 maggio 2018. Il GDPR definisce requisiti specifici per le attività e le organizzazioni che hanno sede in Europa o servono gli utenti in Europa. Google Maps Platform sostiene iniziative che danno priorità e migliorano la sicurezza e la privacy dei dati personali dei clienti e vuole che tu, in qualità di cliente di Google Maps Platform, per avere la certezza di usare i servizi di Google alla luce dei requisiti del GDPR. Se collabori con Google Maps Platform, questo supporterà la conformità al GDPR sforzi di:

  1. L'impegno nei contratti di Google a rispettare il GDPR in relazione a Trattamento dei dati personali da parte di Google in tutti i servizi di Google Maps Platform
  2. Fornendoti la documentazione e le risorse per aiutarti a tutelare la tua privacy valutazione dei servizi Google
  3. Continuiamo a evolvere le capacità di Google come panorama normativo modifiche

Decisioni di adeguatezza nell'UE, nel SEE, in Svizzera e nel Regno Unito

Come documentato nelle Norme sulla privacy di Google, il La Commissione ha stabilito che alcuni paesi al di fuori della Comunità europea allo Spazio economico europeo (SEE) proteggere in modo adeguato le informazioni personali, il che significa che i dati possono essere trasferiti dall'Unione Europea (UE), dalla Norvegia, dal Liechtenstein, e Islanda a questi paesi. Il Regno Unito e la Svizzera hanno adottato simili meccanismi di adeguatezza.

Clausole contrattuali tipo dell'UE

La Commissione europea ha pubblicato nuove SCC dell'UE per aiutare per salvaguardare i dati europei e le SCC. Google ha incorporato le SCC nei propri contratti Google Maps Platform al fine di proteggere i dati e rispettare previsti dalla legislazione europea sulla privacy. Come le SCC precedenti, questi clausole possono essere usate per facilitare trasferimenti legittimi di dati.

Legge sulla protezione dei dati del Regno Unito

Il Data Protection Act del 2018 è l'attuazione da parte del Regno Unito della normativa Regolamento generale sulla protezione dei dati (GDPR). "GDPR del Regno Unito" indica il GDPR dell'Unione Europea come Modifiche e integrazioni nella legge del Regno Unito ai sensi dell'Unione Europea del Regno Unito (Recesso) Legge 2018 e dalla legislazione secondaria vigente promulgata ai sensi di tale Legge.

Legge federale svizzera sulla protezione dei dati (FDPA)

La Legge federale svizzera sulla protezione dei dati, nota formalmente come la legge federale La legge sulla protezione dei dati (FADP) è un regolamento sulla protezione dei dati che mira a della protezione delle persone alla privacy e ai diritti fondamentali al momento del trattamento dei suoi dati.

Impegni contrattuali non europei

Questa sezione descrive gli impegni contrattuali non europei.

LGPD (Lei Geral de Proteção de Dados)

La Lei Geral de Proteção de Dados (LGPD) del Brasile è un legge sulla privacy che disciplina il trattamento dei dati personali da parte di aziende e organizzazioni con sede in Brasile o che assistono gli utenti in Brasile, tra in altri casi. La legge LGPD ora è efficace e offre le seguenti protezioni:

  • Regola il modo in cui le aziende e le organizzazioni possono raccogliere, utilizzare e gestire dati personali
  • Integra o sostituisce le leggi federali settoriali esistenti sulla privacy per aumentare responsabilità
  • Autorizza multe per aziende e organizzazioni che non rispettano i suoi requisiti
  • Permette la creazione di un'autorità competente per la protezione dei dati personali
  • Impone regole sul trasferimento dei dati personali raccolti all'interno del Brasile

Google offre prodotti e soluzioni che puoi utilizzare nell'ambito della legge LGPD strategia di conformità:

  • Funzionalità per la sicurezza e la privacy che ti aiutano a rispettare la LGPD e migliorare proteggere e gestire i dati personali
  • Servizi e infrastrutture creati per garantire la sicurezza del trattamento dati e l'adozione di adeguate Norme di tutela della privacy
  • Evoluzione continua dei prodotti e delle capacità di Google come modifiche all'orientamento

I clienti di Google Maps Platform devono valutare il trattamento dei propri e stabilire se i requisiti della LGPD sono applicabili. Google ti consiglia di consultare un esperto legale per ottenere assistenza in merito alla legge LGPD requisiti specifici applicabili alla tua organizzazione, in quanto questo sito costituiscono una consulenza legale.

Impegni contrattuali degli stati USA

Connecticut's Act Concerning Data Privacy and Online Monitoring

Connecticut's Act Concerning Data Privacy and Online - Privacy Monitoring, Pub. La legge n. 22015 è entrata in vigore il 1° gennaio 2023. Consulta la pagina Protezione dei dati titolare-titolare rispetto ai servizi di Google Termini per ulteriori informazioni.

California Consumer Privacy Act (CCPA)

Il California Consumer Privacy Act (CCPA) (1, 2) è un la legge sulla privacy dei dati che offre ai consumatori della California una serie di protezioni, tra cui il diritto di accedere, eliminare e disattivare la "vendita" di le loro informazioni personali. A partire dal 1° gennaio 2020, le attività che raccolgono dei residenti in California personali e raggiungere determinate soglie (ad ad esempio entrate, volume di trattamento dati) dovranno essere conformi a questi obblighi di sicurezza. Il California Privacy Rights Act (CPRA) è una legge sulla privacy dei dati che modifica ed espande il CCPA. La legge entra in vigore il 1° gennaio 2023. Google si impegna ad aiutare i propri clienti a rispettare i loro obblighi derivanti queste normative sui dati offrendo strumenti comodi e creando solide e di sicurezza nei servizi e nei contratti di Google. Puoi trovare altre informazioni sulle tue responsabilità come azienda ai sensi del CCPA per i Sito web del California Office of the Attorney General. Consulta i Termini di Google per la protezione dei dati titolare-titolare per ulteriori informazioni.

Colorado Privacy Act (CPA)

Colorado Privacy Act, Colo. Rev. Stat. § 6-1-1301 e ss. sono entrate in vigore il 1° gennaio 2023. L'iniziativa tutela la privacy dei dati personali diritti umani e si applica alle persone giuridiche che svolgono attività o producono prodotti o servizi intenzionalmente destinati ai residenti in Colorado e che:

  • Controllo o trattamento dei dati personali di almeno 100.000 consumatori per calendario anno
  • Ricavare entrate dalla vendita di dati personali e controllare o elaborare i Dati personali di almeno 25.000 consumatori

Consulta la pagina Protezione dei dati titolare-titolare rispetto ai servizi di Google Termini per ulteriori informazioni.

Utah Consumer Privacy Act (UCPA).

Utah Consumer Privacy Act, Utah Code Ann. § 13-61-101 et seq. sono entrate in vigore il 1° gennaio 2023. L'UCPA si applica alla vendita di dati personali e pubblicità mirata e definisce includi una vendita: "lo scambio di dati personali per un corrispettivo monetario da parte di un a una terza parte".

Consulta la pagina Protezione dei dati titolare-titolare rispetto ai servizi di Google Termini per ulteriori informazioni.

Virginia Consumer Data Protection Act (VCDPA)

Il Virginia Consumer Data Protection Act ("VCDPA") è stato adottato in vigore dal 1° gennaio 2023. Questa legge conferisce ai residenti in Virginia determinati diritti per i dati personali raccolti dalle attività in base alle condizioni stabilite dalla legge.

Fai riferimento alla pagina Protezione dei dati titolare-titolare rispetto ai servizi di Google Termini per ulteriori informazioni.

Riepilogo

La sicurezza è un criterio di progettazione fondamentale per l'intera infrastruttura di Google, prodotti e operazioni. La scala delle operazioni e la collaborazione di Google con la comunità di ricerca sulla sicurezza ci consente di affrontare le vulnerabilità rapidamente e spesso per impedirne del tutto. Google gestisce i propri servizi, ad esempio come Ricerca, YouTube e Gmail, sulla stessa infrastruttura che rende disponibili per i propri clienti, che beneficiano direttamente dei controlli di sicurezza di Google e pratiche.

Google ritiene di poter offrire un livello di protezione che pochi tra provider e team IT aziendali privati. Perché la protezione dei dati fondamentale per l'attività di Google, possiamo fare grandi investimenti in sicurezza, risorse e competenze su una scala che altri non conoscono. L'investimento di Google di concentrarti sul tuo business e sull'innovazione. Continueremo a investire sulla nostra piattaforma, per consentirti di trarre vantaggio dai servizi Google in modo sicuro in modo trasparente.