Google Haritalar Platformu için güvenlik ve uyumluluğa genel bakış

Bu içerik en son Şubat 2024'te güncellenmiştir ve yazıldığı anda geçerli olan durumu yansıtmaktadır. Google olarak müşterilerimiz için sağladığımız korumayı durmadan geliştirdiğimizden, güvenlik politikalarımız ve sistemlerimiz zaman içinde değişebilir.

PDF simgesi PDF sürümünü indir

Giriş

Google Haritalar Platformu, müşteriler ve iş ortaklarının Google'ın coğrafi teknolojisini kullanarak web ve mobil uygulamalar geliştirmeleri için API'ler ve SDK'lar sağlar. Google Haritalar Platformu, birçok sektördeki müşteriler için 50'den fazla API ve SDK sunar. Sektörde bir müşteri olarak, çözümlerinizi oluştururken genellikle güvenlik, veri kullanımı ve mevzuat gereksinimlerini karşılamanız gerekir. Buna, üçüncü taraf teknolojinizin aynı gereksinimleri karşıladığından emin olmak da dahildir.

Bu dokümanda, Google Haritalar Platformu tarafından sunulan kişi, süreç ve teknoloji denetimlerine dair üst düzey bir özetin yanı sıra platformu kullanmanın faydaları açıklanmaktadır. Öncelikle, Google Haritalar Platformu'nun altında yatan iki birincil teknoloji ayağını anlamak önemlidir:

  • Google tarafından sağlanan teknolojiler, veri merkezleri ve altyapı. Google Haritalar Platformu tamamen Google tarafından sağlanan veri merkezleri ve altyapı üzerinde çalışır. Bundan yola çıkarak, Google Haritalar Platformu'nun bu makalede açıklanan güvenlik, operasyon ve teknik kontrolleri doğru şekilde uyguladığını doğrulamak amacıyla Google'dan devraldığı güvenlik denetimlerine dahili ve üçüncü taraf denetimler uygular.
  • Google Haritalar Platformu teknolojisi. Devralınan denetimlere ek olarak Google Haritalar Platformu, Google'ın ürün paketleri için ek güvenlik, gizlilik, veri ve operasyonel kontroller sağlar.

Bu belgede, Google Haritalar Platformu'nun güvenlik süreçleri ve denetimleri aşağıdaki şekilde gruplandırılmıştır:

  • Google kuruluşunun tüm düzeylerinde güvenlik ve gizliliğe odaklanın
  • Teknik altyapı ve donanım güvenliği
  • Operasyonel güvenlik
  • Temel güvenlik kontrolleri
  • Web ve mobil cihazlar için istemci tarafı güvenlik
  • Google Haritalar Platformu'ndaki mevcut sertifikalar ve denetimler
  • Tüm dünyada desteklenen yasal çerçeveler

Potansiyel müşteriler daha fazla bilgi edinmek için Google satış temsilcileriyle iletişime geçebilir.

Google'ın güvenlik ve gizlilik odaklı kuruluşu

Güvenlik, Google genelindeki kurumsal yapıyı, kültürü, eğitim önceliklerini ve işe alım süreçlerini destekler. Google veri merkezlerinin tasarımını ve sağladıkları teknolojiyi şekillendirir. Güvenlik, olağanüstü durum planlaması ve tehdit yönetimi de dahil olmak üzere Google'ın günlük işlemlerinin temelini oluşturur. Google; verileri, hesap kontrollerini, uygunluk denetimlerini ve sektör sertifikalarını işleme şekli konusunda güvenliğe öncelik verir. Google, hizmetlerini, birden fazla tedarikçi firma ve güvenliğin genellikle bağlantısız bir süreç olduğu birden çok platforma dayanan birçok şirket içi alternatiften daha iyi güvenlik sunacak şekilde tasarlar. İşletmeniz için Google Haritalar Platformu ürünlerinden yararlandığınızda Google'ın entegre güvenlik programlarından ve denetimlerinden faydalanırsınız. Google Haritalar Platformu, operasyonlarında güvenliği bir öncelik haline getirir. Bu işlemler, tüm dünyada bir milyardan fazla kullanıcıya hizmet verir.

Google ve Google Haritalar Platformu birlikte şirket ve kuruluş genelinde birden fazla güvenlik katmanı sağlar:

  • Google'a özel güvenlik ekibi
  • Google Haritalar Platformu Ürün Güvenliği Ekibi
  • Küresel güvenlik araştırmaları topluluğuyla aktif katılım
  • Google Haritalar Platformu gizlilik ekibi
  • Google çalışanlarının güvenlik ve gizlilik eğitimi
  • Şirket içi denetim ve uyum uzmanları

Google'ın özel güvenlik ekipleri

Google, şirket genelinde ve ürün alanları içinde özel güvenlik ekipleri sağlar.

Google genelindeki güvenlik ekipleri, Google Haritalar Platformu dahil Google'da birden fazla ürün alanını destekler. Güvenlik ekibinde bilgi güvenliği, uygulama güvenliği, kriptografi ve ağ güvenliği alanlarında dünyanın önde gelen uzmanlarından bazıları yer alır. Faaliyetleri arasında şunlar yer alır:

  • Güvenlik süreçleri geliştirir, gözden geçirir ve uygular. Buna Google ağlarının güvenlik planlarının incelenmesi ve Google genelindeki ürün ve mühendislik ekiplerine projeye özel danışmanlık hizmeti sunulması dahildir. Örneğin, kriptografi uzmanları, teklifin bir parçası olarak kriptografi uygulayan ürün lansmanlarını inceler.
  • Güvenlik tehditlerini etkin bir şekilde yönetir. Ekip, hem ticari hem de özel araçları kullanarak Google ağlarında devam eden tehditleri ve şüpheli etkinlikleri izliyor.
  • Rutin denetimler ve değerlendirmeler yapar. Bu, güvenlik değerlendirmelerini yürütmek için dışarıdan uzmanların katılımını içerebilir.
  • Güvenlik makalelerini daha geniş bir toplulukta yayınlar. Google, belirli Güvenlik Ekiplerinden bazılarını ve başarılarını öne çıkaran bir güvenlik blogu ve bir YouTube Serisi tutmaktadır.

Google Haritalar Platformu güvenlik ekibi, Google genelindeki güvenlik ekibiyle birlikte çalışarak güvenlik uygulamasını denetlemek için ürün geliştirme ve SRE ile daha yakın bir şekilde çalışıyor. Bu ekip özellikle aşağıdakileri yönetir:

  • Google Haritalar Platformu ürünlerinin iş sürekliliğini ve yük devrini test eden Google Haritalar Platformu'nun Afet Dayanıklılık Testi (DiRT), Google'ın yüksek düzeyde kullanılabilir altyapısı üzerinde çalıştırılır.
  • Üçüncü taraf penetrasyon testi. Google Haritalar Platformu ürünleri, Google'ın güvenlik durumunu geliştirmek ve size bağımsız güvenlik güvencesi sağlamak için en az yılda bir kez sızma testlerine tabi tutulur.

Güvenlik araştırmaları topluluğu ile işbirliği

Google, uzun zamandır güvenlik araştırmaları topluluğuyla yakın bir ilişki kurmuştur. Google, Google Haritalar Platformu ve diğer Google ürünlerindeki olası güvenlik açıklarının tanımlanması konusunda sundukları desteğe büyük önem vermektedir.

  • Project Zero ile online topluluk iş birliği. Project Zero, sıfır günlük güvenlik açıklarını araştırmaya adanmış güvenlik araştırmacılarından oluşan bir ekiptir. Bu araştırmaya örnek olarak Spectre açıklarından yararlanma, Meltdown istismarı, POODLE SSL 3.0 istismarı ve şifre paketi zayıflıklarının keşfi verilebilir.
  • Akademik araştırma: Google'ın güvenlik mühendisleri ve araştırmacıları, akademik güvenlik topluluğuna ve gizlilik araştırma topluluğuna aktif olarak katılır ve buralarda yayın yapar. Güvenlikle ilgili yayınlar Google'ın Google Araştırma sitesinde bulunabilir. Google'ın güvenlik ekipleri, Güvenli ve Güvenilir Sistemler Oluşturma kitabında bu uygulamaların uygulamalarını ve deneyimlerini ayrıntılı bir şekilde yayınlamıştır.
  • Güvenlik Açığı Ödül Programı: Google Haritalar Platformu, Güvenlik Açığı Ödül Programı'na katılır ve onaylanan her güvenlik açığı için on binlerce dolar değerinde ödüller sunar. Program, araştırmacıları, müşteri verilerini riske atabilecek tasarım ve uygulama sorunlarını bildirmeye teşvik eder. 2022'de Google, araştırmacılara 11,9 milyon ABD dolarının üzerinde ödül verdi. Google'ın verdiği ödüller de dahil olmak üzere bu program hakkında daha fazla bilgi için Bug Hunters Key Stats bölümüne bakın. Güvenlik sorunlarının bildirilmesi hakkında daha fazla bilgi edinmek için Google, güvenlik açıklarını nasıl ele alır? bölümüne bakın.
  • Açık kaynak güvenlik araştırması: Google mühendisleri ayrıca açık kaynak projeler ve akademik konferanslar düzenler ve bunlara katılır. Güvenlik Açığı Ödül Programı, açık kaynak kodu iyileştirmek için açık kaynak projelere maddi destek de sağlar.
  • Kriptografi: Google'ın birinci sınıf kriptografları, TLS bağlantılarını kuantum bilgisayar saldırılarına karşı korumak için çalıştı ve birleşik elips biçimli eğri ve kuantum sonrası (CECPQ2) algoritmasını geliştirdi. Google kriptografları, kriptografik API'lerden oluşan açık kaynak bir kitaplık olan Tink'i geliştirdi. Google, şirket içi ürün ve hizmetlerinde de Tink'i kullanmaktadır.

Google Haritalar Platformu'nun özel gizlilik ekibi

Özel gizlilik ekibi, ürün geliştirme ve güvenlik kuruluşlarından ayrı olarak çalışır. Kritik süreçler, dahili araçlar, altyapı ve ürün geliştirme gibi gizliliğin tüm bölümlerini iyileştirmek için şirket içi gizlilik girişimlerini destekler. Gizlilik ekibi şunları gerçekleştirir:

  • Ürün lansmanlarının veri toplama konusunda güçlü gizlilik standartları içermesini sağlar. Hem tasarım belgeleri hem de kod incelemeleri aracılığıyla yapılan her Google ürün lansmanına katılır.
  • Ürün lansmanından sonra gizlilik ekibi uygun veri toplama ve kullanımını sürekli olarak doğrulayan otomatik süreçleri denetler.
  • Gizlilikle ilgili en iyi uygulamalar hakkında araştırmalar yapar.

Google çalışanlarının güvenlik ve gizlilik eğitimi

Güvenlik ve gizlilik, durmadan değişen bir alandır ve Google, çalışan katılımının, farkındalığın artırılmasında önemli bir araç olduğunun bilincindedir. Tüm Google çalışanları, oryantasyon sürecinin bir parçası olarak güvenlik ve gizlilik eğitimi alır ve Google kariyerleri boyunca sürekli, zorunlu güvenlik ve gizlilik eğitimleri alırlar.

  • Oryantasyon sırasında: Yeni çalışanlar, Google'ın müşteri bilgilerini güvende tutma taahhüdünü vurgulayan Davranış Kuralları'nı kabul eder.
  • İş pozisyonuna göre özel eğitim. Bazı iş pozisyonları, güvenliğin belirli yönleri hakkında eğitim gerektirir. Örneğin, bilgi güvenliği ekibi yeni mühendislere güvenli kodlama uygulamaları, ürün tasarımı ve otomatik güvenlik açığı test araçları konusunda eğitim veriyor. Mühendisler düzenli güvenlik toplantılarına katılır ve yeni tehditleri, saldırı modellerini, risk azaltma tekniklerini ve daha fazlasını içeren güvenlik bültenleri alır.
  • Devam eden etkinlikler. Google, güvenlik ve veri gizliliğinde farkındalığı artırmak ve yenilikçiliği teşvik etmek için düzenli olarak tüm çalışanlara açık şirket içi konferanslar düzenler. Google; yazılım geliştirme, veri işleme ve politika uygulama alanlarında güvenlik ve gizlilikle ilgili farkındalığı artırmak için küresel ofislerde etkinlikler düzenler.

Şirket içi denetim ve uyum uzmanları

Google Haritalar Platformu'nda Google ürünlerinin dünyadaki güvenlik yasalarına ve yönetmeliklerine uygunluğunu inceleyen özel bir şirket içi denetim ekibi bulunur. Yeni denetim standartları oluşturuldukça ve mevcut standartlar güncellendiğinde, iç denetim ekibi bu standartları karşılamak için hangi kontrollerin, süreçlerin ve sistemlerin gerekli olduğunu belirler. Bu ekip, üçüncü taraflarca yapılan bağımsız denetimleri ve değerlendirmeleri destekler. Daha fazla bilgi için bu dokümanın ilerleyen kısımlarındaki Güvenlik Sertifikaları ve Denetimleri bölümüne göz atın.

Temelinde güvenlik üzerine inşa edilmiş platform

Google, sunucularını, özel işletim sistemlerini ve coğrafi olarak dağıtılmış veri merkezlerini derinlemesine savunma ilkesini kullanarak tasarlar. Google Haritalar Platformu, güvenli bir şekilde çalışmak üzere tasarlanmış ve oluşturulmuş teknik bir altyapı üzerinde çalışır. Daha geleneksel şirket içi veya barındırılan çözümlerden daha güvenli ve yönetimi daha kolay bir BT altyapısı oluşturduk.

Son teknoloji ürünü veri merkezleri

Google'ın güvenlik ve verilerin korunması konularına odaklanması, Google'ın birincil tasarım ölçütleri arasındadır. Google veri merkezlerindeki fiziksel güvenlik, katmanlı bir güvenlik modelidir. Fiziksel güvenlikte özel olarak tasarlanmış elektronik giriş kartları, alarmlar, araç erişim bariyerleri, çevre güvenlik sistemleri, metal dedektörleri ve biyometri gibi önlemler yer alır. Google, izinsiz giriş yapanları tespit etmek ve takip etmek için lazer ışını izinsiz giriş tespiti, yüksek çözünürlüklü iç ve dış mekan kameralarıyla 7/24 izleme gibi güvenlik önlemleri alır. Herhangi bir olayın yaşanması ihtimaline karşı erişim günlükleri, etkinlik kayıtları ve kamera görüntüleri bulunur. Çok sıkı geçmiş kontrollerinden ve eğitimlerden geçmiş deneyimli güvenlik görevlileri Google'ın veri merkezlerinde düzenli olarak devriye gezer. Veri merkezi katına yaklaştıkça güvenlik önlemleri de artar. Veri merkezi katına erişim, yalnızca güvenlik rozetleri ve biyometri kullanarak çok öğeli erişim kontrolü uygulayan bir güvenlik koridorundan geçilebilir. Yalnızca belirli rollere sahip, onaylı çalışanlar bu merkezlere girebilir. Google çalışanlarının yüzde birinden daha azı Google'ın veri merkezlerinden birine adım atacaktır.

Google, hizmetlerinin hızını ve güvenilirliğini en üst düzeye çıkarmak için dünya genelinde veri merkezleri işletir. Altyapısı, genellikle trafiğin kaynağına en yakın veri merkezinden trafik sunacak şekilde ayarlanır. Bu nedenle, Google Haritalar Platformu verilerinin tam konumu bu tür trafiğin nereden geldiğine bağlı olarak değişebilir ve bu veriler AEA ve Birleşik Krallık'ta bulunan sunucular tarafından işlenebilir veya üçüncü ülkelere aktarılabilir. Google müşterilerinin, Google Haritalar Platformu ürünlerinin uygulandığı teklifleri dünya genelinde genel olarak kullanıma sunulur ve çoğu zaman küresel bir kitlenin ilgisini çeker. Bu ürünleri destekleyen teknik altyapı, gecikmeyi azaltmak ve sistemlerin yedekliliğini sağlamak için küresel olarak dağıtılır. Google Haritalar Platformu, referans amacıyla aşağıda listelenen Google Küresel Veri Merkezi Ağı'nın bir alt kümesini kullanır:

Veri merkezi konumlarını mavi noktalarla gösteren dünya haritası

Kuzey ve Güney Amerika

Avrupa

Asya

Google veri merkezlerine güç sağlama

Google veri merkezlerinde 7 gün 24 saat çalışır ve kesintisiz hizmetler sunmak için yedek güç sistemleri ve çevre kontrolleri sunulur. Her kritik bileşenin, her biri eşit güce sahip birincil ve alternatif güç kaynakları vardır. Yedek jeneratörler, her veri merkezini tam kapasitede çalıştırmak için yeterli acil durum elektrik gücü sağlayabilir. Soğutma sistemleri, sunucular ve diğer donanımlar için sabit çalışma sıcaklığını korur. Bu sayede çevre üzerindeki etkiyi en aza indirirken hizmet kesintisi riski azalır. Yangın algılama ve söndürme ekipmanları, donanım hasarını önlemeye yardımcı olur. Isı dedektörleri, yangın detektörleri ve duman dedektörleri, güvenlik operasyon konsollarında ve uzaktan izleme masalarında sesli ve görünür alarmları tetikler.

Google, Google veri merkezleri genelinde yüksek çevre, iş yeri güvenliği ve enerji yönetimi standartları için şirket dışı sertifika alan ilk büyük internet hizmetleri şirketidir. Örneğin, Google'ın enerji yönetimi uygulamalarına bağlılığını göstermek amacıyla Google, Avrupa'daki veri merkezleri için gönüllü ISO 50001 sertifikaları almıştır.

Özel sunucu donanımı ve yazılımı

Google veri merkezlerinde, bazılarını Google tasarlarken özel olarak tasarlanmış sunucular ve ağ ekipmanları bulunur. Google'ın sunucuları performans, soğutma ve güç verimliliğini en üst düzeye çıkaracak şekilde özelleştirilirken, fiziksel izinsiz giriş saldırılarına karşı korunmaya yardımcı olacak şekilde de tasarlanmıştır. Piyasada bulunan çoğu donanımın aksine Google'ın sunucularında video kartları, yonga setleri veya çevre birimi bağlayıcıları gibi gereksiz bileşenler bulunmaz. Bunların hepsi güvenlik açıklarına neden olabilir. Google, bileşen tedarikçilerini dikkatle inceler ve bileşenleri dikkatlice seçer. Bunun için bileşenler tarafından sağlanan güvenlik özelliklerini denetlemek ve doğrulamak amacıyla tedarikçilerle birlikte çalışır. Google, Titan gibi özel çipler tasarlar. Bu çipler, donanım düzeyinde geçerli Google cihazlarını güvenli bir şekilde tanımlamamıza ve bu cihazların başlatılırken kullandıkları kod da dahil olmak üzere donanım düzeyinde kimlik doğrulaması yapmamıza yardımcı olur.

Sunucu kaynakları dinamik olarak ayrılır. Bu bize büyüme için esneklik sağlıyor ve kaynak ekleyip yeniden tahsis ederek müşteri talebine hızlı ve etkili bir şekilde uyum sağlamamıza olanak tanıyor. Bu homojen ortam, sistemleri ikili program düzeyindeki değişikliklere karşı sürekli olarak izleyen tescilli yazılım tarafından korunur. Google'ın otomatik ve kendi kendini iyileştiren mekanizmaları, istikrarı bozan olayları izleyip düzeltmemizi, olaylar hakkında bildirim almamızı ve ağdaki olası güvenlik ihlallerini yavaşlatmamızı sağlayacak şekilde tasarlanmıştır.

Güvenli hizmet dağıtımı

Google hizmetleri, Google geliştiricilerinin Google'ın altyapısında yazıp çalıştırdıkları uygulama ikili programlarıdır. İş yükünün gerekli ölçeğini kaldırabilmek için binlerce makine aynı hizmetin ikili programlarını çalıştırıyor olabilir. Borg adı verilen bir küme düzenleme hizmeti, doğrudan altyapı üzerinde çalışan hizmetleri kontrol eder.

Altyapı, altyapı üzerinde çalışan hizmetler arasında herhangi bir güven olduğunu varsaymaz. Bu güven modeline sıfır güven güvenlik modeli denir. Sıfır güven ilkeli güvenlik modeli, ağın içinde veya dışında olması fark etmeksizin hiçbir cihaza ya da kullanıcıya varsayılan olarak güvenilmeyeceği anlamına gelir.

Altyapı çok kiracılı olacak şekilde tasarlandığından, Google'ın müşterilerinden (tüketiciler, işletmeler ve hatta Google'ın kendi verileri) gelen veriler, paylaşılan altyapı genelinde dağıtılır. Bu altyapı, binlerce homojen makineden oluşur. Altyapı, müşteri verilerini tek bir makineye ya da makine grubuna ayırmaz

Donanım takibi ve imhası

Google, barkodlar ve varlık etiketleri kullanarak veri merkezlerindeki tüm ekipmanların konumunu ve durumunu titizlikle izler. Google, hiçbir ekipmanın veri merkezinden izinsiz çıkmamasını sağlamak için metal dedektörleri ve video izleme sistemleri kullanır. Bir bileşen, kullanım ömrünün herhangi bir noktasında performans testini geçemezse envanterden çıkarılır ve kullanımdan kaldırılır.

Sabit diskler, katı hal sürücüleri ve geçici olmayan çift satır içi bellek modülleri (DIMM) dahil olmak üzere Google depolama cihazları, aktif olmayan verileri korumak için tam disk şifreleme (FDE) ve sürücü kilitleme gibi teknolojilerden yararlanır. Bir depolama cihazı kullanımdan kaldırıldığında, yetkili kişiler diskin, sürücüye sıfır yazılarak silindiğini doğrular. Ayrıca, sürücünün veri içermediğinden emin olmak için çok adımlı bir doğrulama işlemi de gerçekleştirir. Bir sürücü herhangi bir nedenle silinemiyorsa fiziksel olarak imha edilir. Fiziksel imha işleminde, sürücüyü küçük parçalara ayıran bir parçalayıcı kullanılır. Bu parçalar, daha sonra güvenli bir tesiste geri dönüştürülür. Her veri merkezi, katı bir imha politikasına bağlı kalır ve tutarsızlıklara derhal müdahale edilir.

Küresel Google ağının güvenlik avantajları

Diğer jeo-uzamsal bulut ve şirket içi çözümlerde veriler, genel internet üzerinden cihazlar arasında atlama olarak bilinen yollarda hareket eder. Atlama sayısı, müşterinin İSS'si ile veri merkezi arasındaki en uygun yola bağlıdır. Her bir ek atlama, verilerin saldırıya uğraması veya ele geçirilmesi için yeni bir fırsat sunar. Google'ın küresel ağı, dünyadaki çoğu İSS ile bağlantılı olduğundan Google'ın ağı, herkese açık internetteki atlamaları sınırlar ve bu nedenle kötü niyetli kişilerin bu verilere erişiminin sınırlandırılmasına yardımcı olur.

Google'ın ağı, ağı dış saldırılara karşı korumaya yardımcı olmak için birden çok savunma katmanı (derinlemesine savunma) kullanır. Yalnızca Google'ın güvenlik gereksinimlerini karşılayan yetkili hizmetlerin ve protokollerin bilgi çekip çekmesine izin verilir. Diğer her şey otomatik olarak bırakılır. Google, ağ ayrımını uygulamak için güvenlik duvarları ve erişim kontrol listeleri kullanır. Kötü amaçlı isteklerin ve dağıtılan hizmet reddi (DDoS) saldırılarının tespit edilip durdurulmasına yardımcı olmak için trafiğin tamamı Google Front End (GFE) sunucuları üzerinden yönlendirilir. Programlama hatalarından nasıl yararlanıldığını ortaya çıkarmak için günlükler düzenli olarak incelenir. Ağa bağlı cihazlara erişim, yalnızca yetkili çalışanlarla sınırlıdır.

Google'ın küresel altyapısı, bilgileri sansürlemek için kullanılan DDoS saldırılarına karşı savunmasız olan web siteleri için ücretsiz, sınırsız koruma sağlayan Project Shield'ı çalıştırmamıza olanak tanır. Project Sheld; haber web sitelerinde, insan hakları web sitelerinde ve seçim izleyen web sitelerinde kullanılabilir.

Düşük gecikme süresi ve yüksek düzeyde kullanılabilir çözümler

Google'ın IP veri ağı kendi fiber hattından, herkese açık fiber kablolardan ve deniz altı kablolarından oluşur. Bu ağ, dünya genelinde yüksek düzeyde kullanılabilir ve düşük gecikmeli hizmetler sunmamızı sağlıyor.

Google, platformunun bileşenlerini son derece yedek olacak şekilde tasarlar. Bu yedeklilik, Google'ın sunucu tasarımı, Google'ın verileri depolama şekli, ağ ve internet bağlantısı ve yazılım hizmetlerinin kendisi için geçerlidir. Bu "her şey için yedeklilik" istisna işlemeyi de kapsar ve tek bir sunucu, veri merkezi veya ağ bağlantısına bağlı olmayan bir çözüm oluşturur.

Doğal afetler veya yerel kesintiler gibi bölgesel aksaklıkların küresel ürünler üzerindeki etkilerini en aza indirmek için Google veri merkezleri coğrafi olarak farklı konumlara dağıtılmıştır. Donanım, yazılım veya bir ağın arızalanması durumunda platform hizmetleri ve kontrol düzlemleri, platform hizmetlerinin kesintisiz olarak devam edebilmesi için otomatik ve hızlı bir şekilde bir tesisten diğerine aktarılır.

Google'ın yüksek yedeklilik standardına sahip altyapısı, işletmenizi veri kaybından korumanıza da yardımcı olur. Google'ın sistemleri, platformumuzun bakımını veya yükseltmesini yapmamız gerektiğinde kapalı kalma süresini veya bakım sürelerini en aza indirecek şekilde tasarlanmıştır.

Operasyonel güvenlik

Güvenlik sonradan düşünülmemiş, Google faaliyetlerinin ayrılmaz bir parçasıdır. Bu bölümde Google'ın güvenlik açığı yönetimi programları, kötü amaçlı yazılım önleme programı, güvenlik izleme ve olay yönetimi programları açıklanmaktadır.

Güvenlik açığı yönetimi

Google'ın dahili güvenlik açığı yönetim süreci, tüm teknoloji yığınlarında güvenlik tehditlerini etkin bir şekilde tarar. Bu süreç ticari, açık kaynak ve amaca yönelik şirket içi araçların bir kombinasyonunu kullanır ve aşağıdakileri içerir:

  • Kalite güvencesi süreçleri
  • Yazılım güvenliği incelemeleri
  • Kapsamlı Kırmızı Ekip egzersizleri de dahil olmak üzere otomatik ve manuel olarak yapılan yoğun penetrasyon
  • Google Haritalar Platformu ürünleri için yinelenen harici sızma testleri
  • Yinelenen harici denetimler

Güvenlik açığı yönetimi kuruluşu ve iş ortakları, güvenlik açıklarının izlenmesinden ve sonrasından sorumludur. Güvenlik ancak sorunlar tamamen giderildikten sonra arttığı için otomasyon ardışık düzenleri sürekli olarak bir güvenlik açığının durumunu yeniden değerlendirir, yamaları doğrular ve yanlış veya kısmi çözümü işaretler.

Güvenlik izleme

Google'ın güvenlik izleme programı, dahili ağ trafiğinden, sistemlerdeki çalışan eylemlerinden ve dışarıdan güvenlik açıklarına yönelik bilgilerden toplanan bilgilere odaklanır. Google'ın temel ilkelerinden biri, birleşik güvenlik analizi için tüm güvenlik telemetri verilerini tek bir konumda toplayıp depolamaktır.

Google'ın küresel ağındaki birçok noktada dahili trafik, bot ağı bağlantılarını işaret edebilecek trafiğin mevcut olması gibi şüpheli davranışlara karşı incelenir. Google bu analizi gerçekleştirebilmesi amacıyla trafiği yakalamak ve ayrıştırmak için açık kaynak ve ticari araçların bir kombinasyonunu kullanır. Google'ın teknolojisini temel alan özel bir korelasyon sistemi de bu analizi destekler. Google, müşteri verilerine erişme girişimleri gibi olağan dışı davranışları tespit etmek için sistem günlüklerini inceleyerek ağ analizini tamamlar.

Google'daki Tehdit Analizi Grubu, tehdit figürlerini ve bu kişilerin taktik ve tekniklerinin gelişimini izler. Google güvenlik mühendisleri gelen güvenlik raporlarını inceler ve herkese açık posta listelerini, blog yayınlarını ve wiki'leri izler. Otomatik ağ analizi ve sistem günlüklerinin otomatik analizi, bilinmeyen bir tehdidin ne zaman mevcut olabileceğini belirlemeye yardımcı olur. Otomatik süreçler bir sorun tespit ederse bu sorun Google'ın güvenlik ekibine iletilir.

İzinsiz giriş tespiti

Google; bağımsız cihazlara ana makine tabanlı sinyalleri, altyapıdaki çeşitli izleme noktalarından gelen ağ tabanlı sinyalleri ve altyapı hizmetlerinden gelen sinyalleri entegre etmek için karmaşık veri işleme ardışık düzenleri kullanır. Bu ardışık düzenlerin üzerine geliştirilen kurallar ve makine zekası, operasyonel güvenlik mühendislerine olası olaylar hakkında uyarılar verir. Google'ın araştırma ve olaylara müdahale ekipleri bu olası olayları günde 24 saat, yılda 365 gün boyunca önceliklendirir, araştırır ve bunlara yanıt verir. Google, Google'ın tespit ve müdahale mekanizmalarının etkinliğini ölçmek ve iyileştirmek için harici sızma testlerine ek olarak Red Team çalışmaları yürütür.

Olay yönetimi

Google, sistemlerin veya verilerin gizliliğini, bütünlüğünü ya da kullanılabilirliğini etkileyebilecek güvenlik olayları için sıkı bir olay yönetimi sürecine sahiptir. Google'ın güvenlik olayı yönetimi programı, olay yönetimiyle ilgili NIST rehberi (NIST SP 800-61) çerçevesinde oluşturulmuştur. Google, kilit personele üçüncü taraf ve tescilli araçların kullanımı dahil olmak üzere adli tıp ve bir etkinliğin hazırlığına yönelik kanıtların yönetimi konularında eğitim sağlar.

Google, önemli alanlar için olay yanıt planlarını test eder. Bu testler, dahili tehditler ve yazılım güvenlik açıkları dahil olmak üzere çeşitli senaryoları dikkate alır. Google güvenlik ekibi, güvenlik olaylarının hızlı bir şekilde çözülmesine yardımcı olmak için tüm çalışanlara 7 gün 24 saat hizmet vermektedir.

Yazılım geliştirme uygulamaları

Google, güvenlik açıklarının kullanıma sunulmasını proaktif olarak sınırlamak için kaynak kontrolü korumalarını ve iki taraflı yorumları kullanır. Google, geliştiricilerin belirli güvenlik hatası sınıflarını ortaya çıkarmasını engelleyen kitaplıklar da sağlar. Örneğin, Google'ın SDK'lardaki XSS güvenlik açıklarını ortadan kaldırmak için tasarlanmış kitaplıkları ve çerçeveleri vardır. Google ayrıca fuzzer'lar, statik analiz araçları ve web güvenliği tarayıcıları gibi güvenlik hatalarını algılamak için otomatik araçlara sahiptir.

Kaynak kodu korumaları

Google'ın kaynak kodu, dahili kaynak bütünlüğü ve yönetimine sahip depolarda depolanır. Bu sayede, hizmetin hem mevcut hem de geçmiş sürümleri denetlenebilir. Altyapı; bir hizmetin ikili programlarının incelendikten, kontrol edildikten ve test edildikten sonra belirli bir kaynak koddan derlenmesini gerektirir. Borg için İkili Program Yetkilendirmesi (BAB), bir hizmet dağıtıldığında gerçekleşen bir dahili yaptırım denetimidir. BAB şunları yapar:

  • Google'da dağıtılan üretim yazılımının ve yapılandırmanın incelenmesini ve yetkilendirilmesini (özellikle de kodun kullanıcı verilerine erişebildiği durumlarda) sağlar.
  • Kod ve yapılandırma dağıtımlarının belirli minimum standartları karşılamasını sağlar
  • İçeriden birinin veya kötü niyetli kişinin kaynak kodda kötü amaçlı değişiklikler yapma becerisini sınırlar ve aynı zamanda bir hizmetten kaynağına kadar adli bir izleme sağlar

İçeride Çalışanların Oluşturduğu Riskleri Azaltma

Google, altyapıya yönetim erişimi verilen çalışanların etkinliklerini sınırlar ve aktif olarak izler. Google, aynı görevleri güvenli ve kontrollü bir şekilde gerçekleştirebilen otomasyondan yararlanarak belirli görevlere ayrıcalıklı erişim ihtiyacını ortadan kaldırmak için sürekli olarak çalışır. Örneğin, Google bazı işlemler için iki taraflı onay gerektirirken Google, hassas bilgileri göstermeden hata ayıklamaya olanak tanıyan sınırlı API'ler kullanır.

Google çalışanlarının son kullanıcı bilgilerine erişimi, alt düzey altyapı kancaları aracılığıyla günlüğe kaydedilir. Google'ın güvenlik ekibi, erişim kalıplarını izler ve olağan dışı olayları araştırır.

Olağanüstü Durum Kurtarma Testi - DiRT

Google Haritalar Platformu, bir felaket sırasında Google Haritalar Platformu hizmetlerinin ve dahili işletme faaliyetlerinin çalışmaya devam etmesini sağlamak için yıllık, şirket genelinde, birkaç gün süren Olağanüstü Durum Kurtarma Testi etkinlikleri (DiRT) düzenler. DiRT, kasıtlı olarak hatalara neden olarak kritik sistemlerdeki güvenlik açıklarını bulmak ve bu güvenlik açıklarını hatalar olmadan önce kontrol edilemeyen bir şekilde düzeltmek için geliştirilmiştir. DiRT, canlı sistemleri bozarak Google'ın teknik dayanıklılığını test eder. Ayrıca kritik personelin, alan uzmanlarının ve liderlerin katılımını açıkça engelleyerek Google'ın operasyonel esnekliğini test eder. Genel kullanıma açık tüm hizmetlerin devam eden, aktif DiRT testinin yanı sıra dayanıklılık ve kullanılabilirlik durumlarının doğrulanması gerekir.

Google, DiRT egzersizine hazırlanmak için önceliklendirmeyle ilgili tutarlı bir kurallar uygular,

iletişim protokolleri, etki beklentileri ve test tasarımı gereklilikleri (önceden incelenmiş ve onaylanmış geri alma planları dahil). DiRT, mevcut süreçlerin gerçekten uygulamada çalıştığını doğrular. Aynı zamanda ekiplerin önceden eğitim almasını ve gerçek hizmet kesintileri, aksamalar ve insan kaynaklı ya da doğal afetler sırasında faydalanabilecekleri deneyimlere sahip olmalarını da sağlar.

Temel güvenlik kontrolleri

Bu bölümde, Google Haritalar Platformu'nun platformunu korumak için uyguladığı temel güvenlik denetimleri açıklanmaktadır.

Şifreleme

Şifreleme, verileri korumak için bir savunma katmanı ekler. Şifreleme sayesinde, bir saldırganın verilere erişmesi durumunda şifreleme anahtarlarına da erişmeden verileri okuyamaması sağlanır. Saldırganlar verilere erişse bile (örneğin, veri merkezleri arasındaki kablo bağlantısına erişerek veya bir depolama cihazını çalarak) verileri anlayamaz veya şifresini çözemez.

Şifreleme, Google'ın verilerin gizliliğini korumaya nasıl yardımcı olduğu konusunda önemli bir mekanizma sağlar. Sistemlerin, yedekleme gibi amaçlarla verileri manipüle etmesine ve mühendislerin Google'ın altyapısını desteklemesine olanak tanır. Ancak bu sistemler veya çalışanlara içerik erişimi sağlamaz.

Aktif olmayan verilerin şifrelenmesi

Bu bölümdeki "aktif olmayan" şifreleme, bir diskte (katı hal sürücüleri dahil) veya yedekleme ortamında depolanan verileri korumak için kullanılan şifreleme anlamına gelir. Veriler genellikle AES256 (Gelişmiş Şifreleme Standardı) kullanılarak depolama düzeyinde şifrelenir. Veriler genellikle Google müşterilerinin veri merkezlerindeki üretim depolama yığınında, donanım düzeyi de dahil olmak üzere birden çok düzeyde şifrelenir. Birden fazla şifreleme katmanı kullanma

yedekli veri koruması ekler ve Google'ın uygulama gereksinimlerine göre optimum yaklaşımı seçmesine olanak tanır. Google, şifrelemeyi ürünlerde tutarlı bir şekilde uygulamak için Google'ın FIPS 140-2 tarafından doğrulanmış modülünü içeren yaygın şifreleme kitaplıkları kullanır. Ortak kitaplıkların tutarlı kullanımı, sıkı şekilde denetlenen ve gözden geçirilen bu kodu yalnızca küçük bir kriptograf ekibinin uygulayıp sürdürmesi anlamına gelir.

Geçiş halindeki verileri koruma

Veriler, internette dolaşırken yetkisiz erişime karşı savunmasız olabilir. Google Haritalar Platformu, müşteri cihazları ile ağları ve Google'ın Google Front End (GFE) sunucuları arasında aktarım sırasında güçlü şifrelemeyi destekler. Google, müşterilerin/geliştiricilerin, uygulamaları oluştururken en iyi uygulama olarak Google'ın desteklenen en güçlü şifre paketini (TLS 1.3) kullanmasını önerir. Bazı müşterilerin uyumluluk nedeniyle eski şifre paketleri gerektiren kullanım alanları olduğundan, Google Haritalar Platformu daha zayıf olan bu standartları destekler, ancak mümkün olduğunda bunların kullanılmasını önermez. Google Cloud size, Google Haritalar Platformu ürünleri için IPsec kullanarak sanal özel ağlar oluşturmaya yönelik Cloud VPN dahil olmak üzere ek taşıma şifreleme seçenekleri de sunar.

Google veri merkezleri arasında geçiş hâlindeki verileri koruma

Uygulama Katmanı Aktarım Güvenliği (ALTS), Google trafiğinin bütünlüğünün gerektiğinde korunmasını ve şifrelenmesini sağlar. İstemci ile sunucu arasındaki bir el sıkışma protokolü tamamlandıktan ve istemci ile sunucu ağ trafiğinin şifrelenmesi ve kimlik doğrulaması için gerekli paylaşılan şifreleme gizli anahtarları üzerinde anlaştıktan sonra, ALTS kararlaştırılan paylaşılan gizli anahtarları kullanarak bütünlüğü zorunlu kılarak RPC (Uzak Prosedür Çağrısı) trafiğini güvence altına alır. Google, bütünlük garantileri için 128 bit anahtarlarla AES-GMAC (Gelişmiş Şifreleme Standardı) gibi birden fazla protokolü destekler. Trafik, Google tarafından veya Google adına kontrol edilen fiziksel sınırın dışına çıktığında (ör. WAN (Geniş Alan Ağı) üzerinden veri merkezleri arasında taşınırken) tüm protokoller, şifreleme ve bütünlük garantileri sağlamak için otomatik olarak yeni sürüme geçirilir.

Google Haritalar Platformu Hizmet Kullanılabilirliği

Bazı Google Haritalar Platformu hizmetleri tüm coğrafi bölgelerde kullanılamayabilir. Bazı hizmet kesintileri geçici (ağ kesintisi gibi beklenmedik bir olay nedeniyle) ancak diğer hizmet sınırlamaları, devletlerin uyguladığı kısıtlamalardan dolayı kalıcıdır. Google'ın kapsamlı Şeffaflık Raporu ve durum kontrol paneli, Google Haritalar Platformu hizmetlerine giden trafikte yakın zamanda gerçekleşen ve devam eden trafik kesintilerini gösterir. Google bu verileri, Google'ın çalışma süresi bilgilerini analiz edip anlamanıza yardımcı olmak için sağlar.

İstemci tarafı güvenlik

Güvenlik, Bulut Servis Sağlayıcı ile Google Haritalar Platformu ürünlerini uygulayan müşteri/iş ortağı arasında paylaşılan bir sorumluluktur. Bu bölümde, bir Google Haritalar Platformu çözümü tasarlanırken göz önünde bulundurulması gereken müşteri/iş ortağı sorumlulukları açıklanmaktadır.

JavaScript API'leri

Güvenli Siteler

Maps JavaScript API; siteler arası komut dosyası çalıştırma, tıklama korsanlığı ve veri yerleştirme saldırıları gibi güvenlik açıklarından kaçınmak için müşterinin site İçerik Güvenliği Politikası'nda (CSP) ince ayar yapmasına olanak tanıyan bir öneri grubu yayınlar. JavaScript API, iki CSP biçimini destekler: nonces kullanan katı CSP ve izin verilenler listesine eklenen CSP.

Güvenli JavaScript

JavaScript, bilinen güvenlik karşıtı kalıpları olup olmadığını belirlemek için düzenli olarak taranır ve sorunlar hızlı bir şekilde çözülür. JavaScript API, herhangi bir sorun ortaya çıkması halinde haftalık olarak veya istek üzerine yayınlanır.

Mobil Uygulama Güvenliği (MAS)

Mobil Uygulama Güvenliği (MAS), dünyanın her yerinden düzinelerce yazar ve incelemecinin katkılarıyla oluşturulmuş açık, çevik, kitle kaynaklı bir çalışmadır. OWASP Mobil Uygulama Güvenliği (MAS) ana projesi, mobil uygulamalar için bir güvenlik standardı (OWASP MASVS) ve mobil uygulama güvenlik testi sırasında kullanılan süreçleri, teknikleri ve araçları kapsayan kapsamlı bir test rehberi (OWASP MASTG) ile test kullanıcılarının tutarlı ve eksiksiz sonuçlar sunmasını sağlayan kapsamlı bir dizi test durumu sağlar.

  • OWASP Mobil Uygulama Güvenlik Doğrulama Standardı (MASVS), hem iOS hem de Android için eksiksiz ve tutarlı güvenlik testleri için bir temel sunar.
  • OWASP Mobil Uygulama Güvenliği Test Kılavuzu (MASTG), mobil uygulama güvenlik analizi sırasında kullanılan süreçleri, teknikleri ve araçların yanı sıra MASVS'de listelenen gereksinimlerin doğrulanmasına yönelik çok sayıda test senaryosunu da kapsayan kapsamlı bir kılavuzdur.
  • OWASP Mobil Uygulama Güvenliği Kontrol Listesi, her MASVS kontrolü için MASTG test durumlarına bağlantılar içerir.
    • Güvenlik Değerlendirmeleri / Pentestler: En azından standart saldırı yüzeyini kapladığınızdan emin olun ve keşfe başlayın.
    • Standart Uygunluk: MASVS ve MASTG sürümlerini ve kaydetme kimliklerini içerir.
    • Mobil güvenlik becerilerinizi geliştirin ve pratik yapın.
    • Hata Hediyeleri: Mobil saldırı yüzeyinin üzerinden adım adım geçin.

iOS ve Android uygulama güvenliği, test ve kimlik doğrulama yeteneklerinizi geliştirmek için OWASP MAS'ından yararlanmayı düşünün.

Android

Android uygulamaları geliştirirken dikkate alınması gereken bir diğer kaynak da Android topluluğu uygulaması en iyi uygulamalarıdır. Güvenlik kuralları, güvenli iletişimi zorunlu kılma, doğru izinleri tanımlama, güvenli veri depolama, hizmet bağımlılıkları ve daha pek çok konuda en iyi uygulama rehberliğini içerir.

iOS

iOS uygulamaları geliştirirken Apple'ın iOS Platformu için en iyi uygulamaları içeren Güvenli Kodlamaya Giriş Kılavuzu'nu dikkate alın.

Veri toplama, kullanma ve saklama

Google Haritalar Platformu; veri toplama, veri kullanımı ve veri saklama konularında şeffaflığa büyük önem verir. Google Haritalar Platformu'nun veri toplama, kullanma ve saklama işlemleri, Google Gizlilik Politikası'nı içeren Google Haritalar Platformu Hizmet Şartları'na tabidir.

Veri toplama

Veriler, Google Haritalar Platformu Ürünlerinin kullanımıyla toplanır. Müşteri olarak API'ler ve SDK'lar üzerinden Google Haritalar Platformu'na hangi bilgileri ileteceğiniz sizin kontrolünüzdedir. Tüm Google Haritalar Platformu istekleri günlüğe kaydedilir. Bunlar, üründen gelen yanıt durum kodlarını içerir.

Google Haritalar Platformu'nda günlüğe kaydedilen veriler

Google Haritalar Platformu, ürün paketindeki verileri günlüğe kaydeder. Günlükler, genellikle aşağıdakileri içeren birden fazla giriş içerir:

  • API anahtarı, İstemci Kimliği veya Cloud proje numarası olabilen hesap tanımlayıcısı. İşlemler, destek ve faturalandırma için bu gereklidir.
  • İstekte bulunan sunucunun, hizmetin veya cihazın IP adresi. API'ler için, Google Haritalar Platformu'na gönderilen IP adresinin, API çağrısının uygulamanızda/çözümünüzde nasıl uygulandığına bağlı olacağını unutmayın. SDK'larda, çağrı yapan cihazın IP adresi günlüğe kaydedilir.
  • İstek URL'si, API'yi ve API'ye iletilen parametreleri içerir. Örneğin, Geocoding API, iki parametre (adres ve API anahtarı) gerektirir. Coğrafi kodlamanın ayrıca bir dizi isteğe bağlı parametresi vardır. İstek URL'si, hizmete iletilen tüm parametreleri içerir.
  • İsteğin tarihi ve saati.
  • Web uygulamalarında, genellikle web tarayıcısı türü ve işletim sistemi gibi verileri içeren istek başlıkları günlüğe kaydedilir.
  • SDK kullanan Mobil Uygulamalarda Google Play sürümü, kitaplığı ve uygulama adı günlüğe kaydedilir.

Google Haritalar Platformu günlük erişimi

Günlüklere erişim son derece kısıtlanır ve yalnızca meşru iş ihtiyacı olan belirli ekip üyeleri için yetki verilir. Günlük dosyalarına yapılan her access isteği, access amacıyla belgelenir. Bu istekler, Google'ın ISO 27001 ve SOC 2 üçüncü taraf denetimleriyle doğrulanır.

Veri kullanımı

Google Haritalar Platformu tarafından toplanan veriler aşağıdaki amaçlarla kullanılır:

  • Google ürünlerini ve hizmetlerini iyileştirme
  • Müşteriye teknik destek sağlama
  • Operasyonel izleme ve uyarı
  • Platform güvenliğini sağlama
  • Platform kapasitesi planlaması

Google'ın Gizlilik Politikası'nda belirtildiği üzere, Google Haritalar Platformu'nun kullanıcı işlem verilerini hiçbir zaman üçüncü taraflara satmadığını lütfen unutmayın.

Veri saklama ve anonimleştirme

Google Haritalar Platformu günlüklerinde toplanan veriler, iş ihtiyaçlarına göre Google'ın veri anonimleştirme ve azaltma politikalarına tabi olarak çeşitli süreler boyunca saklanabilir. IP adresleri uygun olur olmaz (IP adresinin bir kısmı silinir) otomatik olarak anonimleştirilir. Günlüklerden elde edilen anonimleştirilmiş, toplu kullanım istatistikleri süresiz olarak saklanabilir.

Güvenlik, endüstri, yüksek kullanılabilirlik ve çevre sertifikasyonları ile denetimleri

ISO 27001

Uluslararası Standartlar Örgütü (ISO), 163 ulusal standart kurumunun uluslararası üyesi olan bağımsız ve uluslararası bir sivil örgüttür. ISO/IEC 27000 standart ailesi, kuruluşların bilgi öğelerini güvende tutmalarına yardımcı olur.

ISO/IEC 27001 bilgi güvenliği yönetim sistemi (BGYS) gereksinimlerini özetleyip sunar, bunlarla ilgili en iyi uygulamaları belirtir ve bilgi risklerini yönetmeye yardımcı olabilecek güvenlik denetimlerini açıklar.

Google Haritalar Platformu ve Google'ın Ortak Altyapısı, ISO/IEC 27001'e uygunluk sertifikasına sahiptir. 27001 standardı belirli bilgi güvenliği denetimlerini zorunlu kılmaz ancak standardın ortaya koyduğu denetim çerçevesi ve listesi, Google'ın güvenlik yönetimi için kapsamlı ve sürekli olarak gelişen bir model oluşturmasına olanak sağlar.

Google Haritalar Platformu ISO 27001 sertifikasını Google Uygunluk Raporları Yöneticisi'nden indirebilir ve inceleyebilirsiniz.

SOC 2 Tür II

SOC 2, Amerikan Yeminli Mali Müşavirler Enstitüsü'nün (AICPA) Denetim Standartları Kurulu'nun mevcut Güven Hizmetleri Kriterleri'ne (TSC) dayalı bir rapordur. Bu raporun amacı, bir kuruluşun bilgi sistemlerini güvenlik, kullanılabilirlik, işlem bütünlüğü, gizlilik ve gizlilik açısından değerlendirmektir. SOC 2 Tür II raporları, yılda iki kez Haziran ve Aralık aylarında yayınlanır.

Google Haritalar Platformu SOC 2 Tür II Denetim Raporu'nu Google Uygunluk Raporları Yöneticisi'nden indirip inceleyebilirsiniz.

Cloud Security Alliance (CSA)

Cloud Security Alliance (1, 2), "Bulut Bilişimi kapsamında güvenlik güvencesi sağlamaya yönelik en iyi uygulamaların kullanımını tanıtma ve diğer bilişim türlerinin güvence altına alınmasına yardımcı olmak için Bulut Bilişimin kullanım alanları konusunda eğitim sağlama" misyonuna sahip bir sivil toplum kuruluşudur.

Security, Trust and Assurance Registry (CSA STAR) adlı CSA programı, üç adımlı bir öz değerlendirme, üçüncü taraf denetim ve sürekli izleme programı aracılığıyla bir bulut hizmeti sağlayıcısını değerlendirmenize ve seçmenize yardımcı olmak için tasarlanmıştır.

Google Haritalar Platformu, üçüncü taraf değerlendirmeye dayanan sertifikayı (CSA STAR 1. Düzeyi: Onay) almıştır

Google aynı zamanda bir CSA sponsoru, International Standardization Council (ISC) adlı CSA konseyinin üyesi ve CSA GDPR Mükemmellik Merkezi'nin kurucu üyesidir.

ISO 22301:2019

Uluslararası Standartlar Örgütü (ISO), 163 ulusal standart kurumunun uluslararası üyesi olan bağımsız ve uluslararası bir sivil örgüttür.

ISO 22301:2019, iş devamlılığı yönetimine yönelik uluslararası bir standarttır. Kuruluşlar, ortaya çıkan aksaklıkları önlemek, hazırlıklı olmak, aksaklıklara yanıt vermek ve bu kesintilerden kurtulmak için bir yönetim sistemini uygulamasına, sürdürmesine ve iyileştirmesine yardımcı olmak amacıyla tasarlanmıştır.

Google Haritalar Platformu ürünlerini destekleyen veri merkezleri, bağımsız bir üçüncü taraf denetçinin denetiminden geçtikten sonra ISO 22301:2019 ve BS EN ISO 22301:2019'a uygunluk sertifikasına sahiptir. Google'ın veri merkezlerinde bu standartlara uygunluk, Google ürün ve hizmetlerini barındıran konumların ISO 22301:2019 ve BS EN ISO 22301:2019'da belirtilen şartları karşıladığını gösterir.

ISO 50001

Uluslararası Standartlar Örgütü (ISO), 163 ulusal standart kurumunun uluslararası üyesi olan bağımsız ve uluslararası bir sivil örgüttür.

ISO 50001:2018, kuruluşların kaliteyi ve çevre yönetimini iyileştirmek amacıyla enerji yönetimini genel çabalarına entegre etmek için bir yönetim sistemini uygulamasına, sürdürmesine ve iyileştirmesine yardımcı olmak üzere tasarlanmış uluslararası bir enerji yönetimi standardıdır.

Google Haritalar Platformu tarafından kullanılan Google EMEA veri merkezleri, bağımsız bir üçüncü taraf denetçinin denetiminden geçtikten sonra ISO 50001:2018'e uygunluk sertifikasına sahiptir. Google'ın veri merkezleri için ISO 50001:2018 uygunluğu, Google ürün ve hizmetlerini barındıran kapsam içi konumların ISO 50001:2018 ile tanımlanan gereksinimleri karşıladığını gösterir.

Aşağıda global sözleşme taahhütleri verilmiştir.

Avrupa'daki sözleşme taahhütleri

Bu bölümde Avrupa'daki sözleşme taahhütleri açıklanmaktadır.

AB Genel Veri Koruma Yönetmeliği (GDPR)

Genel Veri Koruma Yönetmeliği (GDPR), 25 Mayıs 2018'de yürürlüğe giren ve 24 Ekim 1995 tarihli 95/46/EC sayılı Veri Koruma Direktifi'nin yerini alan gizlilik mevzuatıdır. GDPR, Avrupa'da kurulmuş veya Avrupa'daki kullanıcılara hizmet veren işletmeler ve kuruluşlar için belirli şartlar ortaya koyar. Google Haritalar Platformu, müşterilerin kişisel verilerinin güvenliği ile gizliliğini önceliklendirip iyileştiren ve Google Haritalar Platformu müşterisi olarak sizin de GDPR gerekliliklerine göre Google hizmetlerini kullanırken kendinizi güvende hissetmenizi isteyen girişimlere destek verir. Google Haritalar Platformu ile birlikte çalışırsanız GDPR'ye uygunluk çalışmalarınızı aşağıdaki şekilde destekler:

  1. Google'ın sözleşmelerini, Google'ın tüm Google Haritalar Platformu hizmetlerinde kişisel verileri işlemesiyle ilgili olarak GDPR'ye uyma konusunda taahhüt etme
  2. Google hizmetlerinin gizlilik değerlendirme sürecinde size yardımcı olacak belgeler ve kaynaklar
  3. Yönetmelikler değiştikçe Google'ın yeteneklerini geliştirmeye devam etme

AB, AEA, İsviçre ve Birleşik Krallık yeterlilik kararları

Google gizlilik politikasında belgelendiği gibi, Avrupa Komisyonu, Avrupa Ekonomik Alanı (AEA) dışındaki belirli ülkelerin kişisel bilgileri yeterli düzeyde koruduğunu belirlemiştir. Bu da Avrupa Birliği (AB), Norveç, Lihtenştayn ve İzlanda'dan bu ülkelere veri aktarılabileceği anlamına gelir. Birleşik Krallık ve İsviçre de benzer yeterlilik mekanizmalarını kullanmaktadır.

AB Standart Sözleşme Maddeleri

Avrupa Komisyonu, SCC'ler ile birlikte Avrupa verilerini korumaya yardımcı olmak için yeni AB SCC'leri yayınladı. Google, verileri korumak ve Avrupa gizlilik yasasının gereksinimlerini karşılamak için SCC'leri Google Haritalar Platformu sözleşmelerine dahil etmiştir. Önceki SCC'lerde olduğu gibi, bu maddeler de verilerin yasalara uygun şekilde aktarılmasını kolaylaştırmak için kullanılabilir.

Birleşik Krallık Veri Koruma Yasası

2018 Veri Koruma Yasası, Birleşik Krallık'ta Genel Veri Koruma Yönetmeliği'nin (GDPR) yürürlüğe girmesini ifade eder. "Birleşik Krallık GDPR'si" Birleşik Krallık Avrupa Birliği (Çekilme) Yasası 2018 kapsamında Birleşik Krallık yasasına eklenmiş ve bu yasayla birleştirilmiş AB GDPR'sini ve bu yasa kapsamında geçerli olan ikincil mevzuatı ifade eder.

İsviçre Federal Veri Koruma Yasası (FDPA)

Resmi olarak Federal Veri Koruma Yasası (FADP) olarak bilinen İsviçre Veri Koruma Yasası, verileri işlenen kullanıcıların gizliliğini ve temel haklarını korumayı amaçlayan bir veri koruma düzenlemesidir.

Avrupa dışındaki sözleşme taahhütleri

Bu bölümde, Avrupa dışındaki sözleşme taahhütleri açıklanmaktadır.

Lei Geral de Proteção de Dados (LGPD)

Brezilya'nın Lei Geral de Proteção de Dados (LGPD) yasası, diğer durumların yanı sıra Brezilya'da kurulmuş veya Brezilya'daki kullanıcılara hizmet veren işletmeler ve kuruluşlar tarafından kişisel verilerin işlenmesini düzenleyen bir veri gizliliği yasasıdır. Şu anda yürürlükte olan LGPD aşağıdaki korumaları sunmaktadır:

  • İşletmelerin ve kuruluşların kişisel verileri nasıl toplayabileceğini, kullanabileceğini ve işleyebileceğini belirler
  • Sorumluluğu artırmak için sektörle ilgili mevcut federal gizlilik yasalarını tamamlar veya değiştirir
  • Şartları karşılayamayan işletmelere ve kuruluşlara para cezası kesilmesi için yetki sağlar
  • Veri Koruma Yetkilisi oluşturulmasını sağlar
  • Brezilya'da toplanan kişisel verilerin aktarılmasıyla ilgili kuralları uygular

Google, LGPD uygunluk stratejisinin bir parçası olarak kullanabileceğiniz ürünler ve çözümler sunar:

  • LGPD'ye uymanıza ve kişisel verileri daha iyi koruyup yönetmenize yardımcı olan güvenlik ve gizlilik özellikleri
  • Veri işlemenin güvenliğini sağlamak ve uygun gizlilik uygulamalarının benimsenmesini sağlamak için tasarlanmış hizmetler ve altyapı
  • Yasal düzenlemeler değiştikçe Google ürün ve yeteneklerinin sürekli gelişimi

Google Haritalar Platformu müşterilerinin kişisel verileri nasıl işlediklerini değerlendirmeleri ve LGPD şartlarının kendileri için geçerli olup olmadığını belirlemeleri gerekir. Bu site yasal tavsiyeler sunmadığından, Google, kuruluşunuz için geçerli olan LGPD gereksinimleri hakkında bilgi edinmek amacıyla bir hukuk uzmanına danışmanızı önerir.

ABD Eyaleti sözleşme taahhütleri

Connecticut Veri Gizliliği ve Online İzleme Yasası

Connecticut Veri Gizliliği ve Online İzleme Yasası, 22015 Sayılı Yayın Yasası 1 Ocak 2023 tarihinde yürürlüğe girmiştir. Daha fazla bilgi için Google Denetleyici-Denetleyici Veri Koruma Şartları'na bakın.

Kaliforniya Tüketici Gizliliği Yasası (CCPA)

Kaliforniya Tüketici Gizliliği Yasası (1, 2), Kaliforniya'daki tüketicilere, kişisel bilgilerine erişme, bunları silme ve kişisel bilgilerinin "satılmasını" devre dışı bırakma hakkı da dahil olmak üzere çeşitli gizlilik koruması sağlayan bir veri gizliliği yasasıdır. 1 Ocak 2020'den itibaren, Kaliforniya'da yaşayanların kişisel bilgilerini toplayan ve belirli eşikleri (ör. gelir, veri işleme hacmi) karşılayan işletmelerin bu yükümlülüklere uyması gerekecektir. Kaliforniya Gizlilik Hakları Yasası (CPRA), CCPA'yı değiştiren ve genişleten bir veri gizliliği yasasıdır. Yasa 1 Ocak 2023 tarihinde yürürlüğe girecektir. Google, kullanışlı araçlar sunarak ve Google hizmet ve sözleşmelerine sağlam gizlilik ve güvenlik korumaları ekleyerek müşterilerinin bu veri yönetmelikleri kapsamındaki yükümlülüklerini yerine getirmelerine yardımcı olmaya büyük önem verir. Başsavcının Kaliforniya Ofisi'nin web sitesinde, CCPA kapsamında işletme olarak sorumluluklarınız hakkında daha fazla bilgi bulabilirsiniz. Daha fazla bilgi için Google Denetleyici-Denetleyici Veri Koruma Şartları'na bakın.

Colorado Gizlilik Yasası (CPA)

Colorado Gizlilik Yasası, Colo. Rev. Stat. § 6-1-1301 ve sonraki maddeleri 1 Ocak 2023 tarihinde yürürlüğe girmiştir. Yasa, kişisel veri gizliliğiyle ilgili haklar oluşturur ve kasıtlı olarak Colorado sakinlerini hedefleyen iş yürüten veya ticari ürün ya da hizmetler üreten tüzel kişiler için geçerlidir. Bu tüzel kişiler şunlardır:

  • Her takvim yılında en az 100.000 tüketicinin kişisel verilerini kontrol edin veya işleyin
  • Kişisel verilerin satışından gelir elde etme ve en az 25.000 tüketicinin kişisel verilerini kontrol etme veya işleme

Daha fazla bilgi için Google Denetleyici-Denetleyici Veri Koruma Şartları'na bakın.

Utah Tüketici Gizliliği Yasası (UCPA)

Utah Tüketici Gizliliği Yasası, Utah Açıklamalı Yasası § 13-61-101 ve sonraki maddeleri 1 Ocak 2023'te yürürlüğe girmiştir. UCPA, kişisel verilerin ve hedeflenmiş reklamların satışı için geçerlidir ve nelerin satışı kapsamadığını, neyin dahil olmadığını tanımlar: "bir denetleyici tarafından üçüncü bir tarafa maddi kazanç karşılığında kişisel verilerin takas edilmesi".

Daha fazla bilgi için Google Denetleyici-Denetleyici Veri Koruma Şartları'na bakın.

Virginia Tüketici Verilerini Koruma Yasası (VCDPA)

Virginia Tüketici Verilerini Koruma Yasası ("VCDPA") 1 Ocak 2023'te yürürlüğe girmiştir. Bu yasa, Virginia'da yaşayan kullanıcılara, işletmeler tarafından toplanan kişisel verilerle ilgili olarak yasada belirtilen koşullar altında belirli haklar vermektedir.

Daha fazla bilgi için lütfen Google Denetleyici-Denetleyici Veri Koruma Şartları'na bakın.

Özet

Güvenlik Google'ın tüm altyapısı, ürünleri ve işlemleri için birincil tasarım kriteridir. Google’ın işlem ölçeği ve güvenlik araştırmaları topluluğuyla yaptığı işbirliği, güvenlik açıklarını hızlı bir şekilde ve çoğu zaman tamamen önlememizi sağlıyor. Google; Arama, YouTube ve Gmail gibi kendi hizmetlerini, doğrudan Google'ın güvenlik denetimlerinden ve uygulamalarından yararlanan müşterilerine sunduğu altyapı üzerinde yürütür.

Google, çok az sayıda herkese açık bulut sağlayıcısının veya özel kurumsal BT ekibinin ulaşabileceği bir düzeyde koruma sunabileceğine inanmaktadır. Verilerin korunması Google'ın faaliyetlerinin temelinde yer aldığı için güvenliğe, kaynaklara ve uzmanlık alanlarına başkalarının yapamayacağı ölçüde kapsamlı yatırımlar yapabiliyoruz. Google'ın yatırımı sayesinde işinize ve yeniliklerinize odaklanabilirsiniz. Google hizmetlerinden güvenli ve şeffaf bir şekilde yararlanmanızı sağlamak için platformumuza yatırım yapmaya devam edeceğiz.