Google Workspace-sikkerhet og tillit
Vår førsteprioritet er å beskytte dataene dine
Vår førsteprioritet er å beskytte dataene dine
Google begynte i nettskyen og kjører i nettskyen, så vi vet det meste om sikkerhet for skybasert forretningsdrift. Fordi vi i Google bruker samme infrastruktur som bedriftstjenestene våre, får bedriften din nyte fordelene av beskyttelsen vi har utviklet og bruker hver dag. Den robuste, globale infrastrukturen vår, kombinert med egne sikkerhetseksperter og engasjementet vårt for nyskaping, gjør at Google holder seg i teten og kan tilby et svært sikkert, pålitelig miljø som overholder relevante regler.
Google har bransjeledende kunnskap og ekspertise innenfor utvikling av sikre infrastrukturer og programmer for nettskyen i stor skala. Selv om mange leverandører hevder det samme, mener vi at sikkerhet og personvern må være synlig og forståelig for kundene våre – ikke bare noe som skjer i kulissene.
Hos Google krever vi at alle medarbeiderne våre har sikkerhet som førsteprioritet. Google har mange heltidsansatte sikkerhets- og personvernspesialister, og blant dem finnes noen av verdens ledende eksperter på informasjons-, program- og nettverkssikkerhet. Vi sikrer at Google er beskyttet nå og i fremtiden ved å bygge inn sikkerhet i hele prosessen for programvareutvikling. Dette kan innebære at sikkerhetsspesialister analyserer forslag til arkitekturer og går gjennom kode for å finne sårbarheter og få bedre forståelse av angrepsmodellene for nye produkter eller funksjoner. Når situasjoner oppstår, har vi et eget team for håndtering av hendelser for Google Workspace. De sikrer at hendelser håndteres med minst mulig forstyrrelse for kundene våre. Dette oppnås med rask respons, analyse og reparasjon.
Googles forskning og oppsøkende virksomhet beskytter alle Internett-brukere – ikke bare de som velger å bruke løsningene våre. Vi har et heltidsteam som heter Project Zero, og de har som mål å oppdage sårbarheter med potensielt alvorlige følger i produkter som brukes av mange – både fra Google og andre leverandører. Vi forplikter oss til å gjøre dette arbeidet på en åpen måte og rapportere feil direkte til programvareleverandører, uten å involvere tredjeparter.
Sikkerheten har alltid vært Googles førsteprioritet. Her er noen eksempler på den høye standarden vi opprettholder:
Google er den første av de store leverandørene av skytjenester som har aktivert perfekt fremoverrettet hemmelighold, som krypterer innhold mens det flyttes mellom tjenerne våre og tjenerne til andre bedrifter. Med perfekt fremoverrettet hemmelighold utløper de private nøklene for en tilkobling etter bruk, noe som i sin tur hindrer angripere, eller til og med tjeneroperatøren, i å dekryptere HTTPS-økter i ettertid. Flere andre i bransjen har nå begynt å bruke det eller satt seg som mål å begynne å bruke det.
Hver eneste e-post du sender eller mottar – absolutt alle – er kryptert når de flyttes mellom Googles datasentre. Dette sikrer at e-postene dine er trygge – ikke bare mens de sendes mellom enhetene dine og Gmail-tjenerne, men også mens de flyttes internt i Google. Vi var også de første som begynte å melde fra til brukerne når e-postene deres blir sendt på usikre måter mellom leverandører, med lanseringen av TLS-indikatoren.
I 2013 fordoblet Google lengden på RSA-krypteringsnøklene sine til 2048 bit og begynte å bytte dem ut med noen ukers mellomrom. Dette gjorde vi for å beskytte mot fremskritt innen kryptoanalyse, og dermed la vi listen høyere for resten av bransjen.
Med Google Workspace kan administratorene styre hele bedriftens systemkonfigurasjon og appinnstillinger via en oversikt som kan brukes til å koordinere autentisering, driftsstyring og beskyttelse av ressurser. Bruk de integrerte Cloud Identity-funksjonene til å administrere brukere og angi påkrevet bruk av flertrinnsbekreftelse og sikkerhetsnøkler for økt beskyttelse. Du kan velge den Google Workspace-utgaven som er best egnet til å dekke sikkerhetsbehovene til organisasjonen din.
Med totrinnsbekreftelse reduseres risikoen for uautorisert tilgang betydelig, ettersom brukerne blir bedt om å oppgi ekstra legitimasjon når de logger på. Vi tilbyr også tilgangskontroll med sikkerhetsnøkler der bruk av fysiske nøkler kreves, noe som gir et ekstra lag med sikkerhet. Nøkkelen sender en kryptert signatur og fungerer kun med nettstedene som er angitt for den. Dette bidrar til å forhindre nettfisking. Google Workspace-administratorer kan enkelt implementere, overvåke og administrere sikkerhetsnøklene etter behov i stor skala, via administrasjonskonsollen – uten å installere ekstra programvare.
Vi bruker de effektive funksjonene våre for maskinlæring for å bidra til å oppdage mistenkelige pålogginger. Når vi oppdager en mistenkelig pålogging, varsler vi administratorene, slik at de kan sørge for å sikre kontoene.
Google Workspace har støtte for global pålogging, så du kan ha samme tilgangsmetode for andre skybaserte apper som brukes i bedriften. Via tjenesten vår for administrering av identiteter og tilgang (IAM) kan administratorene styre all brukerlegitimasjon og tilgang til skybaserte apper på ett sted.
I Google Workspace kan administratorer angi egendefinerte regler som krever at e-poster signeres og krypteres med S/MIME (Secure/Multipurpose Internet Mail Extensions). Disse reglene kan konfigureres for å kreve S/MIME når bestemte typer innhold oppdages i e-poster.
Med utgangspunkt i sikkerhetsmodellen for null tillit og Googles BeyondCorp-implementering gjør kontekstfølsom tilgang det mulig å gi brukerne dine sikker tilgang, samtidig som produktiviteten deres opprettholdes. Det sørger for detaljert kontroll og bruker én enkelt plattform for apper både i nettskyen og lokalt, samt infrastrukturressurser. Med kontekstfølsom tilgang kan du kreve detaljert tilgangskontroll i Google Workspace-apper, basert på brukernes identitet og konteksten til forespørselen.
Googles Avansert beskyttelse-program er vår sterkeste beskyttelse for brukere som er utsatt for høy risiko for målrettede nettangrep. Med Avansert beskyttelse-programmet for bedrifter håndhever vi bruk av et utvalgt sett sterke regler for kontosikkerhet for de registrerte brukerne. Dette omfatter krav om bruk av sikkerhetsnøkler, blokkering av tilgang til apper som ikke er klarert, og avansert gjennomsøking etter e-posttrusler.
Google Workspace-administratorer kan konfigurere retningslinjer for forebygging av datatap (FDT) for å beskytte sensitiv informasjon i Gmail og Disk. Vi tilbyr et bibliotek med forhåndsdefinerte detektorer for innhold, noe som gjør det enkelt å konfigurere funksjonen. Når FDT-retningslinjene er på plass, kan for eksempel Gmail automatisk kontrollere all utgående e-post for sensitive opplysninger og automatisk sette i verk tiltak for å forhindre datalekkasjer: sette e-posten i karantene for gjennomgang, melde fra til brukere om at de må endre informasjonen, eller blokkere e-posten så den ikke blir sendt – og melde fra til avsenderen. FDT for Disk har regler som er enkle å konfigurere, og optisk tegngjenkjenning (OCR) for innhold som er lagret i bilder. Dette gjør det enkelt for administratorer å kontrollere filer som inneholder sensitive opplysninger, og konfigurere regler for å advare brukere og forhindre at de deler konfidensielle opplysninger eksternt. Finn ut mer her: infodokument om FDT (bare på engelsk).
Ved hjelp av maskinlæring har vi oppnådd 99,9 % nøyaktighet i Gmail for oppdaging av søppelpost og blokkering av fordekte søppelpost- og nettfiskings-e-poster – av typen som faktisk lett kan forveksles med vanlig e-post. Mindre enn 0,1 % av e-postene i en gjennomsnittlig Gmail-innboks er søppelpost, og feilfiltrering av e-post til søppelpostmappen forekommer enda sjeldnere (mindre enn 0,05 %).
For å bidra til å forhindre skadelig programvare skanner Google automatisk alle vedlegg etter virus via flere forskjellige motorer før brukeren laster dem ned. Gmail søker til og med etter virus i vedlegg som står i sendekøen. Dette bidrar til å beskytte alle som bruker Gmail, og forhindrer spredning av virus. Vedlegg i bestemte formater, for eksempel .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JS, .JSE, .LIB, .LNK, .MDE, .MSC, .MSI, .MSP, .MST, .NSH .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF og .WSH, blokkeres automatisk – selv når de er inkludert som en del av en komprimert fil.
Google Workspace bruker i stor grad maskinlæring for å beskytte brukere mot nettfisking. Læringsmodellene våre utfører likhetsanalyse mellom nettsteder som tidligere er klassifisert som nettfiskingssteder, og nye nettadresser som ikke er klassifisert tidligere. Etter hvert som vi finner nye mønstre, tilpasser vi oss raskere enn det som er mulig for manuelle systemer. I Google Workspace er det også mulig for administratorer å kreve bruk av sikkerhetsnøkler, slik at det blir umulig å bruke legitimasjon som er kompromittert i nettfiskingsangrep.
For å bidra til å forhindre at merkevaren din blir misbrukt i nettfisking, følger Google WorkspaceDMARC-standarden. Denne gir domeneeiere mulighet til å bestemme hvordan Gmail og andre deltakende e-postleverandører skal håndtere e-poster som ikke er autentisert, og som kommer fra domenet ditt. Ved å angi retningslinjer kan du bidra til å beskytte brukerne samt organisasjonens omdømme.
Med fullstendig integrert administrering av endepunkter i Google Workspace får du kontinuerlig systemovervåking og varsler om mistenkelig enhetsaktivitet. Administratorer kan kreve at retningslinjer for endepunkter overholdes, kryptere data på enheter, låse mobilenheter som er mistet eller stjålet, og fjernutviske data fra enheter.
Med sikkerhetssenteret for Google Workspace får du én omfattende visning for sikkerhetsstatusen til Google Workspace-implementeringen din. I senteret samles sikkerhetsstatistikk, anbefalte fremgangsmåter og integrert reparasjon som gir deg muligheten til å beskytte organisasjonens data, enheter og brukere.
Som del av autentiseringskontrollene våre får administratorer innsyn i og kontroll over programmer fra tredjeparter som bruker OAuth til autentisering og tilgang til bedriftsdata. OAuth-tilgang kan deaktiveres for enkeltprogrammer, og vurderte apper fra tredjeparter kan settes på en godkjenningsliste.
Vi tilbyr administrering av rettigheter for informasjon (IRM) i Disk for å hjelpe administratorer med å holde kontroll på sensitive data. Administratorer og brukere kan deaktivere nedlasting, utskrift og kopiering av filer fra menyen for avansert deling. I tillegg kan de angi utløpstidspunkter for filtilgang.
Med varselsenteret for Google Workspace har administratorer fått en ny måte å se viktige varsler og handlinger på for hele Google Workspace. Tips om disse mulige varslene kan hjelpe administratorer med å vurdere i hvilken grad organisasjonen er utsatt for sikkerhetsproblemer. Integrert reparasjon med sikkerhetssenteret gjør det enkelt å løse disse problemene.
Mange organisasjoner bruker de distribuerte datasentrene våre for å dra nytte av kritiske fordeler, for eksempel minst mulig tidsforsinkelse samt effektiv georedundans. For organisasjoner med strenge kontrollkrav kan du imidlertid bruke dataregioner for Google Workspace til å velge hvor bestemte data som dekkes, skal lagres når de er inaktive: i USA, Europa eller fordelt globalt.
Google har utviklet Google Workspace slik at det oppfyller strenge standarder for personvern og sikkerhet, basert på gode fremgangsmåter i bransjen. I tillegg til sterke kontraktforpliktelser angående eierskap for data, databruk, sikkerhet, åpenhet og ansvar, gir vi deg verktøyene du trenger for å overholde alle relevante krav til rapportering samt overholdelse av regler.
Googles kunder og tilsynsmyndighetene forventer uavhengig bekreftelse av kontrollfunksjonene våre for sikkerhet, personvern og overholdelse av regler. For å leve opp til denne forventningen lar vi oss regelmessig kontrollere av uavhengige tredjeparter.
ISO/IEC 27001 er en av de mest anerkjente uavhengige standardene for sikkerhet. Google har oppnådd ISO/IEC 27001-sertifisering for systemene, teknologien, prosessene og datasentrene som drifter Google Workspace. Se ISO/IEC 27001-sertifikatet vårt.
ISO/IEC 27017 er en internasjonal standard med retningslinjer for informasjonssikring basert på ISO/IEC 27002, og den gjelder spesielt for skytjenester. Vår overholdelse av den internasjonale standarden er sertifisert av Ernst & Young CertifyPoint, et organ for ISO-sertifisering som er akkreditert av det nederlandske rådet for akkreditering (RvA) (medlem av det internasjonale akkrediteringforumet, IAF). Se ISO/IEC 27017-sertifikatet vårt.
Det faktum at Google Workspace overholder ISO/IEC 27018:2014, bekrefter hvor sterkt vi engasjerer oss i å overholde internasjonale standarder for personvern og databeskyttelse. I ISO/IEC 27018-retningslinjene angis blant annet følgende: Dataene dine skal ikke brukes til reklameformål, vi skal sikre at dataene dine i Google Workspace-tjenestene forblir dine, vi skal tilby deg verktøy for sletting og eksport av dataene dine, vi skal beskytte informasjonen din mot forespørsler fra tredjeparter, og vi skal være åpne om hvor dataene dine lagres. Se ISO/IEC 27018-sertifikatet vårt.
SOC 2- (kontroller for tjenesteleverandører) og SOC 3-rammeverkene for revisjon fra American Institute of Certified Public Accountants (AICPA) er basert på tillitsprinsipper og kriterier for sikkerhet, tilgjengelighet, behandlingsintegritet og konfidensialitet. Google har både SOC 2- og SOC 3-rapporter. Last ned SOC 3-rapporten vår.
Google Workspace-produktene overholder kravene i Federal Risk and Authorization Management Program (FedRAMP). FedRAMP er sikkerhetsstandarden for nettskyen for regjeringen i USA. Google Workspace er godkjent for bruk i føderale organer for data som er klassifisert med konsekvensnivået «Moderate». Dette kan omfatte informasjon som klassifiseres som «PII» og «Controlled Unclassified Information». Google Workspace er vurdert som adekvat for bruk med informasjon som er klassifisert som «OFFICIAL» (medregnet «OFFICIAL SENSITIVE») i henhold til UK Security Principles. Du finner detaljert informasjon om overholdelse av regler for produkter og tjenester på siden om FedRAMP Google-tjenester.
Google Workspace-kunder som må overholde standarden for datasikkerhet i forbindelse med betalingskort (Payment Card Industry Data Security Standard – PCI DSS), kan angi retningslinjer for forebygging av datatap (FDT) som forhindrer at e-poster med kortinformasjon blir sendt fra Google Workspace. For Disk kan Arkiv konfigureres slik at revisjoner kjøres og ingen data om kortinnehavere blir lagret.
FISC (Center for Financial Industry Information Systems) er en stiftelse som arbeider i offentlighetens interesse. Den har som oppgave å forske på teknologi, bruk, kontroll og trusler/forsvar i forbindelse med systemer for finansinformasjon i Japan. Et av de viktigste dokumentene organisasjonen har produsert, er «FISC Security Guidelines on Computer Systems for Banking and Related Financial Institutions» (FISC-retningslinjer for sikkerhet for bankvirksomhet og relaterte finansinstitusjoner), som beskriver kontroller tilknyttet anlegg, drift og teknisk infrastruktur. Google har utviklet en veiledning for å hjelpe kundene med å forstå hvordan Googles kontrollsystem følger FISC-retningslinjene. De fleste av kontrollene som er beskrevet i veiledningen, inngår i programmene våre for overholdelse av regler, som revideres av tredjeparter, for eksempel ISO/IEC 27001-, ISO/IEC 27017- og ISO/IEC 27018-sertifiseringene. Se responsen vår på FISC-kontrollene. Hvis du vil vite mer, kan du kontakte salgsavdelingen.
Det spanske akkrediteringssystemet Esquema Nacional de Seguridad (ENS) er utviklet av La Entidad Nacional de Acreditación (ENAC) i nært samarbeid med departementet for økonomi og offentlig administrasjon samt det nasjonale senteret for kryptologi (CCN). ENS ble etablert som en del av den kongelige resolusjonen 3/2010 (endret i resolusjon 951/2015), og brukes til å etablere prinsipper og krav for tilstrekkelig beskyttelse av informasjon ved offentlige instanser i Spania. Google Cloud (GCP og Google Workspace) overholder kravene som stilles på det høyeste ENS-nivået.
Google Workspace støtter kunders overholdelse av den amerikanske loven Health Insurance Portability and Accountability Act (HIPAA), som styrer sikring, bruk og avsløring av beskyttet helseinformasjon (PHI). Kunder som må overholde HIPAA, og som ønsker å bruke Google Workspace til PHI-behandling eller -lagring, kan undertegne et tillegg for bedriftspartnere med Google. Se mer informasjon om overholdelse av HIPAA med Google Workspace.
Google Workspace følger anbefalingene for databeskyttelse og personvern fra Artikkel 29-gruppen og opprettholder overholdelsen av EUs standard personvernbestemmelser med tillegget om databehandling for Cloud, formidling av underleverandører av databehandling og EUs standard personvernbestemmelser. Google opprettholder også overholdelse med Privacy Shield (Privacy Shield-avtalen) og tilrettelegger for dataportabilitet. Det betyr at administratorene kan eksportere data i standardformater uten ekstra gebyrer.
I Google Workspace fremmer vi initiativer og tiltak for å prioritere og forbedre datasikkerhet og personvern. Vi har oppdatert tillegget om databehandling for Cloud for å sikre at Google Workspace-kunder trygt kan bruke tjenestene våre nå som personvernforordningen har trådt i kraft. Vi har også implementert strenge retningslinjer, prosesser og kontroller gjennom tillegget om databehandling for Cloud samt standard personvernbestemmelser. I de avtalene forplikter vi oss til å overholde forpliktelsene vi er underlagt i henhold til personvernforordningen, med hensyn til behandlingen vi utfører på vegne av kundene. Vi har dessuten samarbeidet tett med europeiske datatilsyn for å imøtekomme forventningene deres. Finn ut mer.
Millioner av elever og studenter bruker Google Workspace for Education. Tjenestene i Google Workspace for Education er i overensstemmelse med Family Educational Rights and Privacy Act (FERPA). Vår forpliktelse til å overholde denne loven står nedfelt i avtalene våre.
Beskyttelse av barn på nettet er viktig for oss. Vi stiller kontraktsmessige krav om at skoler som bruker Google Workspace for Education, innhenter samtykke fra foreldre i henhold til Children’s Online Privacy Protection Act of 1998 (COPPA), og tjenestene våre kan brukes på en måte som overholder COPPA.
Googles produkter leveres med muligheter og kontraktforpliktelser som legger til rette for at kundene kan overholde den sørafrikanske loven Protection of Personal Information (POPI) Act. Kunder som må overholde POPI, kan angi hvordan dataene deres lagres, behandles og beskyttes, ved å underskrive et tillegg om databehandling for Cloud.
Med Arkiv kan du oppbevare, søke i og eksportere dataene til organisasjonen din fra utvalgte Google Workspace-apper. Arkiv er fullstendig nettbasert, så du trenger ikke å installere eller vedlikeholde ekstra programvare.
Med Arkiv kan du eksportere data fra utvalgte Google Workspace-apper til standardformater for videre behandling og gjennomgang – og alt på en måte som opprettholder juridiske standarder og respekterer retningslinjer for forvaringskjeder.
Administratorer kan bruke overvåkingsverktøyene i Google Workspace til å gjennomsøke e-poster etter alfanumeriske mønstre og upassende innhold. Administratorene kan opprette regler for å enten avvise e-poster som samsvarer med kriteriene, før de når mottakerne, eller levere dem med endringer.
Brukervennlige og interaktive rapporter hjelper deg med å vurdere hvor utsatt organisasjonen din er for sikkerhetsproblemer på domene- og brukernivå. Muligheter for funksjonsutvidelser via en samling programmeringsgrensesnitt (API) gjør at du kan utvikle egendefinerte sikkerhetsverktøy for ditt eget system. Med innsikt i hvordan brukerne deler data, hvilke apper fra tredjeparter som er installert, og hvorvidt passende sikkerhetstiltak, for eksempel totrinnsbekreftelse, er iverksatt, kan du forbedre bedriftens sikkerhetsstatus.
I Google Workspace kan administratorer spore brukerhandlinger og konfigurere egendefinerte varsler inne i Google Workspace. Denne sporingen dekker administrasjonskonsollen, Gmail, Disk. Kalender, Grupper, mobilenheter og godkjenning av apper fra tredjeparter. Eksempel: Hvis en merket fil blir lastet ned, eller hvis en fil som inneholder ordet «konfidensielt», blir delt utenfor organisasjonen, kan administratorene bli varslet om det.
Med BigQuery, som er Googles lager for bedriftsdata for analyse av data i stor skala, kan du analysere Gmail-loggene med avanserte og effektive egendefinerte søk, samt bruke verktøy fra tredjeparter til mer dyptgående analyse.
Åpenhet er en grunnleggende verdi for Google. Vi jobber hardt for å gjøre oss fortjent til og opprettholde kundenes tillit gjennom å være mest mulig åpne. Kundens data eies av kunden – ikke av Google. Google selger ikke dataene dine til tredjeparter, Google Workspace inneholder ikke reklame, og vi samler aldri inn eller bruker data fra Google Workspace-tjenestene til reklameformål.
Google samler ikke inn, skanner ikke og bruker ikke dataene dine i Google Workspace-tjenestene til reklameformål, og vi viser ikke reklame i Google Workspace. Vi bruker dataene dine til å levere Google Workspace-tjenestene, samt til funksjoner som understøtter systemet, for eksempel filtrering av nettsøppel, virusregistrering, stavekontroll, kapasitetsplanlegging, ruting av trafikk og muligheten til å søke etter e-poster og filer i enkeltkontoer.
Dataene som bedrifter, skoler og offentlige organer legger inn i Google Workspace-tjenestene, tilhører ikke Google. Uansett om det gjelder en bedrifts immaterielle eiendom, personopplysninger eller hjemmearbeid, eier ikke Google disse dataene, og Google selger heller ikke disse dataene til tredjeparter.
Tilgangsinnsyn støtter opp under vår forpliktelse til å gjøre oss fortjent til kundenes tillit ved å tilby deg detaljerte logger over handlinger utført av Google-ansatte og årsaken til hvert tilfelle av tilgang, medregnet referanser til konkrete brukerstøttehenvendelser der det er relevant.
Med Google Workspace får du en tjenesteavtale med garanti om 99,9 % driftstid. I tillegg har ikke Google Workspace planlagte nedetider eller vedlikeholdsvinduer. I motsetning til de fleste leverandører planlegger vi for at appene våre alltid skal være tilgjengelige, selv mens vi oppgraderer tjenestene våre eller vedlikeholder systemene våre.
Vi legger mye arbeid i å holde deg informert om systemene og prosessene våre – enten det er i form av ytelsesoversikter i sanntid, resultatene fra gjennomganger av datahåndteringen vår, eller informasjon om hvor datasentrene våre ligger. Dataene tilhører deg. Vi sikrer at du har kontrollen over dem. Du kan når som helst slette eller eksportere dataene dine. Vi publiserer regelmessig innsynsrapporter som beskriver hvordan myndigheter og andre parter kan påvirke sikkerheten din og personvernet ditt på nettet. Vi synes du fortjener denne informasjonen, og vi har lenge hatt for vane å holde kundene våre informert og kjempe for rettighetene deres.