เนื้อหานี้อัปเดตล่าสุดในเดือนกุมภาพันธ์ 2025 และมีสถานภาพเป็นปัจจุบัน ณ เวลาที่เขียน นโยบายและระบบความปลอดภัยของ Google อาจมีการเปลี่ยนแปลงในอนาคต เนื่องจากเราปรับปรุงการปกป้องให้แก่ลูกค้าอย่างต่อเนื่อง
บทนำ
Google Maps Platform มี API และ SDK สำหรับลูกค้าและพาร์ทเนอร์ในการพัฒนาแอปพลิเคชันบนเว็บและอุปกรณ์เคลื่อนที่โดยใช้เทคโนโลยีเชิงพื้นที่ของ Google Google Maps Platform มี API และ SDK มากกว่า 50 รายการสำหรับลูกค้าในอุตสาหกรรมต่างๆ ในฐานะลูกค้าในอุตสาหกรรม คุณมักต้องปฏิบัติตามข้อกําหนดด้านความปลอดภัย การใช้ข้อมูล และข้อกําหนดของกฎระเบียบเมื่อสร้างโซลูชัน ซึ่งรวมถึงการตรวจสอบว่าเทคโนโลยีของบุคคลที่สามเป็นไปตามข้อกำหนดเดียวกันเหล่านั้น
เอกสารนี้ให้ข้อมูลสรุประดับสูงเกี่ยวกับการควบคุมบุคคล กระบวนการ และเทคโนโลยีที่ Google Maps Platform นำเสนอ รวมถึงอธิบายถึงประโยชน์ของการใช้แพลตฟอร์ม ก่อนอื่น คุณต้องเข้าใจเสาหลักเทคโนโลยีหลัก 2 อย่างของ Google Maps Platform ดังนี้
- เทคโนโลยี ศูนย์ข้อมูล และโครงสร้างพื้นฐานที่ Google จัดหาให้ Google Maps Platform ทำงานในศูนย์ข้อมูลและโครงสร้างพื้นฐานที่ Google จัดหาให้ทั้งหมด จากพื้นฐานนี้ ทางบริษัทใช้การตรวจสอบภายในและการตรวจสอบโดยบุคคลที่สามกับการควบคุมความปลอดภัยที่รับช่วงมาจาก Google เพื่อยืนยันว่า Google Maps Platform ใช้การควบคุมด้านความปลอดภัย การดำเนินงาน และเทคนิคตามที่อธิบายไว้ในเอกสารนี้อย่างถูกต้อง
- เทคโนโลยี Google Maps Platform นอกเหนือจากการควบคุมที่รับช่วงมาแล้ว Google Maps Platform ยังมีการควบคุมด้านความปลอดภัย ความเป็นส่วนตัว ข้อมูล และการดำเนินการเพิ่มเติมสำหรับชุดผลิตภัณฑ์ของ Google
เอกสารนี้จะสรุปกระบวนการและการควบคุมด้านความปลอดภัยของ Google Maps Platform โดยแบ่งออกเป็นกลุ่มดังนี้
- มุ่งเน้นที่ความปลอดภัยและความเป็นส่วนตัวขององค์กร Google ทุกระดับ
- โครงสร้างพื้นฐานทางเทคนิคและความปลอดภัยของฮาร์ดแวร์
- การรักษาความปลอดภัยในการดําเนินการ
- การควบคุมความปลอดภัยที่สำคัญ
- การรักษาความปลอดภัยฝั่งไคลเอ็นต์ ทั้งบนเว็บและอุปกรณ์เคลื่อนที่
- การรับรองและการตรวจสอบปัจจุบันใน Google Maps Platform
- เฟรมเวิร์กทางกฎหมายที่รองรับทั่วโลก
ผู้มีโอกาสเป็นลูกค้าสามารถติดต่อตัวแทนฝ่ายขายของ Google เพื่อขอข้อมูลเพิ่มเติม
วัฒนธรรมที่มุ่งเน้นความปลอดภัยและความเป็นส่วนตัวของ Google
ความปลอดภัยเป็นปัจจัยที่ขับเคลื่อนโครงสร้างองค์กร วัฒนธรรม ลำดับความสำคัญของการฝึกอบรม และกระบวนการจ้างงานทั่วทั้ง Google ซึ่งส่งผลต่อการออกแบบศูนย์ข้อมูลของ Google และเทคโนโลยีที่ให้บริการ ความปลอดภัยเป็นรากฐานของการดำเนินงานในแต่ละวันของ Google ซึ่งรวมถึงการวางแผนรับมือภัยพิบัติและการจัดการภัยคุกคาม Google ให้ความสำคัญกับความปลอดภัยในการจัดการข้อมูล การควบคุมบัญชี การตรวจสอบการปฏิบัติตามข้อกำหนด และการรับรองอุตสาหกรรม Google ออกแบบบริการของตนเพื่อให้มีความปลอดภัยดีกว่าทางเลือกในองค์กรแบบดั้งเดิมหลายรายการที่อาศัยผู้ให้บริการและแพลตฟอร์มหลายราย ซึ่งการรักษาความปลอดภัยมักเป็นกระบวนการที่ไม่เชื่อมโยงกัน คุณจะได้รับประโยชน์จากโปรแกรมและการควบคุมความปลอดภัยแบบรวมของ Google เมื่อใช้ประโยชน์จากผลิตภัณฑ์ Google Maps Platform สําหรับธุรกิจ แพลตฟอร์ม Google Maps ให้ความสำคัญกับความปลอดภัยในการดำเนินงาน ซึ่งให้บริการแก่ผู้ใช้กว่าพันล้านคนทั่วโลก
Google และ Google Maps Platform ร่วมกันมอบการรักษาความปลอดภัยหลายชั้นทั่วทั้งบริษัทและองค์กร ดังนี้
- ทีมรักษาความปลอดภัยเฉพาะของ Google
- ทีมรักษาความปลอดภัยของผลิตภัณฑ์ Google Maps Platform
- การมีส่วนร่วมอย่างสม่ำเสมอกับชุมชนการวิจัยด้านความปลอดภัยทั่วโลก
- ทีมความเป็นส่วนตัวของ Google Maps Platform
- การฝึกอบรมด้านความปลอดภัยและความเป็นส่วนตัวของพนักงาน Google
- ผู้เชี่ยวชาญด้านการตรวจสอบภายในและการปฏิบัติตามข้อกำหนด
ทีมรักษาความปลอดภัยเฉพาะของ Google
Google มีทีมรักษาความปลอดภัยเฉพาะในส่วนต่างๆ ของบริษัทและภายในขอบเขตของผลิตภัณฑ์
ทีมรักษาความปลอดภัยทั่วทั้ง Google สนับสนุนกลุ่มผลิตภัณฑ์หลายกลุ่มใน Google ซึ่งรวมถึง Google Maps Platform ทีมรักษาความปลอดภัยของเรามีผู้เชี่ยวชาญด้านการรักษาความปลอดภัยของข้อมูล การรักษาความปลอดภัยของแอปพลิเคชัน วิทยาการเข้ารหัส และการรักษาความปลอดภัยของเครือข่ายที่มีชื่อเสียงระดับโลก กิจกรรมของบุคคลเหล่านี้ ได้แก่
- พัฒนา ตรวจสอบ และใช้งานกระบวนการด้านความปลอดภัย ซึ่งรวมถึงการตรวจสอบแผนการรักษาความปลอดภัยสำหรับเครือข่ายของ Google และให้คำปรึกษาเฉพาะโปรเจ็กต์แก่ทีมผลิตภัณฑ์และทีมวิศวกรทั่วทั้ง Google ตัวอย่างเช่น ผู้เชี่ยวชาญด้านวิทยาการเข้ารหัสจะตรวจสอบการเปิดตัวผลิตภัณฑ์ที่ใช้วิทยาการเข้ารหัสเป็นส่วนหนึ่งของข้อเสนอ
- จัดการภัยคุกคามด้านความปลอดภัยอย่างสม่ำเสมอ ทีมใช้ทั้งเครื่องมือเชิงพาณิชย์และเครื่องมือที่กําหนดเองเพื่อตรวจสอบภัยคุกคามอย่างต่อเนื่องและกิจกรรมที่น่าสงสัยในเครือข่ายของ Google
- ทำการตรวจสอบและประเมินเป็นประจำ ซึ่งอาจรวมถึงการว่าจ้างผู้เชี่ยวชาญภายนอกให้ทำการประเมินความปลอดภัย
- เผยแพร่บทความด้านความปลอดภัยต่อชุมชนในวงกว้าง Google มีบล็อกความปลอดภัยและซีรีส์ YouTube ที่ไฮไลต์ทีมรักษาความปลอดภัยบางทีมและความสำเร็จของทีม
ทีมรักษาความปลอดภัยของ Google Maps Platform ทำงานร่วมกับทีมรักษาความปลอดภัยทั่วทั้ง Google โดยทำงานใกล้ชิดกับทีมพัฒนาผลิตภัณฑ์และ SRE เพื่อดูแลการติดตั้งใช้งานการรักษาความปลอดภัย โดยทีมนี้จะจัดการสิ่งต่อไปนี้
- การทดสอบความยืดหยุ่นต่อภัยพิบัติ (DiRT) ของ Google Maps Platform ซึ่งทดสอบความต่อเนื่องทางธุรกิจและการสลับไปใช้ระบบอื่นของผลิตภัณฑ์ Google Maps Platform ทำงานบนโครงสร้างพื้นฐานที่พร้อมให้บริการสูงของ Google
- การทดสอบเจาะระบบโดยบุคคลที่สาม ผลิตภัณฑ์ของแพลตฟอร์ม Google Maps ได้รับการทดสอบการเจาะระบบอย่างน้อยปีละครั้งเพื่อปรับปรุงสถานะการรักษาความปลอดภัยของ Google และมอบความมั่นใจด้านความปลอดภัยที่เป็นอิสระให้แก่คุณ
การทำงานร่วมกับชุมชนวิจัยด้านความปลอดภัย
Google ดำเนินความสัมพันธ์อันใกล้ชิดกับชุมชนนักวิจัยด้านความปลอดภัยมาอย่างยาวนาน และเราให้ความสำคัญอย่างยิ่งกับความช่วยเหลือในการระบุช่องโหว่ที่อาจเกิดขึ้นใน Google Maps Platform และผลิตภัณฑ์อื่นๆ ของ Google ทีมรักษาความปลอดภัยของเรามีส่วนร่วมในกิจกรรมการวิจัยและการเผยแพร่เพื่อประโยชน์ของชุมชนออนไลน์ ตัวอย่างเช่น เรามี Project Zero ซึ่งเป็นทีมนักวิจัยด้านความปลอดภัยที่มุ่งเน้นศึกษาช่องโหว่ Zero Day ตัวอย่างบางส่วนของงานวิจัยนี้ ได้แก่ การค้นพบช่องโหว่ Spectre, ช่องโหว่ Meltdown, ช่องโหว่ POODLE SSL 3.0 และจุดอ่อนของชุดการเข้ารหัส
วิศวกรและนักวิจัยด้านความปลอดภัยของ Google มีส่วนร่วมและเผยแพร่งานในชุมชนด้านความปลอดภัยทางวิชาการและชุมชนการวิจัยด้านความเป็นส่วนตัวอย่างสม่ำเสมอ คุณสามารถดูเอกสารเผยแพร่ที่เกี่ยวข้องกับความปลอดภัยได้ในเว็บไซต์ Google Research ของ Google ทีมรักษาความปลอดภัยของ Google ได้เผยแพร่รายละเอียดเกี่ยวกับแนวทางปฏิบัติและประสบการณ์ในหนังสือการสร้างระบบที่ปลอดภัยและเชื่อถือได้
โปรแกรมรางวัลสำหรับช่องโหว่ของเรามอบรางวัลเป็นเงินหลายหมื่นดอลลาร์สำหรับช่องโหว่ที่ยืนยันแล้วแต่ละรายการ โปรแกรมนี้ส่งเสริมให้นักวิจัยรายงานปัญหาด้านการออกแบบและการใช้งานที่อาจทําให้ข้อมูลลูกค้ามีความเสี่ยง ในปี 2023 Google ได้มอบเงินรางวัลมูลค่ากว่า $10 ล้านให้กับนักวิจัย โปรแกรมช่องโหว่ยังมีโครงการริเริ่มที่หลากหลายให้แก่นักวิจัยเพื่อช่วยปรับปรุงความปลอดภัยของโค้ดโอเพนซอร์ส ดูข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมนี้ รวมถึงรางวัลที่ Google มอบให้ได้ที่สถิติสำคัญสำหรับผู้ค้นหาข้อบกพร่อง
นักวิทยาการเข้ารหัสระดับโลกของเรามีส่วนร่วมในโปรเจ็กต์วิทยาการเข้ารหัสชั้นนำในอุตสาหกรรม ตัวอย่างเช่น เราออกแบบเฟรมเวิร์ก AI ที่ปลอดภัย (SAIF) เพื่อช่วยรักษาความปลอดภัยให้ระบบ AI นอกจากนี้ เรายังได้พัฒนาอัลกอริทึม Combined Elliptic-Curve และ Post-Quantum (CECPQ2) เพื่อปกป้องการเชื่อมต่อ TLS จากการโจมตีของคอมพิวเตอร์ควอนตัม นักวิทยาการเข้ารหัสของเราได้พัฒนา Tink ซึ่งเป็นไลบรารีโอเพนซอร์สของ API การเข้ารหัส นอกจากนี้ เรายังใช้ Tink ในผลิตภัณฑ์และบริการภายในด้วย
ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีรายงานปัญหาด้านความปลอดภัยได้ที่วิธีที่ Google จัดการกับช่องโหว่ด้านความปลอดภัย
ทีมความเป็นส่วนตัวเฉพาะของ Google Maps Platform
ทีมความเป็นส่วนตัวเฉพาะจะทำงานแยกจากทีมพัฒนาผลิตภัณฑ์และองค์กรด้านความปลอดภัย ทีมสนับสนุนโครงการริเริ่มด้านความเป็นส่วนตัวภายในเพื่อปรับปรุงความเป็นส่วนตัวในทุกด้าน ไม่ว่าจะเป็นกระบวนการที่สำคัญ เครื่องมือภายใน โครงสร้างพื้นฐาน และการพัฒนาผลิตภัณฑ์ ทีมดูแลความเป็นส่วนตัวจะดำเนินการต่อไปนี้
- ตรวจสอบว่าการเปิดตัวผลิตภัณฑ์ GMP ที่ส่งผลต่อความเป็นส่วนตัวทุกรายการมีมาตรฐานความเป็นส่วนตัวที่เข้มงวดและการออกแบบเพื่อความเป็นส่วนตัวผ่านการประเมินเอกสารการออกแบบและการตรวจสอบการเปิดตัว
- เป็นที่ปรึกษาให้กับทีมผลิตภัณฑ์ GMP ในทุกขั้นตอนของการพัฒนาเพื่อแนะนำเกี่ยวกับนโยบายและโครงสร้างพื้นฐานด้านความเป็นส่วนตัวของ Google, การออกแบบด้านความเป็นส่วนตัว, เทคโนโลยีและการควบคุมที่เพิ่มความเป็นส่วนตัว ตลอดจนการประเมินและบรรเทาความเสี่ยงด้านความเป็นส่วนตัว
- หลังจากเปิดตัวผลิตภัณฑ์แล้ว ทีมดูแลความเป็นส่วนตัวจะดูแลกระบวนการที่ยืนยันการเก็บรวบรวมและการใช้ข้อมูลที่เหมาะสม
- ทำการวิจัยเกี่ยวกับแนวทางปฏิบัติแนะนำด้านความเป็นส่วนตัว มีส่วนร่วมในกลุ่มทำงานด้านมาตรฐานความเป็นส่วนตัวระหว่างประเทศ และเข้าร่วมการประชุมสุดยอดและการประชุมด้านความเป็นส่วนตัวทางวิชาการ .
การฝึกอบรมด้านความปลอดภัยและความเป็นส่วนตัวของพนักงาน Google
พนักงานทุกคนของ Google ต้องผ่านการฝึกอบรมด้านความปลอดภัยและความเป็นส่วนตัวในกระบวนการปฐมนิเทศ และจะได้รับการฝึกอบรมด้านความปลอดภัยและความเป็นส่วนตัวอย่างต่อเนื่องตลอดเส้นทางอาชีพที่ Google ในระหว่างการเริ่มต้นใช้งาน พนักงานใหม่ต้องยอมรับหลักจรรยาบรรณของเรา ซึ่งเน้นย้ำถึงความมุ่งมั่นของ Google ในการรักษาข้อมูลลูกค้าให้ปลอดภัย
พนักงานอาจต้องเข้ารับการฝึกอบรมเพิ่มเติมเกี่ยวกับแง่มุมที่เฉพาะเจาะจงของการรักษาความปลอดภัย ทั้งนี้ขึ้นอยู่กับบทบาทของงาน ตัวอย่างเช่น ทีมรักษาความปลอดภัยข้อมูลจะสอนวิศวกรใหม่เกี่ยวกับแนวทางปฏิบัติด้านการเขียนโค้ดที่ปลอดภัย การออกแบบผลิตภัณฑ์ และเครื่องมือทดสอบช่องโหว่อัตโนมัติ วิศวกรเข้าร่วมการบรรยายสรุปด้านความปลอดภัยเป็นประจำและรับจดหมายข่าวด้านความปลอดภัยที่ครอบคลุมภัยคุกคามใหม่ๆ รูปแบบการโจมตี เทคนิคการบรรเทา และอื่นๆ
การรักษาความปลอดภัยและความเป็นส่วนตัวเป็นพื้นที่ที่เปลี่ยนแปลงไปอยู่ตลอดเวลา และเราตระหนักดีว่าการมีส่วนร่วมของพนักงานอย่างจริงจังเป็นวิธีสำคัญในการสร้างความตระหนักรู้ เราจัดการประชุมภายในเป็นประจำซึ่งเปิดให้พนักงานทุกคนเข้าร่วมเพื่อสร้างความตระหนักรู้และกระตุ้นให้เกิดนวัตกรรมด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูล เราจัดอีเวนต์ในสำนักงานทั่วโลกเพื่อสร้างความตระหนักด้านความปลอดภัยและความเป็นส่วนตัวในการพัฒนาซอฟต์แวร์ การจัดการข้อมูล และการบังคับใช้นโยบาย
ผู้เชี่ยวชาญด้านการตรวจสอบภายในและการปฏิบัติตามข้อกำหนด
Google Maps Platform มีทีมตรวจสอบภายในโดยเฉพาะที่ตรวจสอบการปฏิบัติตามกฎหมายและข้อบังคับด้านความปลอดภัยทั่วโลกของผลิตภัณฑ์ Google เมื่อมีการจัดทำมาตรฐานการตรวจสอบใหม่และอัปเดตมาตรฐานที่มีอยู่ ทีมตรวจสอบภายในจะกำหนดการควบคุม กระบวนการ และระบบที่จำเป็นเพื่อช่วยในการปฏิบัติตามมาตรฐานเหล่านั้น ทีมนี้ให้การสนับสนุนการตรวจสอบและการประเมินอิสระโดยบุคคลที่สาม ดูข้อมูลเพิ่มเติมได้ที่ส่วนการรับรองและการตรวจสอบความปลอดภัยในเอกสารนี้
แพลตฟอร์มที่สร้างขึ้นโดยคำนึงถึงการรักษาความปลอดภัยเป็นหลัก
Google ออกแบบเซิร์ฟเวอร์ ระบบปฏิบัติการที่เป็นกรรมสิทธิ์ และศูนย์ข้อมูลที่กระจายอยู่ตามพื้นที่ทางภูมิศาสตร์โดยใช้หลักการของการป้องกันแบบหลายชั้น แพลตฟอร์ม Google Maps ทำงานบนโครงสร้างพื้นฐานทางเทคนิคที่ออกแบบและสร้างขึ้นเพื่อทำงานอย่างปลอดภัย เราได้สร้างโครงสร้างพื้นฐานไอทีที่ปลอดภัยและจัดการได้ง่ายกว่าโซลูชันแบบเดิมที่ติดตั้งในองค์กรหรือโฮสต์
ศูนย์ข้อมูลที่ทันสมัย
การที่ Google ให้ความสำคัญกับความปลอดภัยและการคุ้มครองข้อมูลเป็นหนึ่งในเกณฑ์การออกแบบหลักของ Google ความปลอดภัยทางกายภาพในศูนย์ข้อมูลของ Google เป็นรูปแบบการรักษาความปลอดภัยแบบหลายชั้น การรักษาความปลอดภัยที่ตัวอาคารประกอบด้วยมาตรการป้องกันต่างๆ เช่น บัตรเข้าถึงแบบอิเล็กทรอนิกส์ที่ออกแบบมาโดยเฉพาะ สัญญาณเตือน สิ่งกีดขวางการเข้าออกของยานพาหนะ รั้วรอบขอบเขต เครื่องตรวจจับโลหะ และข้อมูลไบโอเมตริก นอกจากนี้ Google ยังใช้มาตรการรักษาความปลอดภัย เช่น การตรวจจับการบุกรุกด้วยเลเซอร์และการตรวจสอบทุกวันตลอด 24 ชั่วโมงด้วยกล้องภายในและภายนอกที่มีความละเอียดสูง เพื่อตรวจจับและติดตามผู้บุกรุก บันทึกการเข้าถึง บันทึกกิจกรรม และฟุตเทจจากกล้องจะพร้อมใช้งานในกรณีที่เกิดเหตุการณ์ เจ้าหน้าที่รักษาความปลอดภัยที่มีประสบการณ์ซึ่งผ่านการตรวจสอบประวัติและการฝึกอบรมอย่างเข้มงวดจะลาดตระเวนศูนย์ข้อมูลของ Google เป็นประจํา ยิ่งคุณเข้าไปใกล้ชั้นของศูนย์ข้อมูลมากเท่าใด มาตรการรักษาความปลอดภัยก็จะยิ่งมากขึ้นเท่านั้น การเข้าชมชั้นของศูนย์ข้อมูลทำได้ผ่านทางเดินที่มีการรักษาความปลอดภัยเท่านั้น ซึ่งใช้การควบคุมการเข้าถึงแบบหลายปัจจัยโดยใช้ป้ายความปลอดภัยและข้อมูลไบโอเมตริก เฉพาะพนักงานที่ได้รับอนุมัติซึ่งมีบทบาทที่เฉพาะเจาะจงเท่านั้นที่จะเข้าได้ พนักงาน Google ไม่ถึง 1 เปอร์เซ็นต์ที่จะได้เข้าไปยังศูนย์ข้อมูลของ Google
Google ดำเนินงานศูนย์ข้อมูลทั่วโลกเพื่อเพิ่มความเร็วและความน่าเชื่อถือของบริการให้สูงสุด โดยทั่วไปแล้ว โครงสร้างพื้นฐานของบริการนี้จะตั้งค่าให้แสดงการเข้าชมจากศูนย์ข้อมูลที่ใกล้กับต้นทางของการเข้าชมมากที่สุด ดังนั้น ตำแหน่งที่แน่นอนของข้อมูล Google Maps Platform อาจแตกต่างกันไปตามต้นทางของการเข้าชมดังกล่าว และเซิร์ฟเวอร์ใน EEA และสหราชอาณาจักรอาจจัดการข้อมูลนี้หรือโอนไปยังประเทศที่สาม โดยทั่วไปแล้ว ผลิตภัณฑ์และบริการที่ลูกค้า Google นำเสนอซึ่งติดตั้งใช้งานผลิตภัณฑ์ Google Maps Platform จะพร้อมให้บริการทั่วโลกและมักดึงดูดผู้ชมทั่วโลก โครงสร้างพื้นฐานทางเทคนิคที่รองรับผลิตภัณฑ์เหล่านี้มีการใช้งานทั่วโลกเพื่อลดเวลาในการตอบสนองและเพื่อให้ระบบมีสำเนา Google Maps Platform ใช้เครือข่ายศูนย์ข้อมูลทั่วโลกของ Google เพียงบางส่วน ดังที่แสดงไว้ด้านล่าง
อเมริกาเหนือและใต้
ยุโรป
เอเชีย
แหล่งจ่ายไฟของศูนย์ข้อมูล Google
ศูนย์ข้อมูลของ Google มีระบบไฟฟ้าและการควบคุมสภาพแวดล้อมที่ซ้ำซ้อนเพื่อให้ระบบทำงานได้ทุกวันตลอด 24 ชั่วโมงและให้บริการอย่างต่อเนื่อง องค์ประกอบที่สำคัญทุกชิ้นจะมีแหล่งพลังงานหลักและแหล่งพลังงานสำรองที่มีกำลังไฟฟ้าเท่ากัน เครื่องปั่นไฟสำรองสามารถจ่ายพลังงานไฟฟ้าสำรองฉุกเฉินที่เพียงพอสำหรับการทำงานของศูนย์ข้อมูลแต่ละแห่งในอัตราสูงสุด ระบบทำความเย็นจะรักษาอุณหภูมิการทํางานของเซิร์ฟเวอร์และฮาร์ดแวร์อื่นๆ ให้คงที่ ซึ่งจะช่วยลดความเสี่ยงในการหยุดชะงักของบริการไปพร้อมกับลดผลกระทบต่อสิ่งแวดล้อม อุปกรณ์ตรวจจับและดับเพลิงจะช่วยป้องกันความเสียหายของฮาร์ดแวร์ ตัวตรวจจับความร้อน ตัวตรวจจับไฟ และตัวตรวจจับควันจะทริกเกอร์สัญญาณเตือนที่ได้ยินและมองเห็นได้ที่คอนโซลการดําเนินการด้านความปลอดภัยและที่โต๊ะตรวจสอบจากระยะไกล
Google เป็นบริษัทบริการอินเทอร์เน็ตรายใหญ่รายแรกที่ได้รับการรับรองจากภายนอกเกี่ยวกับมาตรฐานด้านสิ่งแวดล้อม ความปลอดภัยในที่ทำงาน และการจัดการพลังงานในระดับสูงทั่วทั้งศูนย์ข้อมูลของ Google ตัวอย่างเช่น Google ได้รับการรับรอง ISO 50001 ภาคสมัครใจสำหรับศูนย์ข้อมูลในยุโรป เพื่อแสดงให้เห็นถึงความมุ่งมั่นในการปฏิบัติด้านการจัดการพลังงาน
ฮาร์ดแวร์และซอฟต์แวร์เซิร์ฟเวอร์ที่กำหนดเอง
ศูนย์ข้อมูลของ Google มีเซิร์ฟเวอร์และอุปกรณ์เครือข่ายที่ออกแบบมาเพื่อวัตถุประสงค์เฉพาะ ซึ่ง Google เป็นผู้ออกแบบเอง แม้ว่าเซิร์ฟเวอร์ของ Google จะปรับแต่งเพื่อเพิ่มประสิทธิภาพ การระบายความร้อน และประสิทธิภาพการใช้พลังงานสูงสุด แต่เซิร์ฟเวอร์เหล่านี้ยังออกแบบมาเพื่อช่วยป้องกันจากการโจมตีด้วยการบุกรุกด้วย เซิร์ฟเวอร์ของ Google ไม่มีส่วนประกอบที่ไม่จำเป็น เช่น การ์ดวิดีโอ ชิปเซ็ต หรือขั้วต่อต่อพ่วง ซึ่งอาจทำให้เกิดช่องโหว่ ต่างจากฮาร์ดแวร์ส่วนใหญ่ที่วางจำหน่ายในเชิงพาณิชย์ Google ตรวจสอบผู้ให้บริการคอมโพเนนต์และเลือกคอมโพเนนต์อย่างรอบคอบ โดยทำงานร่วมกับผู้ให้บริการเพื่อตรวจสอบและยืนยันพร็อพเพอร์ตี้ด้านความปลอดภัยที่คอมโพเนนต์มีให้ Google ออกแบบชิปที่กำหนดเอง เช่น Titan ซึ่งช่วยให้เราระบุและตรวจสอบสิทธิ์อุปกรณ์ Google ของแท้ได้อย่างปลอดภัยที่ระดับฮาร์ดแวร์ รวมถึงรหัสที่อุปกรณ์เหล่านี้ใช้เพื่อบูต
ระบบจะจัดสรรทรัพยากรเซิร์ฟเวอร์แบบไดนามิก ซึ่งช่วยให้เรามีความยืดหยุ่นในการเติบโตและปรับตัวตามดีมานด์ของลูกค้าได้อย่างรวดเร็วและมีประสิทธิภาพด้วยการเพิ่มหรือจัดสรรทรัพยากรใหม่ สภาพแวดล้อมแบบเดียวกันนี้ได้รับการดูแลโดยซอฟต์แวร์ที่เป็นกรรมสิทธิ์ซึ่งจะตรวจสอบระบบอย่างต่อเนื่องเพื่อหาการแก้ไขระดับไบนารี กลไกการซ่อมแซมตัวเองอัตโนมัติของ Google ออกแบบมาเพื่อช่วยให้เราตรวจสอบและแก้ไขเหตุการณ์ที่ทำให้เกิดความไม่เสถียร รับการแจ้งเตือนเกี่ยวกับเหตุการณ์ และชะลอการประนีประนอมในเครือข่ายที่อาจเกิดขึ้น
การติดตั้งใช้งานบริการที่ปลอดภัย
บริการของ Google คือไบนารีแอปพลิเคชันที่นักพัฒนาซอฟต์แวร์ของ Google เขียนขึ้นและใช้งานบนโครงสร้างพื้นฐานของ Google อาจมีเครื่องนับพันเครื่องที่ใช้ไบนารีของบริการเดียวกันเพื่อจัดการกับปริมาณงานที่จําเป็น บริการจัดระเบียบคลัสเตอร์ที่เรียกว่า Borg จะควบคุมบริการที่ทำงานบนโครงสร้างพื้นฐานโดยตรง
โครงสร้างพื้นฐานไม่ได้ถือว่าบริการที่ทำงานอยู่บนโครงสร้างพื้นฐานนั้นเชื่อถือได้ รูปแบบความไว้วางใจนี้เรียกว่าโมเดลการรักษาความปลอดภัยแบบ Zero Trust โมเดลการรักษาความปลอดภัยแบบไม่ไว้ใจหมายความว่าระบบจะไม่เชื่อถืออุปกรณ์หรือผู้ใช้โดยค่าเริ่มต้น ไม่ว่าจะอยู่ในหรือนอกเครือข่ายก็ตาม
เนื่องจากโครงสร้างพื้นฐานได้รับการออกแบบมาให้รองรับผู้ใช้หลายราย ระบบจึงกระจายข้อมูลจากลูกค้าของ Google (ผู้บริโภค ธุรกิจ และแม้แต่ข้อมูลของ Google เอง) ไปยังโครงสร้างพื้นฐานที่ใช้ร่วมกัน โครงสร้างพื้นฐานนี้ประกอบด้วยเครื่องแบบเดียวกันหลายหมื่นเครื่อง โครงสร้างพื้นฐานไม่ได้แยกข้อมูลลูกค้าไว้ในเครื่องหรือชุดเครื่องเดียว
การติดตามและกำจัดฮาร์ดแวร์
Google ติดตามตำแหน่งและสถานะของอุปกรณ์ทั้งหมดภายในศูนย์ข้อมูลอย่างละเอียดโดยใช้บาร์โค้ดและแท็กเนื้อหา Google ใช้เครื่องตรวจจับโลหะและกล้องวงจรปิดเพื่อตรวจสอบว่าไม่มีอุปกรณ์ออกจากชั้นของศูนย์ข้อมูลโดยไม่ได้รับอนุญาต หากคอมโพเนนต์ไม่ผ่านการทดสอบประสิทธิภาพ ณ เวลาใดก็ตามตลอดอายุการใช้งาน ระบบจะนำคอมโพเนนต์ออกจากคลังสินค้าและเลิกใช้งาน
อุปกรณ์พื้นที่เก็บข้อมูลของ Google ซึ่งรวมถึงฮาร์ดไดรฟ์ โซลิดสเต็ตไดรฟ์ และโมดูลหน่วยความจำแบบอินไลน์คู่ (DIMM) แบบไม่ลบเลือน ใช้เทคโนโลยีต่างๆ เช่น การเข้ารหัสดิสก์ทั้งแผ่น (FDE) และการล็อกไดรฟ์เพื่อปกป้องข้อมูลที่จัดเก็บไว้ เมื่อเลิกใช้งานอุปกรณ์เก็บข้อมูล บุคคลที่ได้รับอนุญาตจะยืนยันว่าได้ลบข้อมูลในดิสก์แล้วด้วยการเขียนค่า 0 ลงในไดรฟ์ นอกจากนี้ เจ้าหน้าที่ยังทำกระบวนการยืนยันแบบหลายขั้นตอนเพื่อให้มั่นใจว่าไดรฟ์ไม่มีข้อมูลอยู่ หากไม่สามารถลบข้อมูลในไดรฟ์ไม่ว่าด้วยเหตุผลใดก็ตาม ระบบจะทำลายไดรฟ์นั้น การทำลายข้อมูลแบบทำลายอุปกรณ์จะใช้เครื่องทำลายเอกสารที่บดไดรฟ์เป็นชิ้นเล็กๆ แล้วนำไปรีไซเคิลที่สถานที่ที่ปลอดภัย แต่ละศูนย์ข้อมูลปฏิบัติตามนโยบายการกำจัดข้อมูลที่เข้มงวด และเราจะจัดการกับข้อแตกต่างใดๆ ทันที
ประโยชน์ด้านความปลอดภัยของเครือข่ายทั่วโลกของ Google
ในโซลูชันอื่นๆ ของคลาวด์และโซลูชันที่ติดตั้งภายในองค์กรเชิงพื้นที่ ข้อมูลจะเดินทางระหว่างอุปกรณ์ต่างๆ ผ่านอินเทอร์เน็ตสาธารณะในเส้นทางที่เรียกว่าHop จำนวน Hops จะขึ้นอยู่กับเส้นทางที่ดีที่สุดระหว่าง ISP ของลูกค้ากับศูนย์ข้อมูล การ Hop แต่ละครั้งจะเพิ่มโอกาสในการโจมตีหรือขัดขวางข้อมูล เนื่องจากเครือข่ายทั่วโลกของ Google เชื่อมโยงกับ ISP ส่วนใหญ่ในโลก เครือข่ายของ Google จึงจำกัด Hop ผ่านอินเทอร์เน็ตสาธารณะ ซึ่งช่วยจำกัดการเข้าถึงข้อมูลดังกล่าวของผู้ไม่ประสงค์ดี
เครือข่ายของ Google ใช้การป้องกันแบบหลายชั้นหรือการป้องกันในเชิงลึกเพื่อช่วยปกป้องเครือข่ายจากการโจมตีจากภายนอก เฉพาะบริการและโปรโตคอลที่ได้รับอนุญาตซึ่งเป็นไปตามข้อกำหนดด้านความปลอดภัยของ Google เท่านั้นที่จะได้รับอนุญาตให้เข้าถึง โปรโตคอลอื่นๆ ทั้งหมดจะถูกทิ้งโดยอัตโนมัติ Google ใช้ไฟร์วอลล์และรายการควบคุมการเข้าถึงเพื่อบังคับใช้การแยกเครือข่าย ระบบจะกำหนดเส้นทางการเข้าชมทั้งหมดผ่านเซิร์ฟเวอร์ส่วนหน้า (GFE) ของ Google เพื่อช่วยตรวจจับและหยุดคำขอที่เป็นอันตรายและการโจมตีแบบการปฏิเสธการให้บริการจากหลายแหล่ง (DDoS) ระบบจะตรวจสอบบันทึกเป็นประจำเพื่อค้นหาการแสวงหาประโยชน์จากข้อผิดพลาดในการเขียนโปรแกรม การเข้าถึงอุปกรณ์ที่เชื่อมต่อเครือข่ายจะจำกัดไว้เฉพาะพนักงานที่ได้รับอนุญาตเท่านั้น
โครงสร้างพื้นฐานทั่วโลกของ Google ช่วยให้เราสามารถเรียกใช้ Project Shield ซึ่งมอบการป้องกันแบบไม่จำกัดและไม่มีค่าใช้จ่ายให้แก่เว็บไซต์ที่เสี่ยงต่อการโจมตี DDoS ซึ่งใช้ในการเซ็นเซอร์ข้อมูล Project Shield พร้อมให้บริการสำหรับเว็บไซต์ข่าว เว็บไซต์ด้านสิทธิมนุษยชน และเว็บไซต์ตรวจสอบการเลือกตั้ง
โซลูชันที่มีเวลาในการตอบสนองต่ำและพร้อมใช้งานสูง
เครือข่ายข้อมูล IP ของ Google ประกอบด้วยสายไฟเบอร์ของตัวเอง สายไฟเบอร์สาธารณะ และสายเคเบิลใต้น้ำ เครือข่ายนี้ช่วยให้เราให้บริการที่พร้อมใช้งานสูงและมีเวลาในการตอบสนองต่ำทั่วโลก
Google ออกแบบคอมโพเนนต์ของแพลตฟอร์มให้มีสำเนากันมาก ข้อมูลซ้ำซ้อนนี้มีผลกับการออกแบบเซิร์ฟเวอร์ของ Google, วิธีที่ Google จัดเก็บข้อมูล, การเชื่อมต่อเครือข่ายและอินเทอร์เน็ต รวมถึงบริการซอฟต์แวร์เอง "การสำรองข้อมูลทุกอย่าง" นี้รวมถึงการจัดการข้อยกเว้นและสร้างโซลูชันที่ไม่ขึ้นอยู่กับเซิร์ฟเวอร์ ศูนย์ข้อมูล หรือการเชื่อมต่อเครือข่ายเพียงแห่งเดียว
ศูนย์ข้อมูลของ Google กระจายอยู่ตามพื้นที่ต่างๆ เพื่อลดผลกระทบของการหยุดชะงักระดับภูมิภาคที่มีต่อผลิตภัณฑ์ทั่วโลก เช่น เมื่อเกิดภัยธรรมชาติหรือการหยุดทำงานในพื้นที่ หากฮาร์ดแวร์ ซอฟต์แวร์ หรือเครือข่ายขัดข้อง บริการแพลตฟอร์มและแพลตฟอร์มควบคุมจะเปลี่ยนจากสถานที่ให้บริการหนึ่งไปยังอีกที่หนึ่งโดยอัตโนมัติและรวดเร็ว เพื่อให้บริการแพลตฟอร์มสามารถดำเนินการต่อโดยไม่มีการหยุดทำงาน
โครงสร้างพื้นฐานที่ซ้ำซ้อนกันสูงของ Google ยังช่วยปกป้องธุรกิจของคุณจากการสูญเสียข้อมูลด้วย ระบบของ Google ออกแบบมาเพื่อลดเวลาหยุดทำงานหรือช่วงเวลาการบำรุงรักษาเมื่อเราจำเป็นต้องให้บริการหรืออัปเกรดแพลตฟอร์ม
การรักษาความปลอดภัยในการดําเนินการ
ความปลอดภัยคือส่วนสำคัญในการดำเนินงานของ Google ไม่ใช่สิ่งที่คิดถึงในภายหลัง ส่วนนี้จะอธิบายโปรแกรมการจัดการช่องโหว่ โปรแกรมป้องกันมัลแวร์ การตรวจสอบความปลอดภัย และโปรแกรมการจัดการเหตุการณ์ของ Google
การจัดการช่องโหว่
กระบวนการจัดการช่องโหว่ภายในของ Google จะสแกนหาภัยคุกคามด้านความปลอดภัยในแพลตฟอร์มเทคโนโลยีทั้งหมดอยู่ตลอดเวลา กระบวนการนี้ใช้เครื่องมือแบบคอมเมอร์เชียล โอเพนซอร์ส และเครื่องมือที่พัฒนาขึ้นเองเพื่อวัตถุประสงค์เฉพาะ ซึ่งรวมถึงเครื่องมือต่อไปนี้
- กระบวนการประกันคุณภาพ
- การตรวจสอบความปลอดภัยของซอฟต์แวร์
- พยายามเจาะระบบแบบอัตโนมัติและด้วยตนเองอย่างเข้มข้น รวมถึงการฝึกซ้อม Red Team อย่างครอบคลุม
- การทดสอบการเจาะระบบจากภายนอกที่เกิดขึ้นเป็นระยะสําหรับผลิตภัณฑ์ Google Maps Platform
- การตรวจสอบภายนอกตามรอบ
องค์กรจัดการช่องโหว่และพาร์ทเนอร์ขององค์กรมีหน้าที่รับผิดชอบในการติดตามและติดตามผลช่องโหว่ เนื่องจากการรักษาความปลอดภัยจะดีขึ้นก็ต่อเมื่อปัญหาได้รับการแก้ไขอย่างสมบูรณ์ ไปป์ไลน์การทำงานอัตโนมัติจึงประเมินสถานะการติดตั้งใช้งานแพตช์อย่างต่อเนื่องเพื่อลดช่องโหว่และแจ้งการติดตั้งใช้งานที่ไม่ถูกต้องหรือบางส่วน
องค์กรจัดการช่องโหว่มุ่งเน้นที่ตัวบ่งชี้คุณภาพสูงซึ่งแยกสัญญาณรบกวนออกจากสัญญาณที่บ่งบอกถึงภัยคุกคามจริง เพื่อช่วยปรับปรุงความสามารถในการตรวจจับ นอกจากนี้ องค์กรยังส่งเสริมให้มีการโต้ตอบกับอุตสาหกรรมและชุมชนโอเพนซอร์ส เช่น ดำเนินโปรแกรมรางวัลการแก้ไขสำหรับโปรแกรมสแกนความปลอดภัยของเครือข่าย Tsunami ซึ่งให้รางวัลแก่นักพัฒนาซอฟต์แวร์ที่สร้างโปรแกรมตรวจหาช่องโหว่แบบโอเพนซอร์ส
การป้องกันมัลแวร์
Google ดูแลรักษาการป้องกันมัลแวร์สำหรับผลิตภัณฑ์หลักของเรา (เช่น Gmail, Google ไดรฟ์, Google Chrome, YouTube, Google Ads และ Google Search) ที่ใช้เทคนิคการตรวจจับมัลแวร์หลายอย่าง เราใช้การ Crawl เว็บ การเปิดไฟล์ การตรวจจับแบบคงที่ที่กำหนดเอง การตรวจจับแบบไดนามิก และการตรวจจับด้วยแมชชีนเลิร์นนิงเพื่อค้นหาไฟล์มัลแวร์อย่างสม่ำเสมอ นอกจากนี้ เรายังใช้โปรแกรมป้องกันไวรัสหลายโปรแกรมด้วย
เราใช้ความสามารถด้านความปลอดภัยขั้นสูงในตัวของ Chrome Enterprise Premium และฟีเจอร์ Google Safe Browsing พร้อมการปกป้องที่ดียิ่งขึ้นเพื่อปกป้องพนักงาน ความสามารถเหล่านี้ช่วยให้สามารถตรวจหาเว็บไซต์ฟิชชิงและมัลแวร์ได้แบบเชิงรุกขณะที่พนักงานท่องเว็บ นอกจากนี้ เรายังเปิดใช้การตั้งค่าความปลอดภัยที่เข้มงวดที่สุดใน Google Workspace เช่น แซนด์บ็อกซ์ความปลอดภัยของ Gmail เพื่อสแกนไฟล์แนบที่สงสัยอย่างสม่ำเสมอ ระบบจะส่งบันทึกจากความสามารถเหล่านี้ไปยังระบบตรวจสอบความปลอดภัยตามที่อธิบายไว้ในส่วนต่อไปนี้
การตรวจสอบความปลอดภัย
โปรแกรมตรวจสอบความปลอดภัยของ Google มุ่งเน้นที่ข้อมูลที่รวบรวมจากการเข้าชมเครือข่ายภายใน การดำเนินการของพนักงานในระบบ และความรู้ด้านช่องโหว่จากภายนอก หลักการหลักของ Google คือรวบรวมและจัดเก็บข้อมูลทางไกลด้านความปลอดภัยทั้งหมดไว้ในที่เดียวเพื่อการวิเคราะห์ความปลอดภัยแบบรวม
การรับส่งข้อมูลภายในจะได้รับการตรวจสอบเพื่อหาพฤติกรรมที่น่าสงสัยในหลายจุดทั่วทั้งเครือข่ายทั่วโลกของ Google เช่น การตรวจหาการรับส่งข้อมูลซึ่งอาจบ่งบอกถึงการเชื่อมต่อของบ็อตเน็ต Google ใช้เครื่องมือแบบโอเพนซอร์สและเชิงพาณิชย์ร่วมกันเพื่อบันทึกและแยกวิเคราะห์การเข้าชมเพื่อให้ Google ดําเนินการวิเคราะห์นี้ได้ ระบบความสัมพันธ์ที่เป็นกรรมสิทธิ์ซึ่งสร้างขึ้นจากเทคโนโลยีของ Google ยังรองรับการวิเคราะห์นี้ด้วย Google เสริมการวิเคราะห์เครือข่ายด้วยการตรวจสอบบันทึกของระบบเพื่อระบุพฤติกรรมที่ผิดปกติ เช่น การพยายามเข้าถึงข้อมูลลูกค้า
กลุ่มวิเคราะห์ภัยคุกคามของ Google จะคอยตรวจสอบผู้ก่อภัยคุกคาม รวมถึงการเปลี่ยนแปลงกลยุทธ์และเทคนิคของผู้ก่อภัย วิศวกรด้านความปลอดภัยของ Google จะตรวจสอบรายงานความปลอดภัยขาเข้า รวมถึงตรวจสอบรายชื่ออีเมลแบบสาธารณะ บล็อกโพสต์ และวิกิ การวิเคราะห์เครือข่ายและบันทึกของระบบโดยอัตโนมัติจะช่วยระบุได้เมื่อเกิดภัยคุกคามที่ไม่รู้จัก หากกระบวนการอัตโนมัติตรวจพบปัญหา ระบบจะส่งต่อไปยังเจ้าหน้าที่รักษาความปลอดภัยของ Google
การตรวจจับการบุกรุก
Google ใช้ไปป์ไลน์การประมวลผลข้อมูลที่ซับซ้อนเพื่อผสานรวมสัญญาณที่อิงตามโฮสต์ในอุปกรณ์แต่ละเครื่อง สัญญาณที่อิงตามเครือข่ายจากจุดตรวจสอบต่างๆ ในโครงสร้างพื้นฐาน และสัญญาณจากบริการโครงสร้างพื้นฐาน กฎและปัญญาประดิษฐ์ที่สร้างขึ้นบนไปป์ไลน์เหล่านี้จะส่งคำเตือนเกี่ยวกับเหตุการณ์ที่อาจเกิดขึ้นให้แก่วิศวกรด้านความปลอดภัยของระบบปฏิบัติการ ทีมตรวจสอบและทีมตอบสนองต่อเหตุการณ์ของ Google จะจัดลําดับความสําคัญ ตรวจสอบ และตอบสนองต่อเหตุการณ์ที่อาจเกิดขึ้นเหล่านี้ทุกวันตลอด 24 ชั่วโมง Google ดำเนินการจำลองสถานการณ์กับ Red Team นอกเหนือจากการทดสอบการเจาะระบบจากภายนอกเพื่อวัดและปรับปรุงประสิทธิภาพของกลไกการตรวจจับและการตอบสนองของ Google
การจัดการเหตุการณ์
Google มีกระบวนการจัดการเหตุการณ์ที่เข้มงวดสำหรับเหตุการณ์ด้านความปลอดภัยที่อาจส่งผลต่อการรักษาข้อมูลที่เป็นความลับ ความซื่อตรง หรือการให้บริการระบบหรือข้อมูล โปรแกรมการจัดการเหตุการณ์ด้านความปลอดภัยของ Google สร้างขึ้นตามหลักเกณฑ์ของ NIST ในการจัดการเหตุการณ์ (NIST SP 800–61) Google จัดการฝึกอบรมให้กับเจ้าหน้าที่คนสำคัญด้านการตรวจสอบทางนิติวิทยาศาสตร์และการจัดการหลักฐานเพื่อเตรียมพร้อมรับมือกับเหตุการณ์ รวมถึงการใช้เครื่องมือของบุคคลที่สามและเครื่องมือที่เป็นกรรมสิทธิ์
Google ทดสอบแผนตอบสนองต่อเหตุการณ์สำหรับพื้นที่สำคัญ การทดสอบเหล่านี้จะพิจารณาสถานการณ์ต่างๆ ซึ่งรวมถึงภัยคุกคามจากภายในและช่องโหว่ของซอฟต์แวร์ ทีมรักษาความปลอดภัยของ Google พร้อมให้ความช่วยเหลือแก่พนักงานทุกคนตลอด 24 ชั่วโมงทุกวันเพื่อช่วยแก้ปัญหาอย่างทันท่วงที ในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยขึ้น
ดูข้อมูลเพิ่มเติมเกี่ยวกับกระบวนการตอบสนองต่อเหตุการณ์ที่ส่งผลต่อข้อมูลได้ที่การจัดการเหตุการณ์ของแพลตฟอร์ม Google Maps
แนวทางปฏิบัติในการพัฒนาซอฟต์แวร์
Google ใช้การป้องกันการควบคุมแหล่งที่มาและการตรวจสอบโดยบุคคล 2 คนเพื่อจำกัดการเกิดช่องโหว่ นอกจากนี้ Google ยังมีไลบรารีที่ป้องกันไม่ให้นักพัฒนาซอฟต์แวร์สร้างข้อบกพร่องด้านความปลอดภัยบางคลาส ตัวอย่างเช่น Google มีไลบรารีและเฟรมเวิร์กออกแบบมาเพื่อกำจัดช่องโหว่ XSS ใน SDK นอกจากนี้ Google ยังมีเครื่องมืออัตโนมัติสำหรับตรวจหาข้อบกพร่องด้านความปลอดภัย เช่น Fuzzer, เครื่องมือวิเคราะห์แบบคงที่ และ Web Security Scanner
การคุ้มครองซอร์สโค้ด
โค้ดต้นทางของ Google จัดเก็บไว้ในที่เก็บที่มีการรักษาความสมบูรณ์ของแหล่งที่มาและการกำกับดูแลในตัว ซึ่งทำให้สามารถตรวจสอบทั้งบริการเวอร์ชันปัจจุบันและเวอร์ชันที่ผ่านมาได้ โครงสร้างพื้นฐานกำหนดให้ต้องสร้างไบนารีของบริการจากซอร์สโค้ดที่เฉพาะเจาะจงหลังจากตรวจสอบ เช็คอิน และทดสอบแล้ว Binary Authorization for Borg (BAB) คือการตรวจสอบการบังคับใช้ภายในที่เกิดขึ้นเมื่อมีการทําให้ใช้งานได้ BAB จะทำสิ่งต่อไปนี้
- ตรวจสอบว่าซอฟต์แวร์เวอร์ชันที่ใช้งานจริงและการกำหนดค่าที่ติดตั้งใช้งานใน Google ได้รับการตรวจสอบและได้รับอนุญาต โดยเฉพาะเมื่อโค้ดดังกล่าวเข้าถึงข้อมูลผู้ใช้ได้
- ตรวจสอบว่าการติดตั้งใช้งานโค้ดและการกําหนดค่าเป็นไปตามมาตรฐานขั้นต่ำ
- จำกัดความสามารถของผู้ที่อยู่ภายในหรือผู้ไม่ประสงค์ดีในการแก้ไขซอร์สโค้ดที่เป็นอันตราย รวมถึงสร้างร่องรอยการตรวจสอบจากบริการกลับไปที่แหล่งที่มา
การลดความเสี่ยงจากบุคคลภายใน
Google จะจํากัดและตรวจสอบกิจกรรมของพนักงานที่ได้รับสิทธิ์เข้าถึงระดับผู้ดูแลระบบในโครงสร้างพื้นฐานอย่างสม่ำเสมอ Google พยายามอย่างต่อเนื่องเพื่อลดความจําเป็นในการเข้าถึงที่มีสิทธิ์สําหรับงานบางอย่างโดยใช้การทำงานอัตโนมัติที่ทํางานเดียวกันได้อย่างปลอดภัยและควบคุมได้ ตัวอย่างเช่น Google กำหนดให้ต้องได้รับอนุมัติจากทั้ง 2 ฝ่ายสำหรับการดำเนินการบางอย่าง และ Google ใช้ API แบบจำกัดที่อนุญาตให้แก้ไขข้อบกพร่องได้โดยไม่ต้องเปิดเผยข้อมูลที่ละเอียดอ่อน
การเข้าถึงข้อมูลผู้ใช้ปลายทางของพนักงาน Google จะได้รับการบันทึกผ่านฮุกโครงสร้างพื้นฐานระดับล่าง ทีมรักษาความปลอดภัยของ Google จะตรวจสอบรูปแบบการเข้าถึงและตรวจสอบเหตุการณ์ที่ผิดปกติ
การทดสอบการกู้คืนภัยพิบัติ - DiRT
Google Maps Platform จัดกิจกรรมทดสอบการกู้คืนภัยพิบัติ (DiRT) ประจำปีทั่วทั้งบริษัทเป็นเวลาหลายวันเพื่อให้มั่นใจว่าบริการของ Google Maps Platform และการดำเนินการทางธุรกิจภายในจะทำงานต่อไปได้ในช่วงที่เกิดภัยพิบัติ DiRT ได้รับการพัฒนาขึ้นเพื่อค้นหาช่องโหว่ในระบบที่สำคัญโดยจงใจทำให้เกิดข้อผิดพลาด และเพื่อแก้ไขช่องโหว่เหล่านั้นก่อนที่ข้อผิดพลาดจะเกิดขึ้นในลักษณะที่ควบคุมไม่ได้ DiRT ทดสอบความแข็งแกร่งทางเทคนิคของ Google โดยการทำให้ระบบที่ใช้งานอยู่เสียหาย และทดสอบความยืดหยุ่นในการดําเนินการของ Google โดยการห้ามไม่ให้เจ้าหน้าที่สําคัญ ผู้เชี่ยวชาญเฉพาะด้าน และผู้นำเข้าร่วมอย่างชัดแจ้ง บริการที่พร้อมให้บริการแก่ผู้ใช้ทั่วไปทั้งหมดต้องมีการทดสอบ DiRT ที่ใช้งานอยู่อย่างต่อเนื่อง รวมถึงการยืนยันความยืดหยุ่นและความพร้อมให้บริการ
Google ใช้ชุดกฎที่สอดคล้องกันเกี่ยวกับการให้ความสําคัญ เพื่อเตรียมพร้อมสําหรับการทํา DiRT
โปรโตคอลการสื่อสาร ความคาดหวังด้านผลกระทบ และข้อกำหนดการออกแบบการทดสอบ รวมถึงแผนการสตรีมข้อมูลย้อนกลับที่ตรวจสอบและอนุมัติล่วงหน้า การฝึกซ้อมและสถานการณ์ DiRT ไม่เพียงแต่จะบังคับให้เกิดความล้มเหลวทางเทคนิคในบริการเท่านั้น แต่ยังอาจรวมถึงความล้มเหลวที่ออกแบบไว้สำหรับกระบวนการ ความพร้อมของเจ้าหน้าที่หลัก ระบบสนับสนุน การสื่อสาร และการเข้าถึงจริง DiRT ตรวจสอบว่ากระบวนการที่มีอยู่ใช้งานได้จริง นอกจากนี้ ยังช่วยให้มั่นใจได้ว่าทีมได้รับการฝึกอบรมล่วงหน้าและมีประสบการณ์ที่สามารถนำมาใช้ในระหว่างการหยุดทำงาน การหยุดชะงัก และภัยพิบัติที่เกิดขึ้นจริงไม่ว่าจะเกิดจากการกระทำของมนุษย์หรือจากธรรมชาติ
การควบคุมความปลอดภัยที่สำคัญ
ส่วนนี้อธิบายการควบคุมด้านความปลอดภัยหลักที่แพลตฟอร์ม Google Maps นำมาใช้เพื่อปกป้องแพลตฟอร์ม
การเข้ารหัส
การเข้ารหัสจะเพิ่มการป้องกันอีกชั้นเพื่อปกป้องข้อมูล การเข้ารหัสช่วยให้มั่นใจได้ว่าหากผู้โจมตีเข้าถึงข้อมูลได้ ก็จะไม่สามารถอ่านข้อมูลได้หากไม่มีสิทธิ์เข้าถึงคีย์การเข้ารหัสด้วย แม้ว่าผู้โจมตีจะเข้าถึงข้อมูลได้ (เช่น โดยการเข้าถึงการเชื่อมต่อสายระหว่างศูนย์ข้อมูลหรือการขโมยอุปกรณ์จัดเก็บข้อมูล) แต่ก็จะไม่สามารถเข้าใจหรือถอดรหัสข้อมูลได้
การเข้ารหัสเป็นกลไกสําคัญในวิธีที่ Google ช่วยปกป้องความเป็นส่วนตัวของข้อมูล ซึ่งช่วยให้ระบบสามารถจัดการข้อมูลได้ เช่น สำรองข้อมูล และวิศวกรสามารถสนับสนุนโครงสร้างพื้นฐานของ Google ได้โดยไม่ต้องให้สิทธิ์เข้าถึงเนื้อหาแก่ระบบหรือพนักงานเหล่านั้น
การเข้ารหัสเมื่อไม่มีการเคลื่อนไหว
การเข้ารหัส "ขณะไม่มีการเคลื่อนไหว" ในส่วนนี้หมายถึงการเข้ารหัสที่ใช้เพื่อปกป้องข้อมูลที่จัดเก็บไว้ในดิสก์ (รวมถึง Solid State ไดรฟ์) หรือสื่อสำรองข้อมูล ระบบจะเข้ารหัสข้อมูลในระดับพื้นที่เก็บข้อมูล โดยปกติจะใช้ AES256 (Advanced Encryption Standard) ข้อมูลมักได้รับการเข้ารหัสหลายระดับในแพ็กเกจพื้นที่เก็บข้อมูลเวอร์ชันที่ใช้งานจริงของ Google ในศูนย์ข้อมูล รวมถึงในระดับฮาร์ดแวร์ โดยที่ลูกค้า Google ไม่ต้องดำเนินการใดๆ การใช้การเข้ารหัสหลายชั้น
เพิ่มการคุ้มครองข้อมูลที่ซ้ำซ้อนและช่วยให้ Google เลือกแนวทางที่ดีที่สุดตามข้อกำหนดของแอปพลิเคชันได้ Google ใช้ไลบรารีการเข้ารหัสลับทั่วไปซึ่งรวมโมดูลที่ผ่านการตรวจสอบ FIPS 140-2 ของ Google เพื่อใช้การเข้ารหัสอย่างสอดคล้องกันในผลิตภัณฑ์ต่างๆ การใช้ไลบรารีทั่วไปอย่างสม่ำเสมอหมายความว่ามีเพียงทีมนักวิทยาการเข้ารหัสเพียงไม่กี่คนเท่านั้นที่ต้องติดตั้งใช้งานและดูแลรักษาโค้ดที่มีการควบคุมและตรวจสอบอย่างเข้มงวดนี้
การป้องกันข้อมูลระหว่างการส่ง
ข้อมูลอาจเสี่ยงต่อการเข้าถึงที่ไม่ได้รับอนุญาตขณะส่งผ่านอินเทอร์เน็ต Google Maps Platform รองรับการเข้ารหัสที่รัดกุมระหว่างอุปกรณ์และเครือข่ายของลูกค้ากับเซิร์ฟเวอร์ Google Front End (GFE) ของ Google Google ขอแนะนําให้ลูกค้า/นักพัฒนาซอฟต์แวร์ใช้ชุดการเข้ารหัสที่ Google รองรับที่มีประสิทธิภาพสูงสุด (TLS 1.3) เมื่อสร้างแอปพลิเคชันตามแนวทางปฏิบัติแนะนำ ลูกค้าบางรายมี Use Case ที่กำหนดให้ต้องใช้ชุดการเข้ารหัสรุ่นเก่าเนื่องจากเหตุผลด้านความเข้ากันได้ Google Maps Platform จึงรองรับมาตรฐานที่อ่อนแอกว่าเหล่านี้ แต่ไม่แนะนำให้ใช้เมื่อเป็นไปได้ นอกจากนี้ Google Cloud ยังมีตัวเลือกการเข้ารหัสการรับส่งเพิ่มเติมให้คุณด้วย ซึ่งรวมถึง Cloud VPN สำหรับการสร้างเครือข่ายส่วนตัวเสมือนโดยใช้ IPsec สำหรับผลิตภัณฑ์ Google Maps Platform
ปกป้องข้อมูลระหว่างการรับส่งระหว่างศูนย์ข้อมูลของ Google
ระบบรักษาความปลอดภัยการส่งการเข้ารหัสระดับแอปพลิเคชัน (ALTS) ช่วยให้มั่นใจได้ว่าการรับส่งข้อมูลของ Google จะได้รับการปกป้องและเข้ารหัสตามที่จำเป็น หลังจากโปรโตคอลการจับมือระหว่างไคลเอ็นต์กับเซิร์ฟเวอร์เสร็จสมบูรณ์ และไคลเอ็นต์กับเซิร์ฟเวอร์เจรจาความลับการเข้ารหัสลับที่จำเป็นร่วมกันเพื่อเข้ารหัสและตรวจสอบสิทธิ์การรับส่งข้อมูลในเครือข่าย ALTS จะรักษาความปลอดภัยของการรับส่งข้อมูล RPC (การเรียกใช้ขั้นตอนระยะไกล) โดยการบังคับใช้ความสมบูรณ์โดยใช้ความลับที่แชร์ซึ่งเจรจากันไว้ Google รองรับโปรโตคอลหลายรายการสำหรับการรับประกันความสมบูรณ์ เช่น AES-GMAC (Advanced Encryption Standard) ที่มีคีย์ 128 บิต เมื่อใดก็ตามที่การรับส่งข้อมูลออกจากขอบเขตที่ควบคุมโดยหรือในนามของ Google เช่น การรับส่งข้อมูลผ่าน WAN (เครือข่ายพื้นที่กว้าง) ระหว่างศูนย์ข้อมูล ระบบจะอัปเกรดโปรโตคอลทั้งหมดโดยอัตโนมัติเพื่อรับประกันการเข้ารหัสและความสมบูรณ์
ความพร้อมให้บริการของบริการ Google Maps Platform
บริการบางอย่างของ Google Maps Platform อาจไม่พร้อมให้บริการในบางพื้นที่ การหยุดชะงักของบริการบางอย่างเกิดขึ้นชั่วคราว (เนื่องจากเหตุการณ์ที่ไม่คาดคิด เช่น เครือข่ายขัดข้อง) แต่ข้อจำกัดอื่นๆ ของบริการจะถาวรเนื่องจากข้อจำกัดที่รัฐบาลกำหนด รายงานความโปร่งใสและแดชบอร์ดสถานะที่ครอบคลุมของ Google จะแสดงการหยุดชะงักที่เกิดขึ้นเมื่อเร็วๆ นี้และต่อเนื่องของการเข้าชมบริการ Google Maps Platform Google แสดงข้อมูลนี้เพื่อช่วยให้คุณวิเคราะห์และทำความเข้าใจข้อมูลเกี่ยวกับเวลาทํางานของ Google
ความปลอดภัยฝั่งไคลเอ็นต์
ความปลอดภัยเป็นความรับผิดชอบร่วมกันระหว่างผู้ให้บริการระบบคลาวด์กับลูกค้า/พาร์ทเนอร์ที่ใช้ผลิตภัณฑ์ Google Maps Platform ส่วนนี้จะอธิบายรายละเอียดความรับผิดชอบของลูกค้า/พาร์ทเนอร์ที่ควรพิจารณาเมื่อออกแบบสถาปัตยกรรมโซลูชัน Google Maps Platform
JavaScript API
เว็บไซต์ที่ปลอดภัย
Maps JavaScript API เผยแพร่ชุดคําแนะนําที่ช่วยให้ลูกค้าปรับแต่งนโยบายรักษาความปลอดภัยเนื้อหา (CSP) ของเว็บไซต์ได้เพื่อหลีกเลี่ยงช่องโหว่ต่างๆ เช่น การโจมตีด้วยสคริปต์ข้ามเว็บไซต์ การคลิกแจ็ก และการใช้ข้อมูล JavaScript API รองรับ CSP 2 รูปแบบ ได้แก่ CSP แบบเข้มงวดที่ใช้ Nonce และ CSP รายการที่อนุญาต
JavaScript ที่ปลอดภัย
ระบบจะสแกน JavaScript เป็นประจำเพื่อหารูปแบบที่ขัดต่อความปลอดภัยที่ทราบ และแก้ไขปัญหาได้อย่างรวดเร็ว JavaScript API จะเผยแพร่ทุกสัปดาห์หรือตามคําขอ หากเกิดปัญหาขึ้น
ความปลอดภัยของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ (MAS)
ความปลอดภัยของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ (Mobile Application Security หรือ MAS) เป็นมาตรฐานแบบเปิดที่ยืดหยุ่นและรวบรวมข้อมูลจากมวลชน ซึ่งเกิดจากการมีส่วนร่วมของผู้เขียนและผู้ตรวจสอบหลายสิบคนจากทั่วโลก โปรเจ็กต์หลักด้านความปลอดภัยของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ (Mobile Application Security หรือ MAS) ของ OWASP มีมาตรฐานความปลอดภัยสำหรับแอปบนอุปกรณ์เคลื่อนที่ (OWASP MASVS) และคู่มือการทดสอบที่ครอบคลุม (OWASP MASTG) ซึ่งครอบคลุมกระบวนการ เทคนิค และเครื่องมือที่ใช้ในระหว่างการทดสอบความปลอดภัยของแอปบนอุปกรณ์เคลื่อนที่ รวมถึงชุดกรณีทดสอบที่ครอบคลุมซึ่งช่วยให้ผู้ทดสอบสามารถให้ผลลัพธ์ที่สอดคล้องกันและสมบูรณ์
- มาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ (Mobile Application Security Verification Standard หรือ MASVS) ของ OWASP เป็นพื้นฐานสำหรับการทดสอบความปลอดภัยที่สมบูรณ์และสอดคล้องกันสำหรับทั้ง iOS และ Android
- คู่มือการทดสอบความปลอดภัยของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ของ OWASP (MASTG) เป็นคู่มือที่ครอบคลุมซึ่งอธิบายกระบวนการ เทคนิค และเครื่องมือที่ใช้ในระหว่างการวิเคราะห์ความปลอดภัยของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ รวมถึงชุดกรณีทดสอบที่ครอบคลุมสำหรับการยืนยันข้อกำหนดที่ระบุไว้ใน MASVS
- รายการตรวจสอบความปลอดภัยของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ของ OWASP มีลิงก์ไปยังกรณีทดสอบ MASTG สำหรับการควบคุม MASVS แต่ละรายการ
- การประเมินความปลอดภัย / การทดสอบการเจาะระบบ: ตรวจสอบว่าคุณครอบคลุมพื้นที่การโจมตีมาตรฐานเป็นอย่างน้อย แล้วเริ่มสำรวจ
- การปฏิบัติตามมาตรฐาน: มีเวอร์ชัน MASVS และ MASTG รวมถึงรหัสการคอมมิต
- เรียนรู้และฝึกทักษะด้านความปลอดภัยบนอุปกรณ์เคลื่อนที่
- โปรแกรมล่าข้อบกพร่อง: ดำเนินการทีละขั้นตอนเพื่อครอบคลุมพื้นที่การโจมตีบนอุปกรณ์เคลื่อนที่
ลองใช้ประโยชน์จาก OWASP MAS เพื่อเพิ่มความปลอดภัย ความสามารถในการทดสอบ และการตรวจสอบสิทธิ์ของแอปพลิเคชัน iOS และ Android
Android
แหล่งข้อมูลอีกแหล่งที่ควรพิจารณาเมื่อพัฒนาแอปพลิเคชัน Android คือแนวทางปฏิบัติแนะนำสำหรับแอปพลิเคชันชุมชน Android หลักเกณฑ์ด้านความปลอดภัยมีคำแนะนำแนวทางปฏิบัติแนะนำเกี่ยวกับการบังคับใช้การสื่อสารที่ปลอดภัย การกำหนดสิทธิ์ที่ถูกต้อง พื้นที่เก็บข้อมูลอย่างปลอดภัย บริการที่ต้องพึ่งพา และอื่นๆ
iOS
เมื่อพัฒนาแอปพลิเคชัน iOS ให้พิจารณาคำแนะนำเบื้องต้นเกี่ยวกับคู่มือการเขียนโค้ดที่ปลอดภัยของ Apple ซึ่งมีแนวทางปฏิบัติแนะนำสำหรับแพลตฟอร์ม iOS
การเก็บรวบรวม การใช้งาน และการเก็บรักษาข้อมูล
Google Maps Platform มุ่งมั่นที่จะแสดงความโปร่งใสเกี่ยวกับการเก็บรวบรวม การใช้ และการเก็บรักษาข้อมูล การเก็บรวบรวม การใช้งาน และการเก็บรักษาข้อมูลของ Google Maps Platform อยู่ภายใต้ข้อกำหนดในการให้บริการของ Google Maps Platform ซึ่งรวมถึงนโยบายความเป็นส่วนตัวของ Google
การรวบรวมข้อมูล
ระบบจะรวบรวมข้อมูลผ่านการใช้ผลิตภัณฑ์ Google Maps Platform ในฐานะลูกค้า คุณควบคุมข้อมูลที่จะส่งไปยัง Google Maps Platform ได้ผ่าน API และ SDK ระบบจะบันทึกคําขอ Google Maps Platform ทั้งหมด ซึ่งรวมถึงรหัสสถานะการตอบกลับจากผลิตภัณฑ์
ข้อมูลที่บันทึกไว้ของ Google Maps Platform
Google Maps Platform จะบันทึกข้อมูลในชุดผลิตภัณฑ์ บันทึกมีรายการหลายรายการ ซึ่งโดยทั่วไปจะประกอบด้วยข้อมูลต่อไปนี้
- ตัวระบุบัญชี ซึ่งอาจเป็นคีย์ API, รหัสไคลเอ็นต์ หรือหมายเลขโปรเจ็กต์ในระบบคลาวด์ ซึ่งจำเป็นต่อการดำเนินการ การสนับสนุน และการเรียกเก็บเงิน
- ที่อยู่ IP ของเซิร์ฟเวอร์ บริการ หรืออุปกรณ์ที่ขอ สำหรับ API โปรดทราบว่าที่อยู่ IP ที่ส่งไปยัง Google Maps Platform จะขึ้นอยู่กับวิธีเรียกใช้ API ในแอปพลิเคชัน/โซลูชันของคุณ สําหรับ SDK ระบบจะบันทึกที่อยู่ IP ของอุปกรณ์ที่เรียกใช้
- URL คำขอซึ่งมี API และพารามิเตอร์ที่ส่งไปยัง API เช่น Geocoding API ต้องใช้พารามิเตอร์ 2 รายการ (ที่อยู่และคีย์ API) การแปลงพิกัดภูมิศาสตร์ยังมีพารามิเตอร์ที่ไม่บังคับอีกหลายรายการ URL คำขอจะมีพารามิเตอร์ทั้งหมดที่ส่งไปยังบริการ
- วันที่และเวลาของคำขอ
- เว็บแอปพลิเคชันมีการบันทึกส่วนหัวของคำขอ ซึ่งโดยทั่วไปจะมีข้อมูล เช่น ประเภทเว็บเบราว์เซอร์และระบบปฏิบัติการ
- แอปพลิเคชันบนอุปกรณ์เคลื่อนที่ที่ใช้ SDK (Android และ iOS) จะมีบันทึกเวอร์ชัน ไลบรารี และชื่อแอปพลิเคชัน
การเข้าถึงบันทึกของ Google Maps Platform
การเข้าถึงบันทึกมีการจํากัดอย่างมากและได้รับอนุญาตเฉพาะสมาชิกในทีมที่เฉพาะเจาะจงซึ่งมีความจำเป็นทางธุรกิจที่ถูกต้องเท่านั้น ระบบจะบันทึกคําขอเข้าถึงไฟล์บันทึกไว้เพื่อวัตถุประสงค์ในการตรวจสอบ ซึ่งจะได้รับการยืนยันผ่านการตรวจสอบ ISO 27001 และ SOC 2 ของบุคคลที่สามของ Google
การใช้ข้อมูล
ข้อมูล Google Maps Platform รวบรวมเพื่อวัตถุประสงค์ต่อไปนี้
- การปรับปรุงผลิตภัณฑ์และบริการของ Google
- การให้การสนับสนุนด้านเทคนิคแก่ลูกค้า
- การตรวจสอบและการแจ้งเตือนการดําเนินการ
- การรักษาความปลอดภัยของแพลตฟอร์ม
- การวางแผนความจุของแพลตฟอร์ม
โปรดทราบว่า Google จะไม่ขายข้อมูลส่วนบุคคลของคุณให้แก่บุคคลที่สามตามที่ระบุไว้ในนโยบายความเป็นส่วนตัวของ Google
การเก็บรักษาและการลบข้อมูลระบุตัวบุคคล
ข้อมูลผู้ใช้ที่เก็บรวบรวมไว้ในบันทึกของ Google Maps Platform อาจได้รับการเก็บรักษาไว้เป็นระยะเวลาที่ต่างกันไปตามความต้องการทางธุรกิจ โดยขึ้นอยู่กับนโยบายการจัดเก็บและการเก็บรักษา เราจะเก็บรักษาข้อมูลผู้ใช้ไว้เฉพาะในกรณีที่มีความจำเป็นทางธุรกิจโดยชอบด้วยกฎหมายเท่านั้น และจะลบข้อมูลออกเมื่อไม่จําเป็นต่อวัตถุประสงค์ในการเก็บรวบรวมข้อมูลแล้ว วิธีการลบที่ยอมรับได้ได้รับการกําหนดไว้อย่างเข้มงวดและรวมถึงเลเยอร์ทั้งหมดผ่านการรวบรวมขยะ กระบวนการลบจะได้รับการตรวจสอบและยืนยันเพื่อให้มั่นใจว่าเป็นไปตามข้อกำหนด
ระบบอาจเก็บสถิติการใช้งานโดยรวมที่ลบข้อมูลระบุตัวบุคคลแล้วซึ่งมาจากบันทึกไว้นานขึ้น ทีมความเป็นส่วนตัวจะตรวจสอบการลบข้อมูลระบุตัวบุคคลทั้งหมดเพื่อให้แน่ใจว่าเป็นไปตามมาตรฐานทางเทคนิคที่เพียงพอและเหมาะสมกับความต้องการด้านความเป็นส่วนตัว ผลิตภัณฑ์ และกฎระเบียบ
การรองรับข้อกำหนดในการปฏิบัติตามข้อกำหนด
Google Maps Platform ได้รับการตรวจสอบการควบคุมด้านความปลอดภัย การปฏิบัติตามข้อกำหนด และคุณภาพโดยหน่วยงานอิสระเป็นประจำ รวมถึงได้รับประกาศนียบัตร เอกสารรับรอง และรายงานการตรวจสอบเพื่อแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนด มาตรฐานสากลหลักที่เราได้รับการตรวจสอบมีดังนี้
- ISO / IEC 27001 (การจัดการความปลอดภัยของข้อมูล)
- ISO / IEC 27017 (การรักษาความปลอดภัยบนระบบคลาวด์)
- ISO / IEC 9001 (การจัดการคุณภาพ)
นอกจากนี้ ลูกค้าของเรายังดูรายงาน SOC 2 และ SOC 3 ได้ด้วย นอกจากนี้ เรายังมีส่วนร่วมในเฟรมเวิร์กเฉพาะภาคส่วนและประเทศ เช่น NIST 800-53, NIST 800-171 (รัฐบาลสหรัฐอเมริกา) และ TISAX (เยอรมนี)
โปรดดูรายการข้อเสนอด้านการปฏิบัติตามข้อกำหนดทั้งหมดของเราที่ศูนย์ความน่าเชื่อถือด้านความปลอดภัยและการปฏิบัติตามข้อกำหนด
สรุป
ความปลอดภัยเป็นเกณฑ์การออกแบบหลักสำหรับโครงสร้างพื้นฐาน ผลิตภัณฑ์ และการดำเนินงานทั้งหมดของ Google ขนาดของการดำเนินงานและการร่วมมือกับชุมชนการวิจัยด้านความปลอดภัยของ Google ช่วยให้เราจัดการกับช่องโหว่ได้อย่างรวดเร็ว และมักป้องกันช่องโหว่เหล่านั้นได้ทั้งหมด Google ให้บริการของตนเอง เช่น Search, YouTube และ Gmail ในโครงสร้างพื้นฐานเดียวกันกับที่ให้บริการแก่ลูกค้า ซึ่งลูกค้าจะได้รับประโยชน์โดยตรงจากการควบคุมและแนวทางปฏิบัติด้านความปลอดภัยของ Google
Google เชื่อว่าสามารถมอบระดับการปกป้องที่ผู้ให้บริการระบบคลาวด์สาธารณะหรือทีมไอทีขององค์กรเอกชนเพียงไม่กี่รายเท่านั้นที่ทำได้ เนื่องจากการปกป้องข้อมูลเป็นหัวใจสําคัญของธุรกิจ Google เราจึงลงทุนอย่างครอบคลุมในด้านความปลอดภัย แหล่งข้อมูล และความเชี่ยวชาญในวงกว้างที่ผู้อื่นทําไม่ได้ การลงทุนของ Google ช่วยให้คุณมุ่งเน้นที่ธุรกิจและนวัตกรรมได้อย่างเต็มที่ เราจะลงทุนอย่างต่อเนื่องในแพลตฟอร์มของเราเพื่อให้คุณได้รับประโยชน์จากบริการของ Google ในลักษณะที่ปลอดภัยและโปร่งใส
ขั้นตอนถัดไป
หากต้องการดูข้อมูลเพิ่มเติมเกี่ยวกับวัฒนธรรมและปรัชญาด้านความปลอดภัย โปรดอ่านการสร้างระบบที่ปลอดภัยและเชื่อถือได้ (หนังสือของ O'Reilly)
ดูข้อมูลเพิ่มเติมเกี่ยวกับแนวทางปฏิบัติแนะนำได้ที่คำแนะนำด้านความปลอดภัยของ Google Maps Platform
ดูข้อมูลเพิ่มเติมเกี่ยวกับการครอบคลุมผลิตภัณฑ์ตามการรับรองการปฏิบัติตามข้อกำหนดได้ที่บริการ Google Maps Platform ในขอบเขตตามโปรแกรมการปฏิบัติตามข้อกำหนด
ดูข้อมูลเพิ่มเติมเกี่ยวกับแนวทางการจัดการเหตุการณ์ได้ที่การจัดการเหตุการณ์ของ Google Maps Platform