Este conteúdo foi atualizado em fevereiro de 2024 e representa a situação no momento em que foi escrito. Os sistemas e as políticas de segurança do Google podem mudar no futuro, à medida que a proteção dos clientes é aprimorada.

Introdução

A Plataforma Google Maps fornece APIs e SDKs para que clientes e parceiros desenvolvam aplicativos da Web e para dispositivos móveis usando a tecnologia geoespacial do Google. Essa plataforma oferece mais de 50 APIs e SDKs para clientes de vários setores. Como um desses clientes, muitas vezes você precisa atender a requisitos regulatórios, de segurança, de uso de dados ao desenvolver suas soluções. Isso inclui garantir que sua tecnologia de terceiros esteja de acordo com esses mesmos requisitos.

Este documento contém um resumo geral dos controles de pessoas, processos e tecnologia oferecidos pela Plataforma Google Maps, além de descrever os benefícios de usar essa plataforma. Primeiro, é importante entender os dois principais pilares tecnológicos da Plataforma Google Maps:

• Tecnologias, data centers e infraestrutura fornecidos pelo Google. A Plataforma Google Maps opera totalmente com data centers e infraestrutura fornecidos pelo Google. Então, aplica auditorias internas e de terceiros aos controles de segurança herdados do Google para validar que ela implementa corretamente os controles de segurança, operacionais e técnicos descritos neste documento.
• Tecnologia da Plataforma Google Maps. Além dos controles herdados, a Plataforma Google Maps fornece controles adicionais de segurança, privacidade, dados e operacionais para os conjuntos de produtos do Google.

Este documento resume os processos e controles de segurança dessa plataforma, agrupados da seguinte forma:

• Foco na segurança e privacidade em todos os níveis da organização do Google
• Segurança de hardware e infraestrutura técnica
• Segurança operacional
• Principais controles de segurança
• Segurança do lado do cliente (para a Web e dispositivos móveis)
• Certificações e auditorias atuais na Plataforma Google Maps
• Estruturas jurídicas aceitas no mundo todo

Os clientes em potencial podem contatar o representante de vendas do Google atribuído a eles se quiserem mais informações.

A organização do Google voltada para a segurança e a privacidade

A segurança é a base da estrutura organizacional, da cultura, das prioridades de treinamento e dos processos de contratação em todo o Google. Ela molda nossos data centers e a tecnologia que eles fornecem. A segurança é parte fundamental das operações diárias do Google, incluindo o planejamento de desastres e o gerenciamento de ameaças. O Google prioriza a segurança na forma como lida com dados, controles de conta, auditorias de conformidade e certificações do setor. Nós projetamos nossos serviços para serem mais seguros do que muitas alternativas baseadas no local que dependem de vários fornecedores e diversas plataformas, e em que a segurança costuma ser um processo desconectado. Você se beneficia dos programas e controles de segurança integrados do Google quando utiliza os produtos da Plataforma Google Maps na sua empresa. Em suas operações, que atendem a mais de um bilhão de usuários em todo o mundo, essa plataforma faz da segurança uma prioridade.

Juntos, o Google e a Plataforma Google Maps oferecem várias camadas de segurança em toda a empresa e organização:

• Equipe de segurança dedicada do Google
• Equipe de segurança de produtos da Plataforma Google Maps
• Participação ativa na comunidade global de pesquisa sobre segurança
• Equipe de privacidade da Plataforma Google Maps
• Treinamento de segurança e privacidade para funcionários do Google
• Especialistas em auditoria interna e compliance

Equipes de segurança dedicadas no Google

O Google tem equipes de segurança dedicadas em toda a empresa e nas áreas de produtos.

As equipes de segurança globais do Google trabalham em várias áreas de produtos na empresa, incluindo a Plataforma Google Maps. Elas incluem alguns dos maiores especialistas do mundo em segurança da informação, de aplicativos, de rede e criptografia. As atividades dessas equipes incluem:

• Desenvolver, revisar e implementar processos de segurança. Isso envolve revisar os planos de segurança das redes do Google e dar consultoria relacionada aos projetos às equipes de produtos e engenharia em todo o Google. Por exemplo, os especialistas em criptografia analisam os lançamentos de produtos que incluem criptografia como parte da oferta.
• Gerenciar ativamente as ameaças à segurança. Usando ferramentas comerciais e personalizadas, a equipe monitora ameaças contínuas e atividades suspeitas nas redes do Google.
• Realizar auditorias e avaliações de rotina, que podem envolver a contratação de especialistas externos para realizar revisões de segurança.
• Publicar artigos sobre segurança para a comunidade em geral. O Google tem um blog sobre segurança e uma série do YouTube que destacam várias das equipes de segurança (links em inglês) específicas e suas realizações.

A equipe de segurança da Plataforma Google Maps colabora com a equipe de segurança global do Google, trabalhando mais de perto com o desenvolvimento de produtos e o SRE para supervisionar a implementação da segurança. Essa equipe é responsável especificamente pelo seguinte:

• O teste de recuperação de desastres (DiRT, na sigla em inglês; link em inglês) da Plataforma Google Maps, que avalia a continuidade dos negócios e o failover dos produtos dessa plataforma, é executado na infraestrutura altamente disponível do Google.
• Teste de penetração (em inglês) de terceiros. Os produtos da Plataforma Google Maps são submetidos a testes de penetração pelo menos uma vez por ano para aprimorar a postura de segurança do Google e fornecer a você uma garantia independente.

Colaboração com a comunidade de pesquisa sobre segurança

Há muito tempo, o Google mantém um relacionamento estreito com a comunidade de pesquisa sobre segurança e valoriza muito sua ajuda na identificação de possíveis vulnerabilidades na Plataforma Google Maps e em outros produtos.

• Colaboração da comunidade on-line pelo Project Zero (em inglês). O Project Zero é composto por uma equipe de pesquisadores de segurança dedicada à pesquisa de vulnerabilidades de dia zero. Alguns exemplos dessa pesquisa são a descoberta de exploits Spectre, Meltdown, POODLE SSL 3.0 e das vulnerabilidades do pacote de criptografia (links em inglês).
• Pesquisa acadêmica: os engenheiros e pesquisadores de segurança do Google participam ativamente na comunidade acadêmica de segurança e na comunidade de pesquisa sobre privacidade, além de publicar artigos nelas. Artigos relacionados à segurança podem ser encontrados no site do Google Research (em inglês). As equipes de segurança do Google publicaram um relato detalhado de suas práticas e experiência no livro Building Secure and Reliable Systems (Como criar sistemas seguros e confiáveis, em tradução livre; link em inglês).
• Programa de recompensa para descobertas de vulnerabilidades: a Plataforma Google Maps participa do Programa de recompensa para descobertas de vulnerabilidades (em inglês), que oferece dezenas de milhares de dólares como incentivo a quem descobrir uma vulnerabilidade confirmada. O programa incentiva os pesquisadores a relatar problemas de design e implementação que possam colocar em risco os dados do cliente. Em 2022, o Google concedeu aos pesquisadores mais de US$ 11,9 milhões em prêmios. Para mais informações sobre esse programa, incluindo os prêmios concedidos pelo Google, consulte a seção "Key Stats" (Principais estatísticas) no site Bug Hunters (em inglês). Para mais informações sobre como relatar problemas de segurança, consulte How Google handles security vulnerabilities (Como o Google lida com vulnerabilidades de segurança, em tradução livre; link em inglês).
• Pesquisa de segurança de código aberto: os engenheiros do Google também organizam e participam de projetos de código aberto (em inglês) e conferências acadêmicas. O Programa de recompensa para descobertas de vulnerabilidades também oferece subsídios para projetos de código aberto (em inglês) para alcançar melhorias nesse campo.
• Criptografia: os criptógrafos renomados do Google trabalharam para proteger as conexões TLS contra ataques de computadores quânticos e desenvolveram o algoritmo combinado de curva elíptica e pós-quântico (CECPQ2; link em inglês). Além disso, eles desenvolveram o Tink (em inglês), uma biblioteca de código aberto com APIs criptográficas. O Google também usa o Tink nos produtos e serviços internos.

Equipe de privacidade dedicada da Plataforma Google Maps

A equipe de privacidade dedicada trabalha separadamente das organizações de segurança e desenvolvimento de produtos. Ele apoia iniciativas internas para melhorar todos os aspectos da privacidade: processos críticos, ferramentas internas, infraestrutura e desenvolvimento de produtos. Essa equipe faz o seguinte:

• Garante que os lançamentos de produtos incorporem padrões sólidos de privacidade com relação à coleta de dados. Ela participa de todos os lançamentos de produtos do Google fazendo a documentação do projeto e as revisões de código.
• Após o lançamento do produto, a equipe de privacidade supervisiona os processos automatizados que verificam continuamente a coleta e o uso adequados dos dados.
• Faz pesquisas sobre práticas recomendadas de privacidade.

Treinamento de segurança e privacidade para funcionários do Google

A segurança e a privacidade são áreas em constante mudança, e o Google reconhece que o engajamento dedicado dos funcionários é fundamental para aumentar a conscientização. Todos os funcionários do Google passam por um treinamento em segurança e privacidade como parte do processo de orientação, além de receberem treinamento contínuo e obrigatório nessas áreas ao longo de suas carreiras no Google.

• Durante a orientação: os novos funcionários aceitam o código de conduta (em inglês) do Google, que destaca nosso compromisso em manter as informações dos clientes seguras e protegidas.
• Treinamento especializado por função: algumas funções exigem treinamento em aspectos específicos de segurança. Por exemplo, a equipe de segurança da informação instrui novos engenheiros sobre práticas de programação seguras, design de produtos e ferramentas de teste de vulnerabilidade automatizadas. Os engenheiros participam de reuniões de segurança regulares e recebem newsletters que tratam de novas ameaças, padrões de ataque, técnicas de mitigação e muito mais.
• Eventos regulares: o Google, com frequência, realiza conferências internas abertas a todos os funcionários para aumentar a conscientização e promover a inovação em segurança e privacidade de dados. Além disso, também organiza eventos em escritórios de todo o mundo para aumentar a conscientização sobre segurança e privacidade no desenvolvimento de software, tratamento de dados e aplicação de políticas.

Especialistas em auditoria interna e compliance

A Plataforma Google Maps tem uma equipe de auditoria interna dedicada que analisa a conformidade dos produtos do Google com as leis e regulamentações de segurança em todo o mundo. À medida que normas de auditoria são atualizadas e criadas, a equipe de auditoria interna determina quais controles, processos e sistemas são necessários para ajudar a atender às exigências. Essa equipe ajuda em auditorias e avaliações independentes feitas por terceiros. Para mais informações, confira a seção Certificações de segurança e auditorias deste documento.

Plataforma desenvolvida com base na segurança

O Google projeta seus servidores, sistemas operacionais reservados e data centers geograficamente distribuídos usando o princípio da defesa em profundidade. A Plataforma Google Maps é executada em uma infraestrutura técnica projetada e desenvolvida para operar com segurança. Criamos uma infraestrutura de TI que é mais segura e fácil de gerenciar do que as soluções locais ou hospedadas mais tradicionais.

Data centers de última geração

O foco do Google em segurança e proteção de dados está entre nossos principais critérios de design. A segurança física nos data centers do Google é um modelo de segurança em camadas. A segurança física inclui proteções como cartões de acesso eletrônico personalizados, alarmes, barreiras de acesso a veículos, isolamento de perímetro, detectores de metais e biometria. Além disso, para detectar invasores, o Google usa medidas de segurança como detecção de intrusões por feixe de laser e monitoramento 24 horas com câmeras internas e externas de alta resolução. Registros de acesso e de atividades, bem como as filmagens das câmeras, ficam à disposição em caso de incidente. Profissionais de segurança experientes, que passaram por investigações de histórico para contratação e treinamentos rigorosos, patrulham regularmente os data centers do Google. À medida que você se aproxima do andar do data center, as medidas de segurança aumentam. O acesso ao andar do data center só é possível por um corredor de segurança equipado com um controle de acesso multifatorial por crachás e biometria. Somente funcionários aprovados com cargos específicos podem entrar. Menos de 1% dos funcionários do Google têm acesso a algum dos data centers da empresa.

O Google opera data centers globalmente. Para maximizar a velocidade e a confiabilidade dos nossos serviços, nossa infraestrutura geralmente é configurada para disponibilizar o tráfego pelo data center mais próximo de onde ele se origina. Portanto, a localização exata dos dados da Plataforma Google Maps pode variar dependendo da origem desse tráfego, e esses dados podem ser tratados por servidores localizados no EEE e no Reino Unido ou transferidos para outros países. As soluções dos clientes do Google em que os produtos da Plataforma Google Maps são implementados geralmente estão disponíveis em todo o mundo e costumam atrair um público global. A infraestrutura técnica que sustenta esses produtos está implantada em vários pontos do globo para reduzir a latência e garantir a redundância dos sistemas. A Plataforma Google Maps usa um subconjunto da rede global de data centers do Google listado abaixo para referência:

América do Norte e América do Sul

• Estados Unidos
• Chile

Europa

• Bélgica
• Finlândia
• Holanda

Ásia

• Taiwan
• Singapura

A energia dos data centers do Google

Para manter tudo funcionando 24 horas por dia, 7 dias por semana e fornecer serviços ininterruptos, os data centers do Google têm controles ambientais e sistemas de energia redundantes. Todo componente crítico conta com fontes de energia principal e alternativa, ambas de mesma potência. Os geradores de backup podem fornecer energia elétrica de emergência suficiente para executar cada data center com capacidade total. Os sistemas de refrigeração mantêm uma temperatura constante para servidores e outros hardwares, o que reduz o risco de interrupções do serviço e minimiza o impacto ambiental. Os equipamentos de detecção e combate a incêndio ajudam a evitar danos ao hardware. Os detectores de calor, de incêndio e de fumaça acionam alarmes audíveis e visíveis em consoles de operações de segurança e em locais de monitoramento remoto.

O Google é a primeira grande empresa de serviços de Internet a conseguir certificação externa de seus altos padrões de gerenciamento ambiental, de energia e de segurança no local de trabalho em todos os data centers da empresa. Por exemplo, para demonstrar seu compromisso com as práticas de gerenciamento de energia, o Google tirou certificações voluntárias ISO 50001 (em inglês) para seus data centers na Europa.

Hardware e software de servidor personalizados

Os data centers do Google têm servidores e equipamentos de rede criados para fins específicos, alguns projetados pelo Google. Embora os servidores do Google sejam personalizados para maximizar a performance, o resfriamento e a eficiência energética, eles também são projetados para evitar tentativas de invasão física. Ao contrário da maioria dos hardwares disponíveis no mercado, os servidores do Google não incluem componentes desnecessários, como placas de vídeo, chipsets ou conectores de periféricos, que podem introduzir vulnerabilidades. O Google avalia os fornecedores e escolhe os componentes com cuidado, trabalhando com eles para auditar e validar as propriedades de segurança que cada componente oferece. Nós criamos chips personalizados, como o Titan (em inglês), que nos ajudam a identificar e autenticar com segurança dispositivos legítimos do Google no nível do hardware, incluindo o código que esses dispositivos usam para inicializar.

Os recursos de servidor são alocados dinamicamente. Isso nos dá flexibilidade para crescer e ajuda na adaptação rápida e eficiente à demanda do cliente, com adição ou realização de recursos. Esse ambiente homogêneo é mantido por software próprio que monitora os sistemas continuamente para detectar modificações binárias. Os mecanismos automatizados e de autocorreção do Google foram projetados para nos permitir monitorar e corrigir eventos desestabilizadores, receber notificações sobre incidentes e atrasar possíveis comprometimentos na rede.

Segurança na implementação de serviços

Os serviços do Google são os aplicativos em formato binário que os desenvolvedores do Google escrevem e executam na infraestrutura do Google. Para processar toda a carga de trabalho necessária, milhares de máquinas podem executar os binários do mesmo serviço. Um serviço de orquestração de cluster, chamado Borg (em inglês), controla os serviços que são executados diretamente na infraestrutura.

A infraestrutura não pressupõe confiança entre os serviços em execução, já que usa o modelo de segurança de confiança zero. Nesse modelo, nenhum dispositivo ou usuário é confiável, por padrão, dentro ou fora da rede.

Como a infraestrutura foi projetada para ser multilocatária, os dados dos clientes do Google (consumidores, empresas e até mesmo os dados do próprio Google) são distribuídos pela infraestrutura compartilhada. Essa infraestrutura é composta por dezenas de milhares de máquinas homogêneas e não separa os dados dos clientes em uma única máquina ou conjunto de máquinas.

Controle e descarte de hardware

O Google controla cuidadosamente a localização e o status de todos os equipamentos nos seus data centers usando códigos de barras e etiquetas de patrimônio. A empresa usa detectores de metal e vigilância por vídeo para ajudar a garantir que nenhum equipamento saia do andar do data center sem autorização. Se um componente é reprovado em um teste de performance em qualquer momento do ciclo de vida, ele é removido do inventário e deixa de ser usado.

Os dispositivos de armazenamento do Google, incluindo discos rígidos, unidades de estado sólido (SSDs) e módulos de memória em linha dupla (DIMM) não voláteis, usam tecnologias como criptografia de disco completo (FDE) e bloqueio de unidade para proteger os dados em repouso. Quando um dispositivo de armazenamento é desativado, as pessoas autorizadas verificam se o disco foi apagado gravando zeros na unidade. Elas também executam um processo de verificação de várias etapas para garantir que a unidade não contenha dados. Se uma unidade não puder ser apagada por algum motivo, ela será destruída fisicamente. A destruição física é feita com um triturador, quebrando a unidade em pedaços pequenos, que depois são reciclados em uma instalação segura. Cada data center segue uma política de descarte rígida, e todas as divergências são resolvidas de imediato.

Benefícios de segurança da rede global do Google

Em outras soluções geoespaciais na nuvem e no local, os dados trafegam entre dispositivos pela Internet pública em caminhos conhecidos como saltos. O número de saltos depende da rota ideal entre o ISP do cliente e o data center. Cada salto extra representa uma nova chance de os dados serem atacados ou interceptados. Como a rede global do Google está conectada à maioria dos ISPs do mundo, ela limita os saltos na Internet pública e, portanto, ajuda a evitar que pessoas mal-intencionadas tenham acesso a esses dados.

A rede do Google usa várias camadas de defesa (em profundidade) para se proteger de ataques externos. Somente serviços e protocolos autorizados que atendem aos requisitos de segurança do Google têm permissão para percorrê-la. Qualquer outra coisa é automaticamente descartada. Para aplicar a segregação da rede, o Google usa firewalls e listas de controle de acesso. Todo o tráfego é roteado pelos servidores do Google Front End (GFE) para ajudar a detectar e interromper solicitações maliciosas e ataques distribuídos de negação de serviço (DDoS). Os registros são examinados regularmente para identificar possíveis explorações de erros de programação. O acesso a dispositivos em rede é restrito a funcionários autorizados.

A infraestrutura global do Google nos permite executar o Project Shield, que oferece proteção gratuita e ilimitada a sites vulneráveis a ataques DDoS usados para censurar informações. O Project Shield está disponível para sites de notícias, de direitos humanos e de monitoramento eleitoral.

Soluções de baixa latência e alta disponibilidade

A rede de dados de IP do Google é composta por sua própria fibra (disponível publicamente) e cabos submarinos. Ela nos permite prestar serviços de baixa latência e altamente disponíveis em todo o mundo.

O Google projeta os componentes de sua plataforma para serem altamente redundantes. Essa redundância se aplica ao design do servidor do Google, à forma como o Google armazena os dados, à conectividade com a rede e a Internet e aos próprios serviços de software. A "redundância total" inclui o tratamento de exceções e cria uma solução que não depende de um único servidor, data center ou conexão de rede.

Os data centers do Google são distribuídos geograficamente para minimizar os efeitos de interrupções regionais em produtos globais, como quando ocorrem desastres naturais ou interrupções locais. Se ocorrer uma falha de hardware, software ou rede, os serviços de plataforma e os planos de controle serão transferidos de maneira automática e rápida de uma instalação para outra, de modo que os serviços da plataforma possam continuar sem interrupção.

A infraestrutura altamente redundante do Google também ajuda a proteger sua empresa contra a perda de dados. Os sistemas do Google são projetados para minimizar o tempo de inatividade ou as janelas de manutenção quando precisamos fazer reparos ou atualizar nossa plataforma.

Segurança operacional

A segurança é um elemento essencial nas operações do Google, e não algo secundário. Esta seção descreve os programas de gerenciamento de vulnerabilidades, prevenção de malware, monitoramento de segurança e gestão de incidentes do Google.

Gerenciamento de vulnerabilidades

O processo interno de gerenciamento de vulnerabilidades do Google verifica ativamente as ameaças à segurança em todas as pilhas de tecnologia. Esse processo usa uma combinação de ferramentas internas comerciais, de código aberto e criadas para fins específicos, além de incluir o seguinte:

• Processos de controle de qualidade
• Avaliações de segurança de software
• Intensos esforços de penetração automatizada e manual, incluindo exercícios extensos da equipe vermelha
• Testes de penetração externos (em inglês) recorrentes em produtos da Plataforma Google Maps
• Auditorias externas recorrentes

A área de gerenciamento de vulnerabilidades e os parceiros dela são responsáveis por detectar e acompanhar vulnerabilidades. Como a segurança só melhora depois da resolução total dos problemas, os pipelines de automação reavaliam continuamente o estado de uma vulnerabilidade, verificam os patches e sinalizam a resolução incorreta ou parcial.

Monitoramento de segurança

O programa de monitoramento de segurança do Google se concentra em informações coletadas do tráfego da rede interna, de ações dos funcionários nos sistemas e do conhecimento externo de vulnerabilidades. Um princípio básico do Google é agregar e armazenar todos os dados de telemetria de segurança em um local para análise unificada.

Em muitos pontos da rede global do Google, o tráfego interno é inspecionado quanto a comportamentos suspeitos, como a presença de tráfego que possa indicar conexões com botnets. O Google usa uma combinação de ferramentas comerciais e de código aberto para capturar e processar o tráfego de modo a possibilitar essa análise. Um sistema próprio de correlação criado com base na tecnologia do Google também dá suporte a essa análise. O Google complementa a análise de rede examinando os registros do sistema para identificar comportamentos incomuns, como tentativas de acessar dados do cliente.

O Grupo de análise de ameaças (em inglês) do Google monitora as pessoas mal-intencionadas e a evolução das táticas e técnicas delas. Os engenheiros de segurança analisam os relatórios recebidos e monitoram postagens em blogs, wikis e listas de e-mails públicas. A análise automatizada da rede e dos registros do sistema ajuda a determinar quando pode existir uma ameaça desconhecida. Se os processos automáticos detectam um problema, ele é encaminhado à equipe de segurança do Google.

Detecção de intrusões

O Google usa pipelines sofisticados de processamento de dados para integrar sinais baseados em host em dispositivos individuais, sinais baseados em rede de vários pontos de monitoramento na infraestrutura e sinais de serviços de infraestrutura. Regras e inteligência de máquina criadas com base nesses pipelines dão avisos de possíveis incidentes aos engenheiros de segurança operacional. As equipes de investigação e resposta a incidentes do Google fazem a triagem, investigam e respondem a esses possíveis incidentes 24 horas por dia, 365 dias por ano. O Google realiza exercícios com a equipe vermelha, além de testes de penetração externos, para medir e melhorar a eficácia dos nossos mecanismos de detecção e resposta.

Gestão de incidentes

O Google tem um rigoroso processo de gestão de incidentes para eventos de segurança que possam afetar a confidencialidade, a integridade ou a disponibilidade de sistemas ou dados. Nosso programa de gestão de incidentes de segurança é estruturado de acordo com a orientação do NIST para tratamento de incidentes (NIST SP 800-61; em inglês). O Google dá aos principais membros da equipe treinamento em análise forense e manuseio de evidências na preparação para um evento, incluindo o uso de ferramentas próprias e de terceiros.

O Google testa planos de resposta a incidentes em áreas importantes. Esses testes consideram vários cenários, incluindo ameaças de pessoas com informações privilegiadas e vulnerabilidades de software. Para ajudar a garantir uma solução rápida em casos de incidentes de segurança, a equipe de segurança do Google está disponível 24 horas para todos os funcionários.

Práticas de desenvolvimento de software

O Google usa proteções de controle de origem e revisões feitas por duas pessoas para limitar proativamente a introdução de vulnerabilidades. Também fornecemos bibliotecas que impedem que os desenvolvedores introduzam determinadas classes de bugs de segurança. Temos, por exemplo, bibliotecas e estruturas projetadas para eliminar vulnerabilidades de XSS em SDKs. O Google também tem ferramentas automatizadas para detectar bugs de segurança, como fuzzers, ferramentas de análise estática e scanners de segurança da Web.

Proteções do código-fonte

O código-fonte do Google é armazenado em repositórios com integridade e governança de código-fonte incorporadas, o que possibilita a auditoria de versões atuais e anteriores do serviço. A infraestrutura exige que os binários de um serviço sejam criados a partir de um código-fonte específico, depois de ser revisado, verificado e testado. A Autorização binária para o Borg (BAB) é uma verificação interna de aplicação que ocorre quando um serviço é implantado. A BAB faz o seguinte:

• Garante que a configuração e o software de produção implantados no Google sejam revisados e autorizados, especialmente quando esse código pode acessar os dados do usuário
• Garante que as implementações de código e configuração atendam a determinados padrões mínimos
• Limita a capacidade de alguém (dentro ou fora do Google) fazer modificações maliciosas no código-fonte, além de fornecer uma trilha forense de um serviço de volta à sua origem

Reduzir ameaças de pessoas com informações privilegiadas

O Google limita e monitora ativamente as atividades dos funcionários que receberam acesso administrativo à infraestrutura. Trabalhamos continuamente para eliminar a necessidade de acesso privilegiado para tarefas específicas. Para isso, usamos a automação, que pode realizar as mesmas tarefas de forma segura e controlada. Por exemplo, o Google exige aprovação de duas pessoas para algumas ações e usa APIs limitadas que permitem fazer depuração sem expor informações sensíveis.

O acesso dos funcionários do Google às informações do usuário final é registrado por hooks de infraestrutura de baixo nível. Nossa equipe de segurança monitora os padrões de acesso e investiga eventos incomuns.

Teste de recuperação de desastres – DiRT

A Plataforma Google Maps realiza eventos anuais de teste de recuperação de desastres (DiRT) em toda a empresa, que duram vários dias, para garantir que os serviços e as operações comerciais internas da plataforma continuem funcionando durante um desastre. O DiRT foi desenvolvido para encontrar vulnerabilidades em sistemas críticos, causando falhas intencionalmente, e para corrigir esses problemas de forma descontrolada antes que as falhas realmente ocorram. O DiRT testa a robustez técnica do Google, simulando falhas em sistemas ativos, e testa a resiliência operacional da empresa, impedindo explicitamente a participação de funcionários críticos, líderes e especialistas da área. Todos os serviços geralmente disponíveis devem ser submetidos a testes DiRT contínuos e ativos e ser validados quanto à sua resiliência e disponibilidade.

Na preparação para um exercício de DiRT, o Google adota um conjunto de regras (em inglês) consistente sobre priorização,

protocolos de comunicação, expectativas de impacto e requisitos de design de teste, incluindo planos de reversão pré-analisados e aprovados. Os exercícios e cenários do DiRT não apenas forçam falhas técnicas no próprio serviço, mas também podem incluir falhas projetadas relacionadas a processo, disponibilidade de pessoal-chave, sistemas de suporte, comunicações e acesso físico. O DiRT valida que os processos em vigor realmente funcionam na prática. Ele também garante que as equipes sejam pré-treinadas e tenham experiência que possa ser utilizada durante falhas no serviço, interrupções e desastres reais, sejam naturais ou causados pelo homem.

Principais controles de segurança

Esta seção descreve os principais controles de segurança que a Plataforma Google Maps implementa para se proteger.

Criptografia

A criptografia (em inglês) adiciona uma camada de defesa para proteger os dados. Ela garante que, caso um invasor tenha acesso aos dados, ele não possa fazer a leitura sem as chaves de criptografia. Mesmo que a pessoa acesse os dados (por exemplo, invadindo a conexão com fio entre data centers ou roubando um dispositivo de armazenamento), ela não conseguirá entendê-los ou descriptografá-los.

A criptografia é um mecanismo importante para proteger a privacidade dos dados. Ela permite que os sistemas manipulem dados (por exemplo, para backup) e que os engenheiros deem suporte à infraestrutura do Google, sem que esses sistemas ou funcionários tenham acesso ao conteúdo.

Criptografia em repouso

A criptografia "em repouso" nesta seção significa a criptografia usada para proteger dados armazenados em um disco (incluindo unidades de estado sólido) ou mídia de backup. Os dados são criptografados no nível do armazenamento, geralmente usando AES256 (Padrão de criptografia avançada). Os dados são normalmente criptografados em vários níveis na pilha de armazenamento de produção do Google em data centers, inclusive no nível do hardware, sem exigir nenhuma ação dos clientes do Google. O uso de várias camadas de criptografia

adiciona proteção de dados redundante e nos permite escolher a abordagem ideal com base nos requisitos do aplicativo. O Google usa bibliotecas criptográficas comuns, que incorporam nosso módulo validado FIPS 140-2 (em inglês) para implementar a criptografia de forma consistente em todos os produtos. O uso consistente de bibliotecas comuns significa que apenas uma pequena equipe de criptógrafos precisa implementar e manter esse código rigorosamente controlado e revisado.

Proteção de dados em trânsito

Os dados podem ficar vulneráveis a acessos não autorizados quando trafegam pela Internet. A Plataforma Google Maps aplica criptografia forte em trânsito entre os dispositivos e as redes dos clientes e nossos servidores Google Front End (GFE). O Google recomenda que os clientes/desenvolvedores usem o pacote de criptografia mais forte compatível (TLS 1.3) ao criar aplicativos. Alguns clientes têm casos de uso que exigem pacotes de criptografia mais antigos por motivos de compatibilidade. Por isso, a Plataforma Google Maps também aceita esses padrões mais fracos, mas não recomenda usá-los quando for possível evitar. O Google Cloud também oferece outras opções de criptografia de transporte, incluindo o Cloud VPN para estabelecer redes privadas virtuais usando IPsec para produtos da Plataforma Google Maps.

Proteção de dados em trânsito entre os data centers do Google

O Application Layer Transport Security (ALTS) garante que a integridade do tráfego do Google seja protegida e criptografada conforme necessário. Depois que um protocolo de handshake entre o cliente e o servidor for concluído e eles negociarem as chaves secretas compartilhadas necessárias para criptografar e autenticar o tráfego de rede, o ALTS vai proteger o tráfego de RPC (chamada de procedimento remoto) ao forçar a integridade usando as chaves secretas compartilhadas que foram negociadas. O Google é compatível com vários protocolos para garantias de integridade, como o AES-GMAC (Padrão de criptografia avançada), com chaves de 128 bits. Sempre que o tráfego sai de um limite físico controlado pelo Google ou em nome do Google [por exemplo, em trânsito pela WAN (rede de longa distância) entre data centers], todos os protocolos são atualizados automaticamente para fornecer garantias de criptografia e integridade.

Disponibilidade do serviço da Plataforma Google Maps

Alguns serviços da Plataforma Google Maps não estão disponíveis em todas as regiões geográficas. Algumas interrupções de serviço são temporárias (devido a um evento inesperado, como uma falha na rede), mas outras limitações são permanentes devido a restrições impostas pelo governo. O Relatório de Transparência e o painel de status (em inglês) são duas ferramentas abrangentes do Google que mostram interrupções recentes e contínuas do tráfego para os serviços da Plataforma Google Maps. Nós fornecemos esses dados para ajudar você a analisar e entender nossas informações de tempo de atividade.

Segurança do lado do cliente

A segurança é uma responsabilidade compartilhada entre um provedor de serviços em nuvem e o cliente/parceiro que está implementando os produtos da Plataforma Google Maps. Esta seção detalha as responsabilidades do cliente/parceiro que devem ser consideradas ao arquitetar uma solução da Plataforma Google Maps.

APIs JavaScript

Sites seguros

A API Maps JavaScript publica um conjunto de recomendações (em inglês) que permitem a um cliente ajustar a Política de Segurança de Conteúdo (CSP) do próprio site para evitar vulnerabilidades como scripting em vários sites, roubo de cliques e ataques de injeção de dados. A API JavaScript é compatível com duas formas de CSP: CSP rigorosa com base em valores de uso único e CSP da lista de permissões.

JavaScript seguro

O JavaScript é inspecionado regularmente em busca de antipadrões de segurança conhecidos, e os problemas são corrigidos com rapidez. A API JavaScript é lançada toda semana ou sob demanda, caso surja algum problema.

Mobile Application Security (MAS)

O Mobile Application Security (MAS) é um esforço de crowd-sourcing aberto e ágil com base nas contribuições de dezenas de autores e revisores do mundo todo. O Mobile Application Security (MAS), projeto de referência da OWASP, oferece um padrão de segurança para apps móveis (OWASP MASVS) e um abrangente guia de testes (OWASP MASTG) que trata de processos, técnicas e ferramentas usados durante um teste de segurança de apps para dispositivos móveis. Além disso, disponibiliza um extenso conjunto de casos de teste que permite aos testadores fornecer resultados consistentes e completos.

• O OWASP Mobile Application Security Verification Standard (MASVS) (em inglês) oferece uma referência para testes de segurança completos e consistentes em iOS e Android.
• O OWASP Mobile Application Security Testing Guide (MASTG) (em inglês) é um manual abrangente que trata de processos, técnicas e ferramentas usados durante a análise de segurança de apps para dispositivos móveis, e inclui um extenso conjunto de casos de teste para verificar os requisitos listados no MASVS.
• A lista de verificação do Mobile Application Security da OWASP (em inglês) contém links que levam aos casos de teste do MASTG para cada controle do MASVS.
  • Testes de penetração/avaliações de segurança: garanta que você está cobrindo pelo menos a superfície de ataque padrão e comece a explorar.
  • Conformidade padrão: inclui as versões do MASVS e do MASTG e os IDs de commit.
  • Aprenda e pratique suas habilidades de segurança para dispositivos móveis.
  • Recompensa por indicação de bugs: analise em detalhes a superfície de ataque de dispositivos móveis.

Considere usar o MAS da OWASP para aprimorar seus recursos de segurança, teste e autenticação de aplicativos iOS e Android.

Android

Ao desenvolver aplicativos Android, outro recurso a ser considerado são as práticas recomendadas para apps da comunidade Android. As diretrizes de segurança contêm orientações sobre como garantir comunicações seguras, definir as permissões corretas, além de armazenamento seguro de dados, dependências de serviços e muito mais.

iOS

Ao desenvolver aplicativos iOS, considere o Introduction to Secure Coding Guide (Guia de introdução à codificação segura, em tradução livre; link em inglês) da Apple, que contém as práticas recomendadas para a plataforma iOS.

Coleta, uso e retenção de dados

A Plataforma Google Maps tem um compromisso com a transparência em relação à coleta, ao uso e à retenção de dados. Todos esses processos estão sujeitos aos Termos de Serviço da Plataforma Google Maps (em inglês), que incluem a Política de Privacidade do Google.

Coleta de dados

Para coletar dados, usamos os produtos da Plataforma Google Maps. Como cliente, você tem controle sobre as informações que transmite a essa plataforma por APIs e SDKs. Todas as solicitações da Plataforma Google Maps são registradas, incluindo códigos de status de resposta do produto.

Dados registrados na Plataforma Google Maps

A Plataforma Google Maps registra dados em todo o pacote de produtos. Os registros contêm várias entradas que normalmente incluem:

• O identificador da conta, que pode ser uma chave de API, um ID de cliente ou um número de projeto do Cloud, e é necessário para operações, suporte e faturamento.
• O endereço IP do servidor, serviço ou dispositivo solicitante. Para APIs, o endereço IP enviado à Plataforma Google Maps depende de como a invocação da API é implementada no seu aplicativo/solução. Para SDKs, o endereço IP do dispositivo solicitante é registrado.
• O URL de solicitação, que contém a API e os parâmetros que estão sendo passados para ela. Por exemplo, a API Geocoding (em inglês) requer dois parâmetros (endereço e chave de API), além de ter vários parâmetros opcionais. O URL de solicitação conteria todos os parâmetros passados para o serviço.
• A data e hora da solicitação.
• Os aplicativos da Web têm cabeçalhos de solicitação registrados, que normalmente incluem dados como tipo de navegador da Web e sistema operacional.
• Os aplicativos para dispositivos móveis que usam um SDK têm a biblioteca, o nome do app e a versão do Google Play registrados.

Acesso ao registro da Plataforma Google Maps

O acesso aos registros é altamente restrito e autorizado apenas para membros específicos da equipe que têm uma necessidade comercial legítima. Cada solicitação de acesso aos arquivos de registro é documentada para fins de auditoria, o que pode ser verificado nas auditorias ISO 27001 e SOC 2 de terceiros do Google.

Uso de dados

Os dados coletados pela Plataforma Google Maps são usados para as seguintes finalidades:

• Melhoria dos produtos e serviços do Google
• Fornecimento de suporte técnico ao cliente
• Monitoramento e alertas operacionais
• Manutenção da segurança da plataforma
• Planejamento de capacidade da plataforma

A Plataforma Google Maps nunca vende dados operacionais dos usuários a terceiros, conforme documentado na Política de Privacidade do Google.

Retenção de dados e anonimização

Os dados coletados nos registros da Plataforma Google Maps podem ser retidos por períodos variados com base nas necessidades comerciais, seguindo as políticas de anonimização e encobrimento de dados do Google. Os endereços IP são automaticamente anonimizados assim que possível (uma parte da string é excluída). Estatísticas de uso agregadas e anônimas derivadas dos registros podem ser retidas indefinidamente.

Certificações e auditorias ambientais, de segurança, do setor, de alta disponibilidade

ISO 27001

A Organização Internacional de Normalização (ISO) é uma entidade não governamental e independente que tem a associação de 163 órgãos de normalização nacionais. A família de normas ISO/IEC 27000 (em inglês) ajuda as organizações a proteger os próprios dados.

A ISO/IEC 27001 (em inglês) descreve e informa os requisitos de um sistema de gestão de segurança da informação (SGSI), especifica um conjunto de práticas recomendadas e detalha os controles de segurança que podem ajudar a gerenciar os riscos relacionados às informações.

A Plataforma Google Maps e a infraestrutura comum do Google têm certificado ISO/IEC 27001. Essa norma não exige controles de segurança da informação específicos, mas o Google usa a estrutura e a lista de verificação de controles definidos por ela para garantir um modelo abrangente e em constante aprimoramento para o gerenciamento da segurança.

Você pode baixar e analisar a certificação ISO 27001 da Plataforma Google Maps no Gerenciador de relatórios de compliance do Google.

SOC 2 Tipo II

O SOC 2 é um relatório com base nos critérios de serviços confiáveis (TSC, na sigla em inglês) criados pelo Conselho de Normas de Auditoria do Instituto Americano de Contadores Públicos Certificados (AICPA, na sigla em inglês; links em inglês). O objetivo desse relatório é avaliar os sistemas de informações de uma organização relevantes para segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. Os relatórios SOC 2 Tipo II (em inglês) são emitidos semestralmente por volta de junho e dezembro.

Você pode baixar e analisar o relatório de auditoria SOC 2 Tipo II da Plataforma Google Maps no Gerenciador de relatórios de compliance.

Cloud Security Alliance (CSA)

A Cloud Security Alliance (1, 2) é uma organização sem fins lucrativos cuja missão é "promover o uso de práticas recomendadas para fornecer garantia de segurança na computação em nuvem e disseminar informação sobre os usos da computação em nuvem para ajudar a proteger todas as outras formas de computação".

O Programa de Registro de Segurança, Confiança e Garantia da CSA (CSA STAR) foi desenvolvido para ajudar você a avaliar e escolher um provedor de serviços em nuvem seguindo três etapas: autoavaliação, auditoria de terceiros e monitoramento contínuo.

A Plataforma Google Maps conseguiu a certificação baseada em avaliação de terceiros (CSA STAR Nível 1: Atestado; link em inglês)

O Google também patrocina a CSA, que faz parte do International Standardization Council (ISC; link em inglês), e é uma das empresas fundadoras do GDPR Center of Excellence da CSA.

ISO 22301:2019

A Organização Internacional de Normalização (ISO) é uma entidade não governamental e independente que tem a associação de 163 órgãos de normalização nacionais.

A ISO 22301:2019 (em inglês) é uma norma internacional relacionada à gestão da continuidade de negócios, projetada para ajudar as organizações a implementar, manter e aprimorar um sistema de prevenção, preparação, resposta e recuperação em casos de interrupções.

Os data centers responsáveis pelos produtos da Plataforma Google Maps receberam os certificados ISO 22301:2019 e BS EN ISO 22301:2019 após passarem por uma auditoria independente. A conformidade com essas normas demonstra que esses data centers, responsáveis por hospedar produtos e serviços do Google, atendem aos requisitos da ISO 22301:2019 e da BS EN ISO 22301:2019.

ISO 50001

A Organização Internacional de Normalização (ISO) é uma entidade não governamental e independente que tem a associação de 163 órgãos de normalização nacionais.

A ISO 50001:2018 (em inglês) é uma norma internacional para o gerenciamento de energia desenvolvida a fim de ajudar as organizações a implementar, manter e melhorar um sistema que integra a gestão de energia aos seus esforços gerais para melhorar o gerenciamento da qualidade e do meio ambiente.

Os data centers do Google na EMEA usados pela Plataforma Google Maps receberam o certificado ISO 50001:2018 após passarem por uma auditoria independente. A conformidade com essa norma demonstra que esses data centers, responsáveis por hospedar produtos e serviços do Google, atendem aos requisitos da ISO 50001:2018.

Estruturas jurídicas aceitas

Os compromissos contratuais globais são dispostos a seguir.

Compromissos contratuais europeus

Esta seção descreve os compromissos contratuais europeus.

Regulamento geral de proteção de dados (GDPR) da União Europeia

O Regulamento geral de proteção de dados (GDPR) é a legislação de privacidade que, em 25 de maio de 2018, substituiu a Diretiva 95/46/EC sobre proteção de dados de 24 de outubro de 1995 (links em inglês). O GDPR estabelece requisitos específicos para empresas e organizações estabelecidas na Europa ou que atendem a usuários na Europa. A Plataforma Google Maps apoia iniciativas que priorizam e melhoram a segurança e a privacidade dos dados pessoais de clientes, e quer que você tenha confiança de usar os serviços do Google no que diz respeito aos requisitos do GDPR. Se você fizer parceria com a Plataforma Google Maps, vamos apoiar seus esforços de conformidade com o GDPR das seguintes formas:

1. Ao firmar compromisso em contrato para cumprir o GDPR em relação ao processamento de dados pessoais pelo Google em todos os serviços da Plataforma Google Maps
2. Ao fornecer a documentação e os recursos para ajudar você na avaliação da privacidade dos serviços do Google
3. Ao continuar desenvolvendo os recursos do Google à medida que o cenário regulatório muda

Decisões de adequação da UE, do EEE, da Suíça e do Reino Unido

Conforme documentado na Política de Privacidade do Google, a Comissão Europeia determinou que alguns países fora do Espaço Econômico Europeu (EEE) protegem as informações pessoais de forma adequada. Isso significa que os dados podem ser transferidos da União Europeia (UE), Noruega, Liechtenstein e Islândia para esses países. O Reino Unido e a Suíça adotaram mecanismos de adequação semelhantes.

Cláusulas contratuais padrão da União Europeia

A Comissão Europeia publicou novas SCCs da UE (em inglês) para ajudar a proteger os dados europeus aliadas às SCCs anteriores. O Google incorporou as SCCs nos contratos da Plataforma Google Maps para proteger os dados e atender às exigências da legislação europeia sobre privacidade. Como as SCCs anteriores, essas cláusulas podem ser usadas para facilitar transferências legais de dados.

Lei de Proteção de Dados do Reino Unido

A Lei de Proteção de Dados de 2018 (em inglês) é a implementação do Regulamento geral de proteção de dados (GDPR) no Reino Unido. "GDPR do Reino Unido" é o GDPR da UE conforme alterado e incorporado à legislação britânica, de acordo com os termos da Lei de Saída do Reino Unido da União Europeia de 2018, e a legislação secundária aplicável de acordo com essa lei.

Lei Federal de Proteção de Dados da Suíça (FDPA)

A Lei de Proteção de Dados da Suíça (em inglês), conhecida formalmente como Lei Federal de Proteção de Dados da Suíça (FADP, na sigla em inglês), é um regulamento de proteção de dados que visa proteger a privacidade e os direitos fundamentais das pessoas quando seus dados são processados.

Compromissos contratuais de fora da Europa

Esta seção descreve os compromissos contratuais de fora da Europa.

Lei Geral de Proteção de Dados (LGPD)

A Lei Geral de Proteção de Dados (LGPD; link em inglês) é a legislação brasileira de privacidade de dados que rege o processamento de informações pessoais por empresas e organizações estabelecidas no Brasil, entre outros casos. A LGPD já está em vigor e oferece as seguintes proteções:

• Regula como as empresas e organizações podem coletar, usar e gerenciar dados pessoais
• Suplementa ou substitui leis federais de privacidade locais para aumentar a responsabilidade
• Autoriza multas a empresas e organizações que não cumprem os requisitos estabelecidos
• Permite a criação de uma Autoridade Nacional de Proteção de Dados
• Impõe regras para a transferência de dados pessoais coletados no Brasil

O Google oferece produtos e soluções que você pode usar como parte de uma estratégia de conformidade com a LGPD:

• Recursos de segurança e privacidade que ajudam você a se adequar à LGPD, além de melhorar a proteção e o controle de dados pessoais
• Serviços e infraestrutura criados para garantir a segurança do processamento de dados e a implantação de práticas de privacidade adequadas
• Evolução contínua dos produtos e recursos do Google à medida que o cenário regulatório muda

Os clientes da Plataforma Google Maps precisam avaliar a forma como processam dados pessoais e determinar se os requisitos da LGPD são aplicáveis a eles. O Google recomenda que você consulte um advogado para receber orientação sobre os requisitos específicos da LGPD aplicáveis à sua organização. Este site não constitui orientação jurídica.

Compromissos contratuais estaduais dos EUA

Lei de Privacidade de Dados e Monitoramento On-line de Connecticut

A Lei de Privacidade de Dados e Monitoramento On-line de Connecticut (em inglês), Ato Público nº 22015, entrou em vigor em 1º de janeiro de 2023. Consulte os Termos de Proteção de Dados entre Controladores do Google para mais informações.

Lei de Privacidade do Consumidor da Califórnia (CCPA)

A Lei de Privacidade do Consumidor da Califórnia (CCPA) (1, 2) é uma legislação de privacidade de dados que oferece aos consumidores da Califórnia uma série de proteções de privacidade, incluindo o direito de acessar, excluir e recusar a "venda" de suas informações pessoais. Desde 1º de janeiro de 2020, as empresas que coletam informações pessoais de residentes da Califórnia e atendem a determinados critérios (por exemplo, limites de receita, volume de processamento de dados) precisam cumprir essas obrigações. A Lei de Direitos de Privacidade da Califórnia (CPRA) é uma legislação de privacidade de dados que altera e expande a CCPA. Ela entrou em vigor em 1º de janeiro de 2023. O Google está muito empenhado em ajudar seus clientes a cumprir suas obrigações de acordo com esses regulamentos de dados, oferecendo ferramentas convenientes e criando proteções robustas de privacidade e segurança nos seus serviços e contratos. Para mais informações sobre suas responsabilidades como empresa em relação à CCPA, acesse o site (em inglês) do Gabinete do procurador-geral da Califórnia. Consulte os Termos de Proteção de Dados entre Controladores do Google para mais informações.

A Lei de Privacidade do Colorado (CPA)

A Lei de Privacidade do Colorado (em inglês), Estatutos Revisados do Colorado § 6-1-1301 et seq., entrou em vigor em 1º de janeiro de 2023. Ela cria direitos de privacidade de dados pessoais e se aplica a pessoas jurídicas que fazem negócios ou fornecem produtos ou serviços comerciais intencionalmente direcionados aos residentes do Colorado e que também atendem a algum destes requisitos:

• Controlam ou processam dados pessoais de pelo menos 100.000 consumidores por ano civil
• Geram receita com a venda de dados pessoais e controlam ou processam os dados pessoais de pelo menos 25.000 consumidores

Consulte os Termos de Proteção de Dados entre Controladores do Google para mais informações.

Lei de Privacidade do Consumidor de Utah (UCPA)

A Lei de Privacidade do Consumidor de Utah, Código Anotado de Utah § 13-61-101 et seq., entrou em vigor em 1º de janeiro de 2023. Ela se aplica à venda de dados pessoais e à publicidade direcionada e define o que inclui e o que não inclui uma venda: "a troca de dados pessoais por compensação monetária entre um controlador e um terceiro".

Consulte os Termos de Proteção de Dados entre Controladores do Google para mais informações.

Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA)

A Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) entrou em vigor em 1º de janeiro de 2023. Essa lei dá aos residentes da Virgínia determinados direitos sobre dados pessoais coletados por empresas sob as condições descritas na lei.

Consulte os Termos de Proteção de Dados entre Controladores do Google para mais informações.

Resumo

A segurança é um dos principais critérios nos projetos de toda a infraestrutura, produtos e operações do Google. A escala de operação do Google e sua colaboração com a comunidade de pesquisa sobre segurança nos permitem solucionar vulnerabilidades rapidamente e, muitas vezes, evitá-las por completo. O Google executa seus próprios serviços, como Pesquisa, YouTube e Gmail, na mesma infraestrutura que disponibiliza para seus clientes, que se beneficiam diretamente dos nossos controles e práticas de segurança.

Acreditamos que podemos oferecer um nível de proteção que poucos provedores de nuvem pública ou equipes de TI de empresas privadas podem alcançar. Como proteger os dados é fundamental para os negócios do Google, podemos fazer grandes investimentos em segurança, recursos e profissionais experientes em uma proporção que outras empresas não podem. Nosso investimento permite que você se concentre nos seus negócios e em inovar. Vamos continuar investindo na nossa plataforma para permitir que você se beneficie dos serviços do Google de forma segura e transparente.