Xác thực tính bảo mật của Dịch vụ tổng hợp

Dịch vụ tổng hợp mở rộng khả năng tính toán của API Hộp cát về quyền riêng tư ra ngoài thiết bị này, để cho phép đo lường các sự kiện trên nhiều người dùng. Một số quyết định về thiết kế giúp đảm bảo quyền riêng tư của người dùng được duy trì bên ngoài thiết bị. Ví dụ: Dịch vụ tổng hợp chỉ có thể xử lý các sự kiện trong Môi trường thực thi đáng tin cậy và các công việc phải được điều phối viên trung tâm phê duyệt.

Hôm nay, chúng tôi sẽ chia sẻ thông tin cập nhật về những bên điều phối Dịch vụ tổng hợp và kết quả đánh giá bảo mật độc lập.

Đánh giá mức độ bảo mật của NCC

Việc triển khai nguồn mở của Dịch vụ tổng hợp và các dịch vụ điều phối giúp đảm bảo rằng cơ sở mã cho các hệ thống này có thể truy cập công khai và có thể được kiểm tra bởi tất cả các bên liên quan, bao gồm cả nhà nghiên cứu bảo mật, người ủng hộ quyền riêng tư và nhà cung cấp công nghệ quảng cáo. Tháng 10 năm 2022, chúng tôi đã mở rộng quy trình triển khai Dịch vụ tổng hợp và gần đây đã cung cấp các dịch vụ điều phối dưới dạng nguồn mở.

Để củng cố thêm rằng thiết kế và quá trình triển khai của chúng tôi đáp ứng các tiêu chuẩn cao về bảo mật và quyền riêng tư, chúng tôi đã ký hợp đồng với NCC Group (một công ty độc lập có chuyên môn về an ninh mạng) để xem xét dịch vụ tổng hợp và đơn vị điều phối. NCC gần đây đã xuất bản báo cáo và xác nhận nhận định của chúng tôi về hệ thống này. Báo cáo này nêu rõ:

  • "NCC Group không phát hiện thấy lỗi nào trong thiết kế của Dịch vụ tổng hợp Hộp cát về quyền riêng tư. Có vẻ như giải pháp này đáp ứng các phương pháp hay nhất trong ngành và cung cấp biện pháp bảo vệ mạnh mẽ để đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu thu thập được từ người dùng cuối."
  • "Chúng tôi nhận thấy thiết kế tổng thể của các thành phần mật mã học trong Dịch vụ tổng hợp hộp cát về quyền riêng tư là phù hợp với các mục tiêu đã nêu".
  • "Không phát hiện thấy vấn đề nghiêm trọng nào có thể cho phép công nghệ quảng cáo hoặc bất kỳ bên độc hại nào có được quyền truy cập vào mọi khoá hoàn chỉnh hoặc đặc quyền cao hơn."

Chúng tôi luôn hoan nghênh ý kiến phản hồi về việc triển khai của chúng tôi.

Điều phối viên độc lập

Để cải thiện tính bảo mật và quyền riêng tư, đồng thời phù hợp với thiết kế ban đầu của Dịch vụ tổng hợp, chúng tôi quyết định chia tách hoạt động của các dịch vụ điều phối giữa Google và một bên thứ ba độc lập.

Chúng tôi rất vui được thông báo rằng Accenture gần đây đã bắt đầu hoạt động trong vai trò đơn vị điều phối độc lập cho Dịch vụ tổng hợp trên Amazon Web Services (AWS). Chúng tôi chọn Accenture vì Accenture có hồ sơ thành tích tốt, là một nhà cung cấp dịch vụ độc lập đáng tin cậy cho nhiều công ty, cũng như kiến thức chuyên môn vững chắc về hoạt động và bảo mật vì lợi ích của người tiêu dùng và công nghệ quảng cáo.

Hướng đến tương lai

Hoạt động thử nghiệm beta đối với Dịch vụ tổng hợp trên Google Cloud mới bắt đầu. Chúng tôi sẽ thông báo kế hoạch tuyển chọn một điều phối viên độc lập trên Google Cloud sau. Bạn có thể làm theo những điểm cải tiến khác theo kế hoạch đối với Dịch vụ tổng hợp trên trang trạng thái của chúng tôi.

Chúng tôi cam kết sẽ tiếp tục tương tác với hệ sinh thái này để tạo điều kiện cho những dịch vụ đáp ứng các tiêu chuẩn cao về bảo mật và sẵn sàng đón nhận ý kiến phản hồi của bạn.