Google Maps Platform की सुरक्षा और अनुपालन से जुड़ी खास जानकारी

इस कॉन्टेंट को आखिरी बार फ़रवरी 2024 में अपडेट किया गया था. इसमें उस समय के स्टेटस के बारे में बताया गया है, जब इसे लिखा गया था. Google की सुरक्षा नीतियां और सिस्टम आने वाले समय में बदल सकते हैं, क्योंकि हम अपने ग्राहकों की सुरक्षा को लगातार बेहतर बना रहे हैं.

PDF का आइकॉन PDF वर्शन डाउनलोड करें

शुरुआती जानकारी

Google Maps Platform, ग्राहकों और पार्टनर को Google की जियोस्पेशियल टेक्नोलॉजी का इस्तेमाल करके वेब और मोबाइल ऐप्लिकेशन डेवलप करने के लिए, एपीआई और SDK टूल उपलब्ध कराता है. Google Maps Platform, कई उद्योगों के ग्राहकों के लिए 50 से ज़्यादा एपीआई और SDK टूल उपलब्ध कराता है. इंडस्ट्री के ग्राहक के तौर पर, आपको अक्सर सुरक्षा, डेटा खर्च, और नियमों से जुड़ी ज़रूरी शर्तें पूरी करनी होंगी. इसमें यह पक्का करना भी शामिल है कि तीसरे पक्ष की टेक्नोलॉजी भी उन ज़रूरी शर्तों को पूरा करती हो.

इस दस्तावेज़ में Google Maps Platform के लोगों, प्रोसेस, और टेक्नोलॉजी से जुड़े कंट्रोल के बारे में खास जानकारी दी गई है. साथ ही, प्लैटफ़ॉर्म का इस्तेमाल करने के फ़ायदों की जानकारी भी दी गई है. सबसे पहले, Google Maps Platform के नीचे दी गई टेक्नोलॉजी की दो मुख्य बातों को समझना ज़रूरी है:

  • Google की दी गई टेक्नोलॉजी, डेटा सेंटर, और इन्फ़्रास्ट्रक्चर. Google Maps Platform पूरी तरह से Google से मिले डेटा सेंटर और इंफ़्रास्ट्रक्चर पर काम करता है. इस आधार पर, यह Google से इनहेरिट किए गए सुरक्षा कंट्रोल पर आंतरिक और तीसरे पक्ष के ऑडिट लागू करता है. इससे यह पुष्टि की जाती है कि Google Maps Platform, इस पेपर में बताए गए सुरक्षा, ऑपरेशन, और तकनीकी कंट्रोल को सही तरीके से लागू करता है या नहीं.
  • Google Maps Platform टेक्नोलॉजी. इनहेरिट किए गए कंट्रोल के अलावा, Google Maps Platform से Google के प्रॉडक्ट सुइट के लिए ज़्यादा सुरक्षा, निजता, डेटा, और ऑपरेटिंग कंट्रोल मिलते हैं.

इस दस्तावेज़ में Google Maps Platform की सुरक्षा से जुड़ी प्रक्रियाओं और कंट्रोल की खास जानकारी दी गई है. इन्हें नीचे दिए गए तरीके से बांटा गया है:

  • Google के संगठन के सभी लेवल की सुरक्षा और निजता पर ध्यान देना
  • तकनीकी इन्फ़्रास्ट्रक्चर और हार्डवेयर सुरक्षा
  • ऑपरेशनल सिक्योरिटी
  • सुरक्षा से जुड़े मुख्य कंट्रोल
  • वेब और मोबाइल, दोनों पर क्लाइंट-साइड सुरक्षा
  • Google Maps Platform में मौजूदा सर्टिफ़िकेशन और ऑडिट
  • दुनिया भर में काम करने वाले कानूनी फ़्रेमवर्क

संभावित ग्राहक ज़्यादा जानकारी के लिए, अपने Google बिक्री प्रतिनिधि से संपर्क कर सकते हैं.

Google का सुरक्षा और निजता पर फ़ोकस करने वाला संगठन

सुरक्षा, Google में संगठनात्मक संरचना, संस्कृति, ट्रेनिंग की प्राथमिकताएं, और सेवा देने की प्रक्रियाओं को बेहतर बनाती है. यह Google के डेटा सेंटर के डिज़ाइन और उनसे मिलने वाली टेक्नोलॉजी को आकार देता है. सुरक्षा, आपदा की योजना बनाने और खतरे को मैनेज करने के साथ-साथ, Google की दैनिक गतिविधियों को मज़बूत बनाती है. Google डेटा, खाता कंट्रोल, अनुपालन ऑडिट, और इंडस्ट्री सर्टिफ़िकेशन में सुरक्षा को प्राथमिकता देता है. Google अपनी सेवाओं को कंपनी की इमारत में मौजूद, कई प्लैटफ़ॉर्म पर निर्भर करने वाले विकल्पों की तुलना में, बेहतर सुरक्षा देने के लिए डिज़ाइन करता है. इनमें कई वेंडर और प्लैटफ़ॉर्म शामिल होते हैं, जहां सुरक्षा एक-दूसरे से जुड़ी हुई प्रक्रिया होती है. जब अपने कारोबार के लिए Google Maps Platform प्रॉडक्ट का फ़ायदा लिया जाता है, तो आपको Google के इंटिग्रेट किए गए सुरक्षा प्रोग्राम और कंट्रोल का फ़ायदा मिलता है. Google Maps Platform अपने कामकाज में सुरक्षा को प्राथमिकता देता है—जो दुनिया भर में एक अरब से ज़्यादा उपयोगकर्ताओं के लिए है.

Google और Google Maps Platform साथ मिलकर, कंपनी और संगठन में कई लेयर की सुरक्षा उपलब्ध कराते हैं:

  • Google की सुरक्षा टीम
  • Google Maps Platform की प्रॉडक्ट सुरक्षा टीम
  • ग्लोबल सिक्योरिटी रिसर्च कम्यूनिटी के साथ मिलकर काम करना
  • Google Maps Platform की निजता टीम
  • Google कर्मचारी की सुरक्षा और निजता से जुड़ी ट्रेनिंग
  • इंटरनल ऑडिट और अनुपालन विशेषज्ञ

Google में, खास तौर पर बनाई गई सुरक्षा टीमें

Google, पूरी कंपनी और प्रॉडक्ट एरिया (पीए) में सुरक्षा टीम उपलब्ध कराता है.

Google की सुरक्षा टीम, Google के कई प्रॉडक्ट एरिया (पीए) के साथ काम करती हैं. इनमें Google Maps Platform भी शामिल है. सुरक्षा टीम में जानकारी सुरक्षा, ऐप्लिकेशन सुरक्षा, क्रिप्टोग्राफ़ी, और नेटवर्क सुरक्षा में दुनिया के कुछ बेहतरीन विशेषज्ञ शामिल हैं. उनकी गतिविधियां ये हैं:

  • सुरक्षा से जुड़ी प्रक्रियाएं डेवलप करता है, उनकी समीक्षा करता है, और उन्हें लागू करता है. इसमें Google नेटवर्क के लिए सुरक्षा से जुड़े प्लान की समीक्षा करना और Google में मौजूद प्रॉडक्ट और इंजीनियरिंग टीमों को प्रोजेक्ट के हिसाब से सलाह देना शामिल है. उदाहरण के लिए, क्रिप्टोग्राफ़ी विशेषज्ञ, ऐसे प्रॉडक्ट लॉन्च की समीक्षा करते हैं जिनमें क्रिप्टोग्राफ़ी की सुविधा दी जाती है.
  • सुरक्षा से जुड़े खतरों को बेहतर तरीके से मैनेज करता है. व्यावसायिक और कस्टम टूल का इस्तेमाल करके, टीम Google नेटवर्क पर चल रहे खतरों और संदिग्ध गतिविधियों पर नज़र रखती है.
  • रूटीन का नियमित तौर पर ऑडिट और आकलन करता है. इसमें सुरक्षा का आकलन करने के लिए, संगठन से बाहर के विशेषज्ञों की मदद ली जा सकती है.
  • सुरक्षा से जुड़े लेखों को ज़्यादा लोगों के लिए पब्लिश करता है. Google, एक सुरक्षा ब्लॉग और YouTube सीरीज़ अपने पास रखता है. इसमें अलग-अलग खास सुरक्षा टीमों और उनकी उपलब्धियों को हाइलाइट किया जाता है.

Google Maps Platform की सुरक्षा टीम Google की सुरक्षा टीम के साथ मिलकर काम करती है. यह टीम प्रॉडक्ट डेवलपमेंट और एसआरई के साथ मिलकर काम करती है, ताकि सुरक्षा लागू करने की प्रक्रिया पर नज़र रखी जा सके. खास तौर पर, यह टीम इन चीज़ों को मैनेज करती है:

  • Google Maps Platform की त्रासदी से निपटने की जांच (DiRT), Google के सबसे ज़्यादा उपलब्ध इन्फ़्रास्ट्रक्चर पर चलता है. इस सुविधा की मदद से, Google Maps Platform पर मौजूद प्रॉडक्ट में, कारोबार को चालू बनाए रखने और फ़ेलओवर होने की जांच की जाती है.
  • तीसरे पक्ष की पेनेट्रेशन टेस्टिंग. Google Maps Platform प्रॉडक्ट की कम से कम सालाना आधार पर पेनेट्रेशन जांच की जाती है, ताकि Google की सुरक्षा को बेहतर बनाया जा सके और आपको स्वतंत्र रूप से सुरक्षा का भरोसा मिल सके.

सुरक्षा से जुड़ी रिसर्च कम्यूनिटी के साथ मिलकर काम करना

Google का सुरक्षा शोध समुदाय के साथ लंबे समय से नज़दीकी संबंध रहा है. Google Maps Platform और दूसरे Google प्रॉडक्ट में संभावित कमियों की पहचान करने में उनकी मदद को Google बहुत अहमियत देता है.

  • प्रोजेक्ट ज़ीरो की मदद से, ऑनलाइन कम्यूनिटी के साथ मिलकर काम किया जा सकता है. प्रोजेक्ट ज़ीरो, सुरक्षा पर रिसर्च करने वालों की एक टीम है. यह टीम, किसी भी दिन जोखिम की आशंकाओं पर खोज करने का काम करती है. इस रिसर्च के कुछ उदाहरणों में, स्पेक्टर के शोषण, मेल्टडाउन एक्सप्लॉइट, POODLE SSL 3.0 एक्स्प्लॉइट, और साइफ़र सुइट की कमज़ोरियां शामिल हैं.
  • अकैडमिक रिसर्च - Google के सुरक्षा इंजीनियर और शोध करने वाले लोग, अकैडमिक सिक्योरिटी कम्यूनिटी और निजता पर रिसर्च से जुड़े समुदाय में सक्रिय रूप से हिस्सा लेते हैं और उन्हें पब्लिश करते हैं. सुरक्षा से जुड़े पब्लिकेशन, Google की Google की रिसर्च साइट पर देखे जा सकते हैं. Google की सुरक्षा टीमों ने बिल्डिंग सुरक्षित और भरोसेमंद सिस्टम किताब में, अपने काम करने के तरीकों और अनुभव के बारे में पूरी जानकारी दी है.
  • जोखिम की आशंका का इनाम कार्यक्रम - Google Maps Platform, जोखिम की आशंका के इनाम कार्यक्रम में हिस्सा लेता है. इस कार्यक्रम में, जोखिम की पुष्टि हो चुकी हर जोखिम की आशंका के लिए हज़ारों डॉलर के इनाम मिलते हैं. यह प्रोग्राम रिसर्चर को डिज़ाइन और लागू करने से जुड़ी ऐसी समस्याओं की रिपोर्ट करने के लिए बढ़ावा देता है जिनसे ग्राहक के डेटा को खतरा हो सकता है. Google ने 2022 में शोधकर्ताओं को 1.19 करोड़ डॉलर से भी ज़्यादा की इनाम दिया था. Google से मिले इनामों के साथ-साथ, इस कार्यक्रम के बारे में ज़्यादा जानकारी के लिए, Bug Hunters Key आंकड़े देखें. सुरक्षा से जुड़ी समस्याओं की शिकायत करने के बारे में ज़्यादा जानकारी, Google सुरक्षा से जुड़े जोखिम की आशंकाओं को कैसे हैंडल करता है देखें.
  • ओपन सोर्स सुरक्षा से जुड़ी रिसर्च - Google के इंजीनियर ओपन सोर्स प्रोजेक्ट और अकैडमिक कॉन्फ़्रेंस में भी हिस्सा लेते हैं और उन्हें व्यवस्थित करते हैं. ओपन-सोर्स कोड को बेहतर बनाने के लिए, जोखिम की आशंका का इनाम कार्यक्रम ओपन-सोर्स प्रोजेक्ट के लिए सब्सिडी भी देता है.
  • क्रिप्टोग्राफ़ी - Google के बेहतरीन क्रिप्टोग्राफ़र ने TLS कनेक्शन को क्वांटम कंप्यूटर हमलों से सुरक्षित रखने के लिए काम किया. साथ ही, इलिप्टिकल-कर्व और पोस्ट-क्वांटम (CECPQ2) एल्गोरिदम को डेवलप किया. Google के क्रिप्टोग्राफ़र ने Tink को डेवलप किया है. यह क्रिप्टोग्राफ़िक एपीआई की ओपन सोर्स लाइब्रेरी है. Google अपने अंदरूनी प्रॉडक्ट और सेवाओं में भी Tink इस्तेमाल करता है.

Google Maps Platform की निजता टीम

निजता टीम, प्रॉडक्ट डेवलपमेंट और सुरक्षा संगठनों से अलग काम करती है. यह निजता के सभी पहलुओं को बेहतर बनाने के लिए आंतरिक निजता पहलों का समर्थन करता है: अहम प्रोसेस, आंतरिक टूल, इंफ़्रास्ट्रक्चर, और प्रॉडक्ट डेवलपमेंट. निजता टीम ये काम करती है:

  • यह पक्का करता है कि प्रॉडक्ट के लॉन्च में, डेटा कलेक्शन के लिए निजता की सुरक्षा से जुड़े कड़े नियम शामिल किए गए हों. यह डिज़ाइन के दस्तावेज़ और कोड की समीक्षा, दोनों के ज़रिए Google के हर प्रॉडक्ट लॉन्च में हिस्सा लेता है.
  • प्रॉडक्ट लॉन्च होने के बाद, निजता टीम अपने-आप होने वाली प्रोसेस की निगरानी करती है. इस प्रोसेस से, सही डेटा इकट्ठा करने और उसके इस्तेमाल की पुष्टि करने में मदद मिलती है.
  • निजता से जुड़े सबसे सही तरीकों के बारे में रिसर्च करता है.

Google कर्मचारी की सुरक्षा और निजता से जुड़ी ट्रेनिंग

सुरक्षा और निजता लगातार बदलने वाले क्षेत्र हैं और Google यह मानता है कि कर्मचारियों के लिए खास तौर पर बने रहने की प्रक्रिया, जागरूकता बढ़ाने का एक अहम ज़रिया है. Google के सभी कर्मचारियों को ओरिएंटेशन प्रोसेस के तहत सुरक्षा और निजता से जुड़ी ट्रेनिंग दी जाती है. उन्हें अपने पूरे Google करियर में उन्हें सुरक्षा और निजता से जुड़ी ज़रूरी ट्रेनिंग दी जाती है.

  • ओरिएंटेशन के दौरान: नए कर्मचारी Google की आचार संहिता से सहमत होते हैं. इससे पता चलता है कि ग्राहक की जानकारी सुरक्षित रखने के लिए, Google हमारी प्रतिबद्धता को दिखाता है.
  • नौकरियों के हिसाब से खास ट्रेनिंग. नौकरी के कुछ खास रोल के लिए, सुरक्षा के खास पहलुओं की ट्रेनिंग ज़रूरी होती है. उदाहरण के लिए, इन्फ़ॉर्मेशन सिक्योरिटी टीम, नए इंजीनियर को कोडिंग के सुरक्षित तरीके, प्रॉडक्ट डिज़ाइन, और अपने-आप जोखिम की आशंका से जुड़े टेस्टिंग टूल के बारे में निर्देश देती है. इंजीनियर, नियमित तौर पर सुरक्षा से जुड़ी ब्रीफ़िंग में शामिल होते हैं और उन्हें सुरक्षा से जुड़े न्यूज़लेटर मिलते हैं. इनमें नए खतरों, हमलों के पैटर्न, उन्हें कम करने की तकनीकों वगैरह के बारे में बताया जाता है.
  • चल रहे इवेंट. Google, सुरक्षा और डेटा निजता के बारे में जागरूकता बढ़ाने और इनोवेशन को बढ़ावा देने के लिए, नियमित रूप से सभी कर्मचारियों के लिए अंदरूनी कॉन्फ़्रेंस होस्ट करता है. Google, सॉफ़्टवेयर डेवलपमेंट, डेटा मैनेज करने, और नीति लागू करने के क्षेत्र में सुरक्षा और निजता के बारे में जागरूकता बढ़ाने के लिए, दुनिया भर के कई दफ़्तरों में इवेंट आयोजित करता है.

इंटरनल ऑडिट और अनुपालन विशेषज्ञ

Google Maps Platform की एक खास ऑडिट टीम है, जो दुनिया भर के सुरक्षा कानूनों और नियमों का पालन करने में Google प्रॉडक्ट की समीक्षा करती है. जैसे-जैसे ऑडिटिंग के नए स्टैंडर्ड बनाए जाते हैं और मौजूदा स्टैंडर्ड अपडेट किए जाते हैं, वैसे-वैसे इंटरनल ऑडिट टीम यह तय करती है कि इन स्टैंडर्ड को पूरा करने के लिए कौनसे कंट्रोल, प्रोसेस, और सिस्टम की ज़रूरत है. यह टीम, तीसरे पक्ष से स्वतंत्र रूप से ऑडिट और आकलन करने में मदद करती है. ज़्यादा जानकारी के लिए, इस दस्तावेज़ के बाद में सुरक्षा सर्टिफ़िकेशन और ऑडिट सेक्शन देखें.

सुरक्षा को ध्यान में रखकर बनाया गया प्लैटफ़ॉर्म

Google अपने सर्वर, मालिकाना ऑपरेटिंग सिस्टम, और भौगोलिक रूप से मौजूद डेटा सेंटर को डिज़ाइन करता है. इसके लिए, वह सुरक्षा के सिद्धांत का गहराई से इस्तेमाल करता है. Google Maps प्लैटफ़ॉर्म एक तकनीकी इन्फ़्रास्ट्रक्चर पर काम करता है. इसे सुरक्षित तरीके से काम करने के लिए बनाया और डिज़ाइन किया गया है. हमने एक ऐसा आईटी इन्फ़्रास्ट्रक्चर बनाया है जो कंपनी की इमारत या होस्ट किए गए पारंपरिक समाधानों की तुलना में, ज़्यादा सुरक्षित और मैनेज करने में आसान है.

आधुनिक डेटा सेंटर

डेटा की सुरक्षा पर Google का ध्यान डिज़ाइन की मुख्य शर्तों में शामिल है. Google डेटा सेंटर में फ़िज़िकल सुरक्षा, कई लेयर वाला सुरक्षा मॉडल है. फ़िज़िकल सुरक्षा में सुरक्षा के उपाय शामिल होते हैं. जैसे, पसंद के मुताबिक डिज़ाइन किए गए इलेक्ट्रॉनिक ऐक्सेस कार्ड, अलार्म, वाहन ऐक्सेस करने में रुकावटें, पेरीमीटर फ़ेंसिंग, मेटल डिटेक्टर, और बायोमेट्रिक्स. घुसपैठियों का पता लगाने और उन पर नज़र रखने के लिए Google, सुरक्षा के उपायों का इस्तेमाल करता है. जैसे, लेज़र बीम वाली घुसपैठ की पहचान करना और हाई रिज़ॉल्यूशन वाले अंदरूनी और बाहरी कैमरों की मदद से हर समय निगरानी करना. कोई घटना होने पर ऐक्सेस लॉग, गतिविधि के रिकॉर्ड, और कैमरे का फ़ुटेज ऐक्सेस करने की सुविधा उपलब्ध होती है. अनुभवी सुरक्षा गार्ड, जिनके बैकग्राउंड की सख्त जांच और ट्रेनिंग पूरी हुई है, वे नियमित रूप से Google के डेटा सेंटर पर गश्त करते हैं. जैसे-जैसे आप डेटा सेंटर के फ़्लोर के करीब पहुंचते हैं, वैसे-वैसे सुरक्षा उपाय भी बढ़ जाते हैं. डेटा सेंटर के फ़्लोर तक ऐक्सेस सिर्फ़ उस सिक्योरिटी कॉरिडोर से हो सकता है जो सुरक्षा बैज और बायोमेट्रिक्स का इस्तेमाल करके मल्टी-फ़ैक्टर ऐक्सेस कंट्रोल लागू करता है. सिर्फ़ खास भूमिकाओं वाले मंज़ूरी पा चुके कर्मचारी ही इसमें शामिल हो सकते हैं. Google के एक प्रतिशत से भी कम कर्मचारी कभी भी Google के किसी डेटा सेंटर में कदम रखेंगे.

Google दुनिया भर में अपनी सेवाओं की रफ़्तार और विश्वसनीयता बढ़ाने के लिए, डेटा सेंटर को ऑपरेट करता है. आम तौर पर, इसके इन्फ़्रास्ट्रक्चर को उस डेटा सेंटर से ट्रैफ़िक दिखाने के लिए सेट किया गया है जो ट्रैफ़िक के सोर्स के सबसे नज़दीक है. इसलिए, Google Maps Platform के डेटा की जगह की सटीक जानकारी, ट्रैफ़िक के सोर्स के हिसाब से अलग-अलग हो सकती है. साथ ही, इस डेटा को ईईए और यूके में मौजूद सर्वर मैनेज कर सकते हैं या तीसरे देशों में ट्रांसफ़र कर सकते हैं. Google के ग्राहकों के ऑफ़र, Google Maps Platform के प्रॉडक्ट दुनिया भर में उपलब्ध होते हैं और अक्सर दुनिया भर के दर्शकों को आकर्षित करते हैं. इन प्रॉडक्ट के साथ काम करने वाली तकनीकी इन्फ़्रास्ट्रक्चर को दुनिया भर में डिप्लॉय किया जाता है, ताकि इंतज़ार का समय कम किया जा सके और सिस्टम ज़्यादा से ज़्यादा काम करें. Google Maps Platform, रेफ़रंस के लिए नीचे दिए गए Google ग्लोबल डेटा सेंटर नेटवर्क के सबसेट का इस्तेमाल करता है:

डेटा सेंटर की जगहों को नीले बिंदु के तौर पर दिखाने वाला वर्ल्ड मैप

उत्तरी और दक्षिणी अमेरिका

यूरोप

एशिया

Google के डेटा सेंटर को बेहतर बनाना

चीज़ें 24/7 चालू रखने और बिना किसी रुकावट के सेवाएं देने के लिए, Google के डेटा सेंटर में गैर-ज़रूरी पावर सिस्टम और पर्यावरण को कंट्रोल करने वाले सिस्टम उपलब्ध हैं. हर अहम कॉम्पोनेंट में एक मुख्य और वैकल्पिक पावर सोर्स होता है. हर कॉम्पोनेंट की पावर एक जैसी होती है. बैकअप जनरेटर, हर डेटा सेंटर को पूरी क्षमता से चलाने के लिए ज़रूरी आपातकालीन बिजली दे सकते हैं. कूलिंग सिस्टम, सर्वर और अन्य हार्डवेयर के लिए ऑपरेटिंग तापमान को लगातार बनाए रखते हैं. इससे पर्यावरण पर पड़ने वाले असर को कम करते हुए, सेवा बंद होने का जोखिम कम हो जाता है. आग का पता लगाने और उसे रोकने वाले उपकरण से, हार्डवेयर को होने वाले नुकसान से बचाया जा सकता है. हीट डिटेक्टर, आग का पता लगाने वाले और स्मोक डिटेक्टर, सुरक्षा कंसोल और रिमोट मॉनिटरिंग डेस्क पर दिखने वाले और दिखने वाले अलार्म को ट्रिगर करते हैं.

Google इंटरनेट सेवा देने वाली पहली ऐसी कंपनी है जिसे Google के सभी डेटा सेंटर से बाहर के वातावरण, ऑफ़िस सुरक्षा, और ऊर्जा प्रबंधन मानकों से जुड़ा सर्टिफ़िकेट मिला है. उदाहरण के लिए, ऊर्जा का मैनेजमेंट करने के तरीकों को लेकर Google की प्रतिबद्धता को दिखाने के लिए, Google ने यूरोप में मौजूद अपने डेटा सेंटर के लिए, अपनी मर्ज़ी से ISO 50001 सर्टिफ़िकेशन हासिल किए हैं.

कस्टम सर्वर हार्डवेयर और सॉफ़्टवेयर

Google के डेटा सेंटर में सर्वर और नेटवर्क उपकरण खास तौर पर बनाए गए होते हैं. इनमें से कुछ को Google डिज़ाइन करता है. Google के सर्वर को इस तरह से डिज़ाइन किया गया है कि वे ज़्यादा से ज़्यादा परफ़ॉर्मेंस, कूलिंग, और ऊर्जा की बचत कर सकें. हालांकि, इन्हें फ़िज़िकल तौर पर घुसपैठ किए जाने वाले हमलों से बचाने के लिए भी डिज़ाइन किया गया है. व्यावसायिक तौर पर उपलब्ध ज़्यादातर हार्डवेयर के उलट, Google के सर्वर में वीडियो कार्ड, चिपसेट या सहायक (जैसे, कीबोर्ड, माउस, मॉनिटर, वेबकैम वगैरह) कनेक्टर जैसे ग़ैर-ज़रूरी कॉम्पोनेंट शामिल नहीं होते. ये सभी जोखिम की आशंकाओं को पैदा कर सकते हैं. Google, कॉम्पोनेंट वेंडर की जांच करता है और कॉम्पोनेंट से मिली सुरक्षा प्रॉपर्टी को ऑडिट करने और उनकी पुष्टि करने के लिए वेंडर के साथ काम करता है. Google, Titan जैसे कस्टम चिप डिज़ाइन करता है. इनसे हमें हार्डवेयर लेवल पर, Google के मान्य डिवाइसों की सुरक्षित तरीके से पहचान करने और उनकी पुष्टि करने में मदद मिलती है. इनमें वह कोड भी शामिल है जिसका इस्तेमाल इन डिवाइसों को चालू करने के लिए किया जाता है.

सर्वर रिसॉर्स डाइनैमिक तौर पर असाइन किए जाते हैं. इससे हमें अपना कारोबार आगे बढ़ाने में मदद मिलती है. साथ ही, संसाधनों को जोड़कर या उन्हें फिर से देकर, हमें ग्राहकों की मांग के हिसाब से ढलने का समय भी मिलता है. एक जैसा माहौल बनाए रखने के लिए, ऐसा सॉफ़्टवेयर अपने-आप काम करता है जो बाइनरी लेवल में बदलाव के लिए, सिस्टम की लगातार निगरानी करता है. Google के ऑटोमेटेड सिस्टम, खुद ही ठीक करने के तरीके इस तरह से डिज़ाइन किए गए हैं, ताकि हम स्थिर इवेंट पर नज़र रख सकें और उन्हें ठीक कर सकें. गतिविधियों के बारे में सूचनाएं पाई जा सकें, और नेटवर्क पर संभावित खतरों को कम किया जा सके.

सुरक्षित सेवा डिप्लॉयमेंट

Google सेवाएं, ऐप्लिकेशन बाइनरी हैं. इन्हें Google डेवलपर, Google के इंफ़्रास्ट्रक्चर पर लिखते और चलाते हैं. वर्कलोड का ज़रूरी स्केल हैंडल करने के लिए, ऐसा हो सकता है कि हज़ारों मशीनें एक ही सर्विस की बाइनरी का इस्तेमाल कर रही हों. क्लस्टर ऑर्केस्ट्रेशन सेवा को Borg कहा जाता है. यह सेवा उन सेवाओं को कंट्रोल करती है जो सीधे इन्फ़्रास्ट्रक्चर पर चल रही हैं.

इन्फ़्रास्ट्रक्चर पर चल रही सेवाओं के बीच कोई भरोसा नहीं है. इस ट्रस्ट मॉडल को ज़ीरो-ट्रस्ट सुरक्षा मॉडल कहा जाता है. ज़ीरो-ट्रस्ट वाले सुरक्षा मॉडल का मतलब है कि डिफ़ॉल्ट रूप से किसी भी डिवाइस या उपयोगकर्ता पर भरोसा नहीं किया जाता. भले ही, वे नेटवर्क के अंदर हों या बाहर.

इन्फ़्रास्ट्रक्चर को कई टेनेंट के लिए डिज़ाइन किया गया है. इसलिए, Google के ग्राहकों (उपभोक्ता, कारोबार, यहां तक कि Google का डेटा भी) का डेटा, सभी शेयर किए गए इन्फ़्रास्ट्रक्चर में बांटा जाता है. इस इन्फ़्रास्ट्रक्चर में हज़ारों एक जैसी मशीनों का निर्माण किया गया है. इन्फ़्रास्ट्रक्चर, ग्राहकों से जुड़े डेटा को किसी एक मशीन या कुछ मशीनों पर अलग-अलग नहीं बांटता.

हार्डवेयर को ट्रैक करना और उसे नष्ट करना

Google, अपने डेटा सेंटर में बारकोड और एसेट टैग का इस्तेमाल करके, अपने डेटा सेंटर में मौजूद सभी उपकरणों की जगह और स्थिति का बारीकी से पता लगाता है. Google, मेटल डिटेक्टर और वीडियो सर्विलांस का इस्तेमाल करता है, ताकि यह पक्का किया जा सके कि कोई भी उपकरण बिना अनुमति के डेटा सेंटर के फ़्लोर से बाहर न निकला. अगर कोई कॉम्पोनेंट अपनी लाइफ़साइकल के दौरान किसी भी समय परफ़ॉर्मेंस टेस्ट में पास नहीं हो पाता, तो उसे इन्वेंट्री से हटा दिया जाता है और बंद कर दिया जाता है.

Google के स्टोरेज डिवाइस, जिनमें हार्ड ड्राइव, सॉलिड स्टेट ड्राइव, और नॉन-वोलेटाइल ड्यूअल इन-लाइन मेमोरी मॉड्यूल (डीआईएमएम) शामिल हैं, पूरी तरह से डिस्क को एन्क्रिप्ट (सुरक्षित) करने (एफ़डीई) और ड्राइव लॉक करने जैसी टेक्नोलॉजी का इस्तेमाल करते हैं, ताकि जो डेटा ऐक्टिव नहीं है उसे सुरक्षित रखा जा सके. स्टोरेज डिवाइस के बंद होने पर अधिकृत व्यक्ति, ड्राइव में शून्य लिखकर यह पुष्टि करते हैं कि डिस्क को मिटा दिया गया है. वे कई चरणों में पुष्टि की प्रक्रिया भी पूरी करते हैं, ताकि यह पक्का किया जा सके कि ड्राइव में कोई डेटा न हो. अगर किसी वजह से ड्राइव को मिटाया नहीं जा सकता, तो उसे मिटा दिया जाता है. टेबल को तबाह करने के लिए एक श्रेडर का इस्तेमाल किया जाता है. इसमें ड्राइव को छोटे-छोटे टुकड़ों में तोड़ दिया जाता है. इसके बाद, इन टुकड़ों को किसी सुरक्षित जगह पर रीसाइकल किया जाता है. हर डेटा सेंटर को निपटाने के लिए सख्त नीति का पालन किया जाता है और किसी भी तरह के बदलाव को तुरंत ठीक कर दिया जाता है.

Google के वैश्विक नेटवर्क के सुरक्षा फ़ायदे

अन्य जियोस्पेशियल क्लाउड और कंपनी की इमारत में मौजूद समाधानों में, डेटा सार्वजनिक इंटरनेट पर मौजूद अलग-अलग डिवाइसों के बीच ट्रांसफ़र होता है. इन पाथ को Hops कहा जाता है. हॉप की संख्या, ग्राहक की इंटरनेट सेवा देने वाली कंपनी (आईएसपी) और डेटा सेंटर के बीच के सही रास्ते पर निर्भर करती है. हर अतिरिक्त हॉप, डेटा पर हमला करने या उसे रोकने का नया मौक़ा देता है. Google का ग्लोबल नेटवर्क, दुनिया की ज़्यादातर इंटरनेट सेवा देने वाली कंपनियों (आईएसपी) से जुड़ा है. इसलिए, Google का नेटवर्क सीमा सार्वजनिक इंटरनेट पर मौजूद है. इस वजह से, बुरे मकसद से काम करने वाले लोग या ग्रुप उस डेटा का ऐक्सेस सीमित कर सकते हैं.

Google का नेटवर्क, बाहरी हमलों से नेटवर्क की सुरक्षा करने में मदद के लिए, सुरक्षा की कई लेयर का इस्तेमाल करता है. सिर्फ़ उन आधिकारिक सेवाओं और प्रोटोकॉल को विज़िट करने की अनुमति है जो Google की सुरक्षा से जुड़ी ज़रूरतों को पूरा करते हैं; बाकी कोई भी चीज़ अपने-आप हट जाती है. नेटवर्क को अलग-अलग करने की सुविधा लागू करने के लिए, Google, फ़ायरवॉल और ऐक्सेस कंट्रोल सूचियों का इस्तेमाल करता है. नुकसान पहुंचाने वाले अनुरोधों और डिस्ट्रिब्यूट किए गए डिनायल ऑफ़ सर्विस (डीडीओएस) हमलों का पता लगाने और उन्हें रोकने के लिए, सारा ट्रैफ़िक Google के फ़्रंट एंड (जीएफ़ई) सर्वर से रूट किया जाता है. प्रोग्रामिंग की गड़बड़ियों का पता लगाने के लिए लॉग की समय-समय पर जांच की जाती है. नेटवर्क वाले डिवाइसों का ऐक्सेस सिर्फ़ अनुमति पा चुके कर्मचारियों के लिए है.

Google के ग्लोबल इन्फ़्रास्ट्रक्चर की मदद से हम ProjectShield चला सकते हैं. यह ऐसी वेबसाइटों को मुफ़्त और अनलिमिटेड सुरक्षा देता है, जिन पर जानकारी को सेंसर करने के लिए इस्तेमाल किए जाने वाले DDoS हमलों का खतरा होता है. ProjectShield, समाचार वेबसाइटों, मानवाधिकार वेबसाइटों, और चुनाव की निगरानी करने वाली वेबसाइटों के लिए उपलब्ध है.

इंतज़ार का समय कम है और ज़रूरत के हिसाब से समाधान उपलब्ध हैं

Google के आईपी डेटा नेटवर्क में, खुद का फ़ाइबर, सार्वजनिक तौर पर उपलब्ध फ़ाइबर, और पानी के अंदर लगने वाली केबल का होता है. इस नेटवर्क की मदद से, हम दुनिया भर में ऐसी सेवाएं दे पाते हैं जिनके लिए इंतज़ार का समय बहुत ज़्यादा और कम से कम होता है.

Google अपने प्लैटफ़ॉर्म के कॉम्पोनेंट को इस तरह डिज़ाइन करता है कि वे ज़्यादा काम के न हों. यह रिडंडंसी, Google के सर्वर डिज़ाइन, Google के डेटा स्टोर करने के तरीके, नेटवर्क और इंटरनेट कनेक्टिविटी, और खुद सॉफ़्टवेयर सेवाओं पर लागू होती है. इस "हर चीज़ की रिडंडंसी" में, अपवाद को हैंडल करना शामिल है. इसकी मदद से, ऐसा समाधान तैयार किया जाता है जो किसी एक सर्वर, डेटा सेंटर या नेटवर्क कनेक्शन पर निर्भर नहीं होता.

Google के डेटा सेंटर, दुनिया भर के प्रॉडक्ट पर क्षेत्रीय रुकावटों के असर को कम करने के लिए अलग-अलग देशों/इलाकों में डिस्ट्रिब्यूट किए जाते हैं. जैसे, प्राकृतिक आपदाओं या लोकल आउटेज के समय. अगर हार्डवेयर, सॉफ़्टवेयर या कोई नेटवर्क काम नहीं करता है, तो प्लैटफ़ॉर्म की सेवाएं और कंट्रोल प्लेन अपने-आप एक से दूसरी जगह पर शिफ़्ट हो जाते हैं. इससे प्लैटफ़ॉर्म की सेवाएं बिना किसी रुकावट के जारी रह पाती हैं.

Google की बहुत ज़्यादा ज़रूरी बुनियादी जानकारी आपके कारोबार को डेटा नुकसान से बचाने में भी मदद करती है. Google के सिस्टम इस तरह से डिज़ाइन किए गए हैं कि जब हमें अपने प्लैटफ़ॉर्म को ठीक करने या ठीक करने की ज़रूरत हो, तो डाउनटाइम या रखरखाव विंडो को कम किया जा सके.

ऑपरेशनल सिक्योरिटी

Google के कामकाज के लिए सुरक्षा एक ज़रूरी चीज़ है, कोई बाद में विचार नहीं किया जाता. इस सेक्शन में Google के जोखिम की आशंका को मैनेज करने वाले प्रोग्राम, मैलवेयर की रोकथाम के लिए बने प्रोग्राम, सुरक्षा से जुड़ी निगरानी, और इंसिडेंट मैनेजमेंट प्रोग्राम के बारे में बताया गया है.

जोखिम की आशंका का मैनेजमेंट

Google की इंटरनल जोखिम की आशंका को मैनेज करने वाली प्रोसेस, सभी टेक्नोलॉजी स्टैक पर सुरक्षा से जुड़े खतरों की जांच करती है. इस प्रोसेस में व्यावसायिक, ओपन सोर्स, और मकसद के लिए बनाए गए इन-हाउस टूल का इस्तेमाल किया जाता है. साथ ही, इसमें नीचे दी गई चीज़ें शामिल हैं:

  • क्वालिटी अश्योरेंस प्रोसेस
  • सॉफ़्टवेयर की सुरक्षा से जुड़ी समीक्षाएं
  • तेज़ ऑटोमेटेड और मैन्युअल पेनेट्रेशन की कोशिशों के बारे में. साथ ही, इसमें रेड टीम के साथ-साथ
  • Google Maps Platform प्रॉडक्ट के लिए, बार-बार होने वाली बाहरी पेनेट्रेशन टेस्टिंग
  • बार-बार होने वाले बाहरी ऑडिट

जोखिम की आशंकाओं को ट्रैक करने और उनका पता लगाने के लिए, जोखिम की आशंका को मैनेज करने वाला संगठन और उसके पार्टनर ज़िम्मेदार हैं. समस्याओं को पूरी तरह से ठीक करने के बाद ही सुरक्षा बेहतर होती है. इसलिए, ऑटोमेशन पाइपलाइन समय-समय पर जोखिम की आशंका की स्थिति का बार-बार आकलन करती हैं, पैच की पुष्टि करती हैं, और गलत या आंशिक समाधान को फ़्लैग करती हैं.

सुरक्षा से जुड़ी निगरानी करने की सुविधा

Google का सुरक्षा निगरानी कार्यक्रम, आंतरिक नेटवर्क ट्रैफ़िक, सिस्टम पर कर्मचारी की कार्रवाइयों, और जोखिम की बाहरी जानकारी से इकट्ठा की गई जानकारी पर केंद्रित है. Google का मुख्य सिद्धांत है कि सुरक्षा से जुड़े सभी टेलीमेट्री डेटा को एक ही जगह पर इकट्ठा और स्टोर किया जाए, ताकि यूनिफ़ाइड सुरक्षा विश्लेषण किया जा सके.

Google के ग्लोबल नेटवर्क में कई जगहों पर, अंदरूनी ट्रैफ़िक की जांच संदिग्ध व्यवहार के लिए की जाती है. जैसे, किसी ऐसे ट्रैफ़िक की मौजूदगी जो बॉटनेट से जुड़े कनेक्शन को दिखा सकता है. Google, ट्रैफ़िक को कैप्चर और पार्स करने के लिए, ओपन सोर्स और कमर्शियल टूल का इस्तेमाल करता है, ताकि Google यह विश्लेषण कर सके. Google की टेक्नोलॉजी पर आधारित एक मालिकाना हक वाला कोरिलेशन सिस्टम भी इस विश्लेषण के साथ काम करता है. Google, ग्राहक से जुड़े डेटा को ऐक्सेस करने की कोशिश करने जैसे असामान्य व्यवहार की पहचान करने के लिए, सिस्टम लॉग की जांच करके नेटवर्क विश्लेषण को पूरा करता है.

Google का थ्रेट ऐनलिसिस ग्रुप, धमकी देने वाले लोगों पर नज़र रखता है. साथ ही, यह उनकी रणनीतियों और तकनीकों में होने वाले सुधार पर भी नज़र रखता है. Google के सुरक्षा इंजीनियर, इनबाउंड सुरक्षा रिपोर्ट की समीक्षा करते हैं. साथ ही, ईमेल पाने वाले लोगों की सार्वजनिक सूचियों, ब्लॉग पोस्ट, और विकी पर नज़र रखते हैं. अपने-आप नेटवर्क का विश्लेषण और सिस्टम लॉग का अपने-आप होने वाला विश्लेषण यह तय करने में मदद करता है कि कोई अनजान खतरा कब मौजूद हो सकता है. अगर ऑटोमेटेड प्रोसेस को किसी समस्या का पता चलता है, तो इसे Google के सुरक्षा स्टाफ़ को भेज दिया जाता है.

मैलवेयर गतिविधि की पहचान

अलग-अलग डिवाइसों पर होस्ट-आधारित सिग्नल, इंफ़्रास्ट्रक्चर में अलग-अलग मॉनिटरिंग पॉइंट से नेटवर्क-आधारित सिग्नल, और इंफ़्रास्ट्रक्चर सेवाओं से सिग्नल को इंटिग्रेट करने के लिए, Google बेहतरीन डेटा प्रोसेसिंग पाइपलाइन का इस्तेमाल करता है. इन पाइपलाइन पर बनाए गए नियम और मशीन इंटेलिजेंस से, ऑपरेशनल सिक्योरिटी इंजीनियर को संभावित घटनाओं के बारे में चेतावनियां मिलती हैं. Google की जांच और घटना-प्रतिक्रिया टीम, दिन के 24 घंटे, वर्ष के 365 दिन इन संभावित घटनाओं की जांच, जांच, और उनका समाधान करती है. Google, बाहरी पेनेट्रेशन टेस्टिंग के अलावा Google की रेड टीम एक्सरसाइज़ करता है, ताकि वह Google की, पहचान करने और जवाब देने के तंत्रों की क्षमता को मापने और उसमें सुधार करने के लिए काम कर सके.

घटना प्रबंधन

Google, सुरक्षा से जुड़ी घटनाओं के लिए कड़ी इंसिडेंट मैनेजमेंट प्रोसेस का इस्तेमाल करता है. इससे डेटा की गोपनीयता, विश्वसनीयता, या सिस्टम या डेटा की उपलब्धता पर असर पड़ सकता है. Google का सिक्योरिटी इंसिडेंट मैनेजमेंट प्रोग्राम, घटनाओं से जुड़े एनआईएसटी के दिशा-निर्देशों (एनआईएसटी एसपी 800–61) के आधार पर तैयार किया गया है. Google, स्टाफ़ के मुख्य सदस्यों को फ़ोरेंसिक की ट्रेनिंग देता है और इवेंट की तैयारी करने के लिए सबूतों को हैंडल करने की ट्रेनिंग देता है. इसमें तीसरे पक्ष और मालिकाना हक वाले टूल का इस्तेमाल भी शामिल है.

Google मुख्य क्षेत्रों के लिए, घटना प्रतिक्रिया प्लान की जांच करता है. ये जांच कई तरह की स्थितियों को ध्यान में रखकर की जाती हैं. इनमें, इनसाइडर खतरों और सॉफ़्टवेयर की जोखिम की आशंकाओं शामिल हैं. सुरक्षा से जुड़े मामलों का तेज़ी से समाधान करने के लिए, Google की सुरक्षा टीम सभी कर्मचारियों के लिए हर समय उपलब्ध है.

सॉफ़्टवेयर डेवलपमेंट के तरीके

जोखिम की आशंकाओं को कम करने के लिए, Google सोर्स कंट्रोल सुरक्षा और दो-पक्ष की समीक्षाओं का इस्तेमाल करता है. Google ऐसी लाइब्रेरी भी उपलब्ध कराता है जो डेवलपर को कुछ खास तरह की सुरक्षा गड़बड़ियों को पेश करने से रोकती हैं. उदाहरण के लिए, Google के पास ऐसी लाइब्रेरी और फ़्रेमवर्क हैं जिन्हें SDK टूल में XSS के जोखिम को खत्म करने के लिए डिज़ाइन किया गया है. Google के पास सुरक्षा की गड़बड़ियों का पता लगाने के लिए ऑटोमेटेड टूल भी हैं, जैसे कि फ़ज़र, स्टैटिक विश्लेषण टूल, और वेब सुरक्षा स्कैनर.

सोर्स कोड की सुरक्षा

Google का सोर्स कोड, डेटा स्टोर करने की जगहों में पहले से मौजूद सोर्स इंटिग्रिटी और मैनेजमेंट की मदद से सेव किया जाता है. इससे सेवा के मौजूदा और पुराने, दोनों वर्शन का ऑडिट किया जा सकता है. इंफ़्रास्ट्रक्चर की समीक्षा करने, चेक इन करने, और टेस्ट करने के बाद यह ज़रूरी है कि सेवा की बाइनरी किसी खास सोर्स कोड से बनाई गई हों. बाइनरी ऑथराइज़ेशन फ़ॉर Borg (बीएबी) नीति उल्लंघन ठीक करने के तरीके (एनफ़ोर्समेंट) से जुड़ी एक अंदरूनी जांच है. यह तब की जाती है, जब किसी सेवा को डिप्लॉय किया जाता है. बीएबी ये काम करता है:

  • यह पक्का करता है कि Google में डिप्लॉय किए गए प्रोडक्शन सॉफ़्टवेयर और कॉन्फ़िगरेशन की समीक्षा की गई है और उन्हें अनुमति दी गई है. खास तौर पर तब, जब वह कोड उपयोगकर्ता के डेटा को ऐक्सेस कर सकता हो
  • यह पक्का करता है कि कोड और कॉन्फ़िगरेशन डिप्लॉयमेंट, तय किए गए ज़रूरी मानकों को पूरा करते हों
  • सोर्स कोड में नुकसान पहुंचाने वाले बदलाव करने की

इनसाइडर रिस्क (संगठन के किसी उपयोगकर्ता की ओर से डेटा लीक किए जाने का जोखिम) को कम करना

Google, इन्फ़्रास्ट्रक्चर का एडमिन ऐक्सेस दिए गए कर्मचारियों की गतिविधियों को सीमित करता है और उन पर लगातार नज़र रखता है. Google, ऑटोमेशन का इस्तेमाल करके कुछ खास तरह के कामों के लिए, खास ऐक्सेस की ज़रूरत को खत्म करने की लगातार कोशिश करता है. यह सुविधा उन टास्क को सुरक्षित और कंट्रोल तरीके से पूरा कर सकती है. उदाहरण के लिए, Google को कुछ कार्रवाइयों के लिए दो-पक्ष से मंज़ूरी लेने की ज़रूरत होती है. साथ ही, Google सीमित एपीआई का इस्तेमाल करता है, जो संवेदनशील जानकारी बताए बिना डीबग करने की अनुमति देते हैं.

Google के कर्मचारी को असली उपयोगकर्ता की जानकारी का ऐक्सेस, लो-लेवल के हुक के ज़रिए लॉग किया जाता है. Google की सुरक्षा टीम, ऐक्सेस के पैटर्न पर नज़र रखती है और असामान्य गतिविधियों की जांच करती है.

आपदा के बाद डेटा की बहाली की जांच - DiRT

Google Maps Platform, आपदा के बाद कई दिनों तक आपदा के बाद डेटा की बहाली से हर साल, कई दिनों में होने वाली आपदा के समय की जांच के इवेंट (DiRT) चलाता है, ताकि यह पक्का किया जा सके कि आपदा के दौरान Google Maps Platform की सेवाएं और संगठन के अंदर काम करना जारी रहे. DiRT को, अहम सिस्टम में जोखिम की आशंकाओं का पता लगाने के लिए बनाया गया है. इसके लिए, यह जान-बूझकर नाकामियां पैदा करता है और गड़बड़ी होने से पहले, जोखिम की आशंकाओं को अनियंत्रित तरीके से ठीक किया जाता है. DiRT, लाइव सिस्टम को तोड़कर Google की तकनीकी मज़बूती की जांच करता है. साथ ही, Google की ऑपरेशनल क्षमता की जांच करता है. इसके लिए, साफ़ तौर पर उन अहम कर्मचारियों, इलाके के विशेषज्ञों, और नेताओं को इसमें हिस्सा लेने से रोका जाता है. आम तौर पर उपलब्ध सभी सेवाओं के लिए, यह ज़रूरी है कि वे DiRT की लगातार और चालू जांच करें. साथ ही, इस बात की भी पुष्टि करनी होगी कि वे उपलब्ध हैं या नहीं.

DiRT अभ्यास के लिए तैयार रहने के लिए, Google प्राथमिकता तय करने के लिए एक जैसे नियमों का पालन करता है,

कम्यूनिकेशन प्रोटोकॉल, असर की उम्मीदों, और टेस्ट डिज़ाइन से जुड़ी ज़रूरी शर्तों के साथ-साथ, पहले से समीक्षा किए गए और अनुमति पा चुके रोलबैक प्लान. DiRT कामों और स्थितियों में, न सिर्फ़ सेवा में तकनीकी गड़बड़ी होना लागू करना पड़ता है, बल्कि इसमें प्रोसेस में होने वाली तकनीकी दिक्कतें, मुख्य कर्मचारियों की उपलब्धता, सहायक सिस्टम, कम्यूनिकेशन, और फ़िज़िकल ऐक्सेस भी शामिल हो सकते हैं. DiRT इस बात की पुष्टि करता है कि मौजूदा प्रोसेस सही ढंग से काम कर रही हैं. इससे यह भी पक्का होता है कि टीमों को पहले से ही ट्रेनिंग दी गई है और ऐसा अनुभव है कि वे कुछ समय के लिए रुकावट, रुकावटों, और मानव-निर्मित या प्राकृतिक आपदाओं के दौरान उनकी मदद कर सकती हैं.

सुरक्षा से जुड़े मुख्य कंट्रोल

इस सेक्शन में उन मुख्य सुरक्षा कंट्रोल के बारे में बताया गया है जिन्हें Google Maps Platform अपने प्लैटफ़ॉर्म की सुरक्षा के लिए इस्तेमाल करता है.

एन्क्रिप्ट (सुरक्षित) करने का तरीका

एन्क्रिप्ट (सुरक्षित) करने का तरीका, डेटा की सुरक्षा को और बेहतर बनाता है. एन्क्रिप्ट (सुरक्षित) करने से यह पक्का होता है कि अगर किसी हमलावर को डेटा का ऐक्सेस मिल जाता है, तो हमलावर, एन्क्रिप्शन कुंजियों के ऐक्सेस के बिना डेटा को नहीं पढ़ सकता. भले ही, हमलावर को डेटा का ऐक्सेस मिल जाए (उदाहरण के लिए, डेटा सेंटर के बीच वायर कनेक्शन का इस्तेमाल करके या स्टोरेज डिवाइस चुराकर), लेकिन वह डेटा समझ नहीं पाएगा या डिक्रिप्ट नहीं कर पाएगा.

एन्क्रिप्ट (सुरक्षित) करने का तरीका एक अहम तरीका है. इससे Google, डेटा की निजता को सुरक्षित रखने में मदद करता है. यह सिस्टम को डेटा में बदलाव करने की अनुमति देता है—उदाहरण के लिए, बैकअप लेने के लिए—और इंजीनियरों के लिए, Google के इन्फ़्रास्ट्रक्चर की मदद करने के लिए सिस्टम या कर्मचारियों को कॉन्टेंट का ऐक्सेस दिए बिना.

एन्क्रिप्ट (सुरक्षित) करने की सुविधा इनऐक्टिव है

इस सेक्शन में "इनऐक्टिव" एन्क्रिप्शन का मतलब, डिस्क (सॉलिड स्टेट ड्राइव सहित) या बैकअप मीडिया पर सेव किए गए डेटा को सुरक्षित रखने के लिए इस्तेमाल किए जाने वाले डेटा को एन्क्रिप्ट करने के तरीके से है. डेटा को स्टोरेज लेवल पर एन्क्रिप्ट (सुरक्षित) किया जाता है. आम तौर पर, इसके लिए AES256 (ऐडवांस एन्क्रिप्शन स्टैंडर्ड) का इस्तेमाल किया जाता है. डेटा को अक्सर डेटा सेंटर में Google के प्रोडक्शन स्टोरेज स्टैक में कई लेवल पर एन्क्रिप्ट (सुरक्षित) किया जाता है. इसमें हार्डवेयर लेवल पर भी डेटा को एन्क्रिप्ट (सुरक्षित) किया जाता है. इसके लिए, Google के ग्राहकों को कुछ करने की ज़रूरत नहीं होती. एन्क्रिप्शन की कई लेयर का इस्तेमाल करना

डेटा की गैर-ज़रूरी सुरक्षा जोड़ता है और Google को ऐप्लिकेशन की ज़रूरतों के मुताबिक सबसे अच्छा तरीका चुनने देता है. Google, सामान्य क्रिप्टोग्राफ़ी लाइब्रेरी का इस्तेमाल करता है, जिसमें Google के एफ़आईपीएस 140-2 पुष्टि किए गए मॉड्यूल को शामिल किया गया है, ताकि सभी प्रॉडक्ट के लिए एन्क्रिप्शन को एक जैसा रखा जा सके. सामान्य लाइब्रेरी के लगातार इस्तेमाल का मतलब है कि सिर्फ़ क्रिप्टोग्राफ़र की एक छोटी टीम को ही इस कोड को लागू करने और बनाए रखने की ज़रूरत है.

ट्रांज़िट स्थिति वाले डेटा की सुरक्षा करना

इंटरनेट का इस्तेमाल करते समय, डेटा को बिना अनुमति के ऐक्सेस किए जाने का जोखिम हो सकता है. Google Maps Platform, ग्राहक के डिवाइसों और नेटवर्क और Google के Google Front End (GFE) सर्वर के बीच ट्रांज़िट के दौरान मज़बूत एन्क्रिप्शन की सुविधा देता है. Google यह सुझाव देता है कि ऐप्लिकेशन बनाते समय, ग्राहक/डेवलपर Google के सबसे मज़बूत साइफ़र सुइट (TLS 1.3) का इस्तेमाल करें. कुछ ग्राहकों के पास इस्तेमाल के ऐसे मामले होते हैं जिनमें काम करने की वजह से पुराने साइफ़र सुइट की ज़रूरत होती है. इसलिए, Google Maps Platform इन कमज़ोर स्टैंडर्ड के साथ काम करता है, लेकिन जहां भी संभव हो उनका इस्तेमाल करने का सुझाव नहीं देता. Google Cloud आपको परिवहन को एन्क्रिप्ट (सुरक्षित) करने के अतिरिक्त विकल्प भी देता है. इनमें Google Maps Platform के प्रॉडक्ट के लिए, NATIVE का इस्तेमाल करके वर्चुअल प्राइवेट नेटवर्क बनाने के लिए, Cloud VPN शामिल है.

Google डेटा सेंटर के बीच ट्रांज़िट के दौरान डेटा की सुरक्षा करना

ऐप्लिकेशन लेयर ट्रांसपोर्ट सिक्योरिटी (ALTS) यह पक्का करती है कि Google के ट्रैफ़िक को सुरक्षित और एन्क्रिप्ट (सुरक्षित) किया गया हो. क्लाइंट और सर्वर के बीच हैंडशेक प्रोटोकॉल पूरा होने के बाद, क्लाइंट और सर्वर, नेटवर्क ट्रैफ़िक को एन्क्रिप्ट और पुष्टि करने के लिए, शेयर किए गए क्रिप्टोग्राफ़िक सीक्रेट ज़रूरी बातें तय करते हैं. ALTS, तय किए गए शेयर किए गए सीक्रेट टोकन का इस्तेमाल करके आरपीसी (रिमोट प्रोसेसर कॉल) ट्रैफ़िक को सुरक्षित रखता है. Google, पूरी सुरक्षा की गारंटी देने के लिए एक से ज़्यादा प्रोटोकॉल का इस्तेमाल करता है. जैसे, 128-बिट कुंजियों वाली AES-GMAC (ऐडवांस्ड एन्क्रिप्शन स्टैंडर्ड). जब भी ट्रैफ़िक, Google की ओर से या उसकी ओर से कंट्रोल की जाने वाली सीमा से बाहर निकलता है, तो सभी प्रोटोकॉल अपने-आप अपग्रेड हो जाते हैं. ऐसा, डेटा सेंटर के बीच एन्क्रिप्ट (सुरक्षित) करने और इंटिग्रिटी की गारंटी देने के लिए किया जाता है.

Google Maps Platform सेवा की उपलब्धता

ऐसा हो सकता है कि Google Maps Platform की कुछ सेवाएं सभी जगहों पर उपलब्ध न हों. सेवा में कुछ रुकावटें कुछ समय के लिए होती हैं (किसी अनचाही घटना की वजह से, जैसे कि नेटवर्क का बंद होना), लेकिन सरकार की लगाई गई पाबंदियों की वजह से सेवा में रुकावटें हमेशा के लिए होती हैं. Google की बेहतर पारदर्शिता रिपोर्ट और स्टेटस डैशबोर्ड, Google Maps Platform की सेवाओं पर हाल ही में आई और ट्रैफ़िक में हो रही रुकावटों की जानकारी देते हैं. Google, यह डेटा इसलिए उपलब्ध कराता है, ताकि आप इसका विश्लेषण कर सकें और उसे समझ सकें कि Google के सक्रिय समय की जानकारी क्या है.

क्लाइंट-साइड सुरक्षा

सुरक्षा, क्लाउड सेवा देने वाली कंपनी और Google Maps Platform के प्रॉडक्ट लागू करने वाले ग्राहक/पार्टनर के बीच शेयर की गई ज़िम्मेदारी है. इस सेक्शन में ग्राहक/पार्टनर की उन ज़िम्मेदारियों के बारे में बताया गया है जिन पर Google Maps Platform सलूशन को बनाते समय ध्यान दिया जाना चाहिए.

JavaScript एपीआई

सुरक्षित साइट्स

Maps JavaScript API, सुझावों का एक सेट पब्लिश करता है, जिसकी मदद से ग्राहक अपनी साइट के कॉन्टेंट की सुरक्षा के बारे में नीति (सीएसपी) को बेहतर बना सकते हैं, ताकि क्रॉस-साइट स्क्रिप्टिंग, क्लिकजैकिंग, और डेटा इंजेक्शन जैसे खतरों से बचा जा सके. JavaScript API में दो तरह के सीएसपी काम करते हैं: नॉन्स का इस्तेमाल करके सख्त सीएसपी और अनुमति वाली सूची वाले सीएसपी.

सुरक्षित JavaScript

JavaScript को सुरक्षा से जुड़े एंटी-पैटर्न के लिए नियमित रूप से स्कैन किया जाता है. इससे, समस्याओं को तुरंत हल कर दिया जाता है. कोई समस्या आने पर, JavaScript API को हर हफ़्ते या मांग पर जारी किया जाता है.

मोबाइल ऐप्लिकेशन सिक्योरिटी (एमएएस)

मोबाइल ऐप्लिकेशन सिक्योरिटी (MAS) एक खुला, चुस्त, और भीड़-भाड़ वाला एक प्रयास है, जो दुनिया भर के दर्जनों लेखकों और समीक्षकों के योगदान की मदद से बनाया गया है. OWASP Mobile Application Security (MAS) फ़्लैगशिप प्रोजेक्ट, मोबाइल ऐप्लिकेशन (OWASP MASVS) के लिए एक सुरक्षा मानक और एक व्यापक टेस्टिंग गाइड (OWASP MASTG) उपलब्ध कराता है. इसमें मोबाइल ऐप्लिकेशन के सुरक्षा टेस्ट के दौरान इस्तेमाल की जाने वाली प्रक्रियाओं, तकनीकों, और टूल के बारे में बताया जाता है. साथ ही, टेस्ट केस का ऐसा पूरा सेट भी दिया जाता है जो टेस्टर को एक जैसे और पूरे नतीजे देने में मदद करता है.

  • OWASP मोबाइल ऐप्लिकेशन सिक्योरिटी वेरिफ़िकेशन स्टैंडर्ड (MASVS), iOS और Android दोनों के लिए पूरे और एक जैसे सुरक्षा टेस्ट के लिए बेसलाइन उपलब्ध कराता है.
  • OWASP Mobile ऐप्लिकेशन सिक्योरिटी टेस्टिंग गाइड (MASTG) एक ऐसी गाइड है जिसमें मोबाइल ऐप्लिकेशन के सुरक्षा विश्लेषण के दौरान इस्तेमाल की जाने वाली प्रक्रियाओं, तकनीकों, और टूल के बारे में पूरी जानकारी दी गई है. साथ ही, MASVS में बताई गई ज़रूरी शर्तों की पुष्टि करने के लिए टेस्ट केस का पूरा सेट भी शामिल है.
  • OWASP मोबाइल ऐप्लिकेशन सिक्योरिटी चेकलिस्ट में, हर MASVS कंट्रोल के लिए MASTG टेस्ट केस के लिंक शामिल हैं.
    • सुरक्षा का आकलन / पेंटेस्ट: पक्का करें कि आपने कम से कम स्टैंडर्ड हमले की सतह को कवर किया हो और एक्सप्लोर करना शुरू करें.
    • मानक अनुपालन: इसमें MASVS और MASTG वर्शन और कमिट आईडी शामिल हैं.
    • मोबाइल के डेटा की सुरक्षा से जुड़े कौशल सीखें और उनका अभ्यास करें.
    • Bug Bounties: मोबाइल अटैक की सतह को सिलसिलेवार तरीके से कवर करें.

iOS और Android ऐप्लिकेशन की सुरक्षा, टेस्टिंग, और पुष्टि करने की सुविधाओं को बेहतर बनाने के लिए, OWASP MAS का इस्तेमाल करें.

Android

Android ऐप्लिकेशन डेवलप करते समय, Android कम्यूनिटी ऐप्लिकेशन के इस्तेमाल के सबसे सही तरीके पर भी ध्यान दिया जाना चाहिए. सुरक्षा से जुड़े दिशा-निर्देशों में, सुरक्षित जानकारी लागू करने, सही अनुमतियों के बारे में बताने, डेटा को सुरक्षित रखने, सेवा पर निर्भरता वगैरह के बारे में सबसे सही तरीकों से जुड़े दिशा-निर्देश दिए गए हैं.

iOS

iOS ऐप्लिकेशन डेवलप करते समय, Apple की सिक्योर कोडिंग गाइड के बारे में जानकारी देखें. इसमें iOS प्लैटफ़ॉर्म इस्तेमाल करने के सबसे सही तरीके बताए गए हैं.

डेटा इकट्ठा करना, उसका इस्तेमाल करना, और उसका रखरखाव करना

Google Maps Platform डेटा कलेक्शन, डेटा खर्च, और डेटा के रखरखाव से जुड़ी पारदर्शिता का वादा करता है. Google Maps Platform का डेटा इकट्ठा करना, उसका इस्तेमाल, और उसका रखरखाव, Google Maps Platform की सेवा की शर्तों के मुताबिक किया जाता है. इसमें Google निजता नीति भी शामिल है.

डेटा कलेक्शन

Google Maps Platform प्रॉडक्ट का इस्तेमाल करके, डेटा इकट्ठा किया जाता है. ग्राहक के तौर पर, एपीआई और SDK टूल की मदद से, Google Maps Platform पर भेजी जाने वाली जानकारी का कंट्रोल आपके पास होता है. Google Maps Platform के सभी अनुरोध लॉग किए जाते हैं. इनमें प्रॉडक्ट से मिले रिस्पॉन्स के स्टेटस कोड शामिल होते हैं.

Google Maps Platform का लॉग किया गया डेटा

Google Maps Platform, प्रॉडक्ट सुइट में मौजूद डेटा को लॉग करता है. लॉग में कई एंट्री होती हैं. आम तौर पर, इनमें ये चीज़ें शामिल होती हैं:

  • खाता आइडेंटिफ़ायर, जो एपीआई पासकोड, Client-ID या Cloud प्रोजेक्ट नंबर हो सकता है. कार्रवाइयों, सहायता, और बिलिंग के लिए यह ज़रूरी है.
  • अनुरोध करने वाले सर्वर, सेवा या डिवाइस का आईपी पता. एपीआई के लिए, ध्यान दें कि Google Maps Platform को भेजा गया आईपी पता, इस बात पर निर्भर करेगा कि आपके ऐप्लिकेशन/सॉल्यूशन में एपीआई को शुरू करने की प्रक्रिया कैसे लागू की गई है. SDK टूल के लिए, शुरू करने वाले डिवाइस का आईपी पता लॉग किया जाता है.
  • अनुरोध यूआरएल, जिसमें एपीआई और एपीआई को भेजे जा रहे पैरामीटर शामिल होते हैं. उदाहरण के लिए, Geocoding API के लिए दो पैरामीटर (पता और एपीआई कुंजी) ज़रूरी होते हैं. जियोकोडिंग में कई वैकल्पिक पैरामीटर भी होते हैं. अनुरोध यूआरएल में, सेवा को पास किए गए सभी पैरामीटर शामिल होंगे.
  • अनुरोध की तारीख और समय.
  • वेब ऐप्लिकेशन में अनुरोध हेडर लॉग किए जाते हैं, जिनमें आम तौर पर वेब ब्राउज़र और ऑपरेटिंग सिस्टम का टाइप जैसा डेटा शामिल होता है.
  • SDK टूल का इस्तेमाल करने वाले मोबाइल ऐप्लिकेशन में Google Play का वर्शन, लाइब्रेरी, और ऐप्लिकेशन का नाम लॉग होता है.

Google Maps Platform का लॉग ऐक्सेस

लॉग का ऐक्सेस बेहद प्रतिबंधित और अधिकृत है, सिर्फ़ उन टीम के सदस्यों के लिए है जिन्हें कारोबार की कानूनी ज़रूरत है. लॉग फ़ाइलों के लिए, access के हर अनुरोध को access के मकसद से दर्ज किया जाता है. इसकी पुष्टि Google के ISO 27001 और SOC 2 तीसरे पक्ष के ऑडिट से की जाती है.

डेटा का इस्तेमाल

Google Maps Platform से इकट्ठा किए गए डेटा का इस्तेमाल इन कामों के लिए किया जाता है:

  • Google के प्रॉडक्ट और सेवाओं को बेहतर बनाना
  • ग्राहक को तकनीकी सहायता देना
  • कामकाज पर नज़र रखने और चेतावनी देने की सुविधा
  • प्लैटफ़ॉर्म को सुरक्षित बनाए रखना
  • प्लैटफ़ॉर्म की कपैसिटी बढ़ाने के लिए प्लान बनाना

कृपया ध्यान दें कि Google Maps Platform, उपयोगकर्ता की कार्रवाई से जुड़ा डेटा कभी भी तीसरे पक्षों को नहीं बेचता. इस बारे में, Google की निजता नीति में बताया गया है.

डेटा का रखरखाव और पहचान छिपाना

कारोबार की ज़रूरतों के मुताबिक, Google Maps Platform के लॉग में इकट्ठा किए गए डेटा को अलग-अलग समय तक सेव करके रखा जा सकता है. यह डेटा की पहचान छिपाने और डेटा हटाने के लिए बनी Google की नीतियों के मुताबिक होता है. जैसे ही संभव होता है, आईपी पतों की पहचान अपने-आप छिपा दी जाती है (आईपी पते का कुछ हिस्सा मिटा दिया जाता है). लॉग से मिले, इस्तेमाल के एग्रीगेट किए गए आंकड़ों की पहचान छिपाई जा सकती है. इन्हें लंबे समय तक सेव रखा जा सकता है.

सुरक्षा, उद्योग, उच्च उपलब्धता, पर्यावरण सर्टिफ़िकेशन और ऑडिट

ISO 27001

इंटरनैशनल ऑर्गेनाइज़ेशन फ़ॉर स्टैंडर्डाइज़ेशन (आईएसओ) एक स्वतंत्र, गैर-सरकारी अंतरराष्ट्रीय संगठन है जिसे अंतरराष्ट्रीय स्तर पर 163 राष्ट्रीय मानक निकायों की सदस्यता मिली है. ISO/IEC 27000 स्टैंडर्ड्स से, संगठनों को अपनी जानकारी वाली एसेट को सुरक्षित रखने में मदद मिलती है.

ISO/IEC 27001 किसी इन्फ़ॉर्मेशन सिक्योरिटी मैनेजमेंट सिस्टम (आईएसएमएस) के लिए ज़रूरतें बताता है, सबसे सही तरीकों का एक सेट तय करता है, और ऐसे सुरक्षा कंट्रोल के बारे में जानकारी देता है जो जानकारी से जुड़े जोखिमों को मैनेज करने में मदद कर सकते हैं.

Google Maps Platform और Google का कॉमन इन्फ़्रास्ट्रक्चर, ISO/IEC 27001 का पालन करने वाला सर्टिफ़ाइड है. 27001 स्टैंडर्ड के तहत, जानकारी के लिए खास सुरक्षा कंट्रोल ज़रूरी नहीं हैं. हालांकि, इसके कंट्रोल का फ़्रेमवर्क और चेकलिस्ट लागू होने से, Google यह पक्का कर पाता है कि सुरक्षा मैनेजमेंट के लिए, एक बेहतर और लगातार बेहतर होने वाला मॉडल बनाया जा सके.

Google कंप्लायंस रिपोर्ट मैनेजर से Google Maps Platform ISO 27001 सर्टिफ़िकेशन डाउनलोड करके उसकी समीक्षा की जा सकती है.

एसओसी 2 टाइप II

एसओसी 2 एक रिपोर्ट है, जो अमेरिकन इंस्टिट्यूट ऑफ़ सर्टिफ़ाइड पब्लिक अकाउंटेंट्स (एआईसीपीए) के मौजूदा ट्रस्ट सर्विसेज़ मानदंड (टीएससी) के ऑडिटिंग स्टैंडर्ड बोर्ड पर आधारित है. इस रिपोर्ट का मकसद, किसी संगठन के इन्फ़ॉर्मेशन सिस्टम का आकलन करना है. यह सिस्टम, सुरक्षा, उपलब्धता, प्रोसेसिंग इंटेग्रिटी, गोपनीयता, और निजता के लिए काम करता है. एसओसी 2 टाइप II रिपोर्ट, जून और दिसंबर के आस-पास साल में दो बार जारी की जाती हैं.

Google कंप्लायंस रिपोर्ट मैनेजर से Google Maps Platform SOC 2 टाइप II ऑडिट रिपोर्ट डाउनलोड की जा सकती है और उसकी समीक्षा की जा सकती है.

क्लाउड सिक्योरिटी अलायंस (सीएसए)

Cloud Security Alliance (1, 2) एक गैर-लाभकारी संगठन है. इसका मकसद "क्लाउड कंप्यूटिंग में सुरक्षा का भरोसा देने के लिए, सबसे सही तरीकों के इस्तेमाल को बढ़ावा देना है. साथ ही, क्लाउड कंप्यूटिंग के इस्तेमाल के बारे में जानकारी देना है, ताकि कंप्यूटिंग के दूसरे सभी तरीकों को सुरक्षित रखा जा सके."

सीएसए का सिक्योरिटी, ट्रस्ट, और अश्योरेंस रजिस्ट्री प्रोग्राम (सीएसए STAR) क्लाउड सेवा देने वाली कंपनी का आकलन करने और उसे चुनने में आपकी मदद करने के लिए डिज़ाइन किया गया है. इसके लिए, खुद से जांच करने, तीसरे पक्ष का ऑडिट, और लगातार निगरानी करने की सुविधा दी जाती है.

Google Maps Platform ने तीसरे पक्ष के आकलन के आधार पर सर्टिफ़िकेशन (सीएसए स्टार लेवल 1: प्रमाणित करना) हासिल कर लिया है

Google, सीएसए का स्पॉन्सर होने के साथ-साथ सीएसए की इंटरनैशनल स्टैंडर्डाइज़ेशन काउंसिल (आईएससी) का सदस्य और सीएसए जीडीपीआर सेंटर ऑफ़ एक्सिलेंस का संस्थापक सदस्य भी है.

आईएसओ 22301:2019

इंटरनैशनल ऑर्गेनाइज़ेशन फ़ॉर स्टैंडर्डाइज़ेशन (आईएसओ) एक स्वतंत्र, गैर-सरकारी अंतरराष्ट्रीय संगठन है जिसे अंतरराष्ट्रीय स्तर पर 163 राष्ट्रीय मानक निकायों की सदस्यता मिली है.

ISO 22301:2019, कारोबार को कंटिन्युइटी मैनेजमेंट के लिए एक अंतरराष्ट्रीय स्टैंडर्ड है. इसे मैनेजमेंट सिस्टम को लागू करने, उसका रखरखाव करने, और उसे बेहतर बनाने में संगठनों की मदद करने के लिए डिज़ाइन किया गया है. इसका मकसद, आने वाली रुकावटों को रोकना, उनके लिए तैयारी करना, उनके लिए कार्रवाई करना, और उनसे उबरने में मदद करना है.

Google Maps Platform के प्रॉडक्ट के साथ काम करने वाले डेटा सेंटर को ISO 22301:2019 और BS EN ISO 22301:2019 के तौर पर सर्टिफ़िकेट मिला है. इन डेटा सेंटर का ऑडिट तीसरे-पक्ष के ऑडिटर से किया जाता है. Google के डेटा सेंटर के इन मानकों का पालन करने से यह पता चलता है कि जिन जगहों पर Google के प्रॉडक्ट और सेवाएं होस्ट की जाती हैं वे ISO 22301:2019 और BS EN ISO 22301:2019 में बताई गई ज़रूरी शर्तों को पूरा करती हैं.

ISO 50001

इंटरनैशनल ऑर्गेनाइज़ेशन फ़ॉर स्टैंडर्डाइज़ेशन (आईएसओ) एक स्वतंत्र, गैर-सरकारी अंतरराष्ट्रीय संगठन है जिसे अंतरराष्ट्रीय स्तर पर 163 राष्ट्रीय मानक निकायों की सदस्यता मिली है.

ISO 50001:2018, ऊर्जा प्रबंधन के लिए एक अंतरराष्ट्रीय मानक है. इसे प्रबंधन सिस्टम लागू करने, उसका रखरखाव करने, और उसमें सुधार करने में संगठनों की मदद करने के लिए डिज़ाइन किया गया है, ताकि क्वालिटी और पर्यावरण को बेहतर तरीके से मैनेज करने की कोशिशों में, ऊर्जा प्रबंधन को शामिल किया जा सके.

Google Maps Platform में इस्तेमाल किए जाने वाले Google यूरोप, मध्य पूर्व, और अफ़्रीका (EMEA) के जिन डेटा सेंटर का इस्तेमाल किया जाता है उन्हें ISO 50001:2018 का पालन करने के लिए सर्टिफ़िकेट मिला है. इन सेंटर का ऑडिट, तीसरे पक्ष के स्वतंत्र ऑडिटर से किया गया है. Google के डेटा सेंटर के लिए ISO 50001:2018 के अनुपालन से यह पता चलता है कि जिन जगहों पर Google के प्रॉडक्ट और सेवाएं होस्ट की जाती हैं वे ISO 50001:2018 में बताई गई ज़रूरी शर्तों को पूरा करती हैं.

नीचे दुनिया भर में कानूनी समझौते की शर्तें दी गई हैं.

यूरोपीय अनुबंध की जवाबदेही

इस सेक्शन में, यूरोप के समझौते की शर्तों के बारे में बताया गया है.

ईयू (यूरोपीय संघ) का जनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर)

सामान्य डेटा से जुड़े सुरक्षा कानून (जीडीपीआर), निजता कानून है. यह 25 मई, 2018 को 24 अक्टूबर, 1995 के 95/46/EC दिशा-निर्देश की जगह लागू हुआ है. जीडीपीआर में ऐसे कारोबारों और संगठनों के लिए खास शर्तें तय की गई हैं जो यूरोप में हैं या जो यूरोप में उपयोगकर्ताओं को सेवा देते हैं. Google Maps Platform चैंपियनशिप की ऐसी पहल हैं जो ग्राहकों के निजी डेटा की सुरक्षा और निजता को प्राथमिकता देती हैं और उन्हें बेहतर बनाती हैं. Google Maps Platform के ग्राहक होने के नाते, हम आपको जीडीपीआर की शर्तों को ध्यान में रखते हुए Google की सेवाओं का इस्तेमाल करने का भरोसा दिलाते हैं. Google Maps Platform के साथ साझेदारी करने पर, जीडीपीआर के पालन से जुड़ी आपकी कोशिशों को इस तरह से मदद की जाएगी:

  1. Google के सभी Google Maps Platform की सेवाओं में निजी डेटा को प्रोसेस करने से जुड़े जीडीपीआर का पालन करने के लिए, Google के अनुबंधों का पालन करना
  2. Google की सेवाओं के निजता आकलन में आपकी मदद करने के लिए, आपको दस्तावेज़ और संसाधन दिए जाते हैं
  3. कानूनी लैंडस्केप में बदलाव होने के बावजूद Google की क्षमताओं को बेहतर बनाना

डेटा सुरक्षा के ज़रूरी स्तर से जुड़े ईयू, ईईए, स्विट्ज़रलैंड, और यूनाइटेड किंगडम के फ़ैसले

जैसा कि Google की निजता नीति में बताया गया है, यूरोपियन कमीशन ने तय किया है कि यूरोपियन इकनॉमिक एरिया (ईईए) के बाहर के कुछ देश, निजी जानकारी की पूरी तरह सुरक्षा करते हैं. इसका मतलब है कि डेटा को यूरोपियन यूनियन (ईयू) और नॉर्वे, लिख्तेंस्ताइन, और आइसलैंड से उन देशों में ट्रांसफ़र किया जा सकता है. यूके (यूनाइटेड किंगडम) और स्विट्ज़रलैंड ने डेटा सुरक्षा के ज़रूरी स्तर से जुड़े ऐसे ही तरीकों को अपनाया है.

ईयू के मानक अनुबंध के उपनियम

यूरोपियन कमीशन ने एससीसी के साथ-साथ यूरोपियन डेटा की सुरक्षा के लिए, ईयू एससीसी के नए दस्तावेज़ पब्लिश किए हैं. Google ने डेटा को सुरक्षित रखने और यूरोपीय निजता कानून की ज़रूरी शर्तों को पूरा करने के लिए, एससीसी को अपने Google Maps Platform अनुबंधों में शामिल किया है. मानक अनुबंध के पिछले उपनियम की तरह, इन शर्तों का इस्तेमाल, डेटा को कानूनी तौर पर ट्रांसफ़र करने के लिए किया जा सकता है.

यूके का डेटा प्रोटेक्शन ऐक्ट

डेटा सुरक्षा कानून 2018, यूनाइटेड किंगडम में सामान्य डेटा से जुड़े सुरक्षा कानून (जनरल डेटा प्रोटेक्शन रेगुलेशन) को लागू करता है. "यूके का जीडीपीआर" का मतलब ईयू (यूरोपियन यूनियन) के जीडीपीआर से है, जैसा कि यूके यूरोपियन यूनियन (अनुबंध से बाहर निकलना) ऐक्ट 2018 और इस ऐक्ट के तहत बनाए गए, लागू सेकंडरी कानून के तहत, यूके के कानून में संशोधन करके शामिल किया गया है.

स्विस फ़ेडरल ऐक्ट ऑन डेटा प्रोटेक्शन (एफ़डीपीए)

स्विस डेटा प्रोटेक्शन ऐक्ट को औपचारिक तौर पर, फ़ेडरल ऐक्ट ऑन डेटा प्रोटेक्शन (एफ़एडीपी) कहा जाता है. यह डेटा की सुरक्षा से जुड़ा एक कानून है. इसका मकसद, लोगों का डेटा प्रोसेस किए जाने के दौरान उनकी निजता और उनके बुनियादी अधिकारों की सुरक्षा करना है.

गैर-यूरोपीय अनुबंध के वादे

इस सेक्शन में, गैर-यूरोपीय समझौते की शर्तों के बारे में बताया गया है.

Lei Geral de Proteção de Dados (एलजीपीडी)

ब्राज़ील का Lei Geral de Proteção de Dados (एलजीपीडी), डेटा की निजता से जुड़ा कानून है. यह अन्य मामलों में, ऐसे कारोबारों और संगठनों के निजी डेटा को प्रोसेस करने की प्रक्रिया को कंट्रोल करता है जो ब्राज़ील में मौजूद हैं या जो ब्राज़ील में उपयोगकर्ताओं को सेवा देते हैं. एलजीपीडी अब लागू हो गया है और इससे आपको ये सुविधाएं मिलती हैं:

  • यह तय करता है कि कारोबार और संगठन कैसे निजी डेटा को इकट्ठा, इस्तेमाल, और मैनेज कर सकते हैं
  • जवाबदेही बढ़ाने के लिए, फ़ेडरल सेक्टर के मौजूदा निजता कानूनों को जोड़ना या बदलना
  • ज़रूरी शर्तों को पूरा न करने वाले कारोबारों और संगठनों पर जुर्माना लगाता है
  • डेटा सुरक्षा प्राधिकरण बनाने की अनुमति देता है
  • ब्राज़ील में इकट्ठा किए गए निजी डेटा को ट्रांसफ़र करने के लिए नियम लागू करता है

Google ऐसे प्रॉडक्ट और समाधान उपलब्ध कराता है जिनका इस्तेमाल एलजीपीडी का पालन करने की रणनीति के तौर पर किया जा सकता है:

  • सुरक्षा और निजता से जुड़ी ऐसी सुविधाएं जो एलजीपीडी का पालन करने और निजी डेटा को बेहतर ढंग से सुरक्षित रखने और उसे मैनेज करने में आपकी मदद करती हैं.
  • ऐसी सेवाएं और इन्फ़्रास्ट्रक्चर जो डेटा प्रोसेसिंग को सुरक्षित रखने और निजता लागू करने के उचित तरीकों को लागू करने के लिए बनाए गए हैं.
  • कानूनी लैंडस्केप में बदलाव हो रहे हैं और Google के प्रॉडक्ट और क्षमताओं का लगातार विकास हो रहा है.

Google Maps Platform के ग्राहकों को अपने निजी डेटा की प्रोसेसिंग का मूल्यांकन करके यह तय करना होगा कि उन पर एलजीपीडी की ज़रूरी शर्तें लागू होती हैं या नहीं. Google का सुझाव है कि आप अपने संगठन में लागू होने वाली एलजीपीडी की खास शर्तों के बारे में दिशा-निर्देश पाने के लिए, किसी कानूनी विशेषज्ञ से सलाह लें. ऐसा इसलिए, क्योंकि इस साइट पर कानूनी सलाह नहीं दी जा सकती.

अमेरिकी राज्य से जुड़े कानूनी समझौते

कनेटिकट ऐक्ट कनसर्निंग पर्सनल डेटा प्राइवसी ऐंड ऑनलाइन मॉनिटरिंग

कनेटिकट ऐक्ट कनसर्निंग डेटा प्राइवसी ऐंड ऑनलाइन मॉनिटरिंग, पब ऐक्ट नंबर 22015, 1 जनवरी, 2023 को लागू हुआ था. ज़्यादा जानकारी के लिए, Google कंट्रोलर-कंट्रोलर डेटा सुरक्षा की शर्तें देखें.

कैलिफ़ोर्निया कंज़्यूमर प्राइवसी ऐक्ट (सीसीपीए)

कैलिफ़ोर्निया कंज़्यूमर प्राइवसी ऐक्ट (1, 2), डेटा की निजता से जुड़ा कानून है. इसके तहत, कैलिफ़ोर्निया के उपभोक्ताओं को कई तरह की निजता सुरक्षा दी जाती है. इनमें, अपनी निजी जानकारी को ऐक्सेस करने, मिटाने, और उसे बेचने से ऑप्ट-आउट करने का अधिकार भी शामिल है. कैलिफ़ोर्निया में रहने वाले लोगों की निजी जानकारी इकट्ठा करने वाले और कुछ खास थ्रेशोल्ड (जैसे, आय, डेटा प्रोसेसिंग की मात्रा) को पूरा करने वाले कारोबारों को 1 जनवरी, 2020 से, इन जवाबदेही का पालन करना होगा. कैलिफ़ोर्निया प्राइवसी राइट्स ऐक्ट (सीपीआरए), डेटा की निजता से जुड़ा कानून है. यह सीसीपीए में बदलाव करके, उसके दायरे में आता है. यह कानून 1 जनवरी, 2023 से लागू होगा. डेटा से जुड़े इन नियमों के तहत, अपने ग्राहकों को उनकी जवाबदेही पूरी करने में मदद करने के लिए, Google बहुत प्रतिबद्ध है. इसके लिए वह आसान टूल उपलब्ध कराता है. साथ ही, Google की सेवाओं और अनुबंधों में निजता और सुरक्षा को मज़बूत बनाने की कोशिश करता है. सीसीपीए के तहत, कैलिफ़ोर्निया के अटॉर्नी जनरल की वेबसाइट पर आपको कारोबार के तौर पर अपनी ज़िम्मेदारियों के बारे में ज़्यादा जानकारी मिल सकती है. ज़्यादा जानकारी के लिए, Google कंट्रोलर-कंट्रोलर डेटा की सुरक्षा से जुड़ी शर्तें देखें.

कोलोराडो प्राइवसी ऐक्ट (सीपीए)

कोलोराडो प्राइवसी ऐक्ट, Colo. Rev. Stat. § 6-1-1301 et seq. 1 जनवरी, 2023 से लागू हुआ है. यह कानून, निजी डेटा की निजता के अधिकार देता है. यह ऐसी कानूनी इकाइयों पर लागू होता है जो कारोबार करती हैं या ऐसे व्यावसायिक प्रॉडक्ट या सेवाएं बनाती हैं जिन्हें जान-बूझकर कोलोराडो के निवासियों को टारगेट किया जाता है.

  • हर साल कम से कम 1,00,000 उपभोक्ताओं के निजी डेटा को कंट्रोल या प्रोसेस करें
  • निजी डेटा की बिक्री से कमाई करें और कम से कम 25,000 उपभोक्ताओं के निजी डेटा को कंट्रोल या प्रोसेस करें

ज़्यादा जानकारी के लिए, Google कंट्रोलर-कंट्रोलर डेटा सुरक्षा की शर्तें देखें.

यूटा कंज़्यूमर प्राइवसी ऐक्ट (यूसीपीए)

यूटा कंज़्यूमर प्राइवसी ऐक्ट, यूटा कोड एन. § 13-61-101 वगैरह सीक्वेंस 1 जनवरी, 2023 को लागू हुआ था. यूसीपीए, निजी डेटा की बिक्री और टारगेट किए गए विज्ञापनों पर लागू होता है. साथ ही, यह तय करता है कि बिक्री में क्या शामिल है और क्या नहीं: "किसी नियंत्रक से पैसे पाने के लिए निजी डेटा का किसी तीसरे पक्ष से लेन-देन करना."

ज़्यादा जानकारी के लिए, Google कंट्रोलर-कंट्रोलर डेटा सुरक्षा की शर्तें देखें.

वर्जीनिया कंज़्यूमर डेटा प्रोटेक्शन ऐक्ट (वीसीडीपीए)

वर्जीनिया कंज़्यूमर डेटा प्रोटेक्शन ऐक्ट ("वीसीडीपीए") 1 जनवरी, 2023 को लागू हुआ था. यह कानून वर्जीनिया के निवासियों को कानून की शर्तों के तहत, कारोबारों से इकट्ठा किए गए निजी डेटा के कुछ अधिकार देता है.

ज़्यादा जानकारी के लिए, कृपया Google कंट्रोलर-कंट्रोलर डेटा सुरक्षा की शर्तें देखें.

खास जानकारी

Google के सभी इन्फ़्रास्ट्रक्चर, प्रॉडक्ट, और ऑपरेशंस के लिए, सुरक्षा को डिज़ाइन किया जाता है. Google के बड़े पैमाने पर काम करने और सुरक्षा रिसर्च समुदाय के साथ मिलकर काम करने से, हमें कमियों को तुरंत और अक्सर पूरी तरह से रोकने में मदद मिलती है. Google Search, YouTube, और Gmail जैसी अपनी सेवाएं उसी इन्फ़्रास्ट्रक्चर पर चलाता है जो अपने ग्राहकों को उपलब्ध कराता है. इन ग्राहकों को Google के सुरक्षा कंट्रोल और तरीकों का सीधे तौर पर फ़ायदा मिलता है.

Google का मानना है कि यह उस तरह की सुरक्षा दे सकता है जैसा कि कुछ सार्वजनिक क्लाउड सेवा देने वाली कंपनियां या निजी एंटरप्राइज़ की आईटी टीमें कर सकती हैं. डेटा को सुरक्षित रखना Google के कारोबार के लिए अहम है. इसलिए, हम सुरक्षा, संसाधन, और विशेषज्ञता में बड़े पैमाने पर निवेश कर सकते हैं, जो दूसरे नहीं कर सकते. Google का निवेश आपको अपने कारोबार और इनोवेशन पर फ़ोकस करने के लिए मुफ़्त देता है. हम अपने प्लैटफ़ॉर्म में निवेश करना जारी रखेंगे, ताकि आपको Google की सेवाओं का सुरक्षित और पारदर्शी तरीके से फ़ायदा मिल सके.