Google 地圖平台安全與法規遵循總覽

本文上次更新於 2024 年 2 月,內容反映截至撰文時的情況。我們一向持續提升客戶保護措施,因此安全性政策和系統日後可能會有所變動。

簡介

Google 地圖平台提供許多 API 和 SDK,方便客戶和合作夥伴使用 Google 的地理空間技術,開發網頁和行動應用程式。Google 地圖平台的 API 和 SDK 超過 50 個,適合多種產業的客戶使用。業界客戶在打造解決方案時,通常必須滿足安全、資料使用和法規方面的各項要求,包括確保第三方技術同樣達成這些要求。

本文件將概略介紹 Google 地圖平台提供的人員、程序和技術控管措施,並說明使用這個平台的好處。首先,請務必瞭解 Google 地圖平台的兩大技術支柱:

  • Google 提供的技術、資料中心和基礎架構,後兩者也是 Google 地圖平台主要的運作基礎。在這樣的基礎下,Google 地圖平台還會對沿用自 Google 的安全控管措施,進行內部和第三方稽核,確保本身能正確導入這份報告所述的安全、營運和技術控管措施。
  • Google 地圖平台技術。除了沿用的控管措施以外,在安全、隱私、資料和營運方面,Google 地圖平台也為 Google 產品套件提供更多的控管措施。

本文件將摘要說明 Google 地圖平台的安全程序和控管措施,分為以下主題:

  • 注重 Google 機構各級單位的安全和隱私保護
  • 技術基礎架構和硬體安全
  • 營運安全
  • 重要安全控管措施
  • 用戶端安全 (網頁和行動應用程式)
  • Google 地圖平台目前的認證和稽核
  • 支援的全球法律架構

潛在客戶可洽詢 Google 業務代表瞭解詳情。

Google 是注重安全和隱私保護的機構

Google 的機構架構、風氣、訓練優先要務和招聘程序,都是以安全為概念來推動。而 Google 資料中心和提供的技術,也是依據這個概念進行設計。安全是 Google 日常各項營運業務的基石,包括災害規劃和威脅管理。不論是資料處理方式、帳戶控管措施、法規遵循稽核還是業界認證,Google 皆以安全為優先考量。許多地端部署替代方案採用的供應商和平台雖數量眾多,但安全程序往往欠缺連貫性,相較之下,Google 所設計的服務更加安全。只要為自家商家導入 Google 地圖平台產品,即可享有 Google 整合式安全計畫和控管措施所帶來的優勢。在為全球超過十億名使用者提供服務時,Google 地圖平台將安全視為各項營運業務的首要任務。

Google 和 Google 地圖平台攜手合作,為整個公司和機構提供多層安全機制:

  • Google 專屬的安全團隊
  • Google 地圖平台產品安全團隊
  • 積極參與全球安全研究社群
  • Google 地圖平台隱私權團隊
  • Google 員工安全和隱私保護訓練
  • 內部稽核和法規遵循專員

Google 的專屬安全團隊

Google 為整個公司和各個產品領域,都提供專屬的安全團隊。

業務範圍涵蓋整個 Google 的安全團隊,在多個 Google 產品領域提供支援,包括 Google 地圖平台。這個安全團隊的陣容包含資安、應用程式安全防護、密碼學和網路安全領域的世界頂尖專家。他們負責的業務包括:

  • 制定、審查及導入各項安全程序,包括審查 Google 網路的安全計畫,以及為整個 Google 的產品和工程團隊提供特定專案的諮詢服務。比方說,如果推出的產品採用密碼技術,密碼學專家會進行審查。
  • 積極管理安全威脅。該團隊會同時使用商業和自訂工具,監控 Google 網路上持續出現的威脅和可疑活動。
  • 執行例行性的稽核和評估作業,包括請來外部專家進行安全評估。
  • 向廣大社群發布安全相關文章。Google 提供安全主題網誌YouTube 系列影片,主要介紹幾個特定的安全團隊和相關成就。

Google 地圖平台安全團隊會與業務範圍涵蓋整個 Google 的安全團隊進行更密切的合作,共同開發產品和完成 SRE 工作,以利監督各項安全措施的執行情況。具體來說,這個團隊負責的項目如下:

  • Google 地圖平台的災害復原力測試 (DiRT)。在 Google 的高可用性基礎架構上執行,用於測試 Google 地圖平台產品的業務持續性和容錯移轉。
  • 第三方滲透測試。Google 地圖平台產品每年至少都會經過一次滲透測試,以提升 Google 的安全防護機制,並為您提供獨立的安全保障。

與安全研究社群協同合作

Google 長期與安全研究社群維持緊密關係,十分重視社群在 Google 地圖平台等各項 Google 產品中找到的潛在安全漏洞。

  • 透過 Project Zero 進行網路社群合作。Project Zero 是由許多安全研究人員組成的團隊,主要研究零時差安全漏洞。找出 Spectre 漏洞攻擊、Meltdown 漏洞攻擊、POODLE SSL 3.0 漏洞攻擊加密套件弱點,都是這項研究所涵蓋的範圍。
  • 學術研究 - Google 的安全工程師和研究人員積極參與學術安全社群及隱私研究社群,並在社群中發布各種相關內容。這些安全相關出版品可在 Google 研究網站上找到。Google 的安全團隊在《打造安全可靠的系統》(Building Secure and Reliable Systems) 一書中,深入說明他們的做法和經驗。
  • 安全漏洞檢舉計畫 - Google 地圖平台是安全漏洞檢舉計畫的一員。對於每個經過確認的安全漏洞,這項計畫都提供多達數萬美元的獎勵金,目的是鼓勵研究人員就設計和導入方面,回報可能導致客戶資料蒙受風險的問題。2022 年,Google 發給研究人員的獎金一共超過 1,190 萬美元。如要進一步瞭解這項計畫,包括 Google 提供的獎勵,請參閱 Bug Hunters 的「關鍵統計資料」(Key Stats) 部分。如要深入瞭解如何回報安全問題,請參閱「Google 如何處理安全漏洞」一文。
  • 開放原始碼安全研究 - Google 的工程師也籌辦並參與許多開放原始碼專案和學術會議。為提升開放原始碼的品質,安全漏洞檢舉計畫也提供開放原始碼專案的補助金
  • 密碼學 - Google 世界一流的密碼專家致力於防止傳輸層安全標準 (TLS) 連線受到量子電腦攻擊,並開發了橢圓曲線和後量子組合 (CECPQ2) 演算法。此外,Google 密碼專家也開發了加密 API 的開放原始碼程式庫 Tink。Google 會在內部產品和服務中使用 Tink。

Google 地圖平台的專屬隱私權團隊

專屬隱私權團隊與產品開發和安全機構分開運作。該團隊負責推展內部隱私保護計畫,以改善隱私保護的各個環節:重要程序、內部工具、基礎架構和產品開發。隱私權團隊的職掌如下:

  • 確保產品推出時採用與資料收集相關的嚴格隱私權標準。Google 每次推出產品時,這個團隊都會撰寫設計說明文件及審查程式碼。
  • 產品推出後,隱私權團隊會監督自動化程序,持續檢驗資料的收集和使用方式是否恰當。
  • 針對隱私權最佳做法進行研究。

Google 員工安全和隱私保護訓練

安全和隱私保護是不斷變化的領域,而 Google 也瞭解想要提升正確意識,關鍵就在於員工的全力參與。Google 全體員工的入職程序皆包含安全性和隱私權保護訓練,在職期間也會持續不斷接受這類必要的訓練。

  • 入職期間:新進員工必須同意 Google 的《行為準則》,瞭解 Google 確保客戶資訊安全無虞的承諾。
  • 按職務劃分的專業訓練。特定職務需要接受某些方面的安全訓練。舉例來說,資安團隊會為新進工程師提供安全碼相關措施、產品設計和安全漏洞自動測試工具方面的指導。工程師必須參加例行安全簡報,且會收到內容涵蓋最新威脅、攻擊模式和減緩措施等主題的安全電子報。
  • 各項持續舉行的活動。為提升安全和資料隱私保護方面的正確意識並推動創新,Google 會定期舉辦內部會議供全體員工參加。Google 會舉辦跨全球各辦公室的活動,目的是提升軟體開發、資料處理及政策落實方面的安全和隱私保護意識。

內部稽核和法規遵循專員

Google 地圖平台設有專屬的內部稽核團隊,負責審查 Google 產品是否遵循世界各地的安全法律和法規。隨著新的稽核標準陸續問世,而現有標準也持續更新,內部稽核團隊會判斷需要導入哪些控管措施、程序和系統,才能符合這些標準。該團隊會協助第三方完成獨立稽核和評估。詳情請參閱本文件下方的「安全認證與稽核」一節。

以安全為核心建構而成的平台

Google 採取縱深防禦的原則,設計伺服器、專屬作業系統,以及遍布世界各地的資料中心。Google 地圖平台採用有助於確保運作安全無虞的技術基礎架構。我們建立的 IT 基礎架構,比起傳統式地端部署或代管解決方案更加安全,管理上也更加輕鬆。

防護技術先進的資料中心

Google 主要設計準則的關注重點之一,就是資安防護。多層安全防護措施是 Google 資料中心採取的實體安全機制,包括多種保護措施,例如量身訂做的電子門禁卡、警報系統、車輛進出閘門、圍欄、金屬探測器和生物特徵辨識技術。此外,為偵測和追蹤入侵者,Google 也採用許多安全措施,例如雷射光入侵偵測,以及全天候的高解析度內外攝影機監控。如有事件發生,相關人員就會調閱存取記錄、活動記錄及監視影片。經驗豐富的保全人員都經過嚴格的背景調查和訓練,會定時巡邏 Google 的資料中心。越接近資料中心樓層,安全措施也越多。資料中心樓層必須通過安全走廊才能抵達,這條走廊導入多重要素通行管制功能,並採用安全徽章和生物特徵辨識技術。只有擔任特定職務並取得核准的員工才能進入。能夠進入 Google 資料中心的員工,人數比例不到 1%。

Google 營運的資料中心遍及世界各地,目標是盡可能提升自家服務的速度和穩定性。一般來說,資料中心基礎架構的安排方式,是為了應付最靠近流量來源的資料中心流量。因此,Google 地圖平台資料的精確位置可能取決於流量的來源,而這些資料可能會由位於歐洲經濟區和英國的伺服器處理,或是傳輸至第三方國家/地區。Google 客戶在自家服務導入 Google 地圖平台產品後,通常會向全球提供,往往能吸引世界各地的客群。為減少延遲時間並確保系統有備援機制,我們會在全球各地部署用來支援這些產品的技術基礎架構。Google 地圖平台會使用一部分的 Google 全球資料中心網路,如下所列,供您參考:

這張世界地圖以藍點來代表資料中心的位置

北美洲和南美洲

歐洲

亞洲

Google 資料中心供電

為確保各項功能全天候運作正常,並提供不間斷的服務,Google 資料中心採用備援電力系統和環境控制機制。每項關鍵元件都有主要和備用的電源系統,且兩種電源具有相同的功率。備用發電機可提供充足的緊急電力,確保每個資料中心都能全力運作。冷卻系統可讓伺服器和其他硬體在運作時維持恆溫狀態,有助於降低服務中斷的風險,同時盡可能減少對環境的影響。火災偵測和消防滅火設備可防止硬體受損。熱源偵測器、火災偵測器和煙霧偵測器,都會在資安營運控制台和遠端監控台觸發可聽見和看見的警報。

Google 是第一個積極爭取外部認證的主要網際網路服務公司,致力於證明所有 Google 資料中心皆符合環保、工作場所安全和能源管理方面的自家標準。舉例來說,Google 為歐洲的資料中心取得了自願性 ISO 50001 認證,以展現對能源管理措施的承諾。

自訂伺服器硬體和軟體

Google 資料中心擁有依據特定用途建構的伺服器和網路設備,其中部分是由 Google 所設計。雖然 Google 伺服器經過特別打造,可充分提高效能、冷卻效果和節能效益,但本身的設計也能有效防範實體入侵攻擊。有別於大多數的市售硬體,Google 伺服器不含任何不必要的元件,例如顯示卡、晶片組或周邊連接器,這些元件可能會引發安全漏洞。Google 會審查元件供應商並慎選適合的元件,同時與供應商一起稽核及驗證這些元件提供的安全屬性。Google 設計了自訂晶片 (例如 Titan),有助於我們安全地識別及驗證正規的 Google 硬體裝置,包括這些裝置用於啟動的程式碼。

伺服器資源會透過動態方式分配,這為我們帶來成長的彈性,讓我們能添加或重新分配資源,又快又有效率地進行調整來滿足客戶需求。這個同質環境會由專屬軟體維護,可持續監控系統是否出現二進位層級的修改內容。我們可以透過 Google 的自動自癒機制,監控和修復破壞穩定的事件、接收事件通知,並減緩網路中潛在入侵的速度。

安全的服務部署作業

Google 服務是由 Google 開發人員撰寫的應用程式二進位檔,在 Google 的基礎架構上執行。為處理必要範圍內的工作負載,可能會有數以千計的電腦執行同一項服務的二進位檔。一項稱為 Borg 的叢集自動化調度管理服務,可控制直接在這個基礎架構上執行的服務。

這個基礎架構會假設當中執行的服務之間,不存在任何信任關係,這個信任模型就稱為零信任安全模型。零信任安全模型是指預設沒有任何裝置或使用者受到信任,不論裝置或使用者位於網路內部還是外部都一樣。

這個基礎架構採用多用戶群設計,因此 Google 的客戶資料 (消費者、商家甚至是 Google 自有的資料) 會分布在整個共用基礎架構中。這個基礎架構是由數以萬計的同質電腦所組成,不會將客戶資料隔離到同一台或同一組電腦上。

硬體追蹤和處置方式

Google 會透過條碼和資產標記,精確地追蹤資料中心內所有設備的位置和狀態。Google 會採用金屬探測器和錄影監視功能,確保任何設備都必須獲得授權,才能離開資料中心樓層。如有元件在生命週期內的任何一個時間點沒有通過效能測試,就會從庫存中移除並淘汰。

Google 儲存裝置 (包括硬碟、固態硬碟和非揮發性雙列直插式記憶體模組 (DIMM)) 會使用全磁碟加密 (FDE) 和硬碟鎖定等技術,來保護靜態資料的安全。如有儲存裝置遭到淘汰,授權人員就會使用 0 值覆寫硬碟內容,確認磁碟的資料是否已清除。他們還會執行多步驟驗證程序,確保硬碟不含任何資料。如果硬碟因故無法清除資料,就會進行實體銷毀。實體銷毀是指使用切碎機將硬碟變為細小碎片,然後送往安全設施進行回收。每個資料中心都必須謹守嚴格的處置政策;如有任何不符規定的情況,應立即予以解決。

Google 全球網路的安全優勢

在其他地理空間雲端和地端部署解決方案中,資料會透過公共網際網路,順著稱為「躍點」的路徑在不同裝置之間流通。至於躍點的數量,則取決於客戶的網際網路服務供應商 (ISP) 與資料中心之間的最佳路徑。然而,每多一個躍點,資料遭到攻擊或攔截的機會也就跟著提高了一點。Google 的全球網路與全世界大多數的 ISP 都相連,因此 Google 的網路會限制公共網際網路上的躍點數量,有助於防止惡意行為人存取相關資料。

Google 的網路受到層層防禦機制把關 (亦即縱深防禦),可避免遭受外部攻擊。只有獲得授權且符合 Google 安全規定的服務和通訊協定才能周遊 Google 網路,其他全都會自動遭到捨棄。為執行網路隔離措施,Google 會使用防火牆和存取控制清單。所有流量都會透過 Google Front End (GFE) 伺服器轉送,以偵測及阻止惡意要求和分散式阻斷服務 (DDoS) 攻擊。當然我們也會例行性檢查記錄,避免有人利用程式設計錯誤從事任何不法行為。只有獲得授權的員工,才能存取連網裝置。

Google 的全球基礎架構讓我們得以經營 Project Shield 服務,為容易遭受 DDoS 攻擊的資訊審查網站免費提供無限制的防護。Project Shield 適用於新聞網站、人權網站和選舉監察網站。

低延遲、高可用性的解決方案

Google 的 IP 資料網路是由自家光纖、市售光纖和海底纜線所組成,可讓我們在世界各地提供高可用性、低延遲的服務。

Google 為自家平台所設計的元件具有高備援性,而 Google 的伺服器設計、資料儲存方式、網路和網際網路連線能力,乃至於軟體服務本身,也都具備這樣的特性。這種「無所不備」的做法包括例外狀況處理,形成了一項不仰賴單一伺服器、資料中心或網路連線的解決方案。

Google 資料中心的地理位置得天獨厚,可大幅減少區域性干擾 (例如發生天災或地區性停電時) 對全球產品的影響。如果軟硬體或網路故障,平台服務和控制層會在短時間內自動移轉到另一個設施,這樣平台服務就能持續運作而不至於中斷。

在 Google 高備援性的基礎架構之下,您的商家可確保資料不會遺失。當我們的平台需要維修或升級時,Google 的系統能夠將停機時間或維護期間縮到最短。

營運安全

對於 Google 而言,安全是營運不可或缺的一環,而非事後的補救措施。本節說明 Google 的安全漏洞管理計畫、惡意軟體防範計畫、安全監控,以及事件管理計畫。

安全漏洞管理

Google 內部的安全漏洞管理程序,會主動掃描所有技術堆疊是否出現安全威脅。這項程序會將市售工具、開放原始碼工具,以及依據特定用途建構的內部工具合併使用,而且會納入下列內容:

  • 品保程序
  • 軟體安全審查
  • 密集的自動和手動滲透測試,包括大量的紅隊演練
  • 定期針對 Google 地圖平台產品進行外部滲透測試
  • 定期進行外部稽核

安全漏洞管理機構及相關合作夥伴會負責記錄安全漏洞,並進行後續追蹤。問題必須徹底解決才能提高安全性,因此自動化管道會持續重新評估安全漏洞的狀態、驗證修補程式,以及標記不正確或不完整的解決方式。

安全監控

Google 安全監控計畫所著重的資訊,是根據內部網路流量、員工在系統上的動作,以及對於安全漏洞的外來知識收集而來。Google 秉持的主要原則是將所有安全遙測資料,全部匯總並儲存到同一個位置,然後統一進行安全分析。

在 Google 全球網路中的許多資料點,系統會檢查內部流量是否有可疑行為,例如出現可能代表殭屍網路連線的流量。Google 會同時使用開放原始碼和市售工具來擷取及剖析流量,以利進行這項分析。以 Google 技術為基礎建構而成的專屬關聯系統,也會為這項分析提供協助。Google 彌補網路分析不足之處的做法,是查看系統記錄來找出異常行為,例如企圖存取客戶資料的行為。

Google 威脅分析團隊會監控威脅發動者,以及他們不斷演進的手法和技巧。Google 安全工程師則會詳閱收到的安全報告,並監控公開郵寄清單、網誌文章和維基網站內容。系統會自動分析網路和系統記錄,藉此判斷是否可能存在不明威脅。如果自動程序偵測到問題,就會向 Google 安全人員提報。

入侵偵測

Google 會使用複雜的資料處理管道,來整合個別裝置上的代管信號、來自基礎架構中各監控點的網路信號,以及來自基礎架構服務的信號。以這些管道為基礎建構而成的規則和電腦智慧功能,會提醒營運安全工程師注意可能發生的事件。Google 的調查和事件應變團隊會將這些事件分類,並在調查之後採取應變措施,全年二十四小時無休。Google 會進行紅隊演練和外部滲透測試,以評估和提升 Google 偵測及應變機制的效果。

事件管理

Google 針對安全性事件制定嚴格的事件管理程序,因為這類事件可能會影響系統或資料的機密性、完整性或可用性。Google 的安全事件管理計畫,是根據 NIST 針對事件處理方式所制定的規範 (NIST SP 800-61) 建構而成。在鑑識和證據處理方面,Google 為相關重要人員提供訓練課程,協助他們為可能發生的事件做好萬全準備,包括使用第三方和專屬工具。

Google 會測試重要領域的事件應變計畫。這些測試會考量各種情境,包括內部威脅和軟體安全漏洞。為快速解決安全事件,Google 安全團隊全年無休,為 Google 全體員工服務。

軟體開發做法

Google 會採用原始碼控制防護措施和兩方審查機制,主動將安全漏洞拒之於門外。Google 也提供許多資料庫,可防止開發人員引進特定類別的安全錯誤。舉例來說,Google 有不少資料庫和架構都能消除 SDK 的 XSS 安全漏洞。此外,Google 還有多種自動化工具可以偵測安全錯誤,例如模糊測試工具、靜態分析工具和 Web Security Scanner。

原始碼防護

Google 的原始碼是儲存在內建原始碼完整性和管理功能的存放區,因此能夠同時稽核服務的目前和過往版本。要維持這樣的基礎架構,服務的二進位檔就必須以經過審查、登記和測試的特定原始碼來建構。Borg 適用的二進位授權 (BAB) 是一項在服務部署完畢後進行的內部強制執行檢查。BAB 的功能如下:

  • 確保 Google 部署的生產軟體和設定已經過審查和授權,特別是相關程式碼可存取使用者資料時
  • 確保程式碼和設定的部署方式符合特定最低標準
  • 讓內部或外部的不肖人士無法對原始碼進行惡意修改,並提供從服務回溯到相關原始碼的鑑識軌跡

降低內部風險

對於擁有基礎架構管理員權限的員工,Google 會限制並主動監控他們的活動。某些任務需要獲得特許權限才能執行,為省去這方面的需求,Google 致力於運用自動化功能,以安全可控的方式完成相同的任務。舉例來說,在執行某些操作時,Google 會要求雙方都表示許可。此外,Google 也會使用受限的 API 來進行偵錯,確保機密資訊不外流。

Google 員工對使用者資訊的存取行為,會透過低層基礎架構掛鉤進行記錄。Google 的安全團隊會監控存取模式,並調查異常事件。

災難復原測試 - DiRT

Google 地圖平台每年都會以整個公司為範圍,進行為期多日的災難復原測試 (DiRT) 活動,確保該平台的服務和內部業務營運在災難發生時,也能繼續正常運作。DiRT 能夠以刻意引發故障的方式找出重要系統的安全漏洞,在問題失控前修正這些漏洞。DiRT 會故意破壞已上線的系統,來測試 Google 在技術方面的穩健性,並且會明確將重要人員、領域專家和主管排除在外,藉以驗證 Google 在營運方面的韌性。凡是正式發布的服務,都必須針對本身的韌性和可用性,持續積極進行 DiRT 測試和驗證。

做為 DiRT 演練的準備工作,對於優先順序、通訊協定、預期影響和測試設計規定,Google 會採用一套一致的規則,包括事先經過審查和核准的復原計畫。

DiRT 的演練和情境不僅會強制服務本身在技術方面發生故障,還會在程序、重要人員可用性、支援系統、通訊和實體存取方面導入特別設計的故障。DiRT 會確認現有程序實際上能否正常運作,也會確保相關團隊事先經過訓練,且具備足夠的經驗,能在服務中斷和發生天災人禍時做出適當處置。

重要安全控管措施

本節說明 Google 地圖平台主要採取哪些安全控管措施來自我保護。

加密

加密技術可為資料提供進一步的安全保障,讓攻擊者即使手握資料存取權 (例如透過使用資料中心之間的有線連接,或是竊取儲存裝置的手段取得),也會因為沒有加密金鑰而無法解讀或解密資料。

加密是 Google 採用的重要機制,可進一步保護資料隱私。透過這項技術,系統可以對資料進行備份等操作,而工程師也能為 Google 的基礎架構提供支援,不必將內容存取權授予這些系統或員工。

靜態資料加密

本節所述的「靜態」資料加密是一種加密技術,可用來保護磁碟 (包括固態硬碟) 或備份媒體中儲存的資料。系統會在儲存裝置層級加密資料,一般來說使用的是 AES256 (高級加密標準)。在 Google 資料中心的實際執行儲存堆疊中,資料通常會於多個層級加密 (包括硬體層級),Google 客戶不必採取任何行動。多層加密技術為資料提供備援保護機制,

並可讓 Google 根據應用需求選擇最合適的做法。Google 會使用整合 Google FIPS 140-2 驗證模組的通用加密編譯程式庫,為各項產品一致導入加密功能。一致使用通用的程式庫表示,只需一個小型密碼專家團隊,即可導入和維護這類受到嚴密控制且經過審查的程式碼。

保護傳輸中的資料

透過網際網路傳輸的資料,可能很容易遇到未經授權存取的問題。當資料在客戶裝置和網路與 Google Front End (GFE) 伺服器之間傳輸時,Google 地圖平台可進行強效加密。Google 建議客戶/開發人員在開發應用程式時,採用我們效果最強的受支援加密套件 (TLS 1.3)。有些客戶的情況需要使用舊版加密套件來解決相容性問題,因此 Google 地圖平台支援這些較弱的標準,但還是建議盡量不要使用。Google Cloud 也為您提供更多的傳輸加密機制選擇,包括可讓您為 Google 地圖平台產品使用 IPsec 建立虛擬私人網路的 Cloud VPN。

保護在 Google 資料中心之間傳輸的資料

使用應用程式層傳輸安全性 (ALTS) 系統,Google 流量的完整性就能在必要時得到保護,並且受到加密。用戶端與伺服器之間完成握手通訊協定,且已商議網路流量加密和驗證所需的共同加密編譯密鑰後,ALTS 就會使用這些密鑰強制實現完整性,藉此確保遠端程序呼叫 (RPC) 安全無虞。Google 支援透過多種通訊協定來確保完整性,例如採用 128 位元金鑰的 AES-GMAC (高級加密標準)。每當流量脫離 Google 本身控管或代替 Google 控管的實體界線時 (例如透過 WAN (廣域網路) 在資料中心之間傳輸資料),系統就會自動升級所有通訊協定,確保能進行加密和實現完整性。

Google 地圖平台服務可用性

部分 Google 地圖平台服務只能在特定地理區域使用。有些服務中斷問題只是暫時 (由於發生非預期的事件,例如網路中斷),有些服務受限問題則屬於永久性 (由於政府施加限制)。Google 全方位的資訊公開報告狀態資訊主頁,會顯示 Google 地圖平台服務近期出現或持續存在的流量中斷情況。Google 提供這項資料,是為了協助您分析和解讀 Google 的運作時間資訊。

用戶端安全

不論是雲端服務供應商,還是導入 Google 地圖平台產品的客戶/合作夥伴,都必須共同承擔安全工作的責任。本節詳述客戶/合作夥伴在建構 Google 地圖平台解決方案時應注意的責任。

JavaScript API

安全網站

Maps JavaScript API 發布了一系列建議,讓客戶能調整自己的網站內容安全政策 (CSP),以免出現跨網站指令碼攻擊、點擊劫持和資料注入式攻擊等安全漏洞。JavaScript API 支援兩種形式的 CSP:使用 Nonce 的嚴格 CSP,以及許可清單 CSP。

安全 JavaScript

系統會定期掃描 JavaScript 來找出已知的安全性反面模式,並快速修復問題。JavaScript API 每週發布一次,或在發生任何問題時按需求發布。

行動應用程式安全防護 (MAS)

行動應用程式安全防護 (MAS) 集結世界各地許多程式碼作者和審查人員所做的貢獻,是一項靈活的開放式集眾創作計畫。OWASP 行動應用程式安全防護 (MAS) 旗艦級專案提供行動應用程式專用的安全標準 (OWASP MASVS),以及全方位的測試指南 (OWASP MASTG),內容涵蓋行動應用程式安全測試期間使用的各項程序、技術和工具,以及一組詳盡的測試案例,可讓測試人員達成一致且完整的結果。

  • OWASP 行動應用程式安全防護驗證標準 (MASVS) 是安全測試是否完整且一致的衡量基準,iOS 和 Android 皆適用。
  • OWASP 行動應用程式安全防護測試指南 (MASTG) 是全方位的手冊,內容涵蓋行動應用程式安全防護分析期間使用的各項程序、技術和工具,以及一組詳盡的測試案例,可讓您確認是否符合 MASVS 所列的需求條件。
  • OWASP 行動應用程式安全防護檢查清單內含各項 MASVS 控管措施的 MASTG 測試案例連結。
    • 安全評估/滲透測試:請確認您的測試範圍至少涵蓋標準攻擊面,然後繼續擴大範圍。
    • 遵循標準:納入 MASVS 和 MASTG 版本以及修訂版本 ID。
    • 學習行動應用程式安全技能,並學以致用。
    • 抓錯獎勵:逐步覆蓋行動應用程式的攻擊面。

建議您運用 OWASP MAS,強化 iOS 和 Android 應用程式安全防護、測試及驗證功能。

Android

開發 Android 應用程式時,Android 社群應用程式最佳做法也是值得您參考的資源。安全性指南內含有關如何落實通訊安全的最佳做法指引,當中說明正確的權限、安全的資料儲存空間,以及服務依附元件等等。

iOS

開發 iOS 應用程式時,不妨參考 Apple 的「安全編碼指南入門」(Introduction to Secure Coding Guide),內含 iOS 平台適用的最佳做法。

收集、使用及保留資料

在收集、使用及保留資料方面,開誠布公是 Google 地圖平台的承諾。Google 地圖平台在收集、使用及保留資料時,會受到《Google 地圖平台服務條款》的規範,《Google 隱私權政策》也包含在內。

資料收集

使用 Google 地圖平台產品時,系統會收集資料。要將哪些資訊透過 API 和 SDK 傳輸至 Google 地圖平台,取決於客戶的選擇。所有 Google 地圖平台要求都會留下記錄,包括產品的回應狀態碼。

Google 地圖平台記錄的資料

Google 地圖平台會記錄整個產品套件的資料。記錄內含多個項目,通常包括:

  • 帳戶 ID,例如 API 金鑰、用戶端 ID 或 Cloud 專案編號,這些都是營運、支援和帳單所需的資訊。
  • 發出要求的伺服器、服務或裝置 IP 位址。請注意,如果是 API,傳送至 Google 地圖平台的 IP 位址,將取決於應用程式/解決方案中導入 API 叫用程序的方式。如果是 SDK,系統會記錄進行叫用的裝置 IP 位址。
  • 要求網址,內含 API 以及要傳遞至該 API 的參數。舉例來說,Geocoding API 需要兩個參數 (位址和 API 金鑰)。此外,地理編碼也有幾個自選參數。要求網址會包含傳遞至服務的所有參數。
  • 要求的日期和時間
  • 網頁應用程式會記錄要求標頭,通常內含網路瀏覽器和作業系統的類型等資料。
  • 使用 SDK 的行動應用程式會記錄 Google Play 版本、媒體庫和應用程式名稱。

Google 地圖平台記錄存取權

記錄的存取權受到嚴格限制,只有具有正當業務需求的特定團隊成員才能獲得授權。對記錄檔的每個存取要求都會進行記錄供稽核之用,且會透過 Google 的 ISO 27001 和 SOC 2 第三方稽核進行驗證。

資料使用

Google 地圖平台所收集的資料會用於下列用途:

  • 改善 Google 產品和服務
  • 為客戶提供技術支援
  • 營運監控和警示
  • 維護平台安全
  • 平台容量規劃

請注意,如《Google 隱私權政策》所述,Google 地圖平台絕不會將使用者作業資料傳送至第三方。

資料保留和去識別化

Google 地圖平台記錄收集到資料後的保留時間長短不一,視乎業務需求而定,收集資料時也必須遵守 Google 的資料去識別化和遮蓋相關政策。只要可行,系統就會自動針對 IP 位址進行去識別化 (刪除 IP 位址的一部分)。記錄中經過去識別化的匯總使用統計資料,可能會無限期保留。

安全、產業、高可用性和環保認證與稽核

ISO 27001

國際標準組織 (ISO) 是獨立的非政府國際組織,旗下國際會員有 163 個國家級標準機構。ISO/IEC 27000 系列標準可協助機構確保資訊資產的安全。

ISO/IEC 27001 概述及提供關於資訊安全管理系統 (ISMS) 的規定,同時指定一組最佳做法,並詳細說明有助於管理資訊風險的安全控管措施。

Google 地圖平台和 Google 通用基礎架構已通過 ISO/IEC 27001 認證。27001 標準並未規定具體的資安控管措施,但 Google 可透過列於其中的架構和控管措施檢查清單,持續全面改善安全管理模式。

如要下載和查看 Google 地圖平台 ISO 27001 認證,請前往 Google 法規遵循報告管理員

SOC 2 Type II

SOC 2 報告是根據美國會計師協會 (AICPA) 審計準則委員會現有的信託服務準則 (TSC) 編制而成。此報告意在評估機構的資訊系統在安全性、可用性、處理完整性、機密性及隱私保護上,採行的相關控管措施。SOC 2 Type II 報告一年發布兩次,時間約在 6 月和 12 月。

如要下載和查看 Google 地圖平台 SOC 2 Type II 稽核報告,請前往 Google 法規遵循報告管理員

雲端安全聯盟 (CSA)

雲端安全聯盟 (12) 是一個非營利機構,宗旨為「推廣可保障雲端運算作業安全性的最佳做法,並讓使用者瞭解如何運用雲端運算服務來確保其他運算作業均安全無虞」。

CSA 的「安全性、信任與保證註冊資料庫計畫」(Security, Trust, and Assurance Registry Program,簡稱「CSA STAR」) 是一項三段式計畫,可透過自我評估、第三方稽核與持續監控等階段,協助客戶評估及選擇雲端服務供應商。

Google 地圖平台已取得第三方評估認證 (CSA STAR 第 1 階段:認證)

Google 不僅是 CSA 的贊助商,也是 CSA 國際標準化委員會 (International Standardization Council,簡稱「ISC」) 成員,以及 CSA GDPR 卓越中心的創始會員。

ISO 22301:2019

國際標準組織 (ISO) 是獨立的非政府國際組織,旗下國際會員有 163 個國家級標準機構。

ISO 22301:2019 是一項業務持續性管理國際標準,旨在協助機構實施、維護及改善管理系統,以防範服務中斷情形、做好準備,並在出現服務中斷情形時採取相應措施及從中復原。

經過獨立第三方稽核機構的審核之後,支援 Google 地圖平台產品的資料中心已通過 ISO 22301:2019 和 BS EN ISO 22301:2019 認證,確認符合標準。Google 資料中心符合這些標準,代表託管 Google 產品和服務的地點符合 ISO 22301:2019 和 BS EN ISO 22301:2019 定義的規範。

ISO 50001

國際標準組織 (ISO) 是獨立的非政府國際組織,旗下國際會員有 163 個國家級標準機構。

ISO 50001:2018 是能源管理國際標準,旨在協助機構實施、維護及改善管理系統,以整合能源管理作業與整體措施,進而提升品質和環境管理程序。

經過獨立第三方稽核機構的審核之後,Google 地圖平台所使用的 Google EMEA 資料中心已通過 ISO 50001:2018 認證,確認符合標準。Google 資料中心符合 ISO 50001:2018 的規定,代表託管 Google 產品和服務的位置範圍符合 ISO 50001:2018 定義的規範。

以下是全球合約承諾。

歐洲合約承諾

本節說明歐洲合約承諾。

歐盟一般資料保護規則 (GDPR)

一般資料保護規則》(GDPR) 是 2018 年 5 月 25 日上路的隱私權法規,取代 1995 年 10 月 24 日開始實施的個人資料保護指令 (95/46/EC)。對於設址於歐洲的商家和機構,或服務對象為歐洲使用者的商家和機構,GDPR 詳列了需要遵守的相關規定。Google 地圖平台支持優先考量並提升客戶個人資料安全與隱私保護的計畫,並希望 Google 地圖平台客戶能在 GDPR 的規定下放心使用 Google 服務。只要與 Google 地圖平台合作,我們會透過下列方式提供支援,協助您遵循 GDPR 法規:

  1. 在 Google 的合約中承諾遵守 GDPR,按照規範處理所有 Google 地圖平台服務中的個人資料
  2. 提供相關說明文件和資源,協助您評估 Google 服務在隱私保護方面的表現
  3. Google 會持續依據監管需求的變化改善各項功能

歐盟、歐洲經濟區、瑞士和英國適足性認定

誠如《Google 隱私權政策》所記載,歐盟執委會已認定歐洲經濟區境外的某些國家/地區為個人資訊提供充分的保障,也就是說,資料可以從歐盟、挪威、列支敦斯登和冰島傳輸至這些國家/地區。英國與瑞士已採取類似的適足性機制。

歐盟標準契約條款

歐盟執委會已發布新版歐盟標準契約條款,以此保護歐洲境內的資料。Google 已將這些標準契約條款納入 Google 地圖平台合約,以保護資料並遵守歐洲隱私權法規的規定。正如舊版標準契約條款,新版條文也有助於促進資料的合法傳輸。

英國資料保護法

2018 年資料保護法》是英國落實《一般資料保護規則》(GDPR) 的結果。「英國 GDPR」是指英國按照 2018 年《脫離歐盟法》的規定修訂後納入英國法律的歐盟 GDPR,同時也是根據該法案制定的適用次要法規。

瑞士聯邦資料保護法 (FDPA)

瑞士資料保護法》(正式名稱為《聯邦資料保護法》,簡稱「FADP」) 是一項資料保護法規,旨在保護資料處理時的個人隱私和基本人權。

非歐洲合約承諾

本節說明非歐洲合約承諾。

一般個人資料保護法 (LGPD)

《一般個人資料保護法》(Lei Geral de Proteção de Dados,簡稱「LGPD」) 是巴西新制定的資料隱私權法,主要規範設於巴西境內或服務巴西境內使用者的商家、機構等實體處理個人資料的方式。LGPD 現已生效,相關內容如下:

  • 規範商家和機構收集、使用及處理個人資料的方式
  • 補充或取代現有的聯邦產業隱私權法,藉此提高可靠度
  • 對未遵守法規的商家和機構處以罰金
  • 協助建立資料保護主管機關
  • 規範巴西境內收集而來的個人資料相關傳輸方式

Google 提供多項產品與解決方案,可供您用於 LGPD 法規遵循策略:

  • 具備安全與隱私保護功能,可協助您遵守 LGPD 的規定,並提高個人資料的保護與管理效率
  • 內建的服務與基礎架構可確保資料處理程序安全無虞,並實行合適的隱私權實務規範
  • Google 會持續依據監管需求的變化改善各項產品和功能

Google 地圖平台客戶必須評估自身處理個人資料的方式,並判斷是否受到 LGPD 規定的約束。網站中的內容不構成任何法律建議,因此如需貴機構適用的 LGPD 特定規定相關指引,建議您諮詢法律專家。

美國合約承諾

康乃狄克州資料隱私與網路監控法

康乃狄克州資料隱私與網路監控法》(《康乃狄克州公開法》第 22015 號) 已於 2023 年 1 月 1 日生效。詳情請參閱《Google 控管者與控管者資料保護條款》。

加州消費者隱私法 (CCPA)

《加州消費者隱私法》(CCPA) (12) 是資料隱私權法,旨在為加州消費者提供多項隱私權保障,包括存取、刪除和選擇不「出售」個人資訊的權利。自 2020 年 1 月 1 日起,收集加州居民個人資訊並達到特定門檻 (例如收益、資料處理量) 的商家需遵守這些義務。《加州隱私權法案》(CPRA) 是資料隱私權法,根據 CCPA 修訂及擴增,已於 2023 年 1 月 1 日生效。Google 致力於在自家服務與合約中,提供便利的工具以及完善的隱私與安全防護措施,協助客戶達成相關資料法規所賦予的義務。您可以在加州政府檢察署的網站中,找到 CCPA 所規定的商家責任相關資訊。詳情請參閱《Google 控管者與控管者資料保護條款》。

科羅拉多州隱私法 (CPA)

科羅拉多州隱私法》(《科羅拉多州修訂法》第 § 6-1-1301 節及後續條款) 已於 2023 年 1 月 1 日生效。這項法律確立個人資料隱私權,適用於從事商業或生產商業產品或服務,並專門以科羅拉多州居民為對象且符合下列任一條件的法人:

  • 控管或處理每年至少 100,000 名消費者的個人資料
  • 藉由販售個人資料賺取收益,並控管或處理至少 25,000 名消費者的個人資料

詳情請參閱《Google 控管者與控管者資料保護條款》。

猶他州消費者隱私保護法 (UCPA)

猶他州消費者隱私保護法》(《猶他州法案註釋》第 § 13-61-101 節及後續條款) 已於 2023 年 1 月 1 日生效。UCPA 適用於個人資料販售和指定目標廣告,內容說明屬於和不屬於販售的行為:「控管者將個人資料提供給第三方,以換取金錢」。

詳情請參閱《Google 控管者與控管者資料保護條款》。

維吉尼亞州消費者資料保護法 (VCDPA)

《維吉尼亞州消費者資料保護法》(VCDPA) 已於 2023 年 1 月 1 日生效。對於商家在這項法律所列出的情況下收集個人資料,維吉尼亞州居民依法可享有某些權利。

詳情請參閱《Google 控管者與控管者資料保護條款》。

摘要

安全是 Google 所有基礎架構、產品和營運的主要設計標準。Google 的營運規模以及與安全研究社群的合作關係,讓我們得以快速修復安全漏洞,且往往能達到徹底防範之效。Google 經營搜尋、YouTube 和 Gmail 等自家服務時使用的基礎架構,與提供給客戶的如出一轍,因此他們能直接受惠於 Google 的安全控管措施和做法。

Google 認為本身可提供的防護水準,只有少數公有雲服務供應商或私人企業 IT 團隊能夠媲美。保護資料是 Google 業務的核心,因此我們願意在安全性、資源和專業領域大規模投入大量資金,其他公司無法實現這一點。有了 Google 在這方面的投資,您就能將注意力放在業務和創新。我們會持續投資改善自家平台,讓您能在安全且透明的環境下,盡情使用各項 Google 服務。