หน้านี้ได้รับการแปลโดย Cloud Translation API

ภาพรวมด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดสำหรับ Google Maps Platform

เนื้อหานี้อัปเดตล่าสุดในเดือนกุมภาพันธ์ 2024 และแสดงถึงสภาพปัจจุบัน ณ เวลาที่เขียน นโยบายและระบบความปลอดภัยของ Google อาจมีการเปลี่ยนแปลง นับจากนี้ไป พร้อมกับปรับปรุงการปกป้องให้แก่ลูกค้าอย่างต่อเนื่อง

วันที่ ดาวน์โหลดเวอร์ชัน PDF

บทนำ

Google Maps Platform มี API และ SDK ให้กับลูกค้า และ เพื่อพัฒนาเว็บและแอปพลิเคชันบนอุปกรณ์เคลื่อนที่โดยใช้ภูมิสารสนเทศของ Google เทคโนโลยี Google Maps Platform มี API และ SDK มากกว่า 50 รายการให้กับลูกค้า ในอุตสาหกรรมต่างๆ ในฐานะลูกค้าในอุตสาหกรรม คุณมักต้องประชุม ด้านความปลอดภัย การใช้ข้อมูล และข้อกำหนดด้านกฎระเบียบต่างๆ เมื่อสร้างโซลูชัน ซึ่งรวมถึงการตรวจสอบว่าเทคโนโลยีของบุคคลที่สามเป็นไปตามข้อกำหนด

เอกสารนี้ให้ข้อมูลสรุประดับสูงเกี่ยวกับบุคลากร กระบวนการ และ ที่ให้บริการโดย Google Maps Platform พร้อมทั้งอธิบาย ประโยชน์ของการใช้แพลตฟอร์ม ก่อนอื่น คุณต้องเข้าใจทั้ง 2 สิ่งนี้ เทคโนโลยีหลักที่อยู่ภายใต้ Google Maps Platform

เทคโนโลยี ศูนย์ข้อมูล และโครงสร้างพื้นฐานที่ Google ให้บริการ Google Maps Platform ทำงานบนศูนย์ข้อมูลที่ Google จัดหาให้ทั้งหมด และ โครงสร้างพื้นฐาน จากพื้นฐานนี้ จะใช้การตรวจสอบภายใน และการตรวจสอบบุคคลที่สามกับ การควบคุมความปลอดภัยที่สืบทอดมาจาก Google เพื่อตรวจสอบว่า Google Maps แพลตฟอร์มจะใช้ระบบการรักษาความปลอดภัย การดำเนินการ และด้านเทคนิคอย่างถูกต้อง ควบคุมตามที่อธิบายไว้ในบทความนี้
เทคโนโลยี Google Maps Platform นอกเหนือจากการควบคุมที่รับช่วงมา Google Maps Platform มีการรักษาความปลอดภัย ความเป็นส่วนตัว ข้อมูล และ สำหรับการควบคุมการปฏิบัติงานของชุดผลิตภัณฑ์ของ Google

เอกสารนี้จะสรุปกระบวนการและการควบคุมด้านความปลอดภัยของ Google Maps Platform โดยจัดกลุ่มดังนี้

ให้ความสำคัญกับความปลอดภัยและความเป็นส่วนตัวในทุกระดับขององค์กรของ Google
โครงสร้างพื้นฐานทางเทคนิคและการรักษาความปลอดภัยด้วยฮาร์ดแวร์
การรักษาความปลอดภัยในการดำเนินการ
การควบคุมความปลอดภัยที่สำคัญ
การรักษาความปลอดภัยฝั่งไคลเอ็นต์ทั้งบนเว็บและอุปกรณ์เคลื่อนที่
การรับรองและการตรวจสอบในปัจจุบันใน Google Maps Platform
กรอบกฎหมายที่รองรับทั่วโลก

ผู้มีโอกาสเป็นลูกค้าสามารถติดต่อฝ่ายขายที่ Google ตัวแทนเพื่อขอข้อมูลเพิ่มเติม

องค์กรที่มุ่งเน้นความปลอดภัยและความเป็นส่วนตัวของ Google

การรักษาความปลอดภัยขับเคลื่อนโครงสร้างองค์กร วัฒนธรรม ลำดับความสำคัญของการฝึกอบรม และ กับกระบวนการจ้างงานทั่วทั้ง Google ช่วยกำหนดทิศทางการออกแบบศูนย์ข้อมูลของ Google เทคโนโลยีที่มีอยู่ได้อย่างไร ความปลอดภัยเป็นรากฐานของการปฏิบัติงานประจำวันของ Google ซึ่งรวมถึงการวางแผนภัยพิบัติและการจัดการภัยคุกคาม Google ให้ความสำคัญกับความปลอดภัย จัดการข้อมูล การควบคุมบัญชี การตรวจสอบการปฏิบัติตามข้อกำหนด และอุตสาหกรรม การรับรอง Google ออกแบบบริการเพื่อให้มีความปลอดภัยมากกว่า ทางเลือกภายในองค์กรที่ต้องอาศัยผู้ให้บริการหลายรายและหลายแพลตฟอร์ม ซึ่งการรักษาความปลอดภัยมักเป็นกระบวนการ ที่ขาดการเชื่อมต่อ คุณจะได้รับสิทธิประโยชน์จาก ผสานรวมโปรแกรมความปลอดภัยและการควบคุมเมื่อคุณใช้ประโยชน์จาก Google Maps Platform ผลิตภัณฑ์สำหรับธุรกิจของคุณ Google Maps Platform ให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก การดำเนินการของตน ซึ่งเป็นการดำเนินการที่ให้บริการผู้ใช้มากกว่า 1 พันล้านคนทั่วโลก

ทั้ง Google และ Google Maps Platform ได้มอบการรักษาความปลอดภัยหลายชั้น ทั่วทั้งบริษัทและองค์กร

ทีมรักษาความปลอดภัยของ Google โดยเฉพาะ
ทีมรักษาความปลอดภัยของผลิตภัณฑ์ Google Maps Platform
การมีส่วนร่วมอย่างแข็งขันกับชุมชนการวิจัยด้านความปลอดภัยระดับโลก
ทีมดูแลความเป็นส่วนตัวของ Google Maps Platform
การฝึกอบรมด้านความปลอดภัยและความเป็นส่วนตัวของพนักงาน Google
ผู้เชี่ยวชาญด้านการตรวจสอบภายในและการปฏิบัติตามข้อกำหนด

ทีมรักษาความปลอดภัยเฉพาะทางที่ Google

Google มีทีมรักษาความปลอดภัยเฉพาะในส่วนของบริษัทและภายในผลิตภัณฑ์ เหล่านี้

ทีมรักษาความปลอดภัยของ Google สนับสนุนกลุ่มผลิตภัณฑ์หลายอย่างที่ Google ซึ่งรวมถึง Google Maps Platform ทีมรักษาความปลอดภัยได้รวบรวมโมเดลของ ผู้เชี่ยวชาญระดับแนวหน้าในด้านความปลอดภัยข้อมูล การรักษาความปลอดภัยของแอปพลิเคชัน วิทยาการเข้ารหัส และความปลอดภัยของเครือข่าย โดยมีกิจกรรมดังนี้

พัฒนา ตรวจสอบ และนำกระบวนการรักษาความปลอดภัยไปใช้ ซึ่งรวมถึง การตรวจสอบแผนการรักษาความปลอดภัยสำหรับเครือข่ายของ Google และให้บริการเฉพาะโครงการ การปรึกษากับทีมผลิตภัณฑ์และวิศวกรทั่วทั้ง Google ตัวอย่างเช่น ผู้เชี่ยวชาญด้านวิทยาการเข้ารหัสจะตรวจสอบการเปิดตัวผลิตภัณฑ์ที่ใช้วิทยาการเข้ารหัส เป็นส่วนหนึ่งของข้อเสนอ
จัดการภัยคุกคามด้านความปลอดภัยตลอดเวลา การใช้ทั้งโฆษณาที่กำหนดเองและการโฆษณาที่กำหนดเอง ทีมงานจะตรวจสอบภัยคุกคามและกิจกรรมที่น่าสงสัยที่กำลังเกิดขึ้นใน Google เครือข่าย
ดำเนินการตรวจสอบและประเมินผลเป็นประจำ ซึ่งอาจรวมถึงการมีส่วนร่วม ผู้เชี่ยวชาญภายนอกได้ทำการประเมินความปลอดภัย
เผยแพร่บทความด้านความปลอดภัยไปยังชุมชนในวงกว้าง Google มีการดูแล บล็อกความปลอดภัย และซีรีส์ YouTube ไฮไลต์ทีมรักษาความปลอดภัยที่เจาะจงหลายทีมและ ความสำเร็จของพวกเขา

ทีมรักษาความปลอดภัยของ Google Maps Platform ทำงานร่วมกับทีม ทีมความปลอดภัยทำงานอย่างใกล้ชิดมากขึ้นกับการพัฒนาผลิตภัณฑ์และ SRE เพื่อควบคุมดูแล ด้านความปลอดภัย กล่าวอย่างเจาะจงคือ ทีมนี้จะจัดการสิ่งต่อไปนี้

การทดสอบการรับมือกับภัยพิบัติ (DiRT) ของ Google Maps Platform ซึ่งทดสอบ ความต่อเนื่องทางธุรกิจและเฟลโอเวอร์ของผลิตภัณฑ์ Google Maps Platform โครงสร้างพื้นฐานที่มีความพร้อมใช้งานสูงของ Google
การทดสอบการเจาะระบบของบุคคลที่สาม แพลตฟอร์ม Google Maps ผลิตภัณฑ์มีการทดสอบเจาะระบบอย่างน้อยทุกปีเพื่อเพิ่มประสิทธิภาพ ระดับการรักษาความปลอดภัยของ Google และให้การรักษาความปลอดภัยโดยอิสระแก่คุณ การรับรองของเรา

การทำงานร่วมกับชุมชนการวิจัยด้านความปลอดภัย

Google มีความสัมพันธ์ใกล้ชิดกับการวิจัยด้านความปลอดภัยมาเป็นเวลานาน และ Google ให้ความสำคัญกับความช่วยเหลือเป็นอย่างยิ่งในการระบุศักยภาพ ช่องโหว่ใน Google Maps Platform และผลิตภัณฑ์อื่นๆ ของ Google

การทำงานร่วมกันในชุมชนออนไลน์ผ่าน Project Zero Project Zero คือทีมนักวิจัยด้านความปลอดภัยที่ทำวิจัย Zero Day ตัวอย่างของการวิจัยครั้งนี้คือการค้นพบ ของการเจาะช่องโหว่ใน Spectre Meltdown การเจาะช่องโหว่, การใช้ช่องโหว่ POODLE SSL 3.0 และชุดการเข้ารหัส จุดอ่อน
การวิจัยเชิงวิชาการ - วิศวกรและนักวิจัยด้านความปลอดภัยของ Google อย่างแข็งขัน เข้าร่วมและเผยแพร่ในชุมชนการรักษาความปลอดภัยทางวิชาการและความเป็นส่วนตัว ชุมชนวิจัย สื่อเผยแพร่ที่เกี่ยวข้องกับความปลอดภัยจะอยู่ใน เว็บไซต์ Google Research ทีมความปลอดภัยของ Google ได้เผยแพร่ข้อมูลเชิงลึกเกี่ยวกับแนวทางปฏิบัติ และประสบการณ์ใน หนังสือการสร้างระบบที่ปลอดภัยและเชื่อถือได้
Vulnerability Rewards Program - Google Maps Platform เข้าร่วมกับ Vulnerability Reward Program ซึ่งมอบรางวัลใน หลายหมื่นดอลลาร์ต่อช่องโหว่ที่ยืนยันแล้วแต่ละรายการ โปรแกรม ส่งเสริมให้นักวิจัยรายงานปัญหาเกี่ยวกับการออกแบบและการใช้งานที่อาจ ทำให้ข้อมูลลูกค้ามีความเสี่ยง ในปี 2022 Google มอบรางวัลแก่นักวิจัยกว่า $11.9 ล้านเหรียญรางวัล สำหรับข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมนี้ รวมถึง รางวัลที่ Google มอบให้ โปรดดูสถิติคีย์นักล่าข้อบกพร่อง ข้อมูลเพิ่มเติมเกี่ยวกับการรายงานปัญหาด้านความปลอดภัย โปรดดู Google จัดการอย่างไร ช่องโหว่ด้านความปลอดภัย
การวิจัยด้านความปลอดภัยแบบโอเพนซอร์ส - วิศวกรของ Google ยังจัดระเบียบและ เข้าร่วมโครงการโอเพนซอร์สและโครงการวิชาการ การประชุมสัมมนาอื่น เพื่อปรับปรุงโค้ดโอเพนซอร์ส โปรแกรมสะสมคะแนนสำหรับช่องโหว่ นอกจากนี้ยังมีเงินอุดหนุนสำหรับโปรเจ็กต์โอเพนซอร์ส
วิทยาการเข้ารหัส - นักเข้ารหัสลับระดับโลกของ Google ทำงานเพื่อปกป้อง TLS การเชื่อมต่อกับการโจมตีคอมพิวเตอร์ควอนตัมและได้พัฒนาชุดค่าผสม อัลกอริทึมของ Elliptic-curve และหลังยุคควอนตัม (CECPQ2) Google นักเข้ารหัสลับได้พัฒนา Tink ซึ่งเป็นโอเพนซอร์ส ไลบรารีของ API การเข้ารหัส นอกจากนี้ Google ยังใช้ Tink ภายใน ผลิตภัณฑ์และบริการ

ทีมความเป็นส่วนตัวของ Google Maps Platform โดยเฉพาะ

ทีมดูแลความเป็นส่วนตัวโดยเฉพาะทำงานแยกจากการพัฒนาผลิตภัณฑ์และ ขององค์กรด้านความปลอดภัย สนับสนุนโครงการริเริ่มด้านความเป็นส่วนตัวภายในองค์กร ของข้อมูลส่วนบุคคล ได้แก่ กระบวนการที่สำคัญ เครื่องมือภายใน โครงสร้างพื้นฐาน และ การพัฒนาผลิตภัณฑ์ ทีมดูแลความเป็นส่วนตัวจะดำเนินการต่อไปนี้

ตรวจสอบให้แน่ใจว่าการเปิดตัวผลิตภัณฑ์ใช้มาตรฐานด้านความเป็นส่วนตัวที่เข้มงวด การเก็บรวบรวมข้อมูล และมีส่วนร่วมในการเปิดตัวผลิตภัณฑ์ Google ทุกครั้งผ่าน เอกสารประกอบการออกแบบ และการตรวจสอบโค้ด
หลังเปิดตัวผลิตภัณฑ์ ทีมดูแลความเป็นส่วนตัวได้ดูแลกระบวนการอัตโนมัติที่ ตรวจสอบการเก็บรวบรวมและใช้ข้อมูลที่เหมาะสมอย่างต่อเนื่อง
ทําการวิจัยเกี่ยวกับแนวทางปฏิบัติแนะนําด้านความเป็นส่วนตัว

การฝึกอบรมด้านความปลอดภัยและความเป็นส่วนตัวของพนักงาน Google

ความปลอดภัยและความเป็นส่วนตัวเป็นพื้นที่ที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา และ Google ทราบดีว่า การทุ่มเทให้กับการมีส่วนร่วมของพนักงานจึงเป็นวิธีการหลักในการเพิ่มการรับรู้ Google ทั้งหมด พนักงานเข้ารับการฝึกอบรมด้านความปลอดภัยและความเป็นส่วนตัวที่เป็นส่วนหนึ่งของการปฐมนิเทศ และพวกเขาได้รับการฝึกอบรมด้านความปลอดภัยและความเป็นส่วนตัวที่จำเป็นต้องได้รับอย่างต่อเนื่อง ตลอดการทำงานบน Google

ระหว่างการปฐมนิเทศ: พนักงานใหม่ยอมรับข้อกําหนดของ Google หลักจรรยาบรรณ ซึ่งเน้นย้ำถึงความมุ่งมั่นของ Google ที่จะ การรักษาข้อมูลลูกค้าให้ปลอดภัย
การฝึกอบรมเฉพาะทางตามบทบาทงาน งานบางบทบาทจำเป็นต้องมีการฝึกอบรมเกี่ยวกับ ด้านความปลอดภัย ตัวอย่างเช่น ทีมรักษาความปลอดภัยข้อมูล จะแนะนำวิศวกรรายใหม่ๆ เกี่ยวกับการเขียนโค้ดที่ปลอดภัย การออกแบบผลิตภัณฑ์ และ เครื่องมือทดสอบช่องโหว่อัตโนมัติ วิศวกรเข้าร่วมการรักษาความปลอดภัยอย่างสม่ำเสมอ สรุปและรับจดหมายข่าวด้านการรักษาความปลอดภัยที่ครอบคลุมภัยคุกคามและการโจมตีใหม่ๆ รูปแบบ เทคนิคการบรรเทาปัญหา และอื่นๆ อีกมากมาย
กิจกรรมต่อเนื่อง Google จัดการประชุมภายในที่จัดขึ้นเป็นประจำซึ่งเปิดโอกาสให้ทุกคนได้เข้าร่วม พนักงานเพื่อเพิ่มการรับรู้และขับเคลื่อนนวัตกรรมในการรักษาความปลอดภัยและข้อมูล ความเป็นส่วนตัว Google จัดกิจกรรมทั่วสำนักงานทั่วโลกเพื่อสร้างความตระหนักรู้ การรักษาความปลอดภัยและความเป็นส่วนตัวในการพัฒนาซอฟต์แวร์ การจัดการข้อมูล และนโยบาย

ผู้เชี่ยวชาญด้านการตรวจสอบภายในและการปฏิบัติตามข้อกำหนด

Google Maps Platform มีทีมตรวจสอบภายในโดยเฉพาะที่เขียนรีวิวเกี่ยวกับ Google ผลิตภัณฑ์ การปฏิบัติตามกฎหมายและข้อบังคับด้านความปลอดภัยทั่วโลก ใหม่ มาตรฐานการตรวจสอบได้รับการสร้างขึ้น และปรับปรุงมาตรฐานที่มีอยู่แล้ว ทีมตรวจสอบจะพิจารณาว่าการควบคุม กระบวนการ และระบบใดที่จำเป็นเพื่อช่วย เป็นไปตามมาตรฐานเหล่านั้น ทีมนี้สนับสนุนการตรวจสอบและการประเมินโดยองค์กรอิสระโดย บุคคลที่สาม สำหรับข้อมูลเพิ่มเติม โปรดดูการรับรองความปลอดภัยและ การตรวจสอบ ต่อไปในเอกสารนี้

แพลตฟอร์มที่สร้างด้วยการรักษาความปลอดภัยเป็นหัวใจหลัก

Google ออกแบบเซิร์ฟเวอร์ ระบบปฏิบัติการที่เป็นกรรมสิทธิ์ ศูนย์ข้อมูลแบบกระจายตัวโดยใช้หลักการป้องกันเชิงลึก Google Maps แพลตฟอร์มทำงานบนโครงสร้างพื้นฐานทางเทคนิคที่ออกแบบและสร้างขึ้นมาเพื่อทำงาน ได้อย่างปลอดภัย เราได้สร้างโครงสร้างพื้นฐานด้านไอทีที่ปลอดภัยและง่ายขึ้น จัดการได้มากกว่าโซลูชันภายในองค์กรหรือโซลูชันที่โฮสต์แบบดั้งเดิม

ศูนย์ข้อมูลที่ทันสมัย

การมุ่งเน้นที่การรักษาความปลอดภัยและการปกป้องข้อมูลของ Google เป็นหนึ่งในเครื่องมือหลัก เกณฑ์การออกแบบ ความปลอดภัยทางกายภาพในข้อมูลใน Google ศูนย์ เป็นโมเดลความปลอดภัยแบบเลเยอร์ ความปลอดภัยทางกายภาพจะมีการป้องกันต่างๆ เช่น บัตรเข้าถึงทางอิเล็กทรอนิกส์ สัญญาณเตือน ที่กั้นเข้าถึงรถยนต์ ซึ่งออกแบบโดยบุคคลต่างๆ รั้วกั้นพื้นที่ เครื่องตรวจจับโลหะ และข้อมูลไบโอเมตริก นอกจากนี้ เพื่อตรวจหาและ ติดตามผู้บุกรุก Google ใช้มาตรการรักษาความปลอดภัย เช่น การบุกรุกของลำแสงเลเซอร์ และการตรวจสอบทุกวันตลอด 24 ชั่วโมงด้วยกล้องความละเอียดสูงทั้งภายในและภายนอก บันทึกการเข้าถึง บันทึกกิจกรรม และฟุตเทจจากกล้องจะพร้อมใช้งานในกรณี เกิดขึ้น เจ้าหน้าที่รักษาความปลอดภัยมากประสบการณ์ที่ผ่านการเข้มงวด การตรวจสอบภูมิหลังและการฝึกอบรม ออกลาดตระเวนศูนย์ข้อมูลของ Google เป็นประจำ ขณะที่คุณ เข้าใกล้ชั้นศูนย์ข้อมูลมากขึ้น มาตรการรักษาความปลอดภัยก็เพิ่มขึ้นด้วย การเข้าถึง ชั้นศูนย์ข้อมูลจะทำได้ผ่านด่านรักษาความปลอดภัยที่ ใช้การควบคุมการเข้าถึงแบบหลายปัจจัยโดยใช้ป้ายความปลอดภัยและข้อมูลไบโอเมตริก มีเพียงพนักงานที่ได้รับอนุมัติซึ่งมีบทบาทเฉพาะเท่านั้นที่จะเข้าร่วมได้ น้อยกว่า 1 เปอร์เซ็นต์ของ พนักงานของ Google จะเดินเข้ามาในศูนย์ข้อมูลของ Google

Google ดำเนินการศูนย์ข้อมูลทั่วโลกเพื่อเพิ่มความเร็วและความน่าเชื่อถือ บริการต่างๆ โดยทั่วไปโครงสร้างพื้นฐานของ YouTube จะได้รับการตั้งค่าให้รองรับการรับส่งข้อมูลจาก ศูนย์ข้อมูลที่ใกล้กับจุดที่เกิดการเข้าชมมากที่สุด ดังนั้น ตําแหน่งที่แน่นอนของข้อมูล Google Maps Platform อาจแตกต่างกันไปตามตําแหน่ง การเข้าชมดังกล่าวจะเกิดขึ้น และข้อมูลนี้อาจได้รับการจัดการโดยเซิร์ฟเวอร์ที่อยู่ใน EEA และสหราชอาณาจักรหรือโอนไปยังประเทศที่สาม ของลูกค้า Google ข้อเสนอที่มี ผลิตภัณฑ์ Google Maps Platform ที่ติดตั้งใช้งานโดยทั่วไปพร้อมให้บริการทั่วโลก และมักดึงดูดผู้ชมจากทั่วโลก โครงสร้างพื้นฐานทางเทคนิคที่รองรับ ผลิตภัณฑ์เหล่านี้ใช้งานได้ทั่วโลกเพื่อลดเวลาในการตอบสนองและทำให้มั่นใจว่า ระบบต่างๆ Google Maps Platform ใช้ส่วนย่อยของเครือข่ายศูนย์ข้อมูลทั่วโลกของ Google รายการด้านล่างนี้เป็นข้อมูลอ้างอิง

แผนที่โลกแสดงสถานที่ตั้งศูนย์ข้อมูลเป็นสีน้ำเงิน
จุด

อเมริกาเหนือและใต้

ยุโรป

เอเชีย

ขับเคลื่อนศูนย์ข้อมูลของ Google

ข้อมูลของ Google เพื่อการใช้งานทุกวันตลอด 24 ชั่วโมงและให้บริการแบบไม่ขาดตอน ภายในศูนย์ข้อมูลจะมีระบบไฟฟ้าสำรองและการควบคุมสภาพแวดล้อม ทุกปัญหาที่สำคัญ ส่วนประกอบจะมีแหล่งจ่ายไฟหลักและแหล่งพลังงานสำรอง แต่ละส่วนประกอบมีกำลังไฟฟ้าเท่ากัน เครื่องกำเนิดไฟฟ้าสำรองสามารถให้พลังงานไฟฟ้าในกรณีฉุกเฉินเพียงพอที่จะเรียกใช้ข้อมูลแต่ละรายการ จัดตำแหน่งกึ่งกลางหน้าเต็มกำลัง ระบบทำความเย็นจะทํางานอย่างต่อเนื่อง อุณหภูมิของเซิร์ฟเวอร์และฮาร์ดแวร์อื่นๆ ซึ่งจะช่วยลดความเสี่ยงในการให้บริการ การหยุดทำงาน ในขณะเดียวกันก็ลดผลกระทบต่อสิ่งแวดล้อมด้วย การตรวจจับไฟไหม้ และอุปกรณ์ระงับช่วยป้องกันความเสียหายของฮาร์ดแวร์ เครื่องตรวจจับความร้อน ไฟไหม้ ตัวตรวจจับและอุปกรณ์ตรวจจับควันจะทริกเกอร์สัญญาณเตือนทั้งเสียงและที่มองเห็นได้ของระบบรักษาความปลอดภัย คอนโซลการดำเนินการและที่เดสก์ตรวจสอบระยะไกล

Google เป็นบริษัทผู้ให้บริการอินเทอร์เน็ตรายใหญ่แห่งแรก ที่ได้ การรับรองด้านสิ่งแวดล้อม ความปลอดภัยในที่ทำงาน และการจัดการพลังงานระดับสูง มาตรฐานทั่วทั้งศูนย์ข้อมูลของ Google ตัวอย่างเช่น เพื่อแสดงให้ทราบว่า ความมุ่งมั่นในแนวทางปฏิบัติด้านการจัดการพลังงาน Google ได้รับISO 50001 การรับรองสำหรับศูนย์ข้อมูลในยุโรป

ฮาร์ดแวร์และซอฟต์แวร์เซิร์ฟเวอร์ที่กำหนดเอง

ศูนย์ข้อมูลของ Google มีเซิร์ฟเวอร์และอุปกรณ์เครือข่ายที่สร้างขึ้นมาสำหรับวัตถุประสงค์เฉพาะ ซึ่งบางส่วน ซึ่ง Google เป็นผู้ออกแบบ ขณะที่เซิร์ฟเวอร์ของ Google ได้รับการปรับแต่งให้เพิ่ม ประสิทธิภาพ การทำความเย็น และการประหยัดพลังงาน ยังออกแบบมาเพื่อช่วย เพื่อป้องกันการบุกรุกทางกายภาพ ไม่เหมือนที่มีในเชิงพาณิชย์ ฮาร์ดแวร์ เซิร์ฟเวอร์ของ Google จะไม่มีองค์ประกอบที่ไม่จำเป็น เช่น วิดีโอ การ์ด ชิปเซ็ต หรือหัวต่อพ่วง ซึ่งทั้งหมดนี้สามารถทำให้เกิด ช่องโหว่ Google คัดกรองผู้ให้บริการคอมโพเนนต์และเลือกคอมโพเนนต์ด้วยความระมัดระวัง จะทำงานร่วมกับผู้ให้บริการเพื่อตรวจสอบและตรวจสอบคุณสมบัติด้านความปลอดภัย จากคอมโพเนนต์ Google ออกแบบชิปที่กําหนดเอง เช่น Titan ที่ช่วยให้เราระบุและตรวจสอบสิทธิ์ได้อย่างปลอดภัย อุปกรณ์ของ Google ที่ถูกต้องในระดับฮาร์ดแวร์ ซึ่งรวมถึงรหัสที่ ที่ใช้ในการเปิดเครื่อง

ระบบจะจัดสรรทรัพยากรของเซิร์ฟเวอร์แบบไดนามิก ซึ่งทำให้เราเติบโตได้อย่างยืดหยุ่น และช่วยให้เราปรับตัวให้เข้ากับความต้องการของลูกค้าได้อย่างรวดเร็วและมีประสิทธิภาพด้วยการเพิ่มหรือ การจัดสรรทรัพยากรใหม่ สภาพแวดล้อมที่เป็นเอกภาพนี้ได้รับการดูแลโดย ซอฟต์แวร์ที่เป็นกรรมสิทธิ์ซึ่งตรวจสอบระบบอย่างต่อเนื่องสำหรับไบนารีระดับ การเปลี่ยนแปลง กลไกการแก้ปัญหาด้วยตนเองแบบอัตโนมัติของ Google ออกแบบมาเพื่อ ช่วยให้เราตรวจสอบและแก้ไขเหตุการณ์ที่ไม่เสถียรได้ รวมถึงได้รับการแจ้งเตือน เกี่ยวกับเหตุการณ์ต่างๆ และชะลอการบุกรุกที่อาจเกิดขึ้นในเครือข่าย

การทำให้บริการใช้งานได้อย่างปลอดภัย

บริการของ Google คือไบนารีของแอปพลิเคชันที่นักพัฒนาซอฟต์แวร์ของ Google เขียนและ ทำงานบนโครงสร้างพื้นฐานของ Google ในการจัดการขนาดปริมาณงานที่ต้องการ เครื่องหลายพันเครื่องอาจเรียกใช้บริการแบบไบนารีของบริการเดียวกัน คลัสเตอร์ ซึ่งเป็นบริการจัดการเป็นกลุ่มที่เรียกว่า Borg จะควบคุมบริการที่ กำลังทำงานในโครงสร้างพื้นฐานโดยตรง

โครงสร้างพื้นฐานไม่ยึดถือความเชื่อมั่นใดๆ ระหว่างบริการที่ ที่ทำงานบนโครงสร้างพื้นฐาน โมเดลความน่าเชื่อถือนี้เรียกว่า Zero Trust โมเดลความปลอดภัย โมเดลการรักษาความปลอดภัยแบบ Zero Trust หมายความว่าจะไม่มีอุปกรณ์หรือผู้ใช้รายใดเลย เชื่อถือได้โดยค่าเริ่มต้น ไม่ว่าจะอยู่ภายในหรือภายนอกเครือข่าย

และเนื่องจากโครงสร้างพื้นฐานได้รับการออกแบบมาให้รองรับกลุ่มผู้ใช้หลายกลุ่ม ข้อมูลจาก ลูกค้า (ผู้บริโภค ธุรกิจ หรือแม้แต่ข้อมูลของ Google เอง) จะกระจายไป ในโครงสร้างพื้นฐานที่แชร์กัน โครงสร้างพื้นฐานนี้ประกอบไปด้วย ของเครื่องที่เป็นเนื้อเดียวกันนับพันเครื่อง โครงสร้างพื้นฐานไม่แยกออกจากกัน ข้อมูลลูกค้าลงในเครื่องเดียวหรือหลายเครื่อง

การติดตามและการกำจัดฮาร์ดแวร์

Google ติดตามตำแหน่งและสถานะของอุปกรณ์ทั้งหมดภายในเครื่อง ที่ใช้บาร์โค้ดและแท็กทรัพย์สิน Google ติดตั้งใช้งานเครื่องตรวจจับโลหะและ กล้องวงจรปิดเพื่อช่วยดูแลไม่ให้มีอุปกรณ์ใดหลุดออกจากศูนย์ข้อมูล โดยไม่ได้รับอนุญาต หากคอมโพเนนต์ไม่ผ่านการทดสอบประสิทธิภาพเมื่อ โฆษณาจะถูกนำออกจากพื้นที่โฆษณาและเลิกใช้

อุปกรณ์เก็บข้อมูลของ Google รวมถึงฮาร์ดไดรฟ์ Solid State ไดรฟ์ และ โมดูลหน่วยความจำแบบ 2 บรรทัด (DIMM) ที่ไม่ผันผวน ใช้เทคโนโลยีต่างๆ เช่น ดิสก์เต็มรูปแบบ การเข้ารหัส (FDE) และการล็อกไดรฟ์เพื่อปกป้องข้อมูลที่ไม่มีการเคลื่อนไหว เมื่อพื้นที่เก็บข้อมูล เลิกใช้อุปกรณ์แล้ว บุคคลที่ได้รับอนุญาตจะตรวจสอบว่าดิสก์ถูกลบโดย เขียนเลข 0 ลงในไดรฟ์ และยังทำการยืนยันแบบหลายขั้นตอนอีกด้วย เพื่อให้มั่นใจว่าไดรฟ์ไม่มีข้อมูล หากไม่สามารถลบไดรฟ์เป็นเวลา ด้วยเหตุผลใด มันจึงถูกทำลายทางกายภาพ การทำลายร่างกายโดยใช้ เครื่องบดย่อยที่ทำลายไดรฟ์ให้เป็นชิ้นเล็กๆ แล้วนำไปรีไซเคิล ที่มีการรักษาความปลอดภัย ศูนย์ข้อมูลแต่ละแห่งมีนโยบายการกำจัดทิ้งอย่างเคร่งครัด ความแปรปรวนจะได้รับการจัดการทันที

ประโยชน์ด้านความปลอดภัยของเครือข่ายทั่วโลกของ Google

ในระบบคลาวด์เชิงพื้นที่และโซลูชันภายในองค์กรอื่นๆ ข้อมูลเดินทางระหว่าง อุปกรณ์ต่างๆ ทั่วทั้งอินเทอร์เน็ตสาธารณะในเส้นทางที่เรียกว่า Hop จำนวนการกระโดด ขึ้นอยู่กับเส้นทางที่เหมาะสมระหว่าง ISP ของลูกค้ากับศูนย์ข้อมูล การ Hop เพิ่มเติมแต่ละรายการจะเสนอโอกาสใหม่ที่จะทําให้ข้อมูลถูกโจมตีหรือ ทั้งหมด เนื่องจากเครือข่ายทั่วโลกของ Google เชื่อมโยงกับ ISP ส่วนใหญ่ของ Google ในเครือข่ายของ Google จะจำกัดอัตราการกระโดดข้ามเครือข่ายอินเทอร์เน็ตสาธารณะ ดังนั้น ช่วยจำกัดไม่ให้ผู้ไม่ประสงค์ดีเข้าถึงข้อมูลนั้นได้

เครือข่ายของ Google ใช้การป้องกันหลายชั้น ระบบป้องกันในเชิงลึก เพื่อช่วย ปกป้องเครือข่ายจากการโจมตีจากภายนอก เฉพาะบริการที่ได้รับอนุญาตและ โปรโตคอลที่ตรงตามข้อกำหนดด้านความปลอดภัยของ Google จะได้รับอนุญาตให้ข้ามผ่านได้ สิ่งอื่นๆ จะหายไปโดยอัตโนมัติ ในการบังคับใช้การแยกเครือข่าย Google ใช้ไฟร์วอลล์และรายการควบคุมการเข้าถึง การจราจรทั้งหมดกำหนดเส้นทางผ่าน Google เซิร์ฟเวอร์ Front End (GFE) ที่จะช่วยตรวจหาและหยุดคำขอที่เป็นอันตราย รวมถึง การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) บันทึกจะได้รับการตรวจสอบเป็นประจำเพื่อ แสดงการแสวงหาประโยชน์จากข้อผิดพลาดในการเขียนโปรแกรม การเข้าถึงอุปกรณ์ในเครือข่ายปัจจุบัน จำกัดไว้เฉพาะพนักงานที่ได้รับอนุญาตเท่านั้น

โครงสร้างพื้นฐานทั่วโลกของ Google ทำให้เราสามารถดำเนินโครงการ Shield ซึ่งให้การปกป้องฟรีไม่จำกัดแก่เว็บไซต์ ที่มีช่องโหว่ต่อการโจมตีแบบ DDoS ซึ่งใช้เพื่อเซ็นเซอร์ข้อมูล โปรเจ็กต์ Shield พร้อมให้บริการสำหรับเว็บไซต์ข่าว เว็บไซต์สิทธิมนุษยชน และ เว็บไซต์ตรวจสอบการเลือกตั้ง

เวลาในการตอบสนองต่ำและโซลูชันที่มีความพร้อมใช้งานสูง

เครือข่ายข้อมูล IP ของ Google ประกอบด้วยไฟเบอร์ของตนเอง ไฟเบอร์ที่เผยแพร่ต่อสาธารณะ และสายเคเบิลใต้ทะเล เครือข่ายนี้ทำให้เรานำเสนอ ความพร้อมใช้งานสูงและ บริการที่ใช้เวลาในการตอบสนองต่ำทั่วโลก

Google ออกแบบองค์ประกอบของแพลตฟอร์มให้มีการทำงานแบบซ้ำซ้อน ช่วงเวลานี้ การสำรองข้อมูลมีผลกับการออกแบบเซิร์ฟเวอร์ของ Google กับวิธีที่ Google จัดเก็บข้อมูล การเชื่อมต่อเครือข่ายและอินเทอร์เน็ต และบริการซอฟต์แวร์เอง ช่วงเวลานี้ "ทำซ้ำทุกอย่าง" รวมการจัดการข้อยกเว้นและสร้างโซลูชัน ที่ไม่ได้พึ่งพาเซิร์ฟเวอร์ ศูนย์ข้อมูล หรือการเชื่อมต่อเครือข่ายหนึ่งๆ

ศูนย์ข้อมูลของ Google กระจายอยู่ตามพื้นที่ต่างๆ เพื่อลดความเสี่ยงที่เกิดจาก การหยุดชะงักของผลิตภัณฑ์ทั่วโลกในภูมิภาค เช่น เมื่อเกิดภัยพิบัติทางธรรมชาติหรือในท้องถิ่น จึงเกิดการหยุดทำงาน หากฮาร์ดแวร์ ซอฟต์แวร์ หรือเครือข่ายไม่ทำงาน บริการแพลตฟอร์มและ เครื่องบินควบคุมจะเปลี่ยนจากสถานที่ปฏิบัติงานไปยังสถานที่อย่างรวดเร็วโดยอัตโนมัติอย่างรวดเร็ว เพื่อให้บริการแพลตฟอร์มสามารถดำเนินการต่อได้โดยไม่หยุดชะงัก

โครงสร้างพื้นฐานที่ซ้ำซ้อนของ Google ยังช่วยให้คุณปกป้องธุรกิจของคุณด้วย จากการสูญหายของข้อมูล ระบบของ Google ได้รับการออกแบบมาเพื่อลดช่วงพัก หรือ ช่วงเวลาบำรุงรักษาสำหรับกรณีที่เราต้องให้บริการหรืออัปเกรดแพลตฟอร์ม

การรักษาความปลอดภัยในการดำเนินการ

ความปลอดภัยเป็นส่วนสำคัญในการดำเนินงานของ Google ไม่ใช่สิ่งที่ตามมาภายหลัง ส่วนนี้ อธิบายโปรแกรมการจัดการช่องโหว่ของ Google การป้องกันมัลแวร์ โปรแกรม การตรวจสอบความปลอดภัย และการจัดการเหตุการณ์

การจัดการช่องโหว่

กระบวนการจัดการช่องโหว่ภายในของ Google จะสแกนหาความปลอดภัยอย่างต่อเนื่อง ในกลุ่มเทคโนโลยีทุกรูปแบบ กระบวนการนี้ใช้ชุดค่าผสมของ เครื่องมือเชิงพาณิชย์ โอเพนซอร์ส และที่ทำขึ้นภายในวัตถุประสงค์เฉพาะ รวมถึง ดังต่อไปนี้:

กระบวนการรับประกันคุณภาพ
การตรวจสอบความปลอดภัยของซอฟต์แวร์
ความพยายามในการเจาะระบบแบบอัตโนมัติและด้วยตนเองแบบเข้มงวด รวมถึง Red ที่ครอบคลุม การออกกำลังกายเป็นทีม
การทดสอบการเจาะระบบภายนอกซ้ำสำหรับ Google Maps ผลิตภัณฑ์แพลตฟอร์ม
การตรวจสอบภายนอกซ้ำ

องค์กรการจัดการช่องโหว่และพาร์ทเนอร์จะเป็นผู้รับผิดชอบ การติดตามและติดตามผลช่องโหว่ เพราะการรักษาความปลอดภัยจะมีการปรับปรุง หลังจากที่ปัญหาได้รับการแก้ไขเรียบร้อยแล้ว ไปป์ไลน์การทำงานอัตโนมัติจะประเมิน สถานะของช่องโหว่ ตรวจสอบแพตช์ และแจ้งว่าไม่เหมาะสมหรือบางส่วน ความละเอียดสูงสุดของคุณ

การดูแลความปลอดภัย

โปรแกรมการตรวจสอบความปลอดภัยของ Google ให้ความสำคัญกับข้อมูลที่รวบรวมมา ทั้งจากการจราจรของข้อมูลในเครือข่ายภายใน จากการทำงานของพนักงานในระบบ และจาก ความรู้ภายนอกเกี่ยวกับช่องโหว่ หลักการสำคัญของ Google คือการรวบรวม และจัดเก็บข้อมูลทางไกลสำหรับการรักษาความปลอดภัยทั้งหมดไว้ในที่เดียว สำหรับการรักษาความปลอดภัยที่เป็นหนึ่งเดียว การวิเคราะห์ของคุณ

ในหลายจุดในเครือข่ายทั่วโลกของ Google มีการตรวจสอบการเข้าชมภายในเพื่อหา พฤติกรรมที่น่าสงสัย เช่น การเข้าชมที่อาจบ่งชี้ถึงบ็อตเน็ต การเชื่อมต่อ Google ใช้ทั้งเครื่องมือโอเพนซอร์สและเครื่องมือเชิงพาณิชย์ บันทึกและแยกวิเคราะห์การรับส่งข้อมูลเพื่อให้ Google ทําการวิเคราะห์นี้ได้ ต ระบบความสัมพันธ์ที่เป็นกรรมสิทธิ์ ซึ่งสร้างต่อยอดจากเทคโนโลยีของ Google ยังสนับสนุน การวิเคราะห์นี้ Google เสริมการวิเคราะห์เครือข่ายโดยการตรวจสอบบันทึกของระบบเพื่อ ระบุพฤติกรรมที่ผิดปกติ เช่น การพยายามเข้าถึงข้อมูลลูกค้า

กลุ่มวิเคราะห์ภัยคุกคามของ Google ติดตามผู้มุ่งร้ายและ วิวัฒนาการของกลยุทธ์และเทคนิคต่างๆ ตรวจสอบโดยวิศวกรด้านความปลอดภัยของ Google รายงานความปลอดภัยขาเข้าและตรวจสอบรายชื่ออีเมลสาธารณะ บล็อกโพสต์ และ wiki การวิเคราะห์เครือข่ายอัตโนมัติและการวิเคราะห์บันทึกของระบบโดยอัตโนมัติจะช่วยให้ ให้ทราบว่าอาจมีภัยคุกคามที่ไม่รู้จักเกิดขึ้นเมื่อใด หากกระบวนการอัตโนมัติตรวจพบ ปัญหาก็จะส่งต่อไปยังเจ้าหน้าที่รักษาความปลอดภัยของ Google

การตรวจจับการบุกรุก

Google ใช้ไปป์ไลน์การประมวลผลข้อมูลที่ซับซ้อนเพื่อผสานรวมแบบอิงตามโฮสต์ สัญญาณบนอุปกรณ์แต่ละเครื่อง สัญญาณจากเครือข่ายจากการตรวจสอบต่างๆ ในโครงสร้างพื้นฐาน และสัญญาณจากบริการโครงสร้างพื้นฐาน กฎ และระบบอัจฉริยะของเครื่องที่สร้างขึ้นจาก ไปป์ไลน์เหล่านี้ทำให้สามารถ คำเตือนจากวิศวกรความปลอดภัยเกี่ยวกับเหตุการณ์ที่อาจเกิดขึ้น การตรวจสอบของ Google และ ทีมที่ตอบสนองต่อเหตุการณ์จะต้องคัดแยก ตรวจสอบ และตอบสนองต่อศักยภาพเหล่านี้ เหตุการณ์ต่างๆ ตลอด 24 ชั่วโมงต่อวัน 365 วันต่อปี Google ฝึกซ้อมของทีมสีแดงใน นอกเหนือไปจากการทดสอบการเจาะระบบจากภายนอก เพื่อวัดผลและปรับปรุง ของกลไกการตรวจจับและการตอบสนองของ Google

การจัดการเหตุการณ์

Google มีกระบวนการจัดการเหตุการณ์ที่เข้มงวดสำหรับการดำเนินการด้านความปลอดภัยที่อาจ ส่งผลต่อการรักษาข้อมูลที่เป็นความลับ ความสมบูรณ์ หรือความพร้อมใช้งานของระบบหรือข้อมูล โปรแกรมการจัดการเหตุการณ์ด้านความปลอดภัยของ Google มีโครงสร้างตาม NIST คำแนะนำเกี่ยวกับการจัดการเหตุการณ์ (NIST SP 800–61) Google จัดการฝึกอบรม ให้กับบุคลากรคนสำคัญในฝ่ายพิสูจน์หลักฐานและจัดการหลักฐานเพื่อเตรียมพร้อมสำหรับ กิจกรรม ซึ่งรวมถึงการใช้เครื่องมือของบุคคลที่สามและเครื่องมือที่เป็นกรรมสิทธิ์

Google ทดสอบแผนการตอบสนองต่อเหตุการณ์ในพื้นที่สำคัญ การทดสอบเหล่านี้จะพิจารณา ที่รวมถึงภัยคุกคามจากบุคคลภายในและช่องโหว่ของซอฟต์แวร์ ให้ความช่วยเหลือ เพื่อให้การแก้ปัญหาเกี่ยวกับเหตุการณ์ด้านความปลอดภัยได้อย่างรวดเร็ว ทีมรักษาความปลอดภัยของ Google ให้บริการทุกวันตลอด 24 ชั่วโมงสำหรับพนักงานทุกคน

แนวทางปฏิบัติในการพัฒนาซอฟต์แวร์

Google ใช้การป้องกันการควบคุมแหล่งที่มาและการตรวจสอบจาก 2 ฝ่ายเพื่อเชิงรุก ที่จำกัดการเริ่มใช้ช่องโหว่ นอกจากนี้ Google ยังมีห้องสมุดที่ ป้องกันไม่ให้นักพัฒนาซอฟต์แวร์แสดง ข้อบกพร่องด้านความปลอดภัยบางประเภท สำหรับ ตัวอย่างเช่น Google มีไลบรารีและเฟรมเวิร์กที่ออกแบบมาเพื่อลบ XSS ช่องโหว่ใน SDK Google ยังมีเครื่องมืออัตโนมัติสำหรับ การตรวจหาความปลอดภัย เช่น Fuzzer เครื่องมือวิเคราะห์แบบคงที่ และโปรแกรมสแกนความปลอดภัยบนเว็บ

การป้องกันซอร์สโค้ด

ซอร์สโค้ดของ Google จัดเก็บไว้ในที่เก็บที่มีความสมบูรณ์ของแหล่งที่มาในตัว และการกำกับดูแล ทำให้สามารถตรวจสอบได้ทั้งเวอร์ชันปัจจุบันและในอดีต ของบริการ โครงสร้างพื้นฐานกำหนดให้สร้างไบนารีของบริการ จากซอร์สโค้ดเฉพาะหลังจากได้รับการตรวจสอบ ตรวจสอบ และทดสอบแล้ว ไบนารี การให้สิทธิ์สำหรับ Borg (BAB) เป็นการตรวจสอบการบังคับใช้ภายใน ที่เกิดขึ้นเมื่อมีการทำให้บริการใช้งานได้ BAB จะดำเนินการต่อไปนี้

ตรวจสอบว่าซอฟต์แวร์และการกำหนดค่าเวอร์ชันที่ใช้งานจริงที่ Google ใช้งานได้ ตรวจสอบและให้สิทธิ์แล้ว โดยเฉพาะเมื่อโค้ดดังกล่าวเข้าถึงข้อมูลของผู้ใช้ได้
ตรวจสอบว่าการทำให้โค้ดและการกำหนดค่าใช้งานได้เป็นไปตามมาตรฐานขั้นต่ำที่กำหนด
จำกัดความสามารถของบุคคลภายในหรือฝ่ายตรงข้ามในการสร้างความเสียหาย การปรับเปลี่ยนซอร์สโค้ดและให้ข้อมูลเชิงสืบสวนจาก บริการกลับไปยังต้นทาง

การลดความเสี่ยงจากบุคคลภายใน

Google จำกัดจำนวนและตรวจสอบกิจกรรมของพนักงานที่ ที่ได้รับสิทธิ์การเข้าถึงโครงสร้างพื้นฐานในระดับผู้ดูแลระบบ Google ยังคงดำเนินการเพื่อ ทำให้ไม่จำเป็นต้องใช้การเข้าถึงสิทธิพิเศษสำหรับงานบางอย่างโดยใช้ การทำงานอัตโนมัติที่สามารถทำงานแบบเดียวกันได้อย่างปลอดภัยและควบคุมได้ สำหรับ เช่น Google กำหนดให้ต้องมีการอนุมัติจาก 2 ฝ่ายสำหรับการดำเนินการบางอย่าง และ Google ใช้ API แบบจำกัดที่อนุญาตการแก้ไขข้อบกพร่องโดยไม่เปิดเผยข้อมูลที่ละเอียดอ่อน

การเข้าถึงข้อมูลผู้ใช้ปลายทางของพนักงาน Google ถูกบันทึกไว้ในระดับต่ำ ฮุกโครงสร้างพื้นฐาน ทีมรักษาความปลอดภัยของ Google จะคอยตรวจสอบรูปแบบการเข้าถึง ตรวจสอบเหตุการณ์ที่ผิดปกติ

การทดสอบการกู้ข้อมูลคืนหลังจากภัยพิบัติ - DiRT

Google Maps Platform ให้บริการการกู้ข้อมูลคืนหลังจากภัยพิบัติแบบหลายวันสำหรับทั้งบริษัท ทดสอบเหตุการณ์ (DiRT) เพื่อให้มั่นใจว่าบริการของ Google Maps Platform และ ธุรกิจภายในองค์กรยังคงดำเนินต่อได้ในช่วงที่เกิดภัยพิบัติ DiRT คือ เพื่อหาช่องโหว่ในระบบที่สำคัญโดยเจตนาทำให้ ความล้มเหลว และแก้ไขช่องโหว่เหล่านั้นก่อนที่จะเกิดความล้มเหลวใน ที่ควบคุมไม่ได้ DiRT ทดสอบความทนทานทางเทคนิคของ Google โดยเผยแพร่ และทดสอบความยืดหยุ่นในการปฏิบัติงานของ Google โดยการป้องกัน บุคลากรสำคัญ ผู้เชี่ยวชาญในพื้นที่ และผู้นำจากการเข้าร่วม ทั่วไปทั้งหมด บริการที่มีอยู่จำเป็นต้องมีการทดสอบ DiRT ที่ดำเนินอยู่และต่อเนื่อง คือการตรวจสอบความพร้อมรับมือกับปัญหาและความพร้อมในการทำงาน

ในการเตรียมตัวสำหรับการออกกำลังกายของ DiRT Google ใช้ชุดของ กฎเกี่ยวกับการจัดลำดับความสำคัญ

โปรโตคอลการสื่อสาร การคาดหวังผลกระทบ และข้อกำหนดด้านการออกแบบการทดสอบ ซึ่งรวมถึงแผนย้อนกลับที่ตรวจสอบและอนุมัติแล้ว แบบฝึกหัดและสถานการณ์ของ DiRT ไม่เพียงแต่ทำให้บริการเกิดข้อผิดพลาดทางเทคนิคเท่านั้น แต่ยังรวมถึง ความล้มเหลวในกระบวนการออกแบบ ความพร้อมของบุคลากรหลัก ระบบสนับสนุน การสื่อสาร และการเข้าถึงทางกายภาพ DiRT ตรวจสอบว่ากระบวนการที่มีอยู่ ใช้งานจริงได้ ทั้งยังดูแลให้ทีมได้รับการฝึกอบรมล่วงหน้าและมี ที่อาจได้รับจากการหยุดทำงานจริง เหตุขัดข้อง และภัยพิบัติ ที่มนุษย์สร้างขึ้นหรือโดยธรรมชาติ

การควบคุมความปลอดภัยที่สำคัญ

ส่วนนี้จะอธิบายการควบคุมความปลอดภัยหลักๆ ที่ Google Maps Platform ดำเนินการเพื่อปกป้องแพลตฟอร์มของตน

การเข้ารหัส

การเข้ารหัสจะช่วยเพิ่มการป้องกันอีกชั้นให้กับการปกป้องข้อมูล การเข้ารหัสช่วยให้มั่นใจว่าหากผู้โจมตีเข้าถึงข้อมูลได้ ผู้โจมตีจะไม่สามารถ อ่านข้อมูลโดยไม่ต้องเข้าถึงคีย์การเข้ารหัสได้ด้วย แม้ว่า ผู้โจมตีเข้าถึงข้อมูล (เช่น ด้วยการเข้าถึงการเชื่อมต่อแบบใช้สาย ระหว่างศูนย์ข้อมูล หรือการขโมยอุปกรณ์จัดเก็บข้อมูล) ก็จะไม่สามารถ เข้าใจหรือถอดรหัสได้

การเข้ารหัสเป็นกลไกสำคัญที่ทำให้ Google ช่วยปกป้อง ความเป็นส่วนตัวของข้อมูล ทำให้ระบบสามารถจัดการข้อมูลได้ เช่น การสำรองข้อมูล และวิศวกรเพื่อสนับสนุนโครงสร้างพื้นฐานของ Google โดยไม่ต้องให้ การเข้าถึงเนื้อหาสำหรับระบบหรือพนักงานเหล่านั้น

การเข้ารหัสเมื่อไม่มีการเคลื่อนไหว

การเข้ารหัส "เมื่อไม่มีการเคลื่อนไหว" ข้อมูลในส่วนนี้หมายถึงการเข้ารหัสที่ใช้ในการปกป้องข้อมูล จัดเก็บอยู่ในดิสก์ (รวมถึง Solid State ไดรฟ์) หรือสื่อสำรองข้อมูล ข้อมูลคือ ได้รับการเข้ารหัสที่ระดับพื้นที่เก็บข้อมูล โดยทั่วไปจะใช้ AES256 (การเข้ารหัสขั้นสูง) มาตรฐาน) ข้อมูลมักได้รับการเข้ารหัสในหลายระดับในเวอร์ชันที่ใช้งานจริงของ Google สแต็กพื้นที่เก็บข้อมูลในศูนย์ข้อมูล ซึ่งรวมถึงที่ระดับฮาร์ดแวร์ ขอให้ลูกค้า Google ดำเนินการใดๆ การใช้การเข้ารหัสแบบหลายชั้น

เพิ่มการคุ้มครองข้อมูลซ้ำซ้อนและช่วยให้ Google เลือกแนวทางที่เหมาะสมได้ ตามข้อกำหนดของการสมัคร Google ใช้ไลบรารีการเข้ารหัสทั่วไป ซึ่งรวมโมดูลที่ผ่านการตรวจสอบ FIPS 140-2 ของ Google เพื่อ ใช้การเข้ารหัสที่สอดคล้องกันในผลิตภัณฑ์ต่างๆ การใช้แอปพลิเคชัน หมายความเฉพาะทีมนักเข้ารหัสลับกลุ่มเล็กๆ เท่านั้นที่ต้องทำ จะดูแลรักษาโค้ดที่มีการควบคุมและได้รับการตรวจสอบอย่างเข้มงวดนี้

ปกป้องข้อมูลที่อยู่ระหว่างการส่ง

ข้อมูลอาจเสี่ยงต่อการเข้าถึงโดยไม่ได้รับอนุญาต เนื่องจากมีการเดินทางในอินเทอร์เน็ต Google Maps Platform รองรับการเข้ารหัสที่รัดกุมในการรับส่งระหว่างลูกค้า อุปกรณ์และเครือข่าย และเซิร์ฟเวอร์ Google Front End (GFE) ของ Google Google แนะนำให้ลูกค้า/นักพัฒนาซอฟต์แวร์ใช้การเข้ารหัสที่รัดกุมที่สุดของ Google (TLS 1.3) เมื่อสร้างแอปพลิเคชันตามแนวทางปฏิบัติแนะนำ ลูกค้าบางราย มีกรณีการใช้งานที่ต้องใช้ชุดการเข้ารหัสเวอร์ชันเก่าด้วยเหตุผลด้านความเข้ากันได้ Google Maps Platform รองรับมาตรฐานที่ไม่ปลอดภัยเหล่านี้ แต่ไม่แนะนำ โดยใช้เมื่อใดก็ตามที่เป็นไปได้ Google Cloud มีบริการขนส่งเพิ่มเติมให้คุณด้วย ตัวเลือกการเข้ารหัส รวมถึง Cloud VPN สำหรับการสร้าง Virtual Private เครือข่ายที่ใช้ IPsec สำหรับผลิตภัณฑ์ Google Maps Platform

ปกป้องข้อมูลที่อยู่ระหว่างการส่งระหว่างศูนย์ข้อมูลของ Google

Application Layer Transport Security (ALTS) ทำให้มั่นใจได้ว่าความสมบูรณ์ของ Google การจราจรของข้อมูลจะได้รับการป้องกันและเข้ารหัสตามที่จำเป็น หลังจากแฮนด์เชค ระหว่างไคลเอ็นต์และเซิร์ฟเวอร์เสร็จสมบูรณ์ และ ของไคลเอนต์และเซิร์ฟเวอร์จะเจรจาเกี่ยวกับ ข้อมูลลับในการเข้ารหัสที่จำเป็นสำหรับ มีการเข้ารหัสและตรวจสอบสิทธิ์การจราจรของข้อมูลในเครือข่าย ALTS รักษาความปลอดภัยของ RPC (ระยะไกล) การเรียกขั้นตอน) การเข้าชมโดยบังคับให้มีความสมบูรณ์ โดยใช้การแชร์ที่เจรจา ความลับ Google รองรับโปรโตคอลหลายแบบสำหรับการรับประกันความสมบูรณ์ เช่น AES-GMAC (มาตรฐานการเข้ารหัสขั้นสูง) พร้อมคีย์ 128 บิต เมื่อใดก็ตามที่การจราจรหนาแน่น ออกจากขอบเขตทางกายภาพที่ควบคุมโดยหรือในนามของ Google ตัวอย่างเช่น ผ่าน WAN (Wide Area Network) ระหว่างศูนย์ข้อมูล โปรโตคอลทั้งหมด อัปเกรดโดยอัตโนมัติเพื่อเข้ารหัสและรับประกันความสมบูรณ์

ความพร้อมใช้งานของบริการ Google Maps Platform

บริการบางอย่างของ Google Maps Platform อาจไม่พร้อมใช้งานในบางบริการ ภูมิศาสตร์ บริการขัดข้องชั่วคราวบางอย่าง (เนื่องจาก เช่น เครือข่ายหยุดทำงาน) แต่การจำกัดบริการอื่นๆ จะเป็นแบบถาวร เนื่องจากข้อจำกัดที่รัฐบาลกำหนด ความโปร่งใสที่ครอบคลุมของ Google รายงานและแดชบอร์ดสถานะแสดงข้อมูลล่าสุดและ การหยุดชะงักของการเข้าชมบริการ Google Maps Platform ที่เกิดขึ้นอย่างต่อเนื่อง Google มี เพื่อช่วยให้คุณวิเคราะห์และทำความเข้าใจข้อมูลระยะเวลาทำงานของ Google

การรักษาความปลอดภัยฝั่งไคลเอ็นต์

ความปลอดภัยเป็นความรับผิดชอบร่วมกันระหว่างผู้ให้บริการระบบคลาวด์กับ ลูกค้า/พาร์ทเนอร์ที่ใช้ผลิตภัณฑ์ Google Maps Platform ส่วนนี้ รายละเอียดความรับผิดชอบของลูกค้า/พาร์ทเนอร์ที่ควรพิจารณา ในการออกแบบโซลูชัน Google Maps Platform

JavaScript API

เว็บไซต์ที่ปลอดภัย

Maps JavaScript API เผยแพร่ชุดคำแนะนำที่ช่วยให้ ปรับแต่งนโยบายรักษาความปลอดภัยเนื้อหา (CSP) ของเว็บไซต์เพื่อหลีกเลี่ยง ช่องโหว่ เช่น Cross-site Scripting การหลอกให้คลิก และการแทรกข้อมูล การโจมตี JavaScript API รองรับ CSP 2 รูปแบบ ได้แก่ CSP แบบเข้มงวดที่ใช้ nonces และ CSP ที่อนุญาต

JavaScript ที่ปลอดภัย

ระบบจะสแกน JavaScript เป็นประจำเพื่อหารูปแบบการป้องกันความปลอดภัยที่ทราบ และ ปัญหาได้รับการแก้ไขอย่างรวดเร็ว JavaScript API เปิดตัวทุกสัปดาห์ ในกรณีที่เกิดปัญหาขึ้น

ความปลอดภัยแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ (MAS)

Mobile Application Security (MAS) เป็นการทำงานที่เปิดกว้าง คล่องตัว และอาศัยความช่วยเหลือจากผู้คน การมีส่วนร่วมของผู้เขียนและนักวิจารณ์หลายสิบคนจากทั่วโลก โครงการหลัก OWASP Mobile Application Security (MAS) มีความปลอดภัย มาตรฐานสำหรับแอปบนอุปกรณ์เคลื่อนที่ (OWASP MASVS) และคู่มือการทดสอบที่ครอบคลุม (OWASP MASTG) ที่ครอบคลุมกระบวนการ เทคนิค และเครื่องมือที่ใช้ในแอปบนอุปกรณ์เคลื่อนที่ รวมถึงชุดกรอบการทดสอบที่ครอบคลุม ซึ่งช่วยให้ผู้ทดสอบ เพื่อให้ได้ผลลัพธ์ที่สม่ำเสมอและสมบูรณ์

มาตรฐานการยืนยันความปลอดภัยของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ OWASP (MASVS) เป็นเกณฑ์พื้นฐานที่สมบูรณ์และสอดคล้องกัน การทดสอบความปลอดภัยสำหรับทั้ง iOS และ Android
คู่มือการทดสอบความปลอดภัยของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ (MASTG) ของ OWASP คือ คู่มือที่ครอบคลุมเกี่ยวกับกระบวนการ เทคนิค และเครื่องมือที่ใช้ ในระหว่างการวิเคราะห์ความปลอดภัยของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ รวมถึงชุดของ กรณีทดสอบเพื่อยืนยันข้อกำหนดที่ระบุไว้ใน MASVS
รายการตรวจสอบความปลอดภัยของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ OWASP ประกอบด้วย ลิงก์ไปยังกรณีการทดสอบ MASTG สำหรับการควบคุม MASVS แต่ละรายการ
- การประเมินความปลอดภัย / Pentests: ตรวจสอบให้แน่ใจว่าคุณครอบคลุมถึง แพลตฟอร์มการโจมตีมาตรฐาน และเริ่มสำรวจ
- การปฏิบัติตามข้อกำหนดมาตรฐาน: มีเวอร์ชัน MASVS และ MASTG และคอมมิตรหัส
- เรียนรู้และฝึกฝนทักษะการรักษาความปลอดภัยบนอุปกรณ์เคลื่อนที่
- การเผชิญหน้ากับข้อบกพร่อง: เดินหน้าไปทีละขั้นเพื่อคลุมพื้นผิวการโจมตีบนอุปกรณ์เคลื่อนที่

พิจารณาใช้ OWASP MAS เพื่อเพิ่มประสิทธิภาพแอปพลิเคชัน iOS และ Android ของคุณ ด้านความปลอดภัย การทดสอบ และการตรวจสอบสิทธิ์

Android

เมื่อพัฒนาแอปพลิเคชัน Android แหล่งข้อมูลอีกอย่างหนึ่งที่ควรพิจารณาคือ แนวทางปฏิบัติแนะนำสำหรับแอปพลิเคชันชุมชน Android ความปลอดภัย มีแนวทางปฏิบัติแนะนำเกี่ยวกับการบังคับใช้ การสื่อสาร การกำหนดสิทธิ์ที่ถูกต้อง พื้นที่จัดเก็บข้อมูลที่ปลอดภัย บริการ ทรัพยากร Dependency และอื่นๆ

iOS

เมื่อพัฒนาแอปพลิเคชัน iOS โปรดอ่านข้อมูลเบื้องต้นเกี่ยวกับการรักษาความปลอดภัยของ Apple คู่มือการเขียนโค้ด ซึ่งมีแนวทางปฏิบัติแนะนำสำหรับ iOS แพลตฟอร์ม

การเก็บรวบรวม การใช้งาน และการเก็บรักษาข้อมูล

Google Maps Platform มุ่งมั่นที่จะสร้างความโปร่งใสในการเก็บรวบรวมข้อมูล ปริมาณการใช้อินเทอร์เน็ต และการเก็บรักษาข้อมูล การเก็บรวบรวม การใช้งานข้อมูล และการเก็บรักษาจะอยู่ภายใต้ข้อกำหนดในการให้บริการของ Google Maps Platform บริการ ซึ่งรวมถึงนโยบายความเป็นส่วนตัวของ Google นโยบาย

การรวบรวมข้อมูล

มีการรวบรวมข้อมูลผ่านการใช้ผลิตภัณฑ์ Google Maps Platform ในฐานะลูกค้า คุณเป็นผู้ควบคุมว่าจะส่งข้อมูลใดไปยัง Google Maps Platform ผ่าน API และ SDK ระบบจะบันทึกคำขอ Google Maps Platform ทั้งหมด รวมรหัสสถานะการตอบกลับจากผลิตภัณฑ์

ข้อมูลที่บันทึกสำหรับ Google Maps Platform

บันทึกของ Google Maps Platform ในชุดผลิตภัณฑ์ บันทึกมีหลายรายการ รายการที่มักประกอบด้วย

ตัวระบุบัญชี ซึ่งอาจเป็นคีย์ API, รหัสไคลเอ็นต์ หรือโปรเจ็กต์ที่อยู่ในระบบคลาวด์ หมายเลข ซึ่งจำเป็นสำหรับการดำเนินงาน การสนับสนุน และการเรียกเก็บเงิน
ที่อยู่ IP ของเซิร์ฟเวอร์ บริการ หรืออุปกรณ์ที่ส่งคำขอ สำหรับ API โปรดทราบว่า ที่อยู่ IP ที่ส่งไปยัง Google Maps Platform จะขึ้นอยู่กับว่า มีการใช้การเรียก API ในแอปพลิเคชัน/โซลูชันของคุณ สำหรับ SDK ค่า IP ที่อยู่ของอุปกรณ์ที่เรียกใช้จะถูกบันทึก
URL คำขอ ซึ่งมี API และพารามิเตอร์ที่ส่งไปยัง API ตัวอย่างเช่น Geocoding API ต้องการ (ที่อยู่และคีย์ API) การระบุพิกัดทางภูมิศาสตร์ยังมีตัวเลือก พารามิเตอร์ URL ของคำขอจะมีพารามิเตอร์ทั้งหมดที่ส่งไปยัง service.
วันที่และเวลาของคำขอ
เว็บแอปพลิเคชันมีการบันทึกส่วนหัวของคำขอไว้ซึ่งโดยทั่วไปแล้วจะมี ข้อมูล เช่น ประเภทของเว็บเบราว์เซอร์และระบบปฏิบัติการ
แอปพลิเคชันบนอุปกรณ์เคลื่อนที่ที่ใช้ SDK มีเวอร์ชัน Google Play, ไลบรารี และบันทึกชื่อแอปพลิเคชันไว้แล้ว

การเข้าถึงบันทึกของ Google Maps Platform

การเข้าถึงบันทึกมีการจำกัดอย่างสูงและให้สิทธิ์เฉพาะในบางทีมเท่านั้น ซึ่งมีความต้องการทางธุรกิจที่ถูกกฎหมาย คำขอสิทธิ์เข้าถึงแต่ละรายการ ไฟล์บันทึกได้รับการจัดทำเป็นเอกสารเพื่อการตรวจสอบ ซึ่งได้รับการยืนยันผ่าน การตรวจสอบ ISO 27001 และ SOC 2 ของ Google โดยบุคคลที่สาม

การใช้ข้อมูล

ข้อมูลที่ Google Maps Platform รวบรวมจะใช้เพื่อวัตถุประสงค์ต่อไปนี้

การปรับปรุงผลิตภัณฑ์และบริการของ Google
ให้การสนับสนุนด้านเทคนิคแก่ลูกค้า
การแจ้งเตือนและการตรวจสอบการปฏิบัติงาน
การรักษาความปลอดภัยของแพลตฟอร์ม
การวางแผนความสามารถของแพลตฟอร์ม

โปรดทราบว่า Google Maps Platform จะไม่ขายข้อมูลการดำเนินการของผู้ใช้ให้แก่ ทุกฝ่ายตามที่ระบุในนโยบายความเป็นส่วนตัวของ Google

การเก็บรักษาข้อมูลและการลบข้อมูลระบุตัวบุคคล

ระบบอาจเก็บรักษาข้อมูลที่เก็บรวบรวมไว้ในบันทึกของ Google Maps Platform ที่มีความยาวต่างกัน โดยอิงตามความต้องการทางธุรกิจ ซึ่งเป็นไปตามการลบข้อมูลระบุตัวบุคคลของ Google นโยบายการปกปิด ระบบจะลบข้อมูลที่อยู่ IP โดยอัตโนมัติทันทีที่ ที่ใช้ได้ (บางส่วนของที่อยู่ IP จะถูกลบ) การใช้งานรวมที่ไม่ระบุตัวตน สถิติที่ได้จากบันทึกอาจถูกเก็บรักษาไว้โดยไม่มีกำหนด

การรักษาความปลอดภัย อุตสาหกรรม ความพร้อมใช้งานสูง และการรับรองด้านสิ่งแวดล้อม การตรวจสอบ

ISO 27001

องค์การระหว่างประเทศว่าด้วยการมาตรฐาน (ISO) เป็นหน่วยงานอิสระ องค์กรระหว่างประเทศนอกภาครัฐที่มีการเป็นสมาชิกระหว่างประเทศของ หน่วยงานว่าด้วยมาตรฐานแห่งชาติ 163 แห่ง ISO/IEC 27000 ตระกูล มาตรฐานช่วยให้องค์กรสามารถเก็บสินทรัพย์ข้อมูล ปลอดภัย

ISO/IEC 27001 ระบุและมอบข้อกำหนดสำหรับความปลอดภัยของข้อมูล ระบบจัดการ (ISMS) ระบุชุดแนวทางปฏิบัติที่ดีที่สุด และให้รายละเอียด การควบคุมความปลอดภัยที่จะช่วยจัดการความเสี่ยงของข้อมูลได้

Google Maps Platform และโครงสร้างพื้นฐานร่วมของ Google ได้รับการรับรอง ISO/IEC เป็นไปตามข้อกำหนด 27001 มาตรฐาน 27001 ไม่ได้กำหนดข้อมูลเฉพาะ แต่เฟรมเวิร์กและรายการตรวจสอบของการควบคุมที่กำหนดมานั้น Google รับประกันโมเดลด้านความปลอดภัยที่ครอบคลุมและปรับปรุงอย่างต่อเนื่อง การจัดการ

คุณสามารถดาวน์โหลดและตรวจสอบการรับรองมาตรฐาน ISO 27001 ของ Google Maps Platform ได้ จากเครื่องมือจัดการรายงานการปฏิบัติตามข้อกำหนดของ Google

SOC 2 ประเภท II

SOC 2 เป็นรายงานที่อิงตามคณะกรรมการมาตรฐานการตรวจสอบ (Auditing Standards Board) ของ American Institute of Certified Public Accountants (AICPA) เกณฑ์การให้บริการความน่าเชื่อถือ (TSC) ที่มีอยู่ วัตถุประสงค์ของ รายงานนี้ใช้ในการประเมินระบบข้อมูลขององค์กรที่เกี่ยวข้องกับ ความปลอดภัย ความพร้อมใช้งาน ความสมบูรณ์ของการประมวลผล การรักษาข้อมูลที่เป็นความลับ และความเป็นส่วนตัว SOC 2 รายงานประเภท 2 จะออกทุกครึ่งปีในช่วงเดือนมิถุนายน และ ธันวาคม

คุณสามารถดาวน์โหลดและอ่านรายงานการตรวจสอบ SOC 2 Type II ของ Google Maps Platform จากเครื่องมือจัดการรายงานการปฏิบัติตามข้อกำหนดของ Google

Cloud Security Alliance (CSA)

Cloud Security Alliance (1, 2) เป็นองค์กรการกุศลที่ คือการ "ส่งเสริมการใช้แนวทางปฏิบัติแนะนำเพื่อความปลอดภัย การรับรองภายในการประมวลผลแบบคลาวด์ (Cloud Computing) และให้การศึกษาเกี่ยวกับการใช้งานระบบคลาวด์ การประมวลผลเพื่อช่วยให้ระบบประมวลผลรูปแบบอื่นๆ ทั้งหมดปลอดภัย"

โครงการ Security, Trust และ Assurance Registry ของ CSA (CSA STAR) ได้รับการออกแบบ เพื่อช่วยคุณประเมินและเลือกผู้ให้บริการระบบคลาวด์ผ่าน 3 ขั้นตอน โปรแกรมการประเมินตนเอง การตรวจสอบโดยบุคคลที่สาม และการตรวจสอบอย่างต่อเนื่อง

Google Maps Platform ผ่านการประเมินโดยบุคคลที่สาม การรับรอง (CSA STAR ระดับ 1: เอกสารรับรอง)

Google ยังเป็นผู้สนับสนุน CSA และเป็นสมาชิกของ CSA ระดับ International ของ CSA ด้วย คณะกรรมการมาตรฐาน (ISC) และสมาชิกผู้ก่อตั้ง CSA ศูนย์ความเป็นเลิศของ GDPR

ISO 22301:2019

ISO 22301:2019 เป็นมาตรฐานสากลสำหรับธุรกิจ การจัดการความต่อเนื่องที่ออกแบบมาเพื่อช่วยองค์กรในการนำไปใช้งานและดูแลรักษา และปรับปรุงระบบการจัดการเพื่อป้องกัน เตรียมพร้อม ตอบสนอง และฟื้นฟู จากเหตุขัดข้องที่อาจเกิดขึ้น

ศูนย์ข้อมูลที่รองรับผลิตภัณฑ์ Google Maps Platform ได้รับการรับรองเป็น ISO 22301:2019 และ BS EN มาตรฐาน ISO 22301:2019 หลังจากได้รับการตรวจสอบโดย ผู้ตรวจสอบอิสระที่เป็นบุคคลที่สาม การปฏิบัติตามมาตรฐานเหล่านี้สำหรับ ศูนย์ข้อมูลสาธิตว่าสถานที่ที่โฮสต์ผลิตภัณฑ์และบริการของ Google เป็นไปตามข้อกำหนดที่กำหนดโดย ISO 22301:2019 และ BS EN ISO 22301:2019

ISO 50001

ISO 50001:2018 เป็นมาตรฐานสากลสำหรับพลังงาน ที่ออกแบบมาเพื่อช่วยให้องค์กรนำไปใช้ ดูแลรักษา และ ปรับปรุงระบบการจัดการเพื่อรวมการจัดการพลังงานเข้ากับ ในการปรับปรุงคุณภาพและการจัดการสิ่งแวดล้อม

ศูนย์ข้อมูลของ Google EMEA ที่ Google Maps Platform ใช้ได้รับการรับรองเป็น ISO เป็นไปตามข้อกำหนด 50001:2018 หลังจากผ่านการตรวจสอบโดยบุคคลที่สามอิสระ ผู้ตรวจสอบบัญชี การปฏิบัติตามข้อกำหนด ISO 50001:2018 สำหรับศูนย์ข้อมูลของ Google แสดงให้เห็นว่า สถานที่ที่อยู่ในขอบเขตซึ่งโฮสต์ผลิตภัณฑ์และบริการของ Google เป็นไปตามข้อกำหนด กำหนดโดย ISO 50001:2018

กรอบกฎหมายที่รองรับ

ต่อไปนี้คือข้อผูกมัดทางสัญญาทั่วโลก

ข้อผูกพันทางสัญญาของยุโรป

ส่วนนี้จะอธิบายข้อผูกพันทางสัญญาของยุโรป

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรป

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) เป็นนิติบัญญัติด้านความเป็นส่วนตัวที่เข้ามาแทนที่ 95/46/EC ข้อบังคับเกี่ยวกับการคุ้มครองข้อมูลลงที่ 24 ตุลาคม 1995 วันที่ 25 พฤษภาคม 2018 GDPR ได้วางข้อกำหนดที่เฉพาะเจาะจงสำหรับธุรกิจและองค์กรที่ ซึ่งก่อตั้งในยุโรปหรือให้บริการผู้ใช้ในยุโรป แพลตฟอร์ม Google Maps สนับสนุนโครงการริเริ่มที่ให้ความสำคัญและปรับปรุงความปลอดภัยและความเป็นส่วนตัว ข้อมูลส่วนตัวของลูกค้า และอยากให้คุณในฐานะลูกค้า Google Maps Platform สร้างความมั่นใจในการใช้บริการของ Google ตามข้อกำหนด GDPR ถ้า ที่คุณเป็นพาร์ทเนอร์กับ Google Maps Platform ก็จะรองรับการปฏิบัติตามข้อกำหนด GDPR โดย:

สัญญาผูกมัดในสัญญาของ Google ว่าจะปฏิบัติตาม GDPR การประมวลผลข้อมูลส่วนตัวของ Google ในบริการ Google Maps Platform ทั้งหมด
มอบเอกสารและแหล่งข้อมูลเพื่อช่วยคุณเรื่องความเป็นส่วนตัว การประเมินบริการของ Google
ยังคงพัฒนาความสามารถของ Google อย่างต่อเนื่องตามภูมิทัศน์ด้านกฎระเบียบ การเปลี่ยนแปลง

การพิจารณามาตรฐานคุ้มครองที่เพียงพอของ EU, EEA, สวิตเซอร์แลนด์ และสหราชอาณาจักร

ตามที่ระบุไว้ในนโยบายความเป็นส่วนตัวของ Google ยุโรป คณะกรรมาธิการระบุว่ามีบางประเทศนอกสหภาพยุโรป เขตเศรษฐกิจยุโรป (EEA) ที่คุ้มครองข้อมูลส่วนบุคคลได้อย่างเพียงพอ ซึ่งหมายความว่า สามารถโอนจากสหภาพยุโรป (EU) ตลอดจนนอร์เวย์ ลิกเตนสไตน์ และไอซ์แลนด์ไปยังประเทศเหล่านั้น สหราชอาณาจักรและสวิตเซอร์แลนด์ก็ได้นำ มาตรฐานคุ้มครองที่เพียงพอ

ข้อสัญญามาตรฐานของสหภาพยุโรป

คณะกรรมาธิการยุโรปได้เผยแพร่ SCC ฉบับใหม่ของสหภาพยุโรปเพื่อช่วย ปกป้องข้อมูลของยุโรปร่วมกับ SCC Google ได้รวม SCC ไว้ในสัญญา Google Maps Platform เพื่อปกป้องข้อมูลและเป็นไปตามข้อกำหนด ตามข้อกำหนดของกฎหมายว่าด้วยความเป็นส่วนตัวของยุโรป เช่นเดียวกับ SCC ฉบับก่อนหน้า สามารถใช้ข้อความเพื่ออำนวยความสะดวกในการโอนข้อมูลอย่างถูกกฎหมาย

กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร

กฎหมายคุ้มครองข้อมูลปี 2018 คือการดำเนินการของสหราชอาณาจักร กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) "GDPR ของสหราชอาณาจักร" หมายถึง GDPR ของสหภาพยุโรป แก้ไขและผนวกรวมไว้ในกฎหมายของสหราชอาณาจักรภายใต้สหภาพยุโรปของสหราชอาณาจักร (การถอนตัว) กฎหมายปี 2018 และนิติบัญญัติลำดับรองที่เกี่ยวข้องภายใต้พระราชบัญญัติดังกล่าว

กฎหมายคุ้มครองข้อมูล (FDPA) ของสวิตเซอร์แลนด์

กฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์หรือที่รู้จักกันอย่างเป็นทางการในชื่อรัฐบาลกลาง กฎหมายคุ้มครองข้อมูล (FADP) คือกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลที่มุ่งหวัง ปกป้องบุคคล ความเป็นส่วนตัวและสิทธิขั้นพื้นฐานเมื่อประมวลผลข้อมูล

ข้อผูกพันทางสัญญาที่ไม่ใช่ของยุโรป

ส่วนนี้อธิบายถึงข้อผูกพันทางสัญญาที่ไม่ใช่ของยุโรป

ไล เจอรัล เดอ โพรเทเซา เดอ ดาดอส (LGPD)

Lei Geral de Proteção de Dados (LGPD) ของบราซิลเป็นข้อมูล กฎหมายว่าด้วยความเป็นส่วนตัวที่ควบคุมการประมวลผลข้อมูลส่วนตัวโดยธุรกิจ และ องค์กรที่ก่อตั้งในบราซิลหรือที่ให้บริการผู้ใช้ในบราซิล กรณีอื่นๆ ตอนนี้ LGPD มีผลบังคับใช้แล้วและมีการคุ้มครองดังต่อไปนี้

ควบคุมวิธีที่ธุรกิจและองค์กรสามารถรวบรวม ใช้ และจัดการ ข้อมูลส่วนตัว
ปรับปรุงหรือแทนที่กฎหมายคุ้มครองความเป็นส่วนตัวของภาคส่วนรัฐบาลกลางที่มีอยู่เพื่อเพิ่ม ความรับผิดชอบ
อนุมัติค่าปรับในธุรกิจและองค์กรที่ไม่ปฏิบัติตาม ข้อกำหนด
อนุญาตให้สร้างหน่วยงานคุ้มครองข้อมูล
ตั้งกฎเกี่ยวกับการโอนข้อมูลส่วนตัวที่เก็บรวบรวมภายในบราซิล

Google มีผลิตภัณฑ์และโซลูชันที่คุณใช้เป็นส่วนหนึ่งของ LGPD ได้ กลยุทธ์การปฏิบัติตามข้อกำหนด

ฟีเจอร์ด้านความปลอดภัยและความเป็นส่วนตัวที่จะช่วยให้คุณปฏิบัติตาม LGPD และทำงานได้ดีขึ้น ปกป้องและควบคุมข้อมูลส่วนตัว
บริการและโครงสร้างพื้นฐานที่สร้างขึ้นเพื่อให้มั่นใจได้ว่าการประมวลผลข้อมูลมีความปลอดภัย และใช้หลักปฏิบัติเกี่ยวกับนโยบายความเป็นส่วนตัวที่เหมาะสม
มีการพัฒนาอย่างต่อเนื่องในผลิตภัณฑ์และความสามารถของ Google ในฐานะหน่วยงานกำกับดูแล การเปลี่ยนแปลงภูมิทัศน์

ลูกค้า Google Maps Platform จะต้องประเมินการประมวลผลข้อมูลส่วนบุคคลของลูกค้า และพิจารณาว่าข้อกำหนดของ LGPD เกี่ยวข้องกับหน่วยงานดังกล่าวหรือไม่ Google ขอแนะนำให้คุณปรึกษาผู้เชี่ยวชาญด้านกฎหมายเพื่อขอคำแนะนำเกี่ยวกับ LGPD เฉพาะขององค์กรเท่านั้น เนื่องจากเว็บไซต์นี้ไม่ ถือเป็นคำแนะนำทางกฎหมาย

ข้อผูกพันตามสัญญาของรัฐในสหรัฐอเมริกา

กฎหมายเกี่ยวกับความเป็นส่วนตัวของข้อมูลและการตรวจสอบออนไลน์แห่งรัฐคอนเนตทิคัต

กฎหมายเกี่ยวกับความเป็นส่วนตัวของข้อมูลและทางออนไลน์ของคอนเนตทิคัต Monitoring, Pub. กฎหมายหมายเลข 22015 มีผลบังคับใช้เมื่อวันที่ 1 มกราคม 2023 โปรดดูการคุ้มครองข้อมูลระหว่างผู้ควบคุมข้อมูลของ Google ข้อกำหนดเพื่อดูข้อมูลเพิ่มเติม

กฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA)

กฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) (1, 2) คือ กฎหมายว่าด้วยความเป็นส่วนตัวของข้อมูลที่ให้ไว้กับผู้บริโภคในรัฐแคลิฟอร์เนียหลายคน รวมไปถึงสิทธิ์ในการเข้าถึง ลบ และเลือกไม่ใช้ "การขาย" จาก ข้อมูลส่วนบุคคลของผู้ใช้ ตั้งแต่วันที่ 1 มกราคม 2020 เป็นต้นไป ธุรกิจที่รวบรวม ผู้พำนักอาศัยในแคลิฟอร์เนีย และมีคุณสมบัติตรงตามเกณฑ์บางอย่าง (สำหรับ รายได้ ปริมาณการประมวลผลข้อมูล) จะต้องเป็นไปตามข้อกำหนดดังกล่าว และข้อผูกพันเพิ่มเติมดังต่อไปนี้ กฎหมายสิทธิด้านความเป็นส่วนตัวแห่งรัฐแคลิฟอร์เนีย (CPRA) เป็นกฎหมายว่าด้วยการคุ้มครองความเป็นส่วนตัวของข้อมูล แก้ไขและขยายตัวตาม CCPA กฎหมายนี้จะมีผลในวันที่ 1 มกราคม 2023 Google มุ่งมั่นที่จะช่วยให้ลูกค้าดำเนินการตามภาระหน้าที่ของตนภายใต้ ข้อบังคับด้านข้อมูลเหล่านี้โดยการนำเสนอเครื่องมือที่สะดวกสบายและสร้างความเป็นส่วนตัวที่แข็งแกร่ง และการรักษาความปลอดภัยในบริการและสัญญาของ Google ดูข้อมูลเพิ่มเติม ข้อมูลเกี่ยวกับความรับผิดชอบของคุณในฐานะธุรกิจภายใต้ CCPA ใน เว็บไซต์ของสำนักงานอัยการสูงสุดของรัฐแคลิฟอร์เนีย โปรดดู ข้อกำหนดของ Google ด้านการคุ้มครองข้อมูลระหว่างผู้ควบคุมข้อมูลสำหรับ ข้อมูลเพิ่มเติม

กฎหมายความเป็นส่วนตัวแห่งรัฐโคโลราโด (CPA)

กฎหมายคุ้มครองความเป็นส่วนตัวแห่งรัฐโคโลราโด รัฐโคโลราโด รัฐโคโลราโด มาตรา 6-1-1301 และมาตราอื่นๆ โดยมีผลบังคับใช้เมื่อวันที่ 1 มกราคม 2023 การกระทำดังกล่าวสร้างความเป็นส่วนตัวของข้อมูลส่วนบุคคล และใช้กับนิติบุคคลที่ดำเนินธุรกิจหรือผลิตเชิงพาณิชย์ ผลิตภัณฑ์หรือบริการที่มีเจตนากำหนดเป้าหมายไปยังผู้พำนักอาศัยในโคโลราโดและ ที่

ควบคุมหรือประมวลผลข้อมูลส่วนตัวของผู้บริโภคอย่างน้อย 100,000 คนต่อปฏิทิน ปี
สร้างรายได้จากการขายข้อมูลส่วนตัวและควบคุมหรือประมวลผล ข้อมูลส่วนตัวของผู้บริโภคอย่างน้อย 25,000 ราย

โปรดดูการคุ้มครองข้อมูลระหว่างผู้ควบคุมข้อมูลของ Google ข้อกำหนดเพื่อดูข้อมูลเพิ่มเติม

กฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งรัฐยูทาห์ (UCPA)

กฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งรัฐยูทาห์ (Utah Code Ann) มาตรา 13-61-101 และมาตราอื่นๆ ที่เกี่ยวข้อง ลำดับ โดยมีผลบังคับใช้เมื่อวันที่ 1 มกราคม 2023 UCPA มีผลบังคับใช้กับการขาย ข้อมูลส่วนตัวและการโฆษณาที่ตรงเป้าหมาย รวมถึงกำหนดว่าสิ่งใดควรและไม่ รวมการขาย: "การแลกเปลี่ยนข้อมูลส่วนตัวเพื่อการพิจารณาทางการเงินโดย ให้กับบุคคลที่สาม"

กฎหมายคุ้มครองข้อมูลของผู้บริโภคแห่งรัฐเวอร์จิเนีย (VCDPA)

กฎหมายคุ้มครองข้อมูลของผู้บริโภคแห่งรัฐเวอร์จิเนีย ("VCDPA") มีผลบังคับใช้แล้ว ซึ่งจะมีผลในวันที่ 1 มกราคม 2023 กฎหมายนี้ให้สิทธิ์บางอย่างแก่ผู้พำนักอาศัยในเวอร์จิเนีย สำหรับข้อมูลส่วนตัวที่ธุรกิจเก็บรวบรวมภายใต้เงื่อนไขที่ระบุไว้ในกฎหมาย

โปรดดูข้อมูลเกี่ยวกับการคุ้มครองข้อมูลระหว่างผู้ควบคุมข้อมูลของ Google ข้อกำหนดเพื่อดูข้อมูลเพิ่มเติม

สรุป

ความปลอดภัยเป็นเกณฑ์การออกแบบหลัก สำหรับโครงสร้างพื้นฐานทั้งหมดของ Google ผลิตภัณฑ์และการดำเนินงาน ขนาดการดำเนินงานของ Google และความร่วมมือ ร่วมกับชุมชนการวิจัยด้านความปลอดภัยช่วยให้เราแก้ไขช่องโหว่ อย่างรวดเร็ว และบ่อยครั้งเพื่อป้องกันปัญหาอย่างสิ้นเชิง Google ให้บริการของตนเอง เช่น เช่น Search, YouTube และ Gmail บนโครงสร้างพื้นฐานเดียวกัน พร้อมให้บริการแก่ลูกค้า ซึ่งได้รับประโยชน์จากการควบคุมการรักษาความปลอดภัยของ Google โดยตรง และแนวทางปฏิบัติแนะนำ

Google เชื่อว่า Google สามารถให้การป้องกันในระดับที่มีระบบคลาวด์สาธารณะเพียงไม่กี่แห่ง ของผู้ให้บริการหรือทีมไอทีขององค์กรส่วนตัวก็ได้ เนื่องจากการปกป้องข้อมูล ในธุรกิจของ Google เราลงทุนได้อย่างมากในด้านความปลอดภัย ทรัพยากรและความเชี่ยวชาญในขอบเขตที่ผู้อื่นไม่สามารถทำได้ การลงทุนของ Google ช่วยให้คุณโฟกัสกับธุรกิจและนวัตกรรมของตัวเองได้ เราจะลงทุนต่อไป ในแพลตฟอร์มเพื่อให้คุณได้รับประโยชน์จากบริการของ Google ใน อย่างโปร่งใส