Auf dieser Seite wird die gemeinsame Verantwortung bei „Kontrolle der Datenhoheit durch Partner“ beschrieben. Allgemeine Informationen zur geteilten Verantwortung in Google Cloudfinden Sie unter Geteilte Verantwortung und Fate-Sharing in Google Cloud.
Geteilte Verantwortung für Daten
Sie sind der Experte für die Sicherheits- und behördlichen Anforderungen an Ihr Unternehmen und für die Anforderungen zum Schutz vertraulicher Daten und Ressourcen. Wenn Sie Ihre Arbeitslasten in Google Cloudausführen, müssen Sie die Sicherheitskontrollen ermitteln, die Sie in Google Cloud konfigurieren müssen, um Ihre vertraulichen Daten und jede Arbeitslast zu schützen. Um zu entscheiden, welche Sicherheitskontrollen implementiert werden sollen, müssen Sie die folgenden Faktoren berücksichtigen:
- Die für Sie geltenden gesetzlichen Vorschriften
- Sicherheitsstandards und Risikomanagementplan Ihrer Organisation
- Sicherheitsanforderungen Ihrer Kunden und Anbieter
Der Schutz Ihrer Daten hat beim Entwurf aller Google-Betriebsabläufe in den Bereichen Infrastruktur, Produkte und Personal eine sehr hohe Priorität. Google Cloud bietet hohe Sicherheit für viele Datentypen, einschließlich Kundendaten und Dienstdaten. Wenn Ihre Arbeitslasten jedoch bestimmte behördliche Anforderungen erfüllen oder nationalen Standards unterliegen, die erhöhte Sicherheitskontrollen erfordern, können sich Ihre internen Richtlinien von den Standardkonfigurationsoptionen unterscheiden. Wenn Sie solche Anforderungen haben, empfehlen wir Ihnen, zusätzliche Tools und Techniken einzuführen, um das erforderliche Compliance-Niveau aufrechtzuerhalten und Ihrem Team zu ermöglichen, die Best Practices für die Datenverwaltung und das allgemeine Cybersecurity-Management zu befolgen.
„Konfigurieren“ Google Cloud und „Kontrolle der Datenhoheit durch Partner“ für die gemeinsame Verantwortung
Die folgenden Bereiche fallen in die Verantwortung des Kunden als Nutzer einer öffentlichen Cloud:
- Sie müssen wissen, für welche Teile Ihrer Daten unterschiedliche Compliance- und Sicherheitsanforderungen gelten. Die meisten Cloud-Kunden haben eine IT-Infrastruktur, die allgemeine kommerzielle Sicherheit erfordert. Einige Kunden haben bestimmte Daten, z. B. Gesundheitsdaten, die höhere Compliance-Anforderungen erfüllen müssen. Mit Sovereign Controls by Partners können Sie diese höheren Compliance-Anforderungen erfüllen. Platzieren Sie alle sensiblen oder regulierten Daten mit bestimmten Zugriffs- oder Standortanforderungen in den entsprechenden Ordnern oder Projekten für die Steuerung der Datenhoheit durch Partner und lassen Sie sie dort.
- Konfigurieren Sie Identity and Access Management (IAM), um sicherzustellen, dass die Inhalte Ihrer Organisation nur von den entsprechenden Mitarbeitern aufgerufen und geändert werden können.
- Erstellen und Organisieren Ihrer Organisationshierarchie, sodass keine personenbezogenen Daten offengelegt werden.
- Sie haben die gesamte Dokumentation gelesen, um die Best Practices zu verstehen und zu befolgen.
- Informationen während des technischen Supports und der Fehlerbehebung sorgfältig weitergeben und keine sensiblen oder regulierten Daten außerhalb von Ordnern mit konformen Sovereign Controls by Partners platzieren oder freigeben.
Der Umfang vertraulicher oder reglementierter Daten kann je nach vielen Faktoren variieren, einschließlich der Vorschriften, denen Sie oder Ihre Kunden unterliegen, und kann Folgendes umfassen:
- Kontoinformationen
- Zustandsinformationen
- Personenbezogene Kennungen für Kunden oder Nutzer
- Karteninhaberdaten
- Nummern amtlicher Ausweise
Verantwortlichkeiten von Google im Modell der geteilten Verantwortung
Im Rahmen der Partnerschaft mit geteilter Verantwortung zwischen Google und Kunden übernimmt Google die Verantwortung für die grundlegenden Elemente und die Infrastruktur für den Aufbau eines erfolgreichen Cloud-Geschäfts. Einige davon hängen davon ab, dass Kunden ihre Verantwortung wahrnehmen, umGoogle Cloud zu konfigurieren und ihre Daten angemessen zu schützen. Beispiele für Verantwortlichkeiten von Google:
- Standardverschlüsselung und Infrastrukturkontrollen anwenden.
- IAM-Richtlinien durchsetzen, die Sie festgelegt haben, um die Arbeitslastverwaltung und den Datenzugriff auf die von Ihnen identifizierten Identitäten zu beschränken.
- Konfiguration und Erzwingung aller vom Kunden ausgewählten Sovereign Controls by Partners-Kontrollen, die mit dem von Ihnen ausgewählten Compliance-Regime für die geschützten Datentypen in den Ressourcen verknüpft sind, für die Sie sie konfiguriert haben. Dazu gehören Einschränkungen, wo Daten gespeichert werden und welche Google-Mitarbeiter im Rahmen ihrer geschäftlichen Aktivitäten Zugriff auf Ihre Daten haben dürfen.
- Konfigurationen und Kontrollen über „Kontrolle der Datenhoheit durch Partner“ für regulierte Branchen und standortbezogene Daten bereitstellen.
- Organisationsrichtlinien und Ressourceneinstellungen, mit denen Sie Richtlinien in Ihrer Hierarchie von Ordnern und Projekten konfigurieren können.
- Policy Intelligence-Tools, die Ihnen Informationen zum Zugriff auf Konten und Ressourcen liefern.
Konfiguration speziell für Europa und die EU
Wenn Kunden Sovereign Controls by Partners verwenden, haben sie zusätzlich zu den auf Google Cloud gegebenen DSGVO-Zusicherungen weitere technische Kontrollen, mit denen sie ihre Datenresidenz und Sicherheitskontrollen im Rahmen ihrer Compliance-Bemühungen anpassen können. Dazu gehören:
- Eine EU-Datengrenze, wie unter Datenstandort beschrieben.
- Support-Routing an EU-Personen an EU-Standorten, einschließlich Unterauftragsverarbeitern.
- Sichtbarkeit von Anfragen und Zugriffen für den Administratorzugriff.
- Richtlinienbasierte Zugriffsgenehmigungen (nur Sovereign Controls).
- Benutzerdefinierte Optionen für die Datenverschlüsselung und das Schlüsselmanagement.
Beispiele für gängige Felder, die nicht für sensible oder regulierte Daten empfohlen werden
Wir empfehlen allen Kunden, die behördlichen Auflagen unterliegen oder staatliche Stellen sind, Vorsicht bei der Eingabe von Daten in Google Cloud -Dienste walten zu lassen. Es ist wichtig, dass Sie keine sensiblen oder regulierten Daten in allgemeine Eingabefelder einfügen, die möglicherweise nicht durch technische Kontrollen geschützt sind oder nicht in den Bereich der technischen Kontrollen von Sovereign Controls by Partners fallen. Diese Vorgehensweise ist erforderlich, um die Einhaltung von behördlichen Anforderungen zu gewährleisten und Ihre vertraulichen oder regulierten Informationen zu schützen. Um Ihnen zu helfen, haben wir eine Liste mit Beispielen für verschiedene Google Cloud -Dienste zusammengestellt, bei denen besondere Vorsicht geboten ist.
Vermeiden Sie es, sensible oder regulierte Daten in den folgenden gängigen Feldern zu platzieren:
- Ressourcennamen und IDs
- Projekt- oder Ordnernamen und ‑IDs
- Alle Beschreibungsfelder oder Labels
- Logbasierte Messwerte
- VM-Größen und ähnliche Dienstkonfigurationen
- URIs oder Dateipfade
- Zeitstempel
- Nutzer-IDs
- Firewallregeln
- Konfigurationen für Sicherheitsscans
- IAM-Richtlinien für Kunden