Czy Google Workspace jest zgodne z prawem?

Chmura publiczna to usługa przetwarzania danych na zewnętrznych serwerach, z których korzysta równocześnie wiele podmiotów. Tysiącom nowoczesnych przedsiębiorstw w Polsce zapewnia ona wygodę i przewagę rynkową. Jednak z każdą kolejną falą urzędowych kontroli powracają jak bumerang pytania o to, jak używać chmury legalnie i bezpiecznie. 

Jedną z usług, które zapewniają zarówno chmurową przestrzeń na dane, jak i zestaw aplikacji webowych do ich przetwarzania, jest Google Workspace. Dziś zajmiemy się tematem zgodności tego pakietu z obowiązującymi przepisami. Podejmujemy go dlatego, że jako oficjalny partner Google często dostajemy pytania związane z tym zagadnieniem.

Na co dzień wdrażamy Google Workspace w przedsiębiorstwach z wielu branż – także tych, których dotyczą szczególne obostrzenia w zakresie ochrony przetwarzanych informacji. Dzięki temu wiemy, jakie działania podejmują m.in. instytucje finansowe, edukacyjne czy portale medyczne, aby zapewnić bezpieczeństwo danych swoich pracowników i klientów w Google Workspace. 

Poznaj nasze case studies:

• Docplanner Group – O tym, jak 2000 specjalistów z branży healthtech wykorzystuje do współpracy narzędzia Google Workspace
• WINS – Jak Arkusze Google oraz integracja z Dyskiem pomagają rozwijać jeden z największych systemów do obsługi księgowej w Polsce
• Infermedica – Współpraca zespołu Infermedica i rozwój produktu health-tech w chmurze Google

Google Workspace a RODO

Na początek rozwiejemy podstawowe wątpliwości: nie ma żadnych prawnych przeciwwskazań do wykorzystywania Google Workspace w biznesie. W świetle RODO firma korzystająca z usługi chmurowej jest administratorem danych osobowych, a dostawca chmury obliczeniowej jest podmiotem przetwarzającym dane. Google zapewnia swoim klientom narzędzia do prewencji zagrożeń i posiada międzynarodowe certyfikaty bezpieczeństwa. 

Przypominamy jednak, że obowiązkiem administratora danych jest każdorazowa ocena czy środki techniczne i organizacyjne podejmowane przez podmiot przetwarzający są wystarczające i adekwatne do sposobu i rodzaju przetwarzanych danych osobowych.

Co zatem sprawia, że procesy przetwarzania danych w firmie mogą wymknąć się spod kontroli? Granice między tym, co dozwolone a tym, co wchodzi w niebezpieczne rejony, są definiowane przez wiele europejskich, lokalnych oraz specjalistycznych regulacji prawnych. Dlatego warto znać podstawowe czynniki ryzyka. A są nimi:

• źle skonstruowana umowa między dostawcą usług chmurowych a administratorem danych,
• niepoprawna konfiguracja usługi,
• błąd użytkownika, 
• atak hakerski, szkodliwe oprogramowanie.

Błąd, atak, kradzież czy wypadek losowy może być powodem wycieku danych zarówno w prywatnej, jak i w publicznej infrastrukturze, dlatego należy wykorzystywać wszystkie dostępne środki prewencyjne. 

Prewencja zagrożeń w Google

Ochrona danych użytkowników korzystających z chmury to rdzeń usług Google dla biznesu i podstawowa wartość, której zapewnienie deklaruje firma. 

Kultura bezpieczeństwa w Google

Do zachowania bezpieczeństwa danych w chmurze konieczna jest kontrola procesów zachodzących wewnątrz organizacji, która te dane przetwarza. Jak Google dba o swoje wewnętrzne bezpieczeństwo? Oto kilka elementów strategii tego dostawcy:

• Dokładne sprawdzanie przeszłości pracowników.
• Regularne treningi bezpieczeństwa dla pracowników.
• Zespół specjalistów do spraw bezpieczeństwa i prywatności.
• Wewnętrzne audyty bezpieczeństwa i zgodności z przepisami.
• Ścisła współpraca ze środowiskiem badaczy cyfrowych zagrożeń.

Ochrona przed szkodliwym oprogramowaniem

Google wykorzystuje wiele różnych silników antywirusowych do wykrywania identyfikowania i neutralizowania zagrożeń w Gmailu, na Dysku Google, a także w swoich serwerowniach oraz na stacjach roboczych. 

Szyfrowanie danych

Dane klientów Google Workspace są zaszyfrowane zarówno w spoczynku, jak i podczas przesyłania. Najnowsze rozwiązania kryptograficzne chronią pliki, wiadomości e-mail, historię konwersacji na czacie i inne dane związane z aktywnością w aplikacjach.

Dostępność usługi

Jednym z zagrożeń korzystania z zewnętrznych serwerów jest ryzyko awarii i niedostępności danych. Nawet krótkie przerwy w dostępie do usługi chmurowej mogą znacznie zaburzyć pracę przedsiębiorstwa, dlatego warto zaufać dostawcom z dużym doświadczeniem w tej materii. 

Gmail w ostatnich latach odnotowuje dostępność na poziomie 99.984%. Czynności konserwacyjne, aktualizacje i zmiany wprowadzane w Google zaplanowane są w taki sposób, aby nie odbijały się negatywnie na doświadczeniach użytkowników. 

Zewnętrzne certyfikaty bezpieczeństwa

Użytkownicy Google Workspace nie są jednak zdani tylko na deklaracje Google, którym można ufać, lub nie. Bezpieczeństwo, prywatność i zgodność z przepisami tej usługi potwierdzają prestiżowe certyfikaty wydane przez niezależnych biegłych rewidentów. 

ISO/EIC 27001

ISO 27001 to jeden z najbardziej rozpoznawalnych standardów bezpieczeństwa. Google zdobyło go za systemy, technologie, procesy oraz centra danych, które obsługują Google Workspace.  

Zobacz certyfikat

ISO/EIC 27017 

ISO 27017 to międzynarodowy standard bezpieczeństwa informacji w usługach chmurowych.

Zobacz certyfikat

ISO/EIC 27018 

ISO 27018 to międzynarodowy potwierdzenie zapewnienia ochrony danych, które mogą posłużyć do identyfikacji osobistej.

Zobacz certyfikat

SOC 2, SOC 3 oraz FedRAMP

Poza międzynarodowymi certyfikatami, Google pomyślnie przeszło też kontrole i audyty bezpieczeństwa amerykańskich organów, które przygotowują raporty SOC (Service Organization Controls) oraz FedRAMP (Federal Risk and Authorization Management Program).

Opcje administracyjne, które wpływają na zgodność Google Workspace z obowiązującymi przepisami

Google po swojej stronie podejmuje wiele działań zapewniających ochronę danych, które przetwarza w imieniu swoich klientów. To jednak firmy korzystające z chmury pozostają administratorami danych i ponoszą za nie odpowiedzialność. Dlatego Google wyposażyło osoby zarządzające instancją Google Workspace w szereg narzędzi, które pomogą dostosować poziom ochrony do indywidualnych potrzeb firmy. 

Autoryzacja użytkowników

Dane firmy przechowywane w chmurze są dostępne na dowolnym urządzeniu, na które zaloguje się pracownik. Dlatego administratorzy Google Workspace powinni zwrócić szczególną uwagę na proces autoryzacji dostępu do kont. Narzędzia, które to ułatwiają, to m.in.:

• Weryfikacja dwustopniowa – administrator może wymusić udział dodatkowego elementu podczas logowania, który zabezpiecza konto przed przechwyceniem.
• Klucze bezpieczeństwa – urządzenia U2F to zaawansowany wariant weryfikacji dwustopniowej, w którym użytkownik musi mieć fizyczny klucz, aby móc się zalogować.
• Logowanie jednokrotne oparte na SAML 2.0 – Logowanie jednokrotne (Single Sign-On) to usługa, która pozwala uzyskiwać dostęp do wielu aplikacji przy pomocy konta Google.
• Protokoły OAuth 2.0 i OpenID Connect umożliwiają konfigurację logowania jednokrotnego w wielu różnych rozwiązaniach chmurowych.

Czytaj też: Klucz bezpieczeństwa U2F – co to jest i jak działa

Zarządzanie danymi 

• Zabezpieczenia IRM (Information Rights Management) – pozwalają administratorom zablokować opcje kopiowania, drukowania i pobierania dowolnego pliku na Dysku Google.
• Dziennik kontrolny Dysku Google – monitorowanie aktywności użytkowników w domenie. Pozwala administratorom sprawdzić logi zmian wprowadzanych w plikach przechowywanych na służbowych kontach Google. 
• Spersonalizowane alerty bezpieczeństwa dadzą administratorom znać zawsze, gdy ktoś wykona podejrzaną aktywność na Dysku Google. Przykładowo, alert może poinformować admina, jeśli plik ze słowem poufne w tytule zostanie udostępniony poza domeną.
• Zaufane domeny – administratorzy mogą stworzyć białą listę domen, które nie będą objęte utrudnieniami związanymi z zewnętrznym udostępnianiem plików.

Bezpieczeństwo cyfrowej korespondencji

• Dodatkowe szyfrowanie – administrator Google Workspace może wymusić na mailach kierowanych do lub z konkretnej domeny szyfrowanie przy pomocy protokołu TLS (transport layer security).
• Ochrona przed phishingiem – oszuści mailowi usiłują czasami podszyć się pod zaufane domeny, aby wyłudzić wrażliwe informacje. Gmail w Googlea Workspace wspiera zaawansowaną weryfikację nadawców dzięki rekordom DMARC i SPF oraz kluczom DKIM.
• Data Loss Prevention w Gmailu – System DLP w Gmailu skanuje przychodzący i wychodzący ruch w poczcie pod kątem obecności wrażliwych treści. 
• Reguły obsługi kontrowersyjnych treści – administrator Google Workspace może skonfigurować reguły, które będą automatycznie odrzucać, umieszczać w kwarantannie lub cofać do modyfikacji wiadomości zawierające określone słowa. 
• Ograniczanie wymiany wiadomości – admin może autoryzować wybrane domeny do wysyłania i odbierania wiadomości.

Archiwizacja na wypadek postępowania dowodowego

Google Workspace w wariancie Business Plus oraz Enterprise daje firmom narzędzie pomocne w przypadku postępowania eDiscovery. Google Vault to usługa archiwizacji, przechowywania, wyszukiwania i eksportu danych z innych aplikacji Google.

• Reguły przechowywania archiwum poczty – administrator może ustawić dowolne reguły przechowywania wiadomości email w całej domenie. Takie wiadomości pozostaną w archiwum, nawet gdy użytkownik usunie je ze swojej skrzynki. 
• Przeszukiwanie Dysku i Gmaila w domenie – przy pomocy Google Vault administrator może przeszukać całą domenę Google Workspace, w tym zawartość służbowej korespondencji. 
• Eksport materiału dowodowego – Google Vault pomaga zebrać i wyeksportować materiał dowodowy w postaci plików, wiadomości email czy historii czatu, które firma chce przekazać organom ścigania. 

Czytaj też: Jakie możliwości daje Google Vault?

Bezpieczeństwo punktów końcowych

• Zarządzanie urządzeniami mobilnymi – każde urządzenie, które ma dostęp do danych firmy, jest przypisane w konsoli administracyjnej. Dzięki temu admin może szybko zareagować na kradzież urządzenia lub podejrzaną aktywność.
• Bezpieczeństwo przeglądania sieci z Chrome – administrator może ustawić zasady dotyczące logowania użytkowników do przeglądarek.
• Zarządzanie urządzeniami opartymi na Chrome OS – laptopy czy sprzęt wideokonferencyjny z systemem operacyjnym Chrome i licencjami Chrome Enterprise podlegają pełnej kontroli administratora Google Workspace. 

Czytaj też:

• Mobile Device Management w Google Workspace – jak chronić telefony pracowników?
• Zarządzanie punktami końcowymi – jak dbać o bezpieczeństwo służbowych laptopów?

Odzyskiwanie danych

• Przywracanie usuniętego konta Google – administrator może przywrócić konto dowolnego użytkownika Google Workspace w ciągu 5 dni od jego usunięcia.
• Odzyskiwanie danych z Dysku Google oraz Gmaila – korespondencja z Gmaila i pliki przechowywane na dysku Google mogą zostać odzyskane przez administratora przez 25 dni od momentu, gdy użytkownik usunął je ze swojego konta.

Centrum bezpieczeństwa

Administratorzy Google Workspace w pakiecie Enterprise mają też dostęp do uniwersalnego narzędzia do ochrony i analityki zagrożeń. Centrum bezpieczeństwa pozwala m.in.: 

• Generować raporty bezpieczeństwa, które pokazują obecną konfigurację i wskazują metody dostosowania zabezpieczeń do najlepszych praktyk rekomendowanych przez Google. 
• Identyfikować i grupować problemy związane z bezpieczeństwem oraz prywatnością w swojej domenie.
• Monitorować nietypowe wydarzenia w przejrzystym Dashboardzie.

Chcesz zobaczyć konsolę administracyjną Google Workspace od środka i poznać najlepsze metody konfiguracji ustawień? Sprawdź nagranie z webinaru – Konsola administracyjna od podstaw.

Możliwości konfiguracji zabezpieczeń różnią się w poszczególnych planach Google Workspace

Każde przedsiębiorstwo ma inne wymagania wobec usług przetwarzających dane klientów, pracowników i kontrahentów. Wszystko zależy od tego, na jakim obszarze operuje i jakie regulacje prawne je obowiązują. Choć Google dokłada wszelkich starań, by centra przetwarzania danych funkcjonowały bez zarzutu, to największy wpływ na bezpieczeństwo mają administratorzy systemu Google Workspace. 

Google Workspace ma kilka wariantów warianty, a każdy z nich daje administratorom inny poziom kontroli nad bezpieczeństwem firmy. Czym różnią się opcje ochrony w poszczególnych pakietach? Pełne porównanie wszystkich usług znajdziesz na tej stronie.

Dlatego tak istotna jest analiza regulacji prawnych i ocena ryzyka przed wyborem odpowiedniej usługi chmurowej. Przykładowo, jeśli Twoja firma jest do przetrzymywania danych w archiwum przez określony czas na wypadek kontroli, to polecamy Google Workspace w wariancie Business Plus. Jeśli natomiast potrzebujesz zaawansowanego monitoringu podejrzanych aktywności i masz w zespole doświadczonych administratorów systemów, to możesz poznać pełny potencjał chmury z pakietem Enterprise.

Skorzystaj ze wsparcia FOTC

FOTC to zespół certyfikowanych inżynierów chmury Google, którzy zawsze są gotowi wesprzeć klientów w rozwiązywaniu problemów z konfiguracją kluczowych systemów ochrony danych w firmie. Z naszą pomocą będziesz w stanie zbudować lepsze środowisko hybrydowej współpracy online dla swoich pracowników. Ale wsparcie, szkolenia i ekspercka wiedza to nie wszystko. Współpraca z partnerem Google Cloud pozwoli Ci także zoptymalizować koszty usługi Google Workspace dzięki unikalnym rabatom. Porozmawiaj z nami o potrzebach swojej firmy, a przygotujemy dla Ciebie spersonalizowaną ofertę wdrożenia chmurowych usług (wraz z migracją danych), lub przeniesienia licencji do FOTC.