Google Haritalar Platformu için güvenlik ve uyumluluğa genel bakış

Bu içerik en son Şubat 2025'te güncellenmiştir ve yazıldığı anda geçerli olan durumu belirtir. Google olarak müşterilerimiz için sağladığımız korumayı sürekli olarak geliştirdiğimizden, güvenlik politikalarımız ve sistemlerimiz zaman içinde değişebilir.

Giriş

Google Haritalar Platformu, müşterilerin ve iş ortaklarının Google'ın coğrafi teknolojisini kullanarak web ve mobil uygulamalar geliştirmesi için API'ler ve SDK'lar sağlar. Google Haritalar Platformu, birden fazla sektördeki müşteriler için 50'den fazla API ve SDK sunar. Sektördeki bir müşteri olarak, çözümlerinizi oluştururken genellikle güvenlik, veri kullanımı ve yasal şartlara uymanız gerekir. Üçüncü taraf teknolojinizin de bu şartlara uyduğundan emin olmanız gerekir.

Bu dokümanda, Google Haritalar Platformu'nun sunduğu kullanıcı, süreç ve teknoloji denetimlerinin üst düzey bir özeti sunulmakta ve platformun kullanılmasının avantajları açıklanmaktadır. Öncelikle, Google Haritalar Platformu'nun temelindeki iki teknoloji sütununu anlamanız önemlidir:

  • Google tarafından sağlanan teknolojiler, veri merkezleri ve altyapı. Google Haritalar Platformu tamamen Google tarafından sağlanan veri merkezlerinde ve altyapıda çalışır. Bu temelden yola çıkarak, Google Haritalar Platformu'nun bu makalede açıklanan güvenlik, operasyonel ve teknik kontrolleri doğru şekilde uyguladığını doğrulamak için Google'dan devraldığı güvenlik denetimlerine dahili ve üçüncü taraf denetimleri uygular.
  • Google Haritalar Platformu teknolojisi. Google Haritalar Platformu, devralınan denetimlere ek olarak Google'ın ürün paketleri için ek güvenlik, gizlilik, veri ve işletim denetimleri sağlar.

Bu belgede, Google Haritalar Platformu'nun güvenlik süreçleri ve denetimleri aşağıdaki gibi gruplandırılarak özetlenmiştir:

  • Google'ın kuruluşunun tüm düzeylerinde güvenlik ve gizliliğe odaklanma
  • Teknik altyapı ve donanım güvenliği
  • Operasyonel güvenlik
  • Temel güvenlik denetimleri
  • Hem web hem de mobil için istemci tarafı güvenlik
  • Google Haritalar Platformu'ndaki mevcut sertifikalar ve denetimler
  • Dünya genelinde desteklenen yasal çerçeveler

Potansiyel müşteriler daha fazla bilgi için Google satış temsilcileriyle iletişime geçebilir.

Google'ın güvenlik ve gizlilik odaklı kültürü

Güvenlik, Google'da kurumsal yapıyı, kültürü, eğitim önceliklerini ve işe alma süreçlerini yönlendirir. Google veri merkezlerinin tasarımını ve sağladıkları teknolojiyi şekillendirir. Afet planlaması ve tehdit yönetimi dahil olmak üzere Google'ın günlük operasyonlarının temelinde güvenlik yer alır. Google, verileri işleme, hesap kontrolleri, uygunluk denetimleri ve endüstri sertifikalarında güvenlik konusuna öncelik verir. Google, hizmetlerini, güvenliğin genellikle bağlantısız bir süreç olduğu birden fazla tedarikçiye ve birden fazla platforma dayanan birçok şirket içi alternatiften daha iyi güvenlik sunacak şekilde tasarlar. İşletmeniz için Google Haritalar Platformu ürünlerinden yararlandığınızda Google'ın entegre güvenlik programlarından ve kontrollerinden yararlanırsınız. Google Maps Platform, dünya genelinde bir milyardan fazla kullanıcıya hizmet veren operasyonlarında güvenliği öncelikli tutar.

Google ve Google Haritalar Platformu, şirket ve kuruluş genelinde çok katmanlı güvenlik sağlar:

  • Google'ın özel güvenlik ekibi
  • Google Haritalar Platformu ürün güvenliği ekibi
  • Küresel güvenlik araştırmaları topluluğuyla aktif katılım
  • Google Haritalar Platformu gizlilik ekibi
  • Google çalışanları için güvenlik ve gizlilik eğitimi
  • Şirket içi denetim ve uyum uzmanları

Google'daki özel güvenlik ekipleri

Google, şirket genelinde ve ürün alanlarında özel güvenlik ekipleri sağlar.

Google genelindeki güvenlik ekipleri, Google Haritalar Platformu dahil olmak üzere Google'daki birden fazla ürün alanını destekler. Güvenlik ekibinde bilgi güvenliği, uygulama güvenliği, kriptografi ve ağ güvenliği konularında dünyanın önde gelen uzmanlarından bazıları yer almaktadır. Bu kullanıcıların etkinlikleri şunlardır:

  • Güvenlik süreçlerini geliştirir, inceler ve uygular. Buna Google ağlarının güvenlik planlarını incelemek ve Google'daki ürün ve mühendislik ekiplerine projeye özel danışmanlık hizmetleri sunmak da dahildir. Örneğin, kriptografi uzmanları, teklifin bir parçası olarak kriptografi uygulayan ürün lansmanlarını inceler.
  • Güvenlik tehditlerini etkin bir şekilde yönetir. Ekip, hem ticari hem de özel araçları kullanarak Google ağlarındaki devam eden tehditleri ve şüpheli etkinlikleri izler.
  • Düzenli denetimler ve değerlendirmeler yapar. Bu denetimler, güvenlik değerlendirmeleri yapmak için şirket dışı uzmanlarla iletişim kurmayı içerebilir.
  • Güvenlik makalelerini daha geniş bir kitleye yayınlar. Google, belirli Güvenlik Ekipleri ve başarılarını öne çıkaran bir güvenlik blogu ve YouTube serisi yayınlar.

Google Haritalar Platformu güvenlik ekibi, Google genelindeki güvenlik ekibiyle birlikte çalışır. Güvenlik uygulamasını denetlemek için ürün geliştirme ve SRE ile daha yakın çalışır. Bu ekip özellikle aşağıdakileri yönetir:

  • Google Haritalar Platformu ürünlerinin işletme sürekliliğini ve yedekleme özelliğini test eden Google Haritalar Platformu'nun Afetlere Karşı Dayanıklılık Testi (DiRT), Google'ın yüksek kullanılabilirlik altyapısında çalışır.
  • Üçüncü taraf sızma testi. Google Haritalar Platformu ürünleri, Google'ın güvenlik durumunu iyileştirmek ve size bağımsız güvenlik güvencesi sunmak için en az yılda bir kez penetrasyon testine tabi tutulur.

Güvenlik araştırmaları topluluğu ile işbirliği

Google, uzun zamandır güvenlik araştırmaları topluluğu ile yakın bir ilişki kuruyor. Google Haritalar Platformu ve diğer Google ürünlerindeki olası güvenlik açıklarını belirleme konusundaki yardımlarına büyük değer veriyoruz. Güvenlik ekiplerimiz, internet topluluğunun yararına olacak araştırma ve tanıtım faaliyetlerinde yer alır. Örneğin, sıfır günlük güvenlik açıklarını araştırmaya adanmış güvenlik araştırmacılarından oluşan Project Zero ekibimiz var. Bu araştırmanın bazı örnekleri, Spectre açıklarından yararlanma saldırısı, Meltdown açıklarından yararlanma saldırısı, POODLE SSL 3.0 açıklarından yararlanma saldırısı ve şifreleme paketi zayıflıkları'nın keşfidir.

Google'ın güvenlik mühendisleri ve araştırmacıları, akademik güvenlik topluluğuna ve gizlilik araştırma topluluğuna aktif olarak katılır ve bu topluluklarda yayın yapar. Güvenlikle ilgili yayınları Google'ın Google Araştırma sitesinde bulabilirsiniz. Google'ın güvenlik ekipleri, Güvenli ve Güvenilir Sistemler Oluşturma kitabında uygulama ve deneyimleri hakkında ayrıntılı bir açıklama yayınlamıştır.

Güvenlik Açığı Ödül Programımız, doğrulanan her güvenlik açığı için on binlerce dolarlık ödül sunar. Program, araştırmacıları müşteri verilerini riske atabilecek tasarım ve uygulama sorunlarını bildirmeye teşvik eder. 2023'te Google, araştırmacılara 10 milyon doların üzerinde para ödülü verdi. Güvenlik Açığı Programı, açık kaynak kodunun güvenliğini iyileştirmeye yardımcı olmak için araştırmacılara çeşitli girişimler de sunar. Google'ın verdiği ödüller de dahil olmak üzere bu program hakkında daha fazla bilgi için Hata Avcıları'nın Temel İstatistikleri başlıklı makaleyi inceleyin.

Dünyanın önde gelen kriptografları, sektör lideri kriptografi projelerine katılır. Örneğin, yapay zeka sistemlerinin güvenliğini sağlamak için Güvenli Yapay Zeka Çerçevesi'ni (SAIF) tasarladık. Ayrıca, TLS bağlantılarını kuantum bilgisayar saldırılarına karşı korumak için karma eliptik eğri ve kuantum sonrası (CECPQ2) algoritmasını geliştirdik. Şifreleme uzmanlarımız,şifreleme API'lerinin açık kaynak kitaplığı olan Tink'i geliştirdi. Tink'i şirket içi ürün ve hizmetlerimizde de kullanıyoruz.

Güvenlik sorunlarını nasıl bildirebileceğiniz hakkında daha fazla bilgi için Google'ın güvenlik açıklarını nasıl ele aldığı başlıklı makaleyi inceleyin.

Google Haritalar Platformu'nun özel gizlilik ekibi

Özel gizlilik ekibi, ürün geliştirme ve güvenlik kuruluşlarından ayrı olarak çalışır. Gizliliğin tüm yönlerini (kritik süreçler, dahili araçlar, altyapı ve ürün geliştirme) iyileştirmek için dahili gizlilik girişimlerini destekler. Gizlilik ekibi aşağıdaki işlemleri gerçekleştirir:

  • Gizliliği etkileyen her GMP ürün lansmanında, tasarım dokümanı değerlendirmesi ve lansman incelemesi aracılığıyla güçlü gizlilik standartlarının ve Tasarımdan Başlayan Gizliliğin yer almasını sağlar.
  • Google gizlilik politikası ve altyapısı, gizlilik tasarımı, gizliliği artıran teknolojiler ve denetimler, gizlilik riski değerlendirmesi ve azaltma hakkında tavsiye vermek için geliştirmenin herhangi bir aşamasında GMP ürün ekipleriyle görüşür.
  • Ürün kullanıma sunulduktan sonra gizlilik ekibi, uygun veri toplama ve kullanımı doğrulayan işlemleri inceler.
  • Gizlilikle ilgili en iyi uygulamalar hakkında araştırma yapar, uluslararası gizlilik standartları çalışma gruplarına katkıda bulunur ve akademik gizlilik zirvelerine ve konferanslarına katılır. .

Google çalışanları için güvenlik ve gizlilik eğitimi

Tüm Google çalışanları, oryantasyon süreci kapsamında güvenlik ve gizlilik eğitimi alır ve Google kariyerleri boyunca güvenlik ve gizlilik eğitimleri sürekli devam eder. Oryantasyon sırasında, yeni çalışanlar Google'ın müşteri bilgilerini güvende tutma taahhüdünü vurgulayan Davranış Kurallarımızı kabul eder.

İş rollerine bağlı olarak, çalışanların güvenliğin belirli yönleri hakkında ek eğitim alması gerekebilir. Örneğin, bilgi güvenliği ekibi yeni mühendislere güvenli kodlama uygulamaları, ürün tasarımı ve otomatik güvenlik açığı test araçları gibi konularda bilgiler verir. Mühendisler düzenli güvenlik brifinglerine katılır ve yeni tehditleri, saldırı düzenlerini, risk azaltma tekniklerini ve daha fazlasını içeren güvenlik bültenleri alır.

Güvenlik ve gizlilik sürekli gelişen bir alandır ve çalışan katılımının, farkındalığın artırılmasında önemli bir araç olduğunun bilincindeyiz. Güvenlik ve veri gizliliğinde farkındalığı artırmak ve yenilikçiliği teşvik etmek için düzenli olarak tüm çalışanlara açık şirket içi konferanslar düzenleriz. Yazılım geliştirme, veri işleme ve politika uygulamada güvenlik ve gizlilik bilincini artırmak için dünya çapındaki ofislerimizde etkinlikler düzenliyoruz.

Şirket içi denetim ve uyum uzmanları

Google Haritalar Platformu, Google ürünlerinin dünya genelindeki güvenlik yasalarına ve düzenlemelerine uygunluğunu inceleyen özel bir şirket içi denetim ekibine sahiptir. Yeni denetim standartları oluşturulurken ve mevcut standartlar güncellenirken şirket içi denetim ekibi, bu standartlara uymak için hangi kontrollerin, süreçlerin ve sistemlerin gerekli olduğunu belirler. Bu ekip, üçüncü taraflarca yapılan bağımsız denetimleri ve değerlendirmeleri destekler. Daha fazla bilgi için bu belgenin ilerleyen bölümlerindeki Güvenlik Sertifikaları ve Denetimleri bölümüne bakın.

Temelinde güvenlik bulunan platform

Google, sunucularını, özel işletim sistemlerini ve coğrafi olarak dağıtılmış veri merkezlerini derinlemesine savunma ilkesini kullanarak tasarlar. Google Haritalar Platformu, güvenli bir şekilde çalışması için tasarlanmış ve oluşturulmuş bir teknik altyapıda çalışır. Daha geleneksel şirket içi veya barındırılan çözümlerden daha güvenli ve yönetimi kolay bir BT altyapısı oluşturduk.

Son teknoloji ürünü veri merkezleri

Google'ın güvenlik ve verilerin korunması konularına odaklanması, Google'ın birincil tasarım kriterlerinden biridir. Google veri merkezlerinde fiziksel güvenlik, katmanlı bir güvenlik modelidir. Fiziksel güvenlik; özel olarak tasarlanmış elektronik giriş kartları, alarmlar, araç erişim bariyerleri, çevre güvenlik sistemleri, metal dedektörleri ve biyometri gibi koruma önlemlerini kapsar. Ayrıca Google, izinsiz giriş yapanları tespit edip takip etmek için lazer ışınıyla yetkisiz erişim tespiti ve yüksek çözünürlüklü iç ve dış mekan kameralarıyla 7/24 izleme gibi güvenlik önlemleri kullanır. Herhangi bir olay olma durumuna karşı erişim günlükleri, etkinlik kayıtları ve kamera görüntüleri bulunur. Geçmişleri iyice kontrol edilmiş ve ciddi eğitimlerden geçmiş olan deneyimli güvenlik görevlileri, Google'ın veri merkezlerinde düzenli olarak devriye gezer. Veri merkezi katına yaklaştıkça güvenlik önlemleri de artar. Veri merkezi katına erişim, yalnızca güvenlik rozetleri ve biyometri kullanarak çok faktörlü erişim kontrolü uygulayan bir güvenlik koridorundan geçilerek mümkündür. Yalnızca belirli rollere sahip, onaylı çalışanlar bu merkezlere girebilir. Google çalışanlarının yüzde birden azı Google'ın veri merkezlerinden birine adım atmıştır.

Google, hizmetlerinin hızını ve güvenilirliğini en üst düzeye çıkarmak için dünya genelinde veri merkezleri işletmektedir. Altyapısı genellikle trafiğin kaynağına en yakın veri merkezinden trafik yayınlayacak şekilde ayarlanır. Bu nedenle, Google Haritalar Platformu verilerinin tam konumu, bu trafiğin kaynağına bağlı olarak değişebilir ve bu veriler AEA ile Birleşik Krallık'ta bulunan sunucular tarafından işlenebilir veya üçüncü ülkelere aktarılabilir. Google müşterilerinin, Google Haritalar Platformu ürünlerinin uygulandığı teklifleri genellikle dünya genelinde kullanılabilir ve genellikle küresel bir kitleyi çeker. Bu ürünleri destekleyen teknik altyapı, gecikmeyi azaltmak ve sistemlerin yedeklenmesini sağlamak için dünya genelinde dağıtılır. Google Haritalar Platformu, referans olarak aşağıda listelenen Google Global Veri Merkezi Ağı'nın bir alt kümesini kullanır:

Veri merkezi konumlarını mavi noktalarla gösteren dünya haritası

Kuzey ve Güney Amerika

Avrupa

Asya

Google veri merkezlerini güçlendirme

İşlemleri 7 gün 24 saat devam ettirmek ve kesintisiz hizmet sağlamak için Google veri merkezlerinde yedekli güç sistemleri ve çevre kontrolleri bulunur. Her kritik bileşen, her biri eşit güce sahip birincil ve alternatif güç kaynaklarına sahiptir. Yedek jeneratörler, her veri merkezini tam kapasitede çalıştırmak için yeterli acil durum elektrik gücünü sağlayabilir. Soğutma sistemleri, sunucular ve diğer donanımlar için sabit çalışma sıcaklığını koruyarak hizmet kesintisi riskini azaltır ve çevresel etkiyi en aza indirir. Yangın algılama ve söndürme ekipmanı, donanımın zarar görmesini önler. Isı, yangın ve duman detektörleri, güvenlik operasyon konsollarında ve uzaktan izleme masalarında sesli ve görsel alarmları tetikler.

Google, Google veri merkezlerinde uyguladığı yüksek çevre, iş yeri güvenliği ve enerji yönetimi standartları için şirket dışı sertifikalar alan ilk büyük internet hizmetleri şirketidir. Örneğin, Google'ın enerji yönetimi uygulamalarına olan bağlılığını göstermek için Avrupa'daki veri merkezleri için gönüllü ISO 50001 sertifikaları aldı.

Özel sunucu donanımı ve yazılımı

Google veri merkezlerinde, bazıları Google tarafından tasarlanan amaca yönelik sunucular ve ağ donanımları bulunur. Google'ın sunucuları performansı, soğutmayı ve güç verimliliğini en üst düzeye çıkarmak için özelleştirilirken fiziksel saldırılara karşı koruma sağlamak için de tasarlanmıştır. Piyasada satılan çoğu donanımın aksine, Google sunucuları güvenlik açıklarına neden olabilecek video kartları, yonga setleri veya çevre birimleri gibi gereksiz bileşenleri içermez. Google, bileşen tedarikçilerini inceler ve bileşenleri dikkatle seçer. Ayrıca, bileşenler tarafından sağlanan güvenlik özelliklerini denetlemek ve doğrulamak için tedarikçi firmalarla birlikte çalışır. Google, Titan gibi özel çipler tasarlayarak bu cihazların önyükleme yapmak için kullandığı kod da dahil olmak üzere, meşru Google cihazlarını donanım düzeyinde güvenli bir şekilde tanımlamamıza ve kimlik doğrulama yapmamıza yardımcı olur.

Sunucu kaynakları dinamik olarak ayrılır. Bu sayede büyüme konusunda esneklik elde ederiz ve kaynak ekleyerek veya yeniden dağıtarak müşteri talebine hızlı ve verimli bir şekilde uyum sağlayabiliriz. Bu homojen ortam, sistemi ikili düzeyde değişikliklere karşı sürekli olarak izleyen tescilli yazılımla korunur. Google'ın otomatik ve kendi kendini iyileştirebilen mekanizmaları, kararlılığı bozan olayları izleyip düzeltmemizi, olaylar hakkında bildirimler almamızı ve izinsiz olarak yapılabilecek ağ girişlerini yavaşlatmamız için tasarlanmıştır.

Güvenli hizmet dağıtımı

Google hizmetleri, Google geliştiricilerinin yazdığı ve Google'ın altyapısında çalıştırdığı uygulama ikilileridir. İş yükünün gerekli ölçeğini yönetmek için binlerce makinede aynı hizmetin ikili dosyaları çalışabilir. Doğrudan altyapıda çalışan hizmetleri Borg adlı bir küme orkestrasyon hizmeti kontrol eder.

Altyapı, altyapıda çalışan hizmetler arasında güvence olduğunu varsaymaz. Bu güven modeline sıfır güven ilkeli güvenlik modeli denir. Sıfır güven güvenlik modeli, ağ içinde veya dışında olsunlar hiçbir cihaza ya da kullanıcıya varsayılan olarak güvenilmediği anlamına gelir.

Altyapı çok kiracılı olacak şekilde tasarlandığından Google'ın müşterilerine ait veriler (tüketiciler, işletmeler ve hatta Google'ın kendi verileri) paylaşılan altyapıya dağıtılır. Bu altyapı on binlerce homojen makineden oluşur. Altyapı, müşteri verilerini tek bir makinede veya makine grubunda ayırmaz

Donanım takibi ve imhası

Google, barkodları ve öğe etiketlerini kullanarak veri merkezlerindeki tüm ekipmanların konumunu ve durumunu titizlikle izler. Google, ekipmanların veri merkezinden izinsiz çıkarılmamasını sağlamak için metal dedektörleri ve video izleme sistemi kullanır. Bir bileşen, kullanım ömrünün herhangi bir noktasında performans testini geçemezse envanterden çıkarılır ve kullanımdan kaldırılır.

Sabit diskler, katı hal sürücüler ve uçucu olmayan çift sıralı bellek modülleri (DIMM) dahil olmak üzere Google depolama cihazları, aktif olmayan verileri korumak için tam disk şifreleme (FDE) ve disk kilitleme gibi teknolojilerden yararlanır. Bir depolama cihazı kullanımdan kaldırıldığında, yetkili kişiler diskin üzerine sıfır yazarak silindiğini doğrular. Ayrıca, diskin veri içermediğinden emin olmak için çok adımlı bir doğrulama işlemi gerçekleştirirler. Sürücü herhangi bir nedenle silinemiyorsa fiziksel olarak imha edilir. Fiziksel imha işlemi, sürücüyü küçük parçalara bölen bir parçalama makinesi kullanılarak yapılır. Daha sonra bu parçalar güvenli bir tesiste geri dönüştürülür. Her bir veri merkezi, katı bir imha politikasına bağlı kalır ve tutarsızlıklara derhal müdahale edilir.

Google'ın küresel ağının güvenlik avantajları

Diğer coğrafi bulut ve şirket içi çözümlerde veriler, herkese açık internetteki cihazlar arasında atlama olarak bilinen yollarda taşınır. Atlama sayısı, müşterinin İSS'si ile veri merkezi arasındaki en uygun yola bağlıdır. Her bir ek atlama, verilerin saldırıya uğraması veya ele geçirilmesi için yeni bir risk ortaya çıkarır. Google'ın küresel ağı, dünyadaki çoğu İSS ile bağlantılı olduğu için herkese açık internetteki atlamaları sınırlandırır ve bu nedenle kötü niyetli kişilerin bu verilere erişimini sınırlamaya yardımcı olur.

Google'ın ağı, dış saldırılara karşı koruma sağlamak için çoklu savunma katmanları (derinlemesine savunma) kullanır. Yalnızca Google'ın güvenlik şartlarını karşılayan yetkili hizmetler ve protokoller bilgi çekip aktarabilir. Geri kalan tüm bilgi çekme talepleri otomatik olarak bırakılır. Google, ağ ayrımını uygulamak için güvenlik duvarları ve erişim kontrol listeleri kullanır. Kötü niyetli istekleri ve Dağıtılmış Hizmet Reddi (DDoS) saldırılarını tespit etmek ve durdurmak için trafiğin tamamı Google Front End (GFE) sunucuları üzerinden yönlendirilir. Programlama hatalarının kötüye kullanımını ortaya çıkarmak için günlükler rutin olarak incelenir. Ağ bağlantılı cihazlara erişim yalnızca yetkili çalışanlarla sınırlıdır.

Google'ın küresel altyapısı, bilgileri sansürlemek için kullanılan DDoS saldırılarına karşı savunmasız olan web sitelerine ücretsiz ve sınırsız koruma sağlayan Project Shield'i çalıştırmamıza olanak tanır. Project Shield; haber web siteleri, insan hakları web siteleri ve seçim gözlem web sitelerinde kullanılabilir.

Düşük gecikme süresi ve yüksek düzeyde kullanılabilir çözümler

Google'ın IP veri ağı; kendi fiber kabloları, herkese açık fiber kablolar ve deniz altı kablolarından oluşur. Bu ağ, dünya genelinde yüksek oranda kullanılabilir ve düşük gecikmeli hizmetler sunmamıza olanak tanır.

Google, platformunun bileşenlerini yüksek yedeklilik standartlarına göre tasarlar. Bu yedeklilik imkanı; Google'ın sunucu tasarımı, verileri depolama yöntemi, ağ ve internet bağlantısı ve yazılım servisleri için de geçerlidir. "Her şey için yedeklilik", istisnaların ele alınmasını da kapsar ve tek bir sunucuya, veri merkezine veya ağ bağlantısına bağlı olmayan bir çözüm oluşturur.

Doğal afet ve yerel hizmet kesintileri gibi durumlarda global ürünlerin bölgesel aksaklıklardan olabildiğince az etkilenmesi için Google veri merkezleri coğrafi olarak farklı konumlara dağıtılmıştır. Donanım, yazılım veya ağ arızası durumunda platform hizmetleri ve kontrol düzlemleri otomatik olarak ve hızlı bir şekilde bir tesisten diğerine aktarılır. Böylece platform hizmetleri kesintisiz olarak devam eder.

Google'ın yüksek yedeklilik standardına sahip altyapısı, işletmenizi veri kaybından korumanıza da yardımcı olur. Google'ın sistemleri, platformumuzun bakımını yapmamız veya yükseltmemiz gerektiğinde kapalı kalma süresini ya da bakım pencerelerini en aza indirecek şekilde tasarlanmıştır.

Operasyonel güvenlik

Güvenlik, Google'ın operasyonlarının ayrılmaz bir parçasıdır, sonradan düşünülerek benimsenmemiştir. Bu bölümde Google'ın güvenlik açığı yönetimi programları, kötü amaçlı yazılım önleme programı, güvenlik izleme ve olay yönetimi programları açıklanmaktadır.

Güvenlik açığı yönetimi

Google'ın dahili güvenlik açığı yönetimi süreci, tüm teknoloji gruplarında güvenlik tehditlerini aktif olarak tarar. Bu süreçte ticari, açık kaynaklı ve özel olarak oluşturulmuş şirket içi araçların bir kombinasyonu kullanılır. Bu süreç aşağıdakileri içerir:

  • Kalite güvencesi süreçleri
  • Yazılım güvenliği incelemeleri
  • Kapsamlı Red Team egzersizleri dahil olmak üzere yoğun otomatik ve manuel penetrasyon çalışmaları
  • Google Haritalar Platformu ürünleri için yinelenen harici penetrasyon testleri
  • Yinelenen harici denetimler

Güvenlik açığı yönetimi kuruluşu ve iş ortakları, güvenlik açıklarının izlenmesinden ve sonrasındaki işlemlerden sorumludur. Güvenlik yalnızca sorunlar tamamen ele alındıktan sonra iyileştiğinden, otomasyon ardışık düzenekleri güvenlik açıklarını azaltmak ve yanlış ya da kısmi dağıtımı işaretlemek için yama dağıtımının durumunu sürekli olarak yeniden değerlendirir.

Zayıflık yönetimi kuruluşu, algılama özelliklerini iyileştirmeye yardımcı olmak için gürültüyü gerçek tehditleri gösteren sinyallerden ayıran yüksek kaliteli göstergelere odaklanır. Kuruluş, sektörle ve açık kaynak topluluğuyla etkileşimi de destekler. Örneğin, Tsunami ağ güvenlik tarayıcısı için yama ödül programı düzenler. Bu program, güvenlik açıkları için açık kaynak algılayıcılar oluşturan geliştiricilere ödül verir.

Kötü amaçlı yazılımları engelleme

Google, temel ürünlerimiz (ör. Gmail, Google Drive, Google Chrome, YouTube, Google Ads ve Google Arama) için çeşitli kötü amaçlı yazılım algılama teknikleri kullanan kötü amaçlı yazılım korumaları sağlar. Kötü amaçlı yazılım dosyalarını proaktif olarak keşfetmek için web tarama, dosya patlatma, özel statik algılama, dinamik algılama ve makine öğrenimi algılama yöntemlerini kullanırız. Ayrıca birden fazla antivirüs motoru kullanırız.

Çalışanlarımızın korunmasına yardımcı olmak için Chrome Enterprise Premium'un yerleşik gelişmiş güvenlik özelliklerini ve Google Chrome'daki Gelişmiş Güvenli Tarama özelliğini kullanırız. Bu özellikler, çalışanlarımız web'de gezinirken kimlik avı ve kötü amaçlı yazılım sitelerinin proaktif olarak tespit edilmesini sağlar. Ayrıca, şüpheli ekleri proaktif olarak taramak için Google Workspace'teki en katı güvenlik ayarlarını (ör. Gmail Güvenlik Korumalı Alanı) etkinleştiririz. Bu işlevlerden gelen günlükler, aşağıdaki bölümde açıklandığı gibi güvenlik izleme sistemlerimize aktarılır.

Güvenlik izleme

Google'ın güvenlik izleme programı; dahili ağ trafiği, sistemler üzerindeki çalışan etkinlikleri ve güvenlik açıklarına yönelik harici bilgilerden toplanan bilgilere odaklanır. Google'ın temel ilkelerinden biri, birleşik güvenlik analizi için tüm güvenlik telemetri verilerini tek bir yerde toplayıp depolamaktır.

Dahili trafik, Google'ın global ağının birçok noktasında, bot ağı bağlantılarını işaret edebilecek trafiğin mevcut olması gibi şüpheli davranışlara karşı incelenir. Google, bu analizi gerçekleştirebilmek için trafiği yakalamak ve ayrıştırmak amacıyla açık kaynaklı ve ticari araçların bir arada kullanıldığı bir yöntem kullanır. Ayrıca Google'ın teknolojisinin üst seviyesinde kurulu, özel bir ilişki sistemi de bu analizi destekler. Google, müşteri verilerine erişmeye çalışma gibi olağan dışı davranışları belirlemek için sistem günlüklerini inceleyerek ağ analizini destekler.

Google'daki Güvenlik Tehditleri Analizi Ekibi, tehdit aktörlerini ve taktikleri ile tekniklerinin gelişimini izler. Google güvenlik mühendisleri, gelen güvenlik raporlarını inceler ve herkese açık e-posta listelerini, blog gönderilerini ve wiki'leri izler. Otomatik ağ analizi ve sistem günlüklerinin otomatik analizi, bilinmeyen bir tehdit meydana geldiğinde Google Güvenlik ekibini bilgilendirir. Otomatik süreçler bir sorun tespit ederse bu sorun Google'ın güvenlik ekibine iletilir.

İzinsiz giriş tespiti

Google, bağımsız cihazlardaki ana makine tabanlı sinyalleri, altyapıdaki çeşitli izleme noktalarından gelen ağ tabanlı sinyalleri ve altyapı hizmetlerinden gelen sinyalleri entegre etmek için gelişmiş veri işleme ardışık düzenlerini kullanır. Bu ardışık düzenlerin üzerine inşa edilen kurallar ve makine zekası, operasyonel güvenlik mühendislerine olası olaylarla ilgili uyarılar verir. Google'ın inceleme ve olay müdahale ekipleri, bu olası olayları günde 24 saat, yılda 365 gün boyunca önceliklendirir, araştırır ve bunlara yanıt verir. Google, tespit ve müdahale mekanizmalarının etkinliğini ölçmek ve iyileştirmek için harici sızma testlerinin yanı sıra Kırmızı Takım tatbikatları da gerçekleştirir.

Olay yönetimi

Google, sistemlerin veya verilerin gizliliğini, bütünlüğünü ya da kullanılabilirliğini etkileyebilecek güvenlik olayları için titiz bir olay yönetimi sürecine sahiptir. Google'ın güvenlik olayı yönetimi programı, olay yönetimiyle ilgili NIST rehberi (NIST SP 800-61) çerçevesinde oluşturulmuştur. Google, kilit personel üyelerine üçüncü taraf ve özel araçların kullanımı da dahil olmak üzere adli konular ve bir etkinliğin hazırlığına yönelik kanıt yönetimi konularında eğitim verir.

Google, önemli alanlar için olay yanıt planlarını test eder. Bu testler, dahili tehditler ve yazılım güvenlik açıkları dahil olmak üzere çeşitli senaryoları göz önünde bulundurur. Google güvenlik ekibi, güvenlik olaylarının hızlı bir şekilde çözülmesine yardımcı olmak için tüm çalışanlara 7 gün 24 saat hizmet vermektedir.

Veri olaylarına yanıt sürecimiz hakkında daha fazla bilgi için Google Haritalar Platformu Olay Yönetimi başlıklı makaleyi inceleyin.

Yazılım geliştirme uygulamaları

Google, güvenlik açıklarının ortaya çıkmasını proaktif olarak sınırlamak için kaynak denetimi korumaları ve iki taraflı incelemeler kullanır. Google, geliştiricilerin belirli güvenlik hatası sınıflarını uygulamasını engelleyen kitaplıklar da sağlar. Örneğin, Google'ın SDK'lardaki XSS güvenlik açıklarını ortadan kaldırmak için tasarlanmış kitaplıkları ve çerçeveleri vardır. Google'ın güvenlik hatalarını algılamak için kullandığı otomatik araçlar arasında fuzzer'lar, statik analiz araçları ve web güvenlik tarayıcıları da vardır.

Kaynak kodu korumaları

Google'ın kaynak kodu, yerleşik kaynak bütünlüğü ve yönetime sahip depolarda depolanır. Bu sayede, hizmetin hem mevcut hem de geçmiş sürümlerini denetleyebilirsiniz. Altyapı, bir hizmetin ikili programlarının incelendikten, kaydedildikten ve test edildikten sonra belirli bir kaynak koddan derlenmesini gerektirir. Borg için İkili Program Yetkilendirmesi (BAB), bir hizmet dağıtıldığında gerçekleşen dahili bir yaptırım denetimidir. BAB aşağıdakileri yapar:

  • Google'da dağıtılan üretim yazılımının ve yapılandırmanın, özellikle de kodun kullanıcı verilerine erişebildiği durumlarda incelenip yetkilendirilmesini sağlar.
  • Kod ve yapılandırma dağıtımlarının belirli minimum standartları karşılamasını sağlar
  • Kuruluş içinden veya dışarıdan bir saldırganın kaynak kodunda kötü amaçlı değişiklikler yapmasını sınırlar ve ayrıca bir hizmetten kaynağına kadar olan adli tıp izini sağlar

İçeride Çalışanların Oluşturduğu Riskleri Azaltma

Google, altyapıya yönetici erişimi verilen çalışanların etkinliklerini kısıtlar ve etkin bir şekilde izler. Google, aynı görevleri güvenli ve kontrollü bir şekilde gerçekleştirebilen otomasyon kullanarak belirli görevler için ayrıcalıklı erişim ihtiyacını ortadan kaldırmak için sürekli olarak çalışır. Örneğin, Google bazı işlemler için iki taraflı onay gerektirir ve hassas bilgileri göstermeden hata ayıklama olanağı sağlayan sınırlı API'ler kullanır.

Google çalışanlarının son kullanıcı bilgilerine erişimi, altyapı kancaları aracılığıyla kaydedilir. Google'ın güvenlik ekibi, erişim kalıplarını izler ve olağandışı etkinlikleri araştırır.

Olağanüstü Durum Kurtarma Testi - DiRT

Google Haritalar Platformu, Google Haritalar Platformu hizmetlerinin ve şirket içi iş operasyonlarının bir felaket sırasında çalışmaya devam etmesini sağlamak için şirket genelinde yıllık, çok günlük Afet Kurtarma Testi etkinlikleri (DiRT) düzenler. DiRT, kasıtlı olarak hatalara neden olarak kritik sistemlerdeki güvenlik açıklarını bulmak ve bu açıkları kontrolsüz bir şekilde hata oluşmadan önce düzeltmek için geliştirilmiştir. DiRT, canlı sistemleri bozarak Google'ın teknik sağlamlığını test eder ve kritik personelin, alan uzmanlarının ve yöneticilerin katılımını açıkça engelleyerek Google'ın operasyonel dayanıklılığını test eder. Genel olarak kullanıma sunulan tüm hizmetlerin, sürekli ve etkin DiRT testine tabi tutulması ve esneklik ile kullanılabilirliklerinin doğrulanması gerekir.

Google, DiRT çalışmasına hazırlanmak için önceliklendirmeyle ilgili tutarlı bir kural grubu kullanır.

iletişim protokolleri, etki beklentileri ve önceden incelenip onaylanmış geri alma planları dahil olmak üzere test tasarımı şartları. DiRT egzersizleri ve senaryoları yalnızca hizmette teknik arızalara neden olmakla kalmaz, aynı zamanda süreçte, kilit personellerin müsaitliğinde, destek sistemlerinde, iletişimde ve fiziksel erişimde tasarlanmış arızalar da içerebilir. DiRT, uygulanan süreçlerin pratikte gerçekten işe yarayıp yaramadığını doğrular. Ayrıca ekiplerin önceden eğitilmesini ve gerçek kesintiler, aksamalar ve insan kaynaklı ya da doğal afetler sırasında yararlanabilecekleri deneyime sahip olmalarını sağlar.

Temel güvenlik denetimleri

Bu bölümde, Google Haritalar Platformu'nun platformunu korumak için uyguladığı temel güvenlik denetimleri açıklanmaktadır.

Şifreleme

Şifreleme, verileri korumak için bir savunma katmanı ekler. Şifreleme, bir saldırgan verilere erişse bile şifreleme anahtarlarına erişimi olmadan verileri okuyamamasını sağlar. Bir saldırgan, verilere erişse bile (ör. veri merkezleri arasındaki kablo bağlantısına erişerek veya bir depolama cihazını çalarak) verileri anlayamaz veya şifrelerini çözemez.

Şifreleme, Google'ın verilerin gizliliğini korumaya yardımcı olma yönteminde önemli bir mekanizma sunar. İçeriğe erişim sağlamadan, sistemlerin yedekleme gibi amaçlarla verileri manipüle etmesine ve mühendislerin Google'ın altyapısını desteklemesine imkan tanır.

Aktif olmayan verilerin şifrelenmesi

Bu bölümde "aktif olmayan verilerin şifrelenmesi", bir diskte (katı hal sürücüleri dahil) veya yedekleme ortamında depolanan verileri korumak için kullanılan şifreleme anlamına gelir. Veriler genellikle AES256 (Gelişmiş Şifreleme Standardı) kullanılarak depolama düzeyinde şifrelenir. Veriler genellikle Google'ın veri merkezlerinde bulunan üretim depolama yığınında birden fazla düzeyde (donanım düzeyi dahil) şifrelenir. Bu işlem için Google müşterilerinin herhangi bir işlem yapması gerekmez. Birden fazla şifreleme katmanı kullanma

yedekli veri koruması sağlar ve Google'ın uygulama gereksinimlerine göre en doğru yaklaşımı seçmesine olanak tanır. Google, şifrelemeyi ürünler arasında tutarlı bir şekilde uygulamak için Google'ın FIPS 140-2 tarafından doğrulanmış modülünü içeren ortak şifreleme kitaplıkları kullanır. Ortak kitaplıkların tutarlı kullanımı, sıkı şekilde denetlenen ve gözden geçirilen bu kodu yalnızca küçük bir kriptograf ekibinin uygulayıp sürdürmesiyle sağlanır.

Aktarım halindeki verileri koruma

Veriler, internet üzerinde dolaşırken izinsiz erişime karşı korunmasız olabilir. Google Haritalar Platformu, müşteri cihazları ve ağları ile Google'ın Google Front End (GFE) sunucuları arasında geçiş sırasında güçlü şifrelemeyi destekler. Google, en iyi uygulama olarak müşterilerin/geliştiricilerin uygulama oluştururken Google'ın desteklediği en güçlü şifre paketini (TLS 1.3) kullanmasını önerir. Bazı müşterilerin uyumluluk nedeniyle eski şifre paketlerini gerektiren kullanım alanları vardır. Bu nedenle Google Haritalar Platformu bu daha zayıf standartları destekler ancak mümkün olduğunda kullanılmalarını önermez. Google Cloud, Google Haritalar Platformu ürünleri için IPsec'i kullanarak sanal özel ağlar kurmanıza olanak tanıyan Cloud VPN de dahil olmak üzere ek taşıma şifreleme seçenekleri de sunar.

Google veri merkezleri arasında aktarılan verilerin korunması

Uygulama Katmanı Aktarım Güvenliği (ALTS), Google trafiğinin bütünlüğünün gerektiği gibi korunmasını ve şifrelenmesini sağlar. İstemci ile sunucu arasındaki el sıkışma protokolü tamamlandıktan ve istemci ile sunucu, ağ trafiğini şifrelemek ve kimliğini doğrulamak için gerekli ortak kriptografik gizli anahtarları müzakere ettikten sonra ALTS, müzakere edilen ortak gizli anahtarları kullanarak bütünlüğü zorunlu kılarak RPC (Uzak Prosedür Çağrısı) trafiğini güvence altına alır. Google, bütünlük garantileri için 128 bit anahtarlarla AES-GMAC (Gelişmiş Şifreleme Standardı) gibi birden fazla protokolü destekler. Trafik, Google tarafından veya Google adına kontrol edilen bir fiziksel sınırın dışına çıktığında (ör. veri merkezleri arasında WAN üzerinden aktarılırken) tüm protokoller, şifreleme ve bütünlük garantileri sağlamak için otomatik olarak yükseltilir.

Google Haritalar Platformu Hizmet Kullanılabilirliği

Bazı Google Haritalar Platformu hizmetleri tüm coğrafi bölgelerde kullanılamayabilir. Bazı hizmet kesintileri geçicidir (ağ kesintisi gibi beklenmedik bir olay nedeniyle) ancak diğer hizmet sınırlamaları, hükümet tarafından uygulanan kısıtlamalar nedeniyle kalıcıdır. Google'ın kapsamlı Şeffaflık Raporu ve durum kontrol paneli, Google Haritalar Platformu hizmetlerine yönelik son ve devam etmekte olan trafik kesintilerini gösterir. Google, Google'ın çalışma süresi bilgilerini analiz etmenize ve anlamanıza yardımcı olmak için bu verileri sağlar.

İstemci tarafı güvenlik

Güvenlik, bulut servis sağlayıcı ile Google Haritalar Platformu ürünlerini uygulayan müşteri/iş ortağı arasında paylaşılan bir sorumluluktur. Bu bölümde, Google Haritalar Platformu çözümü tasarlanırken dikkate alınması gereken müşteri/iş ortağı sorumlulukları ayrıntılı olarak açıklanmaktadır.

JavaScript API'leri

Güvenli Siteler

Maps JavaScript API, müşterinin siteler arası komut dosyası çalıştırma, tıklama tuşuyla saldırı ve veri ekleme saldırıları gibi güvenlik açıklarını önlemek için sitesinin İçerik Güvenliği Politikası'nda (CSP) ince ayar yapmasına olanak tanıyan bir öneri grubu yayınlar. JavaScript API, iki CSP biçimini destekler: tek seferlik rastgele sayılar kullanan katı CSP ve izin verilenler listesi CSP.

Güvenli JavaScript

JavaScript, bilinen güvenlik karşıtı kalıplar açısından düzenli olarak taranır ve sorunlar hızlı bir şekilde giderilir. JavaScript API, haftalık olarak veya herhangi bir sorun oluşması durumunda talep üzerine yayınlanır.

Mobil Uygulama Güvenliği (MAS)

Mobil Uygulama Güvenliği (MAS), dünyanın dört bir yanından düzinelerce yazar ve yorumcunun katkılarından oluşan açık, çevik ve kitle kaynaklı bir çalışmadır. OWASP Mobil Uygulama Güvenliği (MAS) ana projesi, mobil uygulamalar için bir güvenlik standardı (OWASP MASVS) ve mobil uygulama güvenlik testi sırasında kullanılan süreçleri, teknikleri ve araçları kapsayan kapsamlı bir test kılavuzu (OWASP MASTG) ile test uzmanlarının tutarlı ve eksiksiz sonuçlar sunmasını sağlayan kapsamlı bir test örneği grubu sunar.

  • OWASP Mobil Uygulama Güvenlik Doğrulama Standardı (MASVS), hem iOS hem de Android için eksiksiz ve tutarlı güvenlik testleri için bir temel sağlar.
  • OWASP Mobil Uygulama Güvenlik Testleri Kılavuzu (MASTG), mobil uygulama güvenlik analizi sırasında kullanılan süreçleri, teknikleri ve araçları kapsayan kapsamlı bir kılavuzdur. Ayrıca, MASVS'de listelenen şartları doğrulamak için kapsamlı bir test senaryosu grubu içerir.
  • OWASP Mobil Uygulama Güvenliği Kontrol Listesi, her MASVS kontrolü için MASTG test senaryolarının bağlantılarını içerir.
    • Güvenlik Değerlendirmeleri / Pentestler: En azından standart saldırı yüzeyini kapsadığınızdan emin olun ve keşfetmeye başlayın.
    • Standart Uyumluluk: MASVS ve MASTG sürümlerini ve taahhüt kimliklerini içerir.
    • Mobil güvenlik becerilerinizi öğrenin ve uygulayın.
    • Hata ödülleri: Mobil saldırı yüzeyini adım adım kapsayın.

iOS ve Android uygulamalarınızın güvenliğini, testini ve kimlik doğrulama özelliklerini iyileştirmek için OWASP MAS'tan yararlanabilirsiniz.

Android

Android uygulamaları geliştirirken dikkate alabileceğiniz bir diğer kaynak da Android topluluk uygulamasıyla ilgili en iyi uygulamalardır. Güvenlik yönergeleri, güvenli iletişimi zorunlu kılma, doğru izinleri tanımlama, güvenli veri depolama, hizmet bağımlılıkları ve daha fazlasıyla ilgili en iyi uygulamalara yönelik rehberlik içerir.

iOS

iOS uygulamaları geliştirirken iOS Platformu ile ilgili en iyi uygulamaları içeren Apple'ın Güvenli Kodlama Kılavuzu'na göz atın.

Veri toplama, kullanma ve saklama

Google Haritalar Platformu, veri toplama, veri kullanımı ve veri saklama konusunda şeffaf olmaya kararlıdır. Google Haritalar Platformu'nun veri toplama, kullanma ve saklama işlemleri, Google Gizlilik Politikası'nı da kapsayan Google Haritalar Platformu Hizmet Şartları'na tabidir.

Veri toplama

Veriler, Google Haritalar Platformu ürünleri kullanılarak toplanır. Müşteri olarak, API'ler ve SDK'lar aracılığıyla Google Haritalar Platformu'na hangi bilgileri ileteceğinizi siz kontrol edersiniz. Tüm Google Haritalar Platformu istekleri günlüğe kaydedilir. Bu günlüklere, üründen gelen yanıt durum kodları da dahildir.

Google Haritalar Platformu'nda kaydedilen veriler

Google Haritalar Platformu, ürün paketindeki verileri günlüğe kaydeder. Günlükler genellikle şunları içeren birden fazla giriş içerir:

  • API anahtarı, istemci kimliği veya Cloud proje numarası olabilecek hesap tanımlayıcısı. Bu, operasyonlar, destek ve faturalandırma için gereklidir.
  • İstekte bulunan sunucunun, hizmetin veya cihazın IP adresi. API'ler için Google Haritalar Platformu'na gönderilen IP adresinin, API çağrısının uygulamanızda/çözümünüzde nasıl uygulandığına bağlı olacağını unutmayın. SDK'lar için, çağıran cihazın IP adresi günlüğe kaydedilir.
  • API'yi ve API'ye iletilen parametreleri içeren İstek URL'si. Örneğin, Geocoding API iki parametre (adres ve API anahtarı) gerektirir. Coğrafi kodlamada da bir dizi isteğe bağlı parametre vardır. İstek URL'si, hizmete iletilen tüm parametreleri içerir.
  • İsteğin tarihi ve saati.
  • Web uygulamaları, genellikle web tarayıcısı türü ve işletim sistemi gibi verileri içeren istek üst bilgileri günlüğe kaydeder.
  • SDK kullanan mobil uygulamalarda (Android ve iOS) sürüm, kitaplık ve uygulama adı günlük kaydına alınır.

Google Haritalar Platformu günlük erişimi

Günlüklere erişim oldukça kısıtlanmış ve yalnızca meşru bir iş ihtiyacı olan belirli ekip üyeleri için yetkilendirilmiştir. Günlük dosyalarına yapılan her erişim isteği, denetim amacıyla belgelenir ve Google'ın ISO 27001 ve SOC 2 üçüncü taraf denetimleri aracılığıyla doğrulanır.

Veri kullanımı

Google Haritalar Platformu tarafından toplanan veriler aşağıdaki amaçlarla kullanılır:

  • Google ürün ve hizmetlerini iyileştirme
  • Müşterilere teknik destek sağlama
  • Operasyonel izleme ve uyarı
  • Platform güvenliğini sağlama
  • Platform kapasite planlaması

Google'ın, Google Gizlilik Politikası'nda belirtildiği üzere kişisel bilgilerinizi üçüncü taraflara satmadığını lütfen unutmayın.

Veri saklama ve anonimleştirme

Google Haritalar Platformu günlüklerinde toplanan kullanıcı verileri, depolama ve saklama politikalarına tabi olarak işletme ihtiyaçlarına göre çeşitli süreler boyunca saklanabilir. Kullanıcı verileri yalnızca meşru bir ticari ihtiyaç olduğunda saklanır ve verilerin toplandığı amaçlar için artık gerekli olmadığında silinir. Kabul edilebilir silme yöntemleri katı bir şekilde tanımlanmıştır ve çöp toplama yoluyla tüm katmanları içerir. Silme süreçleri, politikalara uygunluk açısından izlenir ve doğrulanır.

Günlüklerden elde edilen anonimleştirilmiş, toplu kullanım istatistikleri daha uzun süre saklanabilir. Tüm verilerin anonimleştirilmesi, yeterli teknik standardı karşıladığından ve gizlilik, ürün ve yasal gereklilikleri karşılamaya uygun olduğundan emin olmak için gizlilik ekibi tarafından incelenir.

Uygunluk şartları için destek

Google Haritalar Platformu'nun güvenlik, uygunluk ve kalite kontrolleri düzenli olarak bağımsız kuruluşlar tarafından doğrulanır ve uygunluğu kanıtlamak için sertifikalar, onaylar ve denetim raporları alır. Denetlemelerimizde temel alınan uluslararası standartlar şunlardır:

Ayrıca, SOC 2 ve SOC 3 raporlarımız müşterilerimize sunulur. Ayrıca NIST 800-53, NIST 800-171 (ABD Hükümeti) ve TISAX (Almanya) gibi sektöre ve ülkeye özel çerçevelere de katılıyoruz.

Uygunluk tekliflerimizin tam listesini Güvenlik ve Uygunluk Güven Merkezimizde bulabilirsiniz.

Özet

Güvenlik, Google'ın tüm altyapısı, ürünleri ve operasyonları için birincil tasarım kriteridir. Google'ın operasyon ölçeği ve güvenlik araştırmaları topluluğuyla yaptığı işbirliği, güvenlik açıklarını hızlı bir şekilde gidermemizi ve genellikle tamamen önlememizi sağlar. Google, Arama, YouTube ve Gmail gibi kendi hizmetlerini, müşterilerine sunduğu altyapıda çalıştırır. Bu sayede müşteriler, Google'ın güvenlik denetimlerinden ve uygulamalarından doğrudan yararlanır.

Google, çok az sayıdaki herkese açık bulut sağlayıcısının veya özel kurumsal BT ekiplerinin ulaşabileceği bir düzeyde koruma sunabileceğine inanıyor. Veri koruması Google'ın işleri için temel teşkil ettiğinden güvenliğe, kaynaklara ve uzmanlık alanlarına başkalarının yapamayacağı ölçüde kapsamlı yatırımlar yapabiliyoruz. Google'ın yatırımı, işinize ve inovasyona odaklanmanızı sağlar. Google hizmetlerinden güvenli ve şeffaf bir şekilde yararlanabilmenizi sağlamak için platformumuza yatırım yapmaya devam edeceğiz.

Sonraki Adımlar