تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

نظرة عامة على الأمان والامتثال في "منصة خرائط Google"

تم إجراء آخر تعديل على هذا النصّ في فبراير 2025، ويعكس المحتوى الإجراء المعتمَد آنذاك. في إطار جهودنا المتواصلة لتحسين الحماية من أجل عملائنا، قد تتغيّر سياسات وأنظمة أمان Google من الآن فصاعدًا.

مقدمة

توفّر منصة خرائط Google واجهات برمجة تطبيقات وحِزم تطوير برامج للعملاء والشركاء من أجل تطوير تطبيقات ويب وتطبيقات متوافقة مع الأجهزة الجوّالة باستخدام تكنولوجيا المعلومات الجغرافية المكانية من Google. توفّر "منصة خرائط Google" أكثر من 50 واجهة برمجة تطبيقات وحزمة تطوير برامج (SDK) للعملاء في مختلف المجالات. بصفتك عميلاً في المجال، عليك غالبًا استيفاء متطلبات الأمان واستخدام البيانات والمتطلبات التنظيمية عند إنشاء حلولك. ويشمل ذلك التأكّد من أنّ التكنولوجيا التابعة لجهات خارجية تستوفي المتطلبات نفسها.

يقدّم هذا المستند ملخّصًا عامًا لعناصر التحكّم في الأشخاص والعمليات والتكنولوجيا التي توفّرها "منصة خرائط Google"، بالإضافة إلى وصف مزايا استخدام المنصة. أولاً، من المهم فهم الركيزتين الأساسيتين للتكنولوجيا التي تستند إليها "منصة خرائط Google":

التكنولوجيات ومراكز البيانات والبنية الأساسية التي توفّرها Google تعمل "منصة خرائط Google" بالكامل على مراكز البيانات والبنية التحتية التي توفّرها Google. واستنادًا إلى ذلك، يتم تطبيق عمليات تدقيق داخلية ومن جهات خارجية على عناصر التحكّم في الأمان التي يتم الحصول عليها من Google للتأكّد من أنّ "منصة خرائط Google" تنفّذ بشكل صحيح عناصر التحكّم في الأمان والتشغيل والجوانب الفنية الموضّحة في هذه المقالة.
تكنولوجيا "منصة خرائط Google" بالإضافة إلى عناصر التحكّم الموروثة، توفّر "منصة خرائط Google" عناصر تحكّم إضافية في الأمان والخصوصية والبيانات والعمليات لمجموعات منتجات Google.

يلخّص هذا المستند عمليات وعناصر التحكّم في الأمان في "منصة خرائط Google"، المقسّمة على النحو التالي:

التركيز على الأمان والخصوصية على جميع مستويات مؤسسة Google
البنية الأساسية التقنية وأمان الأجهزة
أمان العمليات
عناصر التحكّم الرئيسية في الأمان
أمان من جهة العميل، على الويب والأجهزة الجوّالة
الشهادات وعمليات التدقيق الحالية في "منصة خرائط Google"
الأُطر القانونية المتاحة على مستوى العالم

لمزيد من المعلومات، يمكن للعملاء المحتملين التواصل مع ممثل مبيعات Google.

ثقافة Google التي تركّز على الأمان والخصوصية

يؤثر الأمان في البنية التنظيمية والثقافة وأولويات التدريب وعمليات التوظيف في جميع أقسام Google. وهي تحدد تصميم مراكز بيانات Google والتكنولوجيا التي توفرها. يشكّل الأمان أساس عمليات Google اليومية، بما في ذلك التخطيط لمواجهة الكوارث وإدارة التهديدات. تعطي Google الأولوية للأمان في طريقة تعاملها مع البيانات وعناصر التحكّم في الحساب وعمليات تدقيق الامتثال وشهادات المجال. تصمّم Google خدماتها لتوفير أمان أفضل من العديد من البدائل المحلية التي تعتمد على مورّدين ومنصات متعددة، حيث يكون الأمان غالبًا عملية غير مرتبطة. يمكنك الاستفادة من برامج وعناصر تحكّم الأمان المتكاملة من Google عند استخدام منتجات "منصة خرائط Google" لنشاطك التجاري. تولي "منصة خرائط Google" الأمان أولوية قصوى في عملياتها التي تخدم أكثر من مليار مستخدم حول العالم.

توفّر Google و"منصة خرائط Google" معًا طبقات أمان متعدّدة في جميع أنحاء الشركة والمؤسسة:

فريق الأمان المخصّص في Google
فريق أمان منتجات "منصة خرائط Google"
المشاركة الفعّالة مع منتدى أبحاث الأمان العالمي
فريق الخصوصية في "منصة خرائط Google"
تدريب موظفي Google على الأمان والخصوصية
متخصّصون في التدقيق الداخلي والامتثال

فِرق الأمان المتخصّصة في Google

توفّر Google فِرقًا متخصّصة في الأمان في جميع أنحاء الشركة وضمن مجالات المنتجات.

تساعد فِرق الأمان في Google في دعم العديد من فئات المنتجات في Google، بما في ذلك "منصة خرائط Google". يضم فريق الأمان بعضًا من أبرز الخبراء على مستوى العالم في مجال أمن المعلومات وأمن التطبيقات والتشفير وأمن الشبكات. وتشمل أنشطتهم ما يلي:

تطوير عمليات الأمان ومراجعتها وتنفيذها: ويشمل ذلك مراجعة خطط الأمان لشبكات Google وتقديم استشارات خاصة بالمشاريع لفرق المنتجات والهندسة في جميع أنحاء Google. على سبيل المثال، يراجع متخصصو التشفير عمليات إطلاق المنتجات التي تستخدم التشفير كجزء من العرض.
إدارة التهديدات الأمنية بفعالية: يستخدم الفريق أدوات تجارية ومخصّصة لمراقبة التهديدات المستمرة والنشاط المريب على شبكات Google.
إجراء عمليات تدقيق وتقييمات روتينية، والتي يمكن أن تشمل الاستعانة بخبراء خارجيين لإجراء تقييمات الأمان
نشر مقالات عن الأمان في المنتدى الأوسع تتضمّن Google مدوّنة أمان وسلسلة فيديوهات على YouTube تسلطان الضوء على العديد من فِرق الأمان وإنجازاتها.

يتعاون فريق الأمان في "منصة خرائط Google" مع فريق الأمان على مستوى Google، ويعمل بشكل أوثق مع فريق تطوير المنتجات وفريق هندسة موثوقية الموقع (SRE) للإشراف على تنفيذ إجراءات الأمان. على وجه التحديد، يدير هذا الفريق ما يلي:

تعتمد اختبارات مقاومة الكوارث (DiRT) في "منصة خرائط Google"، والتي تختبر استمرارية العمل والتبديل الاحتياطي لمنتجات "منصة خرائط Google"، على البنية الأساسية العالية التوفّر من Google.
اختبار الاختراق الذي تجريه جهة خارجية تخضع منتجات "منصة خرائط Google" لاختبارات اختراق مرة واحدة على الأقل سنويًا بهدف تعزيز مستوى الأمان في Google وتزويدك بتأكيد مستقل على الأمان.

التعاون مع مجتمع أبحاث الأمان

لطالما تمتّعت Google بعلاقة وثيقة مع فريق البحث الأمني، وهي تقدّر كثيرًا مساعدتهم في تحديد الثغرات الأمنية المحتملة في "منصة خرائط Google" ومنتجات Google الأخرى. تشارك فِرق الأمان لدينا في أنشطة بحثية وتواصلية بهدف تقديم الفائدة إلى منتدى الإنترنت. على سبيل المثال، ندير Project Zero، وهو فريق من باحثي الأمان المتخصّصين في البحث عن ثغرات الهجمات الفورية. تشمل بعض الأمثلة على هذا البحث اكتشاف ثغرة Spectre وثغرة Meltdown وثغرة POODLE SSL 3.0 ونقاط ضعف مجموعة التشفير.

يشارك مهندسو الأمان والباحثون في Google بشكل نشط في مجتمع الأمان الأكاديمي ومجتمع أبحاث الخصوصية وينشرون أبحاثهم فيهما. يمكنك العثور على منشورات متعلقة بالأمان على موقع "أبحاث Google". نشرت فِرق الأمان في Google وصفًا تفصيليًا لممارساتها وخبراتها في كتاب Building Secure and Reliable Systems.

يقدّم برنامج مكافآت الثغرات الأمنية مكافآت تصل إلى عشرات الآلاف من الدولارات مقابل كل ثغرة أمنية يتم تأكيدها. يشجّع البرنامج الباحثين على الإبلاغ عن المشاكل المتعلّقة بالتصميم والتنفيذ والتي قد تعرّض بيانات العملاء للخطر. في عام 2023، منحت Google الباحثين أكثر من 10 مليون دولار أمريكي كجوائز. للمساعدة في تحسين أمان الرموز البرمجية المفتوحة المصدر، يوفّر "برنامج الثغرات الأمنية" أيضًا مجموعة متنوّعة من المبادرات للباحثين. لمزيد من المعلومات عن هذا البرنامج، بما في ذلك المكافآت التي قدّمتها Google، يُرجى الاطّلاع على الإحصاءات الرئيسية لبرنامج Bug Hunters.

يشارك خبراء التشفير العالميون لدينا في مشاريع تشفير رائدة في المجال. على سبيل المثال، صمّمنا إطار عمل الذكاء الاصطناعي الآمن (SAIF) للمساعدة في تأمين أنظمة الذكاء الاصطناعي. بالإضافة إلى ذلك، لحماية اتصالات TLS من هجمات الكمبيوتر الكمّي، طوّرنا خوارزمية التشفير Combined Elliptic-Curve and Post-Quantum ‏(CECPQ2). طوّر خبراء التشفير لدينا Tink، وهي مكتبة مفتوحة المصدر لواجهات برمجة التطبيقات الخاصة بالتشفير. نستخدم أيضًا مكتبة Tink في منتجاتنا وخدماتنا الداخلية.

لمزيد من المعلومات حول كيفية الإبلاغ عن مشاكل الأمان، يُرجى الاطّلاع على كيفية تعامل Google مع الثغرات الأمنية.

فريق الخصوصية المخصّص في "منصة خرائط Google"

يعمل فريق الخصوصية المخصّص بشكل منفصل عن فِرق تطوير المنتجات والأمان. وتدعم هذه اللجنة مبادرات الخصوصية الداخلية لتحسين جميع جوانب الخصوصية، بما في ذلك العمليات المهمة والأدوات الداخلية والبنية الأساسية وتطوير المنتجات. ينفِّذ فريق الخصوصية ما يلي:

يضمن أنّ كل عملية إطلاق لمنتج من منتجات "منصة Google للتسويق" تؤثر في الخصوصية تتضمّن معايير خصوصية صارمة و"الخصوصية تبعًا للتصميم" من خلال تقييم مستندات التصميم ومراجعة عملية الإطلاق
تقديم الاستشارات لفِرق منتجات "منصة Google للتسويق" في أي مرحلة من مراحل التطوير لتقديم المشورة بشأن سياسة الخصوصية والبنية الأساسية في Google، وتصميم الخصوصية، وتكنولوجيات وعناصر التحكّم التي تعزّز الخصوصية، وتقييم مخاطر الخصوصية والحدّ منها
بعد إطلاق المنتج، يشرف فريق الخصوصية على العمليات التي تتحقّق من جمع البيانات واستخدامها بشكل مناسب.
تُجري أبحاثًا حول أفضل ممارسات الخصوصية، وتساهم في فِرق العمل المعنية بمعايير الخصوصية الدولية، وتشارك في المؤتمرات والندوات الأكاديمية حول الخصوصية. .

تدريب موظفي Google على الأمان والخصوصية

يخضع جميع موظفي Google لتدريب على الأمان والخصوصية كجزء من عملية التعريف بالشركة، ويتلقّون تدريبًا مستمرًا على الأمان والخصوصية طوال مسيرتهم المهنية في Google. خلال جلسة التعريف، يوافق الموظفون الجدد على مدونة قواعد السلوك التي تؤكّد التزام Google بالحفاظ على سلامة معلومات العملاء وأمانها.

بناءً على الدور الوظيفي، قد يُطلب من الموظفين الخضوع لتدريب إضافي حول جوانب معيّنة من الأمان. على سبيل المثال، يقدّم فريق أمان المعلومات إرشادات للمهندسين الجدد بشأن ممارسات الترميز الآمن وتصميم المنتجات وأدوات الاختبار الآلي للثغرات الأمنية. يحضر المهندسون جلسات إحاطة منتظمة بشأن الأمان ويتلقّون نشرات إخبارية حول الأمان تتناول التهديدات الجديدة وأنماط الهجوم وتقنيات الحدّ من المخاطر وغير ذلك.

الأمان والخصوصية مجال دائم التغيّر، ونحن ندرك أنّ مشاركة الموظفين المخصّصين هي وسيلة أساسية لزيادة الوعي. ننظّم مؤتمرات داخلية منتظمة متاحة لجميع الموظفين لزيادة الوعي وتعزيز الابتكار في مجال الأمان وخصوصية البيانات. ننظّم فعاليات في مكاتبنا حول العالم لزيادة الوعي بشأن الأمان والخصوصية في تطوير البرامج والتعامل مع البيانات وتنفيذ السياسات.

متخصّصون في التدقيق الداخلي والامتثال

تضمّ "منصة خرائط Google" فريقًا متخصصًا في التدقيق الداخلي يراجع امتثال منتجات Google لقوانين ولوائح الأمان في جميع أنحاء العالم. عند إنشاء معايير تدقيق جديدة وتعديل المعايير الحالية، يحدّد فريق التدقيق الداخلي عناصر التحكّم والعمليات والأنظمة اللازمة للمساعدة في استيفاء هذه المعايير. ويقدّم هذا الفريق الدعم لعمليات التدقيق والتقييم المستقلة التي تجريها جهات خارجية. لمزيد من المعلومات، يُرجى الاطّلاع على قسم شهادات الأمان وعمليات التدقيق لاحقًا في هذا المستند.

نظام أساسي مصمّم مع مراعاة الأمان

تصمّم Google خوادمها وأنظمة التشغيل الخاصة بها ومراكز البيانات الموزّعة جغرافيًا وفقًا لمبدأ الدفاع المتعمّق. تستند Google Maps Platform إلى بنية أساسية تقنية مصمَّمة ومُنشأة للعمل بأمان. لقد أنشأنا بنية أساسية لتكنولوجيا المعلومات أكثر أمانًا وأسهل في الإدارة من الحلول التقليدية المستضافة أو تلك التي يتم توفيرها في الموقع.

مراكز بيانات حديثة

يُعدّ تركيز Google على أمان البيانات وحمايتها من بين معايير التصميم الأساسية في Google. الأمان المادي في مراكز بيانات Google هو نموذج أمان متعدد الطبقات. تشمل إجراءات الأمان المادية وسائل الحماية، مثل بطاقات الوصول الإلكترونية المصمَّمة خصيصًا، وأجهزة الإنذار، وحواجز وصول المركبات، وأسوار المحيط، وأجهزة الكشف عن المعادن، والمقاييس الحيوية. بالإضافة إلى ذلك، تستخدم Google تدابير أمان، مثل رصد التسلّل باستخدام أشعة الليزر والمراقبة على مدار الساعة طوال أيام الأسبوع باستخدام كاميرات داخلية وخارجية عالية الدقة، وذلك لرصد المتسلّلين وتتبّعهم. تتوفّر سجلّات الوصول وسجلّات الأنشطة ولقطات الكاميرا في حال وقوع أي حادث. يُجري حراس الأمن المتمرّسون، الذين خضعوا لعمليات تدقيق صارمة في خلفياتهم وتدريب مكثّف، دوريات روتينية في مراكز بيانات Google. وكلما اقتربت من أرضية مركز البيانات، تزداد تدابير الأمان. لا يمكن الوصول إلى أرضية مركز البيانات إلا من خلال ممر أمان يطبّق عناصر تحكّم متعددة العوامل في الوصول باستخدام شارات الأمان والقياسات الحيوية. يمكن للموظفين المعتمَدين فقط الذين لديهم أدوار محدّدة الدخول. لن يتمكّن أقل من واحد بالمئة من موظفي Google من دخول أحد مراكز بيانات Google.

تدير Google مراكز بيانات على مستوى العالم لزيادة سرعة خدماتها وموثوقيتها إلى أقصى حدّ. ويتم عادةً إعداد البنية الأساسية للتعامل مع الزيارات الواردة من مركز البيانات الأقرب إلى مصدر الزيارات. لذلك، قد يختلف الموقع الجغرافي الدقيق لبيانات "منصة خرائط Google" حسب مصدر حركة المرور هذه، وقد تتم معالجة هذه البيانات من خلال خوادم تقع في المنطقة الاقتصادية الأوروبية والمملكة المتحدة أو نقلها إلى بلدان ثالثة. تتوفّر عروض عملاء Google التي يتم فيها تنفيذ منتجات "منصة خرائط Google" بشكل عام على مستوى العالم، وغالبًا ما تجذب جمهورًا عالميًا. يتم نشر البنية التحتية الفنية التي تتيح هذه المنتجات على مستوى العالم للحدّ من وقت الاستجابة وضمان توفّر أنظمة احتياطية. تستخدم "منصة خرائط Google" مجموعة فرعية من شبكة مراكز البيانات العالمية التابعة لـ Google المدرَجة أدناه كمرجع:

خريطة العالم تعرض مواقع مراكز البيانات كنقاط زرقاء

أمريكا الشمالية والجنوبية

أوروبا

آسيا

توفير الطاقة لمراكز بيانات Google

للحفاظ على تشغيل الخدمات على مدار الساعة وتوفيرها بدون انقطاع، تتضمّن مراكز بيانات Google أنظمة طاقة احتياطية وعناصر تحكّم بيئية. يحتوي كل مكون أساسي على مصدر طاقة أساسي وبديل، ولكل منهما طاقة متساوية. يمكن أن توفّر المولدات الاحتياطية طاقة كهربائية كافية لتشغيل كل مركز بيانات بكامل طاقته في حالات الطوارئ. تحافظ أنظمة التبريد على درجة حرارة تشغيل ثابتة للخوادم والأجهزة الأخرى، ما يقلّل من خطر انقطاع الخدمة مع الحدّ من التأثير البيئي. تساعد معدات رصد الحرائق وإخمادها في منع تلف الأجهزة. تُطلق أجهزة استشعار الحرارة وأجهزة استشعار الحريق وأجهزة استشعار الدخان إنذارات مسموعة ومرئية في وحدات تحكّم عمليات الأمان وفي مكاتب المراقبة عن بُعد.

تُعدّ Google أول شركة كبرى لخدمات الإنترنت تحصل على شهادة خارجية تثبت استيفاءها لمعايير عالية في مجالات البيئة والسلامة في مكان العمل وإدارة الطاقة في جميع مراكز بيانات Google. على سبيل المثال، حصلت Google على شهادات اعتماد ISO 50001 الطوعية لمراكز البيانات التابعة لها في أوروبا، وذلك لإثبات التزامها بممارسات إدارة الطاقة.

أجهزة وبرامج خادم مخصّصة

تتضمّن مراكز بيانات Google خوادم ومعدات شبكة مصمّمة لأغراض محدّدة، وتصمّم Google بعضها. في حين أنّ خوادم Google مخصّصة لتحقيق الحد الأقصى من الأداء والتبريد وكفاءة استهلاك الطاقة، تم تصميمها أيضًا للمساعدة في الحماية من هجمات الاختراق المادي. وعلى عكس معظم الأجهزة المتاحة تجاريًا، لا تتضمّن خوادم Google مكونات غير ضرورية، مثل بطاقات الفيديو أو شرائح المعالجة أو موصلات الأجهزة الطرفية، وكلها يمكن أن تتسبّب في حدوث ثغرات أمنية. تتحقّق Google من بائعي المكوّنات وتختار المكوّنات بعناية، وتتعاون مع البائعين لمراجعة خصائص الأمان التي توفّرها المكوّنات والتحقّق من صحتها. تصمّم Google شرائح مخصّصة، مثل Titan، تساعدنا في التعرّف على أجهزة Google الأصلية والمصادقة عليها بشكل آمن على مستوى الأجهزة، بما في ذلك الرمز الذي تستخدمه هذه الأجهزة لتشغيلها.

يتم تخصيص موارد الخادم بشكل ديناميكي. ويمنحنا ذلك المرونة اللازمة لتحقيق النمو، كما يتيح لنا التكيّف بسرعة وفعالية مع طلب العملاء من خلال إضافة الموارد أو إعادة تخصيصها. يتم الحفاظ على هذه البيئة المتجانسة من خلال برنامج مملوك يراقب الأنظمة باستمرار بحثًا عن تعديلات على مستوى الرمز الثنائي. تم تصميم آليات الإصلاح الذاتي المبرمَجة من Google لتمكيننا من مراقبة الأحداث المزعزعة للاستقرار ومعالجتها، وتلقّي الإشعارات بشأن الحوادث، وإبطاء الاختراقات المحتملة على الشبكة.

نشر الخدمات الآمنة

خدمات Google هي ملفات التطبيقات الثنائية التي يكتبها مطوّرو Google ويشغّلونها على البنية الأساسية من Google. للتعامل مع حجم عبء العمل المطلوب، قد يتم تشغيل ملفات ثنائية للخدمة نفسها على آلاف الأجهزة. تتحكّم خدمة تنسيق المجموعات، التي تُعرف باسم Borg، في الخدمات التي تعمل مباشرةً على البنية التحتية.

لا تفترض البنية التحتية أي ثقة بين الخدمات التي يتم تشغيلها عليها. يُشار إلى نموذج الثقة هذا باسم نموذج أمان قائم على "نهج الثقة المعدومة". يعني نموذج الأمان المستنِد إلى نهج الثقة المعدومة أنّه لا يتم منح الثقة تلقائيًا لأي أجهزة أو مستخدمين، سواء كانوا داخل الشبكة أو خارجها.

وبما أنّ البنية الأساسية مصمَّمة لتكون متعددة المستأجرين، يتم توزيع البيانات الواردة من عملاء Google (المستهلكين والأنشطة التجارية وحتى بيانات Google نفسها) على البنية الأساسية المشترَكة. تتألف هذه البنية الأساسية من عشرات الآلاف من الأجهزة المتجانسة. لا تفصل البنية الأساسية بيانات العملاء على جهاز واحد أو مجموعة من الأجهزة

تتبُّع الأجهزة والتخلص منها

تتتبّع Google بدقة الموقع الجغرافي وحالة جميع المعدّات داخل مراكز البيانات باستخدام الرموز الشريطية وعلامات الأصول. تستخدم Google أجهزة كشف عن المعادن ومراقبة بالفيديو للمساعدة في التأكّد من عدم مغادرة أي معدّات لأرضية مركز البيانات بدون إذن. إذا تعذّر على أحد المكوّنات اجتياز اختبار الأداء في أيّ مرحلة من مراحل نشاطه، تتم إزالته من المستودع وإيقاف استخدامه نهائيًا.

تستخدم أجهزة التخزين من Google، بما في ذلك محركات الأقراص الثابتة ومحركات الأقراص ذات الحالة الصلبة ووحدات الذاكرة المزدوجة المضمّنة غير المتطايرة (DIMM)، تقنيات مثل "تشفير الأقراص بالكامل" (FDE) وقفل محرك الأقراص، لحماية البيانات غير النشطة. عند إيقاف جهاز تخزين نهائيًا، يتحقّق الأفراد المفوّضون من محو القرص من خلال كتابة أصفار على محرك الأقراص. ويتم أيضًا إجراء عملية تحقّق متعدّدة الخطوات لضمان عدم احتواء محرك الأقراص على أي بيانات. إذا تعذّر محو بيانات محرك الأقراص لأي سبب، يتم إتلافه ماديًا. يتم التدمير المادي باستخدام آلة تمزيق تقطّع محرك الأقراص إلى قطع صغيرة، ثم يتم إعادة تدويرها في منشأة آمنة. يلتزم كل مركز بيانات بسياسة صارمة للتخلص من النفايات، ويتم التعامل مع أي اختلافات على الفور.

مزايا الأمان التي توفّرها شبكة Google العالمية

في حلول السحابة الإلكترونية والحلول المحلية الأخرى الخاصة بالبيانات الجغرافية المكانية، تنتقل البيانات بين الأجهزة عبر الإنترنت العام في مسارات تُعرف باسم القفزات. ويعتمد عدد النقلات على المسار الأمثل بين مقدّم خدمة الإنترنت الخاص بالعميل ومركز البيانات. توفّر كل قفزة إضافية فرصة جديدة لمهاجمة البيانات أو اعتراضها. بما أنّ شبكة Google العالمية مرتبطة بمعظم مقدّمي خدمة الإنترنت في العالم، فإنّ شبكة Google تحدّ من عدد عمليات النقل عبر الإنترنت العام، وبالتالي تساعد في الحدّ من وصول الجهات المسيئة إلى هذه البيانات.

تستخدم شبكة Google طبقات متعدّدة من الدفاع، أي الدفاع في العمق، للمساعدة في حماية الشبكة من الهجمات الخارجية. ولا يُسمح إلا للخدمات والبروتوكولات المعتمَدة التي تستوفي متطلبات الأمان لدى Google بالمرور عبرها، ويتم تلقائيًا تجاهل أي شيء آخر. لفرض تقسيم الشبكة، تستخدم Google جدران الحماية وقوائم التحكّم بالوصول. يتم توجيه جميع الزيارات من خلال خوادم Google Front End (GFE) للمساعدة في رصد الطلبات الضارة وإيقافها، بالإضافة إلى هجمات رفض الخدمة الموزّعة (DDoS). ويتم فحص السجلّات بشكل روتيني للكشف عن أي استغلال لأخطاء برمجية. يقتصر الوصول إلى الأجهزة المرتبطة بشبكة على الموظفين المصرّح لهم فقط.

تتيح لنا البنية الأساسية العالمية من Google تشغيل Project Shield، وهي خدمة توفّر حماية مجانية وغير محدودة للمواقع الإلكترونية المعرَّضة لهجمات حجب الخدمة الموزّعة (DDoS) التي تُستخدم لمراقبة المعلومات. تتوفّر خدمة Project Shield للمواقع الإلكترونية الإخبارية ومواقع حقوق الإنسان ومواقع مراقبة الانتخابات.

حلول ذات وقت استجابة قصير وتوفّر عالٍ

تتألف شبكة بيانات بروتوكول الإنترنت من Google من الألياف الخاصة بها والألياف المتاحة للجميع والكابلات تحت سطح البحر. تتيح لنا هذه الشبكة تقديم خدمات عالية التوفّر وبزمن استجابة منخفض في جميع أنحاء العالم.

تصمّم Google مكونات منصتها لضمان توفّر احتياط لها في حالات الطوارئ. وتسري هذه النسخ الاحتياطية على تصميم خوادم Google وطريقة تخزين Google للبيانات وعلى الاتصال بالشبكة والإنترنت وعلى خدمات البرامج نفسها. وتشمل هذه "النسخ الاحتياطية لكل شيء" معالجة الاستثناءات، كما أنّها توفّر حلاً لا يعتمد على خادم واحد أو مركز بيانات واحد أو اتصال شبكة واحد.

فمراكز بيانات Google موزَّعة جغرافيًا للحد من آثار الاضطرابات المحلية على المنتجات العالمية، مثل الكوارث الطبيعية وانقطاعات الخدمة المحلية. في حال تعطُّل الأجهزة أو البرامج أو الشبكة، يتم نقل خدمات النظام الأساسي ومستويات التحكّم تلقائيًا وبسرعة من منشأة إلى أخرى لكي تواصل الخدمات العمل بدون انقطاع.

تساعدك البنية الأساسية القائمة على الاحتياط من Google أيضًا في حماية نشاطك التجاري من فقدان البيانات. تم تصميم أنظمة Google للحدّ من فترات التوقف أو الصيانة التي نحتاج إليها لتقديم الخدمة أو ترقية منصتنا.

أمان العمليات

الأمان جزء لا يتجزأ من عمليات Google، وليس مجرد فكرة لاحقة. يوضّح هذا القسم برامج إدارة الثغرات الأمنية وبرنامج منع البرامج الضارة وبرامج مراقبة الأمان وإدارة الحوادث في Google.

إدارة الثغرات الأمنية

تتضمّن عملية إدارة الثغرات الأمنية الداخلية في Google فحصًا نشطًا للبحث عن التهديدات الأمنية في جميع حِزم التكنولوجيا. تستخدم هذه العملية مجموعة من الأدوات التجارية والمفتوحة المصدر والمصمَّمة خصيصًا داخل الشركة، وتشمل ما يلي:

عمليات ضمان الجودة
مراجعات أمان البرامج
جهود اختراق مكثّفة بشكل آلي ويدوي، بما في ذلك تمارين Red Team الشاملة
إجراء اختبار اختراق خارجي متكرّر لمنتجات Google Maps Platform
عمليات التدقيق الخارجية المتكرّرة

تتحمّل مؤسسة إدارة الثغرات الأمنية وشركاؤها مسؤولية تتبُّع الثغرات الأمنية ومتابعتها. بما أنّ مستوى الأمان يتحسّن فقط بعد معالجة المشاكل بالكامل، فإنّ مسارات التشغيل الآلي تعيد تقييم حالة نشر التصحيح باستمرار للحدّ من الثغرات الأمنية والإبلاغ عن عمليات النشر غير الصحيحة أو الجزئية.

للمساعدة في تحسين إمكانات الرصد، تركّز مؤسسة إدارة الثغرات الأمنية على المؤشرات العالية الجودة التي تفصل الضوضاء عن الإشارات التي تشير إلى تهديدات حقيقية. وتشجّع المؤسسة أيضًا على التفاعل مع المجال ومع منتدى المصادر المفتوحة. على سبيل المثال، يديرون برنامج مكافآت تصحيح الأخطاء لأداة فحص أمان الشبكة تسونامي، والذي يكافئ المطوّرين الذين ينشئون أدوات مفتوحة المصدر لرصد الثغرات الأمنية.

الحماية من البرامج الضارة

توفّر Google إجراءات حماية من البرامج الضارة لمنتجاتنا الأساسية (مثل Gmail وGoogle Drive وGoogle Chrome وYouTube و"إعلانات Google" و"بحث Google") التي تستخدم مجموعة متنوعة من أساليب رصد البرامج الضارة. لاكتشاف ملفات البرامج الضارة بشكل استباقي، نستخدم الزحف على الويب وتفجير الملفات والرصد الثابت المخصّص والرصد الديناميكي والرصد المستند إلى تعلُّم الآلة. نستخدِم أيضًا محركات متعددة لمكافحة الفيروسات.

للمساعدة في حماية موظفينا، نستخدم إمكانات الأمان المتقدّمة المدمجة في Chrome Enterprise Premium وميزة "الحماية المحسّنة للتصفّح الآمن" في Google Chrome. تتيح هذه الإمكانات رصد مواقع التصيّد الاحتيالي والبرامج الضارة بشكل استباقي أثناء تصفّح موظفينا للويب. نفعّل أيضًا إعدادات الأمان الأكثر صرامة المتوفّرة في Google Workspace، مثل "وضع الحماية للأمان" في Gmail، لفحص المرفقات المشبوهة بشكل استباقي. تتضمّن سجلّات هذه الإمكانات أنظمة مراقبة الأمان، كما هو موضّح في القسم التالي.

مراقبة الأمان

يركّز برنامج مراقبة الأمان في Google على المعلومات التي يتم جمعها من حركة بيانات الشبكة الداخلية، ومن إجراءات الموظفين على الأنظمة، ومن المعلومات الخارجية حول الثغرات الأمنية. من المبادئ الأساسية في Google تجميع جميع بيانات القياس عن بُعد المتعلقة بالأمان وتخزينها في مكان واحد لإجراء تحليل موحّد للأمان.

في العديد من النقاط على مستوى شبكة Google العالمية، يتم فحص حركة البيانات الداخلية بحثًا عن سلوك مريب، مثل رصد حركة بيانات قد تشير إلى عمليات ربط بشبكات الروبوتات. تستخدم Google مزيجًا من الأدوات التجارية والمفتوحة المصدر لتسجيل عدد الزيارات وتحليله، ما يتيح لها إجراء هذا التحليل. يستند هذا التحليل أيضًا إلى نظام ارتباط خاص مبني على تكنولوجيا Google. تُكمل Google تحليل الشبكة من خلال فحص سجلّات النظام لتحديد السلوك غير المعتاد، مثل محاولات الوصول إلى بيانات العملاء.

يراقب فريق تحليل التهديدات في Google الجهات التي تنفّذ التهديدات وتطوّر أساليبها وتقنياتها. يراجع مهندسو الأمان في Google تقارير الأمان الواردة ويراقبون القوائم البريدية العامة ومشاركات المدونات ومواقع الويكي. يساعد التحليل التلقائي للشبكة والتحليل التلقائي لسجلات النظام في تحديد الحالات التي قد يكون فيها تهديد غير معروف. إذا رصدت العمليات المبرمَجة مشكلة، يتم تصعيدها إلى الموظفين المختصين بالأمان في Google.

كشف التسلُّل

تستخدم Google مسارات معالجة بيانات متطورة لدمج الإشارات المستندة إلى المضيف على الأجهزة الفردية، والإشارات المستندة إلى الشبكة من نقاط مراقبة مختلفة في البنية الأساسية، والإشارات من خدمات البنية الأساسية. تمنح القواعد والذكاء الآلي المستند إلى مسارات البيانات هذه مهندسي أمن العمليات تحذيرات بشأن الحوادث المحتملة. تتولّى فِرق التحقيق والاستجابة للحوادث في Google تقييم هذه الحوادث المحتملة والتحقيق فيها والاستجابة لها على مدار الساعة وطوال أيام الأسبوع والعام. تُجري Google تدريبات "الفريق الأحمر" بالإضافة إلى اختبارات الاختراق الخارجية لقياس مدى فعالية آليات الكشف والاستجابة في Google وتحسينها.

إدارة الحوادث

تتّبع Google عملية صارمة لإدارة الحوادث المتعلقة بأحداث الأمان التي قد تؤثر في سرية الأنظمة أو البيانات أو سلامتها أو مدى توفّرها. يرتكز برنامج إدارة حوادث الأمان في Google على إرشادات المعهد الوطني للمعايير والتكنولوجيا (NIST) بشأن التعامل مع الحوادث (NIST SP 800–61). توفّر Google تدريبًا لأعضاء فريق العمل الرئيسيين في مجال الطب الشرعي وفي التعامل مع الأدلة استعدادًا لأي حدث، بما في ذلك استخدام أدوات تابعة لجهات خارجية وأدوات خاصة.

تختبر Google خطط الاستجابة للحوادث في المجالات الرئيسية. وتأخذ هذه الاختبارات في الاعتبار سيناريوهات مختلفة، بما في ذلك التهديدات الداخلية وثغرات البرامج. للمساعدة في ضمان حلّ الحوادث الأمنية بسرعة، يتوفّر فريق الأمان في Google على مدار الساعة لجميع الموظفين.

لمزيد من المعلومات حول عملية الاستجابة لحوادث البيانات، يُرجى الاطّلاع على مقالة إدارة الحوادث في "منصة خرائط Google".

ممارسات تطوير البرامج

تستخدم Google وسائل حماية للتحكّم في المصدر وعمليات مراجعة من طرفين للحدّ بشكل استباقي من إدخال الثغرات الأمنية. توفّر Google أيضًا مكتبات تمنع المطوّرين من إدخال أنواع معيّنة من أخطاء الأمان. على سبيل المثال، لدى Google مكتبات وأُطر مصمّمة لإزالة الثغرات الأمنية المتعلقة بالبرمجة النصية على المواقع الإلكترونية (XSS) في حِزم تطوير البرامج (SDK). تتوفّر لدى Google أيضًا أدوات مبرمَجة لرصد أخطاء الأمان، مثل أدوات التشويش وأدوات التحليل الثابت وماسحات ضوئية لأمان الويب.

ميزات حماية رمز المصدر

يتم تخزين الرمز المصدر لـ Google في مستودعات تتضمّن ميزات مدمجة لضمان سلامة المصدر وإدارته، ما يتيح تدقيق الإصدارات الحالية والسابقة من الخدمة. تتطلّب البنية الأساسية إنشاء ملفات ثنائية لخدمة معيّنة من رمز مصدر محدّد بعد مراجعته وتسجيله واختباره. التحقّق من إذن الوصول الثنائي إلى Borg (BAB) هو عملية تحقّق داخلية من التنفيذ تحدث عند نشر إحدى الخدمات. تنفِّذ ميزة "الاستهداف المستند إلى الجمهور" ما يلي:

يضمن هذا الإجراء أن تتم مراجعة برامج الإنتاج والإعدادات التي يتم نشرها في Google والموافقة عليها، خاصةً عندما يمكن لهذا الرمز الوصول إلى بيانات المستخدمين
يضمن استيفاء عمليات نشر الرموز والإعدادات لمعايير دنيا معيّنة
يحدّ من قدرة المطلعين أو الخصوم على إجراء تعديلات ضارة على رمز المصدر، كما يوفّر مسارًا جنائيًا من الخدمة إلى مصدرها.

الحدّ من المخاطر الداخلية

تفرض Google قيودًا على أنشطة الموظفين الذين تم منحهم إذن وصول إداري إلى البنية الأساسية وتراقب هذه الأنشطة بشكل نشط. تعمل Google باستمرار على إلغاء الحاجة إلى أذونات وصول مميّزة لتنفيذ مهام معيّنة من خلال استخدام عمليات مبرمَجة يمكنها إنجاز المهام نفسها بطريقة آمنة ومحكومة. على سبيل المثال، تتطلّب Google موافقة من طرفين على بعض الإجراءات، وتستخدم Google واجهات برمجة تطبيقات محدودة تتيح تصحيح الأخطاء بدون الكشف عن معلومات حساسة.

يتم تسجيل وصول موظفي Google إلى معلومات المستخدمين النهائيين من خلال أدوات ربط البنية الأساسية ذات المستوى المنخفض. يراقب فريق الأمان في Google أنماط الوصول ويتحقّق من الأحداث غير العادية.

اختبار التعافي من الكوارث (DiRT)

تُجري "منصة خرائط Google" سنويًا أحداثًا متعددة الأيام على مستوى الشركة لاختبار التعافي من الكوارث (DiRT) وذلك لضمان استمرار تشغيل خدمات "منصة خرائط Google" وعمليات النشاط التجاري الداخلية أثناء وقوع كارثة. تم تطوير DiRT للعثور على نقاط ضعف في الأنظمة المهمة من خلال التسبّب عمدًا في حدوث أعطال، ولإصلاح نقاط الضعف هذه قبل حدوث الأعطال بطريقة غير منضبطة. تختبر DiRT مدى فعالية Google من الناحية الفنية من خلال إيقاف الأنظمة المباشرة، كما تختبر مدى قدرة Google على استعادة الخدمات من خلال منع الموظفين الأساسيين والخبراء في المجال والقادة من المشاركة بشكل صريح. يجب أن تخضع جميع الخدمات المتاحة بشكل عام لاختبارات DiRT مستمرة ونشطة، وأن يتم التحقّق من مرونتها ومدى توفّرها.

للاستعداد لتدريب DiRT، تستخدم Google مجموعة متّسقة من القواعد بشأن تحديد الأولويات وبروتوكولات الاتصال وتوقّعات التأثير ومتطلبات تصميم الاختبار، بما في ذلك خطط التراجع التي تمت مراجعتها والموافقة عليها مسبقًا. لا تفرض تدريبات وسيناريوهات DiRT حالات تعذُّر فني في الخدمة نفسها فحسب، بل يمكن أن تتضمّن أيضًا حالات تعذُّر مصمَّمة في العمليات وتوفُّر الموظفين الرئيسيين والأنظمة الداعمة والاتصالات وإمكانية الوصول الفعلي. تتحقّق أداة DiRT من أنّ العمليات المطبّقة تعمل بالفعل على أرض الواقع. ويضمن أيضًا تدريب الفرق مسبقًا وتزويدها بالخبرة التي يمكنها الاستفادة منها أثناء حالات انقطاع الخدمة والاضطرابات والكوارث الفعلية، سواء كانت من صنع الإنسان أو طبيعية.

عناصر التحكّم الرئيسية في الأمان

يوضّح هذا القسم عناصر التحكّم الرئيسية في الأمان التي تنفّذها Google Maps Platform لحماية منصتها.

التشفير

تضيف عملية التشفير طبقة دفاعية لحماية البيانات. يضمن التشفير أنّه إذا تمكّن أحد المهاجمين من الوصول إلى البيانات، لن يتمكّن من قراءتها بدون مفاتيح التشفير. حتى إذا تمكّن أحد المهاجمين من الوصول إلى البيانات (على سبيل المثال، من خلال الوصول إلى اتصال سلكي بين مراكز البيانات أو سرقة جهاز تخزين)، لن يتمكّن من فهمها أو فك تشفيرها.

يوفّر التشفير آلية مهمة في الطريقة التي تساعد بها Google في حماية خصوصية البيانات. ويتيح ذلك للأنظمة معالجة البيانات، مثلاً لأغراض النسخ الاحتياطي، كما يتيح للمهندسين دعم البنية الأساسية من Google، بدون منح هذه الأنظمة أو الموظفين إذن الوصول إلى المحتوى.

التشفير في حال عدم النشاط

يشير التشفير "أثناء عدم النقل" في هذا القسم إلى التشفير المستخدَم لحماية البيانات المخزَّنة على قرص (بما في ذلك محركات الأقراص ذات الحالة الصلبة) أو وسائط النسخ الاحتياطي. يتم تشفير البيانات على مستوى مساحة التخزين، وعادةً ما يتم ذلك باستخدام معيار التشفير المتقدّم AES256. يتم غالبًا تشفير البيانات على مستويات متعددة في حزمة التخزين الخاصة ببيانات الإنتاج في مراكز بيانات Google، بما في ذلك على مستوى الأجهزة، بدون أن نطلب من عملاء Google اتخاذ أي إجراء.

يؤدي استخدام طبقات متعددة من التشفير إلى إضافة حماية مكرّرة للبيانات ويسمح لـ Google باختيار الطريقة المثلى استنادًا إلى متطلبات التطبيق. تستخدم Google مكتبات تشفير شائعة تتضمّن وحدة Google التي تم التحقّق من صحتها وفقًا لمعيار FIPS 140-2 لتنفيذ التشفير بشكل متّسق في جميع المنتجات. ويعني الاستخدام المتّسق للمكتبات الشائعة أنّ فريقًا صغيرًا فقط من خبراء التشفير يحتاج إلى تنفيذ هذه الشفرة التي تخضع لرقابة صارمة ومراجعة دقيقة والحفاظ عليها.

حماية البيانات أثناء نقلها

قد تكون البيانات عرضة للوصول غير المصرَّح به أثناء نقلها عبر الإنترنت. تتيح "منصة خرائط Google" التشفير القوي أثناء نقل البيانات بين أجهزة العملاء وشبكاتهم وخوادم Google Front End (GFE) التابعة لشركة Google. تنصح Google العملاء/المطوّرين باستخدام أقوى مجموعة تشفير متوافقة مع Google (الإصدار 1.3 من بروتوكول أمان النقل) عند إنشاء التطبيقات كأفضل ممارسة. لدى بعض العملاء حالات استخدام تتطلّب مجموعات تشفير قديمة لأسباب تتعلّق بالتوافق، لذا تتيح "منصة خرائط Google" هذه المعايير الأقل أمانًا، ولكنّها لا تنصح باستخدامها كلما أمكن ذلك. توفّر لك Google Cloud أيضًا خيارات تشفير إضافية للنقل، بما في ذلك Cloud VPN لإنشاء شبكات خاصة افتراضية باستخدام بروتوكول IPsec لمنتجات "منصة خرائط Google".

حماية البيانات أثناء نقلها بين مراكز بيانات Google

يضمن بروتوكول أمان طبقة النقل على مستوى التطبيق (ALTS) حماية سلامة عدد الزيارات إلى Google وتشفيرها حسب الحاجة. بعد اكتمال بروتوكول المصافحةبين العميل والخادم، وبعد أن يتفاوض العميل والخادم على الأسرار المشتركة اللازمة للتشفير والمصادقة على زيارات الشبكة، يوفّر نظام ALTS الأمان لزيارات استدعاء الإجراء عن بُعد (RPC) من خلال فرض السلامة باستخدام الأسرار المشتركة التي تم التفاوض عليها. تتيح Google استخدام بروتوكولات متعددة لضمان التكامل، مثل AES-GMAC (معيار التشفير المتقدّم)، مع مفاتيح 128 بت. عندما تغادر الزيارات حدودًا مادية تتحكّم فيها Google أو تتحكّم فيها جهة أخرى نيابةً عنها، مثلاً أثناء نقلها عبر شبكة WAN (شبكة واسعة النطاق) بين مراكز البيانات، يتم تلقائيًا ترقية جميع البروتوكولات لتوفير ضمانات التشفير والسلامة.

مدى توفّر خدمات Google Maps Platform

قد لا تتوفّر بعض خدمات "منصة خرائط Google" في جميع المناطق الجغرافية. بعض حالات انقطاع الخدمة تكون مؤقتة (بسبب حدث غير متوقّع، مثل انقطاع الشبكة)، ولكن بعض القيود المفروضة على الخدمة تكون دائمة بسبب القيود التي تفرضها الحكومة. يعرض تقرير الشفافية الشامل ولوحة بيانات الحالة من Google الأعطال الحديثة والمستمرة في حركة البيانات إلى خدمات "منصة خرائط Google". تقدّم Google هذه البيانات لمساعدتك في تحليل معلومات وقت التشغيل وفهمها.

الأمان من جهة العميل

الأمان هو مسؤولية مشترَكة بين مقدّم خدمة السحابة الإلكترونية والعميل أو الشريك الذي يستخدم منتجات "منصة خرائط Google". يوضّح هذا القسم مسؤوليات العميل/الشريك التي يجب أخذها في الاعتبار عند تصميم حلّ Google Maps Platform.

واجهات برمجة تطبيقات JavaScript

المواقع الإلكترونية الآمنة

تنشر Maps JavaScript API مجموعة من الاقتراحات التي تتيح للعميل تحسين "سياسة أمان المحتوى" (CSP) الخاصة بموقعه الإلكتروني لتجنُّب الثغرات الأمنية، مثل البرمجة النصية على مستوى المواقع الإلكترونية، والنقر المخادع، وهجمات إدخال البيانات. تتيح واجهة برمجة تطبيقات JavaScript نوعَين من سياسة أمان المحتوى: سياسة أمان المحتوى الصارمة التي تستخدم أرقامًا عشوائية وسياسة أمان المحتوى التي تستخدم قائمة السماح.

JavaScript الآمنة

يتم فحص JavaScript بانتظام بحثًا عن أنماط مكافحة الأمان المعروفة، ويتم حلّ المشاكل بسرعة. يتم إصدار واجهة برمجة تطبيقات JavaScript بشكل أسبوعي أو عند الطلب في حال حدوث أي مشاكل.

أمان تطبيقات الأجهزة الجوّالة (MAS)

أمان تطبيقات الأجهزة الجوّالة (MAS) هو جهد مفتوح ومرن ومستند إلى المصادر الجماعية، ويستند إلى مساهمات عشرات المؤلّفين والمراجعين من جميع أنحاء العالم. يوفّر المشروع الرئيسي لأمان تطبيقات الأجهزة الجوّالة (MAS) من OWASP معيارًا للأمان في تطبيقات الأجهزة الجوّالة (OWASP MASVS) ودليل اختبار شامل (OWASP MASTG) يغطي العمليات والأساليب والأدوات المستخدَمة أثناء اختبار أمان تطبيقات الأجهزة الجوّالة، بالإضافة إلى مجموعة شاملة من حالات الاختبار التي تتيح للمختبِرين تقديم نتائج متسقة وكاملة.

يوفّر معيار التحقّق من أمان تطبيقات الأجهزة الجوّالة (MASVS) من OWASP أساسًا لاختبارات الأمان الكاملة والمتسقة لكل من iOS وAndroid.
دليل اختبار أمان تطبيقات الأجهزة الجوّالة (MASTG) من OWASP هو دليل شامل يغطّي العمليات والأساليب والأدوات المستخدَمة أثناء تحليل أمان تطبيقات الأجهزة الجوّالة، بالإضافة إلى مجموعة شاملة من حالات الاختبار للتحقّق من المتطلبات الواردة في معيار MASVS.
تحتوي قائمة التحقّق من أمان تطبيقات الأجهزة الجوّالة من OWASP على روابط تؤدي إلى حالات اختبار "دليل اختبار أمان تطبيقات الأجهزة الجوّالة" (MASTG) لكل عنصر تحكّم في "معيار التحقّق من أمان تطبيقات الأجهزة الجوّالة" (MASVS).
- تقييمات الأمان / اختبارات الاختراق: تأكَّد من تغطية مساحة الهجوم العادية على الأقل وابدأ في استكشافها.
- الامتثال للمعايير: يتضمّن إصدارات MASVS وMASTG ومعرّفات الالتزام.
- تعلَّم مهارات الأمان على الأجهزة الجوّالة وتدرَّب عليها.
- برامج مكافآت اكتشاف الأخطاء: اتّبِع الخطوات التالية لتغطية فرص الهجوم على الأجهزة الجوّالة.

ننصحك بالاستفادة من معيار OWASP MAS لتعزيز أمان تطبيقات iOS وAndroid وإمكانات الاختبار والمصادقة.

Android

عند تطوير تطبيقات Android، هناك مرجع آخر يجب أخذه في الاعتبار وهو أفضل الممارسات التي توصي بها منتدى Android بشأن التطبيقات. تحتوي إرشادات الأمان على إرشادات حول أفضل الممارسات لفرض الاتصالات الآمنة وتحديد الأذونات الصحيحة وتخزين البيانات بشكل آمن واعتماد الخدمات وغير ذلك.

iOS

عند تطوير تطبيقات iOS، ننصحك بالاطّلاع على مقدمة حول دليل الترميز الآمن من Apple، الذي يتضمّن أفضل الممارسات لمنصة iOS.

جمع البيانات واستخدامها والاحتفاظ بها

تلتزم "منصة خرائط Google" بالشفافية في ما يتعلق بجمع البيانات واستخدامها والاحتفاظ بها. يخضع جمع البيانات واستخدامها والاحتفاظ بها في "منصة خرائط Google" لبنود خدمة "منصة خرائط Google"، والتي تتضمّن سياسة خصوصية Google.

جمع البيانات

يتم جمع البيانات من خلال استخدام منتجات "منصّة خرائط Google". بصفتك عميلاً، يمكنك التحكّم في المعلومات التي ترسلها إلى "منصة خرائط Google" من خلال واجهات برمجة التطبيقات ومجموعات SDK. يتم تسجيل جميع طلبات Google Maps Platform، بما في ذلك رموز حالة الاستجابة من المنتج.

البيانات المسجّلة في "منصة خرائط Google"

تسجّل "منصة خرائط Google" البيانات في جميع حِزم المنتجات. تحتوي السجلات على إدخالات متعددة تتضمّن عادةً ما يلي:

معرّف الحساب الذي يمكن أن يكون مفتاح API أو رقم تعريف العميل أو رقم مشروع Cloud هذا الإجراء مطلوب للعمليات والدعم والفوترة.
عنوان IP للخادم أو الخدمة أو الجهاز الذي يرسل الطلب بالنسبة إلى واجهات برمجة التطبيقات، يُرجى العِلم أنّ عنوان IP الذي يتم إرساله إلى "منصة خرائط Google" سيعتمد على طريقة تنفيذ استدعاء واجهة برمجة التطبيقات في تطبيقك أو حلك. بالنسبة إلى حِزم تطوير البرامج (SDK)، يتم تسجيل عنوان IP للجهاز الذي تم استدعاء الحزمة منه.
عنوان URL للطلب، الذي يحتوي على واجهة برمجة التطبيقات والمَعلمات التي يتم تمريرها إلى واجهة برمجة التطبيقات على سبيل المثال، تتطلّب Geocoding API مَعلمتَين (العنوان ومفتاح واجهة برمجة التطبيقات). تتضمّن عملية الترميز الجغرافي أيضًا عددًا من المَعلمات الاختيارية. سيتضمّن عنوان URL للطلب جميع المَعلمات التي تم تمريرها إلى الخدمة.
تاريخ الطلب ووقته
يتم تسجيل عناوين الطلبات في تطبيقات الويب، وهي تتضمّن عادةً بيانات مثل نوع متصفّح الويب ونظام التشغيل.
التطبيقات على الأجهزة الجوّالة التي تستخدم حزمة تطوير برامج (SDK) (Android وiOS) تسجّل الإصدار والمكتبة واسم التطبيق.

الوصول إلى سجلّات Google Maps Platform

يتم حصر الوصول إلى السجلات بشكل كبير، ولا يُسمح به إلا لأعضاء فريق محدّدين لديهم حاجة مشروعة مرتبطة بالنشاط التجاري. يتم توثيق كل طلب وصول إلى ملفات السجلّ لأغراض التدقيق، ويتم التحقّق من ذلك من خلال عمليات التدقيق التي تجريها جهات خارجية وفقًا لمعيارَي ISO 27001 وSOC 2 من Google.

استخدام البيانات

تُستخدَم البيانات التي تجمعها "منصة خرائط Google" للأغراض التالية:

تحسين منتجات Google وخدماتها
تقديم الدعم الفني للعملاء
المراقبة التشغيلية والتنبيهات
الحفاظ على أمان المنصة
تخطيط سعة المنصة

يُرجى العلم أنّ Google لا تبيع معلوماتك الشخصية إلى جهات خارجية كما هو موضّح في سياسة خصوصية Google.

الاحتفاظ بالبيانات وإخفاء هويتها

قد يتم الاحتفاظ ببيانات المستخدمين التي يتم جمعها في سجلات "منصة خرائط Google" لفترات زمنية مختلفة استنادًا إلى احتياجات النشاط التجاري، وذلك وفقًا لسياسات التخزين والاحتفاظ بالبيانات. يتم الاحتفاظ ببيانات المستخدمين فقط عند الحاجة إليها لأغراض تجارية مشروعة، ويتم حذفها عندما لا تكون ضرورية للأغراض التي تم جمع البيانات من أجلها. يتم تحديد وسائل الحذف المقبولة بدقة وتشمل جميع الطبقات من خلال جمع البيانات غير الضرورية. تتم مراقبة عمليات الحذف والتحقّق منها لضمان الامتثال.

قد يتم الاحتفاظ بإحصاءات الاستخدام المجمّعة والمخفية الهوية والمستمدة من السجلات لفترة أطول. يراجع فريق الخصوصية جميع عمليات إخفاء هوية البيانات للتأكّد من أنّها تستوفي معيارًا فنيًا كافيًا ومناسبة لتلبية احتياجات الخصوصية والمنتج والمتطلبات التنظيمية.

دعم متطلبات الامتثال

تخضع "منصة خرائط Google" بانتظام لعمليات تحقّق تُجريها جهات مستقلة للتأكُّد من اتباع ضوابط الأمان والامتثال والجودة، وتحصل على شهادات وإقرارات وتقارير تدقيق لإثبات الامتثال. في ما يلي المعايير الدولية الرئيسية التي يتم التدقيق فيها:

بالإضافة إلى ذلك، تتوفّر تقارير SOC 2 وSOC 3 لعملائنا. نشارك أيضًا في أُطر عمل خاصة بالقطاعات والبلدان، مثل NIST 800-53 وTISAX (ألمانيا).

للاطّلاع على قائمة كاملة بعروض الامتثال، يُرجى الانتقال إلى مركز الثقة للأمان والامتثال.

ملخّص

الأمان هو معيار أساسي في تصميم كل البنى الأساسية والمنتجات والعمليات في Google. إنّ نطاق عمليات Google وتعاونها مع مجتمع أبحاث الأمان يتيحان لنا معالجة الثغرات الأمنية بسرعة، وفي كثير من الأحيان منع حدوثها تمامًا. تُشغّل Google خدماتها، مثل "بحث Google" وYouTube وGmail، على البنية الأساسية نفسها التي تتيحها لعملائها، الذين يستفيدون بشكل مباشر من ضوابط الأمان وممارسات الأمان التي تتّبعها Google.

تؤمن Google بأنّها تستطيع توفير مستوى من الحماية لا يمكن أن يوفّره سوى عدد قليل من موفّري الخدمات السحابية العامة أو فِرق تكنولوجيا المعلومات الخاصة بالمؤسسات. بما أنّ حماية البيانات هي أساس عمل Google، يمكننا إجراء استثمارات كبيرة في الأمان والموارد والخبرات على نطاق لا يمكن للآخرين تحقيقه. يساعدك استثمار Google في التركيز على عملك التجاري والابتكار. سنواصل الاستثمار في منصتنا لنوفّر لك خدمات Google بطريقة آمنة وشفافة.

الخطوات التالية

لمزيد من المعلومات حول ثقافة الأمان وفلسفتها، يمكنك الاطّلاع على Building Secure and Reliable Systems (كتاب O'Reilly).
للاطّلاع على مزيد من المعلومات عن أفضل الممارسات المقترَحة، يُرجى قراءة إرشادات الأمان في "منصة خرائط Google".
لمزيد من المعلومات حول المنتجات التي تشملها شهادة الاعتماد بالامتثال، يُرجى الاطّلاع على خدمات "منصة خرائط Google" التي يشملها برنامج الامتثال.
لمزيد من المعلومات حول أسلوبنا في إدارة الحوادث، يُرجى الاطّلاع على إدارة الحوادث في "منصة خرائط Google".

نظرة عامة على الأمان والامتثال في "منصة خرائط Google" تنظيم صفحاتك في مجموعات يمكنك حفظ المحتوى وتصنيفه حسب إعداداتك المفضّلة.