Segurança e confiança do Google Workspace
A proteção dos seus dados é nossa prioridade.
A proteção dos seus dados é nossa prioridade.
O Google começou na nuvem e continua nela. Por isso, é natural que saibamos exatamente como gerenciar as empresas na nuvem com total segurança. Como o Google e nossos serviços empresariais funcionam na mesma infraestrutura, sua empresa terá as mesmas proteções que desenvolvemos e usamos todos os dias. Com uma infraestrutura global sólida, profissionais de segurança dedicados e a vontade de inovar, o Google supera as expectativas, oferecendo um ambiente altamente seguro, confiável e em compliance.
O Google conta com conhecimento e experiência líderes do setor para o desenvolvimento de infraestruturas e aplicativos em nuvem escaláveis. Embora muitos provedores afirmem o mesmo, nós consideramos que as práticas de segurança e privacidade precisam ser conhecidas e entendidas pelos nossos clientes, em vez de permanecerem ocultas.
Para todos os funcionários do Google, a segurança vem sempre em primeiro lugar. São muitos profissionais de segurança e privacidade que trabalham em horário integral, incluindo alguns dos maiores especialistas do mundo em segurança de informações, aplicativos e redes. Para garantir a proteção do Google, a segurança é incorporada em todas as etapas do processo de desenvolvimento de softwares. Isso pode incluir o trabalho de profissionais de segurança para analisar as arquiteturas propostas e fazer análises de códigos para identificar vulnerabilidades na segurança e entender melhor os diferentes modelos de ataque em um novo produto ou recurso. Quando surgem problemas, uma equipe dedicada ao gerenciamento de incidentes no Google Workspace assegura que eles sejam resolvidos com o mínimo de interrupção para os clientes, com resposta rápida, análise e solução.
As atividades de pesquisa e divulgação do Google protegem toda a comunidade de usuários da Internet, não apenas os usuários que optaram pelas nossas soluções. Nossa equipe que trabalha em horário integral, conhecida como "Project Zero", busca descobrir vulnerabilidades de alto impacto em produtos muito utilizados do Google e de outros fornecedores. Nosso compromisso é trabalhar com transparência e informar bugs diretamente para os fornecedores de software, sem envolver terceiros.
A segurança sempre foi uma prioridade do Google. Veja alguns exemplos de como estabelecemos padrões mais elevados:
O Google é o primeiro grande provedor de nuvem a disponibilizar o recurso perfect forward secrecy, que criptografa o conteúdo durante a transferência entre nossos servidores e os de outras empresas. Com esse recurso, as chaves de uma conexão são temporárias, o que impede a descriptografia retroativa de sessões HTTPS por um concorrente ou mesmo por alguém que opere o servidor. Diversas empresas do setor seguiram nosso exemplo ou se comprometeram a adotar essa tecnologia futuramente.
Todas as mensagens de e-mail que você envia ou recebe (100% delas!) são criptografadas quando transferidas entre os data centers do Google. Isso assegura a proteção das mensagens não apenas quando elas trafegam entre seus dispositivos e os servidores do Gmail, mas também internamente no Google. Com o lançamento do nosso indicador de TLS, também fomos a primeira empresa a alertar os usuários quando e-mails são enviados de forma não segura entre provedores.
Com o objetivo de aumentar a proteção contra ataques criptoanalíticos, o Google dobrou o tamanho das chaves de criptografia RSA para 2048 bits em 2013. Além disso, o Google altera as chaves a cada poucas semanas, estabelecendo um novo paradigma para o restante do setor.
Com o Google Workspace, os administradores têm controle empresarial das configurações dos apps e do sistema em um painel que simplifica a autenticação, a proteção de recursos e o controle operacional. Use os recursos integrados do Cloud Identity para gerenciar usuários e aplicar a autenticação multifator e chaves de segurança que aumentam a proteção. É possível escolher a edição do Google Workspace que melhor atende às necessidades de segurança da sua organização.
A verificação em duas etapas reduz consideravelmente o risco de acesso não autorizado porque exige que os usuários forneçam uma comprovação de identidade adicional ao fazer login. A aplicação de chave de segurança oferece uma camada adicional de segurança para as contas de usuário porque exige uma chave física. A chave envia uma assinatura criptografada e só funciona em sites específicos, o que ajuda a proteger contra phishing. Os administradores do Google Workspace podem implantar, monitorar e gerenciar facilmente as chaves de segurança conforme necessário no Admin Console, sem a necessidade de instalar software adicional.
Usamos recursos avançados de aprendizado de máquina para identificar logins suspeitos. Quando identificamos esse tipo de login, notificamos os administradores para eles garantirem a proteção das contas.
Com o Logon único (SSO, na sigla em inglês), o Google Workspace permite o acesso unificado a outros apps de nuvem empresariais. Nosso serviço de gerenciamento de identidade e acesso (IAM, na sigla em inglês) permite que os administradores gerenciem as credenciais de todos os usuários e o acesso aos apps de nuvem em um só lugar.
O Google Workspace permite que os administradores definam regras personalizadas para exigir que as mensagens de e-mail sejam assinadas e criptografadas com o protocolo Secure/Multipurpose Internet Mail Extensions (S/MIME). É possível definir essas regras para aplicar o S/MIME quando um conteúdo específico é identificado em mensagens de e-mail.
Com base no modelo de segurança de confiança zero e na implementação BeyondCorp do Google, o acesso baseado no contexto permite que você forneça acesso seguro aos usuários, mantendo a produtividade deles. Ele aplica controles granulares e usa uma plataforma única tanto para os aplicativos de nuvem e no local quanto para os recursos de infraestrutura. Com o acesso baseado no contexto, você pode aplicar controles de acesso granulares nos apps do Google Workspace com base na identidade de um usuário e no contexto da solicitação.
O Programa Proteção Avançada do Google é nossa proteção mais forte para usuários sujeitos a ataques on-line direcionados. No Programa Proteção Avançada para empresas, aplicamos um conjunto selecionado de políticas de segurança de conta aos usuários inscritos. Essas políticas incluem a exigência de chaves de segurança, o bloqueio do acesso a apps não confiáveis e a verificação aprimorada de ameaças por e-mail.
Os administradores do Google Workspace podem configurar a Prevenção contra perda de dados (DLP, na sigla em inglês) para proteger informações confidenciais no Gmail e no Drive. Fornecemos uma biblioteca de detectores de conteúdo predefinidos para simplificar a configuração. Quando a política de DLP está ativada, o Gmail verifica automaticamente todos os e-mails de saída para identificar informações confidenciais e tomar providências imediatas para evitar o vazamento de dados: colocar o e-mail em quarentena para análise, solicitar que os usuários modifiquem as informações ou bloquear o envio do e-mail e notificar o remetente. Com regras fáceis de configurar e o reconhecimento ótico de caracteres (OCR, na sigla em inglês) do conteúdo armazenado em imagens, os administradores podem usar a DLP do Drive para auditar arquivos com conteúdo confidencial e configurar regras para alertar os usuários, impedindo que eles compartilhem informações confidenciais externamente. Saiba mais no artigo sobre a DLP (em inglês).
Com o aprendizado de máquina, o Gmail atingiu 99,9% de precisão na detecção de spam e bloqueio de mensagens de spam e phishing que poderiam não ser detectadas. Em média, menos de 0,1% dos e-mails em uma Caixa de entrada do Gmail são spam. A filtragem incorreta de e-mails para a pasta "Spam" é ainda mais improvável (menos de 0,05%).
Para evitar malware, o Google verifica automaticamente todos os anexos para identificar vírus em diversos mecanismos antes de um usuário fazer o download. O Gmail até verifica vírus em anexos na fila para envio. Isso ajuda a proteger todos que usam o Gmail e evita a disseminação de vírus. Anexos em alguns formatos, como .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JS, .JSE, .LIB, .LNK, .MDE, .MSC, .MSI, .MSP, .MST, .NSH .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF e .WSH são automaticamente bloqueados, mesmo quando incluídos em um arquivo compactado.
O Google Workspace usa intensamente o aprendizado de máquina para proteger os usuários contra ataques de phishing. Nossos modelos de aprendizado fazem análises das semelhanças entre sites já classificados como phishing e URLs novos não reconhecidos. Quando encontramos novos padrões, nos adaptamos muito mais rápido do que os sistemas manuais. Com o Google Workspace, os administradores também podem aplicar chaves de segurança, o que impossibilita o uso de credenciais comprometidas em ataques de phishing.
Para impedir ataques de phishing contra sua marca, o Google Workspace segue o padrão DMARC. Assim, os proprietários de domínios decidem o que o Gmail e os outros provedores de e-mail participantes fazem com as mensagens não autenticadas enviadas pelo seu domínio. Ao definir uma política, você ajuda a proteger os usuários e a reputação da sua organização.
O Gerenciamento de endpoints totalmente integrado do Google Workspace monitora o sistema de forma contínua e envia alertas de atividade suspeita no dispositivo. Os administradores podem aplicar políticas para endpoints, criptografar dados em dispositivos, apagá-los remotamente e bloquear dispositivos móveis perdidos ou roubados.
Na Central de segurança do Google Workspace, é possível ter uma visualização unificada e abrangente da abordagem de segurança da implantação do Google Workspace. Ela reúne análises de segurança, práticas recomendadas e soluções integradas para você proteger os dados, os dispositivos e os usuários da sua organização.
Com nossos controles de autenticação, os administradores podem ver e controlar os apps de terceiros usando o OAuth para a autenticação e o acesso aos dados corporativos. É possível desativar o acesso OAuth no nível granular e permitir apps de terceiros selecionados.
Para os administradores controlarem melhor os dados confidenciais, oferecemos o gerenciamento de direitos de informação (IRM, na sigla em inglês) no Drive. Os administradores e usuários podem desativar o download, a impressão e a cópia de arquivos no menu de compartilhamento avançado e definir regras de expiração para o acesso aos dados.
A Central de alertas do Google Workspace é um novo recurso para os administradores verem notificações, alertas e ações importantes no Google Workspace. Com insights sobre esses possíveis alertas, os administradores podem avaliar a exposição da organização a problemas de segurança. As soluções integradas à Central de segurança facilitam a resolução desses problemas.
Muitas organizações usam a tecnologia dos nossos data centers distribuídos para maximizar os benefícios essenciais, como latência mínima e redundância geográfica avançada. Entretanto, em organizações com requisitos de controle rigorosos, é possível usar as regiões de dados do Google Workspace para escolher onde determinados dados cobertos serão armazenados em repouso (distribuídos globalmente, nos EUA ou na Europa).
O Google desenvolveu o Google Workspace de acordo com padrões rigorosos de privacidade e segurança baseados em práticas recomendadas do setor. Além dos sólidos compromissos contratuais que regem a propriedade dos dados, o uso dos dados, a segurança, a transparência e a responsabilidade, fornecemos as ferramentas necessárias para você atender aos requisitos de compliance e relatórios.
Os clientes do Google e os reguladores esperam uma verificação independente dos controles de segurança, privacidade e conformidade. Para oferecer esses controles, o Google passa regularmente por diversas auditorias independentes de terceiros.
O ISO/IEC 27001 é um dos padrões de segurança independentes mais aceitos e reconhecidos. O Google conquistou a certificação ISO/IEC 27001 para os sistemas, as tecnologias, os processos e os data centers usados no Google Workspace. Veja nosso certificado ISO/IEC 27001.
O ISO/IEC 27017 é um padrão de prática internacional para controles de segurança da informação baseado no ISO/IEC 27002 especificamente para serviços de nuvem. Estamos em compliance com o padrão internacional, conforme certificado pela Ernst & Young CertifyPoint, uma empresa de certificação ISO credenciada pelo Conselho de Credenciamento Holandês, que faz parte do Fórum Internacional de Credenciamento (IAF, na sigla em inglês). Veja nosso certificado ISO/IEC 27017.
As certificações ISO/IEC 27018:2014 do Google Workspace comprovam nosso compromisso com os padrões internacionais de privacidade e proteção de dados. As diretrizes do ISO/IEC 27018 incluem não usar os dados dos clientes para fins publicitários, garantir que os clientes serão sempre os proprietários dos dados nos serviços do Google Workspace, disponibilizar ferramentas para a exclusão e a exportação de dados, proteger as informações dos clientes no caso de solicitações de terceiros e ser transparente sobre como os dados dos clientes são armazenados. Veja nosso certificado ISO/IEC 27018.
O Controle de Organização de Serviço 2 (SOC 2, na sigla em inglês) e a estrutura de auditoria SOC 3 do Instituto Americano de Contadores Públicos Certificados (AICPA, na sigla em inglês) definem princípios de confiabilidade e critérios para segurança, disponibilidade, integridade de processamento e confidencialidade. O Google tem os relatórios SOC 2 e SOC 3. Faça o download do nosso relatório SOC 3.
Os produtos do Google Workspace mantêm compliance com os requisitos do Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP, na sigla em inglês), que é o padrão de segurança na nuvem do governo dos EUA. O Google Workspace foi autorizado para uso pelas agências federais em relação a dados com nível de impacto "Moderado", que podem incluir PII e informações não classificadas controladas. Além disso, o Google Workspace foi avaliado como adequado para uso com informações "OFICIAIS" (incluindo "OFICIAIS CONFIDENCIAIS") de acordo com os Princípios de segurança do Reino Unido. Para detalhes sobre compliance de produtos e serviços, acesse a página sobre serviços do Google em compliance com o FedRAMP.
Os clientes do Google Workspace que precisam manter compliance com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS, na sigla em inglês) podem definir uma política de Prevenção contra perda de dados (DLP, na sigla em inglês) que impeça o envio de informações de cartão de pagamento do Google Workspace. No Drive, o Vault pode ser configurado para fazer auditorias e impedir o armazenamento dos dados do titular do cartão.
O Center for Financial Industry Information Systems (FISC) é uma fundação incorporada de interesse público responsável por fazer pesquisas relacionadas a tecnologias, utilização, controle e ameaças/defesa nos sistemas de informações financeiras do Japão. Um dos principais documentos criados por essa fundação é o "FISC Security Guidelines on Computer Systems for Banking and Related Financial Institutions" (Diretrizes de segurança do FISC para sistemas de computadores de instituições bancárias e financeiras, em tradução livre), que descreve controles para instalações, operações e infraestrutura técnica. O Google elaborou um guia para ajudar os clientes a entender como nosso ambiente de controle segue as diretrizes do FISC. A maioria dos controles descritos nesse guia faz parte dos nossos programas de compliance com a auditoria de terceiros, inclusive as certificações ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018. Veja nossa resposta aos controles do FISC. Para saber mais, entre em contato com a equipe de vendas.
O Esquema Nacional de Seguridad (ENS) da Espanha foi desenvolvido por La Entidad Nacional de Acreditación (ENAC) em colaboração com o Ministério da Fazenda e Administração Pública e o Centro Criptológico Nacional (CCN). Criado pelo Decreto Real 3/2010 (alterado pelo Decreto 951/2015), o ENS estabelece os princípios e requisitos para a proteção adequada das informações das entidades do setor público espanhol. O Google Cloud (o GCP e o Google Workspace) atende a todos os requisitos do nível "Alto" do ENS.
Com o Google Workspace, os clientes mantêm compliance com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês) dos Estados Unidos, que rege a proteção, o uso e a divulgação de informações protegidas de saúde (PHI, na sigla em inglês). Os clientes sujeitos à HIPAA que quiserem usar o Google Workspace para o processamento e o armazenamento de PHI podem assinar uma emenda para parceiros comerciais com o Google. Veja mais detalhes sobre compliance com a HIPAA no Google Workspace.
O Google Workspace atende às recomendações de proteção de dados do Grupo de Trabalho do Artigo 29 e segue as cláusulas contratuais padrão da União Europeia no Adendo sobre processamento de dados do Cloud, na divulgação de subprocessadores e nas cláusulas contratuais padrão da União Europeia. O Google também está em conformidade com a estrutura Privacy Shield (Escudo de Proteção da Privacidade) e permite a portabilidade de dados. Assim, os administradores podem exportar dados em formatos padrão sem qualquer cobrança adicional.
O Google Workspace promove iniciativas que priorizam e aprimoram a segurança e a privacidade dos dados dos usuários. Também atualizamos nosso Adendo sobre processamento de dados do Cloud para garantir que os clientes do Google Workspace usem os serviços com segurança, agora que o GDPR está em vigor. Além disso, implementamos políticas, processos e controles rigorosos baseados no Adendo sobre processamento de dados do Cloud e nas cláusulas contratuais padrão. Nesses contratos, nos comprometemos a obedecer às obrigações aplicáveis, conforme estabelecido no GDPR, referentes ao processamento que fazemos em nome dos clientes, e colaboramos com as Autoridades europeias de proteção de dados para atender às expectativas delas. Saiba mais.
Milhões de alunos usam o G Suite for Education. Os serviços do G Suite for Education obedecem à Lei dos Direitos Educacionais e da Privacidade da Família (FERPA, na sigla em inglês). Esse compromisso está incluído nos nossos contratos.
É importante para nós garantir a segurança das crianças no meio virtual. Nosso contrato exige que as escolas que usam o G Suite for Education tenham o consentimento dos responsáveis para usar nossos serviços, conforme exigido pela Lei de Proteção da Privacidade On-line das Crianças (COPPA, na sigla em inglês) de 1998. Por sua vez, esses serviços só podem ser usados em compliance com a COPPA.
O Google oferece recursos de produtos e compromissos contratuais para facilitar que o cliente esteja em compliance com a Lei de Proteção às Informações Pessoais (POPI, na sigla em inglês) da África do Sul. Os clientes sujeitos à POPI podem assinar um Adendo sobre processamento de dados do Cloud para definir como as informações vão ser armazenadas, processadas e protegidas.
Com o Vault é possível manter, pesquisar e exportar os dados da sua organização dos apps do select Google Workspace. Como ele é totalmente estruturado na Web, não é necessário instalar nem fazer manutenção de software.
Com o Google Vault, é possível exportar dados de apps selecionados do Google Workspace para formatos padrão e depois processá-los e analisá-los em detalhes. Tudo isso de acordo com padrões legais e respeito às diretrizes da cadeia de custódia.
Com as ferramentas de monitoramento do Google Workspace, os administradores verificam as mensagens de e-mail para identificar padrões alfanuméricos e conteúdo censurável. Os administradores podem criar regras para rejeitar os e-mails correspondentes antes de eles chegarem aos destinatários pretendidos ou entregá-los com modificações.
Os relatórios interativos e fáceis de usar ajudam você a avaliar a exposição da sua organização a problemas de segurança no nível do domínio e do usuário. A extensibilidade possibilitada por um conjunto de interfaces de programação de aplicativos (APIs) permite que você desenvolva ferramentas de segurança personalizadas para seu ambiente. Com insights sobre como os usuários compartilham dados, os apps de terceiros instalados e o uso de medidas apropriadas, como a verificação em duas etapas, você pode melhorar sua estratégia de segurança.
O Google Workspace permite que os administradores rastreiem as ações dos usuários e configurem alertas personalizados. Esse rastreamento abrange o Admin Console, o Gmail, o Drive, o Agenda, o Grupos, os dispositivos móveis e a autorização de aplicativos de terceiros. Por exemplo, se alguém fizer o download de um arquivo marcado ou se um arquivo com a palavra "Confidencial" for compartilhado fora da organização, os administradores poderão ser notificados.
Com o BigQuery, o data warehouse empresarial do Google para a análise de dados em grande escala, você pode analisar os registros do Gmail usando consultas personalizadas, sofisticadas e de alto desempenho e utilizar ferramentas de terceiros para análises mais aprofundadas.
A transparência está no DNA do Google. Trabalhamos muito para conquistar e manter a confiança dos nossos clientes com transparência. O cliente, não o Google, é o proprietário dos dados. O Google não vende seus dados para terceiros, não há anúncios no Google Workspace, e nunca coletamos ou usamos dados dos serviços do Google Workspace para fins publicitários.
O Google não coleta, verifica nem usa seus dados nos serviços do Google Workspace para fins publicitários nem exibe anúncios no Google Workspace. Nós usamos seus dados para os serviços do Google Workspace e suporte ao sistema, como filtragem de spam, detecção de vírus, verificação ortográfica, planejamento de capacidade, roteamento de tráfego e o recurso de pesquisar e-mails e arquivos em uma conta específica.
Os dados que as empresas, escolas e agências governamentais armazenam nos serviços do Google Workspace não pertencem ao Google. Não importa se os dados são de propriedade intelectual corporativa, informações pessoais ou tarefas de casa, o Google não é o proprietário desses dados e não os vende a terceiros.
A transparência no acesso apoia o compromisso com a confiança do cliente, fornecendo registros detalhados das ações da equipe do Google e o motivo de cada acesso, com referências a tíquetes de suporte específicos, quando relevantes.
O Google Workspace oferece um contrato de nível de serviço de 99,9%. Além disso, o Google Workspace não tem inatividade programada nem janelas de manutenção. Ao contrário de outros provedores, planejamos que nossos aplicativos estejam sempre disponíveis, mesmo durante o upgrade dos serviços ou a manutenção dos sistemas.
Temos o compromisso dar informações sobre nossos sistemas e processos: seja com uma visão geral do desempenho em tempo real, os resultados de uma auditoria de gerenciamento de dados ou o local dos nossos data centers. Os dados são seus, e asseguramos que você tenha o controle sobre eles. Você pode excluir seus dados ou exportá-los quando quiser. Publicamos regularmente Transparency Reports, que detalham como governos e terceiros podem afetar sua segurança e privacidade on-line. Consideramos que você tem o direito de saber o que acontece com seus dados e temos um histórico de informar os usuários sobre o que está acontecendo com os dados e defender os direitos deles.