איך Google מגינה על האבטחה והפרטיות בארגון שלכם

הרבה מהשאלות הנפוצות על Google בכלל ועל Google Cloud בפרט עוסקות בנושאי אבטחה ופרטיות. אנחנו מתייחסים לשני הנושאים האלה ברצינות רבה, ולכן בכל הכלים שלנו אתם יכולים לבחור איך יעובדו הנתונים בארגון שלכם. אמון הלקוחות הוא הכוח המניע של העסק שלנו: אמון ביכולת שלנו לאבטח את הנתונים כראוי, אמון במחויבות שלנו לכבד את פרטיות המידע ששמור אצלנו, ואמון בכלים שמאפשרים ללקוחות לנהל את המידע שלהם.

במאמר איך Google מטפלת בנתונים שלכם אתם יכולים לקרוא מידע נוסף על העמדה של Google בנושאי אמינות, פרטיות ואבטחה. אם יש לכם שאלות לגבי Google Cloud, אתם יכולים גם להיעזר בשאלות הנפוצות בנושאים הבאים:

אם זיהיתם מקרה של ניצול לרעה של Google, דווחו עליו לצוות שלנו.

שאלות נפוצות

בתור אדמין, מה המשמעות של ביקורת SOC 2/3 של Google Cloud?

שירותי Google Cloud קיבלו את הציון הגבוה ביותר ממבקר בלתי-תלוי של צד שלישי בביקורת תקן SOC 2/3. אנחנו גאים לומר שהאדמינים של Google Cloud יכולים לישון בשקט, כי הם יודעים שהנתונים שלהם מאובטחים בהתאם לתקן SOC 2/3. כאן יש מידע נוסף על דוח SOC3 שמפורסם בפומבי. ב-Cloud Compliance Reports Manager אפשר לקבל עותק של דוח SOC 2.

המבקר אישר שב-Google Cloud קיימים אמצעי הבקרה והפרוטוקולים הבאים:

  • אבטחה לוגית: אמצעי בקרה שמספקים רמה מתקבלת על הדעת של ביטחון שרק אנשים מורשים יכולים להשתמש בגישה הלוגית למערכות הייצור ולנתונים של Google Cloud
  • פרטיות: אמצעי בקרה שמספקים רמה מתקבלת על הדעת של ביטחון ש-Google מיישמת מדיניות והליכים לשמירה על הפרטיות של נתוני הלקוחות שקשורים ל-Google Cloud
  • אבטחה פיזית של מרכזי הנתונים: אמצעי בקרה שמספקים רמה מתקבלת על הדעת של ביטחון שמרכזי הנתונים ומשרדי הארגון של Google Cloud מוגנים ומאובטחים
  • ניהול אירועי אבטחה וזמינות השירות: אמצעי בקרה שמספקים רמה מתקבלת על הדעת של ביטחון שהמערכות של Google Cloud הן יתירות ושאירועים מדווחים כראוי, מקבלים מענה הולם ומתועדים
  • ניהול שינויים: אמצעי בקרה שמספקים רמה מתקבלת על הדעת של ביטחון שהפיתוח של Google Cloud והשינויים שמבוצעים בשירות עוברים בדיקות ובקרות בלתי תלויות לפני ההפצה
  • ארגון וניהול: אמצעי בקרה שמספקים רמה מתקבלת על הדעת של ביטחון שההנהלה דואגת לתשתית ולמנגנונים שדרושים למעקב ודיווח על יוזמות בתוך החברה שמשפיעות על Google Cloud

איך שירות Google Cloud עומד בדרישות General Data Protection Regulation (התקנות הכלליות להגנה על מידע, GDPR) של האיחוד האירופי?

תקנות GDPR מחליפות את הדירקטיבה האירופית להגנה על נתונים משנת 1995. הן מחזקות את הזכויות של אנשים פרטיים לגבי הנתונים האישיים שלהם, ונועדו לאחד את חוקי הגנת הנתונים בכל רחבי אירופה, בלי קשר למקום שהנתונים מעובדים בו.

‫Google מחויבת לעמידה בדרישות GDPR ב-Google Cloud. בנוסף, אנחנו מחויבים לעזור ללקוחות שלנו לעמוד בדרישות החדשות, ולכן לאורך השנים הוספנו למוצרים ולהסכמי השירות שלנו אמצעים חזקים לאבטחה ולשמירה על פרטיות.

כנאמני מידע, אתם נדרשים בין היתר לעבוד רק עם מעבדי מידע שנוקטים אמצעים טכניים וארגוניים מתאימים לעמידה בדרישות ה-GDPR.

ההתחייבות שלנו לפרטיות הלקוחות מתוארת בבירור בתנאים לעיבוד מידע (DPT). במשך השנים פיתחנו את התנאים בהתאם למשוב מלקוחות ומסוכנויות רגולטוריות, וכן עדכנו אותם לפי השינויים ב-GDPR.

למידע נוסף, היכנסו לאתר שלנו בנושא GDPR.

אפשר לקבל מ-Google התחייבות חוזית לכך שהיא תעמוד בדרישות ה-GDPR?

תקנות ה-GDPR יחולו ישירות על מעבדי מידע (לדוגמה, ספקים של שירותי ענן (CSP) כמו Google) בלי קשר להתחייבויות החוזיות בהקשר הזה. ‫Google מחויבת לעמוד בתנאים של ה-GDPR וגם לעזור ללקוחות לעמוד בתנאים האלה. כדי להתאים את עצמכם לדרישות של ה-GDPR במהלך השימוש בשירותי Google Cloud, אתם יכולים להיעזר בתיקון לעיבוד נתונים שמעודכן בהתאם לתקנות האלה.

איך מביעים הסכמה לתיקון לעיבוד נתונים?

כאן מתואר תהליך ההסכמה אונליין לתיקון לעיבוד נתונים.

איפה Google מאחסנת את הנתונים שלי?

התשתית של Google מחולקת באופן אסטרטגי בין כמה מרכזי נתונים ברחבי העולם. חשוב לציין שחלק ממאגרי הנתונים נמצאים במדינות מחוץ לאזור הכלכלי האירופי (EEA). נוסף לכך, התמיכה של Google Cloud עובדת מסביב לשעון כדי לספק לכם שירותים במהירות וביעילות ברחבי העולם, וחלק ממרכזי התמיכה נמצאים מחוץ לאזור הכלכלי האירופי. לכן אנחנו לא יכולים לומר באיזה מרכז הנתונים שלכם מאוחסנים.

האם אפשר להשתמש במערכת האימות של הארגון שלי כדי להעניק למשתמשים גישה לשירותי Google Cloud?

טכנולוגיה מאובטחת של כניסה יחידה (SSO) מאפשרת לעובדים שיש להם חשבון Google להתחבר פעם אחת ולגשת למגוון תוכנות כשירות (SaaS) ואפליקציות של הארגון גם במחשב וגם בנייד. אנחנו תומכים בספק זהויות שמבוסס על טכנולוגיית OpenID Connect ‏(OIDC) והוא תואם להרבה אפליקציות SaaS שנמכרות ב-Google Workspace Marketplace. הספק הזה תומך בתקן Security Assertion Markup Language ‏(SAML) 2.0 כך שהוא מאפשר להשתמש באותה כניסה יחידה כדי להתחבר גם לתוכנות של הרבה מספקי ה-SaaS הפופולריים. אנחנו גם מאפשרים לאדמינים לשלב כניסה יחידה בתקן SAML בעוד מגוון אפליקציות, לפי הצרכים שלהם. כל ארגון יכול לבצע את ההטמעה בעצמו או לעבוד עם שותף של Google.

איך נוצרות הסיסמאות לחשבונות המשתמש ב-Google Cloud?

כדי ליצור סיסמאות לחשבונות משתמש חדשים, Google משתמשת בתבנית משולבת של סמלים, אותיות גדולות וקטנות ומספרים. הסיסמה תכלול יותר ממספר התווים המינימלי שנדרש (שמונה תווים) או ממספר התווים המינימלי שהגדרתם בדומיין שלכם, הגדול מביניהם.

אדמין או משתמש קצה מחקו כמה הודעות אימייל. איך אפשר לשחזר אותן?

אחרי שאדמין או משתמש קצה מוחקים נתונים ב-Google Cloud, אנחנו מוחקים אותם בהתאם להסכם הלקוח שלכם ומדיניות הפרטיות שלנו.

אי אפשר לשחזר חשבון משתמש אחרי שאדמין מוחק אותו. במרכז העזרה יש הסבר על שיטות מומלצות למחיקת משתמשים.

אם אתם צריכים לשחזר הודעת אימייל, אתם יכולים להשתמש במוצרי ארכיון נוספים (Google Vault) של Google שמשלימים את מהדורות Business ו-Enterprise ב-Google Workspace. לגבי מוצרים שלא כלולים בפתרונות השחזור של Google Vault, אתם יכולים לפנות אל Google Workspace Marketplace, ולאחד מהשותפים שלנו אולי יהיה פתרון שמתאים לצרכים שלכם.

איך Google עוזרת למנוע פישינג?

לפעמים מפיצי ספאם מזייפים את כתובת השולח באימייל כך שנדמה שההודעה מגיעה מדומיין של ארגון מוכר. ההתנהגות הזאת מכונה פישינג, ובדרך כלל המטרה שלה היא לאסוף מידע אישי רגיש. כדי לעזור במניעת פישינג, Google משתמשת בפרוטוקול DMARC לאימות, דיווח והתאמה של הודעות, שמאפשר לבעלי הדומיינים לומר לספקי האימייל איך לטפל בהודעות לא מאומתות מהדומיין שלהם. לקוחות Google Cloud יכולים להטמיע את הפרוטוקול באמצעות יצירה של רשומת DMARC בהגדרות האדמין והטמעה של רשומת SPF ומפתחות DKIM בכל מקורות האימייל.

איך Google מגיבה אם משתמשים שולחים ספאם מהדומיין שלי?

בהתאם למדיניות השימוש המקובל:

  • אם Google מזהה שמשתמש שולח ספאם באימייל של Google Workspace, היא שומרת לעצמה את הזכות להשעות אותו באופן מיידי.
  • אם הספאם נשלח ברמת הדומיין, אנחנו שומרים לעצמנו את הזכות להשעות את כל החשבון ולמנוע מהאדמין לגשת לכל השירותים של Google Cloud.

למי יש גישה לחשבון האדמין שלי ב-Google Cloud?

רק הבעלים והמנהלים של שם הדומיין יכולים ליצור חשבון אדמין ב-Google Cloud. במועד ההרשמה, אדמינים של Google Cloud מתבקשים לאמת את השליטה על הדומיין באמצעות שינוי רשומות ה-DNS. בלי האימות, Google לא מאפשרת פתיחה של חשבון אדמין. אי אפשר לנהל בפועל אף אחד מהשירותים של Google לדומיין לפני האימות של הבעלות על הדומיין.

אחרי אימות של הבעלות, אפשר לתת הרשאת אדמין לשמות משתמשים אחרים בחשבון על פי שיקול הדעת של כל אדמין.

בנוסף, משתמשים בלי הרשאת אדמין בדומיין יכולים לפנות לצוות התמיכה כדי לבקש את ההרשאה. במצב כזה, נבצע תהליך רגיל של אימות הדומיין כדי לוודא ששולח הבקשה יכול לקבל הרשאת אדמין בדומיין.

כמו כן, משתמשים שיש להם גישה לכתובת האימייל המשנית הרשומה יכולים להפעיל איפוס סיסמה ולגשת לחשבון האדמין הראשי.

לאילו משתמשים יש גישה לחשבונות של משתמשים אחרים?

בהתאם להסכם הלקוח, אדמינים של Google Cloud בדומיין יכולים לגשת לכל חשבונות המשתמש ולנתונים שמשויכים להם, כמו שמתואר במדיניות הפרטיות שלנו.

כמנהלי דומיין אתם יכולים לנהל את שמות המשתמשים והסיסמאות ולגשת לחשבונות המשתמשים, אבל אנחנו דורשים שהמדיניות שלכם בנושא תהיה ידועה להם.

במקרה של הפרת המדיניות בנושא ספאם, נשלח הודעה לכתובת האימייל המשנית הרשומה.