Preguntas frecuentes sobre la encriptación del cliente

Para obtener detalles sobre la encriptación predeterminada de Google, visita el sitio de Google Cloud.

Para obtener más detalles sobre la encriptación estándar de Gmail, consulta Encriptación en tránsito en el Centro de ayuda de Gmail.

Con la encriptación de extremo a extremo (E2EE), la encriptación y la desencriptación siempre se producen en los dispositivos de origen y destino (por ejemplo, en teléfonos celulares para la mensajería instantánea). Las claves de encriptación se generan en el cliente, por lo que, como administrador, no tienes control sobre las claves de los clientes ni sobre quién puede usarlas. Además, no puedes ver qué contenido encriptaron los usuarios.

Con la encriptación del cliente (CSE), la encriptación y la desencriptación también siempre se producen en los dispositivos de origen y destino, que en este caso son los navegadores de los clientes. Sin embargo, con la CSE, los clientes usan claves de encriptación que se generan y almacenan en un servicio de administración de claves basado en la nube, por lo que puedes controlar las claves y quién tiene acceso a ellas. Por ejemplo, puedes revocar el acceso de un usuario a las claves, incluso si ese usuario las generó. Además, con la CSE, puedes supervisar los archivos encriptados de los usuarios.

Los usuarios pueden elegir una opción en los servicios compatibles para activar la CSE. Para obtener más información sobre cómo los usuarios pueden activar la CSE en apps para la Web y dispositivos móviles, consulta Descripción general de la experiencia del usuario de la encriptación del cliente.

Sí, algunas funciones de los servicios de Google no están disponibles cuando la CSE está activada. Para obtener más información, consulta Descripción general de la experiencia del usuario de la encriptación del cliente.

Una clave de encriptación se usa para transformar los datos en un formato ilegible para que parezcan aleatorios. Esto mantiene la privacidad de los datos para cualquier persona o elemento que no esté aprobado para leerlos. Para leer datos encriptados, una persona o aplicación necesita una clave para volver a convertir los datos a su formato original.

Para usar claves de encriptación y agregar una capa de encriptación a los datos de Google Workspace de tu organización, debes usar un servicio de administración de claves que se asocie con Google o crear tu propio servicio de claves con la API de CSE de Google. Como alternativa, solo para Gmail, puedes usar la encriptación con claves de hardware, en la que la clave de encriptación de un usuario reside en una tarjeta inteligente.

Google se asoció con varios servicios de administración de claves para usarlos con la CSE. Para obtener una lista de los servicios, consulta Configura tu servicio de claves para la encriptación del cliente.

No, deberás usar un servicio de administración de claves externo para configurar la encriptación del cliente de Google Workspace. Con la CSE, controlas tus propias claves de encriptación, y Google no puede acceder a ellas para desencriptar tus datos.

Sí, puedes usar más de un servicio de claves y elegir qué servicio usar para una unidad organizativa o un grupo. También puedes migrar contenido encriptado de un servicio a otro.

Nota: En la Consola del administrador, puedes configurar un solo servicio de claves para la encriptación del cliente de Gmail. Obtén información sobre otras opciones para administrar claves en la API de encriptación del cliente de Google Workspace .

Sí, si tu organización usa tarjetas inteligentes para acceder a instalaciones y sistemas, puedes configurar la encriptación con claves de hardware para la CSE de Gmail. Requiere tener el complemento Assured Controls o Assured Controls Plus. Los usuarios pueden usar sus tarjetas inteligentes, que contienen su clave de encriptación privada, para encriptar sus mensajes de correo electrónico. Para obtener más información, consulta Solo Gmail: Configura y administra la encriptación con claves de hardware para la encriptación del cliente.

Sí, puedes configurar un servicio de claves y claves de encriptación de hardware para la CSE de Gmail. Requiere tener el complemento Assured Controls o Assured Controls Plus. También asignas el servicio de claves y la encriptación con claves de hardware a los mismos usuarios. Sin embargo, un usuario solo puede usar un tipo de encriptación para Gmail, que depende de cómo configures su clave de encriptación privada para Gmail. Para obtener más información, consulta Solo Gmail: Configura certificados S/MIME para la encriptación del cliente.

Sí, puedes cambiar a un servicio de claves diferente. Si lo haces, es una práctica recomendada migrar el contenido encriptado con tu servicio de claves actual al nuevo servicio. Para obtener más información, consulta Si quieres cambiar a un nuevo servicio de claves.

Administras la lista de control de acceso (LCA) de claves para las claves de encriptación a través de tu servicio de claves externo. Tu LCA debe incluir a todos los usuarios que necesiten encriptar o desencriptar (ver o editar) contenido. Comunícate con tu proveedor de encriptación para obtener más información.

Además, debes activar la CSE para los usuarios que necesiten encriptar datos. Para obtener más información, consulta Activa o desactiva la encriptación del cliente para los usuarios.

En el caso de Gmail, Google Drive y Google Calendar, puedes especificar que la CSE esté activada de forma predeterminada para unidades organizativas específicas. Requiere tener el complemento Assured Controls o Assured Controls Plus.

Si especificas que la CSE está activada de forma predeterminada, los usuarios aún pueden desactivarla si es necesario.

Para obtener más información, consulta Activa o desactiva la encriptación del cliente para los usuarios.

No necesitas configurar la CSE específicamente para unidades compartidas. El servicio de claves externo que configuraste en la Consola del administrador funciona para los archivos de Mi unidad y las unidades compartidas.

Si tienes un problema con la configuración de la CSE, consulta Cómo ver los detalles de las alertas para obtener más información.

Sí. Consulta Cómo migrar mensajes a Gmail como correos electrónicos encriptados del cliente.

Sí. Consulta Cómo proporcionar acceso externo al contenido encriptado del cliente.

Puedes migrar archivos encriptados del cliente a un nuevo servicio de claves. Para obtener más información, consulta Si quieres cambiar a un nuevo servicio de claves.

Sí, puedes quitar la encriptación del cliente de un documento, una hoja de cálculo o una presentación de Google. Para obtener más información, consulta Cómo quitar la encriptación de un documento.

Para desencriptar los archivos de CSE que exportas con la herramienta de exportación de datos o Google Vault, puedes usar el desencriptador, una utilidad de línea de comandos. Para obtener más información, consulta Cómo desencriptar archivos encriptados del cliente exportados.

Sí, si tu edición de Google Workspace tiene Google Vault, puedes retener, buscar y exportar archivos de Drive y correos electrónicos de Gmail encriptados del cliente en Vault.

Para obtener más información, consulta el Centro de ayuda de Google Vault.

• En el caso del contenido del cuerpo encriptado del cliente en Documentos y Presentaciones de Google, los modelos de aprendizaje automático en el dispositivo proporcionan la función de revisión ortográfica, que preserva la confidencialidad de los datos del documento.
• En el caso de Gmail y los comentarios en Documentos de Google, el navegador proporciona la función de revisión ortográfica.

  Si tu organización usa Google Chrome: Asegúrate de que los usuarios de la CSE no usen la Revisión ortográfica mejorada de Chrome, ya que esta opción envía datos a Google. En cambio, los usuarios de la CSE pueden usar la Revisión ortográfica básica de Chrome, que no envía datos a Google. Para obtener más información, consulta Activa o desactiva la revisión ortográfica de Chrome. Si usas el navegador Chrome administrado, puedes crear una política para inhabilitar la revisión ortográfica para los usuarios de la CSE, que desactiva la Revisión ortográfica mejorada , pero no la Revisión ortográfica básica. Para obtener más información, consulta Cómo configurar políticas de Chrome para usuarios o navegadores.

Sí, puedes convertir archivos de Hojas de cálculo de Google exportados y desencriptados en archivos de Microsoft Excel. Para obtener más información, consulta Cómo convertir archivos de Google exportados y desencriptados en archivos de Microsoft Office.

Los archivos y correos electrónicos encriptados del cliente no se analizan en busca de phishing y software malicioso, ya que los servidores de Google no tienen acceso al contenido.

Los análisis de prevención de pérdida de datos (DLP) no pueden acceder al contenido encriptado del cliente en archivos o correos electrónicos. Sin embargo, puedes crear reglas de DLP para lo siguiente:

• Analizar los metadatos no encriptados de los archivos de Drive, como el título del archivo y las etiquetas de Drive. Esto puede ayudar a evitar filtraciones de datos sensibles.
• Analizar los archivos de Drive para determinar si están encriptados del cliente o no. Para ello, elige la condición de regla Estado de encriptación del archivo > Es > Encriptado del cliente o No encriptado del cliente.

Para obtener detalles sobre la creación de reglas de DLP para Drive, consulta Crea reglas y detectores de contenido personalizados de DLP para Drive.

Si cambias a los usuarios a una licencia de Google Workspace que no incluye la CSE, podrán acceder a cualquier elemento encriptado del cliente, como archivos y correos electrónicos, y editarlos. Sin embargo, no podrán crear elementos encriptados del cliente nuevos.

Si quieres dejar de usar la CSE y desencriptar elementos como archivos y correos electrónicos, primero debes exportarlos con la herramienta de exportación de datos Data Export tool. Luego, usa la utilidad de desencriptador para quitar la CSE.