Upload File

guia seguridad

prev
next
out of 26
Download Guia Seguridad

Upload: empercudido

Post on 07-Mar-2016

223 views

Category:

Documents


0 download

Report

DESCRIPTION

Guia seguridad

TRANSCRIPT

  • for Work

    Documento tcnico sobre seguridad y cumplimiento

    de Google for WorkCmo protege Google tus datos.

  • Este documento tcnico se aplica a los productos de Google Apps siguientes

    Google Apps for Work, Google Apps for Education, Google Apps for Government, Google Apps para organizaciones sin nimo de lucro, Drive for Work y Google Apps Unlimited

  • Introduccin 1

    Google tiene una arraigada cultura de seguridad 2 Comprobaciones del historial de los empleados Formacin en seguridad para todos los empleados Eventos internos de privacidad y seguridad Nuestro equipo de seguridad dedicado Nuestro equipo de privacidad dedicado Especialistas en auditoras internas y cumplimiento Colaboracin en la comunidad de investigacin en seguridad

    Seguridad operativa 4 Gestin de vulnerabilidades Prevencin de software malicioso Supervisin Gestin de incidentes

    Tecnologa segura desde su base 6 Centros de datos de ltima generacin Suministro elctrico para nuestros centros de datos Impacto medioambiental Hardware y software de servidor personalizados Seguimiento y eliminacin del hardware Una red mundial con ventajas en seguridad incomparables Seguridad de los datos en trnsito Solucin con baja latencia y alta disponibilidad Disponibilidad del servicio

    Certificaciones de terceros independientes 10 ISO 27001 SOC 2/3 FISMA

    Uso de los datos 11 Nuestra filosofa Google Apps no contiene anuncios

    Acceso a los datos y restricciones 12 Acceso administrativo Para los administradores de clientes Solicitudes de datos por parte de la justicia Subcontratistas

    ndice

  • Cumplimiento de las normativas 14 Enmienda para el procesamiento de datos Directiva de proteccin de los datos de la UE Acuerdos marco de garanta de seguridad (Safe Harbor Frameworks)

    entre EE. UU. y la UE, y entre EE. UU. y Suiza Clusulas del contrato modelo de la UE Ley de Responsabilidad y portabilidad de seguros mdicos (HIPPA) de EE. UU. Ley de Privacidad y derechos educativos de la familia (FERPA) de EE. UU. Ley de Proteccin de la privacidad infantil online (COPPA) de 1998

    Capacitar a los usuarios y a los administradores para mejorar la seguridad y el cumplimiento 16 Funciones de autenticacin y autorizacin de los usuarios Verificacin en dos pasos Inicio de sesin nico (SAML 2.0) OAuth 2.0 y OpenID Connect Funciones de administracin del correo electrnico Cumplimiento obligatorio de transporte seguro (TLS) Prevencin de la suplantacin de identidad (phishing) Cumplimiento del contenido de correo electrnico Contenido no admitido Entrega de correo electrnico restringida Funciones de descubrimiento electrnico Poltica de retencin del correo electrnico Retenciones de litigios Bsqueda/descubrimiento Exportacin de pruebas Compatibilidad con plataformas de correo electrnico de terceros Seguridad en los puntos de destino Administracin de dispositivos mviles (MDM) Seguridad del navegador Chrome basada en polticas Administracin de dispositivos Chrome Recuperacin de datos Recuperar un usuario eliminado recientemente Recuperar los datos de Drive o de Gmail de un usuario Informes de seguridad

    Conclusin 22

  • IntroduccinEl cloud computing ofrece numerosas ventajas y comodidades para las organizaciones de hoy en da. Los empleados pueden colaborar en documentos en tiempo real desde su telfono o tablet estndonde estn, y comunicarse al instante con otros compaeros de equipo mediante chats de vdeo o de voz, a travs de mensajera instantnea o por correo electrnico. Han dejado de estar limitados a un nico ordenador y ahora disfrutan de libertad para trabajar en equipo desde cualquier lugar donde se encuentren y con cualquier dispositivo que elijan. Al mismo tiempo, sus jefes no tienen que hacer frente al coste o el trabajo de mantener los servidores y actualizar constantemente el software. Ante esta situacin, no es de sorprender que tantas organizaciones de todo el mundo utilicen la nube para guardar su informacin y realizar el trabajo.

    Con el crecimiento de la nube, los temas de la seguridad y la confianza se han puesto en el punto de mira. Esto se debe a que los servicios de nube funcionan de forma muy diferente a la tecnologa tradicional in situ. En lugar de residir en servidores locales, el contenido se administra ahora en los servidores de Google, que forman parte de nuestra red mundial de centros de datos. Anteriormente, las organizaciones sentan que tenan control absoluto sobre el funcionamiento de la infraestructura y sobre quin la controlaba. Las organizaciones que se pasan a la nube dependern de los proveedores de servicios de nube para administrar su infraestructura, las operaciones y la prestacin de los servicios. En este nuevo mundo, las empresas seguirn controlando sus datos, pero lo harn a travs de herramientas y paneles de control basados en la nube. En lugar de usar solo ordenadores de escritorio, los usuarios pueden acceder ahora a los archivos del trabajo desde sus dispositivos mviles personales. Los clientes deben evaluar si los controles de seguridad y cumplimiento de una solucin de nube concreta se ajustan a sus requisitos especficos. Por lo tanto, necesitan comprender la forma en que estas soluciones protegen y procesan sus datos. El objetivo de este documento tcnico es proporcionar una introduccin a la tecnologa de Google en el contexto de la seguridad y el cumplimiento.

    Como pionero en servicios de nube, Google entiende perfectamente las implicaciones en cuestin de seguridad que plantea el modelo de nube. Nuestros servicios de nube estn ideados para ofrecer ms seguridad que muchas soluciones tradicionales in situ. En Google, la seguridad es fundamental para proteger nuestras propias operaciones, pero como trabajamos con la misma infraestructura que ofrecemos a nuestros clientes, tu organizacin se puede beneficiar directamente de esta proteccin. Ese es el motivo de que nos centremos en la seguridad y de que la proteccin de los datos sea uno de los principales criterios cuando diseamos los servicios. Nuestra estructura organizativa, nuestras prioridades en cuanto a formacin y los procesos de contratacin se organizan en torno a la seguridad. Tambin es el pilar fundamental de nuestros centros de datos y de la tecnologa que se aloja en ellos. Es un elemento clave en nuestras operaciones cotidianas y en la planificacin ante desastres, incluida la forma en que gestionamos las amenazas. Desempea un papel crucial en nuestra gestin de los datos de los clientes. Y constituye la piedra angular de los controles de nuestras cuentas, las auditoras de cumplimiento y los certificados que ofrecemos a nuestros clientes.

    En este documento, se describe el enfoque de Google sobre seguridad y cumplimiento en Google Apps, nuestro paquete de aplicaciones de productividad basado en la nube. Utilizados por ms de cinco millones de organizaciones en todo el mundo, desde grandes bancos y comercios minoristas con cientos de miles de empleados hasta nuevas empresas de rpido crecimiento, Google Apps for Work y Google Apps for Education incluyen Gmail, Calendar, Grupos, Drive, Documentos, Hojas de clculo, Presentaciones, Hangouts, Google Sites, Talk, Contactos y Vault. Google Apps est diseado para ayudar a los miembros de los equipos a colaborar de formas nuevas y ms eficientes, desde cualquier lugar donde se encuentren y con cualquier dispositivo que utilicen.

    Este documento tcnico se organiza en dos secciones principales: seguridad y cumplimiento. En la seccin de seguridad, se incluye informacin sobre los controles organizativos y tcnicos con los que Google protege tus datos. En la seccin sobre cumplimiento, se aborda la forma en que se procesan los datos y se explica cmo pueden las organizaciones cumplir con los requisitos normativos.

    1

  • Google tiene una arraigada cultura de seguridadGoogle ha inculcado una cultura de seguridad dinmica e integral a todos sus empleados. La influencia de esta cultura est patente en el proceso de contratacin, en la incorporacin de los empleados, en la formacin continuada y en los eventos celebrados en toda la empresa para concienciar sobre esta cuestin.

    Comprobaciones del historial de los empleadosAntes de que un empleado se una a nuestra plantilla, Google verifica su formacin y los empleos previos, adems de realizar comprobaciones de referencias internas y externas. Cuando la legislacin laboral o las disposiciones legales locales lo permitan, Google tambin podr realizar comprobaciones sobre antecedentes penales, crdito, inmigracin y seguridad. El alcance de estas comprobaciones del historial depende del cargo que se vaya a ocupar.

    Formacin en seguridad para todos los empleadosTodos los empleados de Google reciben formacin en seguridad como parte del proceso de orientacin y tambin de forma continuada a lo largo de toda su carrera profesional en Google. Durante la etapa de orientacin, los nuevos empleados deben aceptar nuestro Cdigo de conducta, en el que se recoge nuestro compromiso de mantener la informacin de los clientes protegida y a salvo. Segn el cargo que desempeen, es posible que requieran ms formacin en cuestiones especficas sobre seguridad. Por ejemplo, el equipo de seguridad de la informacin instruye a los nuevos ingenieros en diversos temas como, por ejemplo: prcticas de codificacin seguras, diseo de productos y herramientas de pruebas de vulnerabilidades automticas. Los ingenieros tambin asisten a presentaciones tcnicas sobre temas relacionados con la seguridad y reciben un boletn informativo sobre seguridad en el que se abordan cuestiones como nuevas amenazas, patrones de ataque, tcnicas de mitigacin, etc.

    Eventos internos de seguridad y privacidadGoogle organiza peridicamente conferencias internas, a las que pueden asistir todos los empleados, para difundir e impulsar la innovacin en seguridad y privacidad de los datos. La seguridad y la privacidad evolucionan constantemente, y Google es consciente de que la implicacin de los empleados es fundamental para incrementar su concienciacin. Un ejemplo de esto es la "Privacy Week" (Semana de la privacidad), durante la cual Google celebra eventos en oficinas de todo el mundo para concienciar sobre la importancia de la privacidad en todas las facetas, desde el desarrollo de software, el tratamiento de los datos y la aplicacin de polticas hasta la prctica diaria de nuestros principios sobre privacidad. Google tambin celebra peridicamente "Tech Talks" (Charlas sobre seguridad) en las que a menudo se abordan temas sobre seguridad y privacidad.

    2

  • Nuestro equipo de seguridad dedicadoGoogle da empleo a tiempo completo a ms de 500 profesionales expertos en seguridad y privacidad, que forman parte de nuestra divisin de operaciones e ingeniera de software. En las filas de nuestro equipo se encuentran algunos de los mayores expertos del mundo en seguridad de la informacin, las aplicaciones y las redes. Este equipo se encarga de mantener los sistemas de defensa de la empresa, desarrollar procesos de revisin de la seguridad, disear una infraestructura de seguridad y poner en marcha las polticas de seguridad de Google. El equipo de seguridad dedicado de Google busca amenazas de seguridad utilizando herramientas comerciales y personalizadas, pruebas de penetracin, medidas de verificacin de la calidad y revisiones de seguridad del software.

    En Google, los miembros del equipo de seguridad de la informacin revisan los planes de seguridad de todos los sistemas, redes y servicios. Ofrecen servicios de asesora especficos por proyectos a los equipos de productos y de ingeniera de Google. Tambin supervisan la actividad sospechosa en las redes de Google, gestionan las amenazas para la seguridad de la informacin, realizan evaluaciones y auditoras rutinarias de seguridad y recurren a expertos externos para llevar a cabo evaluaciones de seguridad peridicas. Hemos creado un equipo especfico y dedicado a tiempo completo, denominado Project Zero, que se encarga de prevenir los ataques orientados notificando los errores a los proveedores de software y registrndolos en una base de datos externa.

    El equipo de seguridad tambin participa en actividades de investigacin y divulgacin orientadas a proteger a la comunidad ms amplia de usuarios de Internet, no solo a los que eligen las soluciones de Google. Algunos ejemplos de esta labor de investigacin seran el descubrimiento de la brecha de seguridad POODLE SSL 3.0 y las debilidades del conjunto de cifrado. El equipo de seguridad tambin elabora documentos sobre investigacin en seguridad, que estn disponibles de forma pblica. Adems, organiza y participa en proyectos de software libre y en conferencias acadmicas.

    Nuestro equipo de privacidad dedicadoAunque el equipo de privacidad dedicado de Google es independiente de las organizaciones de desarrollo de productos y seguridad, colabora en todos los lanzamientos de productos de Google revisando la documentacin sobre diseo y el cdigo para asegurarse de que se ajustan a los requisitos de privacidad. Este equipo ayuda a ofrecer unos productos con altos estndares de privacidad, que ofrecen claridad en la recopilacin de los datos de los usuarios, proporcionan a usuarios y administradores potentes opciones de configuracin de la privacidad, y brindan una ptima proteccin de la informacin almacenada en nuestra plataforma. Tras el lanzamiento de los productos, el equipo de privacidad supervisa los procesos automatizados con los que se realizan auditoras del trfico de datos para verificar el uso adecuado de los mismos. Adems, el equipo de privacidad realiza tareas de investigacin que nos permiten ofrecer orientaciones en cuanto a las prcticas recomendadas sobre privacidad para nuestras nuevas tecnologas.

    3

    Google da empleo a tiempo completo a ms de 500 profesionales expertos en seguridad y privacidad, que forman parte de nuestra divisin de operaciones e ingeniera de software. En las filas de nuestro equipo, se encuentran algunos de los mayores expertos del mundo en seguridad de la informacin, las aplicaciones y las redes.

  • Especialistas en auditoras internas y cumplimientoGoogle cuenta con un equipo de auditora interna dedicado, que revisa el cumplimiento de las leyes y normativas sobre seguridad en todo el mundo. Cuando se crean nuevos estndares de auditora, el equipo de auditora interna determina qu controles, procesos y sistemas se requieren para cumplir con ellos. Este equipo presta su ayuda en la realizacin de auditoras independientes y en las evaluaciones por parte de terceros.

    Colaboracin con la comunidad de investigacin sobre seguridadGoogle mantiene desde hace mucho tiempo una estrecha relacin con la comunidad de investigacin en seguridad, cuya ayuda para identificar las posibles vulnerabilidades en Google Apps y en otros productos de Google nos resulta muy valiosa. Con nuestro programa de recompensas por deteccin de vulnerabilidades, animamos a los investigadores a notificar problemas en el diseo y en la implementacin que podran poner en peligro los datos de los clientes. La cuanta total que destinamos a estas recompensas asciende a decenas de miles de dlares. En Chrome, por ejemplo, advertimos a los usuarios sobre software malicioso y sobre suplantacin de identidad (phishing), y ofrecemos recompensas por la deteccin de errores en la seguridad. Gracias a la colaboracin con la comunidad de investigadores, hemos solucionado ms de 700 errores de seguridad en Chrome y hemos concedido ms de 1,2 millones de dlares en recompensas (el importe total de los diferentes programas de recompensas por deteccin de vulnerabilidades de Google supera los 2 millones de dlares). Mostramos nuestro agradecimiento pblico a estas personas y mencionamos su contribucin en nuestros productos y servicios.

    Seguridad operativaLejos de ser un elemento de segundo orden o de quedar relegada a iniciativas espordicas, la seguridad es una parte integral de todas nuestras operaciones.

    Gestin de vulnerabilidadesGoogle lleva a cabo un proceso de gestin de vulnerabilidades para buscar activamente amenazas de seguridad mediante una combinacin de los siguientes elementos: herramientas disponibles comercialmente y soluciones internas creadas ad-hoc, esfuerzos intensivos de penetracin automatizados y manuales, procesos de control de calidad, revisiones de seguridad del software y auditoras externas. El equipo de gestin de vulnerabilidades es responsable de realizar tareas de seguimiento de las mismas. Cuando se detecta una vulnerabilidad que requiere una solucin, se registra y se le asigna un propietario y una prioridad segn la gravedad. El equipo de gestin de vulnerabilidades lleva a cabo un seguimiento de estos problemas hasta que pueden verificar que se han resuelto. Google tambin mantiene relaciones y coopera con los miembros de la comunidad de investigacin sobre seguridad para realizar un seguimiento de los problemas notificados en los servicios de Google y en las herramientas de software libre. Se puede obtener ms informacin sobre los informes de problemas de seguridad en Seguridad para aplicaciones de Google.

    4

  • Prevencin de software maliciosoUn ataque de software malicioso que logre su propsito puede poner en peligro una cuenta, robar datos y conseguir acceso no autorizado a una red. Google se toma muy en serio estas amenazas a sus redes y a sus clientes, y utiliza diferentes mtodos para prevenir, detectar y erradicar el software malicioso. Google ayuda a decenas de millones de personas a diario a protegerse contra las amenazas mostrando avisos a los usuarios de Google Chrome, Mozilla Firefox y Apple Safari cuando intentan acceder a sitios web en los que podran robar su informacin personal o instalar software diseado para hacerse con el control de sus ordenadores. Los sitios o los archivos adjuntos con software malicioso instalan este tipo de software en los equipos de los usuarios para robar su informacin privada, suplantar su identidad o atacar otros equipos. Cuando las personas visitan estos sitios, se descargan, sin saberlo, un software que toma el control de sus ordenadores. La estrategia de Google para hacer frente al software malicioso comienza con la prevencin de la infeccin mediante anlisis manuales y automatizados que examinan el ndice de bsqueda de Google para detectar sitios web que puedan ser instrumentos de software malicioso o de suplantacin de identidad (phishing). Aproximadamente, mil millones de personas utilizan la Navegacin segura de Google de forma habitual. La tecnologa de Navegacin segura de Google examina miles de millones de URL cada da para detectar sitios web peligrosos. Cada da, descubrimos miles de nuevos sitios web peligrosos, muchos de los cuales son sitios legtimos que han sido vulnerados. Cuando detectamos sitios peligrosos, mostramos advertencias en la Bsqueda de Google y en los navegadores web. Adems de nuestra solucin de Navegacin segura, Google ofrece VirusTotal, un servicio online gratuito que analiza archivos y URLs para identificar virus, gusanos, troyanos y otro tipo de contenido malicioso mediante motores antivirus y herramientas de anlisis de sitios web. El objetivo de VirusTotal es ayudar a mejorar el sector de la seguridad y los programas antivirus y hacer de Internet un lugar ms seguro mediante el desarrollo de herramientas y servicios gratuitos.

    Google utiliza diferentes motores antivirus en Gmail, en Drive, en los servidores y en las estaciones de trabajo para ayudar a identificar software malicioso que las firmas antivirus podran no haber detectado.

    SupervisinEl programa de supervisin de seguridad de Google se centra en la informacin recopilada en el trfico de red interno, las acciones de los empleados en los sistemas y el conocimiento externo sobre las vulnerabilidades. En muchos puntos en toda nuestra red mundial, se inspecciona el trfico interno para detectar comportamientos sospechosos como, por ejemplo, la presencia de trfico que podra indicar la existencia de conexiones de robots. Este anlisis se lleva a cabo mediante una combinacin de herramientas de software libre y comerciales para capturar y analizar el trfico. Un sistema de correlacin propietario con tecnologa de Google tambin facilita este tipo de anlisis. El anlisis de la red se complementa con el examen de registros del sistema para identificar comportamientos poco habituales como, por ejemplo, intentos de acceso a los datos de los clientes. Los ingenieros de seguridad de Google establecen alertas de bsqueda fijas en repositorios de datos pblicos para buscar incidentes de seguridad que podran afectar a la infraestructura de la empresa. Revisan activamente los informes de seguridad recibidos y supervisan las listas de distribucin pblicas, las entradas de blog y las wikis. El anlisis de red automatizado ayuda a determinar si existe una amenaza desconocida y la notifica al personal de seguridad de Google. El anlisis de red tambin se complementa con anlisis automatizados de los registros del sistema.

    5

    Google ayuda a decenas de millones de personas todos los das a protegerse contra las amenazas mostrando avisos a los usuarios de Google Chrome, Mozilla Firefox y Apple Safari cuando intentan acceder a sitios web en los que podran robar su informacin personal o instalar software diseado para hacerse con el control de sus ordenadores.

  • Gestin de incidentesContamos con un riguroso proceso de gestin de incidentes para los eventos de seguridad que podran afectar a la confidencialidad, la integridad o la disponibilidad de los sistemas o de los datos. Si se produce un incidente, el equipo de seguridad lo registra y le asigna una prioridad segn la severidad del mismo. A los eventos que tienen un impacto directo sobre los clientes se les asigna la mxima prioridad. En este proceso, se especifican las acciones que se deben realizar, as como los procedimientos para la notificacin, el escalado, la mitigacin y la documentacin de los incidentes. El programa de gestin de incidentes de seguridad de Google se estructura conforme a las orientaciones de NIST para la gestin de incidentes (NIST SP 80061). El personal responsable tiene conocimientos sobre anlisis forense y sobre el tratamiento de las pruebas para responder ante un evento, incluido el uso de herramientas de terceros y de propiedad de Google. Se realizan pruebas de planes de respuesta ante incidentes en las reas clave como, por ejemplo, en los sistemas en los que se almacena informacin confidencial de los clientes. En estas pruebas se evalan diferentes escenarios como, por ejemplo, las amenazas internas y las vulnerabilidades del software. Para ayudar a solucionar rpidamente los incidentes de seguridad, el equipo de seguridad de Google est disponible en horario ininterrumpido para todos los empleados. Cuando un incidente afecta a los datos de los clientes, Google o sus partners informan al cliente y ayudan en las investigaciones a travs de nuestro equipo de asistencia.

    Tecnologa segura desde su baseGoogle Apps se ejecuta en una plataforma de tecnologa que est concebida, diseada y creada para funcionar de una forma segura. Google es pionero en tecnologas de hardware, software, redes y gestin de sistemas. Diseamos nuestros servidores, un sistema operativo propio y nuestros centros de datos, distribuidos por diversos puntos geogrficos. Partiendo del principio de "defensa en profundidad", hemos creado una infraestructura de TI que es ms segura y fcil de administrar que las tecnologas ms tradicionales.

    Centros de datos de ltima generacinLa seguridad y la proteccin de los datos es uno de los principales criterios para el diseo en Google. La seguridad fsica de los centros de datos de Google responde a un modelo de seguridad por capas, que incluye protecciones como tarjetas de acceso electrnico personalizadas, alarmas, barreras para el acceso de vehculos, vallados exteriores, detectores de metales y sistemas biomtricos, as como otras funciones dentro de los centros de datos, como el rayo lser de deteccin de intrusiones. Nuestros centros de datos estn supervisados durante las 24 horas, los siete das de la semana, mediante cmaras interiores y exteriores de alta resolucin, que pueden detectar y rastrear a los intrusos. Si se produce un incidente, se pueden

    6

  • 7consultar los registros de acceso y de actividad, y las grabaciones de las cmaras. Los centros de datos tambin estn vigilados por guardas de seguridad experimentados, que se han sometido a una rigurosa comprobacin de historial y a un proceso de formacin. Las medidas de seguridad aumentan cuanto ms se aproxima uno al centro de datos. nicamente se puede acceder al interior del centro de datos a travs de un pasillo de seguridad provisto de un sistema de control de acceso multifactor mediante mediciones biomtricas y distintivos de seguridad. Solo los empleados autorizados que ocupan cargos especficos pueden entrar. Menos de un 1% de los Googlers accedern jams a uno de nuestros centros de datos.

    Suministro elctrico para nuestros centros de datosPara mantener nuestros sistemas operativos las 24 horas del da, los 7 das de la semana, y garantizar unos servicios ininterrumpidos, los centros de datos de Google cuentan con sistemas de suministro redundantes y controles medioambientales. Todos los componentes clave disponen de una fuente de alimentacin principal y otra alternativa, ambas con la misma potencia. Los motores disel auxiliares pueden proporcionar suficiente suministro elctrico en caso de emergencia para mantener todos los centros de datos funcionando a plena capacidad. Los sistemas de refrigeracin mantienen una temperatura de funcionamiento constante para los servidores y otros equipos de hardware, reduciendo el riesgo de interrupciones en el servicio. Los equipos de deteccin y extincin de incendios ayudan a evitar daos en el hardware. Los detectores de calor, fuego y humo activan alarmas de sonido y luminosas en la zona afectada, tanto en las consolas de operaciones de seguridad como en los equipos de control remoto.

    Impacto medioambientalEn Google reducimos el impacto medioambiental del funcionamiento de los centros de datos diseando y creando nuestras propias instalaciones. Instalamos controles inteligentes de temperatura, usamos tcnicas de ventilacin natural ("free-cooling") como, por ejemplo, emplear el aire exterior o el agua reciclada para la refrigeracin, y rediseamos la forma en que se distribuye la electricidad para reducir las prdidas innecesarias de energa. Para evaluar las mejoras, calculamos el rendimiento de cada instalacin mediante mediciones integrales de la eficiencia. Hemos sido la primera gran empresa de servicios de Internet en obtener una certificacin externa de nuestros altos estndares medioambientales, de seguridad en el lugar de trabajo y de gestin de la energa en nuestros centros de datos. En concreto, recibimos las certificaciones voluntarias ISO 14001, OHSAS 18001 e ISO 50001. De forma muy resumida, estos estndares responden a una filosofa muy sencilla: decir lo que vas a hacer y, despus, hacer lo que has dicho... y seguir mejorando continuamente.

    Hardware y software de servidor personalizadosLos centros de datos de Google alojan servidores y equipos de red de alta eficiencia energtica, personalizados para fines concretos, que nosotros mismos diseamos y fabricamos. A diferencia de la mayora del hardware que est disponible comercialmente, los servidores de Google no incluyen componentes innecesarios como tarjetas de vdeo, circuitos integrados auxiliares o conectores perifricos, que podran introducir vulnerabilidades. Nuestros servidores de produccin ejecutan un sistema operativo (SO) personalizado, basado en una versin de Linux simplificada y ms estricta. Los servidores y el SO de Google estn ideados con el nico fin de suministrar los servicios de Google. Los recursos de servidor se asignan de forma dinmica, lo cual ofrece una gran flexibilidad de expansin y permite adaptarse con rapidez y eficiencia, aadiendo o reasignando recursos en funcin de la demanda de los clientes. Este entorno homogneo se mantiene mediante software de propiedad de Google, que supervisa continuamente los sistemas para detectar modificaciones binarias. Si se halla una modificacin que difiere de la imagen estndar de Google, el sistema se devuelve automticamente a su estado oficial. Estos mecanismos automatizados de autorrecuperacin estn ideados para permitir a Google controlar y solucionar los eventos desestabilizadores, recibir notificaciones sobre incidentes y reducir los potenciales peligros en la red.

  • Seguimiento y eliminacin del hardwareGoogle realiza un seguimiento meticuloso de la ubicacin y el estado de todos los equipos de nuestros centros de datos, desde el momento de la adquisicin e instalacin hasta su retirada y destruccin, mediante los cdigos de barras y las etiquetas de propiedad. Mediante los detectores de metales y la videovigilancia, nos aseguramos de que ningn equipo salga del centro de datos sin autorizacin. Si un componente no pasa una prueba de rendimiento en cualquier momento de su ciclo de vida, se quita del inventario y se retira. Las unidades de disco duro de Google utilizan tecnologas como Cifrado de disco completo (Full disk encryption, FDE) y bloqueo de la unidad para proteger los datos almacenados en nuestros servidores. Cuando se retira una unidad de disco duro, las personas autorizadas verifican que el disco se ha borrado escribiendo ceros en la unidad y llevando a cabo un proceso de verificacin en varios pasos para asegurarse de que no contiene datos. Si por algn motivo no se puede borrar la unidad, se almacena en un lugar seguro hasta que se elimina fsicamente. La destruccin fsica de los discos es un proceso en varias etapas que comienza con una machacadora que deforma la unidad. A continuacin, el disco pasa por una trituradora que lo rompe en pedazos pequeos, que posteriormente se reciclan en una instalacin segura. Todos los centros de datos siguen una estricta poltica de eliminacin de deshechos y cualquier desvo de la misma se corrige inmediatamente.

    Una red mundial con ventajas en seguridad incomparablesLa red de datos de la IP de Google se compone de nuestra propia fibra ptica, fibra ptica estatal y cables submarinos. Esta infraestructura nos permite ofrecer unos servicios con alta disponibilidad y baja latencia en pases de todo el mundo.

    En otros servicios de nube y soluciones in situ, los datos de los clientes deben realizar varios viajes entre distintos dispositivos, conocidos como "saltos", en las redes pblicas de Internet. El nmero de saltos depende de la distancia entre el ISP del cliente y el centro de datos donde se encuentra la solucin. Cada salto adicional introduce una nueva oportunidad de que los datos sean atacados o interceptados. Como est enlazada con la mayora de los ISP del mundo, la red mundial de Google mejora la seguridad de los datos en trnsito limitando los saltos en las redes pblicas de Internet.

    En la "defensa en profundidad", se describen las diferentes capas de defensa que protegen la red de Google contra ataques externos. Solo pueden acceder los servicios autorizados y los protocolos que cumplen nuestros requisitos de seguridad; todo los dems se descarta. Para aplicar la segregacin de redes, se utilizan listas de control de acceso (ACL) y cortafuegos que cumplen los estndares del sector. Todo el trfico se enruta a travs de servidores GFE (Google Front End) personalizados para detectar y detener las solicitudes maliciosas y los ataques de Denegacin de servicio distribuidos (Distributed Denial of Service, DDoS). Adems, los servidores GFE solo pueden comunicarse con una lista de servidores controlada de forma interna. Esta configuracin de "denegacin predeterminada" impide a los servidores GFE acceder a los recursos inadecuados. Los registros se examinan de forma rutinaria para detectar si existen errores de programacin que puedan crear una brecha en la seguridad. El acceso a los dispositivos de la red est restringido solo al personal autorizado.

    8

    La red de datos de IPs de Google est compuesta por nuestra propia fibra ptica, fibra ptica pblica y cables submarinos. Esta infraestructura nos permite ofrecer unos servicios con alta disponibilidad y baja latencia en pases de todo el mundo.

  • Seguridad de los datos en trnsitoLos datos son ms vulnerables ante accesos no autorizados cuando se transfieren en Internet o dentro de las redes. Por este motivo, asegurar los datos en trnsito es una de las principales prioridades de Google. Los datos que viajan desde el dispositivo de un cliente a Google se cifran mediante HTTPS/TLS (Seguridad de la capa de transporte). De hecho, Google fue el primero de los principales proveedores de nube en habilitar HTTPS/TLS de forma predeterminada. Cuando se enva o se recibe correo electrnico de un usuario que no utiliza Google, todos los eslabones de la cadena (dispositivo, navegador, proveedor del servicio de correo electrnico) deben ser slidos y trabajar juntos para que el cifrado funcione. Creemos que esta cuestin es tan importante que informamos sobre la adopcin de TLS en el sector en nuestro sitio de correo electrnico seguro. En Google tambin hemos actualizado todos nuestros certificados RSA a claves de 2.048 bits, con lo que nuestro cifrado de los datos en trnsito en Google Apps y en todos los dems servicios de Google es an ms seguro.

    Perfect Forward Secrecy (PFS) minimiza el impacto en caso de que se comprometa una clave o se produzca una brecha en el cifrado. Permite proteger los datos de la red usando una clave a corto plazo que dura solo un par de das y nicamente se guarda en la memoria, en lugar de una clave que se usa durante aos y se guarda en una unidad de almacenamiento duradera. Google fue la primera de las principales empresas de servicios de Internet en habilitar Perfect Forward Secrecy de forma predeterminada.

    Google cifra todos los datos de Google Apps en su trnsito entre nuestros centros de datos de nuestra red privada.

    Solucin con baja latencia y alta disponibilidadEn Google diseamos los componentes de nuestra plataforma para ofrecer una alta redundancia. Esta redundancia se aplica al diseo de nuestros servidores, a la forma en que se almacenan los datos, a la conexin de red y de Internet, y a los propios servicios de software. Mediante esta "redundancia de todos los elementos", que incluye el tratamiento de los errores de diseo, se crea una solucin que no depende de un nico servidor, centro de datos o conexin de red. Los centros de datos de Google estn repartidos por distintas zonas geogrficas para minimizar los efectos de las interrupciones regionales, como las provocadas por desastres naturales o por cortes locales en el suministro. En caso de que se produzca un fallo en el hardware, el software o la red, los datos se transfieren automticamente y de forma inmediata de una instalacin a otra, de forma que, la mayora de las veces, los clientes de Google Apps pueden seguir trabajando sin interrupciones. Los clientes con plantillas de empleados globales pueden colaborar en documentos, participar en videoconferencias y realizar otras acciones sin necesidad de configurar ms ajustes ni incurrir en ms gastos. Los equipos globales disfrutan de una experiencia de gran eficiencia y baja latencia cuando trabajan juntos en una nica red mundial.

    9

    Los centros de datos de Google estn repartidos por distintas zonas geogrficas para minimizar los efectos de las interrupciones regionales, como las provocadas por desastres naturales o por cortes locales en el suministro.

  • La alta redundancia de la infraestructura de Google tambin ayuda a proteger a nuestros clientes contra una prdida de datos. Para Google Apps, nuestro objetivo de punto de recuperacin (RPO) y nuestro objetivo de tiempo de recuperacin (RTO) son cero. Esto significa que disponemos de un proceso de copia de seguridad continua que permite una conmutacin por error inmediata en caso de fallo. Los datos de los clientes se dividen en partes digitales a las que se les asignan nombres de archivo aleatorios. Ni el contenido ni los nombres de archivo se almacenan en formato legible para los humanos y los datos almacenados no se pueden asignar a un cliente o a una aplicacin especficos mediante una simple inspeccin en la ubicacin donde se almacenan. Posteriormente, cada parte se replica en tiempo prcticamente real en diferentes discos, en varios servidores y en varios centros de datos para evitar que exista un nico punto de fallo. Para prepararnos incluso para la peor de las situaciones, realizamos tareas de recuperacin ante desastres en las que asumimos que los centros de datos individuales (incluidas nuestras oficinas centrales) no estarn disponibles en 30 das. Probamos peridicamente nuestra capacidad para responder en posibles escenarios y tambin en situaciones mucho ms imaginativas, como invasiones de aliengenas o zombis.

    Nuestro diseo de alta redundancia ha permitido a Google lograr un tiempo de actividad del 99,984% para Gmail en los ltimos aos, sin ningn tiempo de inactividad programado. En pocas palabras: cuando en Google necesitamos revisar o actualizar nuestra plataforma, los usuarios no experimentan tiempos de inoperatividad ni interrupciones para tareas de mantenimiento.

    Disponibilidad del servicioEs posible que algunos servicios de Google no estn disponibles en algunas jurisdicciones. Con frecuencia, estas interrupciones son temporales y se deben a cortes en el suministro de la red, pero otras son permanentes y se deben a bloqueos impuestos por el gobierno. En el Informe de transparencia de Google, tambin se muestran las interrupciones recientes y actuales en el trficode los productos de Google. Ofrecemos estos datos para ayudar a los usuarios a analizar y entender la disponibilidad de la informacin online.

    Certificaciones de terceros independientesLos clientes de Google y los organismos reguladores esperan que se realicen verificaciones independientes de nuestros controles de cumplimiento, seguridad y privacidad. Para cumplir estas expectativas, nos sometemos peridicamente a diversas auditoras de terceros independientes. En cada una de ellas, un auditor independiente examina nuestros centros de datos, la infraestructura y las operaciones. Se llevan a cabo auditoras peridicas para certificar nuestro cumplimiento con los estndares ISO 27001, SOC 2 y SOC 3, y con la Ley de Modernizacin de informacin federal de seguridad de 2014 (FISMA) de EE. UU. en Google Apps for Government. Cuando los clientes consideran la posibilidad de usar Google Apps, estas certificaciones pueden servirles para asegurarse de que el paquete de aplicaciones se ajusta a sus requisitos de seguridad, cumplimiento y procesamiento de datos.

    10

  • ISO 27001ISO 27001 es uno de los estndares de seguridad independientes ms ampliamente reconocidos y aceptados. Google lo ha obtenido para los sistemas, la tecnologa, los procesos y los centros de datos implicados en Google Apps. Nuestro cumplimiento con el estndar internacional est certificado por Ernst & Young CertifyPoint, una entidad de certificacin ISO acreditada por el Dutch Accreditation Council, que es miembro del Foro Internacional de Acreditacin o IAF. Nuestro certificado ISO 27001 y el documento de especificaciones estn disponibles en nuestro Centro de confianza.

    SOC 2/3En 2014, el Assurance Services Executive Committee (ASEC) del American Institute of Certified Public Accountants (AICPA) public la versin revisada de los Principios y criterios para los servicios de confianza (Trust Services Principles and Criteria, TSP). SOC (Service Organization Controls) es un marco de estndares para las auditoras sobre principios distintos a la privacidad, como la seguridad, la disponibilidad, la integridad en el procesamiento y la confidencialidad. Google ha obtenido los informes SOC 2 y SOC 3. Nuestro informe SOC 3 se puede descargar sin necesidad de aceptar un acuerdo de confidencialidad. El informe SOC 3 confirma nuestro cumplimiento con los principios de seguridad, disponibilidad, integridad en el procesamiento y confidencialidad.

    FISMAFISMA es una ley federal de EE. UU. que regula la seguridad de los datos de los sistemas de informacin de las agencias federales. Esta ley exige que las agencias garanticen que sus sistemas y los de sus proveedores de servicios, como Google, cumplan unos requisitos de seguridad mnimos especificados por el National Institute of Standards and Technology (NIST). Google, como proveedor de servicios de nube, cuenta con un largo historial en el cumplimiento de estos requisitos. Adems, actualmente disponemos de una autorizacin para actuar (ATO). Adems de los requisitos estipulados por la ley FISMA, el Federal Risk and Authorization Management Program (FedRAMP) aade otros especficos para los proveedores de servicios de nube. Para obtener ms informacin sobre el programa FedRAMP y el estatus de proveedor, visita fedramp.gov.

    Uso de los datosNuestra filosofaLos clientes de Google Apps son los propietarios de sus datos, no Google. Los datos que las organizaciones y los usuarios de Google Apps introducen en nuestros sistemas les pertenecen a ellos y no podemos analizarlos con fines publicitarios ni venderlos a terceros. Google ofrece a nuestros clientes una enmienda para el procesamiento de datos en la que se describe en detalle nuestro compromiso con la proteccin de sus datos. En ella, se indica que Google no procesar la informacin con ningn otro fin distinto al de cumplir con nuestras obligaciones contractuales. Adems, si los clientes eliminan sus datos, nos comprometemos a eliminarlos de nuestros sistemas en un plazo mximo de 180 das. Por ltimo, ofrecemos las herramientas que permiten a los clientes llevarse su informacin consigo fcilmente si deciden dejar de usar nuestros servicios, sin que Google aplique ningn tipo de penalizacin ni costes adicionales.

    11

  • Google Apps no contiene anunciosNo incluimos publicidad en los servicios principales de Google Apps y no tenemos pensado cambiar esta poltica en el futuro. Google no recopila, analiza ni utiliza los datos de los servicios principales de Google Apps con fines publicitarios. Los administradores de clientes pueden restringir el acceso a los servicios no principales desde la Consola de administracin de Google Apps. Google indexa los datos de los clientes para ofrecer servicios tiles como, por ejemplo, filtrado de spam, deteccin de virus, correccin ortogrfica y capacidad de buscar correos electrnicos y archivos en una cuenta concreta.

    Acceso a los datos y restriccionesAcceso administrativoPara proteger la privacidad de los datos y garantizar su seguridad, Google asla mediante lgica los datos de Google Apps de cada cliente para preservarlos de otros clientes y usuarios, incluso si se almacenan en el mismo servidor fsico. Solo un grupo reducido de empleados de Google tiene acceso a los datos de los clientes. Los derechos y niveles de acceso se basan en el trabajo y el cargo que desempean los empleados de Google. A la hora de asignar los privilegios de acceso adecuados para responsabilidades especficas, se aplican los conceptos de menor privilegio y de mnimo conocimiento ("need-to-know"). A los empleados de Google solo se les concede un conjunto limitado de permisos predeterminados para acceder a los recursos de la empresa como, por ejemplo, el correo electrnico de los empleados y el portal interno de empleados de Google. Cuando se requiera acceso adicional, se deber seguir un proceso establecido en el que se realiza una solicitud y se recibe aprobacin del propietario, administrador u otros responsables de los datos o del sistema, conforme a las polticas de seguridad definidas por Google. Las aprobaciones se gestionan mediante herramientas de flujo de trabajo para mantener registros de auditora de todos los cambios realizados. Estas herramientas permiten controlar tanto los cambios en los ajustes de autorizacin como el proceso de aprobacin, con el fin de garantizar que las polticas de aprobacin se apliquen de forma coherente. La configuracin de autorizacin de un empleado se utiliza para controlar su acceso a todos los recursos, incluidos los datos y los sistemas de los productos de Google Apps. Solo se ofrecen servicios de asistencia a los administradores de clientes autorizados cuya identidad se haya verificado mediante diferentes mtodos. El acceso de los Googlers se supervisa y somete a auditoras por nuestros equipos dedicados de seguridad, privacidad y auditora interna.

    12

  • Para los administradores de clientesEn las organizaciones de clientes, el cliente configura y controla los privilegios y las funciones administrativas de Google Apps. Esto significa que los miembros de los equipos pueden administrar determinados servicios o desempear funciones administrativas especficas sin tener acceso a todos los ajustes y los datos. En los registros de auditora integrados, se ofrece un historial detallado de las acciones administrativas. Esto ayuda a los clientes a supervisar el acceso interno a los datos y a controlar el cumplimiento de las polticas que hayan establecido.

    Solicitudes de datos por parte de la justiciaEl cliente, como propietario de sus datos, es el principal responsable de responder a las solicitudes de datos por parte de la justicia; no obstante, al igual que otras empresas del sector de la tecnologa y las comunicaciones, Google puede recibir directamente solicitudes de informacin de gobiernos o tribunales de otros pases del mundo sobre la forma en que esa persona ha utilizado los servicios de la empresa. Adoptamos medidas para proteger la privacidad de nuestros clientes y limitar las peticiones que resulten excesivas, sin dejar de cumplir en ningn momento con nuestras obligaciones legales. El respeto a la privacidad y la seguridad de los datos que nuestros clientes guardan en nuestros sistemas sigue siendo nuestra prioridad cuando cumplimos con estas solicitudes de informacin. Cuando recibimos una solicitud de este tipo, nuestro equipo la revisa para asegurarse de que cumple con los requisitos legales y las polticas de Google. En trminos generales, para responder a las solicitudes, estas deben formularse por escrito, ir firmadas por un responsable autorizado de la agencia que realiza la solicitud y ajustarse a la ley aplicable. Si consideramos que una solicitud es demasiado amplia, pediremos que se restrinja. Hemos echado atrs solicitudes con frecuencia, siempre que lo hemos considerado necesario. Por ejemplo, en 2006, Google fue la nica de las principales empresas de bsqueda que rechaz una solicitud del gobierno de EE. UU. de ms de dos meses de consultas de bsquedas de usuarios. Nos opusimos al mandamiento y finalmente un tribunal rechaz la solicitud del gobierno. En algunos casos, cuando se nos pide toda la informacin asociada a una cuenta de Google, solicitamos a la agencia que realiza la peticin que la limite a un producto o a un servicio especficos. Creemos que el pblico se merece saber cul es el alcance de las solicitudes de informacin de los usuarios que los gobiernos realizan a Google. Por eso, hemos sido la primera empresa en publicar informes peridicos sobre las solicitudes de datos por parte de los gobiernos. En nuestro Informe de transparencia, se incluye informacin detallada sobre las solicitudes de datos y la respuesta de Google a las mismas. La poltica de Google consiste en notificar a los clientes sobre las solicitudes de sus datos, a menos que la ley o una orden judicial lo prohban expresamente.

    SubcontratistasGoogle realiza prcticamente todas las actividades de procesamiento de datos necesarias para la prestacin de nuestros servicios. No obstante, Google puede recurrir a subcontratistas para proporcionar determinados servicios relacionados con Google Apps, incluida la prestacin de asistencia tcnica y de ayuda a los clientes. Antes de empezar a trabajar con una empresa subcontratista, Google lleva a cabo una evaluacin de sus prcticas de seguridad y privacidad para asegurarse de que cumplen los requisitos para acceder a los datos y a los servicios que van a facilitar. Una vez que Google ha evaluado los riesgos que pueda plantear el subcontratista, este debe aceptar los trminos de los acuerdos de seguridad, confidencialidad y privacidad pertinentes.

    13

    Creemos que el pblico se merece saber cul es el alcance de las solicitudes de informacin acerca de los usuarios que los gobiernos realizan a Google. Por eso, hemos sido la primera empresa en publicar informes peridicos sobre las solicitudes de datos por parte de los gobiernos.

  • Cumplimiento de las normativasNuestros clientes tienen diferentes necesidades de cumplimiento normativo. Adems, pertenecen a distintos sectores, como el financiero, farmacutico e industrial.

    Google mantiene estos compromisos contractuales:

    Google funcionar en coherencia con las auditoras ISO 27001 y SOC 2/3 durante la vigencia del acuerdo.

    Estndares de seguridad definidos. Google definir la forma en que se procesan, almacenan y protegen los datos a travs de estndares de seguridad especficos.

    Acceso a nuestro responsable de privacidad de datos. Los clientes pueden ponerse en contacto con el responsable de privacidad de datos de Google para consultar cualquier duda o dar su opinin.

    Portabilidad de los datos. Los administradores pueden exportar los datos de los clientes en formatos estndar en cualquier momento durante la vigencia del acuerdo. Google no aplica ningn cargo por exportar los datos.

    Enmienda para el procesamiento de datosEn Google adoptamos un enfoque global para nuestros compromisos sobre el procesamiento de los datos. Google, al igual que muchos de sus clientes, desarrolla sus actividades en un entorno global. Mediante nuestra enmienda para el procesamiento de datos, ofrecemos a todos nuestros usuarios el mismo nivel de proteccin. Los compromisos que se recogen en nuestra enmienda para el procesamiento de los datos estn ideados para facilitar el cumplimiento con las leyes o normativas especficas de las jurisdicciones. Tu organizacin puede aceptar nuestra enmienda para el procesamiento de los datos siguiendo las instrucciones que se ofrecen en nuestro Centro de ayuda.

    Directiva de proteccin de los datos de la UEEl Grupo de Trabajo del Artculo 29 es un rgano consultivo independiente europeo que se centra en la privacidad y la proteccin de los datos. Ha proporcionado directrices sobre cmo cumplir con los requisitos de privacidad de datos de la UE cuando se utilizan servicios de proveedores de cloud computing. Google proporciona capacidades y compromisos contractuales ideados para cumplir con las recomendaciones para la proteccin de los datos del Grupo de Trabajo del Artculo 29.

    14

  • Acuerdos marco de garanta de seguridad (Safe Harbor Frameworks) entre EE. UU. y la UE, y entre EE. UU. y SuizaMs de la mitad de los clientes empresariales de Google tienen su sede fuera de los EE. UU. y muchos de ellos realizan sus actividades en Europa. Estas empresas deben cumplir con la Directiva de proteccin de los datos de la Comisin Europea, que regula la transferencia de los datos personales en la Unin Europea. El Acuerdo marco de garanta de seguridad entre EE. UU. y la UE proporciona a las empresas europeas un mtodo para transferir sus datos personales fuera de la Unin Europea de una forma que se ajuste a lo estipulado en dicha directiva. Google certifica que cumple los principios de esta directiva y los que se estipulan en el Acuerdo marco de garanta de seguridad entre EE. UU. y Suiza.

    Clusulas del contrato modelo de la UEEn 2010, la Comisin Europea aprob las clusulas del contrato modelo como un medio para cumplir con los requisitos de la directiva. El efecto de esta decisin es que, mediante la incorporacin de determinadas provisiones en un contrato, los datos personales pueden transferirse de las empresas sujetas a la directiva a los proveedores ubicados fuera de la UE o del Espacio Econmico Europeo. Google cuenta con una amplia cartera de clientes en Europa. Mediante la adopcin de las clusulas del contrato modelo de la UE, ofrecemos a nuestros clientes una opcin adicional para el cumplimiento de la directiva.

    Ley de responsabilidad y portabilidad de seguros mdicos (HIPPA) de EE. UU.Google Apps permite que nuestros clientes puedan cumplir con la ley HIPAA, que regula la confidencialidad y privacidad de la informacin sobre salud protegida. Los clientes que estn sujetos al cumplimiento de la ley HIPAA y quieran usar Google Apps para tratar informacin sobre salud protegida deben firmar un acuerdo de asociacin empresarial con Google. En este acuerdo se cubre Gmail, Google Calendar, Google Drive y Google Apps Vault.

    Ley de privacidad y derechos educativos de la familia (FERPA) de EE. UU.Ms de 30 millones de estudiantes confan en Google Apps for Education. Los servicios de Google Apps for Education cumplen con la ley FERPA y nuestro compromiso con este cumplimiento se incluye en nuestros acuerdos.

    Ley de proteccin de la privacidad infantil online de 1998 (COPPA)La proteccin de los nios en Internet es muy importante para nosotros. Google exige mediante contrato que los centros educativos que utilizan Google Apps for Education obtengan el consentimiento de los padres de los alumnos (tal como se regula en la ley COPPA) para usar nuestros servicios. Adems, nuestros servicios permiten el cumplimiento de la ley COPPA.

    15

  • Capacitar a los usuarios y a los administradores para mejorar la seguridad y el cumplimiento Google integra la seguridad en su estructura, la tecnologa, las operaciones y el enfoque para el tratamiento de los datos de los clientes. Todos y cada uno de los clientes de Google Apps disfrutan de nuestros potentes sistemas e infraestructura de seguridad. Pero ms all de estos niveles, los usuarios tienen capacidad para mejorar y personalizar activamente su configuracin de seguridad para ajustarla a las necesidades especficas de su empresa a travs de paneles de control y asistentes para la seguridad de la cuenta. Google Apps tambin ofrece a los administradores control total para configurar la infraestructura, las aplicaciones y las integraciones del sistema en un nico panel de control, que est disponible en nuestra Consola de administracin, cualquiera que sea el tamao de la organizacin. Este enfoque permite simplificar la administracin y la configuracin. Piensa, por ejemplo, cmo se implementara DKIM, una funcin para prevenir la suplantacin de identidad (phishing), en un sistema de correo electrnico in situ. Los administradores tendran que instalar parches en cada servidor y configurarlo por separado, y cualquier error en la configuracin provocara una interrupcin en el servicio. Mediante nuestra Consola de administracin, DKIM se configura en tan solo unos minutos en miles o cientos de miles de cuentas con absoluta tranquilidad y sin interrupciones ni paradas para tareas de mantenimiento. Los administradores pueden disponer de potentes herramientas; por ejemplo, funciones de autenticacin como la verificacin en dos pasos y el inicio de sesin nico. Tambin disponen de polticas de seguridad del correo electrnico como la aplicacin de seguridad de la capa de transporte (TLS), que las organizaciones pueden establecer para cumplir con los requisitos de seguridad e integracin de sistemas. A continuacin, se describen algunas funciones clave que pueden ayudar a personalizar Google Apps para que se ajuste a tus necesidades de seguridad y cumplimiento:

    Funciones de autenticacin y autorizacin de usuarios

    Verificacin en dos pasosLa verificacin en dos pasos aade una capa extra de seguridad a las cuentas de Google Apps al requerir que los usuarios introduzcan un cdigo de verificacin adems de su nombre de usuario y contrasea cuando inician sesin. Esto puede reducir notablemente el riesgo de un acceso no autorizado en caso de que se comprometa la contrasea del usuario. Se enva un cdigo de verificacin una vez al dispositivo Android, BlackBerry, iPhone o a cualquier otro telfono mvil del usuario. Los administradores pueden activar la verificacin en dos pasos en su dominio en cualquier momento.

    16

  • Inicio de sesin nico (SAML 2.0)Google Apps ofrece a los clientes un servicio de inicio de sesin nico (SSO) que permite a los usuarios acceder a varios servicios desde la misma pgina de inicio de sesin y con las mismas credenciales de autenticacin. Se basa en SAML 2.0, un estndar XML que permite a los dominios web seguros intercambiar datos sobre autorizacin y autenticacin de usuarios. Para un mayor nivel de seguridad, SSO acepta claves y certificados pblicos generados por el algoritmo RSA o DSA. Las organizaciones de los clientes pueden usar el servicio de SSO para integrar el inicio de sesin nico para Google Apps en su LDAP o en otros sistemas de SSO.

    OAuth 2.0 y OpenID ConnectGoogle Apps admite OAuth 2.0 y OpenID Connect, un protocolo abierto para la autenticacin y autorizacin. Esto permite a los clientes configurar un servicio de inicio de sesin nico (SSO) para varias soluciones de nube. Los usuarios pueden registrarse en aplicaciones de terceros a travs de Google Apps (y viceversa) sin introducir sus credenciales ni compartir informacin de contraseas confidencial.

    Funciones de administracin del correo electrnico

    Cumplimiento obligatorio de transporte seguro (TLS)Los administradores de Google Apps pueden requerir que el correo electrnico que se reciba o se enve desde direcciones de correo electrnico o dominios especficos se cifre con Seguridad de la capa de transporte (TLS). Por ejemplo, una organizacin de clientes puede optar por transmitir todos los mensajes a su gabinete jurdico externo a travs de una conexin segura. Si TLS no est disponible en un dominio especfico, el correo entrante se rechazar y el saliente no se transmitir.

    Prevencin de la suplantacin de identidad (phishing)En ocasiones, los spammers pueden falsificar la direccin "From" de un mensaje de correo electrnico para que parezca que procede del dominio de una organizacin de confianza. Esta prctica, que se conoce como phishing, suele ser un intento de recabar datos confidenciales. Para ayudar a prevenir el phishing, Google participa en el programa DMARC, que permite a los propietarios de dominios indicar a los proveedores de correo electrnico cmo deben tratar los mensajes no autenticados en su dominio. Para implementar DMARC, los clientes de Google Apps pueden crear un registro de DMARC en su configuracin de administrador e implementar un registro SPF y claves DKIM en todos los flujos de correo saliente.

    17

    Google Apps tambin ofrece a los administradores control total para configurar la infraestructura, las aplicaciones y las integraciones del sistema en un nico panel de control, que est disponible en nuestra Consola de administracin, cualquiera que sea el tamao de la organizacin.

  • Cumplimiento del contenido de correo electrnicoLos administradores pueden analizar los mensajes de correo electrnico de Google Apps para detectar conjuntos predefinidos de palabras, frases o patrones de texto o numricos. Pueden crear reglas para rechazar los correos cuyo contenido coincida con las reglas antes de que lleguen a los destinatarios, o bien entregar los mensajes con ciertas modificaciones. Los clientes pueden usar esta configuracin para supervisar la informacin confidencial o restringida como, por ejemplo, los datos de una tarjeta de crdito, los nombres en cdigo de proyectos internos, las URL, los nmeros de telfono, los nmeros de identificacin de los empleados o sus nmeros de la seguridad social.

    Contenido no admitidoLa configuracin de contenido no admitido permite a los administradores especificar qu accin se llevar a cabo segn unas listas de palabras personalizadas. Mediante las polticas de contenido no admitido, los administradores eligen si los mensajes que contienen determinadas palabras (por ejemplo, palabras obscenas) se rechazan o se entregan con modificaciones; por ejemplo, para notificar a otras personas cuando el contenido de un mensaje coincide con las reglas que has establecido. Los administradores tambin pueden establecer esta configuracin para rechazar mensajes salientes que puedan contener informacin confidencial de la empresa; por ejemplo, pueden configurar un filtro de correo saliente para la palabra confidencial.

    Entrega de correo electrnico restringidaDe forma predeterminada, los usuarios con cuentas de Gmail en tu dominio pueden enviar y recibir correo de cualquier direccin de correo electrnico. Sin embargo, en algunos casos, es posible que los administradores quieran restringir las direcciones de correo electrnico con las que los usuarios pueden intercambiar mensajes. Por ejemplo, en un centro educativo, se podra permitir a los alumnos intercambiar correo con los profesores y con otros compaeros, pero no con personas ajenas al centro. Puedes usar la configuracin de restriccin de envo para permitir que se enven o reciban mensajes de correo electrnico solo de las direcciones o de los dominios que los administradores especifiquen. Cuando los administradores habilitan la configuracin "Restriccin de envo", los usuarios solo pueden comunicarse con las personas autorizadas. Cuando los usuarios intentan enviar correo a un dominio que no figura en la lista, reciben una advertencia en el que se indica que hay una poltica que prohbe enviar correo a esa direccin y se informa de que el mensaje no se ha enviado. Los usuarios solo reciben mensajes autenticados de los dominios incluidos en la lista. Los mensajes que se envan desde dominios no incluidos en la lista (o desde dominios de la lista que no se pueden verificar mediante registros SPF o DKIM) se devuelven al remitente con un mensaje sobre la poltica de correo.

    18

    Los administradores de Google Apps pueden requerir que el correo electrnico que se enve a determinados dominios o direcciones de correo electrnico o se reciba de ellos se cifre con Seguridad de la capa de transporte (TLS).

  • Funciones de descubrimiento electrnicoEl descubrimiento electrnico permite a las organizaciones estar preparadas ante posibles juicios y otras cuestiones legales. Google Vault es la solucin de descubrimiento electrnico para Google Apps con la que los clientes pueden retener, archivar, buscar y exportar contenido de su cuenta corporativa de Gmail. Los administradores tambin pueden buscar y exportar archivos almacenados en Google Drive.

    Poltica de retencin del correo electrnicoLas reglas de retencin permiten controlar cunto tiempo se retendrn mensajes especficos de tu dominio hasta que se quiten de los buzones de correo de los usuarios y se supriman de todos los sistemas de Google. Google Apps te permite establecer una regla de retencin predeterminada para todo tu dominio. En implementaciones ms avanzadas, Google Vault permite a los administradores crear reglas de retencin personalizadas para conservar contenido especfico. Mediante esta configuracin avanzada, los administradores pueden especificar el nmero de das que se conservarn los mensajes, si se eliminar definitivamente una vez que finalice el periodo de retencin, si se retendrn mensajes con etiquetas especficas y si se permitir a los usuarios administrar ellos mismos la eliminacin del correo electrnico.

    Retenciones de litigiosGoogle Vault permite a los administradores establecer retenciones de litigios en usuarios para conservar sus correos electrnicosy su historial de chat de forma indefinida para cumplir con las obligaciones legales o con otros requisitos de retencin de correo. Puedes establecer retenciones de litigios para todo el contenido de la cuenta de un usuario, o bien solo para contenido especfico segn fechas y trminos concretos. Si un usuario elimina mensajes retenidos, dejar de verlos, pero no se eliminarn de los servidores de Google hasta que se quite la retencin.

    Bsqueda/descubrimientoGoogle Vault permite a los administradores buscar en las cuentas de Gmail y en Drive por cuenta de usuario, unidad organizativa, fecha o palabra clave. En los resultados de bsqueda, se incluye correo electrnico, chats con el registro habilitado, tipos de archivo de Google y otros como PDF, DOCX y JPG.

    Exportacin de pruebasGoogle Vault permite a los administradores exportar mensajes de correo electrnico, chats con el registro habilitado y archivos especficos a formatos estndar para realizar un procesamiento y revisin adicionales, de forma que se puedan usar para cuestiones legales, al tiempo que se respeta la cadena de las directrices para la custodia.

    Compatibilidad con plataformas de correo electrnico de tercerosMediante la Configuracin de almacenamiento de correo completo se garantiza que una copia de todo el correo enviado desde tu dominio o recibido en l (incluido el que se enva o recibe en buzones de correo distintos a Gmail) se almacene en los buzones de correo de Gmail asociados de los usuarios. Para las organizaciones que redirigen el correo a servidores que no son de Gmail, esta configuracin tambin garantiza que el correo se almacene en los buzones de correo de Gmail para fines de archivado y descubrimiento electrnico.

    19

  • Seguridad en los puntos de destino

    Administracin de dispositivos mviles (MDM)La administracin de dispositivos mviles en Google Apps elimina la necesidad de soluciones de administracin de dispositivos in situ o de terceros. Los administradores pueden aplicar polticas en los dispositivos mviles de su organizacin, cifrar los datos en los dispositivos y realizar acciones como bloquear o eliminar de forma remota los datos de los dispositivos en caso de robo o prdida. Este tipo de control ayuda a garantizar la seguridad de los datos empresariales, incluso si los empleados trabajan con su telfonos o tablets personales. La administracin de dispositivos mviles en Google Apps funciona con Android, iOS, Windows Phone, y con smartphones y tablets que utilicen Microsoft Exchange ActiveSync, como BlackBerry 10.

    Seguridad del navegador Chrome basada en polticasGoogle Chrome ofrece una compatibilidad ptima para todas las herramientas y funciones de Google Apps. Los administradores pueden aplicar polticas de uso y seguridad en Windows, OSX, Linux, iOS y Android. Entre las funciones de seguridad estndar de Chrome se incluyen Navegacin segura, zona de pruebas y actualizaciones administradas que protegen a los usuarios contra sitios mal intencionados, virus, software malicioso y ataques de suplantacin de identidad (phishing). Tambin existen medidas para impedir el "cross-site scripting", que los atacantes pueden usar para robar datos privados. Los administradores de Google Apps pueden implementar Chrome for Work en su organizacin y personalizarlo conforme a sus necesidades. Adems, los administradores disponen de ms de 280 polticas para ayudarles a controlar la forma en que los empleados usan Chrome en sus dispositivos. Por ejemplo, pueden habilitar las actualizaciones automticas para obtener las correcciones de seguridad ms recientes, bloquear o permitir aplicaciones concretas y configurar la compatibilidad con navegadores antiguos.

    Administracin de dispositivos ChromeLa Consola de administracin de Google Apps aplica polticas a los dispositivos Chrome, como Chromebooks, Chromebox y Chromebox para reuniones, que son ordenadores rpidos, seguros y asequibles que utilizan el sistema operativo Chrome. Los administradores pueden gestionar fcilmente la seguridad y otros ajustes en los dispositivos Chrome de su organizacin desde un nico lugar. Pueden configurar funciones de Chrome para los usuarios, definir el acceso a las redes privadas virtuales y Wi-Fi, preinstalar aplicaciones y extensiones, restringir el inicio de sesin a usuarios especficos y realizar otras acciones.

    20

    Los administradores pueden aplicar polticas en los dispositivos mviles de su organizacin, cifrar los datos en los dispositivos y realizar acciones como bloquear o eliminar de forma remota los datos de los dispositivos en caso de robo o prdida.

  • Recuperacin de datos

    Recuperar un usuario eliminado recientementeUn administrador puede restaurar una cuenta de usuario eliminada hasta cinco das despus de que se eliminara. Despus de este periodo, la Consola de administracin elimina definitivamente la cuenta de usuario y ya no se podr restaurar, incluso aunque te pongas en contacto con el servicio tcnico de Google. Ten en cuenta que solo los administradores de clientes pueden eliminar cuentas.

    Recuperar los datos de Drive o de Gmail de un usuarioUn administrador puede recuperar los datos de Drive o de Gmail de un usuario hasta 25 das despus de su eliminacin. Pasados 25 das, Google elimina definitivamente los datos del usuario y ya no se pueden recuperar, ni siquiera con la ayuda del equipo de asistencia tcnica. Ten en cuenta que si un usuario elimina un archivo en Drive o un mensaje en Recibidos de Gmail, este se mueve a la Papelera, donde el usuario podr recuperarlo fcilmente sin ayuda del administrador. Cuando el usuario o el sistema vacan la papelera, el elemento se elimina por completo. Sin embargo, los administradores podrn recuperarlo.

    Informes de seguridad Los administradores de Google Apps pueden acceder a los informes de seguridad, que ofrecen informacin clave sobre el riesgo al que estn expuestos los datos de la organizacin. Pueden descubrir rpidamente qu usuarios concretos plantean riesgos de seguridad porque evitan la verificacin en dos pasos, instalan aplicaciones externas o comparten documentos de forma indiscriminada. Los administradores tambin pueden recibir alertas cuando se produzca una actividad de inicio de sesin sospechosa, lo cual indicara una posible amenaza de seguridad.

    Un administrador puede restablecer los datos de Drive o de Gmail de un usuario hasta 25 das despus de que se eliminen. Pasados 25 das, Google elimina definitivamente los datos del usuario y ya no se pueden recuperar, ni siquiera con la ayuda del equipo de asistencia tcnica.

    21

  • 22

    La proteccin de los datos va ms all de la seguridad. Los estrictos compromisos contractuales de Google son una garanta de que nuestros clientes mantendrn el control de sus datos y de la forma en que se procesan, y de que no usaremos su informacin con fines publicitarios ni para otros fines que no sean la prestacin de servicios de Google Apps.

    ConclusinLa proteccin de los datos de los usuarios es una de las cuestiones clave en el diseo de toda la infraestructura, las aplicaciones y las operaciones del personal de Google. Lejos de ser un elemento de segundo orden o estar relegada a iniciativas espordicas, la seguridad es una parte integral de todas nuestras operaciones. Estamos convencidos de que Google puede ofrecer un nivel de proteccin que realmente muy pocos pueden alcanzar. Como proteger tu informacin es parte de nuestra actividad empresarial principal, Google puede desarrollar innovaciones en la seguridad, como la autenticacin en dos pasos y unos mtodos de cifrado ms slidos. Podemos realizar amplias inversiones en seguridad, recursos y conocimientos a una escala que muy pocos se pueden permitir. Gracias a nuestra escala de operaciones y a la colaboracin con la comunidad de investigacin en seguridad, Google pueden solucionar vulnerabilidades rpidamente o impedir que se produzcan. Los procesos de seguridad y operaciones de Google estn verificados por auditores externos independientes.

    La proteccin de los datos va ms all de la seguridad. Los estrictos compromisos contractuales de Google son una garanta de que nuestros clientes mantendrn el control de sus datos y de la forma en que se procesan, y de que no usaremos su informacin con fines publicitarios o para otros fines que no sean la prestacin de servicios de Google Apps.

    Por estos motivos y otros muchos, ms de cinco millones de organizaciones en todo el mundo (incluido el 64% de las empresas de la lista Fortune 500, confan a Google su activo ms valioso: su informacin. Google seguir invirtiendo en nuestra plataforma para que nuestros usuarios puedan seguir beneficindose de nuestros servicios de una forma segura y transparente.


Guia de Seguridad 44c9743

Guia Seguridad Produccion Agricola

Guia didact. seguridad alimentaria

GUIA DE SEGURIDAD

Guia Laboratorio Seguridad Wifi

Comunidad y Seguridad-Guia

Guia Programa Seguridad

Guia seguridad montaje

Guia seguridad escolar

Guia Educando Seguridad TIC

Guia Elaboracion Documento Seguridad

Guia de Seguridad Portuaria

Guia higiene y seguridad

Guia Seguridad Funcional Abb

Guia Inspecciones Seguridad

Guia seguridad-redes-inalambricas

Guia seguridad electrica

Guia Seguridad Aliment Aria

Guia seguridad del paciente

Guia Seguridad Laboratorio

Guia Instalacion Mallas Seguridad

Guia de seguridad minera

Guia Auditoria de Seguridad

Guia seguridad albaniles

Guia Practica de Seguridad

Guia Plan de Seguridad

Guia Seguridad Soldadura Arco

Guia seguridad datos_2008

GUIA SEGURIDAD INDUSTRIAL

Guia Seguridad Montacargas

Guia seguridad

Guia de Seguridad Escolar

Guia Promocion Seguridad Paciente

Guia de seguridad & ergonomia

Guia Tecnica de Seguridad