G Suite-sikkerhet og tillit
Vår førsteprioritet er å beskytte dataene dine
Vår førsteprioritet er å beskytte dataene dine
Google begynte i nettskyen og kjører i nettskyen, så vi vet det meste om sikkerhet for skybasert forretningsdrift. Fordi vi i Google bruker samme infrastruktur som bedriftstjenestene våre, får bedriften din nyte fordelene av beskyttelsen vi har utviklet og bruker hver dag. Den robuste, globale infrastrukturen vår, kombinert med egne sikkerhetseksperter og engasjementet vårt for nyskaping, gjør at Google holder seg i teten og kan tilby et svært sikkert, pålitelig miljø som overholder relevante regler.
Google har bransjeledende kunnskap og ekspertise innenfor utvikling av sikre infrastrukturer og programmer for nettskyen i stor skala. Selv om mange leverandører hevder det samme, mener vi at sikkerhet og personvern må være synlig og forståelig for kundene våre – ikke bare noe som skjer i kulissene.
Hos Google krever vi at alle medarbeiderne våre har sikkerhet som førsteprioritet. Google har mange heltidsansatte sikkerhets- og personvernspesialister, og blant dem finnes noen av verdens ledende eksperter på informasjons-, program- og nettverkssikkerhet. Vi sikrer at Google er beskyttet nå og i fremtiden ved å bygge inn sikkerhet i hele prosessen for programvareutvikling. Dette kan innebære at sikkerhetsspesialister analyserer forslag til arkitekturer og går gjennom kode for å finne sårbarheter og få bedre forståelse av angrepsmodellene for nye produkter eller funksjoner. Når situasjoner oppstår, har vi et eget team for håndtering av hendelser for G Suite. De sikrer at hendelser håndteres med minst mulig forstyrrelse for kundene våre. Dette oppnås med rask respons, analyse og reparasjon.
Googles forskning og oppsøkende virksomhet beskytter alle Internett-brukere – ikke bare de som velger å bruke løsningene våre. Vi har et heltidsteam som heter Project Zero, og de har som mål å oppdage sårbarheter med potensielt alvorlige følger i produkter som brukes av mange – både fra Google og andre leverandører. Vi forplikter oss til å gjøre dette arbeidet på en åpen måte og rapportere feil direkte til programvareleverandører, uten å involvere tredjeparter.
Sikkerheten har alltid vært Googles førsteprioritet. Her er noen eksempler på den høye standarden vi opprettholder:
Google er den første av de store leverandørene av skytjenester som har aktivert perfekt fremoverrettet hemmelighold, som krypterer innhold mens det flyttes mellom tjenerne våre og tjenerne til andre bedrifter. Med perfekt fremoverrettet hemmelighold utløper de private nøklene for en tilkobling etter bruk, noe som i sin tur hindrer angripere, eller til og med tjeneroperatøren, i å dekryptere HTTPS-økter i ettertid. Flere andre i bransjen har nå begynt å bruke det eller satt seg som mål å begynne å bruke det.
Hver eneste e-post du sender eller mottar – absolutt alle – er kryptert når de flyttes mellom Googles datasentre. Dette sikrer at e-postene dine er trygge – ikke bare mens de sendes mellom enhetene dine og Gmail-tjenerne, men også mens de flyttes internt i Google. Vi var også de første som begynte å melde fra til brukerne når e-postene deres blir sendt på usikre måter mellom leverandører, med lanseringen av TLS-indikatoren.
I 2013 fordoblet Google lengden på RSA-krypteringsnøklene sine til 2048 bit og begynte å bytte dem ut med noen ukers mellomrom. Dette gjorde vi for å beskytte mot fremskritt innen kryptoanalyse, og dermed la vi listen høyere for resten av bransjen.
Med G Suite kan administratorene styre hele bedriftens systemkonfigurasjon og appinnstillinger via en oversikt som kan brukes til å koordinere autentisering, driftsstyring og beskyttelse av ressurser. Bruk de integrerte Cloud Identity-funksjonene til å administrere brukere og angi påkrevet bruk av flertrinnsbekreftelse og sikkerhetsnøkler for økt beskyttelse. Du kan velge den G Suite-utgaven som er best egnet til å dekke sikkerhetsbehovene til organisasjonen din.
Med totrinnsbekreftelse reduseres risikoen for uautorisert tilgang betydelig, ettersom brukerne blir bedt om å oppgi ekstra legitimasjon når de logger på. Vi tilbyr også tilgangskontroll med sikkerhetsnøkler der bruk av fysiske nøkler kreves, noe som gir et ekstra lag med sikkerhet. Nøkkelen sender en kryptert signatur og fungerer kun med nettstedene som er angitt for den. Dette bidrar til å forhindre nettfisking. G Suite-administratorer kan enkelt implementere, overvåke og administrere sikkerhetsnøklene etter behov i stor skala, via administrasjonskonsollen – uten å installere ekstra programvare.
Vi bruker de effektive funksjonene våre for maskinlæring for å bidra til å oppdage mistenkelige pålogginger. Når vi oppdager en mistenkelig pålogging, varsler vi administratorene, slik at de kan sørge for å sikre kontoene.
G Suite har støtte for global pålogging, så du kan ha samme tilgangsmetode for andre skybaserte apper som brukes i bedriften. Via tjenesten vår for administrering av identiteter og tilgang (IAM) kan administratorene styre all brukerlegitimasjon og tilgang til skybaserte apper på ett sted.
I G Suite kan administratorer angi egendefinerte regler som krever at e-poster signeres og krypteres med S/MIME (Secure/Multipurpose Internet Mail Extensions). Disse reglene kan konfigureres for å kreve S/MIME når bestemte typer innhold oppdages i e-poster.
Med utgangspunkt i sikkerhetsmodellen for null tillit og Googles BeyondCorp-implementering gjør kontekstfølsom tilgang det mulig å gi brukerne dine sikker tilgang, samtidig som produktiviteten deres opprettholdes. Det sørger for detaljert kontroll og bruker én enkelt plattform for apper både i nettskyen og lokalt, samt infrastrukturressurser. Med kontekstfølsom tilgang kan du kreve detaljert tilgangskontroll i G Suite-apper, basert på brukernes identitet og konteksten til forespørselen.
Googles Avansert beskyttelse-program er vår sterkeste beskyttelse for brukere som er utsatt for høy risiko for målrettede nettangrep. Med Avansert beskyttelse-programmet for bedrifter håndhever vi bruk av et utvalgt sett sterke regler for kontosikkerhet for de registrerte brukerne. Dette omfatter krav om bruk av sikkerhetsnøkler, blokkering av tilgang til apper som ikke er klarert, og avansert gjennomsøking etter e-posttrusler.
G Suite-administratorer kan konfigurere retningslinjer for forebygging av datatap (FDT) for å beskytte sensitiv informasjon i Gmail og Disk. Vi tilbyr et bibliotek med forhåndsdefinerte detektorer for innhold, noe som gjør det enkelt å konfigurere funksjonen. Når FDT-retningslinjene er på plass, kan for eksempel Gmail automatisk kontrollere all utgående e-post for sensitive opplysninger og automatisk sette i verk tiltak for å forhindre datalekkasjer: sette e-posten i karantene for gjennomgang, melde fra til brukere om at de må endre informasjonen, eller blokkere e-posten så den ikke blir sendt – og melde fra til avsenderen. FDT for Disk har regler som er enkle å konfigurere, og optisk tegngjenkjenning (OCR) for innhold som er lagret i bilder. Dette gjør det enkelt for administratorer å kontrollere filer som inneholder sensitive opplysninger, og konfigurere regler for å advare brukere og forhindre at de deler konfidensielle opplysninger eksternt. Finn ut mer her: infodokument om FDT (bare på engelsk).
Ved hjelp av maskinlæring har vi oppnådd 99,9 % nøyaktighet i Gmail for oppdaging av søppelpost og blokkering av fordekte søppelpost- og nettfiskings-e-poster – av typen som faktisk lett kan forveksles med vanlig e-post. Mindre enn 0,1 % av e-postene i en gjennomsnittlig Gmail-innboks er søppelpost, og feilfiltrering av e-post til søppelpostmappen forekommer enda sjeldnere (mindre enn 0,05 %).
For å bidra til å forhindre skadelig programvare skanner Google automatisk alle vedlegg etter virus via flere forskjellige motorer før brukeren laster dem ned. Gmail søker til og med etter virus i vedlegg som står i sendekøen. Dette bidrar til å beskytte alle som bruker Gmail, og forhindrer spredning av virus. Vedlegg i bestemte formater, for eksempel .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JS, .JSE, .LIB, .LNK, .MDE, .MSC, .MSI, .MSP, .MST, .NSH .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF og .WSH, blokkeres automatisk – selv når de er inkludert som en del av en komprimert fil.
G Suite bruker i stor grad maskinlæring for å beskytte brukere mot nettfisking. Læringsmodellene våre utfører likhetsanalyse mellom nettsteder som tidligere er klassifisert som nettfiskingssteder, og nye nettadresser som ikke er klassifisert tidligere. Etter hvert som vi finner nye mønstre, tilpasser vi oss raskere enn det som er mulig for manuelle systemer. I G Suite er det også mulig for administratorer å kreve bruk av sikkerhetsnøkler, slik at det blir umulig å bruke legitimasjon som er kompromittert i nettfiskingsangrep.
For å bidra til å forhindre at merkevaren din blir misbrukt i nettfisking, følger G SuiteDMARC-standarden. Denne gir domeneeiere mulighet til å bestemme hvordan Gmail og andre deltakende e-postleverandører skal håndtere e-poster som ikke er autentisert, og som kommer fra domenet ditt. Ved å angi retningslinjer kan du bidra til å beskytte brukerne samt organisasjonens omdømme.
Med fullstendig integrert administrering av endepunkter i G Suite får du kontinuerlig systemovervåking og varsler om mistenkelig enhetsaktivitet. Administratorer kan kreve at retningslinjer for endepunkter overholdes, kryptere data på enheter, låse mobilenheter som er mistet eller stjålet, og fjernutviske data fra enheter.
Med sikkerhetssenteret for G Suite får du en samlet oversikt over sikkerhetsstatusen til G Suite-implementeringen din. I senteret samles sikkerhetsstatistikk, anbefalte fremgangsmåter og integrert reparasjon som gir deg muligheten til å beskytte organisasjonens data, enheter og brukere.
Som del av autentiseringskontrollene våre får administratorer innsyn i og kontroll over programmer fra tredjeparter som bruker OAuth til autentisering og tilgang til bedriftsdata. OAuth-tilgang kan deaktiveres for enkeltprogrammer, og vurderte apper fra tredjeparter kan settes på en godkjenningsliste.
Vi tilbyr administrering av rettigheter for informasjon (IRM) i Disk for å hjelpe administratorer med å holde kontroll på sensitive data. Administratorer og brukere kan deaktivere nedlasting, utskrift og kopiering av filer fra menyen for avansert deling. I tillegg kan de angi utløpstidspunkter for filtilgang.
Med varselsenteret for G Suite har administratorer fått en ny måte å se viktige varsler og handlinger på for hele G Suite. Tips om disse mulige varslene kan hjelpe administratorer med å vurdere i hvilken grad organisasjonen er utsatt for sikkerhetsproblemer. Integrert reparasjon med sikkerhetssenteret gjør det enkelt å løse disse problemene.
Mange organisasjoner bruker de distribuerte datasentrene våre for å dra nytte av kritiske fordeler, for eksempel minst mulig tidsforsinkelse samt effektiv georedundans. For organisasjoner med strenge kontrollkrav kan du imidlertid bruke dataregioner for G Suite til å velge hvor bestemte data som dekkes, skal lagres når de er inaktive: i USA, Europa eller fordelt globalt.
Google har utviklet G Suite slik at det oppfyller strenge standarder for personvern og sikkerhet, basert på gode fremgangsmåter i bransjen. I tillegg til sterke kontraktforpliktelser angående eierskap for data, databruk, sikkerhet, åpenhet og ansvar, gir vi deg verktøyene du trenger for å overholde alle relevante krav til rapportering samt overholdelse av regler.
Googles kunder og tilsynsmyndighetene forventer uavhengig bekreftelse av kontrollfunksjonene våre for sikkerhet, personvern og overholdelse av regler. For å leve opp til denne forventningen lar vi oss regelmessig kontrollere av uavhengige tredjeparter.
ISO 27001 er en av de mest anerkjente uavhengige standardene for sikkerhet. Google har oppnådd ISO 27001-sertifisering for systemene, teknologien, prosessene og datasentrene som driver G Suite. Se ISO 27001-sertifikatet vårt.
ISO 27017 er en internasjonal standard med retningslinjer for informasjonssikring basert på ISO/IEC 27002, og den gjelder spesielt for skytjenester. Vår overholdelse av den internasjonale standarden er sertifisert av Ernst & Young CertifyPoint, et organ for ISO-sertifisering som er akkreditert av det nederlandske rådet for akkreditering (RvA) (medlem av det internasjonale akkrediteringforumet, IAF). Se ISO 27017-sertifikatet vårt.
Det faktum at G Suite overholder ISO/IEC 27018:2014, bekrefter hvor sterkt vi engasjerer oss i å overholde internasjonale standarder for personvern og databeskyttelse. I ISO 27018-retningslinjene angis blant annet følgende: Dataene dine skal ikke brukes til reklameformål, vi skal sikre at dataene dine i G Suite-tjenestene forblir dine, vi skal til by deg verktøy for sletting og eksport av dataene dine, vi skal beskytte informasjonen din mot forespørsler fra tredjeparter, og vi skal være åpne om hvor dataene dine lagres. Se ISO 27018-sertifikatet vårt.
SOC 2- (kontroller for tjenesteleverandører) og SOC 3-rammeverkene for revisjon fra American Institute of Certified Public Accountants (AICPA) er basert på tillitsprinsipper og kriterier for sikkerhet, tilgjengelighet, behandlingsintegritet og konfidensialitet. Google har både SOC 2- og SOC 3-rapporter. Last ned SOC 3-rapporten vår.
G Suite-produktene overholder kravene i Federal Risk and Authorization Management Program (FedRAMP). FedRAMP er sikkerhetsstandarden for nettskyen for regjeringen i USA. G Suite er godkjent for bruk i føderale organer for data som er klassifisert med konsekvensnivået «Moderate». Dette kan omfatte informasjon som klassifiseres som «PII» og «Controlled Unclassified Information». G Suite er vurdert som adekvat for bruk med informasjon som er klassifisert som «OFFICIAL» (medregnet «OFFICIAL SENSITIVE») i henhold til UK Security Principles. Du finner detaljert informasjon om overholdelse av regler for produkter og tjenester på siden om FedRAMP Google-tjenester.
G Suite-kunder som må overholde standarden for datasikkerhet i forbindelse med betalingskort (Payment Card Industry Data Security Standard – PCI DSS), kan angi retningslinjer for forebygging av datatap (FDT) som forhindrer at e-poster med kortinformasjon blir sendt fra G Suite. For Disk kan Arkiv konfigureres slik at revisjoner kjøres og ingen data om kortinnehavere blir lagret.
FISC (Center for Financial Industry Information Systems) er en stiftelse som arbeider i offentlighetens interesse. Den har som oppgave å forske på teknologi, bruk, kontroll og trusler/forsvar i forbindelse med systemer for finansinformasjon i Japan. Ett av de viktigste dokumentene organisasjonen har produsert, er «FISC Security Guidelines on Computer Systems for Banking and Related Financial Institutions» (FISC-retningslinjer for sikkerhet for bankvirksomhet og relaterte finansinstitusjoner), som beskriver kontroller tilknyttet anlegg, drift og teknisk infrastruktur. Google har utviklet en veiledning for å hjelpe kundene med å forstå hvordan Googles kontrollsystem følger FISC-retningslinjene. De fleste av kontrollene som er beskrevet i veiledningen, inngår i programmene våre for overholdelse av regler, som revideres av tredjeparter, blant andre ISO 27001-, ISO 27017- og ISO 27108-sertifiseringene. Se responsen vår på FISC-kontrollene. Du kan få mer informasjon ved å kontakte salgsavdelingen vår.
Det spanske akkrediteringssystemet Esquema Nacional de Seguridad (ENS) er utviklet av La Entidad Nacional de Acreditación (ENAC) i nært samarbeid med departementet for økonomi og offentlig administrasjon samt det nasjonale senteret for kryptologi (CCN). ENS ble etablert som en del av den kongelige resolusjonen 3/2010 (endret i resolusjon 951/2015), og brukes til å etablere prinsipper og krav for tilstrekkelig beskyttelse av informasjon ved offentlige instanser i Spania. Google Cloud (GCP og G Suite) overholder kravene som stilles på det høyeste ENS-nivået.
G Suite støtter kunders overholdelse av den amerikanske loven Health Insurance Portability and Accountability Act (HIPAA), som styrer sikring, bruk og avsløring av beskyttet helseinformasjon (PHI). Kunder som må overholde HIPAA, og som ønsker å bruke G Suite til PHI-behandling eller -lagring, kan undertegne et tillegg for bedriftspartnere med Google. Se mer informasjon om overholdelse av HIPAA med G Suite.
G Suite følger anbefalingene for databeskyttelse fra Artikkel 29-gruppen og opprettholder overholdelsen av EU-standardkontrakter med tillegget vårt om databehandling, formidling av underleverandører for databehandling og EU-standardkontrakter. Google opprettholder også overholdelse med Privacy Shield, og tilrettelegger for dataportabilitet. Det betyr at administratorene kan eksportere data i standardformater uten ekstra gebyrer.
Vi forplikter oss til å overholde EUs personvernforordning 2016/679 (GDPR) innen mai 2018, og vi kommer til å oppdatere tillegget om databehandling for G Suite slik at det gjenspeiler de kommende endringene fra personvernforordningen, før datoen da det er obligatorisk. I løpet av de siste årene har vi implementert strenge retningslinjer, prosesser og kontroller i tillegget vårt om databehandling og standardkontrakten, og vi har samarbeidet tett med europeiske personvernmyndigheter for å imøtekomme forventningene deres.
Flere millioner elever og studenter bruker G Suite for utdanning. Tjenestene i G Suite for utdanning overholder den amerikanske loven Family Educational Rights and Privacy Act (FERPA). Vår forpliktelse til å overholde denne loven står nedfelt i avtalene våre.
Beskyttelse av barn på nettet er viktig for oss. Vi stiller kontraktsmessige krav om at skoler som bruker G Suite for utdanning, innhenter samtykke fra foreldre i henhold til Children’s Online Privacy Protection Act of 1998 (COPPA), og tjenestene våre kan brukes på en måte som overholder COPPA.
Googles produkter leveres med muligheter og kontraktforpliktelser som legger til rette for at kundene kan overholde den sørafrikanske loven Protection of Personal Information (POPI) Act. Kunder som må overholde POPI, kan angi hvordan dataene deres lagres, behandles og beskyttes ved å underskrive et tillegg om databehandling.
Med Arkiv kan du oppbevare, søke i og eksportere dataene til organisasjonen din fra utvalgte G Suite-apper. Arkiv er fullstendig nettbasert, så du trenger ikke å installere eller vedlikeholde ekstra programvare.
Med Arkiv kan du eksportere data fra utvalgte G Suite-apper til standardformater for videre behandling og gjennomgang – og alt på en måte som opprettholder juridiske standarder og respekterer retningslinjer for forvaringskjeder.
Administratorer kan bruke overvåkingsverktøyene i G Suite til å gjennomsøke e-poster etter alfanumeriske mønstre og upassende innhold. Administratorene kan opprette regler for å enten avvise e-poster som samsvarer med kriteriene, før de når mottakerne, eller levere dem med endringer.
Brukervennlige og interaktive rapporter hjelper deg med å vurdere hvor utsatt organisasjonen din er for sikkerhetsproblemer på domene- og brukernivå. Muligheter for funksjonsutvidelser via en samling programmeringsgrensesnitt (API) gjør at du kan utvikle egendefinerte sikkerhetsverktøy for ditt eget system. Med innsikt i hvordan brukerne deler data, hvilke apper fra tredjeparter som er installert, og hvorvidt passende sikkerhetstiltak, for eksempel totrinnsbekreftelse, er iverksatt, kan du forbedre bedriftens sikkerhetsstatus.
I G Suite kan administratorer spore brukerhandlinger og konfigurere egendefinerte varsler inne i G Suite. Denne sporingen dekker administrasjonskonsollen, Gmail, Disk. Kalender, Grupper, mobilenheter og godkjenning av apper fra tredjeparter. Eksempel: Hvis en merket fil blir lastet ned, eller hvis en fil som inneholder ordet «konfidensielt», blir delt utenfor organisasjonen, kan administratorene bli varslet om det.
Med BigQuery, som er Googles lager for bedriftsdata for analyse av data i stor skala, kan du analysere Gmail-loggene med avanserte og effektive egendefinerte søk, samt bruke verktøy fra tredjeparter til mer dyptgående analyse.
Åpenhet er en grunnleggende verdi for Google. Vi jobber hardt for å gjøre oss fortjent til og opprettholde kundenes tillit gjennom å være mest mulig åpne. Kundens data eies av kunden – ikke av Google. Google selger ikke dataene dine til tredjeparter, G Suite inneholder ikke reklame, og vi samler aldri inn eller bruker data fra G Suite-tjenestene til reklameformål.
Google samler ikke inn, skanner ikke og bruker ikke dataene dine i G Suite-tjenestene til reklameformål, og vi viser ikke reklame i G Suite. Vi bruker dataene dine til å levere G Suite-tjenestene, samt til funksjoner som understøtter systemet, for eksempel filtrering av nettsøppel, virusregistrering, stavekontroll, kapasitetsplanlegging, ruting av trafikk og muligheten til å søke etter e-poster og filer i enkeltkontoer.
Dataene som bedrifter, skoler og offentlige organer legger inn i G Suite-tjenestene, tilhører ikke Google. Uansett om det gjelder en bedrifts immaterielle eiendom, personopplysninger eller hjemmearbeid, eier ikke Google disse dataene, og Google selger heller ikke disse dataene til tredjeparter.
Tilgangsinnsyn er en viktig faktor i arbeidet vårt for å styrke kundenes tillit til oss. Tjenesten gir deg detaljerte logger over handlinger som utføres av Google-ansatte, med beskrivelser av årsaken til hver enkelt handling, inkludert referanser til bestemte brukerstøttehenvendelser der det er relevant.
Med G Suite får du en tjenesteavtale med garanti om 99,9 % driftstid. I tillegg har ikke G Suite planlagte nedetider eller vedlikeholdsvinduer. I motsetning til de fleste leverandører legger vi opp til at appene våre alltid skal være tilgjengelige, selv mens vi oppgraderer tjenester eller vedlikeholder systemer.
Vi legger mye arbeid i å holde deg informert om systemene og prosessene våre – enten det er i form av ytelsesoversikter i sanntid, resultatene fra gjennomganger av datahåndteringen vår, eller informasjon om hvor datasentrene våre ligger. Dataene tilhører deg. Vi sikrer at du har kontrollen over dem. Du kan når som helst slette eller eksportere dataene dine. Vi publiserer regelmessig innsynsrapporter som beskriver hvordan myndigheter og andre parter kan påvirke sikkerheten din og personvernet ditt på nettet. Vi synes du fortjener denne informasjonen, og vi har lenge hatt for vane å holde kundene våre informert og kjempe for rettighetene deres.