ภาพรวมด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดสำหรับ Google Maps Platform

เนื้อหานี้ได้รับการอัปเดตล่าสุดในเดือนกุมภาพันธ์ 2024 และแสดงถึงสถานะปัจจุบันของเนื้อหา ณ เวลาที่เขียน นโยบายและระบบความปลอดภัยของ Google อาจมีการเปลี่ยนแปลงในอนาคต เนื่องจากเราปรับปรุงการปกป้องสำหรับลูกค้าอย่างต่อเนื่อง

ไอคอน PDF ดาวน์โหลดเวอร์ชัน PDF

เกริ่นนำ

Google Maps Platform มี API และ SDK ให้ลูกค้าและพาร์ทเนอร์พัฒนาแอปพลิเคชันบนเว็บและอุปกรณ์เคลื่อนที่โดยใช้เทคโนโลยีเชิงพื้นที่ของ Google Google Maps Platform มี API และ SDK กว่า 50 รายการ สำหรับลูกค้าในหลายอุตสาหกรรม ในฐานะลูกค้าในอุตสาหกรรม คุณต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัย การใช้ข้อมูล และกฎระเบียบอยู่เสมอเมื่อสร้างโซลูชัน ซึ่งรวมถึงการตรวจสอบว่าเทคโนโลยีของบุคคลที่สามตรงตามข้อกำหนดเดียวกันเหล่านั้น

เอกสารนี้ให้ข้อมูลสรุประดับสูงเกี่ยวกับบุคคล กระบวนการ และการควบคุมเทคโนโลยีที่ Google Maps Platform มีให้ รวมถึงอธิบายประโยชน์ของการใช้แพลตฟอร์ม ก่อนอื่น คุณควรทำความเข้าใจ 2 เสาหลักด้านเทคโนโลยีที่อยู่ใต้ Google Maps Platform ได้แก่

  • เทคโนโลยี ศูนย์ข้อมูล และโครงสร้างพื้นฐานที่ Google จัดหาให้ Google Maps Platform ทำงานบนศูนย์ข้อมูลและโครงสร้างพื้นฐานที่ Google จัดหาให้ทั้งหมด จากพื้นฐานนี้ การนำการตรวจสอบภายในและบุคคลที่สามมาใช้กับการควบคุมความปลอดภัยที่ได้รับมาจาก Google เพื่อตรวจสอบว่า Google Maps Platform ใช้การควบคุมความปลอดภัย การดำเนินงาน และการควบคุมทางเทคนิคที่อธิบายไว้ในบทความนี้อย่างถูกต้อง
  • เทคโนโลยี Google Maps Platform นอกจากการควบคุมที่รับช่วงมา Google Maps Platform ยังมีการรักษาความปลอดภัย ความเป็นส่วนตัว ข้อมูล และการควบคุมการปฏิบัติงานเพิ่มเติมสำหรับชุดผลิตภัณฑ์ของ Google ด้วย

เอกสารนี้สรุปกระบวนการและการควบคุมด้านความปลอดภัยของ Google Maps Platform โดยจัดกลุ่มไว้ดังนี้

  • ให้ความสำคัญกับความปลอดภัยและความเป็นส่วนตัวในทุกระดับในองค์กรของ Google
  • โครงสร้างพื้นฐานทางเทคนิคและการรักษาความปลอดภัยด้วยฮาร์ดแวร์
  • การรักษาความปลอดภัยในการดำเนินการ
  • การควบคุมความปลอดภัยที่สำคัญ
  • การรักษาความปลอดภัยฝั่งไคลเอ็นต์ ทั้งบนเว็บและอุปกรณ์เคลื่อนที่
  • การรับรองและการตรวจสอบในปัจจุบันใน Google Maps Platform
  • กรอบกฎหมายที่รองรับทั่วโลก

ผู้มีโอกาสเป็นลูกค้าสามารถติดต่อตัวแทนการขายของ Google เพื่อขอข้อมูลเพิ่มเติมได้

องค์กรที่มุ่งเน้นความเป็นส่วนตัวและความปลอดภัยของ Google

การรักษาความปลอดภัยช่วยขับเคลื่อนโครงสร้างองค์กร วัฒนธรรม ลำดับความสำคัญในการฝึกอบรม และกระบวนการจ้างงานทั่วทั้ง Google เครื่องมือดังกล่าวช่วยกำหนดการออกแบบศูนย์ข้อมูลของ Google และเทคโนโลยีที่ผู้ให้บริการจัดหาให้ การรักษาความปลอดภัยเป็นรากฐานของการดำเนินงานในแต่ละวันของ Google ซึ่งรวมถึงการวางแผนภัยพิบัติและการจัดการภัยคุกคาม Google ให้ความสำคัญกับความปลอดภัยในการจัดการกับข้อมูล การควบคุมบัญชี การตรวจสอบการปฏิบัติตามข้อกำหนด และการรับรองในอุตสาหกรรม Google ออกแบบบริการให้มอบการรักษาความปลอดภัยที่ดีกว่าทางเลือกอื่นๆ ภายในองค์กรซึ่งอาศัยผู้ให้บริการหลายรายและหลายๆ แพลตฟอร์ม ซึ่งการรักษาความปลอดภัยมักไม่ใช่กระบวนการที่เชื่อมต่อกัน คุณจะได้รับประโยชน์จากโปรแกรมและการควบคุมด้านความปลอดภัยแบบผสานรวมของ Google เมื่อใช้ประโยชน์จากผลิตภัณฑ์ Google Maps Platform สำหรับธุรกิจของคุณ Google Maps Platform ให้ความสำคัญกับการรักษาความปลอดภัยในการปฏิบัติงาน ซึ่งให้บริการแก่ผู้ใช้กว่าพันล้านคนทั่วโลก

เมื่อทำงานร่วมกัน Google และ Google Maps Platform มีการรักษาความปลอดภัยหลายชั้นทั่วทั้งบริษัทและองค์กร ดังนี้

  • ทีมความปลอดภัยเฉพาะทางของ Google
  • ทีมความปลอดภัยของผลิตภัณฑ์ Google Maps Platform
  • การมีส่วนร่วมอย่างต่อเนื่องกับชุมชนการวิจัยด้านความปลอดภัยระดับโลก
  • ทีมความเป็นส่วนตัวของ Google Maps Platform
  • การฝึกอบรมความปลอดภัยและความเป็นส่วนตัวของพนักงาน Google
  • ผู้เชี่ยวชาญด้านการตรวจสอบภายในและการปฏิบัติตามข้อกำหนด

ทีมรักษาความปลอดภัยเฉพาะทางของ Google

Google มีทีมรักษาความปลอดภัยเฉพาะทางสำหรับทั้งบริษัทและภายในกลุ่มผลิตภัณฑ์

ทีมรักษาความปลอดภัยทั่วทั้ง Google ให้การสนับสนุนกลุ่มผลิตภัณฑ์หลายอย่างที่ Google ซึ่งรวมถึง Google Maps Platform ทีมรักษาความปลอดภัยประกอบไปด้วยผู้เชี่ยวชาญชั้นนำของโลกในด้านการรักษาความปลอดภัยข้อมูล ความปลอดภัยของแอปพลิเคชัน วิทยาการเข้ารหัส และการรักษาความปลอดภัยของเครือข่าย กิจกรรมของบุคคลเหล่านั้นมีดังนี้

  • พัฒนา ตรวจสอบ และนำกระบวนการรักษาความปลอดภัยไปใช้ ซึ่งรวมถึงการตรวจสอบแผนการรักษาความปลอดภัยสำหรับเครือข่ายของ Google และให้คำปรึกษาเฉพาะโปรเจ็กต์แก่ทีมผลิตภัณฑ์และวิศวกรทั่วทั้ง Google ตัวอย่างเช่น ผู้เชี่ยวชาญด้านวิทยาการเข้ารหัสจะตรวจสอบการเปิดตัวผลิตภัณฑ์ที่ใช้วิทยาการเข้ารหัสลับให้เป็นส่วนหนึ่งของข้อเสนอ
  • จัดการภัยคุกคามด้านความปลอดภัยอยู่เสมอ ทีมงานใช้ทั้งเครื่องมือเชิงพาณิชย์และเครื่องมือที่กำหนดเองในการตรวจติดตามภัยคุกคามและกิจกรรมที่น่าสงสัยในเครือข่ายของ Google
  • ดำเนินการตรวจสอบและประเมินผลเป็นประจำ โดยอาจต้องเชิญผู้เชี่ยวชาญจากภายนอกให้ทำการประเมินความปลอดภัย
  • เผยแพร่บทความเกี่ยวกับความปลอดภัยไปยังชุมชนในวงกว้าง Google ดูแลรักษาบล็อกด้านความปลอดภัยและซีรีส์ YouTube ที่ไฮไลต์ทีมรักษาความปลอดภัยหลายๆ ทีมและความสำเร็จของตน

ทีมรักษาความปลอดภัยของ Google Maps Platform ทำงานร่วมกับทีมรักษาความปลอดภัยทั่วทั้ง Google โดยทำงานอย่างใกล้ชิดยิ่งขึ้นกับการพัฒนาผลิตภัณฑ์และ SRE เพื่อดูแลการใช้งานการรักษาความปลอดภัย กล่าวอย่างเจาะจงคือ ทีมนี้มีหน้าที่จัดการด้านต่างๆ ต่อไปนี้

  • การทดสอบการกู้ข้อมูลคืนหลังจากภัยพิบัติ (DiRT) ของ Google Maps Platform ซึ่งจะทดสอบความต่อเนื่องของธุรกิจและเฟลโอเวอร์ของผลิตภัณฑ์ Google Maps Platform บนโครงสร้างพื้นฐานที่มีความพร้อมใช้งานสูงของ Google
  • การทดสอบการเจาะระบบของบุคคลที่สาม ผลิตภัณฑ์ Google Maps Platform ได้รับการทดสอบความแพร่หลายอย่างน้อยทุกปีเพื่อปรับปรุงระดับความปลอดภัยของ Google และให้ความมั่นใจเป็นอิสระแก่คุณ

การทำงานร่วมกันกับชุมชนการวิจัยด้านความปลอดภัย

Google มีความสัมพันธ์ใกล้ชิดกับชุมชนการวิจัยด้านความปลอดภัยมาเป็นเวลานานแล้ว และ Google ให้ความสำคัญกับความช่วยเหลือในการระบุช่องโหว่ที่เป็นไปได้ใน Google Maps Platform และผลิตภัณฑ์อื่นๆ ของ Google

  • การทำงานร่วมกันในชุมชนออนไลน์ผ่าน Project Zero โดย Project Zero คือทีมนักวิจัยด้านความปลอดภัยที่จัดตั้งขึ้นมาเพื่อค้นคว้าเกี่ยวกับช่องโหว่แรกเริ่ม ตัวอย่างบางส่วนของการวิจัยนี้ ได้แก่ การค้นพบการแสวงหาประโยชน์จาก Spectre, การแสวงหาประโยชน์จาก Meltdown, การแสวงหาประโยชน์จาก POODLE SSL 3.0 และจุดอ่อนของชุดการเข้ารหัส
  • การวิจัยทางวิชาการ - วิศวกรและนักวิจัยด้านความปลอดภัยของ Google มีส่วนร่วมและเผยแพร่ในชุมชนการรักษาความปลอดภัยทางวิชาการและชุมชนการวิจัยความเป็นส่วนตัว ดูสื่อเผยแพร่ที่เกี่ยวข้องกับความปลอดภัยได้ในเว็บไซต์การวิจัยของ Google ทีมรักษาความปลอดภัยของ Google ได้เผยแพร่บัญชีเชิงลึกเกี่ยวกับแนวทางปฏิบัติและประสบการณ์การใช้งานไว้ในหนังสือการสร้างระบบที่ปลอดภัยและน่าเชื่อถือ
  • โปรแกรม Vulnerability Rewards - Google Maps Platform เข้าร่วมโปรแกรม Vulnerability Reward ซึ่งเสนอรางวัลมูลค่าหลายหมื่นดอลลาร์สหรัฐสำหรับช่องโหว่แต่ละรายการที่ยืนยันแล้ว โปรแกรมนี้สนับสนุนให้นักวิจัยรายงานปัญหาการออกแบบและการติดตั้งใช้งานที่อาจทําให้ข้อมูลลูกค้ามีความเสี่ยง ในปี 2022 Google มอบเงินรางวัลแก่นักวิจัยมากกว่า $11.9 ล้าน ดูข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมนี้ รวมถึงรางวัลที่ Google มอบให้ได้ที่สถิติคีย์ของ Bug Hunters ดูข้อมูลเพิ่มเติมเกี่ยวกับการรายงานปัญหาด้านความปลอดภัยได้ที่วิธีที่ Google จัดการกับช่องโหว่ด้านความปลอดภัย
  • การวิจัยความปลอดภัยแบบโอเพนซอร์ส - วิศวกรของ Google ยังจัดและมีส่วนร่วมในโครงการโอเพนซอร์สและการประชุมทางวิชาการ นอกจากนี้ โปรแกรม Vulnerability Reward Program ยังให้เงินอุดหนุนสำหรับโปรเจ็กต์โอเพนซอร์สเพื่อปรับปรุงโค้ดโอเพนซอร์ส
  • วิทยาการเข้ารหัส - นักเข้ารหัสลับระดับโลกของ Google ทำงานเพื่อปกป้องการเชื่อมต่อ TLS จากการโจมตีทางคอมพิวเตอร์ควอนตัมและพัฒนาอัลกอริทึมทรงวงรีแบบรวมและหลังยุคควอนตัม (CECPQ2) นักเข้ารหัสของ Google ได้พัฒนา Tink ซึ่งเป็นไลบรารีโอเพนซอร์สของ API การเข้ารหัส นอกจากนี้ Google ยังใช้ Tink ในผลิตภัณฑ์และบริการภายในด้วย

ทีมความเป็นส่วนตัวของ Google Maps Platform โดยเฉพาะ

ทีมดูแลความเป็นส่วนตัวทำงานแยกต่างหากจากองค์กรพัฒนาผลิตภัณฑ์และองค์กรด้านความปลอดภัย โปรแกรมนี้สนับสนุนโครงการริเริ่มด้านความเป็นส่วนตัวภายในเพื่อปรับปรุงความเป็นส่วนตัวทุกส่วน ไม่ว่าจะเป็นกระบวนการที่สำคัญ เครื่องมือภายใน โครงสร้างพื้นฐาน และการพัฒนาผลิตภัณฑ์ ทีมดูแลความเป็นส่วนตัวจะดำเนินการต่อไปนี้

  • ดูแลให้การเปิดตัวผลิตภัณฑ์เป็นไปตามมาตรฐานด้านความเป็นส่วนตัวที่เข้มงวดเกี่ยวกับการเก็บรวบรวมข้อมูล มีส่วนร่วมในการเปิดตัวผลิตภัณฑ์ Google ทุกครั้งผ่าน ทั้งเอกสารการออกแบบและการตรวจสอบโค้ด
  • หลังเปิดตัวผลิตภัณฑ์ ทีมดูแลความเป็นส่วนตัวจะดูแลกระบวนการอัตโนมัติที่มีการตรวจสอบการเก็บรวบรวมและใช้ข้อมูลที่เหมาะสมอย่างต่อเนื่อง
  • ทำการวิจัยเกี่ยวกับแนวทางปฏิบัติแนะนำด้านความเป็นส่วนตัว

การฝึกอบรมความปลอดภัยและความเป็นส่วนตัวของพนักงาน Google

ความปลอดภัยและความเป็นส่วนตัวเป็นด้านที่มีการเปลี่ยนแปลงอยู่เสมอ และ Google ตระหนักดีว่าการมีส่วนร่วมของพนักงานโดยเฉพาะเป็นวิธีหลักในการสร้างการรับรู้ พนักงานของ Google ทุกคนผ่านการฝึกอบรมด้านความปลอดภัยและความเป็นส่วนตัวซึ่งเป็นส่วนหนึ่งของกระบวนการปฐมนิเทศ และพวกเขาจะได้รับการฝึกอบรมด้านความปลอดภัยและความเป็นส่วนตัวที่จำเป็นอย่างต่อเนื่องตลอดเส้นทางอาชีพของ Google

  • ระหว่างการวางแนวทาง: พนักงานใหม่ยอมรับหลักจรรยาบรรณของ Google ซึ่งเน้นย้ำถึงความมุ่งมั่นของ Google ในการรักษาข้อมูลลูกค้าให้ปลอดภัย
  • การฝึกอบรมเฉพาะทางตามบทบาทงาน บางบทบาทต้องมีการฝึกอบรมด้านความปลอดภัยที่เฉพาะเจาะจง ตัวอย่างเช่น ทีมรักษาความปลอดภัยข้อมูลสอนวิศวกรคนใหม่เกี่ยวกับวิธีการเขียนโค้ดที่ปลอดภัย การออกแบบผลิตภัณฑ์ และเครื่องมือทดสอบช่องโหว่อัตโนมัติ วิศวกรจะฟังสรุปเกี่ยวกับการรักษาความปลอดภัยเป็นประจำและรับจดหมายข่าวด้านความปลอดภัยซึ่งครอบคลุมภัยคุกคามใหม่ๆ รูปแบบการโจมตี เทคนิคการบรรเทาปัญหา และอื่นๆ
  • กิจกรรมที่กำลังดำเนินอยู่ Google เป็นเจ้าภาพจัดการประชุมภายในเป็นประจำสำหรับพนักงานทุกคนเพื่อสร้างความตระหนักรู้และผลักดันนวัตกรรมด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูล Google จัดกิจกรรมทั่วสำนักงานทั่วโลกเพื่อสร้างความตระหนักรู้ด้านความปลอดภัยและความเป็นส่วนตัวในการพัฒนาซอฟต์แวร์ การจัดการข้อมูล และการบังคับใช้นโยบาย

ผู้เชี่ยวชาญด้านการตรวจสอบภายในและการปฏิบัติตามข้อกำหนด

Google Maps Platform มีทีมตรวจสอบภายในโดยเฉพาะที่จะตรวจสอบการปฏิบัติตามข้อกำหนดและกฎหมายด้านความปลอดภัยของผลิตภัณฑ์ Google ทั่วโลก เมื่อมีการสร้างมาตรฐานการตรวจสอบใหม่และปรับปรุงมาตรฐานที่มีอยู่ ทีมตรวจสอบภายในจะเป็นผู้กำหนดว่าต้องมีการควบคุม กระบวนการ และระบบใดเพื่อให้เป็นไปตามมาตรฐานดังกล่าว ทีมนี้สนับสนุนการตรวจสอบและการประเมินอิสระโดยบุคคลที่สาม ดูข้อมูลเพิ่มเติมได้ที่ส่วนการรับรองและการตรวจสอบด้านความปลอดภัยในส่วนต่อไปของเอกสารนี้

แพลตฟอร์มที่สร้างขึ้นเพื่อความปลอดภัยเป็นหัวใจหลัก

Google ออกแบบเซิร์ฟเวอร์ ระบบปฏิบัติการที่เป็นกรรมสิทธิ์ และศูนย์ข้อมูลที่กระจายอยู่ตามพื้นที่ทางภูมิศาสตร์โดยใช้หลักการป้องกันในเชิงลึก แพลตฟอร์ม Google Maps ทำงานบนโครงสร้างพื้นฐานทางเทคนิคที่ออกแบบมาและสร้างขึ้นให้ทำงานอย่างปลอดภัย เราได้สร้างโครงสร้างพื้นฐานด้านไอทีที่ปลอดภัยและจัดการได้ง่ายกว่าโซลูชันภายในองค์กรหรือแบบโฮสต์แบบดั้งเดิม

ศูนย์ข้อมูลที่ล้ำสมัย

การให้ความสำคัญกับการรักษาความปลอดภัยและการปกป้องข้อมูลของ Google ถือเป็นหนึ่งในเกณฑ์การออกแบบหลักของ Google ความปลอดภัยทางกายภาพในศูนย์ข้อมูลของ Google คือโมเดลความปลอดภัยแบบชั้น ความปลอดภัยทางกายภาพนั้นรวมถึงการป้องกันต่างๆ เช่น การ์ดการเข้าถึงอิเล็กทรอนิกส์ที่ออกแบบเอง สัญญาณเตือน เครื่องกีดขวางยานพาหนะ รั้วกั้นพื้นที่ เครื่องตรวจจับโลหะ และข้อมูลไบโอเมตริก นอกจากนี้ ในการตรวจจับและติดตามผู้บุกรุก Google ใช้มาตรการรักษาความปลอดภัย เช่น การตรวจจับการบุกรุกด้วยลำแสงเลเซอร์ และการตรวจสอบทุกวันตลอด 24 ชั่วโมงโดยใช้กล้องภายในและภายนอกความละเอียดสูง บันทึกการเข้าถึง บันทึกกิจกรรม และฟุตเทจจากกล้องจะมีให้เผื่อไว้ในกรณีที่เกิดเหตุการณ์ขึ้น เจ้าหน้าที่รักษาความปลอดภัยมากประสบการณ์ซึ่งผ่านการตรวจสอบภูมิหลังและการฝึกอบรมที่เข้มงวด จะออกลาดตระเวนในศูนย์ข้อมูลของ Google เป็นประจำ เมื่อคุณเข้าใกล้พื้นศูนย์ข้อมูลมากขึ้น มาตรการรักษาความปลอดภัยก็จะเพิ่มขึ้นด้วย คุณจะเข้าถึงพื้นศูนย์ข้อมูลได้ผ่านช่องทางรักษาความปลอดภัยที่ใช้การควบคุมการเข้าถึงแบบหลายปัจจัยโดยใช้ป้ายความปลอดภัยและข้อมูลไบโอเมตริกเท่านั้น เฉพาะพนักงานที่ได้รับอนุมัติซึ่งมีบทบาทบางอย่างเท่านั้นที่สามารถเข้าร่วมได้ พนักงานของ Google ไม่ถึง 1 เปอร์เซ็นต์ จะเข้าไปเดินอยู่ในศูนย์ข้อมูลแห่งหนึ่งของ Google

Google ดำเนินการศูนย์ข้อมูลอยู่ทั่วโลก และเพื่อเพิ่มความเร็วและความเสถียร ของบริการให้ได้มากที่สุด โดยทั่วไปแล้ว ระบบจะตั้งค่าโครงสร้างพื้นฐานเพื่อให้บริการการเข้าชมจากศูนย์ข้อมูลที่ใกล้กับจุดที่เกิดการเข้าชมมากที่สุด ดังนั้น ตำแหน่งที่แน่นอนของข้อมูล Google Maps Platform อาจแตกต่างกันไปตามตำแหน่งที่เกิดขึ้นจากการเข้าชมดังกล่าว และข้อมูลนี้อาจได้รับการจัดการโดยเซิร์ฟเวอร์ใน EEA และสหราชอาณาจักร หรือถ่ายโอนไปยังประเทศที่สาม ข้อเสนอของลูกค้า Google ที่ใช้ผลิตภัณฑ์ Google Maps Platform มีให้บริการทั่วโลกและมักดึงดูดผู้ชมทั่วโลก โครงสร้างพื้นฐานทางเทคนิคที่รองรับผลิตภัณฑ์เหล่านี้จะมีการใช้งานทั่วโลกเพื่อลดเวลาในการตอบสนองและรับประกันความซ้ำซ้อนของระบบ Google Maps Platform ใช้กลุ่มย่อยของเครือข่ายศูนย์ข้อมูลทั่วโลกของ Google ที่ระบุไว้ด้านล่างเพื่อใช้เป็นข้อมูลอ้างอิง

แผนที่โลกแสดงสถานที่ตั้งศูนย์ข้อมูลเป็นจุดสีน้ำเงิน

อเมริกาเหนือและใต้

ยุโรป

เอเชีย

การขับเคลื่อนศูนย์ข้อมูลของ Google

ศูนย์ข้อมูลของ Google มีระบบไฟฟ้าและระบบควบคุมสภาพแวดล้อมเพื่อการทำงานที่ซ้ำซ้อนกัน เพื่อให้มีการทำงานอย่างต่อเนื่องทุกวันตลอด 24 ชั่วโมงและให้บริการได้อย่างต่อเนื่อง คอมโพเนนต์สำคัญทุกตัวจะมีแหล่งพลังงานหลักและพลังงานสำรอง ซึ่งแต่ละคอมโพเนนต์มีกำลังเท่ากัน เครื่องกำเนิดไฟฟ้าสำรองสามารถจ่ายพลังงานไฟฟ้าฉุกเฉินเพียงพอที่จะเรียกใช้ศูนย์ข้อมูลแต่ละแห่งด้วยความจุสูงสุด ระบบทำความเย็นรักษาอุณหภูมิในการทำงานสำหรับเซิร์ฟเวอร์และฮาร์ดแวร์อื่นๆ ไว้อย่างต่อเนื่อง ซึ่งช่วยลดความเสี่ยงในการหยุดทำงานของบริการ พร้อมกับลดผลกระทบต่อสิ่งแวดล้อมให้เหลือน้อยที่สุด อุปกรณ์ตรวจจับและระงับเพลิง ช่วยป้องกันความเสียหายของฮาร์ดแวร์ เครื่องตรวจจับความร้อน ตัวตรวจจับไฟ และตัวตรวจจับควันจะทริกเกอร์สัญญาณเตือนทั้งภาพและเสียงในคอนโซลปฏิบัติการรักษาความปลอดภัยและที่โต๊ะตรวจสอบจากระยะไกล

Google เป็นบริษัทผู้ให้บริการอินเทอร์เน็ตรายใหญ่แห่งแรกที่ได้รับการรับรองมาตรฐานด้านสิ่งแวดล้อม ความปลอดภัยในที่ทำงาน และการจัดการพลังงานระดับสูงทั่วทั้งศูนย์ข้อมูลของ Google จากภายนอก ตัวอย่างเช่น Google ได้รับการรับรอง ISO 50001 ตามความสมัครใจสำหรับศูนย์ข้อมูลในยุโรป เพื่อแสดงให้เห็นถึงความมุ่งมั่นของ Google ในด้านการจัดการพลังงาน

ฮาร์ดแวร์และซอฟต์แวร์ของเซิร์ฟเวอร์ที่กำหนดเอง

ศูนย์ข้อมูลของ Google มีเซิร์ฟเวอร์และอุปกรณ์เครือข่ายที่สร้างขึ้นเพื่อวัตถุประสงค์เฉพาะ ซึ่งบางอย่าง Google เป็นผู้ออกแบบ แม้ว่าเซิร์ฟเวอร์ของ Google จะได้รับการปรับแต่งให้มีประสิทธิภาพสูงสุด การทำความเย็น และการใช้พลังงานอย่างมีประสิทธิภาพที่สุด แต่เซิร์ฟเวอร์ของ Google ก็ได้รับการออกแบบมาเพื่อช่วยป้องกันการโจมตีจากการบุกรุกทางกายภาพด้วย เซิร์ฟเวอร์ของ Google ไม่ได้รวมองค์ประกอบที่ไม่จำเป็น เช่น การ์ดวิดีโอ ชิปเซ็ต หรือเครื่องมือเชื่อมต่ออุปกรณ์ต่อพ่วง ซึ่งทั้งหมดนี้อาจทำให้เกิดช่องโหว่ได้ ซึ่งต่างจากฮาร์ดแวร์ที่มีวางจำหน่ายส่วนใหญ่ Google จะตรวจสอบผู้ให้บริการคอมโพเนนต์และเลือกคอมโพเนนต์ด้วยความระมัดระวัง โดยร่วมมือกับผู้ให้บริการเพื่อตรวจสอบและตรวจสอบพร็อพเพอร์ตี้ความปลอดภัยที่คอมโพเนนต์มีให้ Google ออกแบบชิปที่กำหนดเอง เช่น Titan ซึ่งช่วยให้เราระบุและตรวจสอบสิทธิ์อุปกรณ์ Google ที่ถูกต้องตามหลักการในระดับฮาร์ดแวร์ ซึ่งรวมถึงโค้ดที่อุปกรณ์เหล่านี้ใช้ในการเปิดเครื่อง

ระบบจะจัดสรรทรัพยากรของเซิร์ฟเวอร์แบบไดนามิก การดำเนินการนี้จะช่วยให้เราเติบโตได้อย่างยืดหยุ่น และปรับให้เข้ากับความต้องการของลูกค้าได้อย่างรวดเร็วและมีประสิทธิภาพ โดยการเพิ่มหรือจัดสรรทรัพยากรใหม่ สภาพแวดล้อมที่เป็นเอกภาพนี้ได้รับการดูแลโดยซอฟต์แวร์ที่เป็นกรรมสิทธิ์ซึ่งมีการตรวจสอบระบบสำหรับการปรับเปลี่ยนในระดับไบนารีอย่างต่อเนื่อง กลไกการแก้ปัญหาด้วยตนเองแบบอัตโนมัติของ Google ได้รับการออกแบบมาเพื่อช่วยให้เราสามารถตรวจสอบและแก้ไขเหตุการณ์ที่ไม่เสถียร รับการแจ้งเตือนเกี่ยวกับเหตุการณ์ต่างๆ และชะลอการบุกรุกเครือข่ายที่อาจเกิดขึ้น

การติดตั้งใช้งานบริการที่ปลอดภัย

บริการของ Google คือไบนารีแอปพลิเคชันที่นักพัฒนาซอฟต์แวร์ Google เขียนและเรียกใช้บนโครงสร้างพื้นฐานของ Google ในการจัดการปริมาณงานที่ต้องการ เครื่องหลายพันเครื่องอาจเรียกใช้ไบนารีของบริการเดียวกัน บริการจัดการคลัสเตอร์ชื่อ Borg จะควบคุมบริการที่กำลังทำงานบนโครงสร้างพื้นฐานโดยตรง

โครงสร้างพื้นฐานไม่คาดหวังความน่าเชื่อถือระหว่างบริการที่ทำงานอยู่บนโครงสร้างพื้นฐาน โมเดลความน่าเชื่อถือนี้เรียกว่าโมเดลความปลอดภัยแบบ Zero Trust รูปแบบการรักษาความปลอดภัยแบบ Zero Trust หมายความว่าไม่มีอุปกรณ์หรือผู้ใช้ที่ได้รับการเชื่อถือโดยค่าเริ่มต้น ไม่ว่าผู้ใช้จะอยู่ภายในหรือภายนอกเครือข่าย

เนื่องจากโครงสร้างพื้นฐานได้รับการออกแบบให้รองรับผู้ใช้หลายกลุ่ม ข้อมูลจากลูกค้าของ Google (ผู้บริโภค ธุรกิจ และข้อมูลของ Google เอง) จะถูกกระจายไปยังโครงสร้างพื้นฐานที่ใช้ร่วมกัน โครงสร้างพื้นฐานนี้ประกอบด้วยเครื่อง ที่มีลักษณะเหมือนกันหลายหมื่นเครื่อง โครงสร้างพื้นฐานจะไม่แยกข้อมูลลูกค้า ไว้ในคอมพิวเตอร์เครื่องเดียว

การติดตามและกำจัดฮาร์ดแวร์

Google ติดตามตำแหน่งและสถานะของอุปกรณ์ทั้งหมดอย่างพิถีพิถันภายในศูนย์ข้อมูลโดยใช้บาร์โค้ดและแท็กทรัพย์สิน Google ใช้เครื่องตรวจจับโลหะและกล้องวงจรปิดเพื่อให้มั่นใจว่าไม่มีอุปกรณ์ใดออกไปจากพื้นศูนย์ข้อมูลโดยไม่ได้รับอนุญาต หากคอมโพเนนต์ไม่ผ่านการทดสอบประสิทธิภาพ ณ จุดใดก็ตามในระหว่างวงจร คอมโพเนนต์นั้นจะถูกนำออกจากพื้นที่โฆษณาและเลิกใช้

อุปกรณ์พื้นที่เก็บข้อมูลของ Google ซึ่งรวมถึงฮาร์ดไดรฟ์ โซลิดสเตต ไดรฟ์ และโมดูลหน่วยความจำคู่ (DIMM) ที่ไม่ผันผวน ใช้เทคโนโลยี เช่น การเข้ารหัสดิสก์เต็มรูปแบบ (FDE) และการล็อกไดรฟ์เพื่อปกป้องข้อมูลที่ไม่มีการเคลื่อนไหว เมื่อมีการเลิกใช้อุปกรณ์จัดเก็บข้อมูล บุคคลที่ได้รับอนุญาตจะยืนยันว่าได้ลบดิสก์แล้วโดยการเขียนเลข 0 ลงในไดรฟ์ นอกจากนี้ยังใช้การยืนยันแบบหลายขั้นตอน เพื่อให้มั่นใจว่าไดรฟ์ไม่มีข้อมูล หากไม่สามารถลบไดรฟ์ได้ ไม่ว่าจะด้วยเหตุผลใดก็ตาม ในไดรฟ์จะถูกทำลายไป การทำลายทางกายภาพนั้นเกิดจากการใช้เครื่องทำลายเอกสารที่แยกไดรฟ์ออกเป็นชิ้นเล็กๆ และนำไปรีไซเคิลที่สถานที่ที่ปลอดภัย ศูนย์ข้อมูลแต่ละแห่งจะปฏิบัติตามนโยบายการกำจัดทิ้งที่เข้มงวด และจะแก้ไขความแปรปรวนทันที

ประโยชน์ด้านความปลอดภัยของเครือข่ายทั่วโลกของ Google

ในโซลูชันระบบคลาวด์เชิงพื้นที่และโซลูชันภายในองค์กรอื่นๆ ข้อมูลจะเดินทางระหว่างอุปกรณ์ต่างๆ ผ่านอินเทอร์เน็ตสาธารณะในเส้นทางที่เรียกว่า Hops จำนวนครั้งที่ต้องเปลี่ยนจะขึ้นอยู่กับเส้นทางที่เหมาะสมระหว่าง ISP ของลูกค้ากับศูนย์ข้อมูล การ Hop เพิ่มเติมแต่ละรายการทำให้เกิดโอกาสใหม่ในการถูกโจมตีหรือดักจับข้อมูล เนื่องจากเครือข่ายทั่วโลกของ Google ลิงก์กับ ISP ส่วนใหญ่ทั่วโลก เครือข่ายของ Google จึงจำกัดการรับส่งข้อมูลของอินเทอร์เน็ตสาธารณะจึงช่วยจำกัดการเข้าถึงข้อมูลนั้นจากผู้ไม่ประสงค์ดี

เครือข่ายของ Google ใช้การป้องกันหลายชั้น (การป้องกันเชิงลึก) เพื่อช่วยปกป้องเครือข่ายจากการโจมตีจากภายนอก เฉพาะบริการและโปรโตคอลที่ได้รับอนุญาตซึ่งเป็นไปตามข้อกำหนดด้านความปลอดภัยของ Google เท่านั้นที่จะได้รับอนุญาตให้ข้ามผ่านแพลตฟอร์มนั้นๆ และระบบจะละทิ้งส่วนอื่นๆ โดยอัตโนมัติ ในการบังคับใช้การแยกเครือข่าย Google จะใช้ไฟร์วอลล์และรายการควบคุมการเข้าถึง การรับส่งข้อมูลทั้งหมดจะส่งผ่านเซิร์ฟเวอร์ Google Front End (GFE) เพื่อช่วยตรวจจับและหยุดคำขอที่เป็นอันตราย และการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจาย บันทึกจะได้รับการตรวจสอบเป็นประจำเพื่อเปิดเผย การใช้ประโยชน์จากข้อผิดพลาดของโปรแกรม การเข้าถึงอุปกรณ์ในเครือข่าย จำกัดให้เฉพาะพนักงานที่ได้รับอนุญาตเท่านั้น

โครงสร้างพื้นฐานทั่วโลกของ Google ช่วยให้เราเรียกใช้ Project Shield ซึ่งมอบการปกป้องฟรีแบบไม่จำกัดไปยังเว็บไซต์ที่เสี่ยงต่อการโจมตี DDoS ซึ่งใช้เพื่อเซ็นเซอร์ข้อมูล Project Shield พร้อมใช้งานสำหรับเว็บไซต์ข่าว เว็บไซต์สิทธิมนุษยชน และเว็บไซต์ตรวจสอบการเลือกตั้ง

เวลาในการตอบสนองต่ำและโซลูชันที่มีความพร้อมใช้งานสูง

เครือข่ายข้อมูล IP ของ Google ประกอบด้วยสายไฟเบอร์ของตัวเอง ไฟเบอร์ที่เผยแพร่ต่อสาธารณะ และสายเคเบิลใต้ทะเล เครือข่ายนี้ช่วยให้เราสามารถให้บริการที่มีความพร้อมใช้งานสูงและ เวลาในการตอบสนองต่ำไปทั่วโลก

Google ออกแบบคอมโพเนนต์ของแพลตฟอร์มให้มีความซ้ำซ้อนสูง ความซ้ำซ้อนนี้มีผลกับการออกแบบเซิร์ฟเวอร์ของ Google, วิธีที่ Google จัดเก็บข้อมูล, การเชื่อมต่อเครือข่ายและอินเทอร์เน็ต และกับบริการซอฟต์แวร์ "การทำซ้ำของทุกอย่าง" นี้รวมถึงการจัดการข้อยกเว้นและสร้างโซลูชันที่ไม่จำเป็นต้องใช้เซิร์ฟเวอร์ ศูนย์ข้อมูล หรือการเชื่อมต่อเครือข่ายเพียงเครื่องเดียว

ศูนย์ข้อมูลของ Google กระจายอยู่ตามพื้นที่ต่างๆ ทางภูมิศาสตร์เพื่อลดผลกระทบจากการหยุดชะงักในภูมิภาคของผลิตภัณฑ์ทั่วโลก เช่น เมื่อเกิดภัยพิบัติทางธรรมชาติหรือการหยุดทำงานในท้องถิ่น หากฮาร์ดแวร์ ซอฟต์แวร์ หรือเครือข่ายล้มเหลว บริการแพลตฟอร์มและระนาบควบคุมจะเปลี่ยนจากสถานที่ให้บริการหนึ่งไปยังอีกที่หนึ่งโดยอัตโนมัติอย่างรวดเร็วเพื่อให้บริการของแพลตฟอร์มดำเนินต่อไปได้โดยไม่หยุดชะงัก

โครงสร้างพื้นฐานที่ซ้ำซ้อนของ Google ยังช่วยปกป้องธุรกิจของคุณจากข้อมูลรั่วไหลด้วย ระบบของ Google ออกแบบมาเพื่อลดช่วงพักหรือช่วงเวลาบำรุงรักษาสำหรับเวลาที่เราต้องบริการหรืออัปเกรดแพลตฟอร์ม

การรักษาความปลอดภัยในการดำเนินการ

ความปลอดภัยเป็นสิ่งสำคัญในการดำเนินงานของ Google ไม่ใช่สิ่งที่จะเกิดขึ้นหลังจากนั้น ส่วนนี้จะอธิบายโปรแกรมการจัดการช่องโหว่ โปรแกรมป้องกันมัลแวร์ โปรแกรมการตรวจสอบความปลอดภัย และโปรแกรมการจัดการเหตุการณ์ของ Google

การจัดการช่องโหว่

กระบวนการจัดการช่องโหว่ภายในของ Google จะสแกนหาภัยคุกคามด้านความปลอดภัยใน Technology Stack ทั้งหมด กระบวนการนี้ใช้ทั้งเครื่องมือเชิงพาณิชย์ โอเพนซอร์ส และเครื่องมือภายในที่ประกอบด้วยเครื่องมือต่างๆ และประกอบด้วยสิ่งต่อไปนี้

  • กระบวนการรับประกันคุณภาพ
  • การตรวจสอบความปลอดภัยของซอฟต์แวร์
  • เจาะระบบโดยอัตโนมัติและเจาะด้วยตัวเอง รวมถึง การดำเนินการมากมายของทีม Red
  • การทดสอบการเจาะระบบภายนอกเป็นประจำสำหรับผลิตภัณฑ์ Google Maps Platform
  • การตรวจสอบภายนอกที่เกิดซ้ำ

องค์กรจัดการช่องโหว่และพาร์ทเนอร์มีหน้าที่ติดตามและตรวจสอบช่องโหว่ เนื่องจากการรักษาความปลอดภัยจะปรับปรุงหลังจากที่ปัญหาได้รับการแก้ไขอย่างสมบูรณ์แล้ว ไปป์ไลน์อัตโนมัติจะประเมินสถานะของช่องโหว่อีกครั้ง ตรวจสอบแพตช์ และแจ้งการแก้ปัญหาที่ไม่ถูกต้องหรือบางส่วนอย่างต่อเนื่อง

การดูแลความปลอดภัย

โปรแกรมการตรวจสอบความปลอดภัยของ Google มุ่งเน้นไปที่ข้อมูลที่เก็บรวบรวมจากการจราจรของข้อมูลในเครือข่ายภายใน จากการทำงานของระบบต่างๆ ของพนักงาน และจากแหล่งความรู้ภายนอกเกี่ยวกับช่องโหว่ หลักการหลักของ Google คือการรวบรวมและจัดเก็บข้อมูลการวัดและส่งข้อมูลทางไกลเพื่อความปลอดภัยทั้งหมดไว้ในที่เดียว เพื่อการวิเคราะห์ความปลอดภัยแบบรวมศูนย์

ในหลายๆ จุดในเครือข่ายทั่วโลกของ Google การเข้าชมภายในจะได้รับการตรวจสอบเพื่อหาพฤติกรรมที่น่าสงสัย เช่น การเข้าชมที่อาจบ่งบอกถึงการเชื่อมต่อบ็อตเน็ต Google ใช้เครื่องมือโอเพนซอร์สร่วมกับเครื่องมือเชิงพาณิชย์ในการ จับและแยกวิเคราะห์การเข้าชมเพื่อให้ Google ทำการวิเคราะห์นี้ได้ ระบบความสัมพันธ์ที่เป็นกรรมสิทธิ์ซึ่งสร้างขึ้นจากเทคโนโลยีของ Google ก็รองรับการวิเคราะห์นี้เช่นกัน Google ช่วยเสริมการวิเคราะห์เครือข่ายโดยการตรวจสอบบันทึกของระบบเพื่อระบุพฤติกรรมที่ผิดปกติ เช่น ความพยายามในการเข้าถึงข้อมูลลูกค้า

กลุ่มวิเคราะห์ภัยคุกคามที่ Google คอยตรวจสอบผู้มุ่งร้าย รวมถึงวิวัฒนาการของกลยุทธ์และเทคนิคของผู้มุ่งร้าย วิศวกรด้านความปลอดภัยของ Google จะตรวจสอบรายงานการรักษาความปลอดภัยขาเข้า และตรวจสอบรายชื่ออีเมลสาธารณะ บล็อกโพสต์ และ Wiki การวิเคราะห์เครือข่ายโดยอัตโนมัติและการวิเคราะห์บันทึกของระบบโดยอัตโนมัติจะช่วยให้ระบุได้ว่าอาจมีภัยคุกคามที่ไม่รู้จักเกิดขึ้นเมื่อใด หากกระบวนการอัตโนมัติตรวจพบปัญหา จะมีการส่งต่อปัญหาไปยังเจ้าหน้าที่รักษาความปลอดภัยของ Google

การตรวจจับการบุกรุก

Google ใช้ไปป์ไลน์การประมวลผลข้อมูลที่ซับซ้อนเพื่อผสานรวมสัญญาณที่อิงตามโฮสต์ในอุปกรณ์แต่ละเครื่อง สัญญาณจากเครือข่ายจากจุดตรวจสอบต่างๆ ในโครงสร้างพื้นฐาน และสัญญาณจากบริการโครงสร้างพื้นฐาน กฎและปัญญาประดิษฐ์ (AI) ที่สร้างขึ้นเพิ่มเติมจากไปป์ไลน์เหล่านี้ทำให้วิศวกรรักษาความปลอดภัยด้านการปฏิบัติงานได้รับคำเตือนเกี่ยวกับเหตุการณ์ที่อาจเกิดขึ้น ทีมตรวจสอบและรับมือเหตุการณ์ของ Google จะคัดแยก ตรวจสอบ และตอบสนองต่อเหตุการณ์ที่อาจเกิดขึ้นเหล่านี้ทุกวันตลอด 24 ชั่วโมง Google ดำเนินการปฏิบัติการของทีมสีแดงเพิ่มเติมจากการทดสอบการเจาะระบบภายนอก เพื่อวัดและปรับปรุงประสิทธิภาพของกลไกการตรวจจับและการตอบสนองของ Google

การจัดการเหตุการณ์

Google มีกระบวนการจัดการเหตุการณ์ที่เข้มงวดสำหรับการดำเนินการด้านความปลอดภัยที่อาจส่งผลต่อการรักษาข้อมูลที่เป็นความลับ ความสมบูรณ์ หรือความพร้อมใช้งานของระบบหรือข้อมูล โปรแกรมการจัดการเหตุการณ์ด้านความปลอดภัยของ Google มีโครงสร้างตามแนวทางของ NIST เกี่ยวกับการจัดการเหตุการณ์ต่างๆ (NIST SP 800–61) โดย Google ให้การฝึกอบรมแก่เจ้าหน้าที่หลักในด้านการพิสูจน์หลักฐานและในการจัดการหลักฐานเพื่อเตรียมพร้อมสำหรับเหตุการณ์ ซึ่งรวมถึงการใช้เครื่องมือของบุคคลที่สามและเครื่องมือที่เป็นกรรมสิทธิ์

Google ทดสอบแผนการตอบสนองต่อเหตุการณ์ในพื้นที่หลักๆ การทดสอบเหล่านี้จะพิจารณาสถานการณ์ต่างๆ เช่น ภัยคุกคามภายในและช่องโหว่ของซอฟต์แวร์ ทีมรักษาความปลอดภัยของ Google พร้อมให้บริการแก่พนักงานทุกคนทุกวันตลอด 24 ชั่วโมง เพื่อให้มั่นใจว่าเหตุการณ์ด้านความปลอดภัยจะได้รับการแก้ไขอย่างรวดเร็ว

แนวทางปฏิบัติด้านการพัฒนาซอฟต์แวร์

Google ใช้การป้องกันการควบคุมแหล่งที่มาและการตรวจสอบจาก 2 ฝ่ายเพื่อจำกัดการแนะนำช่องโหว่ในเชิงรุก นอกจากนี้ Google ยังมีไลบรารีที่ ป้องกันไม่ให้นักพัฒนาซอฟต์แวร์แนะนำข้อบกพร่องด้านความปลอดภัยบางประเภท ตัวอย่างเช่น Google มีไลบรารีและเฟรมเวิร์กที่ออกแบบมาเพื่อกำจัดช่องโหว่ XSS ใน SDK นอกจากนี้ Google ยังมีเครื่องมืออัตโนมัติสำหรับตรวจหาข้อบกพร่องด้านความปลอดภัย เช่น Fuzzers เครื่องมือวิเคราะห์แบบสถิติ และเครื่องมือสแกนความปลอดภัยบนเว็บ

การป้องกันซอร์สโค้ด

ระบบจะจัดเก็บซอร์สโค้ดของ Google ในที่เก็บที่มีความสมบูรณ์ของแหล่งที่มาและการกำกับดูแลในตัว ซึ่งทำให้สามารถตรวจสอบบริการได้ทั้งเวอร์ชันปัจจุบันและเวอร์ชันเก่า โครงสร้างพื้นฐานกำหนดให้ไบนารีของบริการสร้างขึ้นจากซอร์สโค้ดเฉพาะหลังจากตรวจสอบ เช็คอิน และทดสอบแล้ว การให้สิทธิ์แบบไบนารีสำหรับ Borg (BAB) คือการตรวจสอบการบังคับใช้ภายในที่เกิดขึ้นเมื่อมีการทำให้บริการใช้งานได้ BAB จะทำสิ่งต่อไปนี้

  • ตรวจสอบว่าซอฟต์แวร์และการกำหนดค่าที่ใช้งานใน Google ได้รับการตรวจสอบและได้รับอนุญาต โดยเฉพาะเมื่อโค้ดดังกล่าวเข้าถึงข้อมูลผู้ใช้ได้
  • ตรวจสอบว่าการติดตั้งใช้งานโค้ดและการกำหนดค่าเป็นไปตามมาตรฐานขั้นต่ำที่กำหนด
  • จำกัดความสามารถของบุคคลภายในหรือฝ่ายตรงข้ามในการแก้ไขซอร์สโค้ดที่เป็นอันตราย รวมถึงเป็นการสืบสวนร่องรอยจากบริการกลับไปยังต้นทาง

การลดความเสี่ยงจากบุคคลภายใน

Google จำกัดและตรวจสอบกิจกรรมของพนักงานที่ได้รับสิทธิ์เข้าถึงโครงสร้างพื้นฐานในระดับผู้ดูแลระบบอย่างสม่ำเสมอ Google ทำงานอย่างต่อเนื่องเพื่อลดความจำเป็นในการเข้าถึงงานบางอย่างโดยสิทธิพิเศษ โดยใช้การทำงานอัตโนมัติที่สามารถทำงานเดียวกันนี้ด้วยวิธีที่ปลอดภัยและควบคุมได้ เช่น Google กำหนดให้ต้องมีการอนุมัติจาก 2 ฝ่ายสำหรับการดำเนินการบางอย่าง และ Google จะใช้ API แบบจำกัดที่อนุญาตให้แก้ไขข้อบกพร่องโดยไม่ต้องเปิดเผยข้อมูลที่ละเอียดอ่อน

ระบบจะบันทึกสิทธิ์เข้าถึงข้อมูลของผู้ใช้ปลายทางของพนักงาน Google ผ่านฮุกโครงสร้างพื้นฐานระดับล่าง ทีมความปลอดภัยของ Google จะตรวจสอบรูปแบบการเข้าถึง และตรวจสอบเหตุการณ์ที่ผิดปกติ

การทดสอบการกู้ข้อมูลคืนหลังจากภัยพิบัติ - DiRT

Google Maps Platform จัดกิจกรรมการทดสอบการกู้ข้อมูลคืนหลังจากภัยพิบัติ (DiRT) แบบหลายวันและทั่วทั้งบริษัท เพื่อให้แน่ใจว่าบริการของ Google Maps Platform และการดําเนินธุรกิจภายในจะดำเนินต่อไปในระหว่างเกิดภัยพิบัติ เราพัฒนา DiRT เพื่อค้นหาช่องโหว่ในระบบสำคัญโดยเจตนาทำให้เกิดข้อผิดพลาด และเพื่อแก้ไขช่องโหว่เหล่านั้นก่อนที่จะล้มเหลวในลักษณะที่ควบคุมไม่ได้ DiRT ทดสอบประสิทธิภาพทางเทคนิคของ Google ด้วยการแบ่งระบบที่ใช้งานจริง และทดสอบความยืดหยุ่นในการดำเนินการของ Google โดยการป้องกันไม่ให้บุคลากรที่สำคัญ ผู้เชี่ยวชาญในพื้นที่ และผู้นำต่างๆ เข้าร่วม บริการที่ใช้งานได้โดยทั่วไปทั้งหมดต้องมีการทดสอบ DiRT ที่ดำเนินอยู่อย่างต่อเนื่อง รวมถึงการตรวจสอบความยืดหยุ่นและความพร้อมใช้งาน

Google ใช้ชุดกฎที่สอดคล้องกันเกี่ยวกับการจัดลำดับความสำคัญเพื่อเตรียมพร้อมสำหรับแบบฝึกหัด DiRT

โปรโตคอลการสื่อสาร ความคาดหวังด้านผลกระทบ และข้อกำหนดในการออกแบบการทดสอบ รวมถึงแผนย้อนกลับที่มีการตรวจสอบล่วงหน้าและได้รับอนุมัติ การฝึกฝนและสถานการณ์ของ DiRT ไม่เพียงทำให้บริการเกิดความล้มเหลวทางเทคนิคเท่านั้น แต่ยังอาจรวมถึงความล้มเหลวทางเทคนิคระหว่างขั้นตอน ความพร้อมของบุคลากรหลัก ระบบสนับสนุน การสื่อสาร และการเข้าถึงทางกายภาพ DiRT จะตรวจสอบว่ากระบวนการต่างๆ นั้นใช้งานได้จริง นอกจากนี้ยังช่วยให้มั่นใจได้ว่าทีมต่างๆ จะได้รับการฝึกอบรมล่วงหน้าและมีประสบการณ์ที่ทดแทนได้ในช่วงการหยุดทำงาน การหยุดชะงัก และภัยพิบัติที่เกิดขึ้นจริงจากฝีมือมนุษย์

การควบคุมความปลอดภัยที่สำคัญ

ส่วนนี้จะอธิบายการควบคุมความปลอดภัยหลักๆ ที่ Google Maps Platform ใช้เพื่อปกป้องแพลตฟอร์ม

การเข้ารหัส

การเข้ารหัสจะเพิ่มชั้นการป้องกันเพื่อปกป้องข้อมูล การเข้ารหัสช่วยให้มั่นใจได้ว่าหากผู้โจมตีเข้าถึงข้อมูลได้ ผู้โจมตีจะไม่สามารถอ่านข้อมูลได้หากไม่มีสิทธิ์เข้าถึงคีย์การเข้ารหัส แม้ว่าผู้โจมตีจะเข้าถึงข้อมูล (เช่น การเข้าถึงการเชื่อมต่อสายไฟระหว่างศูนย์ข้อมูลหรือโดยการขโมยอุปกรณ์จัดเก็บข้อมูล) ก็จะไม่สามารถเข้าใจหรือถอดรหัสได้

การเข้ารหัสเป็นกลไกสำคัญในการช่วยปกป้องความเป็นส่วนตัวของ Google แพลตฟอร์มนี้อนุญาตให้ระบบจัดการข้อมูล เช่น การสำรองข้อมูล และการสร้างวิศวกรเพื่อรองรับโครงสร้างพื้นฐานของ Google โดยไม่ต้องให้สิทธิ์เข้าถึงเนื้อหาสำหรับระบบหรือพนักงานเหล่านั้น

การเข้ารหัสเมื่อไม่มีการเคลื่อนไหว

การเข้ารหัส "ขณะพัก" ในส่วนนี้หมายถึงการเข้ารหัสที่ใช้เพื่อปกป้องข้อมูลที่เก็บไว้ในดิสก์ (รวมถึง Solid State ไดรฟ์) หรือสื่อสำรองข้อมูล ข้อมูลจะได้รับการเข้ารหัสที่ระดับพื้นที่เก็บข้อมูล ซึ่งโดยทั่วไปจะใช้ AES256 (มาตรฐานการเข้ารหัสขั้นสูง) ข้อมูลมักจะได้รับการเข้ารหัสหลายระดับในสแต็กพื้นที่เก็บข้อมูลที่ใช้งานจริงในศูนย์ข้อมูลของ Google ซึ่งรวมถึงระดับฮาร์ดแวร์โดยที่ลูกค้า Google ไม่จำเป็นต้องดำเนินการใดๆ การใช้การเข้ารหัสแบบหลายชั้น

เพิ่มการคุ้มครองข้อมูลซ้ำซ้อนและช่วยให้ Google เลือกวิธีที่เหมาะสมที่สุดตามข้อกำหนดของแอปพลิเคชัน Google ใช้ไลบรารีการเข้ารหัสทั่วไปซึ่งรวมโมดูลที่ผ่านการตรวจสอบ FIPS 140-2 ของ Google เพื่อใช้การเข้ารหัสที่สอดคล้องกันในผลิตภัณฑ์ต่างๆ การใช้ไลบรารีทั่วไปอย่างต่อเนื่องหมายความว่ามีเพียงทีมวิทยาการเข้ารหัสลับกลุ่มเล็กๆ เท่านั้นที่ต้องใช้งานและดูแลรักษาโค้ดที่มีการควบคุมและตรวจสอบอย่างเข้มงวดนี้

การปกป้องข้อมูลระหว่างการส่ง

ข้อมูลอาจเสี่ยงต่อการเข้าถึงโดยไม่ได้รับอนุญาตได้ขณะที่ข้อมูลเดินทางผ่านอินเทอร์เน็ต Google Maps Platform รองรับการเข้ารหัสที่รัดกุมในการรับส่งข้อมูลระหว่างอุปกรณ์ และเครือข่ายของลูกค้ากับเซิร์ฟเวอร์ Google Front End (GFE) Google แนะนำให้ลูกค้า/นักพัฒนาซอฟต์แวร์ใช้ชุดการเข้ารหัสที่รองรับของ Google (TLS 1.3) เมื่อสร้างแอปพลิเคชันเป็นแนวทางปฏิบัติแนะนำ ลูกค้าบางรายมีกรณีการใช้งานที่ต้องใช้ชุดการเข้ารหัสแบบเก่าเนื่องด้วยเหตุผลด้านความเข้ากันได้ ดังนั้น Google Maps Platform จึงสนับสนุนมาตรฐานที่ไม่รัดกุมเหล่านี้ แต่ไม่แนะนำให้ใช้เมื่อเป็นไปได้ Google Cloud ยังมีตัวเลือกการเข้ารหัสการรับส่งข้อมูลเพิ่มเติม รวมถึง Cloud VPN สำหรับการสร้างเครือข่ายส่วนตัวเสมือนโดยใช้ IPsec สำหรับผลิตภัณฑ์ Google Maps Platform

การป้องกันข้อมูลที่อยู่ระหว่างการส่งระหว่างศูนย์ข้อมูลของ Google

Application Layer Transport Security (ALTS) ทำให้มั่นใจว่าความสมบูรณ์ของการรับส่งข้อมูลของ Google จะได้รับการป้องกันและเข้ารหัสตามที่จำเป็น หลังจากโปรโตคอลแฮนด์เชคระหว่างไคลเอ็นต์กับเซิร์ฟเวอร์เสร็จสมบูรณ์แล้ว และไคลเอ็นต์และเซิร์ฟเวอร์เจรจาเกี่ยวกับข้อมูลลับในการเข้ารหัสที่แชร์ที่จำเป็นสำหรับการเข้ารหัสและตรวจสอบสิทธิ์การจราจรของข้อมูลในเครือข่ายแล้ว ALTS จะรักษาความปลอดภัยของการรับส่งข้อมูล RPC (การโทรขั้นตอนระยะไกล) โดยการบังคับความสมบูรณ์ โดยใช้ข้อมูลลับที่ใช้ร่วมกันที่มีการเจรจาต่อรองไว้ Google รองรับโปรโตคอลจำนวนมากเพื่อการรับประกันความสมบูรณ์ เช่น AES-GMAC (มาตรฐานการเข้ารหัสขั้นสูง) พร้อมคีย์แบบ 128 บิต เมื่อใดก็ตามที่การรับส่งข้อมูลออกจากขอบเขตทางกายภาพซึ่งควบคุมโดยหรือในนามของ Google เช่น ในระหว่างการขนส่งผ่าน WAN (เครือข่ายพื้นที่กว้าง) ระหว่างศูนย์ข้อมูล โปรโตคอลทั้งหมดจะได้รับการอัปเกรดโดยอัตโนมัติเพื่อรับประกันการเข้ารหัสและความสมบูรณ์

ความพร้อมใช้งานของบริการ Google Maps Platform

บริการบางอย่างของ Google Maps Platform อาจไม่พร้อมใช้งานในบางพื้นที่ การหยุดชะงักของบริการบางอย่างจะเกิดขึ้นชั่วคราว (เนื่องจากเหตุการณ์ที่ไม่คาดคิด เช่น เครือข่ายขาดหาย) แต่ข้อจำกัดของบริการอื่นๆ จะเป็นแบบถาวรเนื่องจากข้อจำกัดที่รัฐบาลกำหนด รายงานเพื่อความโปร่งใสและแดชบอร์ดสถานะที่ครอบคลุมของ Google จะแสดงการหยุดชะงักของบริการ Google Maps Platform ล่าสุดและที่กำลังเกิดขึ้น Google ให้ข้อมูลนี้เพื่อช่วยคุณวิเคราะห์และทําความเข้าใจข้อมูลระยะเวลาทำงานของ Google

การรักษาความปลอดภัยฝั่งไคลเอ็นต์

การรักษาความปลอดภัยเป็นความรับผิดชอบร่วมกันระหว่างผู้ให้บริการคลาวด์กับลูกค้า/พาร์ทเนอร์ที่ติดตั้งใช้งานผลิตภัณฑ์ Google Maps Platform ส่วนนี้แสดงรายละเอียดความรับผิดชอบของลูกค้า/พาร์ทเนอร์ที่ควรนำมาพิจารณาเมื่อออกแบบโซลูชัน Google Maps Platform

JavaScript API

เว็บไซต์ที่ปลอดภัย

Maps JavaScript API เผยแพร่ชุดคำแนะนำที่ช่วยให้ลูกค้าปรับแต่งนโยบายรักษาความปลอดภัยเนื้อหา (CSP) ของเว็บไซต์เพื่อหลีกเลี่ยงช่องโหว่อย่างการโจมตีด้วยสคริปต์ข้ามเว็บไซต์ การหลอกให้คลิก และการแทรกข้อมูล JavaScript API รองรับ CSP 2 รูปแบบ ได้แก่ CSP ที่เข้มงวดโดยใช้ nonces และอนุญาต CSP

JavaScript ที่ปลอดภัย

ระบบจะสแกน JavaScript เป็นประจำเพื่อหารูปแบบป้องกันด้านความปลอดภัยที่ทราบและแก้ไขได้อย่างรวดเร็ว JavaScript API จะเผยแพร่เป็นรายสัปดาห์หรือแบบออนดีมานด์หากเกิดปัญหา

Mobile Application Security (MAS)

Mobile Application Security (MAS) เป็นการทำงานแบบเปิดที่คล่องตัว คล่องตัว ด้วยการรวบรวมข้อมูลจากมวลชน นักเขียนและนักวิจารณ์หลายสิบคนจากทั่วโลก โปรเจ็กต์หลัก OWASP Mobile Application Security (MAS) ได้มอบมาตรฐานความปลอดภัยสำหรับแอปบนอุปกรณ์เคลื่อนที่ (OWASP MASVS) และคู่มือการทดสอบที่ครอบคลุม (OWASP MASTG) ที่ครอบคลุมกระบวนการ เทคนิค และเครื่องมือที่ใช้ระหว่างการทดสอบความปลอดภัยของแอปบนอุปกรณ์เคลื่อนที่ ตลอดจนชุดกรอบการทดสอบอย่างละเอียดที่ช่วยให้ผู้ทดสอบสามารถให้ผลลัพธ์ที่สอดคล้องกันและสมบูรณ์

  • OWASP Mobile Application Security Verification Standard (MASVS) เป็นเกณฑ์พื้นฐานสำหรับการทดสอบความปลอดภัยที่สมบูรณ์และสอดคล้องกันสำหรับทั้ง iOS และ Android
  • คู่มือการทดสอบความปลอดภัยของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ (MASTG) ของ OWASP เป็นคู่มือที่ครอบคลุมเกี่ยวกับกระบวนการ เทคนิค และเครื่องมือที่ใช้ในการวิเคราะห์ความปลอดภัยของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ รวมถึงชุดตัวอย่างการทดสอบที่สมบูรณ์สำหรับการตรวจสอบข้อกำหนดที่ระบุไว้ใน MASVS
  • รายการตรวจสอบความปลอดภัยของแอปพลิเคชันในอุปกรณ์เคลื่อนที่ของ OWASP มีลิงก์ไปยังกรอบการทดสอบ MASTG สำหรับการควบคุม MASVS แต่ละรายการ
    • การประเมินความปลอดภัย / Pentest: ตรวจสอบให้แน่ใจว่าคุณได้บดบังพื้นที่การโจมตีแบบมาตรฐานเป็นอย่างน้อยและเริ่มการสำรวจ
    • การปฏิบัติตามข้อกำหนดมาตรฐาน: รวมถึงเวอร์ชัน MASVS และ MASTG และรหัสคอมมิต
    • เรียนรู้และฝึกฝนทักษะการรักษาความปลอดภัยบนอุปกรณ์เคลื่อนที่
    • Bug Bounties: บดบังพื้นที่การโจมตีในอุปกรณ์เคลื่อนที่ทีละขั้น

ลองใช้ประโยชน์จาก OWASP MAS เพื่อยกระดับความสามารถในการรักษาความปลอดภัย การทดสอบ และการตรวจสอบสิทธิ์ของแอปพลิเคชัน iOS และ Android

Android

เมื่อพัฒนาแอปพลิเคชัน Android แหล่งข้อมูลอีกแหล่งหนึ่งที่ควรพิจารณาคือแนวทางปฏิบัติแนะนำสำหรับแอปพลิเคชันชุมชน Android หลักเกณฑ์การรักษาความปลอดภัยมีคำแนะนำแนวทางปฏิบัติแนะนำในการบังคับใช้การสื่อสารที่ปลอดภัย การกำหนดสิทธิ์ที่ถูกต้อง พื้นที่เก็บข้อมูลที่ปลอดภัย ทรัพยากร Dependency ของบริการ และอื่นๆ

iOS

เมื่อพัฒนาแอปพลิเคชัน iOS โปรดอ่านข้อมูลเบื้องต้นเกี่ยวกับคู่มือการเขียนโค้ดที่ปลอดภัยของ Apple ซึ่งมีแนวทางปฏิบัติแนะนำสำหรับแพลตฟอร์ม iOS

การเก็บรวบรวม การใช้งาน และการเก็บรักษาข้อมูล

Google Maps Platform มุ่งมั่นที่จะสร้างความโปร่งใสในการเก็บรวบรวมข้อมูล การใช้ข้อมูล และการเก็บรักษาข้อมูล การเก็บรวบรวม การใช้งาน และการเก็บรักษาข้อมูลของ Google Maps Platform อยู่ภายใต้ข้อกำหนดในการให้บริการของ Google Maps Platform ซึ่งรวมถึงนโยบายความเป็นส่วนตัวของ Google

การเก็บรวบรวมข้อมูล

มีการรวบรวมข้อมูลผ่านการใช้ผลิตภัณฑ์ Google Maps Platform ในฐานะลูกค้า คุณคือผู้ควบคุมข้อมูลที่ส่งไปยัง Google Maps Platform ผ่าน API และ SDK คำขอ Google Maps Platform ทั้งหมดจะได้รับการบันทึกไว้ ซึ่งรวมถึงรหัสสถานะการตอบกลับจากผลิตภัณฑ์ดังกล่าว

ข้อมูลที่บันทึกใน Google Maps Platform

ข้อมูลบันทึกของแพลตฟอร์ม Google Maps ในชุดผลิตภัณฑ์ทั้งหมด บันทึกมีรายการหลายรายการ ซึ่งโดยทั่วไปจะประกอบด้วย

  • ตัวระบุบัญชี ซึ่งอาจเป็นคีย์ API, รหัสไคลเอ็นต์ หรือหมายเลขโปรเจ็กต์ที่อยู่ในระบบคลาวด์ ต้องระบุสำหรับการดำเนินการ การสนับสนุน และการเรียกเก็บเงิน
  • ที่อยู่ IP ของเซิร์ฟเวอร์ บริการ หรืออุปกรณ์ที่ส่งคำขอ สำหรับ API โปรดทราบว่าที่อยู่ IP ที่ส่งไปยัง Google Maps Platform จะขึ้นอยู่กับวิธีใช้งานการเรียก API ในแอปพลิเคชัน/โซลูชันของคุณ สำหรับ SDK ระบบจะบันทึกที่อยู่ IP ของอุปกรณ์ที่เรียกใช้
  • URL คำขอ ซึ่งมี API และพารามิเตอร์ที่กำลังส่งไปยัง API ตัวอย่างเช่น Geocoding API ต้องใช้ 2 พารามิเตอร์ (ที่อยู่และคีย์ API) การเข้ารหัสพิกัดภูมิศาสตร์มีพารามิเตอร์ ที่ไม่บังคับอีกจำนวนหนึ่งด้วย URL คำขอจะมีพารามิเตอร์ทั้งหมดที่ส่งไปยังบริการ
  • วันที่และเวลาของคำขอ
  • เว็บแอปพลิเคชันจะบันทึกส่วนหัวของคำขอไว้ ซึ่งโดยทั่วไปจะมีข้อมูล เช่น ประเภทของเว็บเบราว์เซอร์และระบบปฏิบัติการ
  • แอปพลิเคชันบนอุปกรณ์เคลื่อนที่ที่ใช้ SDK มีการบันทึกเวอร์ชัน Google Play, ไลบรารี และชื่อแอปพลิเคชันเอาไว้

การเข้าถึงบันทึกของ Google Maps Platform

การเข้าถึงบันทึกจะจำกัดอย่างมากและได้รับสิทธิ์ให้เฉพาะสมาชิกทีมบางรายที่มีความต้องการทางธุรกิจโดยชอบด้วยกฎหมายเท่านั้น คำขอaccessแต่ละรายการที่ส่งไปยังไฟล์บันทึกจะได้รับการจัดทำเอกสารเพื่อวัตถุประสงค์ด้านaccess ซึ่งได้รับการยืนยันผ่านการตรวจสอบบุคคลที่สามด้าน ISO 27001 และ SOC 2 ของ Google

การใช้ข้อมูล

ข้อมูลที่รวบรวมโดย Google Maps Platform จะใช้เพื่อวัตถุประสงค์ต่อไปนี้

  • การปรับปรุงผลิตภัณฑ์และบริการของ Google
  • ให้การสนับสนุนด้านเทคนิคแก่ลูกค้า
  • การแจ้งเตือนและการตรวจสอบการปฏิบัติงาน
  • รักษาความปลอดภัยของแพลตฟอร์ม
  • การวางแผนความจุของแพลตฟอร์ม

โปรดทราบว่า Google Maps Platform จะไม่ขายข้อมูลการดำเนินการของผู้ใช้ให้กับบุคคลที่สามตามที่ระบุไว้ในนโยบายความเป็นส่วนตัวของ Google

การเก็บรักษาและการลบข้อมูลระบุตัวบุคคล

ข้อมูลที่รวบรวมในบันทึกของ Google Maps Platform อาจได้รับการเก็บรักษาไว้เป็นระยะเวลานานตามความต้องการทางธุรกิจ โดยขึ้นอยู่กับนโยบายการลบข้อมูลระบุตัวบุคคลและการปกปิดข้อมูลบางส่วนของ Google ระบบจะลบที่อยู่ IP ออกโดยอัตโนมัติทันทีที่ทำได้ (บางส่วนของที่อยู่ IP จะถูกลบ) สถิติการใช้งานรวมที่ไม่ระบุตัวตนซึ่งได้มาจากบันทึกอาจได้รับการเก็บรักษาไว้โดยไม่มีกำหนด

ใบรับรองและการตรวจสอบด้านความปลอดภัย อุตสาหกรรม ความพร้อมใช้งานสูง รวมถึงการตรวจสอบด้านสิ่งแวดล้อม

ISO 27001

องค์การระหว่างประเทศว่าด้วยการมาตรฐาน (ISO) เป็นองค์กรระหว่างประเทศอิสระนอกภาครัฐและเป็นสมาชิกระดับสากลขององค์กรว่าด้วยมาตรฐานแห่งชาติ 163 แห่ง มาตรฐาน ISO/IEC 27000 ช่วยให้องค์กรรักษาความปลอดภัยของชิ้นงานข้อมูลได้

ISO/IEC 27001 ระบุและให้ข้อกำหนดสำหรับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ระบุชุดแนวทางปฏิบัติแนะนำ และรายละเอียดการควบคุมความปลอดภัยที่ช่วยจัดการความเสี่ยงของข้อมูลได้

Google Maps Platform และโครงสร้างพื้นฐานทั่วไปของ Google ได้รับการรับรองว่าเป็นไปตามมาตรฐาน ISO/IEC 27001 มาตรฐาน 27001 ไม่ได้กำหนดการควบคุมความปลอดภัยของข้อมูลที่เฉพาะเจาะจง แต่เฟรมเวิร์กและรายการตรวจสอบของการควบคุมที่กำหนดมานั้นช่วยให้ Google ดูแลให้โมเดลพัฒนาได้อย่างต่อเนื่องและครอบคลุมสําหรับการจัดการด้านความปลอดภัย

คุณสามารถดาวน์โหลดและตรวจสอบการรับรอง ISO 27001 ของ Google Maps Platform ได้จากเครื่องมือจัดการรายงานการปฏิบัติตามข้อกำหนดของ Google

SOC 2 ประเภท 2

SOC 2 เป็นรายงานที่อิงตามคณะกรรมการมาตรฐานการตรวจสอบของสมาคมผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา (AICPA) ที่มีอยู่ของเกณฑ์ Trust Services (TSC) วัตถุประสงค์ของรายงานนี้คือการประเมินระบบข้อมูลขององค์กรที่เกี่ยวข้องกับความปลอดภัย ความพร้อมใช้งาน ความสมบูรณ์ของการประมวลผล การรักษาข้อมูลที่เป็นความลับ และความเป็นส่วนตัว รายงาน SOC 2 Type II จะออกช่วงครึ่งปีหลังประมาณเดือนมิถุนายนและธันวาคม

คุณสามารถดาวน์โหลดและดูรายงานการตรวจสอบ SOC 2 ประเภท 2 ของ Google Maps Platform ได้จากเครื่องมือจัดการรายงานการปฏิบัติตามข้อกำหนดของ Google

Cloud Security Alliance (CSA)

Cloud Security Alliance (1, 2) เป็นองค์กรการกุศลที่มีภารกิจในการ "ส่งเสริมการใช้แนวทางปฏิบัติที่ดีที่สุดสำหรับการให้ความมั่นใจด้านความปลอดภัยภายในการประมวลผลแบบคลาวด์ (Cloud Computing) และให้การศึกษาเกี่ยวกับการใช้การประมวลผลแบบคลาวด์ (Cloud Computing) เพื่อรักษาความปลอดภัยให้การประมวลผลในรูปแบบอื่นๆ ทั้งหมด"

โปรแกรม Security, Trust และ Assurance Registry ของ CSA (CSA STAR) ออกแบบมาเพื่อช่วยให้คุณประเมินและเลือกผู้ให้บริการระบบคลาวด์ผ่านโปรแกรม 3 ขั้นตอนในการประเมินตนเอง การตรวจสอบของบุคคลที่สาม และการตรวจสอบอย่างต่อเนื่อง

Google Maps Platform ได้รับใบรับรองตามการประเมินของบุคคลที่สาม (CSA STAR ระดับ 1: เอกสารรับรอง)

นอกจากนี้ Google ยังเป็นผู้สนับสนุน CSA และเป็นสมาชิกของคณะกรรมการมาตรฐานสากล (ISC) ของ CSA รวมถึงเป็นสมาชิกผู้ก่อตั้งศูนย์ส่งเสริมการใช้งาน GDPR ของ CSA

ISO 22301:2019

องค์การระหว่างประเทศว่าด้วยการมาตรฐาน (ISO) เป็นองค์กรระหว่างประเทศอิสระนอกภาครัฐและเป็นสมาชิกระดับสากลขององค์กรว่าด้วยมาตรฐานแห่งชาติ 163 แห่ง

ISO 22301:2019 คือมาตรฐานสากลสำหรับการจัดการความต่อเนื่องทางธุรกิจที่ออกแบบมาเพื่อช่วยองค์กรในการปรับใช้ ดูแลรักษา และปรับปรุงระบบการจัดการเพื่อป้องกัน เตรียมพร้อม ตอบสนองต่อ และกู้คืนจากการหยุดชะงักที่เกิดขึ้น

ศูนย์ข้อมูลที่รองรับผลิตภัณฑ์ Google Maps Platform ได้รับการรับรองตามมาตรฐาน ISO 22301:2019 และ BS EN ISO 22301:2019 หลังผ่านการตรวจสอบโดยผู้ตรวจสอบอิสระภายนอก การปฏิบัติตามมาตรฐานเหล่านี้สำหรับศูนย์ข้อมูลของ Google แสดงให้เห็นว่าสถานที่ที่โฮสต์ผลิตภัณฑ์และบริการของ Google เป็นไปตามข้อกำหนดที่กำหนดโดย ISO 22301:2019 และ BS EN ISO 22301:2019

ISO 50001

องค์การระหว่างประเทศว่าด้วยการมาตรฐาน (ISO) เป็นองค์กรระหว่างประเทศอิสระนอกภาครัฐและเป็นสมาชิกระดับสากลขององค์กรว่าด้วยมาตรฐานแห่งชาติ 163 แห่ง

ISO 50001:2018 คือมาตรฐานสากลสำหรับการจัดการพลังงานซึ่งออกแบบมาเพื่อช่วยให้องค์กรใช้งาน บำรุงรักษา และปรับปรุงระบบการจัดการเพื่อผสานรวมการจัดการพลังงานเข้ากับความพยายามโดยรวมในการปรับปรุงคุณภาพและการจัดการสิ่งแวดล้อม

ศูนย์ข้อมูลของ Google EMEA ที่ใช้โดย Google Maps Platform ได้รับการรับรองตามมาตรฐาน ISO 50001:2018 หลังผ่านการตรวจสอบโดยผู้ตรวจสอบอิสระบุคคลที่สาม การปฏิบัติตามข้อกำหนด ISO 50001:2018 สำหรับศูนย์ข้อมูลของ Google แสดงให้เห็นว่าสถานที่ในขอบเขตซึ่งโฮสต์ผลิตภัณฑ์และบริการของ Google เป็นไปตามข้อกำหนดที่กำหนดโดย ISO 50001:2018

ต่อไปนี้เป็นข้อผูกพันทางสัญญาทั่วโลก

ข้อผูกพันทางสัญญาของยุโรป

ส่วนนี้อธิบายข้อผูกพันทางสัญญาของยุโรป

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรป

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) เป็นนิติบัญญัติด้านความเป็นส่วนตัวที่แทนที่คำสั่งว่าด้วยการคุ้มครองข้อมูล (95/46/EC) ฉบับวันที่ 24 ตุลาคม 1995 เมื่อวันที่ 25 พฤษภาคม 2018 GDPR วางข้อกำหนดที่เฉพาะเจาะจงสำหรับธุรกิจและองค์กรที่จัดตั้งขึ้นในยุโรปหรือให้บริการผู้ใช้ในยุโรป Google Maps Platform สนับสนุนโครงการริเริ่มที่ให้ความสำคัญต่อความปลอดภัยและความเป็นส่วนตัวของข้อมูลส่วนตัวของลูกค้า และต้องการให้คุณในฐานะลูกค้าของ Google Maps Platform รู้สึกมั่นใจใช้บริการของ Google ตามข้อกำหนดของ GDPR หากคุณเป็นพาร์ทเนอร์กับ Google Maps Platform Google Maps จะรองรับความพยายามในการปฏิบัติตามข้อกำหนด GDPR ด้วยวิธีต่อไปนี้

  1. การตกลงในสัญญาของ Google ที่จะปฏิบัติตาม GDPR ในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนตัวของ Google ในบริการทั้งหมดของ Google Maps Platform
  2. มอบเอกสารและแหล่งข้อมูลเพื่อช่วยคุณประเมินความเป็นส่วนตัว สำหรับบริการของ Google
  3. พัฒนาความสามารถของ Google อย่างต่อเนื่องเมื่อภูมิทัศน์ด้านกฎระเบียบเปลี่ยนแปลง

การพิจารณามาตรฐานคุ้มครองที่เพียงพอของสหภาพยุโรป เขตเศรษฐกิจยุโรป สวิตเซอร์แลนด์ และสหราชอาณาจักร

ตามที่ได้ระบุไว้ในนโยบายความเป็นส่วนตัวของ Google คณะกรรมาธิการยุโรประบุว่ามีบางประเทศนอกเขตเศรษฐกิจยุโรป (EEA) ที่คุ้มครองข้อมูลส่วนบุคคลได้อย่างเพียงพอ ซึ่งหมายความว่าสามารถโอนข้อมูลจากสหภาพยุโรป (EU) ตลอดจนจากนอร์เวย์ ลิกเตนสไตน์ และไอซ์แลนด์ไปยังประเทศเหล่านั้นได้ สหราชอาณาจักรและสวิตเซอร์แลนด์ก็ได้นำ กลไกการคุ้มครองที่เพียงพอซึ่งคล้ายกันนี้มาใช้ด้วย

ข้อสัญญามาตรฐานของสหภาพยุโรป

คณะกรรมาธิการยุโรปได้เผยแพร่ SCC ฉบับใหม่ของสหภาพยุโรป เพื่อช่วยปกป้องข้อมูลของยุโรปร่วมกับ SCC Google ได้รวม SCC เข้ากับสัญญา Google Maps Platform เพื่อปกป้องข้อมูลและเป็นไปตามข้อกำหนดของนิติบัญญัติด้านความเป็นส่วนตัวของยุโรป ข้อสัญญาเหล่านี้สามารถใช้เพื่ออำนวยความสะดวกในการโอนข้อมูลอย่างถูกกฎหมาย เช่นเดียวกับ SCC ฉบับก่อนหน้า

กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร

กฎหมายคุ้มครองข้อมูลปี 2018 เป็นการนำกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหราชอาณาจักรมาใช้ "GDPR ของสหราชอาณาจักร" หมายถึง GDPR ของสหภาพยุโรป ตามที่ได้มีการแก้ไขและผนวกรวมไว้ในกฎหมายของสหราชอาณาจักร ภายใต้พระราชบัญญัติ (การถอนตัว) ของสหราชอาณาจักรออกจากสหภาพยุโรป พระราชบัญญัติ 2018 และนิติบัญญัติลำดับรองภายใต้พระราชบัญญัติดังกล่าว

กฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์ (FDPA)

กฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์ หรือที่รู้จักกันในชื่อ "พระราชบัญญัติคุ้มครองข้อมูลของรัฐบาลกลาง" (Federal Act on Data Protection Act หรือ FADP) เป็นกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคที่มีจุดมุ่งหมายเพื่อปกป้องความเป็นส่วนตัวและสิทธิขั้นพื้นฐานของผู้คนเมื่อมีการประมวลผลข้อมูล

สัญญาผูกมัดนอกยุโรป

ส่วนนี้อธิบายเกี่ยวกับข้อผูกพันทางสัญญาที่ไม่ใช่ของยุโรป

บัตร Lei Geral de Proteção de Dados (LGPD)

Lei Geral de Proteção de Dados (LGPD) ของบราซิลเป็นกฎหมายว่าด้วยการคุ้มครองความเป็นส่วนตัวของข้อมูลที่ควบคุมการประมวลผลข้อมูลส่วนตัวโดยธุรกิจและองค์กรที่ก่อตั้งในบราซิล หรือที่ให้บริการผู้ใช้ในบราซิล รวมถึงกรณีอื่นๆ LGPD มีผลบังคับใช้แล้วและมีการป้องกันดังต่อไปนี้

  • กำหนดวิธีที่ธุรกิจและองค์กรสามารถรวบรวม ใช้ และจัดการข้อมูลส่วนตัว
  • เสริมหรือแทนที่กฎหมายคุ้มครองความเป็นส่วนตัวภาคส่วนรัฐบาลกลางที่มีอยู่เพื่อเพิ่มความรับผิดชอบ
  • ให้สิทธิ์ค่าปรับสำหรับธุรกิจและองค์กรที่ไม่เป็นไปตามข้อกำหนด
  • อนุญาตการสร้างหน่วยงานคุ้มครองข้อมูล
  • กำหนดกฎในการโอนข้อมูลส่วนตัวที่เก็บรวบรวมภายในบราซิล

Google นำเสนอผลิตภัณฑ์และโซลูชันที่คุณใช้เป็นส่วนหนึ่งของกลยุทธ์การปฏิบัติตามข้อกำหนด LGPD ได้ ดังนี้

  • ฟีเจอร์ความปลอดภัยและความเป็นส่วนตัวที่ช่วยให้คุณปฏิบัติตาม LGPD รวมถึงปกป้องและควบคุมข้อมูลส่วนบุคคลได้ดียิ่งขึ้น
  • บริการและโครงสร้างพื้นฐานที่สร้างขึ้นมาเพื่อความปลอดภัย ในการประมวลผลข้อมูลและใช้หลักปฏิบัติเกี่ยวกับนโยบายความเป็นส่วนตัวที่เหมาะสม
  • การพัฒนาผลิตภัณฑ์และความสามารถของ Google อย่างต่อเนื่องตามการเปลี่ยนแปลงของกฎระเบียบ

ลูกค้า Google Maps Platform จะต้องประเมินการประมวลผลข้อมูลส่วนตัวและพิจารณาว่าข้อกำหนดของ LGPD มีผลบังคับใช้กับตนหรือไม่ Google ขอแนะนำให้คุณปรึกษาผู้เชี่ยวชาญด้านกฎหมายเพื่อขอคำแนะนำเกี่ยวกับข้อกำหนดเฉพาะของ LGPD ที่เกี่ยวข้องกับองค์กรของคุณ เนื่องจากเว็บไซต์นี้ไม่ได้เป็นคำแนะนำทางกฎหมาย

ข้อผูกพันทางสัญญาของรัฐในสหรัฐอเมริกา

กฎหมายเกี่ยวกับความเป็นส่วนตัวของข้อมูลและการตรวจสอบออนไลน์แห่งรัฐคอนเนตทิคัต

กฎหมายคุ้มครองความเป็นส่วนตัวของข้อมูลและการตรวจสอบออนไลน์แห่งรัฐคอนเนตทิคัต กฎหมายมหาชนฉบับปี 2015 มีผลบังคับใช้เมื่อวันที่ 1 มกราคม 2023 อ่านข้อกำหนดการคุ้มครองข้อมูลระหว่างผู้ควบคุมข้อมูลกับ Google สำหรับข้อมูลเพิ่มเติม

กฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA)

กฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (California Consumer Privacy Act หรือ CCPA) (1, 2) เป็นกฎหมายเกี่ยวกับการคุ้มครองความเป็นส่วนตัวของข้อมูลให้การคุ้มครองความเป็นส่วนตัวจำนวนมากแก่ผู้บริโภคในแคลิฟอร์เนีย รวมถึงสิทธิในการเข้าถึง ลบ และเลือกไม่ใช้ "การขาย" ข้อมูลส่วนบุคคล ตั้งแต่วันที่ 1 มกราคม 2020 ธุรกิจที่รวบรวมข้อมูลส่วนบุคคลของผู้พำนักอาศัยในแคลิฟอร์เนียและมีคุณสมบัติตามเกณฑ์ที่กำหนด (เช่น รายได้ ปริมาณการประมวลผลข้อมูล) จะต้องปฏิบัติตามภาระหน้าที่เหล่านี้ กฎหมายคุ้มครองสิทธิด้านความเป็นส่วนตัวแห่งรัฐแคลิฟอร์เนีย (California Privacy Rights Act หรือ CPRA) เป็นกฎหมายว่าด้วยการคุ้มครองความเป็นส่วนตัวของข้อมูลซึ่งมีการแก้ไขและขยายขอบเขตของ CCPA ซึ่งจะมีผลบังคับใช้ในวันที่ 1 มกราคม 2023 Google มุ่งมั่นที่จะช่วยให้ลูกค้าปฏิบัติตามภาระหน้าที่ภายใต้กฎระเบียบเหล่านี้ โดยมอบเครื่องมือที่สะดวก ตลอดจนสร้างการคุ้มครองความเป็นส่วนตัวและความปลอดภัยที่มีประสิทธิภาพสำหรับบริการและสัญญาของ Google ดูข้อมูลเพิ่มเติมเกี่ยวกับความรับผิดชอบของคุณในฐานะธุรกิจภายใต้ CCPA ได้ที่เว็บไซต์สำนักงานอัยการแห่งรัฐแคลิฟอร์เนีย ดูข้อมูลเพิ่มเติมได้ในข้อกำหนดการคุ้มครองข้อมูลระหว่างผู้ควบคุมข้อมูลกับ Google

กฎหมายความเป็นส่วนตัวแห่งรัฐโคโลราโด (CPA)

กฎหมายความเป็นส่วนตัวแห่งรัฐโคโลราโด กฎหมาย Colo. Rev. Stat. มาตรา 6-1-1301 และมาตราอื่นๆ มีผลบังคับใช้เมื่อวันที่ 1 มกราคม 2023 กฎหมายฉบับนี้สร้างสิทธิในความเป็นส่วนตัวของข้อมูลส่วนตัว และมีผลบังคับใช้กับนิติบุคคลที่ทำธุรกิจหรือผลิตผลิตภัณฑ์หรือบริการเชิงพาณิชย์ที่มีเป้าหมายเป็นบุคคลผู้พำนักอาศัยในโคโลราโดโดยเจตนา และ

  • ควบคุมหรือประมวลผลข้อมูลส่วนตัวของผู้บริโภคอย่างน้อย 100,000 คนต่อปีปฏิทิน
  • สร้างรายได้จากการขายข้อมูลส่วนตัวและควบคุมหรือประมวลผลข้อมูลส่วนตัวของผู้บริโภคอย่างน้อย 25,000 คน

อ่านข้อกำหนดการคุ้มครองข้อมูลระหว่างผู้ควบคุมข้อมูลกับ Google สำหรับข้อมูลเพิ่มเติม

กฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งรัฐยูทาห์ (UCPA)

กฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งรัฐยูทาห์ ประมวลกฎหมายแห่งรัฐยูทาห์มาตรา 13-61-101 และมาตราอื่นๆ มีผลบังคับใช้เมื่อวันที่ 1 มกราคม 2023 UCPA มีผลกับการขายข้อมูลส่วนตัวและการโฆษณาแบบกำหนดเป้าหมาย รวมถึงกำหนดสิ่งที่มีและไม่ได้รวมถึงการขาย "การแลกเปลี่ยนข้อมูลส่วนตัวเพื่อให้ผู้ควบคุมพิจารณาทางการเงินกับบุคคลที่สาม"

อ่านข้อกำหนดการคุ้มครองข้อมูลระหว่างผู้ควบคุมข้อมูลกับ Google สำหรับข้อมูลเพิ่มเติม

กฎหมายคุ้มครองข้อมูลของผู้บริโภคแห่งรัฐเวอร์จิเนีย (VCDPA)

กฎหมายคุ้มครองข้อมูลของผู้บริโภคแห่งเวอร์จิเนีย ("VCDPA") มีผลบังคับใช้แล้วเมื่อวันที่ 1 มกราคม 2023 กฎหมายนี้ให้สิทธิ์บางอย่างแก่ชาวเวอร์จิเนียสำหรับข้อมูลส่วนตัวที่รวบรวมโดยธุรกิจภายใต้เงื่อนไขที่ระบุในกฎหมาย

โปรดอ่านข้อกำหนดด้านการคุ้มครองข้อมูลระหว่างผู้ควบคุมบริการวัดผลกับผู้ควบคุมข้อมูลร่วมของ Google สำหรับข้อมูลเพิ่มเติม

สรุป

ความปลอดภัยเป็นเกณฑ์การออกแบบหลักสำหรับโครงสร้างพื้นฐาน ผลิตภัณฑ์ และการดำเนินการทั้งหมดของ Google ขนาดการดำเนินงานของ Google และการทำงานร่วมกันกับชุมชนการวิจัยด้านความปลอดภัยช่วยให้เราแก้ไขช่องโหว่ได้อย่างรวดเร็วและบ่อยครั้งเพื่อป้องกันช่องโหว่เหล่านั้นโดยสิ้นเชิง Google ใช้บริการของตัวเอง เช่น Search, YouTube และ Gmail บนโครงสร้างพื้นฐานเดียวกับที่พร้อมให้บริการแก่ลูกค้า ซึ่งจะได้รับประโยชน์จากการควบคุมและแนวทางปฏิบัติด้านการรักษาความปลอดภัยของ Google โดยตรง

Google เชื่อว่าจะสามารถให้การปกป้องในระดับที่ผู้ให้บริการระบบคลาวด์สาธารณะหรือทีมไอทีขององค์กรเอกชนเพียงไม่กี่คนจะเทียบได้ เนื่องจากการปกป้องข้อมูลคือหัวใจหลักของธุรกิจของ Google เราจึงลงทุนมหาศาลในด้านความปลอดภัย ทรัพยากร และความเชี่ยวชาญในระดับที่ผู้อื่นทำไม่ได้ การลงทุนของ Google ช่วยให้มีเวลาไปทุ่มเทกับธุรกิจและนวัตกรรม เราจะลงทุนในแพลตฟอร์มของเราต่อไปเพื่อให้คุณได้รับประโยชน์จากบริการของ Google ด้วยวิธีที่ปลอดภัยและโปร่งใส