Google 如何保護貴組織的安全與隱私權

一般而言,安全性與隱私權是客戶對 Google 最關心的兩大議題,對 Google Cloud 更是如此。我們極為重視這兩項需求,並提供相關工具,讓客戶能根據組織需求控管資料的處理方式。客戶的信任是我們經營的根本,這份信任源於我們保障資料安全的能力、對系統中資訊隱私的承諾,以及我們提供的客戶資訊控管工具。

如要進一步瞭解 Google 對於可靠性、隱私權和安全性的立場,請參閱 Google 如何處理您的資料。如有 Google Cloud 相關問題,請參考下列常見問題解答:

如果在 Google 服務中發現濫用行為,請向我們團隊回報

常見問題

身為管理員,Google Cloud SOC 2/3 稽核對我有什麼影響?

Google Cloud 已通過獨立第三方稽核,獲得無保留意見的「服務組織控制」(SOC) 2/3 稽核報告。Google 確保所有資料處理皆符合 SOC 2/3 稽核業界標準,讓管理員能安心使用,我們對此引以為榮。進一步瞭解 SOC 3 公開報告。您可以在 Cloud 法規遵循報告管理員中,取得我們 SOC 2 報告的副本。

獨立第三方稽核機構認證,Google Cloud 具備下列控管機制與作業規範:

  • 邏輯安全:控管機制可合理確保,只有獲得授權的人員才能進入 Google Cloud 正規作業系統並存取資料
  • 隱私權:控管機制可合理確保,Google 現行政策與程序能保障 Google Cloud 相關客戶資料的隱私權
  • 資料中心實體安全:控管機制可合理確保,儲存 Google Cloud 資料的資料中心,以及本公司的辦公據點,皆採取防護措施
  • 事件管理與服務機能:控管機制可合理確保,Google Cloud 系統具有備援設施,所有事件均會妥善回報、回應及記錄
  • 變更管理:控管機制可合理確保,Google Cloud 服務在開發和更改後必須經過測試和獨立的程式碼審查,才能納入作業系統
  • 組織與管理:控管機制可合理確保,管理層透過完善的制度與機制,追蹤並傳達公司內部影響 Google Cloud 的計畫

Google Cloud 如何遵守歐盟《一般資料保護規則》(GDPR) 的規定?

歐盟《一般資料保護規則》(GDPR) 已取代 1995 年制定的《資料保護指令》。GDPR 可強化個別使用者對自身個人資料的權利。除此之外,GDPR 也有助於統合歐洲各個國家/地區的資料保護法規,確保資料無論在何處處理,都將適用相同的規定。

Google 致力於確保 Google Cloud 符合 GDPR 規定,請放心。多年來,我們也在各式服務與合約中納入完善的隱私權及安全性保護機制,並透過這些保護機制,盡可能協助客戶時刻遵守 GDPR 規範。

GDPR 規定,資料控管者所選用的資料處理者,必須能充分保證落實適當的技術與組織控管措施,確保資料處理符合規範。

我們的《資料處理條款》清楚載明了對客戶隱私權的承諾。多年來,我們一直根據客戶與監管機構的意見完善條款內容,並配合 GDPR 修訂部分條款。

詳情請造訪我們的 GDPR 網站

Google 可以提供遵守 GDPR 的合約承諾嗎?

GDPR 對資料處理者 (例如 Google 這類雲端服務供應商) 具有直接約束力,不受合約是否明文承諾影響。Google 致力於遵守 GDPR,並協助客戶遵循 GDPR 法規要求。請參閱我們根據 GDPR 更新的《資料處理修訂條款》,以便您在使用 Google Cloud 服務時評估法規遵循情形,為遵守 GDPR 做足準備。

如何選擇接受《資料處理修訂條款》?

如要接受《資料處理修訂條款》,請依這篇文章所述的線上程序操作。

Google 將我的資料儲存在何處?

Google 的基礎設施策略性地分布於全球多個資料中心,在此特別說明,其中部分設施位於歐洲經濟區 (EEA) 以外的國家/地區。此外,為確保能在世界各地靈活且有效率地提供各項服務,Google Cloud 提供全年無休的支援服務,且部分支援中心位於歐洲經濟區外。基於上述原因,我們無法確切告知您哪個資料中心儲存著您的資料。

我們能不能使用內部驗證系統,讓使用者存取 Google Cloud 服務?

Google 提供安全的單一登入 (SSO) 機制,員工無論使用電腦或行動裝置,都能透過 Google 帳戶輕鬆存取各種軟體即服務 (SaaS) 與自訂應用程式。我們的系統支援 OpenID Connect (OIDC) 識別資訊提供者 (IdP),可搭配 Google Workspace Marketplace 中的多種 SaaS 應用程式使用,也支援許多主流 SaaS 供應商採用的安全宣告標記語言 (SAML) 2.0。此外,管理員可以輕鬆整合新的自訂 SAML 應用程式。各組織可自行整合,也可以與 Google 合作夥伴合力完成。

Google 如何產生 Google Cloud 使用者帳戶的密碼?

Google 會混合使用符號、大小寫字母和數字,產生新使用者帳戶的密碼。密碼長度至少要有 8 個半形字元;若您為網域設定的最短長度更長,則以您設定的長度為準。

管理員/使用者刪除了一些電子郵件,怎樣還原這些郵件?

管理員或使用者一旦刪除 Google Cloud 服務中的任何資料,Google 即會根據《客戶協議》和《隱私權政策》中的規定,從系統中刪除這些資料。

管理員將使用者帳戶刪除後,無人可再還原其中的資料。如需刪除使用者的最佳做法,請前往說明中心

如需復原電子郵件訊息,Google 提供保管箱等其他封存產品,可搭配 Google Workspace 的 Business 和 Enterprise 系列版本使用。對於 Google 保管箱復原解決方案不支援的產品,建議前往 Google Workspace Marketplace 查詢,合作夥伴或許能提供符合您需求的解決方案。

Google 如何防範網路釣魚?

垃圾訊息散布者有時會偽造「寄件者」地址,將郵件偽裝成來自可信組織的網域。這種行為稱為「網路釣魚」,通常是為了蒐集機密資料。為了防範網路釣魚,Google 加入了「網域型郵件驗證、報告與一致性」(DMARC) 計畫;透過此機制,網域擁有者可指示電子郵件服務供應商,如何處理來自其網域但未經驗證的郵件。Google Cloud 客戶只要在管理員設定中建立 DMARC 記錄,並針對所有外寄郵件串設定 SPF 記錄與 DKIM 金鑰,即可落實防護。

我的網域使用者寄送垃圾郵件時,Google 會如何處理?

使用限制政策》規定:

  • 如果 Google 發現某位 Google Workspace 電子郵件使用者寄送垃圾郵件,我們有權立即將此人停權。
  • 如果整個網域都在發送垃圾郵件,我們有權將整個帳戶停權,並禁止管理員使用任何 Google Cloud 服務。

哪些使用者可以存取我的 Google Cloud 管理員帳戶?

只有網域名稱的擁有者和管理員才能建立 Google Cloud 管理權限帳戶。Google Cloud 管理員申請這類帳戶時,必須變更網域名稱系統 (DNS) 記錄,才能驗證網域的控制權。如果沒有經過驗證,Google 就不會准許設立管理權限帳戶。網域管理員必須先完成網域擁有權的驗證程序,才能主動管理網域的所有 Google 服務。

完成驗證後,任何管理員都可自行斟酌,將管理員權限授予帳戶中的其他使用者。

網域中的非管理員使用者也可以聯繫支援團隊,要求授予管理員權限。為確保申請者擁有網域管理權限,我們會要求進行一般的網域驗證程序。

最後請注意,任何人只要能存取您註冊的次要電子郵件地址,就能透過重設密碼取得主要管理員帳戶的權限。

哪些使用者可以存取其他使用者的帳戶?

根據您網域的《客戶協議》,網域的 Google Cloud 管理員可以存取所有使用者帳戶和相關資料,詳情請參閱《隱私權政策》。

身為網域管理員,您可以管理全網域的使用者名稱和密碼,還可以根據《客戶協議》存取使用者帳戶。不過,您必須向使用者公開說明相關存取政策。

如有違反垃圾郵件規範的情形,我們會透過註冊的次要電子郵件地址發送通知。