Questa pagina descrive la responsabilità condivisa in Sovereign Controls by Partners. Per informazioni generali sulla responsabilità condivisa in Google Cloud, consulta Responsabilità condivise e destino condiviso su Google Cloud.
Responsabilità condivisa per i dati
Sei l'esperto che conosce i requisiti di sicurezza e normativi per la tua attività e i requisiti per proteggere i tuoi dati e le tue risorse riservati. Quando esegui i tuoi carichi di lavoro su Google Cloud, devi identificare i controlli di sicurezza che devi configurare in Google Cloud per proteggere i tuoi dati riservati e ogni carico di lavoro. Per decidere quali controlli di sicurezza implementare, devi considerare i seguenti fattori:
- I tuoi obblighi di conformità normativa
- Gli standard di sicurezza e il piano di gestione dei rischi della tua organizzazione
- Requisiti di sicurezza dei tuoi clienti e dei tuoi fornitori
La protezione dei tuoi dati è una priorità in fase di progettazione per tutte le operazioni di Google relative a infrastrutture, prodotti e personale. Google Cloud offre una solida sicurezza per molti tipi di dati, inclusi i dati dei clienti e i dati di servizio. Tuttavia, se i tuoi workload devono soddisfare requisiti normativi specifici o sono soggetti a standard nazionali che richiedono controlli di sicurezza elevati, le tue policy interne potrebbero differire dalle opzioni di configurazione predefinite. Se hai questi requisiti, ti consigliamo di adottare strumenti e tecniche aggiuntivi per mantenere il livello di conformità richiesto e consentire al tuo team di seguire le best practice di gestione dei dati e di gestione complessiva della sicurezza informatica.
Configurare Google Cloud e Sovereign Controls by Partners per la responsabilità condivisa
Le seguenti aree sono responsabilità del cliente in qualità di utente di qualsiasi cloud pubblico:
- Comprendere quali parti dei tuoi dati hanno requisiti di conformità e sicurezza diversi. La maggior parte dei clienti cloud dispone di un'infrastruttura IT che richiede una sicurezza commerciale generale e alcuni clienti dispongono di dati specifici, come i dati sanitari, che devono soddisfare un requisito di conformità più elevato. I Controlli di sovranità dei partner possono aiutarti a soddisfare questi requisiti di conformità più elevati. Inserisci tutti i dati sensibili o regolamentati con requisiti specifici di accesso o residenza all'interno di cartelle o progetti Sovereign Controls by Partners appropriati e mantienili lì.
- Configurazione di Identity and Access Management (IAM) per garantire che i contenuti della tua organizzazione siano accessibili e modificabili dal personale appropriato.
- Creazione e organizzazione della gerarchia organizzativa in modo che non esponga dati personali.
- Assicurati di aver letto tutta la documentazione per comprendere e seguire le best practice.
- Condividere le informazioni con prudenza durante le sessioni di assistenza tecnica e la risoluzione dei problemi e non inserire o condividere dati sensibili o regolamentati al di fuori delle cartelle Sovereign Controls by Partners conformi.
L'ambito dei dati sensibili o regolamentati può variare a seconda di molti fattori, tra cui i regolamenti a cui tu o i tuoi clienti siete soggetti e può includere:
- Dati dell'account
- Informazioni sull'integrità
- Identificatori personali per clienti o utenti
- Dati del titolare della carta
- Numeri dei documenti di identità
Responsabilità di Google nel modello di responsabilità condivisa
Nella partnership di responsabilità condivisa tra Google e i clienti, Google si assume la responsabilità degli elementi fondamentali e dell'infrastruttura per la creazione di un'attività cloud di successo, alcuni dei quali si basano sulla responsabilità dei clienti di configurareGoogle Cloud per proteggere adeguatamente i propri dati. Esempi di responsabilità di Google includono:
- Applicazione della crittografia predefinita e dei controlli dell'infrastruttura.
- Applicazione delle policy IAM che hai impostato per limitare l'amministrazione dei workload e l'accesso ai dati alle identità che identifichi.
- Configurazione e applicazione di tutti i controlli sovrani selezionati dal cliente mediante i controlli dei partner associati al regime di conformità selezionato, per i tipi di dati protetti nelle risorse per cui è stata configurata. Ciò include limitazioni relative a dove verranno archiviati i dati e a quali dipendenti Google possono accedere ai tuoi dati nel corso delle loro attività aziendali appropriate.
- Fornire configurazioni e controlli tramite Sovereign Controls by Partners per settori regolamentati e dati sensibili alla posizione.
- Fornendo criteri dell'organizzazione e impostazioni delle risorse che consentono di configurare i criteri di tutta la gerarchia di cartelle e progetti.
- Fornire strumenti di Policy Intelligence che ti offrono approfondimenti sull'accesso ad account e risorse.
Configurazione specifica per l'Europa e l'UE
Quando utilizzano i Controlli sovrani dei partner, i clienti dispongono di controlli tecnici aggiuntivi oltre alle garanzie del GDPR fornite su Google Cloud che possono utilizzare per modificare la residenza dei dati e i controlli di sicurezza nell'ambito dei loro sforzi di conformità. Alcuni di questi controlli includono:
- Un confine dei dati dell'UE, come descritto in Residenza dei dati.
- Instradamento dell'assistenza a soggetti europei che si trovano in località europee, inclusi i responsabili del trattamento secondari.
- Visibilità delle richieste e degli accessi amministrativi.
- Approvazioni dell'accesso basate su policy (solo controlli sovrani).
- Opzioni personalizzate per la crittografia dei dati e la gestione delle chiavi.
Esempi di campi comuni non consigliati per dati sensibili o regolamentati
Consigliamo vivamente a tutti i clienti regolamentati e sovrani di prestare attenzione quando inseriscono dati nei servizi Google Cloud . È fondamentale evitare di aggiungere dati sensibili o regolamentati in campi di input comuni che potrebbero non essere protetti da controlli tecnici o non sono inclusi nel confine del controllo tecnico Controlli sovrani dei partner. Questa pratica è necessaria per mantenere la conformità ai requisiti normativi e salvaguardare le informazioni sensibili o regolamentate. Per aiutarti, abbiamo compilato un elenco di esempi in vari servizi Google Cloud in cui è richiesta una maggiore vigilanza.
Evita di inserire i tuoi dati sensibili o regolamentati nei seguenti campi comuni:
- Nomi e ID delle risorse
- Nomi e ID di progetti o cartelle
- Qualsiasi campo di descrizione o etichetta
- Metriche basate su log
- Dimensioni delle VM e configurazioni di servizi simili
- URI o percorsi file
- Timestamp
- ID utente
- Regole firewall
- Configurazioni di analisi della sicurezza
- Criteri IAM del cliente
Passaggi successivi
- Scopri di più su responsabilità condivise e destino condiviso su Google Cloud.