Responsabilité partagée dans les contrôles de souveraineté des données par les partenaires

Cette page décrit la responsabilité partagée dans les contrôles de souveraineté des données par les partenaires. Pour obtenir des informations générales sur la responsabilité partagée dans Google Cloud, consultez Responsabilités partagées et partage du sort sur Google Cloud.

Responsabilité partagée concernant les données

Personne ne connaît mieux que vous les exigences de sécurité et les obligations réglementaires pour votre entreprise, ainsi que les exigences liées à la protection de vos données et ressources confidentielles. Lorsque vous exécutez vos charges de travail sur Google Cloud, vous devez identifier les contrôles de sécurité que vous devez configurer dans Google Cloud pour protéger vos données confidentielles et toutes vos charges de travail. Pour déterminer les contrôles de sécurité à mettre en œuvre, vous devez prendre en compte les facteurs suivants :

Vos obligations liées à la conformité réglementaire
Les normes de sécurité et le plan de gestion des risques de votre organisation
Les exigences de sécurité de vos clients et de vos fournisseurs

La protection de vos données est notre première préoccupation dans l'ensemble de notre infrastructure, de nos produits et des tâches effectuées par nos employés. Google Cloud offre une sécurité renforcée pour de nombreux types de données, y compris les données client et les données de service. Toutefois, si vos charges de travail doivent répondre à des exigences réglementaires spécifiques ou sont soumises à des normes nationales qui nécessitent des contrôles de sécurité renforcés, vos règles internes peuvent différer des options de configuration par défaut. Si vous avez de telles exigences, nous vous recommandons d'adopter des outils et des techniques supplémentaires pour vous aider à maintenir le niveau de conformité requis et permettre à votre équipe de suivre les bonnes pratiques de gestion des données et de gestion globale de la cybersécurité.

Configurer Google Cloud et les contrôles de souveraineté des données par les partenaires pour la responsabilité partagée

En tant qu'utilisateur d'un cloud public, vous êtes responsable des domaines suivants :

Comprendre quelles parties de vos données sont soumises à des exigences de conformité et de sécurité différentes. La plupart des clients cloud disposent d'une infrastructure informatique qui nécessite une sécurité commerciale générale. Certains clients disposent de données spécifiques, telles que des données de santé, qui doivent répondre à des exigences de conformité plus élevées. Les contrôles souverains des partenaires peuvent vous aider à répondre à ces exigences de conformité plus élevées. Placez toutes les données sensibles ou réglementées avec des exigences spécifiques en termes d'accès ou de résidence dans les dossiers ou projets appropriés de Sovereign Controls by Partners et conservez-les à cet emplacement.
Configurer Identity and Access Management (IAM) pour s'assurer que le contenu de votre organisation est accessible et modifiable par le personnel approprié.
Créez et organisez votre hiérarchie organisationnelle de manière à ne pas exposer de données personnelles.
Vous avez lu toute la documentation pour comprendre et suivre les bonnes pratiques.
Partagez les informations avec prudence lors des sessions d'assistance technique et du dépannage, et ne placez ni ne partagez de données sensibles ou réglementées en dehors des dossiers conformes aux contrôles souverains par les partenaires.

Le champ d'application des données sensibles ou réglementées peut varier en fonction de nombreux facteurs, y compris les réglementations auxquelles vous ou vos clients êtes soumis. Il peut inclure :

Informations sur le compte
Des informations d'intégrité
Identifiants personnels des clients ou des utilisateurs
Données du titulaire de carte
Numéros d'identification

Responsabilités de Google dans le modèle de responsabilité partagée

Dans le cadre du partenariat de responsabilité partagée entre Google et ses clients, Google est responsable des éléments fondamentaux et de l'infrastructure nécessaires à la création d'une activité cloud performante. Certains de ces éléments reposent sur les responsabilités des clients en matière de configuration deGoogle Cloud pour protéger correctement leurs données. Voici quelques exemples de responsabilités de Google :

Appliquez le chiffrement par défaut et les contrôles de l'infrastructure.
Appliquer les stratégies IAM que vous définissez pour limiter l'administration des charges de travail et l'accès aux données aux identités que vous identifiez.
Configurer et appliquer les contrôles souverains sélectionnés par le client et associés au régime de conformité que vous avez choisi, pour les types de données protégées dans les ressources pour lesquelles vous les avez configurés. Cela inclut des restrictions sur l'emplacement de stockage des données et sur les employés Google qui peuvent y accéder dans le cadre de leurs activités professionnelles.
Fournir des configurations et des contrôles via les Contrôles souverains fournis par les partenaires pour les secteurs réglementés et les données sensibles à la localisation.
Fournir des règles d'administration et des paramètres de ressources qui vous permettent de configurer des règles dans toute votre hiérarchie de dossiers et de projets.
Nous fournissons des outils Policy Intelligence qui vous donnent des insights sur l'accès aux comptes et aux ressources.

Configuration spécifique à l'Europe et à l'UE

Lorsqu'ils utilisent les contrôles souverains par les partenaires, les clients disposent de contrôles techniques supplémentaires en plus des assurances RGPD fournies sur Google Cloud . Ils peuvent les utiliser pour ajuster leurs contrôles de résidence et de sécurité des données dans le cadre de leurs efforts de conformité. Voici quelques-uns de ces contrôles :

Une limite de données de l'UE, comme décrit dans Résidence des données.
Routage de l'assistance vers les personnes situées dans l'UE, y compris les sous-traitants.
Visibilité sur les demandes et les accès administratifs.
Approbations d'accès basées sur des règles (contrôles souverains uniquement).
Options personnalisées pour le chiffrement des données et la gestion des clés.

Exemples de champs courants qui ne sont pas recommandés pour les données sensibles ou réglementées

Nous recommandons vivement à tous les clients soumis à des réglementations et souverains de faire preuve de prudence lorsqu'ils saisissent des données dans les services Google Cloud . Il est essentiel d'éviter d'ajouter des données sensibles ou réglementées dans des champs de saisie courants qui peuvent ne pas être protégés par des contrôles techniques ou qui ne sont pas inclus dans la limite des contrôles souverains par les partenaires. Cette pratique est nécessaire pour respecter les exigences réglementaires et protéger vos informations sensibles ou réglementées. Pour vous aider, nous avons compilé une liste d'exemples dans différents services Google Cloud où une vigilance accrue est requise.

Évitez de placer vos données sensibles ou réglementées dans les champs courants suivants :

Noms et ID de ressources
Noms et ID de projets ou de dossiers
Tous les champs ou libellés de description
Métriques basées sur les journaux
Tailles de VM et configurations de service similaires
URI ou chemins d'accès aux fichiers
Codes temporels
ID utilisateur
Règles de pare-feu
Configurations d'analyse de sécurité
Stratégies IAM client

Étapes suivantes

En savoir plus sur la responsabilité partagée et le partage de sort sur Google Cloud

Responsabilité partagée dans les contrôles de souveraineté des données par les partenaires Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.