Omówienie zabezpieczeń i zgodności z Google Maps Platform

Te treści zostały ostatnio zaktualizowane w lutym 2024 r. i odzwierciedlają status quo w momencie jego napisania. Zasady i systemy bezpieczeństwa Google mogą ulec zmianie wraz z rozwojem ochrony naszych klientów.

Ikona pliku PDF Pobierz wersję PDF

Wprowadzenie

Google Maps Platform udostępnia klientom interfejsy API i pakiety SDK partnerów do tworzenia aplikacji internetowych i mobilnych przy użyciu technologii geoprzestrzennych Google technologii. Google Maps Platform oferuje klientom ponad 50 interfejsów API i pakietów SDK w wielu branżach. Jako klient z branży musisz często spełniać wymogi wymogami prawnymi w zakresie bezpieczeństwa, użycia danych i przepisów. Obejmują one m.in. zapewnienie, że technologie innych firm spełniają te same wymagania .

Ten dokument zawiera ogólne podsumowanie informacji o osobach, procesach i oraz innych funkcji i usług oferowanych przez Google Maps Platform, wraz z opisem korzyści z używania platformy. Po pierwsze, ważne jest zrozumienie podstawowych filarów technologicznych w ramach Google Maps Platform:

  • Technologie, centra danych i infrastruktura dostarczane przez Google. Google Maps Platform działa w całości w centrach danych dostarczanych przez Google. i infrastrukturze. Na tej podstawie stosuje audyty wewnętrzne i zewnętrzne zabezpieczeń odziedziczonych od Google, aby potwierdzić, że Mapy Google Platforma prawidłowo implementuje zabezpieczenia, działania operacyjne i techniczne opisane w tym dokumencie.
  • Technologia Google Maps Platform. Oprócz odziedziczonych ustawień Google Maps Platform zapewnia dodatkowe bezpieczeństwo, prywatność, dane środków kontroli operacyjnej pakietów usług Google.

W tym dokumencie podsumowujemy procesy i mechanizmy kontroli w Google Maps Platform. pogrupowane w taki sposób:

  • Koncentracja na bezpieczeństwie i prywatności na wszystkich poziomach organizacji Google
  • Bezpieczeństwo infrastruktury technicznej i sprzętu
  • Bezpieczeństwo operacyjne
  • Najważniejsze opcje zabezpieczeń
  • Zabezpieczenia po stronie klienta w internecie i na urządzeniach mobilnych
  • Bieżące certyfikaty i kontrole w Google Maps Platform
  • Obsługiwane ramy prawne na całym świecie

Potencjalni klienci mogą skontaktować się z zespołem sprzedaży Google przedstawicielem handlowym, aby uzyskać dodatkowe informacje.

Organizacja Google zajmująca się bezpieczeństwem i ochroną prywatności

Bezpieczeństwo określa strukturę organizacyjną, kulturę, priorytety szkoleń zatrudniania pracowników w Google. Projektuje on wygląd centrów danych Google. dzięki zapewnianym przez nich technologii. Bezpieczeństwo jest podstawą codziennych działań Google, w tym planowania katastrof i zarządzania zagrożeniami. Google traktuje bezpieczeństwo priorytetowo obsługi danych, kontroli konta, audytów zgodności z przepisami, certyfikacji. Google projektuje swoje usługi z myślą o lepszym bezpieczeństwie lokalne alternatywne rozwiązania, które korzystają z usług wielu dostawców i wielu platform w których kwestie bezpieczeństwa są często niepowiązane z procesem. Korzystasz z Opracowanych przez Google zintegrowane programy zabezpieczające i mechanizmy kontroli w przypadku korzystania z Google Maps Platform produkty i usługi Twojej firmy. Google Maps Platform sprawia, że bezpieczeństwo jest priorytetem w zakresie działań, które obsługują ponad miliard użytkowników na całym świecie.

Google i Google Maps Platform wspólnie zapewniają wiele warstw zabezpieczeń w całej firmie i organizacji.

  • Specjalny zespół Google ds. zabezpieczeń
  • Zespół ds. bezpieczeństwa usług Google Maps Platform
  • Aktywne zaangażowanie w globalną społeczność badaczy zabezpieczeń
  • Zespół Google Maps Platform ds. prywatności
  • Szkolenia z zakresu bezpieczeństwa i prywatności pracowników Google
  • Specjaliści ds. audytu wewnętrznego i zgodności

Zespoły ds. bezpieczeństwa w Google

Google zapewnia dostęp do dedykowanych zespołów ds. zabezpieczeń w całej firmie i usłudze. nowe obszary.

Zespoły ds. bezpieczeństwa we wszystkich usługach Google obsługują wiele obszarów usług Google, w tym Google Maps Platform. W skład zespołu ds. bezpieczeństwa wchodzą niektórzy znani z całego świata, wiodący eksperci w dziedzinie bezpieczeństwa informacji, bezpieczeństwa aplikacji, kryptografii i bezpieczeństwie sieci. Podjęte działania to m.in.:

  • Opracowywanie, sprawdzanie i wdrażanie procesów związanych z bezpieczeństwem Obejmuje to m.in. przegląd planów zabezpieczeń sieci Google i dostarczanie konkretnych usług doradztwo dla zespołów produktowych i inżynierów w Google. Przykład: specjaliści w dziedzinie kryptografii sprawdzają premiery usług wykorzystujących kryptografię jako część oferty.
  • Aktywnie zarządza zagrożeniami bezpieczeństwa. Wykorzystanie zarówno komercyjnych, jak i niestandardowych Google monitoruje bieżące zagrożenia i podejrzaną aktywność w Google sieci.
  • Przeprowadza rutynowe audyty i oceny, które mogą obejmować ekspertów w zakresie bezpieczeństwa.
  • Publikowanie artykułów na temat bezpieczeństwa szerszej społeczności. Google stosuje bloga o bezpieczeństwie i serii YouTube podkreślenie kilku konkretnych zespołów ds. bezpieczeństwa oraz na ich osiągnięciach.

Zespół ds. bezpieczeństwa Google Maps Platform współpracuje z innymi ds. bezpieczeństwa, ściślej związany z rozwojem usług i SRE w celu nadzorowania zabezpieczeń. Ten zespół zajmuje się następującymi kwestiami:

  • opracowany przez Google Maps Platform Disaster Resilience Testing (DiRT), który pozwala ciągłość działania i przełączanie awaryjne usług Google Maps Platform. Infrastruktura Google o wysokiej dostępności.
  • Testy penetracyjne firm zewnętrznych. Google Maps Platform, produkty są testowane co najmniej raz do roku w celu poprawy Stan zabezpieczeń Google i zapewnianie niezależnych zabezpieczeń z całego świata.

Współpraca ze społecznością zajmującą się badaniami nad bezpieczeństwem

Google od dawna utrzymuje bliski związek z badaniami nad bezpieczeństwem Google bardzo ceni sobie ich pomoc w identyfikowaniu potencjalnych w zabezpieczeniach Google Maps Platform i innych usług Google.

  • Współpraca społeczności online w ramach Project Zero. Project Zero to zespół specjalistów ds. bezpieczeństwa, którzy zajmują się lukami w zabezpieczeniach (zero-day). Oto kilka przykładów takich badań: ataku typu Spectre, czyli Meltdown, wykorzystujące luki w zabezpieczeniach, haker PoODLE SSL 3.0 i mechanizm szyfrowania słabości.
  • Badania akademickie – inżynierowie Google i badacze aktywnie zajmujący się bezpieczeństwem uczestniczenie w akademickiej społeczności zajmującej się bezpieczeństwem i ochroną prywatności oraz publikowanie treści w jej ramach. w społeczności badawczej. Publikacje związane z bezpieczeństwem można znaleźć w Strona ds. badań Google. Zespoły ds. bezpieczeństwa Google opublikował szczegółowe omówienie swoich praktyk i doświadczenia Książka Building Secure and Reliable Systems (Tworzenie bezpiecznych i niezawodnych systemów).
  • Program wykrywania luk w zabezpieczeniach – Google Maps Platform bierze udział w Program wykrywania luk w zabezpieczeniach, w ramach którego oferowane są dziesiątki tysięcy dolarów za każdą potwierdzoną lukę w zabezpieczeniach. Program zachęca badaczy do zgłaszania problemów z projektowaniem i implementacją, które mogą narażają ich dane na niebezpieczeństwo. W 2022 r.Google nagradza badaczy ponad 11, 9 USD w postaci nagród pieniężnych. Więcej informacji o tym programie, w tym nagród przyznanych przez Google. Więcej informacji znajdziesz w artykule Bug Hunters Key Stats (Kluczowe statystyki dotyczące Łowca graczy). Dodatkowe informacje o zgłaszaniu problemów z bezpieczeństwem znajdziesz w artykule Jak Google postępuje z bezpieczeństwem luki w zabezpieczeniach.
  • Badania zabezpieczeń typu open source – inżynierowie Google również organizują brać udział w projektach open source i konferencji. Aby ulepszyć kod open source, zapewnia też dopłaty do projektów open source.
  • Kryptografia – światowej klasy kryptografowie Google starają się chronić protokół TLS zwalczania kwantowych ataków komputerowych i opracowaliśmy połączone systemy algorytm krzywych eliptycznych i postkwantowych (CECPQ2). Google Kryptografowie opracowali Tink – platformę open source kryptograficznych interfejsów API. Google używa też technologii Tink produktów i usług.

Zespół Google Maps Platform ds. prywatności

Specjalny zespół ds. prywatności działa niezależnie od rozwoju produktów i usług w organizacjach zajmujących się bezpieczeństwem. Wspiera wewnętrzne inicjatywy związane z prywatnością, 3 elementy prywatności: kluczowe procesy, wewnętrzne narzędzia, infrastrukturę rozwoju usług. Zespół ds. prywatności wykona te czynności:

  • Wprowadzające na rynek usługi są zgodne z rygorystycznymi standardami ochrony prywatności zbieranie danych. Uczestniczy on we wprowadzaniu na rynek każdego produktu Google przez dokumentacji projektowej i weryfikacji kodu.
  • Po wprowadzeniu produktu na rynek zespół ds. prywatności nadzoruje zautomatyzowane procesy, które stale weryfikować odpowiednie zbieranie i wykorzystywanie danych.
  • Prowadzi badania nad sprawdzonymi metodami ochrony prywatności.

Szkolenia z zakresu bezpieczeństwa i prywatności pracowników Google

Bezpieczeństwo i prywatność to obszar, który nieustannie się zmienia. Google zdaje sobie sprawę, zaangażowanie pracowników to kluczowy sposób na podniesienie świadomości. Wszystkie usługi Google pracownicy przechodzą szkolenie w zakresie bezpieczeństwa i prywatności w ramach a także regularnie uczestniczą w obowiązkowych szkoleniach z zakresu bezpieczeństwa i prywatności. od początku swojej kariery w Google.

  • W trakcie szkolenia: nowi pracownicy zgadzają się na Kodeks postępowania, który podkreśla zaangażowanie Google w bezpieczeństwa informacji o klientach.
  • Specjalistyczne szkolenia według stanowiska. Niektóre stanowiska pracy wymagają przeszkolenia z zakresu konkretnych aspektów bezpieczeństwa. Na przykład zespół ds. bezpieczeństwa informacji instruuje nowych inżynierów w zakresie metod bezpiecznego kodowania, projektowania produktów do automatycznego testowania luk w zabezpieczeniach. Inżynierowie regularnie zajmują się bezpieczeństwem podsumowania i newslettery dotyczące bezpieczeństwa, w których omówione są nowe zagrożenia, m.in. wzorce zachowań i techniki łagodzenia ich skutków.
  • Wydarzenia trwające. Google regularnie organizuje wewnętrzne konferencje dla wszystkich pracowników do zwiększania świadomości i innowacji w zakresie bezpieczeństwa i danych prywatności. Google organizuje wydarzenia w biurach na całym świecie, aby zwiększyć świadomość bezpieczeństwo i prywatność w procesie tworzenia oprogramowania, postępowania z danymi oraz polityki dotyczących egzekwowania zasad.

Specjaliści ds. audytu wewnętrznego i zgodności

Google Maps Platform ma specjalny zespół audytorów wewnętrznych, który sprawdza Google produktów zgodność z przepisami i regulacjami prawnymi dotyczącymi bezpieczeństwa na całym świecie. Jako nowe a następnie ustalane są standardy audytu i aktualizowane są istniejące standardy; zespół audytorów określa, jakie mechanizmy kontroli, procesy i systemy są potrzebne tych standardów. Ten zespół obsługuje niezależne audyty i oceny przeprowadzane przez innych firm. Aby uzyskać więcej informacji, przeczytaj artykuł Certyfikaty zabezpieczeń i Audyty w dalszej części tego dokumentu.

Platforma stworzona z myślą o bezpieczeństwie

Google projektuje swoje serwery, zastrzeżone systemy operacyjne oraz w rozproszonych centrach danych, gdzie dogłębna jest zasada obrony. Mapy Google Platforma opiera się na infrastrukturze technicznej zaprojektowanej i zbudowanej tak, aby działać bezpiecznie. Stworzyliśmy infrastrukturę IT, która jest bezpieczniejsza i łatwiejsza w obsłudze niż w przypadku tradycyjnych rozwiązań lokalnych czy hostowanych.

Nowoczesne centra danych

Bezpieczeństwo i ochrona danych to jedna z głównych . Fizyczne bezpieczeństwo danych Google ośrodki to wielowarstwowy model zabezpieczeń. Bezpieczeństwo fizyczne obejmuje takie środki ochrony jak specjalnie zaprojektowane elektroniczne karty dostępu, alarmy, bariery samochodowe, ogrodzenia, wykrywacze metali i dane biometryczne. Ponadto w celu wykrywania śledzić intruzów, Google stosuje środki bezpieczeństwa, takie jak włamanie wiązki laserowej wykrywanie i monitorowanie całodobowe za pomocą wewnętrznych i zewnętrznych kamer o wysokiej rozdzielczości. Rejestry, zapisy aktywności i materiały z kamery są dostępne w przypadku zaistniały incydent. Doświadczeni ochroniarze, którzy przeszli rygorystyczne działania kontrole przeszłości i szkoleń, a także rutynowe patrolowanie centrów danych Google. Gdy bliżej poziomu centrum danych, zwiększy to bezpieczeństwo. Dostęp do dostęp do centrum danych jest możliwy wyłącznie dzięki korytarzu zabezpieczeń, wdraża wielopoziomową kontrolę dostępu za pomocą plakietek bezpieczeństwa i danych biometrycznych. W programie mogą uczestniczyć tylko zatwierdzeni pracownicy o określonych rolach. Mniej niż jeden procent Pracownicy Google kiedykolwiek dotykają jednego z centrów danych Google.

Google obsługuje centra danych na całym świecie, aby zmaksymalizować szybkość i niezawodność swoich usług. Jego infrastruktura jest zazwyczaj skonfigurowana tak, aby obsługiwać ruch z centrum danych, które znajduje się najbliżej miejsca, z którego pochodzi ruch. Dlatego dokładna lokalizacja danych Google Maps Platform może się różnić w zależności od tego, i mogą być wykorzystywane przez serwery zlokalizowane na terenie Europejskiego Obszaru Gospodarczego i Wielkiej Brytanii lub do innych krajów. Klienci Google w której przypadku Usługi Google Maps Platform są ogólnie dostępne na całym świecie. które często przyciągają odbiorców na całym świecie. Infrastrukturę techniczną, która obsługuje te usługi są wdrażane globalnie w celu skrócenia czasu oczekiwania i zapewnienia nadmiarowości systemów uczących się. Google Maps Platform wykorzystuje podzbiór sieci Centrum danych Google poniżej:

Mapa świata wyświetlająca lokalizacje centrów danych zaznaczone na niebiesko kropki

Ameryka Północna i Południowa

Europa

Azja

Zasilanie centrów danych Google

Aby zapewnić ciągłość działania usług przez całą dobę i 7 dni w tygodniu, dane Google mają nadmiarowe systemy zasilania i mechanizmy kontroli środowiskowej. Wszystkie krytyczne ma główne i alternatywne źródło zasilania, a każde z nich ma taką samą moc. Generatory zapasowe mogą zapewnić wystarczającą ilość energii awaryjnej do zasilania wszystkich danych w pełni środkowej. Systemy chłodzenia działają nieprzerwanie dla serwerów i innego sprzętu, co zmniejsza ryzyko awarii przerwach w działaniu usług przy minimalizacji wpływu na środowisko. Wykrywanie pożarów i urządzenia blokujące zapobiegają uszkodzeniu sprzętowemu. Wykrywacze ciepła, pożar czujniki i czujniki dymu uruchamiają dźwiękowe i widoczne alarmy w strefie ochrony na konsolach operacyjnych i w zdalnych biurkach monitoringu.

Google jest pierwszą dużą firmą świadczącą usługi internetowe, która korzysta certyfikat wysokiego wpływu na środowisko, bezpieczeństwo w miejscu pracy i zarządzanie energią stosowane w centrach danych Google. Aby na przykład zademonstrować działanie Google zobowiązania do stosowania zasad zarządzania energią, firma Google uzyskała dobrowolne ISO Certyfikat 50001 dla swoich centrów danych w Europie.

Niestandardowy sprzęt i oprogramowanie serwerowe

Centra danych Google mają specjalnie zaprojektowane serwery i sprzęt sieciowy. Niektóre projektowanych przez Google. Serwery Google są dostosowane w celu maksymalizacji wydajności, chłodzenia i efektywności energetycznej, również zostały opracowane, zapewnia ochronę przed fizycznymi atakami włamań. W przeciwieństwie do większości rozwiązań komercyjnych sprzęt, serwery Google nie zawierają zbędnych komponentów, takich jak wideo kart, chipsetów i złączy peryferyjnych, które mogą wprowadzać Luki w zabezpieczeniach. Google weryfikuje dostawców komponentów i starannie je wybiera, współpracy z dostawcami w celu kontroli i weryfikacji właściwości zabezpieczeń, dostarczane przez komponenty. Google projektuje niestandardowe elementy, takie jak: Titan, który pomaga nam bezpiecznie identyfikować i uwierzytelniać się dzięki systemowi Titan. na prawdziwych urządzeniach Google na poziomie sprzętowym, łącznie z kodem urządzeń używanych do uruchamiania.

Zasoby serwera są przydzielane dynamicznie. Zapewnia nam to elastyczność w rozwoju i pozwala nam szybko i skutecznie dostosowywać się do potrzeb klientów przez dodawanie a wraz z innymi przydzielaniem zasobów. To jednorodne środowisko utrzymują zastrzeżone oprogramowanie stale monitoruje systemy pod kątem modyfikacji. Automatyczne, samonaprawiające się mechanizmy Google mają na celu pozwalają nam monitorować i rozwiązywać problemy destabilizowane, otrzymywać powiadomienia o incydentach i spowalniać potencjalne zagrożenia w sieci.

Bezpieczne wdrażanie usługi

Usługi Google to pliki binarne aplikacji tworzone przez programistów Google które są oparte na infrastrukturze Google. Aby obsłużyć wymaganą skalę zbioru zadań, na tysiącach maszyn mogą być uruchomione pliki binarne tej samej usługi. Klaster usługa administrowania (Borg) kontroluje usługi, które działają bezpośrednio w infrastrukturze.

Infrastruktura nie zakłada zaufania między usługami, które są działające w infrastrukturze. Ten model zaufania jest nazywany „zerowym zaufaniem”. modelu bezpieczeństwa. Model zabezpieczeń typu „zero zaufania” oznacza, że żadne urządzenia ani użytkownicy nie są są domyślnie zaufane, niezależnie od tego, czy znajdują się w sieci czy poza nią.

Ze względu na to, że infrastruktura została zaprojektowana pod kątem wielu najemców, dane z klientów (konsumentów, firm, a nawet danych własnych Google) we wspólnej infrastrukturze. Infrastruktura składa się z dziesiątek tysiące jednorodnych maszyn. Infrastruktura nie jest segregowana dane klientów na jednej maszynie lub zbiorze maszyn

Śledzenie i utylizacja sprzętu

Google skrupulatnie śledzi lokalizację i stan każdego sprzętu w za pomocą kodów kreskowych i tagów zasobów. Google wdraża wykrywacze metali monitoring wizyjny, dzięki któremu żaden sprzęt nie przedostanie się do centrum danych. jak również podejść do nich bez upoważnienia. Jeśli komponent nie przejdzie testu wydajności na w dowolnym momencie cyklu życia produktu jest usuwany z zasobów reklamowych i wycofany.

urządzenia pamięci masowej Google, w tym dyski twarde, dyski SSD; nieulotne podwójne moduły pamięci wbudowanej (DIMM) korzystają z technologii takich jak pełny dysk szyfrowania (FDE) i blokowania dysku w celu ochrony danych w spoczynku. Gdy pamięć masowa urządzenia, upoważnione osoby sprawdzają, czy dysk został wykasowany zapisując zera na dysku. Klient przeprowadza też weryfikację wieloetapową aby mieć pewność, że dysk nie zawiera żadnych danych. Jeśli nie można wykasować danych z Dysku z jakiegokolwiek powodu jest fizycznie zniszczona. Fizyczne zniszczenie odbywa się za pomocą niszczyciel, który dzieli napęd na mniejsze kawałki, które są następnie poddawane recyklingowi i bezpiecznym obiektem. Każde centrum danych przestrzega ścisłej polityki utylizacji i wszelkich są podejmowane natychmiastowo;

Korzyści zapewniane przez globalną sieć Google dla bezpieczeństwa

W innych rozwiązaniach chmurowych i lokalnych danych geoprzestrzennych dane przesyłane są między urządzeń w internecie w ścieżkach nazywanych przeskokami. Liczba przeskoków zależy od optymalnej trasy między dostawcą usług internetowych klienta a centrum danych. Każdy dodatkowy przeskok to nowa możliwość ataku na dane lub przechwycony. Ponieważ globalna sieć Google jest połączona z większością dostawców usług internetowych w na całym świecie sieć Google ogranicza liczbę przeskoków w internecie, co oznacza, że pomaga ograniczyć dostęp do tych danych nieuczciwym podmiotom.

Sieć Google korzysta z wielu warstw obrony, w których dogłębna jest ochrona. i chroni sieć przed atakami z zewnątrz. Tylko autoryzowane usługi protokoły spełniające wymagania bezpieczeństwa Google mogą je przemierzać; wszystkie inne dane są automatycznie usuwane. Aby wymusić segregację sieci, Google korzysta z zapór sieciowych i list kontroli dostępu. Cały ruch jest kierowany przez Google serwerów frontendu (GFE), które ułatwiają wykrywanie i blokowanie złośliwych żądań oraz ataki DDoS. Dzienniki są regularnie sprawdzane pod kątem ujawnianie jakiegokolwiek wykorzystania błędów programowania. Dostęp do urządzeń sieciowych jest dostęp wyłącznie do upoważnionych pracowników.

Globalna infrastruktura Google pozwala nam realizować projekt Shield – bezpłatną, nielimitowaną ochronę stron; narażone na ataki DDoS wykorzystywane do cenzurowania informacji. Projekt Usługa Shield jest dostępna w witrynach z wiadomościami, witryn służących do monitorowania wyborów.

Małe opóźnienie i wysoka dostępność rozwiązań

Sieć danych IP Google składa się z własnego światłowodu, publicznie dostępnego światłowodu i podmorskich kabli. Sieć ta pozwala nam dostarczać zasoby o wysokiej dostępności i usługi z krótkim czasem oczekiwania na całym świecie.

Komponenty swojej platformy Google projektuje z myślą o dużej nadmiarowości. Ten nadmiarowość ma zastosowanie do projektu serwerów Google, sposobu przechowywania danych przez Google, połączenia sieciowego i internetowego oraz samych usług oprogramowania. Ten „nadmiarowość wszystkiego” obejmuje obsługę wyjątków i tworzy rozwiązanie, które nie są zależne od pojedynczego serwera, centrum danych ani połączenia sieciowego.

Centra danych Google są rozproszone geograficznie, aby zminimalizować wpływ regionalnych zakłóceń w działaniu produktów globalnych, np. związanych z klęskami żywiołowymi czy lokalnymi i występują przerwy w działaniu usługi. W przypadku awarii sprzętu, oprogramowania lub sieci, usługi platformy platformy sterujące są automatycznie i szybko przełączane z jednego obiektu do innego, dzięki czemu usługi platformy mogą działać bez zakłóceń.

Wysoce nadmiarowa infrastruktura Google pomaga również chronić Twoją firmę przed utratą danych. Systemy Google zostały zaprojektowane tak, aby zminimalizować czas przestoju lub okresach serwisowych, w których musimy naprawić lub uaktualnić naszą platformę.

Bezpieczeństwo operacyjne

Bezpieczeństwo ma kluczowe znaczenie w działaniach Google, a nie na później. Ta sekcja opisuje programy Google do zarządzania lukami w zabezpieczeniach, z programów, monitorowania bezpieczeństwa i zarządzania incydentami.

Zarządzanie lukami w zabezpieczeniach

Wewnętrzny proces Google zarządzania lukami w zabezpieczeniach aktywnie skanuje witryny pod kątem bezpieczeństwa. we wszystkich stosach technologicznych. Ten proces wykorzystuje kombinację komercyjne, open source i wbudowane narzędzia wewnętrzne, w tym :

  • Procesy zapewniania jakości
  • Kontrole bezpieczeństwa oprogramowania
  • Intensywna zautomatyzowana i ręczna penetracja źródeł, w tym rozbudowana Ćwiczenia zespołowe
  • cykliczne testy penetracji zewnętrznej Map Google. Produkty platformy
  • cykliczne kontrole zewnętrzne,

Organizacja zarządzająca lukami w zabezpieczeniach i jej partnerzy odpowiadają za śledzenie luk w zabezpieczeniach i monitorowanie ich działania. Ponieważ bezpieczeństwo poprawia się po rozwiązaniu problemów, potoki automatyzacji nieustannie ponownie oceniają stanu luki w zabezpieczeniach, weryfikowania poprawek oraz wskazywania nieprawidłowych lub częściowych błędów i ich rozwiązania.

Monitorowanie zabezpieczeń

Program monitorowania bezpieczeństwa Google koncentruje się na informacjach, które są gromadzone ruchu w sieci wewnętrznej, działań pracowników w systemach oraz wiedzę o lukach w zabezpieczeniach. Podstawową zasadą Google jest agregacja danych, i przechowuj wszystkie dane telemetryczne dotyczące bezpieczeństwa w jednym miejscu, aby zapewnić ujednolicone bezpieczeństwo. analizy.

W wielu miejscach w globalnej sieci Google ruch wewnętrzny jest sprawdzany pod kątem: podejrzane zachowanie, takie jak obecność ruchu, który może wskazywać na botnet; połączeń. Google korzysta zarówno z narzędzi open source, jak i komercyjnych, przechwytywać i analizować ruch, aby umożliwić Google przeprowadzenie tej analizy. O nasz własny system korelacji oparty na technologii Google tę analizę. Google uzupełnia analizę sieci, analizując dzienniki systemowe w identyfikować nietypowe zachowania, np. próby uzyskania dostępu do danych klientów;

Grupa ds. analizy zagrożeń w Google monitoruje podmioty stwarzające zagrożenie oraz ewolucji taktyk i technik. Weryfikacja przez inżynierów Google ds. bezpieczeństwa przychodzące raporty bezpieczeństwa oraz monitoruj publiczne listy adresowe, posty na blogach witryny wiki. Zautomatyzowana analiza sieci i automatyczna analiza dzienników systemowych pomagają i określania, kiedy może wystąpić nieznane zagrożenie. Jeśli automatyczne procesy wykryją problem, który jest przekazywany specjalistom Google ds. bezpieczeństwa.

Wykrywanie włamań

Google korzysta z zaawansowanych potoków przetwarzania danych, aby integrować sygnały z poszczególnych urządzeń, sygnały sieciowe z różnych systemów monitorowania punkty w infrastrukturze i sygnały z usług infrastruktury. Reguły a systemy uczące się oparte na tych potokach umożliwiają działanie i ostrzegać o możliwych incydentach przez inżynierów ds. bezpieczeństwa. Dochodzenie Google zespoły reagowania na incydenty klasyfikują, badają i reagują na potencjalne zdarzeń 24 godziny na dobę, 365 dni w roku. Google prowadzi ćwiczenia Red Team testy penetracyjne z zewnątrz w celu mierzenia i ulepszania skuteczności mechanizmów Google wykrywania i reagowania.

Zarządzanie incydentami

Google stosuje rygorystyczny proces zarządzania incydentami w przypadku zdarzeń związanych z bezpieczeństwem, które wpływają na poufność, integralność lub dostępność systemów bądź danych. Program Google zarządzania incydentami związanymi z bezpieczeństwem opiera się na NIST wskazówki dotyczące obsługi incydentów (NIST SP 800–61). Google prowadzi szkolenia dla kluczowych pracowników kryminalistyki i obchodzenia dowodami w ramach przygotowań do zdarzenia, w tym użycia narzędzi innych firm i zastrzeżonych.

Google testuje plany reagowania na incydenty w kluczowych obszarach. Testy te obejmują takich jak zagrożenia wewnętrzne oraz luki w zabezpieczeniach oprogramowania. Aby pomóc szybkiego rozwiązywania incydentów związanych z bezpieczeństwem, zespół ds. bezpieczeństwa Google dostępna przez całą dobę, 7 dni w tygodniu dla wszystkich pracowników.

Praktyki z zakresu programowania oprogramowania

Google korzysta z zabezpieczeń kontroli źródeł i weryfikacji dwuetapowej, aby i ograniczyć ryzyko wprowadzania luk w zabezpieczeniach. Google udostępnia też biblioteki, uniemożliwia programistom wprowadzanie określonych klas błędów w zabezpieczeniach. Dla: Na przykład Google dysponuje bibliotekami i platformami zaprojektowanymi tak, aby wyeliminować XSS w zabezpieczeniach pakietów SDK. Google oferuje również zautomatyzowane narzędzia do wykrywania zabezpieczeń, takie jak programy do rozmycia, narzędzia do analizy statycznej i skanery zabezpieczeń internetowych.

Zabezpieczenia kodu źródłowego

Kod źródłowy Google jest przechowywany w repozytoriach z wbudowaną integralnością źródła i nadzoru, co umożliwia kontrolę zarówno bieżących, jak i wcześniejszych wersji usługi. Infrastruktura wymaga utworzenia plików binarnych usługi z określonego kodu źródłowego po sprawdzeniu, zameldowaniu i przetestowaniu. Plik binarny Autoryzacja dla Borg (BAB) to wewnętrzna weryfikacja egzekwowania zasad występujące po wdrożeniu usługi. BAB:

  • Zapewnia, że oprogramowanie produkcyjne i konfiguracja wdrożone w Google są sprawdzone i autoryzowane, zwłaszcza w przypadku, gdy kod ten może uzyskać dostęp do danych użytkownika
  • Zapewnia, że wdrożenia kodu i konfiguracji spełniają określone minimalne standardy
  • Ogranicza zdolność nieupoważnionego dostępu lub przeciwnika do szkodliwego działania modyfikacji kodu źródłowego oraz zapewnia ślad śledczy z usługa z powrotem do źródła

Zmniejszanie ryzyka wewnętrznego

Google ogranicza i aktywnie monitoruje aktywność pracowników, którzy którzy mają dostęp administracyjny do infrastruktury. Google nieustannie pracuje nad wyeliminować potrzebę uprzywilejowanego dostępu do określonych zadań przez automatyzacji, które pozwalają wykonywać te same zadania w bezpieczny i kontrolowany sposób. Dla: Google wymaga zgody dwóch osób na niektóre działania, a Google wykorzystuje ograniczone interfejsy API, które umożliwiają debugowanie bez ujawniania informacji poufnych.

Dostęp pracowników Google do informacji o użytkownikach jest rejestrowany przy użyciu niskiego poziomu punkty zaczepienia infrastruktury. Zespół Google ds. bezpieczeństwa monitoruje wzorce dostępu bada nietypowe zdarzenia.

Testowanie odtwarzania awaryjnego – DiRT

Google Maps Platform przeprowadza codzienne, wielodniowe odzyskiwanie awaryjne na poziomie całej firmy testowanie zdarzeń (DiRT), by sprawdzić, czy usługi Google Maps Platform to w razie wystąpienia katastrofy wewnętrzne procesy biznesowe DiRT był które służą do wykrywania luk w zabezpieczeniach systemów krytycznych naprawiania błędów i usuwania luk w zabezpieczeniach przed awariami w sposób niekontrolowany. DiRT testuje niezawodność techniczną Google, udostępniając systemów i testuje odporność operacyjną Google, wyraźnie zapobiegając członków kluczowych organizacji, lokalnych ekspertów i liderów. Ogólnie dostępne usługi muszą mieć bieżące, aktywne testy DiRT oraz w celu weryfikacji ich odporności i dostępności.

Przygotowując się do ćwiczenia DiRT, Google stosuje spójny zestaw reguł dotyczących priorytetów,

protokoły komunikacyjne, oczekiwania wpływu i wymagania dotyczące projektowania testów w tym wcześniej sprawdzone i zatwierdzone plany przywracania. Ćwiczenia i scenariusze DiRT nie tylko wymuszać na błędach technicznych w samej usłudze, ale także projektowanie błędów procesów, dostępności kluczowych pracowników, systemów wspomagających komunikacji i fizycznego dostępu. DiRT sprawdza, czy uruchomione procesy jak działają w praktyce. Zapewnia też, że zespoły są wstępnie wytrenowane z których mogą korzystać podczas rzeczywistych przerw w działaniu usługi, zakłóceń i katastrof stworzonym przez człowieka lub naturalnym.

Najważniejsze opcje zabezpieczeń

W tej sekcji opisujemy główne opcje zabezpieczeń, z których Google Maps Platform korzysta. które wykorzystuje, aby chronić swoją platformę.

Szyfrowanie

Szyfrowanie zapewnia dodatkową warstwę ochrony danych. Dzięki szyfrowaniu jeśli osoba przeprowadzająca atak uzyska dostęp do danych, odczytuje dane bez dostępu do kluczy szyfrowania. Nawet jeśli osoba przeprowadzająca atak uzyska dostęp do danych (na przykład przez połączenie przewodowe z siecią, między centrami danych lub przez kradzież urządzenia pamięci masowej) nie będą w stanie zinterpretować go lub odszyfrować.

Szyfrowanie to ważny mechanizm, dzięki któremu Google pomaga chronić prywatności danych. Umożliwia systemom manipulowanie danymi, na przykład do tworzenia kopii zapasowych i inżynierów w celu obsługi infrastruktury Google, nie zapewniając dostępu do treści tych systemów lub pracowników.

Szyfrowanie w spoczynku

Szyfrowanie „w spoczynku” oznacza szyfrowanie używane do ochrony danych są przechowywane na dysku (w tym na dyskach SSD) lub nośniku zapasowym. Dane są szyfrowanie na poziomie pamięci masowej, zazwyczaj z użyciem AES256 (szyfrowanie zaawansowane) standardowy). Dane są często szyfrowane na wielu poziomach w środowisku produkcyjnym Google miejsca na dane w centrach danych, w tym na poziomie sprzętu, bez wymagać od klientów Google żadnych działań. Stosowanie wielowarstwowego szyfrowania

zapewnia nadmiarową ochronę danych i pozwala Google wybrać optymalne podejście zgodnie z wymaganiami zgłoszenia. Google korzysta z popularnych bibliotek kryptograficznych które zawierają moduł Google zweryfikowany pod kątem zgodności ze standardem FIPS 140-2, wdrożyć szyfrowanie we wszystkich usługach, Spójne stosowanie potocznych co oznacza, że tylko niewielki zespół kryptografii musi wdrożyć i dokładnie kontrolować ten kod.

Ochrona danych w ruchu

Dane przesyłane w internecie mogą być narażone na nieupoważniony dostęp. Google Maps Platform obsługuje silne szyfrowanie podczas przesyłania między klientem urządzeń i sieci, a także serwerów Google Front End (GFE). Google zaleca klientom/programistom korzystanie z najlepszego obsługiwanego mechanizmu szyfrowania Google (TLS 1.3) podczas tworzenia aplikacji. Niektórzy klienci mają przypadki użycia wymagające starszych zestawów szyfrów ze względu na zgodność, więc Google Maps Platform obsługuje te niższe standardy, ale nie zaleca korzystanie z nich, gdy tylko jest to możliwe. Google Cloud oferuje również dodatkowe możliwości opcje szyfrowania, w tym Cloud VPN do ustanawiania prywatnego środowiska wirtualnego i sieci korzystające z protokołu IPsec w usługach Google Maps Platform.

Ochrona danych w ruchu między centrami danych Google

Protokół ALTS (Application Layer Transport Security) zapewnia integralność i w razie potrzeby ruch jest chroniony i szyfrowany. Po uścisku dłoni komunikacji między klientem a serwerem, klient i serwer negocjują niezbędne współdzielone klucze kryptograficzne dla szyfrowania i uwierzytelniania ruchu sieciowego, ALTS zabezpiecza RPC (Zdalna) ruch związany z wywołaniem procedury) przez wymuszanie integralności, przy użyciu wynegocjowanego wspólnego tajne. Google obsługuje różne protokoły gwarancji integralności, takie jak: AES-GMAC (Advanced Encryption Standard) z kluczami 128-bitowymi. Zawsze, gdy ruch opuszcza fizyczną granicę kontrolowaną przez Google lub w jej imieniu, na przykład przez sieć rozległą (WAN) między centrami danych, wszystkie protokoły automatycznie uaktualniane, aby zapewnić szyfrowanie i gwarancję integralności.

Dostępność usługi Google Maps Platform

Niektóre usługi Google Maps Platform mogą być niedostępne we wszystkich i poszczególnych regionów. Niektóre przerwy w działaniu usługi są tymczasowe (z powodu nieprzewidzianych zdarzeń) takie jak przerwa w działaniu sieci), ale inne ograniczenia usługi są trwałe z powodu ograniczeń nałożonych przez rząd. Kompleksowa przejrzystość Raport i panel stanu pokazują ostatnie i ciągłych przerwach w ruchu w usługach Google Maps Platform. Google udostępnia te dane, które pomogą Ci przeanalizować i zrozumieć informacje o dostępności usług Google.

Zabezpieczenia po stronie klienta

Odpowiedzialność za bezpieczeństwo jest wspólnym obowiązkiem dostawcy usług w chmurze klient/partner wdrażający usługi Google Maps Platform. Ta sekcja o obowiązkach klienta/partnera, które należy wziąć pod uwagę tworząc architekturę rozwiązania Google Maps Platform.

Interfejsy API JavaScript

Bezpieczne witryny

Maps JavaScript API publikuje zestaw rekomendacji, które umożliwiają do dostosowania polityki treści (Content Security Policy, CSP) w witrynach, aby uniknąć luki w zabezpieczeniach, np. cross-site scripting, clickjacking i wstrzykiwanie danych ataków. Interfejs JavaScript API obsługuje 2 rodzaje CSP: rygorystyczny CSP z liczbą jednorazową i dodanie CSP do listy dozwolonych.

Bezpieczny JavaScript

kod JavaScript jest regularnie skanowany pod kątem znanych antywzorców zabezpieczeń; można szybko rozwiązać problemy. JavaScript API jest publikowany co tydzień lub na żądanie, w razie jakichkolwiek problemów.

Bezpieczeństwo aplikacji mobilnych (MAS)

Mobile Application Security (MAS) to otwarty, elastyczny, oparty na crowdsourcingu pracy kilkudziesięciu autorów i recenzentów z całego świata. Flagowy projekt OWASP Mobile Application Security (MAS) zapewnia standard dla aplikacji mobilnych (OWASP MASVS) i kompleksowy przewodnik testowania (OWASP) MASTG), który obejmuje procesy, techniki i narzędzia używane w aplikacji mobilnej testu bezpieczeństwa oraz szczegółowego zestawu przypadków testowych, które umożliwiają testerom w celu zapewnienia spójnych i pełnych wyników.

  • OWASP Mobile Application Security Verification Standard (MASVS) stanowi punkt odniesienia dla kompletnej i spójnej testów bezpieczeństwa zarówno na iOS, jak i na Androida.
  • Przewodnik OWASP Mobile Application Security Testing Guide (MASTG) to obszerny podręcznik omawiający stosowane procesy, techniki i narzędzia podczas analizy bezpieczeństwa aplikacji mobilnych, a także wyczerpujący zestaw przypadki testowe do weryfikacji wymagań wymienionych w MASVS.
  • Lista kontrolna zabezpieczeń aplikacji mobilnej OWASP zawiera linki do przypadków testowych MASTG dla każdego ustawienia MASVS.
    • Oceny zabezpieczeń / testy Pentesty: zapoznaj się przynajmniej z na standardowym powierzchnię ataku i rozpocznij eksplorację.
    • Zgodność ze standardami: obejmuje wersje MASVS i MASTG oraz identyfikatory zatwierdzeń.
    • Zdobądź i poćwicz umiejętności w zakresie bezpieczeństwa na urządzeniach mobilnych.
    • Zgłaszanie błędów: krok po kroku, zakrywając powierzchnię ataku urządzenia mobilnego.

Rozważ użycie OWASP MAS, aby zwiększyć możliwości aplikacji na iOS i Androida zabezpieczeń, testowania i uwierzytelniania.

Android

Podczas tworzenia aplikacji na Androida warto wziąć pod uwagę także: Sprawdzone metody dotyczące aplikacji na Androida dla społeczności. Bezpieczeństwo zawierają sprawdzone metody egzekwowania bezpieczeństwa komunikacja, określanie odpowiednich uprawnień, bezpieczne przechowywanie danych, usługa i inne.

iOS

Opracowując aplikacje na iOS, warto wziąć pod uwagę wprowadzenie do bezpiecznego standardu Apple Przewodnik po kodowaniu, który zawiera sprawdzone metody dotyczące iOS. Platforma.

Zbieranie, wykorzystywanie i przechowywanie danych

Google Maps Platform dba o przejrzystość zbierania danych, użycie danych i przechowywanie danych. Google Maps Platform zbiera, wykorzystuje i wykorzystuje i przechowywanie zgodnie z nimi podlegają Warunkom korzystania z usługi Google Maps Platform Usługi, w tym Politykę prywatności Google Zasady.

Zbieranie danych

Dane są zbierane za pomocą usług Google Maps Platform. Jako klient masz kontrolę nad tym, jakie informacje przesyłasz do Google Maps Platform za pomocą interfejsów API i pakietów SDK. Logowane są wszystkie żądania Google Maps Platform, które zawierają kody stanu odpowiedzi z usługi.

Dane zarejestrowane w Google Maps Platform

Google Maps Platform rejestruje dane w ramach pakietu usług. Dzienniki zawierają wiele elementów które zwykle zawierają:

  • Identyfikator konta, który może być kluczem interfejsu API, identyfikatorem klienta lub projektem Cloud. numer. Jest to wymagane na potrzeby operacji, pomocy i rozliczeń.
  • Adres IP serwera, usługi lub urządzenia wysyłającego żądanie. W przypadku interfejsów API: że adres IP wysłany do Google Maps Platform zależy od tego, Wywołanie interfejsu API jest zaimplementowane w aplikacji lub rozwiązaniu. W przypadku pakietów SDK adres IP urządzenia wywołującego.
  • Adres URL żądania, który zawiera interfejs API i parametry przekazywane do funkcji API. Na przykład Geocoding API wymaga dwóch (adres i klucz interfejsu API). Geokodowanie obejmuje też wiele opcjonalnych elementów, . URL żądania zawiera wszystkie parametry przekazywane do funkcji posprzedażna.
  • Data i godzina żądania.
  • Aplikacje internetowe mają zarejestrowane nagłówki żądań, które zwykle zawierają dane, np. typ przeglądarki i systemu operacyjnego.
  • Aplikacje mobilne korzystające z pakietu SDK mają wersję, bibliotekę i wersję Google Play i nazwa aplikacji zapisane.

Dostęp do logów Google Maps Platform

Dostęp do logów jest ograniczony i autoryzowany tylko do określonego zespołu. członków, którzy mają uzasadnione potrzeby biznesowe. Każde żądanie dostępu do pliki dziennika są udokumentowane na potrzeby kontroli, które są weryfikowane przez audyty zewnętrzne zgodne z normami ISO 27001 i SOC 2.

Użycie danych

Dane zbierane przez Google Maps Platform są wykorzystywane do tych celów:

  • Ulepszanie produktów i usług Google
  • Zapewnianie pomocy technicznej klientom
  • Monitorowanie operacji i alerty
  • Dbanie o bezpieczeństwo platformy
  • Planowanie wydajności platformy

Pamiętaj, że Google Maps Platform nigdy nie sprzedaje danych o działaniach użytkowników zgodnie z Polityką prywatności Google.

Przechowywanie i anonimizacja danych

Dane zebrane w dziennikach Google Maps Platform mogą być przechowywane przez różne okresy w zależności od potrzeb biznesowych, z uwzględnieniem anonimizacji danych i usług Google zasady usuwania treści. Adresy IP są automatycznie anonimizowane (część adresu IP jest usuwana). Zanonimizowane, zbiorcze wykorzystanie statystyki uzyskane z dzienników mogą być przechowywane bez ograniczeń czasowych.

Certyfikaty związane z bezpieczeństwem, branżą, wysoką dostępnością i ochroną środowiska oraz audyty

ISO 27001

Międzynarodowa Organizacja Normalizacyjna (International Organization for Standardization, ISO) to niezależna, międzynarodowa organizacja pozarządowa z członkostwem międzynarodowym 163 krajowe organy nadzorujące. Rodzina ISO/IEC 27000 standardowych rozwiązań Google, które pomagają organizacjom zachować bezpieczeństwa.

ISO/IEC 27001 określa i określa wymagania dotyczące bezpieczeństwa informacji systemu zarządzania (ISMS), określa zestaw sprawdzonych metod i szczegółowo narzędzia do kontroli zabezpieczeń, które ułatwiają zarządzanie ryzykiem dotyczącym danych.

Google Maps Platform i wspólna infrastruktura Google mają certyfikat ISO/IEC 27001. Standard 27001 nie wymaga podawania szczegółowych informacji zabezpieczeń. Przedstawiona w nim struktura i lista kontrolna zabezpieczeń pozwala Google tworzy kompleksowy i stale ulepszany model bezpieczeństwa i zarządzania nimi.

Certyfikat ISO 27001 dla Google Maps Platform możesz pobrać i sprawdzić w menedżerze raportów zgodności z przepisami Google.

SOC 2 typu II

SOC 2 jest raportem opracowanym na podstawie Auditing Standards Board”, Amerykańskiego Instytutu Certyfikowanych księgowych (American Institute of Certified Public Accountants) (AICPA) – dotychczasowe kryteria usług zaufania. Cel ten raport ma na celu ocenę systemów informacyjnych organizacji bezpieczeństwo, dostępność, integralność przetwarzania, poufność i prywatność. SOC 2 raporty typu II są wydawane co pół roku, około czerwca oraz w grudniu.

Możesz pobrać i przejrzeć raport kontrolny Google Maps Platform SOC 2 typu II w menedżerze raportów zgodności z przepisami Google.

Cloud Security Alliance (CSA)

Cloud Security Alliance (1, 2) to organizacja non-profit, której jest promowanie stosowania sprawdzonych metod w celu zapewnienia bezpieczeństwa w ramach usług w chmurze, a także zapewnić szkolenia w zakresie zastosowań informatyki, która pomaga zabezpieczyć wszystkie pozostałe formy komputerów”.

Program CSA Security, Trust, and Assurance Registry Program (CSA STAR) został opracowany która pomoże Ci ocenić i wybrać dostawcę usług w chmurze w 3 etapach. programu samodzielnej oceny, kontroli przeprowadzanej przez firmę zewnętrzną i ciągłego monitorowania.

Google Maps Platform osiągnęło dzięki platformie zewnętrznej certyfikat (CSA STAR, poziom 1: atest)

Google jest także sponsorem CSA i członkiem organizacji International CSA Rada Standardizacji (ISC) i założyciel CSA Centrum doskonałości związane z RODO.

ISO 22301:2019

Międzynarodowa Organizacja Normalizacyjna (International Organization for Standardization, ISO) to niezależna, międzynarodowa organizacja pozarządowa z członkostwem międzynarodowym 163 krajowe organy nadzorujące.

ISO 22301:2019 to międzynarodowy standard biznesowy zarządzania ciągłością, które ma pomóc organizacjom w i ulepszać system zarządzania, aby zapobiegać atakom, przygotowywać się na nie, reagować na nie i rozwijać problemy przed zakłóceniami w działaniu.

Centra danych, które obsługują usługi Google Maps Platform, mają certyfikat Zgodność z normami ISO 22301:2019 i BS EN ISO 22301:2019 po przejściu audytu niezależnego audytora zewnętrznego. Przestrzeganie tych standardów dotyczących centra danych pokazują, że lokalizacje, w których są hostowane produkty i usługi Google, spełniają wymagania zdefiniowane w normach ISO 22301:2019 i BS EN ISO 22301:2019.

ISO 50001

Międzynarodowa Organizacja Normalizacyjna (International Organization for Standardization, ISO) to niezależna, międzynarodowa organizacja pozarządowa z członkostwem międzynarodowym 163 krajowe organy nadzorujące.

ISO 50001:2018 to międzynarodowy standard energetyczny które ma pomóc organizacjom wdrażać, utrzymywać usprawnić system zarządzania, aby włączyć zarządzanie energią w ich ogólne na rzecz poprawy jakości i zarządzania środowiskowego.

Centra danych Google dla Europy, Bliskiego Wschodu i Afryki używane przez Google Maps Platform mają certyfikat ISO zgodności z normą 50001:2018 po przejściu audytu przeprowadzonego przez niezależną firmę zewnętrzną audytorem. Zgodność centrów danych Google z normą ISO 50001:2018 lokalizacje, w których są hostowane produkty i usługi Google, spełniają wymagania: według normy ISO 50001:2018.

Poniżej znajdziesz globalne zobowiązania umowne.

Zobowiązania umowne europejskie

W tej sekcji opisano zobowiązania umowne obowiązujące w Europie.

Ogólne rozporządzenie o ochronie danych obowiązujące w Unii Europejskiej (RODO)

Ogólne rozporządzenie o ochronie danych (RODO) to przepisy dotyczące prywatności, które zastąpiły ustawę 95/46/WE dyrektywa w sprawie ochrony danych z 24 października 1995 r. z 25 maja, 2018 r. RODO określa konkretne wymagania dla firm i organizacji, które mają siedzibę w Europie lub obsługują użytkowników w Europie. Google Maps Platform, wspiera inicjatywy, które traktują priorytetowo i zwiększają bezpieczeństwo oraz prywatność danych osobowych klientów i chcesz, by jako klient Google Maps Platform, aby korzystać z usług Google w świetle wymagań RODO. Jeśli współpracy z Google Maps Platform, zapewni to zgodność z RODO działania podejmowane przez:

  1. Zobowiązanie umów Google do zapewnienia zgodności z RODO w odniesieniu do: Przetwarzanie danych osobowych przez Google we wszystkich usługach Google Maps Platform
  2. Udostępniamy dokumentację i zasoby, które pomogą Ci chronić prywatność ocena usług Google
  3. Dalsze rozwijanie możliwości Google w zestawieniu z regulacjami zmiany

Decyzje UE, Europejski Obszar Gospodarczy, Szwajcarii i Wielkiej Brytanii stwierdzające odpowiedni stopień ochrony

Zgodnie z Polityką prywatności Google Europejski Obszar Gospodarczy Komisja ustaliła, że niektóre kraje spoza Europy Obszar Gospodarczy (EOG) należycie chronić dane osobowe, co oznacza, dane mogą być przesyłane z Unii Europejskiej (UE) i Norwegii, Liechtensteinu, i Islandii. Wielka Brytania i Szwajcaria przyjęły podobne podejście mechanizmów związanych z odpowiednim stopniem ochrony.

Standardowe klauzule umowne UE

Komisja Europejska opublikowała nowe SKU, ochrony danych w Europie wraz z SKU. Google stosuje Standardowe klauzule umowne do swoich umów dotyczących Google Maps Platform w celu ochrony danych i spełnienia wymogom europejskim przepisów dotyczących prywatności. Podobnie jak w przypadku poprzednich SKU, te mogą umożliwiać przesyłanie danych w sposób zgodny z prawem.

Brytyjska ustawa o ochronie danych

Ustawa o ochronie danych osobowych z 2018 roku wprowadza w Wielkiej Brytanii Ogólnego rozporządzenia o ochronie danych (RODO). „RODO (Wielka Brytania)” oznacza RODO (UE) jako zmienionej i włączonej do prawa brytyjskiego na mocy prawa Unii Europejskiej (wystąpienie odpowiedzialności) Ustawy z 2018 r. i obowiązujące przepisy dodatkowe wydane na mocy tej ustawy.

Szwajcarska federalna ustawa o ochronie danych (FDPA)

Szwajcarska ustawa o ochronie danych, znana jako federalny urząd federalny Ustawa o ochronie danych (FADP) to przepisy dotyczące ochrony danych, które mają na celu chronić ochrony prywatności i praw podstawowych podczas przetwarzania ich danych.

Zobowiązania umowne poza Europą

W tej sekcji opisano zobowiązania umowne poza Europą.

Lei Geral de Proteção de Dados (LGPD)

Brazylijska ustawa Lei Geral de Proteção de Dados (LGPD) zawiera dane ochrony prywatności, które reguluje przetwarzanie danych osobowych przez firmy organizacje z siedzibą w Brazylii lub świadczące usługi użytkownikom w Brazylii, w innych przypadkach. Ustawa LGPD została wprowadzona i oferuje takie zabezpieczenia:

  • Reguluje sposób, w jaki firmy i organizacje mogą gromadzić, wykorzystywać i obsługiwać dane osobowe
  • Uzupełnia lub zastępuje istniejące federalne przepisy dotyczące prywatności w sektorze, aby zwiększyć rozliczalność
  • Upoważnia firmy i organizacje do nakładania kar na nie wymagania
  • Umożliwia utworzenie organu ochrony danych
  • Nakłada zasady dotyczące przesyłania danych osobowych zebranych w Brazylii

Google oferuje usługi i rozwiązania, które można wykorzystać w ramach ustawy LGPD strategia zgodności:

  • Funkcje zabezpieczeń i prywatności, które pomagają zachować zgodność z ustawą LGPD ochrona danych osobowych i zarządzanie nimi
  • Usługi i infrastruktura stworzone z myślą o bezpieczeństwie przetwarzania danych oraz stosowanie odpowiednich procedur ochrony prywatności.
  • Nieustanny rozwój usług i możliwości Google w świetle regulacji zmiany w orientacji poziomej

Klienci Google Maps Platform muszą ocenić, jak przetwarzają dane osobowe i określić, czy mają zastosowanie wymagania LGPD. Google zaleca skonsultowanie się z prawnikiem, aby uzyskać wskazówki dotyczące ustawy LGPD określonych wymagań Twojej organizacji, ponieważ witryna nie nie stanowią porady prawnej.

Zobowiązania umowne stanowe USA

ustawa o prywatności danych osobowych i monitorowaniu online obowiązująca w Connecticut

Connecticut’s Act Concerning Data Privacy and Online Monitoring, Pub. ustawa z 2015 r. weszła w życie 1 stycznia, 2023 r. Więcej informacji znajdziesz w artykule Ochrona danych między Google a podmiotami występującymi w roli administratorów Warunki usługi, by dowiedzieć się więcej.

Kalifornijska ustawa o ochronie prywatności konsumentów (California Consumer Privacy Act, CCPA)

Kalifornijska ustawa o ochronie prywatności konsumentów (California Consumer Privacy Act, CCPA) (1, 2) to przepisy o ochronie danych, które zapewniają kalifornijskim konsumentom szereg sposobów ochrony prywatności zabezpieczeń, w tym prawa dostępu do „sprzedaży” i usuwania jej oraz rezygnacji z niej z swoje dane osobowe. Od 1 stycznia 2020 r. firmy, które: Mieszkańcy Kalifornii danych osobowych i osiągnąć określone progi (na przykład takich jak przychody czy wielkość przetwarzania danych). zobowiązań. Kalifornijska ustawa o prawie do prywatności (California Privacy Rights Act, CPRA) to przepisy dotyczące ochrony danych, zmienia i rozszerza ustawę CCPA. Ustawa wejdzie w życie 1 stycznia 2023 roku. Google dokłada wszelkich starań, aby pomagać klientom w wypełnianiu zobowiązań wynikających z tych przepisów, oferując wygodne narzędzia i zapewniając solidną ochronę prywatności zabezpieczeń i ochrony w usługach i umowach Google. Więcej informacji na ten temat znajdziesz o obowiązkach firmy zgodnie z ustawą CCPA stronie internetowej Prokuratury Generalnej w Kalifornii. Więcej informacji: Warunków współpracy w zakresie ochrony danych między Google a właścicielami kont usług pomiarowych występującymi w roli administratorów, znajdziesz więcej informacji.

Ustawa o ochronie prywatności obowiązująca w Kolorado (Colorado Privacy Act, CPA)

Colorado Privacy Act, Colo. Rev. Stat. § 6-1-1301 i nast. zaczęła obowiązywać 1 stycznia 2023 r. Ustawa chroni prywatność danych osobowych i dotyczy osób prawnych, które prowadzą działalność gospodarczą lub produkują produkty lub usługi, które są celowo kierowane do mieszkańców Kolorado i który:

  • kontrolować i przetwarzać dane osobowe co najmniej 100 tys. klientów na kalendarz; rok
  • czerpać przychody ze sprzedaży danych osobowych oraz kontrolować lub przetwarzać co najmniej 25 tys. konsumentów.

Więcej informacji znajdziesz w artykule Ochrona danych między Google a podmiotami występującymi w roli administratorów Warunki usługi, by dowiedzieć się więcej.

ustawa o ochronie prywatności konsumentów obowiązująca w Utah (Utah Consumer Privacy Act, UCPA).

Ustawa o ochronie prywatności konsumentów obowiązująca w Utah, Utah Code Ann. § 13-61-101 i kolejne zaczęła obowiązywać 1 stycznia 2023 r. UCPA obowiązuje sprzedaż danych osobowych i kierowanych reklam oraz obejmują sprzedaż: „wymiana danych osobowych w zamian za wynagrodzenie” przez na rzecz osoby trzeciej”.

Więcej informacji znajdziesz w artykule Ochrona danych między Google a podmiotami występującymi w roli administratorów Warunki usługi, by dowiedzieć się więcej.

ustawa o ochronie danych konsumentów obowiązująca w Wirginii (Virginia Consumer Data Protection Act, VCDPA)

Ustawa o ochronie danych konsumentów z Wirginii („VCDPA”) weszła w życie obowiązujące od 1 stycznia 2023 r. Ta ustawa zapewnia mieszkańcom Wirginii określone prawa danych osobowych zbieranych przez firmy na warunkach określonych w przepisach prawa.

Więcej informacji można znaleźć w artykule Ochrona danych między Google a właścicielami kont usług pomiarowych występującymi w roli administratorów Warunki usługi, by dowiedzieć się więcej.

Podsumowanie

Bezpieczeństwo jest podstawowym kryterium projektowania całej infrastruktury Google, usług i operacji. Skala działalności firmy Google i jej współpraca ze społecznością zajmującą się badaniami bezpieczeństwa pozwala nam usuwać luki w zabezpieczeniach szybko i często, by całkowicie im zapobiec. Google ma własne usługi, takie jak jak wyszukiwarka, YouTube i Gmail, w tej samej infrastrukturze dostępnych dla klientów, którzy korzystają bezpośrednio z ustawień bezpieczeństwa Google i metod ochrony danych.

Google uważa, że może zapewnić ochronę, jaką niewiele chmur publicznych dostawców technologii reklamowych czy też zespoły IT w prywatnych przedsiębiorstwach. Ponieważ ochrona danych jest stanowią podstawę działalności Google, możemy inwestować znaczne środki w bezpieczeństwo, i zasobami specjalistycznymi w skali, na którą nie mają dostępu inni. Inwestycja Google pozwala skupić się na firmie i innowacjach. Będziemy nadal inwestować na naszej platformie, aby umożliwić Ci korzystanie z usług Google w bezpiecznym w przejrzysty sposób.