Ten artykuł został ostatnio zaktualizowany w lutym 2025 r. i odpowiada sytuacji w momencie jego napisania. Zasady i systemy zabezpieczeń Google mogą w przyszłości ulec zmianie, ponieważ stale zwiększamy poziom ochrony naszych klientów.

Wprowadzenie

Google Maps Platform udostępnia klientom i partnerom interfejsy API oraz pakiety SDK, które umożliwiają tworzenie aplikacji internetowych i mobilnych z użyciem technologii geoprzestrzennej Google. Google Maps Platform oferuje ponad 50 interfejsów API i pakietów SDK dla klientów z różnych branż. Jako klient w branży często musisz spełniać wymagania dotyczące bezpieczeństwa, wykorzystania danych i wymagań regulacyjnych podczas tworzenia rozwiązań. Dotyczy to również sprawdzenia, czy technologia firmy zewnętrznej spełnia te same wymagania.

Ten dokument zawiera ogólne podsumowanie kontroli użytkowników, procesów i technologii oferowanych przez Google Maps Platform, a także korzyści płynące z korzystania z tej platformy. Najpierw warto poznać 2 główne filary technologiczne Google Maps Platform:

• Technologie, centra danych i infrastruktura udostępniane przez Google. Platforma Google Maps działa wyłącznie w centrach danych i infrastrukturze udostępnianych przez Google. Na tej podstawie przeprowadza audyt wewnętrzny i zewnętrzny mechanizmów kontroli zabezpieczeń odziedziczonych od Google, aby sprawdzić, czy Platforma Map Google prawidłowo wdraża mechanizmy kontroli bezpieczeństwa, operacyjnej i technicznej opisane w tym dokumencie.
• Technologia Google Maps Platform. Oprócz odziedziczonych ustawień Platforma Google Maps udostępnia dodatkowe ustawienia zabezpieczeń, prywatności, danych i działań operacyjnych dla pakietów usług Google.

W tym dokumencie omówiliśmy procesy i elementy sterujące stosowane w Google Maps Platform. Są one podzielone na te grupy:

• bezpieczeństwo i prywatność na wszystkich poziomach organizacji Google;
• Bezpieczeństwo infrastruktury technicznej i sprzętu
• Bezpieczeństwo operacyjne
• Ustawienia zabezpieczeń kluczy
• Bezpieczeństwo po stronie klienta, zarówno w internecie, jak i na urządzeniach mobilnych
• Aktualne certyfikaty i audyty w Google Maps Platform
• Obsługiwane systemy prawne na całym świecie

Potencjalni klienci mogą uzyskać dodatkowe informacje od przedstawiciela handlowego Google.

Kultura Google dotycząca bezpieczeństwa i prywatności

Bezpieczeństwo określa strukturę organizacyjną, kulturę, priorytety szkoleń i procesy zatrudniania w Google. To ona kształtuje projekt centrów danych Google i technologii, których używają. Bezpieczeństwo jest podstawą codziennych działań Google, w tym planowania działań na wypadek katastrofy i zarządzania zagrożeniami. Google traktuje priorytetowo bezpieczeństwo w zakresie sposobu postępowania z danymi, ustawień konta, audytów zgodności z przepisami i certyfikatów branżowych. Google projektuje swoje usługi tak, aby zapewniały większą ochronę niż wiele alternatyw lokalnych, które opierają się na wielu dostawcach i platformach, gdzie zabezpieczenia często są niespójnych. Korzystając z usług Google Maps Platform, możesz korzystać z integrowanych programów i kontroli bezpieczeństwa Google. Google Maps Platform traktuje bezpieczeństwo jako priorytet w swojej działalności, która obsługuje ponad miliard użytkowników na całym świecie.

Google i Google Maps Platform zapewniają wiele warstw zabezpieczeń w całej firmie i organizacji:

• Zespół ds. bezpieczeństwa Google
• Zespół ds. bezpieczeństwa produktów Google Maps Platform
• aktywne uczestnictwo w globalnej społeczności zajmującej się badaniami nad zabezpieczeniami;
• Zespół ds. prywatności w Google Maps Platform
• Szkolenie pracowników Google dotyczące bezpieczeństwa i prywatności
• Specjaliści ds. audytu wewnętrznego i zgodności z przepisami

Specjalne zespoły ds. bezpieczeństwa w Google

Google zatrudnia specjalne zespoły ds. bezpieczeństwa w całej firmie i w obszarach poszczególnych usług.

Zespół ds. bezpieczeństwa w Google obsługuje wiele obszarów usług w Google, w tym Google Maps Platform. Zespół ds. bezpieczeństwa składa się z największych ekspertów w dziedzinie bezpieczeństwa informacji, bezpieczeństwa aplikacji, kryptografii i bezpieczeństwa sieci. Do ich działań należą:

• Opracowuje, sprawdza i wdraża procesy związane z bezpieczeństwem. Obejmuje to przeglądanie planów bezpieczeństwa sieci Google oraz udzielanie konsultacji dotyczących konkretnych projektów zespołom ds. usług i inżynierów w Google. Na przykład specjaliści ds. kryptografii sprawdzają wprowadzanie na rynek produktów, które wykorzystują kryptografię w ramach oferty.
• Aktywnie zarządza zagrożeniami bezpieczeństwa. Korzystając z narzędzi komercyjnych i niestandardowych, zespół monitoruje bieżące zagrożenia i podejrzaną aktywność w sieciach Google.
• Przeprowadza rutynowe kontrole i oceny, które mogą obejmować zaangażowanie zewnętrznych ekspertów do przeprowadzania ocen bezpieczeństwa.
• Publikuje artykuły na temat zabezpieczeń dla szerszej społeczności. Google prowadzi blog o bezpieczeństwie oraz serię filmów w YouTube, w których omawia zespoły ds. bezpieczeństwa i ich osiągnięcia.

Zespół ds. zabezpieczeń Google Maps Platform współpracuje z zespołem ds. zabezpieczeń Google, a także ściślej współpracuje z zespołem ds. rozwoju usług i zespółem SRE, aby nadzorować wdrażanie zabezpieczeń. Zespół ten zajmuje się m.in.:

• Testowanie odporności na katastrofy (DiRT) Google Maps Platform, które sprawdza ciągłość działania i przełączanie na zapasowe usługi w przypadku awarii usług Google Maps Platform, jest wykonywane w ramach infrastruktury Google o wysokiej dostępności.
• Testy penetracyjne przeprowadzane przez firmy zewnętrzne. Produkty platformy Mapy Google są testowane pod kątem włamania co najmniej raz w roku, aby zwiększyć poziom bezpieczeństwa Google i zapewnić Ci niezależne gwarancje bezpieczeństwa.

Współpraca ze społecznością zajmującą się badaniami nad bezpieczeństwem

Od dawna utrzymujemy bliskie relacje ze społecznością zajmującą się badaniami nad bezpieczeństwem. Bardzo cenimy sobie ich pomoc w identyfikowaniu potencjalnych luk w zabezpieczeniach w Google Maps Platform i innych usługach Google. Nasze zespoły ds. bezpieczeństwa biorą udział w działaniach związanych z badaniami i kontaktem z użytkownikami, aby pomagać społeczności online. Na przykład prowadzimy Project Zero, czyli zespół badaczy bezpieczeństwa, który zajmuje się badaniami nad lukami dnia zerowego. Przykładami takich badań są odkrycie luki Spectre, luki Meltdown, luki POODLE SSL 3.0 i słabości zestawów szyfrów.

Inżynierowie i badacze ds. bezpieczeństwa w Google aktywnie uczestniczą w działalności społeczności akademickiej zajmującej się bezpieczeństwem oraz społeczności badaczy zajmujących się ochroną prywatności, publikując w nich artykuły. Publikacje związane z bezpieczeństwem można znaleźć na stronie z badaniem Google. Zespół ds. bezpieczeństwa Google opublikował szczegółowy opis swoich metod i doświadczeń w książce Budowanie bezpiecznych i niezawodnych systemów.

Nasz program lojalnościowy dotyczący luk w zabezpieczeniach oferuje nagrody w wysokości dziesiątek tysięcy dolarów za każdą potwierdzoną lukę w zabezpieczeniach. Zachęcamy badaczy do zgłaszania problemów z projektowaniem i wdrażaniem, które mogą zagrażać bezpieczeństwu danych klientów. W 2023 r. Google przyznało badaczom ponad 10 milionów dolarów. Aby zwiększyć bezpieczeństwo kodu open source, program Vulnerability Program oferuje różne inicjatywy dla badaczy. Więcej informacji o tym programie, w tym o nagrodach przyznawanych przez Google, znajdziesz w artykule Podstawowe statystyki dotyczące łowców błędów.

Nasi światowej klasy specjaliści od kryptografii biorą udział w najnowocześniejszych projektach kryptograficznych. Na przykład opracowaliśmy platformę Secure AI Framework (SAIF), aby zwiększyć bezpieczeństwo systemów AI. Dodatkowo, aby chronić połączenia TLS przed atakami komputerów kwantowych, opracowaliśmy algorytm połączony krzywej eliptycznej i postkwantowy (CECPQ2). Nasi specjaliści od kryptografii opracowali Tink,czyli bibliotekę open source interfejsów API kryptograficznych. Używamy go też w naszych usługach wewnętrznych.

Więcej informacji o zgłaszaniu problemów z zabezpieczeniami znajdziesz w artykule Jak Google postępuje z lukami w zabezpieczeniach.

Zespół ds. ochrony prywatności w Google Maps Platform

Specjalny zespół ds. prywatności działa niezależnie od organizacji zajmujących się rozwojem produktów i bezpieczeństwem. Wspiera wewnętrzne inicjatywy dotyczące prywatności, które mają na celu poprawę wszystkich aspektów prywatności: kluczowych procesów, narzędzi wewnętrznych, infrastruktury i rozwoju produktów. Zespół ds. prywatności wykonuje te czynności:

• Zapewnienie zgodności każdego produktu GMP, który ma wpływ na ochronę prywatności, ze standardami ochrony prywatności i zasadami „Privacy by Design” poprzez ocenę dokumentacji projektowej i sprawdzenie przed wprowadzeniem na rynek.
• konsultuje się z zespołami usług GMP na każdym etapie rozwoju, aby udzielać porad dotyczących polityki i infrastruktury Google w zakresie ochrony prywatności, projektowania z uwzględnieniem prywatności, technologii i ustawień zwiększających ochronę prywatności oraz oceny i zmniejszania ryzyka związanego z prywatnością;
• Po wprowadzeniu produktu zespół ds. prywatności nadzoruje procesy weryfikujące prawidłowe zbieranie i wykorzystywanie danych.
• Prowadzi badania dotyczące sprawdzonych metod ochrony prywatności, współpracuje z międzynarodowymi grupami roboczymi zajmującymi się standardami ochrony prywatności i uczestniczy w konferencjach i szczytach dotyczących prywatności w środowisku akademickim. .

Szkolenie pracowników Google dotyczące bezpieczeństwa i prywatności

Wszyscy pracownicy Google przechodzą szkolenie z zakresu bezpieczeństwa i prywatności w ramach procesu wdrożenia. W trakcie całej swojej kariery w Google otrzymują też regularne szkolenia z tych tematów. Podczas szkolenia wprowadzającego nowi pracownicy muszą zaakceptować nasz Kodeks postępowania, który podkreśla zobowiązanie Google do ochrony informacji o klientach.

W zależności od stanowiska pracownicy mogą być zobowiązani do odbycia dodatkowego szkolenia dotyczącego konkretnych aspektów bezpieczeństwa. Na przykład zespół ds. bezpieczeństwa informacji instruuje nowych inżynierów na temat bezpiecznych praktyk kodowania, projektowania produktów i automatycznych narzędzi do testowania podatności. Inżynierowie uczestniczą w regularnych spotkaniach poświęconych bezpieczeństwu i otrzymują newslettery z informacjami o nowych zagrożeniach, wzorach ataków, technikach minimalizacji ryzyka i innych tematach.

Bezpieczeństwo i prywatność to obszar, który stale się zmienia. Zdajemy sobie sprawę, że zaangażowanie pracowników jest kluczowym sposobem na zwiększenie świadomości w tej kwestii. Organizujemy regularne konferencje wewnętrzne, w których mogą uczestniczyć wszyscy pracownicy, aby zwiększać świadomość i promować innowacje w zakresie bezpieczeństwa i prywatności danych. Organizujemy wydarzenia w biurach na całym świecie, aby zwiększać świadomość dotyczącą bezpieczeństwa i prywatności w zakresie tworzenia oprogramowania, przetwarzania danych i egzekwowania zasad.

Specjaliści ds. audytu wewnętrznego i zgodności z przepisami

Google Maps Platform ma wewnętrzny zespół ds. audytu, który sprawdza zgodność usług Google z przepisami i regulacjami prawnymi dotyczącymi bezpieczeństwa obowiązującymi na całym świecie. W miarę tworzenia nowych standardów audytu i aktualizowania dotychczasowych zespół wewnętrzny ds. audytu określa, jakie mechanizmy kontroli, procesy i systemy są potrzebne do spełnienia tych standardów. Ten zespół obsługuje niezależne audyty i oceny przeprowadzane przez firmy zewnętrzne. Więcej informacji znajdziesz w sekcji Certyfikaty i audyty bezpieczeństwa w dalszej części tego dokumentu.

Platforma z wbudowanymi zabezpieczeniami

Google projektuje serwery, zastrzeżone systemy operacyjne i rozmieszczone geograficznie centra danych, stosując zasadę obrony wielopoziomowej. Google Maps Platform działa w ramach infrastruktury technicznej zaprojektowanej i zbudowanej z myślą o bezpieczeństwie. Stworzyliśmy infrastrukturę IT, która jest bezpieczniejsza i łatwiejsza w zarządzaniu niż tradycyjne rozwiązania lokalne lub hostowane.

Nowoczesne centra danych

Bezpieczeństwo i ochrona danych należą do głównych kryteriów projektowania Google. Fizyczne zabezpieczenia w centrach danych Google to model zabezpieczeń warstwowych. Bezpieczeństwo fizyczne obejmuje zabezpieczenia takie jak: Aby wykrywać i śledzić intruza, Google stosuje też środki bezpieczeństwa, takie jak wykrywanie włamań za pomocą promieniowania laserowego oraz całodobowy monitoring za pomocą kamer wewnętrznych i zewnętrznych o wysokiej rozdzielczości. W przypadku incydentu dostępne są logi dostępu, zapisy aktywności i nagrania z kamery. Doświadczeni ochroniarze, którzy przeszli rygorystyczne kontrole i szkolenia, regularnie patrolują centra danych Google. Im bliżej centrum danych, tym wyższy poziom zabezpieczeń. Dostęp do centrum danych jest możliwy tylko przez korytarz zabezpieczony, w którym stosowana jest kontrola dostępu wielopoziomowa z wykorzystaniem identyfikatorów i danych biometrycznych. Dostęp mają tylko zatwierdzeni pracownicy o określonych rolach. Mniej niż 1% pracowników Google będzie kiedykolwiek wchodzić do centrów danych Google.

Centra danych Google są zlokalizowane na całym świecie. Ponieważ chcemy zmaksymalizować szybkość i niezawodność usług, nasza infrastruktura jest zazwyczaj skonfigurowana tak, aby obsługiwać ruch z centrum danych znajdującego się najbliżej miejsca, z którego ten ruch pochodzi. Infrastruktura jest zazwyczaj skonfigurowana tak, aby obsługiwać ruch z centrum danych znajdującego się najbliżej miejsca, z którego ten ruch pochodzi. Z tego powodu dokładna lokalizacja danych z Google Maps Platform może się różnić w zależności od źródła takiego ruchu. Dane te mogą być obsługiwane przez serwery zlokalizowane w Europejskim Obszarze Gospodarczym i Wielkiej Brytanii lub przesyłane do krajów trzecich. Usługi klientów Google, w których wdrożono usługi Google Maps Platform, są ogólnie dostępne na całym świecie i często przyciągają uwagę odbiorców na całym świecie. Infrastruktura techniczna obsługująca te usługi jest wdrażana globalnie w celu zmniejszenia opóźnień i zapewnienia redundancji systemów. Google Maps Platform korzysta z podzbioru usług globalnej sieci centrów danych Google. Poniżej znajdziesz listę tych usług:

Ameryka Północna i Południowa

• Stany Zjednoczone
• Chile

Europa

• Belgia
• Finlandia
• Holandia

Azja

• Tajwan
• Singapur

Zasilanie centrów danych Google

Aby zapewnić ciągłą pracę przez całą dobę i nieprzerwaną dostępność usług, centra danych Google są wyposażone w nadmiarowe systemy zasilania i kontroli środowiska. Każdy kluczowy komponent ma główne i awaryjne źródło zasilania o równej mocy. Generatory awaryjne mogą zapewnić wystarczającą ilość prądu awaryjnego do działania każdego centrum danych z pełną mocą. Systemy chłodzenia utrzymują stałą temperaturę pracy serwerów i innego sprzętu, co zmniejsza ryzyko przerw w działaniu usług, a zarazem minimalizuje wpływ na środowisko. Sprzęt do wykrywania i gaśnięcia pożaru pomaga zapobiegać uszkodzeniom sprzętu. Detektory ciepła, czujniki pożarowe i czujniki dymu wyzwalają alarmy dźwiękowe i wizualne na konsolach operacyjnych ochrony oraz na stanowiskach zdalnego monitorowania.

Google jest pierwszą dużą firmą świadczącą usługi internetowe, która uzyskała zewnętrzne certyfikaty potwierdzające wysokie standardy ochrony środowiska, bezpieczeństwa w miejscu pracy i zarządzania energią w centrach danych Google. Na przykład aby zademonstrować swoje zaangażowanie w podejmowanie działań związanych z zarządzaniem energią, firma Google uzyskała dobrowolnie certyfikaty ISO 50001 dla swoich centrów danych w Europie.

niestandardowy sprzęt i oprogramowanie serwera,

Centra danych Google są wyposażone w serwery i urządzenia sieciowe zaprojektowane specjalnie do ich potrzeb. Serwery Google są dostosowane do maksymalizacji wydajności, chłodzenia i efektywności energetycznej, ale są też zaprojektowane tak, aby chronić przed fizycznymi atakami intruzów. W odróżnieniu od większości dostępnych na rynku komponentów sprzętowych serwery Google nie zawierają niepotrzebnych elementów, takich jak karty graficzne, chipsety czy złącza peryferyjne, które mogą powodować podatność na ataki. Google sprawdza dostawców komponentów i z dużą starannością wybiera komponenty, współpracując z dostawcami w celu sprawdzenia i weryfikacji właściwości bezpieczeństwa tych komponentów. Google projektuje własne układy scalone, takie jak Titan, które pomagają nam bezpiecznie identyfikować i uwierzytelniać autentyczność prawidłowych urządzeń Google na poziomie sprzętowym, w tym kod, którego te urządzenia używają do uruchamiania.

Zasoby serwera są przydzielane dynamicznie. Daje nam to elastyczność w zakresie rozwoju i pozwala szybko i skutecznie dostosowywać się do potrzeb klientów przez dodawanie lub przenoszenie zasobów. To jednorodne środowisko jest obsługiwane przez zastrzeżone oprogramowanie, które stale monitoruje systemy pod kątem zmian na poziomie binarnym. Automatyczne mechanizmy samoczynnego naprawiania Google zostały zaprojektowane tak, aby umożliwić nam monitorowanie i eliminowanie destabilizujących zdarzeń, otrzymywanie powiadomień o incydentach oraz spowolnienie potencjalnych kompromisów w sieci.

Bezpieczne wdrażanie usługi

Usługi Google to pliki binarne aplikacji, które są tworzone przez deweloperów Google i uruchamiane w infrastrukturze Google. Aby obsłużyć wymaganą skalę obciążenia, tysiące maszyn może uruchamiać binarne pliki tej samej usługi. Usługa orkiestracji klastra o nazwie Borg kontroluje usługi działające bezpośrednio w infrastrukturze.

Infrastruktura nie zakłada żadnego zaufania między usługami działającymi na tej infrastrukturze. Ten model zaufania jest nazywany modelem zabezpieczeń opartym na modelu „zero zaufania”. Model bezpieczeństwa oparty na zasadzie zaufania zerowego oznacza, że żadne urządzenia ani użytkownicy nie są z założenia zaufane, niezależnie od tego, czy znajdują się w sieci czy poza nią.

Infrastruktura jest zaprojektowana tak, aby była wielodostępna, dlatego dane klientów Google (konsumentów, firm i nawet dane Google) są rozproszone w ramach wspólnej infrastruktury. Ta infrastruktura składa się z dziesiątek tysięcy jednolitych maszyn. Infrastruktura nie oddziela danych klientów na pojedynczą maszynę ani zestaw maszyn.

Śledzenie i utylizacja sprzętu

Google dokładnie śledzi lokalizację i stan całego sprzętu w swoich centrach danych, korzystając z kodów kreskowych i etykietek zasobów. Google stosuje wykrywacze metalu i monitoring wideo, aby mieć pewność, że żadne urządzenie nie opuszcza centrum danych bez autoryzacji. Jeśli w dowolnym momencie cyklu życia komponent nie przejdzie testu wydajności, zostanie usunięty z asortymentu i wycofany.

Urządzenia do przechowywania danych Google, w tym dyski twarde, dyski półprzewodnikowe i nieulotne moduły pamięci DIMM, korzystają z technologii takich jak szyfrowanie całego dysku (FDE) i blokowanie dysku w celu ochrony danych w spoczynku. Gdy urządzenie do przechowywania danych zostanie wycofane, upoważnione osoby sprawdzają, czy dysk został wymazany, zapisując na nim zera. Przeprowadzają też wieloetapowy proces weryfikacji, aby mieć pewność, że dysk nie zawiera żadnych danych. Jeśli z jakiegokolwiek powodu nie można wyczyścić dysku, należy go fizycznie zniszczyć. Fizyczne zniszczenie odbywa się za pomocą niszczarki, która rozdrabnia dysk na małe kawałki, które następnie są poddawane recyklingowi w bezpiecznym zakładzie. Każde centrum danych przestrzega rygorystycznych zasad utylizacji, a wszelkie odstępstwa są natychmiast rozwiązywane.

Zalety zabezpieczeń w globalnej sieci Google

W przypadku innych rozwiązań geoprzestrzennych w chmurze i na potrzeby lokalnych systemów dane przemieszczają się między urządzeniami przez internet publiczny ścieżkami zwanymi przeskokami. Liczba skoków zależy od optymalnej trasy między dostawcą usług internetowych klienta a centrum danych. Każdy dodatkowy przeskok zwiększa ryzyko ataku na dane lub ich przechwycenia. Sieć globalna Google jest połączona z większą częścią dostawców usług internetowych na świecie, dlatego ogranicza liczbę przeskakiwania między punktami w internecie publicznym, a tym samym pomaga ograniczać dostęp do tych danych przez osoby o złych zamiarach.

Sieć Google korzysta z wielu warstw obrony (obrona wielowarstwowa), aby chronić sieć przed atakami z zewnątrz. Tylko autoryzowane usługi i protokoły, które spełniają wymagania Google dotyczące bezpieczeństwa, mogą korzystać z tej sieci. Pozostałe pakiety są automatycznie odrzucane. Aby wymusić oddzielenie sieci, Google używa zapory sieciowej i list kontroli dostępu. Cały ruch jest kierowany przez serwery interfejsu Google (GFE), aby wykrywać i blokować złośliwe żądania oraz rozproszone ataki typu „odmowa usługi” (DDoS). Logi są regularnie sprawdzane pod kątem nadużyć związanych z błędami programowania. Dostęp do urządzeń w sieci jest ograniczony tylko do autoryzowanych pracowników.

Globalna infrastruktura Google umożliwia nam prowadzenie Project Shield, który zapewnia bezpłatną, nieograniczoną ochronę witryn podatnych na ataki DDoS, które są wykorzystywane do cenzurowania informacji. Usługa Project Shield jest dostępna dla witryn organizacji zajmujących się publikowaniem wiadomości, prawami człowieka i monitorujących przebieg wyborów.

rozwiązania o niskim opóźnieniu i wysokiej dostępności;

Sieć danych IP Google składa się z własnych światłowodów, publicznie dostępnych światłowodów oraz kabli podwodnych. Sieć ta umożliwia nam dostarczanie usług o wysokiej dostępności i małej latencji na całym świecie.

Google projektuje komponenty swojej platformy tak, aby były wysoce redundantne. Ta redundancja dotyczy architektury serwerów Google, sposobu przechowywania danych przez Google, połączeń sieciowych i internetowych oraz samych usług oprogramowania. Ta „nadmiarowość wszystkiego” obejmuje obsługę wyjątków i tworzy rozwiązanie, które nie zależy od pojedynczego serwera, centrum danych ani połączenia sieciowego.

Centra danych Google są rozproszone geograficznie, aby zminimalizować wpływ regionalnych przerw w działaniu usług globalnych, takich jak przerwy spowodowane klęskami żywiołowymi lub lokalnymi awariami. Jeśli wystąpi awaria sprzętu, oprogramowania lub sieci, usługi platformy i platformy sterujące są automatycznie i szybko przenoszone z jednego ośrodka do drugiego, aby usługi platformy mogły działać bez przerw.

Wysoce redundantna infrastruktura Google pomaga też chronić Twoją firmę przed utratą danych. Systemy Google są zaprojektowane tak, aby zminimalizować czas przestoju lub okna konserwacji, gdy potrzebujemy obsługi lub uaktualnienia platformy.

Bezpieczeństwo operacyjne

Bezpieczeństwo jest integralną częścią działalności Google, a nie dodatkiem. W tej sekcji opisano programy Google dotyczące zarządzania lukami w zabezpieczeniach, zapobiegania złośliwemu oprogramowaniu, monitorowania bezpieczeństwa i zarządzania incydentami.

Zarządzanie lukami w zabezpieczeniach

Wewnętrzny proces zarządzania podatnością na zagrożenia polega na aktywnym skanowaniu pod kątem zagrożeń we wszystkich technologiach. W ramach tego procesu wykorzystujemy kombinację narzędzi komercyjnych, open source i specjalnie zaprojektowanych narzędzi wewnętrznych. Obejmuje on:

• Procesy kontroli jakości
• Kontrole bezpieczeństwa oprogramowania
• intensywne działania związane z automatycznym i ręcznym testowaniem penetracji, w tym liczne ćwiczenia w ramach Red Team;
• okresowe testy penetracyjne zewnętrzne usług Google Maps Platform;
• okresowe audyty zewnętrzne,

Organizacja zajmująca się zarządzaniem lukami w zabezpieczeniach i jej partnerzy są odpowiedzialne za śledzenie i następowanie działań w sytuacji wystąpienia luk w zabezpieczeniach. Bezpieczeństwo wzrasta dopiero po całkowitym rozwiązaniu problemów, dlatego ścieżki automatyzacji stale sprawdzają stan wdrożenia poprawek, aby ograniczać luki w zabezpieczeniach i zgłaszać nieprawidłowe lub częściowe wdrożenia.

Aby zwiększyć możliwości wykrywania, organizacja zajmująca się zarządzaniem podatnością na zagrożenia skupia się na wysokiej jakości wskaźnikach, które odróżniają szum od sygnałów wskazujących na realne zagrożenia. Organizacja ta zachęca też do interakcji z branżą i społecznością zajmującą się oprogramowaniem open source. Na przykład firma prowadzi program nagród za łatki dla skanera bezpieczeństwa sieci Tsunami, który nagradza programistów tworzących otwarte oprogramowanie wykrywające luki w zabezpieczeniach.

Ochrona przed złośliwym oprogramowaniem

Google zapewnia ochronę przed złośliwym oprogramowaniem w przypadku naszych podstawowych usług (takich jak Gmail, Dysk Google, Google Chrome, YouTube, Google Ads i wyszukiwarka Google), które korzystają z różnych technik wykrywania złośliwego oprogramowania. Aby aktywnie wykrywać pliki złośliwego oprogramowania, używamy indeksowania stron internetowych, detonacji plików, niestandardowego wykrywania statycznego, wykrywania dynamicznego i wykrywania za pomocą systemów uczących się. Używamy też wielu silników antywirusowych.

Aby chronić naszych pracowników, korzystamy z wbudowanych zaawansowanych funkcji zabezpieczeń Chrome Enterprise Premium oraz z funkcji Silniejsza ochrona w Google Chrome. Te funkcje umożliwiają zapobieganie wyłudzaniu informacji i złośliwemu oprogramowaniu, gdy pracownicy przeglądają internet. Włączamy też najostrzejsze ustawienia zabezpieczeń dostępne w Google Workspace, takie jak Bezpieczna piaskownica Gmaila, aby aktywnie skanować podejrzane załączniki. Dzienniki z tych funkcji są przesyłane do naszych systemów monitorowania bezpieczeństwa, jak opisano w sekcji poniżej.

Monitorowanie bezpieczeństwa

Program monitorowania bezpieczeństwa Google koncentruje się na informacjach pochodzących z ruchu sieci wewnętrznej, działań pracowników w systemach oraz z zewnętrznych źródeł wiedzy o lukach w zabezpieczeniach. Jedną z podstawowych zasad Google jest agregowanie i przechowywanie wszystkich danych telemetrii zabezpieczeń w jednym miejscu na potrzeby ujednoliconej analizy zabezpieczeń.

W wielu miejscach w globalnej sieci Google ruch wewnętrzny jest sprawdzany pod kątem podejrzanego zachowania, takiego jak obecność ruchu, który może wskazywać na połączenia z botnetem. Google używa kombinacji narzędzi open source i komercyjnych do rejestrowania i analizowania ruchu, aby móc przeprowadzić tę analizę. Tę analizę obsługuje też zastrzeżony system korelacji oparty na technologii Google. Google uzupełnia analizę sieci o sprawdzanie dzienników systemowych w celu wykrywania nietypowego zachowania, takiego jak próby uzyskania dostępu do danych klienta.

Grupa ds. analizy zagrożeń w Google monitoruje podmioty zagrożeń oraz ewolucję ich taktyk i technik. Inżynierowie ds. bezpieczeństwa Google sprawdzają przychodzące raporty o zabezpieczeniach i monitorują publiczne listy mailingowe, wpisy na blogach i strony wiki. Automatyczna analiza sieci i automatyczna analiza dzienników systemowych pomagają określić, kiedy może występować nieznane zagrożenie. Jeśli automatyczne procesy wykryją problem, zostanie on przekazany pracownikom Google do spraw bezpieczeństwa.

wykrywanie włamań,

Google używa zaawansowanych ścieżek przetwarzania danych do integrowania sygnałów hosta na poszczególnych urządzeniach, sygnałów sieciowych z różnych punktów monitorowania w infrastrukturze oraz sygnałów z usług infrastruktury. Reguły i systemy uczące się zbudowane na podstawie tych przepływów danych ostrzegają inżynierów ds. bezpieczeństwa operacyjnego o możliwych incydentach. Zespoły Google zajmujące się prowadzeniem dochodzeń i reagowaniem na incydenty diagnozują, badają i reagują na potencjalne incydenty przez 24 godziny na dobę przez 365 dni w roku. Oprócz zewnętrznych testów penetracyjnych Google przeprowadza ćwiczenia Red Team, aby mierzyć i ulepszać skuteczność mechanizmów wykrywania i reagowania.

Zarządzanie incydentami

W Google mamy rygorystyczny proces zarządzania incydentami dotyczącymi zdarzeń związanych z bezpieczeństwem, które mogą wpływać na poufność, integralność lub dostępność systemów bądź danych. Program Google dotyczący zarządzania incydentami związanymi z bezpieczeństwem jest oparty na wytycznych NIST dotyczących postępowania w przypadku incydentów (NIST SP 800–61). W ramach przygotowań do zdarzenia Google zapewnia szkolenie dla kluczowych członków zespołu dotyczące analizy komputerowej i obsługi dowodów, w tym korzystania z narzędzi firm zewnętrznych i własnych narzędzi Google.

Google testuje plany reagowania na incydenty w kluczowych obszarach. Testy te uwzględniają różne scenariusze, w tym zagrożenia ze strony osób z wewnątrz firmy i luki w oprogramowaniu. Aby zapewnić szybkie rozwiązywanie incydentów związanych z bezpieczeństwem, zespół ds. bezpieczeństwa Google jest dostępny dla wszystkich pracowników przez całą dobę.

Więcej informacji o procesie reagowania na incydenty danych znajdziesz w artykule Zarządzanie incydentami w Google Maps Platform.

Praktyki związane z tworzeniem oprogramowania

Google stosuje zabezpieczenia kontroli źródeł i sprawdzanie przez 2 osoby, aby zapobiegać powstawaniu luk w zabezpieczeniach. Google udostępnia też biblioteki, które uniemożliwiają programistom wprowadzanie określonych klas błędów w zabezpieczeniach. Na przykład Google udostępnia biblioteki i ramy, które eliminują podatność na ataki XSS w pakietach SDK. Google ma też automatyczne narzędzia do wykrywania błędów związanych z bezpieczeństwem, takie jak fuzzery, narzędzia do analizy statycznej i skanery zabezpieczeń internetowych.

Zabezpieczenia kodu źródłowego

Kod źródłowy Google jest przechowywany w repozytoriach z wbudowaną integralnością i zarządzaniem źródłem, co umożliwia sprawdzanie zarówno bieżących, jak i poprzednich wersji usługi. Infrastruktura wymaga, aby pliki binarne usługi były kompilowane na podstawie konkretnego kodu źródłowego po jego sprawdzeniu, zweryfikowaniu i przetestowaniu. Binary Authorization for Borg (BAB) to wewnętrzna kontrola egzekwowania, która odbywa się podczas wdrażania usługi. BAB wykonuje te czynności:

• Zapewnienie sprawdzenia i autoryzacji oprogramowania i konfiguracji wdrożenia w Google, zwłaszcza gdy kod ma dostęp do danych użytkownika.
• Sprawdzanie, czy wdrożenia kodu i konfiguracji spełniają określone minimalne standardy
• Ogranicza możliwość wprowadzania przez osoby z wewnętrzu lub osoby trzecie złośliwych modyfikacji w kodzie źródłowym. Zapewnia też ślad analityczny od usługi do jej źródła.

Zmniejsz ryzyko związane z osobami z wewnętrznego źródła

Google ogranicza i aktywnie monitoruje działania pracowników, którzy mają dostęp administracyjny do infrastruktury. Google nieustannie pracuje nad tym, aby wyeliminować potrzebę korzystania z dostępu uprzywilejowanego w przypadku niektórych zadań, stosując automatyzację, która może wykonywać te same zadania w sposób bezpieczny i kontrolowany. Na przykład w przypadku niektórych działań Google wymaga zatwierdzenia przez obie strony, a firma używa ograniczonych interfejsów API, które umożliwiają debugowanie bez ujawniania informacji poufnych.

Dostęp pracowników Google do informacji o użytkownikach jest rejestrowany za pomocą funkcji infrastruktury niskiego poziomu. Zespół ds. bezpieczeństwa Google monitoruje wzorce dostępu i sprawdza nietypowe zdarzenia.

Testowanie odtwarzania awaryjnego – DiRT

Google Maps Platform przeprowadza coroczne, trwające kilka dni testy odzyskiwania po awarii (DiRT) w całym przedsiębiorstwie, aby mieć pewność, że usługi Google Maps Platform i wewnętrzne operacje biznesowe będą nadal działać w przypadku katastrofy. DiRT został opracowany w celu znajdowania luk w zabezpieczeniach krytycznych systemów przez celowe wywoływanie awarii oraz naprawiania tych luk, zanim awarie wystąpią w niekontrolowany sposób. DiRT sprawdza odporność techniczną Google przez łamanie systemów na żywo oraz sprawdza odporność operacyjną Google przez wyraźne niedopuszczenie do udziału w teście kluczowego personelu, ekspertów z danej dziedziny i liderów. Wszystkie ogólnie dostępne usługi muszą być poddawane ciągłym, aktywnym testom DiRT oraz weryfikacji pod kątem ich odporności i dostępności.

Aby przygotować się do ćwiczenia DiRT, Google stosuje spójny zbiór zasad dotyczących ustalania priorytetów.

protokoły komunikacji, oczekiwane skutki i wymagania dotyczące testów, w tym sprawdzone i zatwierdzone plany przywracania. Ćwiczenia i scenariusze DiRT nie tylko wymuszają awarie techniczne w samej usłudze, ale mogą też obejmować zaprojektowane awarie procesów, dostępność kluczowych osób, systemów pomocniczych, komunikacji i dostępu fizycznego. DiRT weryfikuje, czy stosowane procesy rzeczywiście działają w praktyce. Dzięki temu zespoły są wcześniej przeszkolone i mają doświadczenie, z którego mogą korzystać podczas faktycznych przerw, zakłóceń i katastrof spowodowanych przez człowieka lub przez naturę.

Ustawienia zabezpieczeń kluczy

W tej sekcji opisujemy główne mechanizmy kontroli bezpieczeństwa, które Google Maps Platform wdraża w celu ochrony swojej platformy.

Szyfrowanie

Szyfrowanie to dodatkowy poziom zabezpieczeń danych. Szyfrowanie zapewnia, że jeśli atakujący uzyska dostęp do danych, nie będzie w stanie ich odczytać bez dostępu do kluczy szyfrujących. Nawet jeśli osoba przeprowadzająca atak uzyska dostęp do danych (np. przez połączenie przewodowe między centrami danych lub przez kradzież urządzenia pamięci masowej), nie będzie w stanie ich zrozumieć ani odszyfrować.

Szyfrowanie jest ważnym mechanizmem, dzięki któremu Google pomaga chronić prywatność danych. Umożliwia ona systemom manipulowanie danymi (np. w celu tworzenia kopii zapasowych) oraz inżynierom obsługę infrastruktury Google bez zapewnienia dostępu do treści tym systemom czy pracownikom.

Szyfrowanie danych w spoczynku

W tej sekcji szyfrowanie „w spoczynku” oznacza szyfrowanie używane do ochrony danych przechowywanych na dysku (w tym na dyskach SSD) lub na nośniku zapasowym. Dane są szyfrowane na poziomie pamięci, zwykle przy użyciu AES256 (Advanced Encryption Standard). Dane są często szyfrowane na wielu poziomach w produkcyjnym zbiorze usług Google w centrach danych, w tym na poziomie sprzętu, bez konieczności podejmowania przez klientów Google żadnych działań. Korzystanie z wielu warstw szyfrowania

zapewnia dodatkową ochronę danych i pozwala Google wybrać optymalne podejście na podstawie wymagań aplikacji. Google używa popularnych bibliotek kryptograficznych, które zawierają zweryfikowany przez Google moduł FIPS 140-2, aby stosować szyfrowanie w sposób spójny w różnych usługach. Konsekwentne korzystanie z powszechnie dostępnych bibliotek oznacza, że tylko mały zespół kryptografów musi wdrażać i utrzymywać ten ściśle kontrolowany i sprawdzany kod.

Ochrona danych podczas przesyłania

Dane mogą być narażone na nieautoryzowany dostęp podczas przesyłania przez internet. Platforma Google Maps obsługuje silne szyfrowanie podczas przesyłania danych między urządzeniami i sieciami klienta a serwerami Google Front End (GFE). Google zaleca klientom i deweloperom, aby podczas tworzenia aplikacji używali najsilniejszego obsługiwanego przez Google zestawu szyfrowania (TLS 1.3). Niektórzy klienci mają przypadki użycia, które ze względu na zgodność wymagają starszych zestawów szyfrów, dlatego Google Maps Platform obsługuje te słabsze standardy, ale nie zaleca ich używania, jeśli to możliwe. Google Cloud oferuje też dodatkowe opcje szyfrowania transportu, w tym sieć VPN w chmurze do tworzenia wirtualnych sieci prywatnych przy użyciu protokołu IPsec w przypadku usług Google Maps Platform.

Ochrona danych podczas przesyłania między centrami danych Google

Zabezpieczenia transportu na poziomie aplikacji (ALTS) zapewniają ochronę integralności ruchu w Google i szyfrowanie w razie potrzeby. Po zakończeniu protokołu inicjalizacji między klientem a serwerem oraz po negocjowaniu przez klienta i serwer niezbędnych wspólnych tajemnic kryptograficznych do szyfrowania i uwierzytelniania ruchu sieciowego ALTS chroni ruch wywołania procedury zdalnej (RPC) przez wymuszenie integralności za pomocą negocjowanych wspólnych tajemnic. Google obsługuje wiele protokołów gwarantujących integralność, takich jak AES-GMAC (Advanced Encryption Standard) z kluczami 128-bitowymi. Gdy ruch opuszcza granicę fizyczną kontrolowaną przez Google lub w jego imieniu, na przykład w sieci WAN (Wide Area Network) między centrami danych, wszystkie protokoły są automatycznie aktualizowane, aby zapewnić szyfrowanie i pełną integralność.

Dostępność usługi Google Maps Platform

Niektóre usługi Google Maps Platform mogą być niedostępne w różnych regionach geograficznych. Niektóre przerwy w działaniu usługi są tymczasowe (z powodu nieprzewidzianego zdarzenia, takiego jak awaria sieci), ale inne ograniczenia są trwałe z powodu nałożonych przez rząd ograniczeń. Szczegółowy Raport o przejrzystości i panel stanu Google zawierają informacje o ostatnich i obecnych przerwach w dostępności usług Google Maps Platform. Google udostępnia te dane, aby ułatwić Ci analizowanie i interpretowanie informacji o dostępności usług Google.

Zabezpieczenia po stronie klienta

Bezpieczeństwo to wspólna odpowiedzialność dostawcy usług w chmurze oraz klienta lub partnera wdrażającego usługi Google Maps Platform. W tej sekcji opisano obowiązki klienta i partnera, które należy wziąć pod uwagę podczas projektowania rozwiązania w Google Maps Platform.

Interfejsy JavaScript API

Bezpieczne witryny

Interfejs Maps JavaScript API publikuje zestaw rekomendacji, które umożliwiają klientowi dostosowanie zasad bezpieczeństwa treści (CSP) witryny, aby uniknąć luk takich jak ataki między witrynami, clickjacking i wstrzykiwanie danych. Interfejs JavaScript API obsługuje 2 formy CSP: rygorystyczny CSP z użyciem haseł jednorazowych i CSP z listą dozwolonych.

Bezpieczny JavaScript

Kod JavaScript jest regularnie skanowany pod kątem znanych wzorców ataków na bezpieczeństwo, a problemy są szybko rozwiązywane. Interfejs JavaScript API jest publikowany co tydzień lub na żądanie, jeśli wystąpią jakieś problemy.

Bezpieczeństwo aplikacji mobilnych (MAS)

Mobile Application Security (MAS) to otwarty, elastyczny i zorganizowany przez społeczność projekt, który powstał dzięki zaangażowaniu kilkudziesięciu autorów i recenzentów z całego świata. Flagowy projekt OWASP dotyczący bezpieczeństwa aplikacji mobilnych (MAS) zapewnia standard bezpieczeństwa aplikacji mobilnych (OWASP MASVS) oraz kompleksowy przewodnik po testowaniu (OWASP MASTG), który obejmuje procesy, techniki i narzędzia używane podczas testowania bezpieczeństwa aplikacji mobilnych, a także wyczerpujący zestaw przypadków testowych, który umożliwia testerom uzyskiwanie spójnych i pełnych wyników.

• Standard OWASP Mobile Application Security Verification Standard (MASVS) stanowi podstawę do przeprowadzania pełnych i spójnych testów bezpieczeństwa zarówno w przypadku iOS, jak i Androida.
• OWASP Mobile Application Security Testing Guide (MASTG) to kompleksowy podręcznik opisujący procesy, techniki i narzędzia używane podczas analizy bezpieczeństwa aplikacji mobilnych, a także wyczerpujący zestaw przypadków testowych służących do weryfikacji wymagań wymienionych w standardzie MASVS.
• Lista kontrolna OWASP dotycząca bezpieczeństwa aplikacji mobilnych zawiera linki do przypadków testowych MASTG dla każdego elementu MASVS.
  • Oceny bezpieczeństwa / testy penetracyjne: sprawdź, czy obejmujesz co najmniej standardową powierzchnię ataku, i zacznij eksplorować.
  • Standardowa zgodność: zawiera wersje i identyfikatory commitów MASVS i MASTG.
  • Ucz się i ćwicz umiejętności związanych z bezpieczeństwem urządzeń mobilnych.
  • Bug Bounties: omawianie krok po kroku powierzchni ataku na urządzeniach mobilnych.

Rozważ wykorzystanie OWASP MAS w celu zwiększenia bezpieczeństwa, testowania i funkcji uwierzytelniania aplikacji na iOS i Androida.

Android

Podczas tworzenia aplikacji na Androida warto też zapoznać się ze sprawdzonymi metodami dotyczącymi aplikacji na Androida. Wskazówki dotyczące zabezpieczeń zawierają sprawdzone metody dotyczące egzekwowania bezpiecznych komunikacji, definiowania odpowiednich uprawnień, bezpiecznego przechowywania danych, zależności usług itp.

iOS

Podczas tworzenia aplikacji na iOS warto zapoznać się z wstępem do przewodnika po bezpiecznym programowaniu firmy Apple, który zawiera sprawdzone metody dotyczące platformy iOS.

Zbieranie, wykorzystywanie i przechowywanie danych

Google Maps Platform dba o przejrzystość w zakresie zbierania, wykorzystywania i przechowywania danych. Gromadzenie, wykorzystywanie i przechowywanie danych w ramach Platformy Map Google podlega Warunkom korzystania z usługi Platformy Map Google, które obejmują Politykę prywatności Google.

Zbieranie danych

Dane są zbierane podczas korzystania z usług Google Maps Platform. Jako klient masz kontrolę nad tym, jakie informacje przekazujesz do Google Maps Platform za pomocą interfejsów API i pakietów SDK. Wszystkie żądania Google Maps Platform są rejestrowane, co obejmuje kody stanu odpowiedzi z usługi.

Dane rejestrowane przez Google Maps Platform

Google Maps Platform rejestruje dane w całym pakiecie usług. Logi zawierają wiele wpisów, które zwykle obejmują:

• Identyfikator konta, którym może być klucz interfejsu API, identyfikator klienta lub numer projektu Cloud. Jest to wymagane do obsługi, pomocy i rozliczeń.
• Adres IP serwera, usługi lub urządzenia wysyłającego żądanie. Pamiętaj, że w przypadku interfejsów API adres IP wysyłany do Google Maps Platform zależy od tego, jak wywołanie interfejsu API jest zaimplementowane w Twojej aplikacji lub rozwiązaniu. W przypadku pakietów SDK jest rejestrowany adres IP wywołującego urządzenia.
• Adres URL żądania, który zawiera interfejs API i parametry przekazywane do interfejsu API. Na przykład interfejs Geocoding API wymaga podania 2 parametrów (adresu i klucza interfejsu API). Geokodowanie ma też kilka opcjonalnych parametrów. Adres URL żądania zawierałby wszystkie parametry przekazane usłudze.
• Data i godzina prośby.
• Aplikacje internetowe mają zapisane nagłówki żądań, które zwykle zawierają takie dane jak typ przeglądarki i system operacyjny.
• Aplikacje mobilne korzystające z pakietu SDK (na Androida i iOS) mają zapisane w logach wersję, bibliotekę i nazwę aplikacji.

Dostęp do logów Google Maps Platform

Dostęp do logów jest ograniczony i autoryzowany tylko dla określonych członków zespołu, którzy mają uzasadnione potrzeby biznesowe. Każde żądanie dostępu do plików dziennika jest dokumentowane na potrzeby audytu i weryfikowane w ramach audytów zewnętrznych Google pod kątem zgodności z normą ISO 27001 i standardem SOC 2.

Użycie danych

Dane zbierane przez Google Maps Platform są wykorzystywane do następujących celów:

• ulepszania i rozwijania usług Google,
• Zapewnianie pomocy technicznej klientom
• Operacyjne monitorowanie i ostrzeganie
• Zapewnienie bezpieczeństwa platformy
• Planowanie zasobów platformy

Pamiętaj, że zgodnie z Polityką prywatności Google firma Google nie sprzedaje Twoich danych osobowych osobom trzecim.

Przechowywanie i anonimizacja danych

Dane użytkowników zbierane w dziennikach platformy Mapy Google mogą być przechowywane przez różny czas w zależności od potrzeb biznesowych, zgodnie z zasadami przechowywania i przechowywania danych. Dane użytkownika są przechowywane tylko wtedy, gdy jest to uzasadnione z powodów biznesowych, i usuwane, gdy nie są już potrzebne do celów, w których zostały zebrane. Akceptowane sposoby usuwania są ściśle określone i obejmują wszystkie warstwy poprzez usuwanie elementów. Procesy usuwania są monitorowane i weryfikowane, aby zapewnić zgodność.

Anonimowe, zbiorcze statystyki dotyczące wykorzystania pochodzące z logów mogą być przechowywane dłużej. Zespół ds. prywatności sprawdza wszystkie procesy anonimizacji danych, aby upewnić się, że spełniają one odpowiednie standardy techniczne i są odpowiednie do potrzeb związanych z prywatnością, usługami i wymogami prawnymi.

Pomoc w zakresie wymagań zgodności z regulacjami

Platforma Google Maps regularnie przechodzi niezależną weryfikację mechanizmów zabezpieczeń, kontroli zgodności i jakości oraz otrzymuje certyfikaty, atesty i raporty z audytu, które potwierdzają zgodność z wymaganiami. Najważniejsze międzynarodowe standardy, pod kątem których przeprowadzamy audyt, to:

• ISO / IEC 27001 (zarządzanie bezpieczeństwem informacji)
• ISO / IEC 27017 (bezpieczeństwo w chmurze)
• ISO / IEC 9001 (zarządzanie jakością)

Nasi klienci mają też dostęp do raportów SOC 2 i SOC 3. Uwzględniamy też ramy prawne dotyczące konkretnych sektorów i krajów, takie jak NIST 800-53, NIST 800-171 (rząd USA) i TISAX (Niemcy).

Pełną listę naszych ofert dotyczących zgodności znajdziesz w Centrum zaufania ds. bezpieczeństwa i zgodności.

Podsumowanie

Bezpieczeństwo jest podstawowym kryterium projektowania całej infrastruktury, produktów i operacji Google. Skala działań Google i współpraca z społecznością zajmującą się badaniami nad bezpieczeństwem umożliwiają nam szybkie rozwiązywanie problemów z podatnością na zagrożenia, a często nawet zapobieganie im. Google obsługuje własne usługi, takie jak wyszukiwarka, YouTube czy Gmail, w tej samej infrastrukturze, którą udostępnia klientom. Ci ostatni korzystają bezpośrednio z opcji i praktyk bezpieczeństwa Google.

Uważamy, że możemy zaoferować poziom ochrony, którego nie dorównują nawet dostawcy publicznych chmur czy zespoły IT firm. Ochrona danych jest podstawą działalności Google, dlatego możemy inwestować w zasoby, zabezpieczenia i ekspertyzy na skalę, na jaką nie mogą sobie pozwolić inni. Dzięki inwestycjom Google możesz skupić się na swojej firmie i innowacjach. Będziemy nadal inwestować w naszą platformę, aby umożliwić Ci korzystanie z usług Google w sposób bezpieczny i przezroczysty.

Co dalej

• Więcej informacji o naszej kulturze i filozofii bezpieczeństwa znajdziesz w książce Building Secure and Reliable Systems (O'Reilly).

• Aby dowiedzieć się więcej o sprawdzonych metodach, zapoznaj się z wskazówkami dotyczącymi zabezpieczeń Google Maps Platform.

• Więcej informacji o obsługiwanych usługach w ramach certyfikatów zgodności znajdziesz w artykule Usługi Google Maps Platform objęte programem zgodności.

• Aby dowiedzieć się więcej o naszym podejściu do zarządzania incydentami, przeczytaj artykuł Zarządzanie incydentami w Google Maps Platform.