Contact
ua ro pl hu en

Este cloudul Google Workspace în conformitate cu legea?

Este cloudul Google Workspace în conformitate cu legea?

Cloud computing oferă confort și avantaj pe piață pentru mii de întreprinderi moderne din România. Agilitate, scalabilitate și flexibilitatea, acestea sunt câteva dintre capabilitățile și avantajele pentru care o firmă ar alege ”să treacă în cloud”. Cu toate aceste beneficii în minte, cu fiecare val succesiv de controale oficiale, revin la suprafață întrebările despre modul de utilizare a cloudului în mod legal și în siguranță.

Ce este cloudul public? 

Cloudul public este un serviciu de procesare a datelor pe servere externe care sunt utilizate de mai multe entități simultan. Când o companie alege să se mute în cloud, înseamnă că infrastructura IT va fi stocată în afara locației companiei, într-un centru de date care este întreținut de un furnizorul de servicii de cloud computing  Cei mai cunoscuți furnizori de servicii cloud sunt, printre altele Google, Microsoft, Dropbox sau Amazon. 

Dacă nu utilizați nicio tehnologie cloud computing în afacerea dvs., puteți citi mai multe despre aceasta pe blogul nostru: 

Unul dintre serviciile care oferă atât spațiu cloud pentru date, cât și întregul set de aplicații web este Google Workspace

Reglementările care privesc direct Google Workspace

La FOTC, în calitate de partener premium Google, ne ocupăm de respectarea de către Google Workspace a reglementărilor aplicabile. Implementăm zilnic acest pachet universal de aplicații office în companii din numeroase industrii. Printre acestea, și companii care sunt supuse unor restricții speciale în domeniul protecției informațiilor. Ca atare, cunoaștem ce acțiuni sunt întreprinse, printre altele instituții financiare, instituții de învățământ și portaluri medicale pentru a asigura securitatea datelor angajaților și clienților lor în Google Workspace. 

Doriți să participați la discuții alături de o comunitate dedicată instrumentelor Google Cloud? Alăturați-vă celui mai mare grup de Facebook din România dedicat Google Workspace. Aici discutăm cele mai noi actualizări de aplicații și vă răspundem în cel mai scurt timp oricăror întrebări sau curiozități.

Pentru început, vom clarifica câteva noțiuni simple. Nu există restricții legale împotriva utilizării Google Workspace în cadrul companiilor. Din punct de vedere GDPR, o companie care folosește un serviciu cloud este un administrator de date cu caracter personal, iar un furnizor de cloud computing este un procesor de date. Google pune la dispoziția clienților săi instrumente de prevenire a riscurilor și deține certificate internaționale de securitate. 

Cu toate acestea, dorim să vă reamintim că operatorul de date este responsabil de evaluarea de fiecare dată dacă măsurile tehnice și organizatorice luate de procesator în legătură cu prelucrarea datelor sunt suficiente și adecvate modului și tipului de date cu caracter personal care sunt prelucrate.

Deci, ce face ca procesele de procesare a datelor din companie să scape de sub control? 

Limitele dintre ceea ce este permis și ceea ce intră în zonele de risc sunt definite de multe reglementări europene, locale și specializate. Prin urmare, este important să cunoașteți factorii de risc de bază:

  • contract slab structurat între furnizorul de servicii cloud și administratorul de date,
  • configurație incorectă a serviciului,
  • eroare de utilizator, 
  • atac de hacking, malware.

O greșeală, atac, furt sau un accident aleatoriu poate provoca scurgeri de date atât în ​​infrastructura privată, cât și în cea publică, deci folosiți toate măsurile preventive disponibile. 

Alătură-te comunității noastre Google Workspace

Fii la curent cu cele mai recente știri despre cum poți îmbunătăți productivitatea în cadrul colaborării hibride

Devin-o un membru

Cum rămân în control asupra datelor mele în cloud?

Cele mai multe îndoieli în rândul antreprenorilor care consideră externalizarea către cloud computing vizează lipsa aparentă de control. Informațiile insuficiente despre operațiunile care au loc în cloud reprezintă un risc imens, în special pentru companiile din industria medicală și financiară.

Companiile care au nevoi specializate de a controla prelucrarea digitală a datelor sensibile ar trebui să acorde o atenție specială dispozițiilor contractului încheiat cu furnizorul începând din etapa de negociere a condițiilor cu furnizorul. Alegerea furnizorului ar trebui să fie urmată de o analiză detaliată a cerințelor legale aplicabile operatorului de date și o evaluare a modului în care serviciul selectat le va îndeplini. Trebuie remarcat, printre altele: 

  • Locația serverului, adică regiunile de procesare a datelor,
  • Reglementări privind partajarea datelor cu subcontractanții unui furnizor de servicii cloud,
  • Proceduri pentru ștergerea eficientă a datelor,
  • Posibilitatea de recuperare și arhivare a datelor.

Cu toate acestea, aspectele legate de securitatea procesării datelor digitale, pe care le vom aborda în contract, sunt doar începutul. De asemenea, este necesar ca aceste măsuri corespunzătoare să fie garantate și de furnizorul de servicii și de operatorul de date.

Prevenirea amenințărilor din partea Google

Protejarea datelor utilizatorilor este o valoare fundamentală a serviciilor Google. Toate produsele companiei sunt protejate continuu de una dintre cele mai avansate infrastructuri de securitate din lume. Astfel se detectează și previn amenințările online pentru ca informațiile dvs private să fie mereu în siguranță.

Cultura siguranței la Google

Pentru a menține securitatea datelor în cloud, este necesar să controlați procesele care au loc în interiorul organizației care procesează datele. Cum se ocupă Google de securitatea sa internă? Iată câteva elemente ale strategiei lor:

  • verificarea temeinică a experienței angajaților,
  • instruire regulată în materie de securitate pentru angajați,
  • o echipă de specialiști în securitate și confidențialitate,
  • audituri interne de securitate și conformitate,
  • colaborare strânsă cu comunitatea de cercetare a amenințărilor digitale. 

Protecție Anti-Malware

Google folosește o varietate de motoare antivirus pentru a detecta, identifica și neutraliza amenințările din Gmail, Google Drive, precum și camerele și stațiile de lucru ale serverelor sale. 

Criptarea datelor Google Workspace

Datele clienților sunt criptate atât în ​​repaus, cât și în tranzit. Cele mai recente soluții criptografice protejează fișierele, mesajele e-mail, istoricul conversațiilor prin chat și alte date legate de activitatea noastră în aplicații.

Disponibilitatea serviciului

Unul dintre riscurile utilizării serverelor externe este riscul de eșec și indisponibilitate a datelor. Chiar și întreruperile scurte ale accesului la serviciul cloud pot perturba în mod semnificativ funcționarea companiei, așa că merită să aveți încredere în furnizorii cu o vastă experiență în această chestiune. 

Gmail a înregistrat o disponibilitate de 99.984% în ultimii ani. Întreținerea, actualizările și modificările aduse Google sunt planificate astfel încât să nu afecteze negativ experiența utilizatorului. 

Certificări de securitate externe

Utilizatorii Google Workspace nu se bazează doar pe simple declarații făcute de Google, indiferent dacă pot fi sau nu de încredere. Securitatea, confidențialitatea și respectarea reglementărilor acestui serviciu sunt confirmate de certificate de prestigiu emise de auditori statutari independenți. 

ISO 27001

ISO 27001 este unul dintre cele mai recunoscute standarde de siguranță. Google a câștigat certificatul pentru sistemele, tehnologiile, procesele și centrele de date care acceptă Google Workspace.  

Vizualizați certificatul

ISO 27017

ISO 27017 Este un standard internațional pentru securitatea informațiilor în serviciile cloud.

Vizualizați certificatul

ISO 27018

Este o dovadă internațională de protecție a datelor care poate fi utilizată pentru identificarea personală.

Vizualizați certificatul

SOC 2, SOC 3 și certificarea FedRAMP

Pe lângă certificările internaționale, Google a trecut cu succes auditurile de securitate și auditurile autorităților americane care pregătesc rapoartele SOC (Service Organization Controls) și FedRAMP (Federal Risk and Authorization Management Program).

Opțiuni administrative care pot afecta respectarea legilor aplicabile pentru Google Workspace

Google ia o serie de măsuri pentru a proteja datele pe care le prelucrează în numele clienților săi. Cu toate acestea, companiile care utilizează cloud-ul rămân operatorii de date, sunt responsabili pentru acestea. De aceea, Google a instruit persoanele care gestionează instanța Google Workspace cu ajutorul unor instrumente pentru ajustarea nivelului de protecție la nevoile individuale ale companiei. 

Autentificarea utilizatorului

Datele companiei stocate în cloud sunt disponibile pe orice dispozitiv la care se conectează un angajat. Prin urmare, administratorii Google Workspace ar trebui să acorde o atenție deosebită procesului de autorizare a accesului la conturi. Instrumentele care facilitează acest lucru includ:

  • Verificarea în doi pași – Administratorul poate introduce acest element suplimentar în timpul conectării, care protejează contul de hijacking.
  • Chei de securitate – Dispozitivele U2F sunt o variantă avansată a verificării în doi pași în care utilizatorul trebuie să aibă o cheie fizică pentru a se conecta.
  • Sign-on unic bazat pe SAML 2.0 –Single Sign-On este un serviciu care vă permite să accesați mai multe aplicații cu contul dvs. Google.
  • OAuth 2.0 și OpenID Connect vă permit să configurați SSO într-o mare varietate de soluții cloud.

Gestionarea datelor 

  • Securitatea IRM (Information Rights Management) – permite administratorilor să blocheze opțiunile de copiere, tipărire și descărcare pentru orice fișier din Google Drive.
  • Jurnal de audit Google Drive – monitorizarea activității utilizatorilor din domeniu. Permite administratorilor să verifice jurnalele modificărilor aduse fișierelor stocate în conturile Google de la serviciu. 
  • Alertele de securitate personalizate vor informa administratorii ori de câte ori cineva desfășoară activități suspecte în Google Drive. De exemplu, o alertă poate notifica administratorul dacă un fișier cu cuvântul „confidențial” în titlu devine partajat în afara domeniului.
  • Domenii de încredere – Administratorii pot crea o listă cu domenii care nu vor fi afectate de restricțiile de partajare a fișierelor externe.

Securitatea corespondenței digitale

  • Criptare suplimentară – Administratorul Google Workspace poate forța criptarea e-mailurilor trimise către sau de la un anumit domeniu folosind protocolul TLS (securitate transport).
  • Protecție anti-phishing – Hackerii de e-mail încearcă uneori să folosească impropriu domenii de încredere pentru a fura informații sensibile. Gmail din Google Workspace acceptă verificarea avansată a expeditorilor grație înregistrărilor DMARC și SPF și cheilor DKIM.
  • Prevenirea pierderii de date în Gmail – Sistemul DLP din Gmail scanează traficul de e-mail de intrare și de ieșire pentru a identifica conținutul sensibil. 
  • Reguli pentru gestionarea conținutului controversat – Un administrator Google Workspace poate seta reguli pentru a respinge automat sau a restricționa mesajele care conțin anumite cuvinte. 
  • Restricționarea schimbului de mesaje – administratorul poate autoriza domenii preselectate să trimită și să primească mesaje.

Arhivarea în caz de proceduri care necesită probe

Google Workspace în variantele Business Plus și Enterprise oferă companiilor un instrument util în cazul procedurilor de eDiscovery. Google Vault este un serviciu de arhivare, stocare, căutare și export de date din alte aplicații Google.

  • Reguli de stocare a arhivei de e-mail – administratorul poate seta orice reguli de stocare a e-mailurilor pentru întregul domeniu. Astfel de mesaje vor rămâne în arhivă chiar și atunci când utilizatorul le șterge din căsuța de e-mail. 
  • Căutări pe Drive și Gmail pe un domeniu – Cu Google Vault, un administrator poate căuta un întreg domeniu Google Workspace, inclusiv conținutul corespondenței de lucru. 
  • Export de dovezi – Google Vault vă ajută să culegeți și să exportați dovezi sub formă de fișiere, e-mailuri sau istoric de chat pe care compania dorește să le înmâne forțelor de ordine. 

Securitate Endpoint

  • Gestionarea dispozitivelor mobile – Fiecare dispozitiv care poate accesa datele companiei este alocat în consola de administrare. Datorită acestui fapt, administratorul poate reacționa rapid la furtul dispozitivului sau la activitate suspectă.
  • Securitate de navigare Chrome – administratorul poate seta regulile pentru conectarea utilizatorului la browsere.
  • Gestionarea dispozitivelor bazate pe sistemul de operare Chrome. Laptopuri sau hardware pentru videoconferință cu sistemul de operare Chrome și licențele Chrome Enterprise sunt controlate în totalitate de administrator. 

Recuperare date

  • Restabiliți un cont Google șters. Administratorul poate restaura orice cont de utilizator Google Workspace în termen de 5 zile de la ștergere.
  • Recuperarea datelor de pe Drive și Gmail. Corespondența Gmail și fișierele stocate pe Google Drive pot fi recuperate de administrator în 25 de zile din momentul în care utilizatorul le-a șters.

Centrul de securitate

Administratorii Google Workspace din Enterprise Suite au, de asemenea, acces la un instrument universal de securitate și analiză a amenințărilor. Centrul de securitate permite, printre altele:  

  • Generarea de rapoarte de securitate care să arate configurația curentă și să indice metode de ajustare a securității la cele mai bune practici recomandate de Google. 
  • Identificarea și gruparea problemele de securitate și confidențialitate din domeniul dvs.
  • Monitorizarea evenimentele neobișnuite într-un tablou de bord 100% transparent.

Rezumat 

Fiecare companie are cerințe diferite pentru serviciile care prelucrează datele clienților, angajaților și contractanților. Totul depinde de zona în care operează și de ce reglementări legale i se aplică. În final, administratorii sistemului Google Workspace au cel mai mare impact asupra securității companiei. 

Google Workspace oferă mai multe variante, fiecare oferind administratorilor un nivel diferit de control asupra securității domeniului. Cum diferă opțiunile de protecție de la pachet la pachet? Veți găsi o comparație completă a tuturor serviciilor pe această pagină.

Este atât de important să analizăm reglementările legale și să evaluăm riscul înainte de a alege serviciul cloud adecvat. De exemplu, dacă compania dvs. trebuie să stocheze date în arhivă pentru o anumită perioadă de timp în cazul unei inspecții, vă recomandăm Google Workspace în opțiunea Business Plus. Pe de altă parte, dacă aveți nevoie de o monitorizare avansată a activităților suspecte și aveți administratori de sistem cu experiență în echipa dvs., puteți descoperi întregul potențial al cloud-ului cu pachetul Enterprise.

Cuprins
Ce este cloudul public?
Reglementările care privesc direct Google Workspace
Cum rămân în control asupra datelor mele în cloud?
Prevenirea amenințărilor din partea Google
Certificări de securitate externe
Opțiuni administrative care pot afecta respectarea legilor aplicabile pentru Google Workspace
Rezumat

Laura Paraschiv are peste 5 ani de activitate ca jurnalist și alți 5 ani experiență de content writer și marketer. Nu are nicio problemă în a scrie pentru orice public sau industrie, dar mai mereu se bâlbâie când trebuie să scrie despre sine.