Segurança e confiança do Google Workspace
A proteção dos seus dados é uma das nossas principais prioridades.
A proteção dos seus dados é uma das nossas principais prioridades.
A Google começou na nuvem e continua a oferecer os seus serviços na nuvem, pelo que não é de admirar que compreendamos o que implica salvaguardar a segurança dos seus negócios na nuvem. Dado que a Google e os nossos serviços empresariais estão disponíveis na mesma infraestrutura, a sua entidade irá beneficiar das proteções já criadas e que utilizamos todos os dias. A infraestrutura global robusta da Google, alimentada por profissionais de segurança dedicados e pela nossa vontade de inovar, permite-nos permanecer sempre na vanguarda e oferecer um ambiente altamente seguro, fiável e conforme.
A Google detém competências líderes da indústria e a especialização necessária à criação de infraestruturas e de aplicações de nuvem à escala. Embora sejam muitos os fornecedores a afirmarem o mesmo, estamos convencidos de que a segurança e a privacidade devem ser vistas e compreendidas pelos nossos clientes, e não existir apenas nos bastidores.
Na Google, os funcionários têm de colocar a segurança sempre no topo das suas prioridades. A Google emprega inúmeros profissionais de segurança e privacidade a tempo inteiro que incluem alguns dos maiores especialistas do mundo em segurança da informação, de aplicações e de redes. Para assegurar a proteção contínua da Google, incorporamos a segurança em todos os aspetos do nosso processo de desenvolvimento de software. Tal pode incluir dedicar os profissionais de segurança à análise das arquiteturas propostas e à revisão do código, tendo em vista a deteção de vulnerabilidades de segurança e a melhor compreensão dos diferentes modelos de ataque para uma funcionalidade ou um produto novo. Quando estas situações surgem, a nossa equipa de gestão de incidentes dedicada do Google Workspace envida todos os esforços para resolver os incidentes com o mínimo de interrupções para os nossos clientes através de mecanismos céleres de resposta, análise e remediação.
As atividades de investigação e solidariedade social da Google protegem a vasta comunidade de utilizadores da Internet, e não apenas aqueles que escolhem as nossas soluções. A nossa equipa a tempo inteiro, denominada Project Zero, tem por missão descobrir vulnerabilidades de elevado impacto em produtos de utilização corrente da Google e de outros fornecedores. Estamos empenhados em levar a cabo as nossas atividades de forma transparente e comunicar diretamente os erros aos fornecedores de software sem o envolvimento de terceiros.
A segurança foi sempre uma das principais prioridades da Google. Seguem-se algumas áreas nas quais nos destacámos:
A Google é o primeiro grande fornecedor de serviços na nuvem a oferecer perfeição em forward secrecy, que encripta o conteúdo durante a respetiva transmissão entre os nossos servidores e os de outras empresas. A perfeição em forward secrecy torna as chaves privadas de ligação obsoletas, o que, por sua vez, evita a desencriptação retroativa de sessões de HTTPS por um adversário ou até mesmo o operador do servidor. Diversos pares do setor assumiram o mesmo compromisso ou estão empenhados em adotar esta via no futuro.
Todas as mensagens de email que envia ou recebe são encriptadas durante a transmissão entre os centros de dados da Google. Desta forma, garante-se a segurança das suas mensagens, não só quando são transmitidas entre os seus dispositivos e os servidores do Gmail, como também quando são transmitidas internamente na Google. Somos também pioneiros na introdução do nosso indicador TLS para informar os utilizadores de que os respetivos emails foram enviados sem segurança nos diversos fornecedores.
Em 2013, como forma de proteção contra os avanços da criptanalítica, a Google elevou a fasquia do setor ao duplicar o comprimento da sua chave de encriptação RSA para 2048 bits e ao introduzir uma alteração com intervalos semanais.
O Google Workspace oferece aos administradores controlo empresarial da configuração do sistema e das definições da aplicação. Tudo num painel de controlo que pode utilizar para simplificar a autenticação, a proteção dos recursos e o controlo operacional. Utilize as funcionalidades integradas do Cloud ID para gerir utilizadores e aplicar autenticação multifator e chaves de segurança para beneficiar de proteção adicional. Pode escolher a edição do Google Workspace que melhor satisfaz as necessidades de segurança da sua entidade.
A validação em dois passos reduz significativamente o risco de acesso não autorizado ao pedir aos utilizadores uma prova de identidade adicional quando iniciam sessão. A nossa aplicação de chave de segurança oferece outra camada de segurança para as contas de utilizadores que exijam uma chave física. A chave envia uma assinatura encriptada e funciona apenas com os sites à qual foi associada para complementar a proteção contra phishing. Os administradores do Google Workspace podem implementar, monitorizar e gerir facilmente as chaves de segurança à escala a partir da consola do administrador sem necessitarem de instalar software adicional.
Utilizamos as nossas capacidades robustas de aprendizagem automática para ajudar a detetar inícios de sessão suspeitos. Sempre que um início de sessão suspeito é detetado, notificamos os administradores para que possam agir em prol da proteção das contas.
Ao suportar o Início de sessão único (SSO), o Google Workspace oferece acesso unificado a outras aplicações empresariais na nuvem. O nosso serviço de gestão de identidade e de acesso (IAM) permite que os administradores efetuem a gestão centralizada de todas as credenciais de utilizador e do acesso às aplicações na nuvem.
O Google Workspace permite que os administradores definam regras personalizadas que exigem que as mensagens de email sejam assinadas e encriptadas com S/MIME (Secure/Multipurpose Internet Mail Extensions). Estas regras podem ser configuradas para aplicarem o S/MIME sempre que conteúdo específico for detetado em mensagens de email.
Com base no modelo de segurança de confiança zero e na implementação BeyondCorp da Google, o acesso sensível ao contexto permite-lhe fornecer acesso seguro aos seus utilizadores e, em simultâneo, assegurar a respetiva produtividade. Aplica controlos detalhados e utiliza uma plataforma única para as aplicações na nuvem e nas instalações, bem como para os recursos da infraestrutura. O acesso sensível ao contexto permite-lhe aplicar controlos de acesso detalhados a aplicações do Google Workspace com base na identidade do utilizador e no contexto do pedido.
O Programa de Proteção avançada da Google proporciona a proteção mais forte a utilizadores expostos a riscos de ataques online direcionados. O Programa de Proteção avançada para empresas irá aplicar um conjunto específico de políticas de segurança de contas fortes para os utilizadores inscritos. Estas políticas incluem exigir a utilização de chaves de segurança, o bloqueio do acesso a aplicações não fidedignas e a otimização da análise das ameaças por email.
Os administradores do Google Workspace podem configurar uma Política de Prevenção contra a Perda de Dados (DLP) destinada a proteger as informações confidenciais no Gmail e no Drive. Disponibilizamos uma biblioteca de detetores de conteúdo predefinidos para simplificar a configuração. Por exemplo, uma vez implementada a Política de DLP, o Gmail pode verificar automaticamente a existência de informações confidenciais em todos os emails enviados e aplicar automaticamente medidas para evitar a fuga de dados, como colocar o email em quarentena para análise, solicitar aos utilizadores que modifiquem as informações ou bloquear o envio do email e notificar o remetente. Com regras fáceis de configurar e reconhecimento ótico de carateres (OCR) de conteúdo armazenado em imagens, a DLP para o Drive permite que os administradores auditem facilmente ficheiros com conteúdo sensível e configurem regras que avisam e impedem os utilizadores de partilhar externamente informações confidenciais. Saiba mais no nosso Documento técnico da DLP.
A aprendizagem automática tem ajudado o Gmail a atingir uma precisão de 99,9% em termos de deteção de spam e bloqueio de spam dissimulado, bem como mensagens de phishing que podem perfeitamente passar por email pretendido. Menos de 0,1% dos emails de uma caixa de entrada média do Gmail é spam. A filtragem incorreta de correio para a pasta Spam é ainda mais improvável (menos de 0,05%).
Para ajudar a evitar a proliferação de software malicioso, a Google analisa automaticamente a existência de vírus em cada anexo através de diversos motores antes de ser transferido pelo utilizador. O Gmail até procura vírus em anexos na fila de envio. Esta ação ajuda a proteger todos os utilizadores do Gmail e evita a proliferação de vírus. Os anexos com determinados formatos, como .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JS, .JSE, .LIB, .LNK, .MDE, .MSC, .MSI, .MSP, .MST, .NSH .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF e .WSH, são bloqueados automaticamente, mesmo quando são incluídos como parte de um ficheiro comprimido.
O Google Workspace utiliza exaustivamente a aprendizagem automática para proteger os utilizadores contra ataques de phishing. Os nossos modelos de aprendizagem efetuam análises de similaridade entre sites de phishing anteriormente classificados e URLs novos não reconhecidos. À medida que descobrimos novos padrões, a nossa adaptação é muito mais rápida do que a de qualquer sistema manual. O Google Workspace também permite que os administradores apliquem a utilização de chaves de segurança que tornam impossível a utilização de credenciais comprometidas em ataques de phishing.
Para ajudar a evitar que a sua marca seja alvo de abuso em ataques de phishing, o Google Workspace aplica a norma DMARC que capacita os proprietários de domínios a decidir como o Gmail e outros fornecedores de email participantes processam emails não autenticados com origem no respetivo domínio. Ao definir uma política, pode ajudar a proteger os utilizadores e a reputação da sua entidade.
A gestão de pontos finais totalmente integrada do Google Workspace oferece monitorização contínua do sistema e alertas para atividade suspeita no dispositivo. Os administradores podem aplicar políticas de pontos finais, encriptar dados nos dispositivos, bloquear dispositivos móveis perdidos ou furtados e limpar remotamente os dispositivos.
O centro de segurança do Google Workspace fornece uma vista única e completa da postura de segurança da sua implementação do Google Workspace. Reúne análise da segurança, sugestões de práticas recomendadas e remediação integrada para que fique capacitado a proteger os dados, os dispositivos e os utilizadores da sua entidade.
Como parte integrante dos nossos controlos de autenticação, os administradores ganham visibilidade e controlo sobre aplicações de terceiros ao tirarem partido do OAuth para fins de autenticação e acesso a dados empresariais. O acesso OAuth pode ser desativado a um nível detalhado e as aplicações de terceiros aprovadas podem ser colocadas na lista de autorizações.
Para ajudar os administradores a manter o controlo dos dados confidenciais, o Drive dispõe de Gestão de direitos de informação (IRM). Os administradores e os utilizadores podem desativar a transferência, a impressão e a cópia dos ficheiros a partir do menu de partilha avançada, bem como definir datas de expiração para o acesso aos ficheiros.
O Centro de alertas para o Google Workspace proporciona uma nova forma de os administradores verem notificações, alertas e ações essenciais em todo o Google Workspace. As informações associadas a estes potenciais alertas podem ajudar os administradores a avaliar a exposição das respetivas entidades a problemas de segurança. A remediação integrada no centro de segurança oferece uma forma simples de resolver estes problemas.
São várias as entidades que tiram partido do poder dos nossos centros de dados distribuídos para maximizar vantagens críticas, como latência mínima e redundância geográfica robusta. Contudo, para entidades com requisitos de controlo rigorosos, as regiões dos dados do Google Workspace permitem escolher onde determinados dados abrangidos devem ser armazenados quando em repouso: nos EUA, na Europa ou distribuídos globalmente.
A Google criou o Google Workspace para assegurar a conformidade com normas de privacidade e segurança rigorosas, de acordo com as práticas recomendadas do setor. Além dos sólidos compromissos contratuais relacionados com a propriedade de dados, a utilização de dados, a segurança, a transparência e a responsabilidade, damos-lhe as ferramentas de que precisa para satisfazer os seus requisitos de conformidade e elaboração de relatórios.
Os clientes e as entidades reguladoras da Google esperam verificações independentes de segurança, privacidade e controlos de conformidade. Para tal, a Google é submetida regularmente a várias auditorias independentes de terceiros.
A ISO/IEC 27001 é uma das normas de segurança independentes mais amplamente reconhecidas e aceites. A Google obteve a certificação ISO/IEC 27001 para os sistemas, a tecnologia, os processos e os centros de dados que executam o Google Workspace. Veja o nosso certificado ISO/IEC 27001.
A ISO/IEC 27017 é uma norma internacional de práticas para controlos de segurança da informação baseados na ISO/IEC 27002 especificamente para serviços na nuvem. A nossa conformidade com a norma internacional foi certificada pela Ernst & Young CertifyPoint, uma entidade de certificação ISO acreditada pelo Dutch Accreditation Council (um membro do International Accreditation Forum ou IAF). Veja o nosso certificado ISO/IEC 27017.
A conformidade do Google Workspace com a ISO/IEC 27018:2014 comprova o nosso compromisso para com as normas internacionais de privacidade e proteção de dados. As diretrizes da ISO/IEC 27018 incluem a não utilização dos seus dados para fins de publicidade, a garantia de que mantém a propriedade dos seus dados nos serviços do Google Workspace, o fornecimento de ferramentas para eliminar e exportar os seus dados, a proteção das suas informações contra pedidos de terceiros e a transparência quanto ao local de armazenamento dos seus dados. Veja o nosso certificado ISO/IEC 27018.
A estrutura de auditoria SOC (Service Organization Controls) 2 e SOC 3 do American Institute of Certified Public Accountants (AICPA) conta com os respetivos Princípios e critérios de confiança para assegurar a segurança, a disponibilidade, a integridade do processamento e a confidencialidade. A Google tem ambos os relatórios SOC 2 e SOC 3. Transfira o nosso Relatório SOC 3.
Os produtos do Google Workspace cumprem com os requisitos do Federal Risk and Authorization Management Program (FedRAMP). O FedRAMP é a norma de segurança na nuvem do governo dos EUA. O Google Workspace está autorizado para utilização pelas agências federais relativamente aos dados classificados com um nível de impacto "Moderado", o que pode incluir PII e Informações não classificadas controladas. O Google Workspace foi avaliado como adequado para utilização com informações "OFICIAIS" (incluindo "CONFIDENCIAL OFICIAL") em conformidade com os Princípios de Segurança do Reino Unido. Para obter mais detalhes sobre a conformidade dos produtos e dos serviços, visite a página de Serviços Google do FedRAMP.
Os clientes do Google Workspace que precisem de manter a conformidade com a Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) podem configurar uma Política de Prevenção contra a Perda de Dados (DLP) para impedir o envio de emails com informações de cartões de pagamento a partir do Google Workspace. Para o Drive, o Vault pode ser configurado para executar auditorias e garantir que não são armazenados dados sobre o titular do cartão.
O FISC (Center for Financial Industry Information Systems) é uma fundação de interesse público que tem por missão proceder ao estudo da tecnologia, da utilização, do controlo e das ameaças/defesa relacionados com os sistemas de informação financeira no Japão. O "FISC Security Guidelines on Computer Systems for Banking and Related Financial Institutions" é um dos principais documentos criados pela organização que descreve os controlos relacionados com as instalações, as operações e a infraestrutura técnica. A Google elaborou um guia para ajudar os clientes a compreender como o ambiente de controlo da Google aplica as diretrizes do FISC. A maior parte dos controlos descritos no guia estão contemplados nos nossos programas de conformidade auditada de terceiros e incluem as certificações ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018. Veja a nossa resposta aos controlos do FISC. Para obter mais informações, contacte o departamento de vendas.
O esquema de acreditação espanhol Esquema Nacional de Seguridad (ENS) foi desenvolvido pela Entidad Nacional de Acreditación (ENAC) em estreita colaboração com o Ministério das Finanças e Administração Pública e o Centro Criptológico Nacional (CCN). O ENS foi estabelecido nos termos do Decreto real 3/2010 (alterado pelo Decreto 951/2015) com o intuito de determinar os princípios e os requisitos para a proteção adequada das informações das entidades de administração pública espanholas. O Google Cloud (GCP e Google Workspace) cumpriu os requisitos para assegurar a conformidade com o ENS ao nível "Superior".
O Google Workspace apoia o cumprimento, por parte dos clientes, da Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) dos EUA, que regulamenta a salvaguarda, a utilização e a divulgação de Informações de saúde protegidas (PHI). Os clientes sujeitos à HIPAA que pretendam utilizar o Google Workspace para processamento ou armazenamento de PHI podem assinar uma alteração relativa a associados comerciais com a Google. Veja mais detalhes acerca da conformidade do Google Workspace com a HIPAA.
O Google Workspace respeita as recomendações de proteção de dados do Grupo de trabalho do artigo 29.º e assegura o cumprimento das Cláusulas contratuais-tipo da União Europeia com a Alteração ao Processamento de Dados do Cloud, a Divulgação do Subprocessador e as Cláusulas contratuais-tipo da UE. A Google também assegura a conformidade com as disposições do Privacy Shield (Escudo de Proteção da Privacidade) e permite a portabilidade de dados para que os administradores possam exportar dados em formatos padrão sem qualquer cobrança adicional.
O Google Workspace promove iniciativas que visam dar prioridade e melhorar a segurança e a privacidade dos dados do utilizador. Atualizámos a nossa Alteração ao Processamento de Dados do Cloud para garantir que os clientes do Google Workspace podem utilizar os nossos serviços com toda a confiança agora que o RGPD entrou em vigor. Também implementámos políticas, processos e controlos rigorosos através da nossa Alteração ao Processamento de Dados do Cloud e das Cláusulas contratuais-tipo. Nesses contratos, comprometemo-nos a agir em conformidade com as obrigações que nos são aplicáveis no âmbito do RGPD no que diz respeito ao tratamento que realizamos em nome dos nossos clientes e temos trabalhado em estreita colaboração com as comissões nacionais de proteção de dados europeias para correspondermos às suas expetativas. Saiba mais.
Milhões de estudantes confiam no Google Workspace for Education. Os serviços do Google Workspace for Education estão em conformidade com a Lei dos Direitos Educacionais e Privacidade da Família (FERPA). O nosso compromisso em manter esta conformidade está refletido nos nossos contratos.
Zelar pela segurança online dos menores é importante para nós. Exigimos contratualmente que os estabelecimentos de ensino que utilizam o Google Workspace for Education obtenham o consentimento parental requerido pela Lei de Proteção à Privacidade da Criança na Internet de 1998 (COPPA) e os nossos serviços podem ser utilizados em conformidade com a COPPA.
A Google fornece capacidades de produtos e compromissos contratuais que permitem aos clientes manter a conformidade com a Lei de Proteção das Informações Pessoais (POPI) da África do Sul. Os clientes sujeitos aos termos da POPI podem definir como os respetivos dados são armazenados, processados e protegidos ao assinarem uma Alteração ao Processamento de Dados do Cloud.
O Vault permite-lhe reter, pesquisar e exportar os dados da sua entidade a partir de aplicações do Google Workspace selecionadas. O Vault é totalmente baseado na Web, pelo que não tem de proceder à instalação e à manutenção de software adicional.
O Vault permite exportar dados de aplicações do Google Workspace selecionadas para formatos padrão de modo a obter processamento e revisão adicionais. Tudo de uma forma que está em conformidade com as normas legais e as diretrizes da cadeia de custódia.
As ferramentas de monitorização do Google Workspace permitem que os administradores analisem as mensagens de email relativamente a padrões alfanuméricos e conteúdo censurável. Os administradores podem criar regras para rejeitar emails correspondentes antes de estes chegarem aos destinatários pretendidos ou enviá-los com modificações.
Os relatórios interativos simples ajudam-no a avaliar a exposição da sua entidade a problemas de segurança ao nível do domínio e do utilizador. A extensibilidade com uma coleção de interfaces de programação de aplicações (APIs) permite-lhe criar ferramentas de segurança personalizadas para o seu ambiente. Ao dispor de informações sobre como os utilizadores partilham dados, que apps de terceiros estão instaladas e se existem medidas de segurança adequadas aplicadas, como a validação em dois passos, pode melhorar o seu comportamento de segurança.
O Google Workspace permite que os administradores acompanhem as ações dos utilizadores e configurem alertas personalizados no Google Workspace. Este acompanhamento inclui a Consola do administrador, o Gmail, o Drive, o Calendário Google, o Grupos do Google e autorização de aplicações de terceiros e para dispositivos móveis. Por exemplo, se um ficheiro marcado for transferido ou se um ficheiro com a palavra "Confidencial" for partilhado fora da entidade, os administradores podem receber uma notificação.
Com o BigQuery, o armazém de dados empresarial da Google para análise de dados à larga escala, pode analisar os registos do Gmail com consultas personalizadas sofisticadas e de elevado desempenho, e tirar partido de ferramentas de terceiros para obter análises mais detalhadas.
A transparência está incutida no ADN da Google. Não poupamos esforços para conquistar e manter a confiança dos nossos clientes através da transparência. É o cliente e não a Google que detém a propriedade dos dados. A Google não vende os seus dados a terceiros, o Google Workspace não inclui qualquer tipo de publicidade e nunca recolhemos ou utilizamos dados dos serviços do Google Workspace para fins publicitários.
A Google não recolhe, analisa ou utiliza os seus dados disponíveis nos serviços do Google Workspace para fins publicitários e não apresentamos anúncios no Google Workspace. Utilizamos os seus dados para disponibilizar os serviços do Google Workspace e para apoio técnico do sistema, como filtragem de spam, deteção de vírus, verificação ortográfica, planeamento de capacidade, encaminhamento de tráfego e a capacidade de pesquisar emails e ficheiros numa conta de utilizador individual.
Os dados que as empresas, os estabelecimentos de ensino e as agências estatais disponibilizam nos serviços do Google Workspace não pertencem à Google. Quer sejam propriedade intelectual empresarial, informações pessoais ou um trabalho de casa, estes dados não pertencem à Google e, como tal, não serão vendidos a terceiros.
A Transparência de acesso sustém o nosso compromisso para com a confiança dos clientes ao disponibilizar registos rigorosos das ações realizadas pela equipa da Google e dos motivos que justificam cada acesso, incluindo referências a pedidos de apoio técnico específicos sempre que for relevante.
O Google Workspace oferece um contrato de nível de serviço de 99,9%. Além disso, o Google Workspace não tem qualquer período de inatividade ou de manutenção. Ao contrário da maior parte dos fornecedores, planeamos as nossas aplicações para estarem continuamente disponíveis, mesmo durante a atualização dos serviços ou a manutenção dos sistemas.
Estamos empenhados em fornecer-lhe informações acerca dos nossos sistemas e processos, quer seja através de uma vista geral do desempenho em tempo real, dos resultados de uma auditoria de processamento dos dados ou da localização dos nossos centros de dados. Os dados são seus e garantimos que estão sob o seu controlo. Pode eliminar os seus dados ou exportá-los em qualquer altura. Publicamos regularmente relatórios de transparência que detalham como as entidades governamentais e outras entidades podem afetar a sua segurança e privacidade online. Consideramos que tem o direito de saber e há muito que somos reconhecidos por o manter informado e o ajudar a lutar pelos seus direitos.