Confianza y seguridad de Google Workspace
La protección de sus datos es nuestra máxima prioridad.
La protección de sus datos es nuestra máxima prioridad.
Google nació en la nube y aún opera allí, por lo que comprendemos completamente las implicaciones de seguridad que supone traspasar su empresa a la nube. Dado que Google y nuestros servicios empresariales usan la misma infraestructura, su organización se beneficiará de las protecciones que desarrollamos y utilizamos a diario. Nuestra sólida infraestructura global, junto con nuestros profesionales de seguridad exclusivos y nuestro afán por la innovación, permite que Google se mantenga a la vanguardia y ofrezca un entorno altamente seguro y confiable que cumple con todas las normas.
Google tiene experiencia y conocimientos líderes en el sector en relación con la creación de una infraestructura de nube segura y aplicaciones a gran escala. Si bien muchos proveedores pueden afirmar que ofrecen los mismos beneficios, creemos que nuestros clientes deben ser testigos conscientes de la seguridad y la privacidad, y que estos asuntos no deben abordarse a sus espaldas.
En Google, todos los empleados deben priorizar la seguridad. Google emplea muchos profesionales de seguridad y privacidad de tiempo completo, incluidos algunos de los mejores expertos del mundo en materia de seguridad de la información, las aplicaciones y las redes. A fin de garantizar la protección de Google, agregamos seguridad a todo nuestro proceso de programación de software. Por ejemplo, los profesionales de seguridad analizan las arquitecturas propuestas y revisan los códigos a fin de detectar vulnerabilidades de seguridad y comprender mejor los diferentes modelos de ataque que puede sufrir un producto o función nuevos. Cuando surge algún problema, el equipo de Administración de Incidentes exclusivo de Google Workspace tiene el compromiso de ofrecer respuestas rápidas, análisis y correcciones que garanticen que los incidentes se aborden con interrupciones mínimas para los clientes.
Las actividades de investigación y alcance que realiza Google protegen a toda la comunidad de usuarios de Internet y no solo a aquellos que eligen nuestras soluciones. Nuestro equipo de tiempo completo, conocido como Project Zero, se esfuerza por descubrir vulnerabilidades de alto impacto en los productos más populares de Google y otros proveedores. Tenemos el compromiso de hacer nuestro trabajo de forma transparente, como también de informar los errores directamente a los proveedores de software sin que interfiera ningún tercero.
La seguridad siempre ha sido una máxima prioridad para Google. Estas son algunas formas en que establecimos estándares más altos:
Google es el primer proveedor de nube importante en habilitar la confidencialidad directa total, que encripta el contenido a medida que circula por nuestros servidores y los de las demás empresas. Con la confidencialidad directa total, las claves privadas que se utilizan para las conexiones son efímeras, lo que, a su vez, impide la desencriptación retroactiva de las sesiones de HTTPS por parte de adversarios o incluso del operador del servidor. Muchas empresas del sector siguieron nuestro ejemplo o se comprometieron a adoptar este sistema en el futuro.
Todos los mensajes de correo electrónico que envía o recibe se encriptan mientras circulan entre los diferentes centros de datos de Google. Este proceso garantiza que sus mensajes estén protegidos no solo mientras se trasladan entre sus dispositivos y los servidores de Gmail, sino también mientras circulan internamente en Google. También fuimos los primeros en informar a los usuarios cada vez que sus correos electrónicos se enviaban de forma no segura entre diferentes proveedores mediante la introducción de nuestro indicador de TLS.
A fin de brindar protección contra los avances de criptoanálisis, en 2013 Google duplicó la longitud de sus claves de encriptación RSA a 2,048 bits y comenzó a modificarlas cada varias semanas, lo que eleva el nivel de exigencia para el resto del sector.
Google Workspace ofrece a los administradores control empresarial sobre la configuración del sistema y de las aplicaciones por medio de un panel que se puede utilizar para optimizar la autenticación, la protección de recursos y el control operativo. Use las funciones integradas de Cloud Identity para administrar a los usuarios y aplicar de manera forzosa la autenticación de varios factores y las llaves de seguridad a fin de lograr mayor protección. Puede elegir la edición de Google Workspace que mejor se adapte a las necesidades de seguridad de su organización.
La verificación en dos pasos reduce en gran medida el riesgo de acceso no autorizado, ya que solicita a los usuarios una prueba de identidad adicional cuando intentan acceder a sus cuentas. Nuestra llave de seguridad obligatoria ofrece otra capa de seguridad para las cuentas de usuario, ya que se requiere una llave física. Esta llave envía una firma encriptada y funciona únicamente con los sitios designados, por lo que representa una protección contra la suplantación de identidad (phishing). Los administradores de Google Workspace pueden implementar, supervisar y administrar fácilmente las llaves de seguridad a gran escala desde la Consola del administrador sin instalar ningún software adicional.
Utilizamos nuestras eficaces funciones de aprendizaje automático para detectar accesos sospechosos. Cuando descubrimos un acceso sospechoso, notificamos a los administradores a fin de que puedan tomar las medidas necesarias para garantizar la protección de las cuentas.
Gracias a la compatibilidad con el inicio de sesión único (SSO), Google Workspace habilita el acceso unificado a otras aplicaciones empresariales en la nube. Nuestro servicio de administración de identidades y accesos (IAM) permite que los administradores gestionen todas las credenciales de los usuarios y el acceso a las aplicaciones en la nube desde un solo lugar.
Google Workspace permite que los administradores establezcan reglas personalizadas que exijan que los mensajes de correo electrónico se firmen y se encripten con Extensiones de Correo de Internet de Propósitos Múltiples/Seguro (S/MIME). Estas reglas se pueden configurar de modo que se ejecute S/MIME cada vez que se detecte algún contenido específico en los mensajes de correo electrónico.
En función del modelo de seguridad de confianza cero y la implementación de BeyondCorp de Google, el acceso adaptado al contexto le permite proporcionar acceso seguro a los usuarios y mantener su productividad. Aplica de manera forzosa controles detallados y utiliza una única plataforma para sus aplicaciones locales y en la nube y para los recursos de infraestructura. Con el acceso adaptado al contexto, puede aplicar de manera forzosa controles de acceso detallados en las aplicaciones de Google Workspace en función de la identidad de un usuario y el contexto de la solicitud.
El Programa de protección avanzada de Google es nuestra solución de protección más sólida para quienes están expuestos a ataques en línea dirigidos. Con el Programa de protección avanzada para empresas, aplicaremos de manera forzosa un conjunto seleccionado de políticas de seguridad eficaces en las cuentas de los usuarios que se inscriban. Estas incluyen solicitar llaves de seguridad, bloquear el acceso a aplicaciones que no son de confianza y análisis mejorado de amenazas de correo electrónico.
Los administradores de Google Workspace pueden configurar una política de prevención de pérdida de datos (DLP) a fin de proteger la información sensible de Gmail y Drive. Para facilitar la configuración, proporcionamos una biblioteca de detectores de contenido predefinidos. Por ejemplo, una vez que la política de DLP se implementa, Gmail puede buscar información sensible en todos los correos electrónicos salientes y tomar medidas automáticamente a fin de impedir la filtración de datos, ya sea poner los mensajes en cuarentena para que se revisen, solicitar a los usuarios que modifiquen la información o bloquear el envío del correo electrónico y notificar al remitente. Dado que cuenta con reglas fáciles de configurar y reconocimiento óptico de caracteres (OCR) del contenido almacenado en imágenes, la DLP para Drive permite que los administradores auditen fácilmente los archivos con contenido sensible y configuren reglas que no solo adviertan a los usuarios, sino que impidan que compartan información confidencial de manera externa. Obtenga más información en nuestro Informe sobre DLP.
El aprendizaje automático permitió que Gmail alcanzara una precisión del 99.9% en la detección de spam y que bloqueara mensajes engañosos de spam y suplantación de identidad (phishing) que realmente podrían haberse confundido con correo electrónico deseado. En promedio, menos del 0.1% del correo electrónico que llega a la carpeta Recibidos de Gmail es spam. Además, el porcentaje de correo electrónico que se envía a la carpeta de spam por error es aún menor (menos del 0.05%).
Con el objetivo de detectar virus y evitar el software malicioso, Google analiza automáticamente todos los archivos adjuntos por medio de varios motores antes de que los usuarios los descarguen. Gmail incluso busca virus en los archivos adjuntos que están en fila para ser enviados. Este sistema protege a todos los usuarios de Gmail y ayuda a impedir la propagación de virus. Los archivos adjuntos que tienen ciertos formatos, como .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JS, .JSE, .LIB, .LNK, .MDE, .MSC, .MSI, .MSP, .MST, .NSH .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF y .WSH, se bloquean automáticamente, incluso cuando están incluidos en un archivo comprimido.
Google Workspace utiliza el aprendizaje automático en gran medida para proteger a los usuarios de los ataques de suplantación de identidad (phishing). Nuestros modelos de aprendizaje realizan análisis de similitudes entre los sitios de suplantación de identidad que se hayan clasificado anteriormente y nuevas URL no reconocidas. A medida que encontramos nuevos patrones, nos adaptamos con mayor velocidad de lo que podrían hacerlo los sistemas manuales. Asimismo, Google Workspace permite que los administradores apliquen el uso de llaves de seguridad de manera forzosa, lo que imposibilita la utilización de credenciales que se hayan visto vulneradas por ataques de suplantación de identidad.
A fin de impedir el abuso de su marca en los ataques de suplantación de identidad, Google Workspace sigue el estándar de DMARC, que permite que los propietarios de los dominios determinen la forma en que Gmail y otros proveedores de correo electrónico intervinientes deben manejar los mensajes no autenticados que se envían desde su dominio. Al definir una política, puede proteger no solo a los usuarios, sino también la reputación de su organización.
La administración de extremos completamente integrada de Google Workspace ofrece la supervisión continua del sistema y el envío de alertas ante cualquier actividad sospechosa en los dispositivos. Los administradores pueden aplicar de manera forzosa políticas de extremos, encriptar los datos de los dispositivos, bloquear los dispositivos móviles perdidos o robados, y limpiarlos de manera remota.
El centro de seguridad de Google Workspace proporciona una única vista integral de la estrategia de seguridad de su implementación de Google Workspace. Esta vista reúne estadísticas de seguridad, prácticas recomendadas y soluciones integradas que le permiten proteger los datos, los dispositivos y a los usuarios de su organización.
Como parte de nuestros controles de autenticación, los administradores pueden ver y controlar las aplicaciones de terceros que utilizan OAuth para la autenticación y el acceso a los datos empresariales. El acceso de OAuth se puede inhabilitar a un nivel detallado y, además, las aplicaciones de terceros que están aprobadas se pueden incluir en la lista blanca.
A fin de que los administradores conserven el control de los datos sensibles, ofrecemos la administración de derechos sobre la información (IRM) en Drive. Los administradores y los usuarios pueden inhabilitar las opciones para descargar, imprimir y copiar los archivos desde el menú de uso compartido avanzado, como también establecer fechas de vencimiento para el acceso a los archivos.
El Centro de alertas de Google Workspace ofrece a los administradores una nueva forma de ver notificaciones, alertas y acciones esenciales en Google Workspace. Las recomendaciones sobre estas posibles alertas pueden ayudarlos a evaluar la exposición de la organización a problemas de seguridad. Las soluciones integradas con el centro de seguridad ofrecen una forma optimizada de resolver estos problemas.
Muchas organizaciones aprovechan la potencia de nuestros centros de datos distribuidos para maximizar los beneficios importantes, como la latencia mínima y la sólida redundancia geográfica. Sin embargo, en el caso de organizaciones con requisitos de control estrictos, las regiones de datos de Google Workspace permiten elegir dónde se deben almacenar en reposo ciertos datos cubiertos, ya sea en Estados Unidos, en toda Europa o distribuidos de forma global.
Google diseñó Google Workspace de modo que pudiera satisfacer los estándares de seguridad y privacidad más estrictos en función de las recomendaciones del sector. Además de compromisos contractuales sólidos respecto a la propiedad, el uso, la seguridad, la transparencia y la responsabilidad en relación con los datos, le brindamos las herramientas que necesita para satisfacer sus requisitos de informe y cumplimiento.
Tanto los clientes como los reguladores de Google esperan que nuestros controles de seguridad, privacidad y cumplimiento se verifiquen de forma independiente. Para ello, nos sometemos a diversas auditorías independientes de terceros de manera habitual.
ISO/IEC 27001 es uno de los estándares de seguridad independientes más ampliamente aceptados y reconocidos. Google obtuvo la certificación ISO/IEC 27001 para los sistemas, tecnologías, procesos y centros de datos que utiliza Google Workspace. Consulte nuestro certificado ISO/IEC 27001.
ISO/IEC 27017 es un estándar internacional de práctica para los controles de seguridad de la información basado en ISO/IEC 27002, específicamente para los servicios en la nube. Ernst & Young CertifyPoint, un organismo de certificación ISO acreditado por el Consejo Holandés de Acreditación (miembro del Foro de Acreditación Internacional o IAF), certificó nuestro cumplimiento con el estándar internacional. Consulta nuestro certificado ISO/IEC 27017.
El cumplimiento de Google Workspace en lo que respecta a ISO/IEC 27018:2014 afirma nuestro compromiso con los estándares internacionales de privacidad y protección de los datos. Según los lineamientos de ISO/IEC 27018, debemos evitar que sus datos se utilicen con fines publicitarios, garantizar que los datos que ingresa en los servicios de Google Workspace continúen siendo de su propiedad, brindarle las herramientas necesarias para borrar y exportar sus datos, proteger su información de las solicitudes de terceros y ser transparentes con respecto al lugar en que se almacenan sus datos. Consulte nuestro certificado ISO/IEC 27018.
El marco de trabajo de auditoría de SOC (Controles de Organización de Servicios) 2 y SOC 3 del Instituto Estadounidense de Contadores Públicos Certificados (AICPA) depende de sus criterios y principios de confianza para la seguridad, la disponibilidad, la integridad del procesamiento y la confidencialidad. Google posee los informes de SOC 2 y SOC 3. Descargue nuestro informe de SOC 3.
Los productos de Google Workspace cumplen los requisitos del Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP). FedRAMP es el estándar de seguridad en la nube del gobierno de EE.UU. Las agencias federales autorizaron el uso de Google Workspace con los datos cuyo nivel de impacto se haya clasificado como "Moderado", como la Información Controlada No Clasificada y PII. Además, una evaluación determinó que Google Workspace se puede utilizar en conformidad con los Principios de Seguridad del Reino Unido para información "OFICIAL" (que abarca información "OFICIAL SENSIBLE"). Si desea obtener más detalles sobre el cumplimiento del producto y los servicios, visite la página de Servicios de Google de FedRAMP.
Los clientes de Google Workspace que necesitan cumplir con el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) pueden configurar una política de Prevención de pérdida de datos (PPD) que impida que se envíen desde Google Workspace correos electrónicos que contengan información de las tarjetas de pago. Con respecto a Drive, en la configuración de Vault, se puede establecer que se ejecuten auditorías y garantizar que no se almacenen los datos del titular de la tarjeta.
El FISC (Centro de Sistemas de Información de la Industria Financiera) es una fundación registrada de orden público que tiene la tarea de realizar investigaciones relacionadas con la tecnología, la utilización, el control y la defensa o amenaza de los sistemas de información financiera de Japón. Uno de los documentos clave de la organización se denomina "Lineamientos de seguridad del FISC en relación con los sistemas informáticos para bancos y otras instituciones financieras relacionadas", que describe los controles respecto a las instalaciones, las operaciones y la infraestructura técnica. Google desarrolló una guía que ayuda a los clientes a comprender la forma en que el entorno de control de Google se adapta a los lineamientos del FISC. La mayoría de los controles descritos en esta guía forman parte de nuestros programas de cumplimiento auditados por terceros, incluidas las certificaciones ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018. Consulte nuestra respuesta a los controles del FISC. Si desea obtener más información, comuníquese con el equipo de ventas.
Con el objetivo de regular la acreditación en España, la Entidad Nacional de Acreditación (ENAC) desarrolló el Esquema Nacional de Seguridad (ENS) en estrecha colaboración con el Ministerio de Hacienda y Administraciones Públicas y el Centro Criptológico Nacional (CCN). El ENS se estableció como parte del Real Decreto 3/2010 (modificado por el Decreto 951/2015) y sirve para fijar los principios y los requisitos necesarios para la adecuada protección de la información en las entidades del sector público español. Google Cloud (GCP y Google Workspace) reunió los requisitos necesarios para cumplir con el ENS a un nivel "Alto".
Google Workspace permite que los clientes cumplan con la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) de EE.UU., que rige la protección, el uso y la divulgación de la información de salud protegida (PHI). Los clientes que estén sujetos a la HIPAA y que deseen usar Google Workspace para el procesamiento o almacenamiento de PHI podrán firmar una enmienda de asociado comercial con Google. Consulte más detalles sobre el cumplimiento de la HIPAA con Google Workspace.
Google Workspace sigue las recomendaciones de protección de los datos del Grupo de trabajo del artículo 29 y mantiene el cumplimiento de las Cláusulas de Contrato Estándar de la UE por medio de nuestro Anexo de Procesamiento de Datos de Cloud, Divulgación de subprocesadores y Cláusulas de Contrato Estándar de la UE. Asimismo, Google mantiene el cumplimiento del Privacy Shield (Escudo de Privacidad) y permite la portabilidad de los datos, por lo que los administradores pueden exportar datos en formatos estándares sin ningún tipo de cargo adicional.
En Google Workspace, abogamos por las iniciativas que priorizan y optimizan la seguridad y la privacidad de los datos del usuario. Realizamos actualizaciones en nuestro Anexo de Procesamiento de Datos de Cloud para garantizar que los clientes de Google Workspace puedan usar nuestros servicios con confianza ahora que entró en vigencia el GDPR. También implementamos políticas, procesos y controles estrictos mediante nuestro Anexo de Procesamiento de Datos de Cloud y las Cláusulas de Contrato Estándar. En esos acuerdos, nos comprometemos a cumplir con las obligaciones que nos son aplicables en virtud del GDPR en relación con el procesamiento que llevamos adelante en nombre de nuestros clientes. Asimismo, trabajamos en estrecha colaboración con agencias de protección de datos europeas para cumplir con sus expectativas. Obtén más información.
Millones de alumnos confían en Google Workspace for Education. Los servicios de Google Workspace for Education satisfacen la Ley de Derechos Educativos y de Confidencialidad de la Familia (FERPA). El compromiso que tenemos con el cumplimiento de esta ley está incluido en nuestros acuerdos.
La protección infantil en línea es importante para nosotros. Por contrato, solicitamos que las escuelas que utilizan Google Workspace for Education obtengan el consentimiento de los padres que exige la Ley de Protección de la Privacidad Infantil en Internet de 1998 (COPPA). Además, nuestros servicios se pueden utilizar en conformidad con la COPPA.
Google ofrece funciones de productos y compromisos contractuales para facilitar el cumplimiento de los clientes con la Ley de Protección de la Información Personal (POPI) de Sudáfrica. Los clientes que estén sujetos a la POPI podrán firmar un Anexo de Procesamiento de Datos de Cloud.
Vault le permite retener, buscar y exportar los datos de su organización de aplicaciones determinadas de Google Workspace. Vault está totalmente basado en la Web, por lo que no hay necesidad de instalar ni mantener ningún software adicional.
Vault le permite exportar datos de aplicaciones determinadas de Google Workspace a formatos estándares para su procesamiento y revisión adicionales, todo de una forma compatible con las normas legales, a la vez que se respetan los lineamientos de la cadena de custodia.
Las herramientas de supervisión de Google Workspace permiten que los administradores busquen patrones alfanuméricos y contenido ofensivo en los mensajes de correo electrónico. Asimismo, los administradores pueden crear reglas para rechazar los correos electrónicos que coincidan con la búsqueda antes de que lleguen a los destinatarios previstos, o bien para que se entreguen con modificaciones.
Los sencillos informes interactivos lo ayudan a evaluar el grado de exposición que tiene su organización ante los problemas de seguridad a nivel del dominio y el usuario. Existe un conjunto de interfaces de programación de aplicaciones (API) que le ofrece extensibilidad y le permite desarrollar herramientas de seguridad personalizadas para su propio entorno. Si sabe cómo los usuarios comparten los datos, qué aplicaciones de terceros se instalan y si se aplican las medidas de seguridad apropiadas, como la verificación en dos pasos, puede mejorar su estrategia de seguridad.
Google Workspace permite que los administradores lleven un registro de las acciones de los usuarios y que configuren alertas personalizadas en Google Workspace. Este registro abarca la Consola del administrador, Gmail, Drive, Calendario, Grupos, los dispositivos móviles y la autorización para las aplicaciones de terceros. Por ejemplo, si se descarga un archivo marcado o si se comparte de forma externa un archivo que contiene la palabra "Confidencial", los administradores pueden recibir una notificación.
Con BigQuery, el almacén de datos empresariales de Google para el análisis de datos a gran escala, puede analizar los registros de Gmail con búsquedas personalizadas y sofisticadas de alto rendimiento, así como utilizar herramientas de terceros para realizar un análisis más profundo.
La transparencia forma parte de la naturaleza de Google. Nos esforzamos por ser transparentes a fin de conseguir y conservar la confianza de nuestros clientes. Los datos son propiedad del cliente y no de Google. Google no vende sus datos a terceros, no muestra anuncios en Google Workspace ni recopila ni utiliza nunca los datos de los servicios de Google Workspace con fines publicitarios.
Google no recopila, analiza ni utiliza los datos que usted ingresa en los servicios de Google Workspace con fines publicitarios. Además, tampoco mostramos anuncios en Google Workspace. Usamos sus datos para proporcionar los servicios de Google Workspace y para funciones de soporte del sistema, como filtrado de spam, detección de virus, corrector ortográfico, planificación de capacidad, enrutamiento de tráfico y la capacidad de buscar correos electrónicos y archivos dentro de una cuenta individual.
Los datos que las empresas, las escuelas y las agencias gubernamentales ingresan en los servicios de Google Workspace no pertenecen a Google. Independientemente de que se trate de propiedad intelectual empresarial, información personal o deberes de la escuela, Google no tiene la propiedad de esos datos ni los vende a terceros.
La Transparencia de acceso respalda nuestro compromiso con la confianza de los clientes, ya que le ofrece registros detallados de acciones que lleva a cabo el personal de Google, además de la razón de cada acceso, incluidas referencias a tickets de asistencia específicos cuando resulte pertinente.
Google Workspace ofrece un acuerdo de nivel de servicio del 99.9%. Además, Google Workspace no tiene tiempo de inactividad programado ni períodos de mantenimiento. A diferencia de la mayoría de los proveedores, estamos preparados para que nuestras aplicaciones estén siempre disponibles, incluso durante períodos de actualización de nuestros servicios o mantenimiento de nuestros sistemas.