G Suite: beveiliging en vertrouwen
Uw gegevens beschermen is onze grootste prioriteit
Uw gegevens beschermen is onze grootste prioriteit
Google is begonnen in de cloud en wordt uitgevoerd in de cloud. We weten dus precies welke beveiligingskwesties om de hoek komen kijken wanneer u uw werkzaamheden in de cloud uitvoert. Aangezien Google en onze zakelijke services via dezelfde infrastructuur lopen, kan uw organisatie voordeel halen uit de beveiliging die wij hebben ontwikkeld en dagelijks gebruiken. Door onze robuuste wereldwijde infrastructuur, toegewijde beveiligingsexperts en onze wens om te innoveren, kan Google problemen een stapje voor blijven en een zeer veilige, betrouwbare en flexibele omgeving bieden.
Google beschikt over toonaangevende kennis en ervaring op het gebied van beveiligde cloudinfrastructuur en schaalbare apps. Hoewel veel leveranciers dit kunnen beweren, zijn wij van mening dat beveiliging en privacy daadwerkelijk zichtbaar en begrijpelijk moeten zijn voor onze klanten en niet alleen achter de schermen moeten worden toegepast.
Bij Google wordt van alle medewerkers verwacht dat ze beveiliging altijd vooropstellen. Google heeft veel fulltime beveiligings- en privacyspecialisten in dienst, waaronder een aantal van 's werelds toonaangevende experts op het gebied van informatie-, app- en netwerkbeveiliging. Beveiliging is geïntegreerd in ons volledige proces voor softwareontwikkeling om er zo voor te zorgen dat Google beschermd blijft. Denk hierbij aan beveiligingsexperts die voorgestelde architecturen analyseren en de programmeercode controleren om zwakke plekken in de beveiliging op te sporen en een beter inzicht te krijgen in verschillende aanvalsmodellen voor een nieuw product of een nieuwe functie. Wanneer zich toch situaties voordoen, zorgt ons speciale G Suite-team voor incidentbeheer ervoor dat incidenten via snelle reacties, analyse en herstel worden afgehandeld met zo min mogelijk onderbrekingen voor onze klanten.
De onderzoeken en externe activiteiten van Google beschermen de bredere community van internetgebruikers en niet alleen degenen die voor onze oplossingen hebben gekozen. Ons fulltimeteam met de naam Project Zero is gefocust op de ontdekking van kwetsbaarheden met een grote impact in veelgebruikte producten van Google en andere leveranciers. We willen zo transparant mogelijk werken en rapporteren bugs meteen bij de softwareleveranciers zonder inmenging van derden.
Beveiliging is altijd al een topprioriteit voor Google geweest. Hier ziet u een aantal manieren waarop we de lat hoger hebben gelegd:
Google is de eerste grote cloudprovider die gebruikmaakt van Perfect Forward Secrecy, waarmee content wordt versleuteld als deze wordt overgedragen tussen onze servers en die van andere bedrijven. Met Perfect Forward Secrecy zijn privésleutels voor een verbinding van zeer korte duur, wat retroactieve ontsleuteling van HTTPS-sessies door een hacker of zelfs de serveroperator onmogelijk maakt. Veel andere bedrijven in onze branche hebben dit voorbeeld gevolgd of hebben toegezegd in de toekomst deze technologie ook te gaan gebruiken.
Elke e-mail die u verzendt of ontvangt, wordt volledig versleuteld wanneer deze tussen de Google-datacenters wordt verplaatst. Dit zorgt ervoor dat uw berichten niet alleen veilig zijn wanneer ze tussen uw apparaten en de Gmail-servers worden overgedragen, maar ook als ze intern bij Google worden verplaatst. We waren met de introductie van onze TLS-indicator ook het eerste bedrijf dat gebruikers op de hoogte stelt wanneer hun e-mail onbeveiligd tussen providers is verplaatst.
Google heeft in 2013 de lengte van zijn RSA-versleutelingssleutels verdubbeld tot 2048 bits om te beschermen tegen geavanceerdere cryptoanalyse. Daarnaast wijzigen we deze sleutels om de paar weken en leggen we daarmee de lat hoog voor de rest van de branche.
G Suite biedt beheerders controle op bedrijfsniveau voor systeemconfiguraties en app-instellingen via één dashboard dat u kunt gebruiken om verificatie, bescherming van bedrijfsmiddelen en operationele controle te stroomlijnen. U kunt de G Suite-editie kiezen die het beste aansluit op de beveiligingsbehoeften van uw organisatie.
Authenticatie in twee stappen vermindert het risico op onbevoegde toegang aanzienlijk door gebruikers om een extra identiteitsbewijs te vragen wanneer ze willen inloggen. Onze afdwinging van beveiligingssleutels biedt een extra beveiligingslaag voor gebruikersaccounts door een fysieke sleutel te vereisen. De sleutel verzendt een versleutelde handtekening en werkt alleen met de sites waarop deze moet werken om zo phishing tegen te gaan. G Suite-beheerders kunnen de beveiligingssleutels eenvoudig op schaal implementeren, controleren en beheren vanuit de beheerdersconsole, zonder hiervoor extra software te installeren.
We zetten onze robuuste machine learning-mogelijkheden in om verdachte inlogpogingen te detecteren. Als we een verdachte inlogpoging opmerken, brengen we de beheerders op de hoogte, zodat deze ervoor kunnen zorgen dat de accounts zijn beveiligd.
G Suite biedt ondersteuning voor single sign-on (SSO) en maakt zo uniforme toegang tot andere zakelijke cloud-apps mogelijk. Via onze service voor identiteits- en toegangsbeheer (Identity and Access Management, IAM) kunnen beheerders alle gebruikersgegevens en toegang tot cloud-apps vanaf één plek beheren.
Met G Suite kunnen beheerders aangepaste regels instellen om te vereisen dat e-mailberichten zijn ondertekend en versleuteld met Secure/Multipurpose Internet Mail Extensions (S/MIME). Deze regels kunnen worden geconfigureerd om S/MIME af te dwingen wanneer er specifieke content wordt gedetecteerd in e-mailberichten.
G Suite-beheerders kunnen een beleid ter voorkoming van gegevensverlies (Data Loss Prevention, DLP) instellen om gevoelige informatie in Gmail en Drive te beschermen. We bieden een bibliotheek met vooraf gedefinieerde contentdetectoren om de instelling zo eenvoudig mogelijk te maken. Zodra dit beleid actief is, kan Gmail bijvoorbeeld automatisch alle uitgaande e-mails controleren op gevoelige gegevens en automatisch actie ondernemen om gegevenslekken te voorkomen, e-mails in quarantaine te zetten, gebruikers te laten weten dat ze de informatie moeten aanpassen, of verzending van de e-mail blokkeren en de verzender hiervan op de hoogte stellen. Met eenvoudig te configureren regels en optische tekenherkenning (Optical Character Recognition, OCR) van content die is opgeslagen in afbeeldingen, maakt DLP voor Drive het makkelijker voor beheerders om bestanden met gevoelige content te controleren en regels te configureren die gebruikers waarschuwen en voorkomen dat vertrouwelijke gegevens extern worden gedeeld. Lees voor meer informatie onze whitepaper over voorkoming van gegevensverlies.
Machine learning heeft Gmail geholpen een nauwkeurigheid van 99,9% te realiseren als het gaat om spamdetectie en blokkering van slimme spam- en phishingberichten (van het type dat makkelijk kan worden aangezien voor gewenste e-mail). Minder dan 0,1% van de e-mails in de gemiddelde Gmail-inbox is spam en onjuiste filtering van e-mail naar de map met spam is nog onwaarschijnlijker (minder dan 0,05%).
Google helpt malware te voorkomen door elke bijlage automatisch via meerdere engines te scannen op virussen voordat een gebruiker de bijlage kan downloaden. Gmail controleert zelfs op virussen in bijlagen die in de wachtrij voor verzending staan. Op deze manier wordt elke Gmail-gebruiker beschermd en wordt de verspreiding van virussen tegengegaan. Bijlagen in bepaalde indelingen, zoals .ade, .adp, .apk, .bat, .chm, .cmd, .com, .cpl, .exe, .hta, .ins, .isp, .jar, .js, .jse, .lib, .lnk, .mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct, .shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf en .wsh worden automatisch geblokkeerd, ook als deze deel uitmaken van een gecomprimeerd bestand.
G Suite maakt intensief gebruik van machine learning om gebruikers te beschermen tegen phishingaanvallen. Onze leermodellen voeren vergelijkbaarheidsanalyses uit tussen eerder geclassificeerde phishingsites en nieuwe, niet-herkende URL's. Zodra er nieuwe patronen worden gevonden, kunnen we ons sneller aanpassen dan handmatige systemen. G Suite biedt beheerders ook de mogelijkheid om het gebruik van beveiligingssleutels af te dwingen, waardoor het onmogelijk wordt om gegevens te gebruiken die tijdens phishingaanvallen zijn buitgemaakt.
Ter voorkoming van misbruik van uw merk in phishingaanvallen volgt G Suite de DMARC-standaard. Deze standaard biedt domeineigenaren de mogelijkheid om te bepalen hoe Gmail en andere deelnemende e-mailproviders omgaan met niet-geverifieerde e-mails die afkomstig zijn van uw domein. Door een beleid te definiëren, kunt u gebruikers en de reputatie van uw organisatie helpen beschermen.
Het volledig geïntegreerde beheer van mobiele apparaten (Mobile Device Management, MDM) van G Suite biedt u doorlopende systeemcontroles en stuurt u meldingen wanneer er verdachte apparaatactiviteit wordt gedetecteerd. Beheerders kunnen mobiel beleid afdwingen, gegevens op apparaten versleutelen, kwijtgeraakte of gestolen mobiele apparaten vergrendelen en apparaten op afstand wissen.
Het beveiligingscentrum van G Suite biedt één handige overzichtsweergave van de beveiligingsstatus van uw G Suite-implementatie. Hierin worden beveiligingsanalyses, praktische tips en geïntegreerde remediation samengebracht waarmee u de gegevens, apparaten en gebruikers van uw organisatie kunt beschermen.
Als onderdeel van onze verificatiecontrole hebben beheerders zicht op en controle over apps van derden die OAuth voor verificatie en toegang tot bedrijfsgegevens gebruiken. OAuth-toegang kan op gedetailleerd niveau worden uitgeschakeld en gecontroleerde apps van derden kunnen op de witte lijst worden gezet.
We bieden informatierechtenbeheer (Information Rights Management, IRM) aan in Drive om beheerders te helpen de controle over gevoelige gegevens te houden. Beheerders en gebruikers kunnen het downloaden, afdrukken en kopiëren van bestanden uitschakelen via het menu met geavanceerde deelinstellingen. Daarnaast kunnen ze vervaldatums instellen voor bestandstoegang.
Het meldingencentrum voor G Suite biedt beheerders een nieuwe manier om belangrijke meldingen, waarschuwingen en acties voor G Suite te bekijken. Met de insights die deze potentiële waarschuwingen opleveren, kunnen beheerders bepalen in hoeverre hun organisatie blootstaat aan beveiligingsproblemen. Geïntegreerde remediation met het beveiligingscentrum biedt een gestroomlijnde manier om deze problemen op te lossen.
Veel organisaties gebruiken de kracht van onze gedistribueerde datacenters om essentiële voordelen te maximaliseren, zoals minimale wachttijd en robuuste geo-redundantie. Voor organisaties met strenge controlevereisten kunt u met gegevensregio's voor G Suite kiezen waar bepaalde gegevens die onder de dekking vallen, moeten worden opgeslagen wanneer ze niet worden gebruikt: internationaal verspreid, in de VS of in Europa.
Google heeft G Suite ontworpen om te voldoen aan de striktste standaarden op het gebied van privacy en beveiliging, gebaseerd op praktische tips uit de branche. Naast uitgebreide contractuele toezeggingen ten aanzien van gegevenseigendom, gegevensgebruik, beveiliging, transparantie en aansprakelijkheid, bieden we u de tools die u nodig heeft om te voldoen aan uw vereisten voor naleving en rapportage.
Google-klanten en -toezichthouders verwachten onafhankelijke verificatie van onze beveiligings-, privacy- en nalevingsinstellingen. We worden hiervoor regelmatig aan diverse audits onderworpen door onafhankelijke instanties.
ISO 27001 is een van de meest algemeen erkende, geaccepteerde onafhankelijke beveiligingsstandaarden. Google heeft het ISO 27001-certificaat verdiend voor de systemen, technologie, processen en datacenters die G Suite uitvoeren. Bekijk ons ISO 27001-certificaat.
ISO 27017 is een internationale standaard voor informatiebeveiliging op basis van ISO/IEC 27002, specifiek voor cloudservices. Onze naleving van de internationale standaard is gecertificeerd door Ernst & Young CertifyPoint, een instelling voor ISO-certificering erkend door de Nederlandse Raad voor Accreditatie (lid van het International Accreditation Forum, IAF). Bekijk ons ISO 27017-certificaat.
De naleving van G Suite van ISO/IEC 27018:2014 toont aan welke waarde we hechten aan de internationale standaarden ten aanzien van privacy- en gegevensbescherming. De ISO 27018-richtlijnen geven aan dat we uw gegevens niet gebruiken voor advertentiedoeleinden. Zo zorgen we ervoor dat uw gegevens in de G Suite-services ook werkelijk uw gegevens blijven, en bieden we u tools om uw gegevens te verwijderen en te exporteren, beschermen we uw informatie tegen verzoeken van derden en zijn we transparant over waar uw gegevens zijn opgeslagen. Bekijk ons ISO 27018-certificaat.
Het SOC (Service Organization Controls) 2- en SOC 3-auditframework van het American Institute of Certified Public Accountants (AICPA) is gebaseerd op vertrouwensprincipes en -criteria voor beveiliging, beschikbaarheid, integriteitsverwerking en vertrouwelijkheid. Google beschikt over zowel SOC 2- als SOC 3-rapporten. Download ons SOC 3-rapport.
G Suite-producten voldoen aan de vereisten van het Federal Risk and Authorization Management Program (FedRAMP). FedRAMP is de standaard voor cloudbeveiliging van de Amerikaanse overheid. G Suite is bevoegd voor gebruik door federale instanties voor gegevens die zijn geclassificeerd met een gemiddeld impactniveau. Hieronder kunnen persoonlijk identificeerbare gegevens en beheerde niet-geclassificeerde informatie vallen. G Suite is beoordeeld als 'toereikend' voor het gebruik van 'officiële' (inclusief 'officiële, gevoelige') informatie conform de beveiligingsprincipes van het Verenigd Koninkrijk. Ga voor meer informatie over de naleving van producten en services naar de FedRAMP-pagina over Google-services.
G Suite-klanten die moeten voldoen aan de Payment Card Industry Data Security Standard (PCI DSS), kunnen een beleid ter voorkoming van gegevensverlies instellen om te voorkomen dat e-mails met daarin informatie over betaalkaarten via G Suite worden verzonden. Voor Drive kan Vault worden geconfigureerd om audits uit te voeren en te zorgen dat er geen gegevens van kaarthouders worden opgeslagen.
FISC (Center for Financial Industry Information Systems) is een openbare belangenorganisatie die onderzoek uitvoert op het gebied van technologie, gebruik, beheer en dreiging/verdediging met betrekking tot systemen voor financiële gegevens in Japan. Een van de primaire documenten die door de organisatie zijn gemaakt, is 'FISC Security Guidelines on Computer Systems for Banking and Related Financial Institutions', waarin beheermogelijkheden worden beschreven voor faciliteiten, werkzaamheden en technische infrastructuren. Google heeft een gids ontwikkeld om klanten inzicht te geven in hoe de controle-omgeving van Google aansluit op de FISC-richtlijnen. De meeste opties in deze gids maken deel uit van onze extern gecontroleerde nalevingsprogramma's, waaronder ISO 27001-, ISO 27017- en ISO 27108-certificaten. Bekijk onze reactie op de FISC-beheeropties. Voor meer informatie kunt u contact opnemen met het salesteam.
Het accreditatieschema Esquema Nacional de Seguridad (ENS, nationaal beveiligingsschema) voor Spanje is ontwikkeld door de Entidad Nacional de Acreditación (ENAC, nationale accreditatie-entiteit) in nauwe samenwerking met het ministerie van Financiën, de overheid en het Centro Criptológico Nacional (CCN, het nationale centrum voor cryptografie). Het ENS is ontwikkeld als onderdeel van koninklijk besluit 3/2010 (met het amendement van besluit 951/2015) en legt richtlijnen en vereisten vast voor de adequate bescherming van informatie voor entiteiten in de Spaanse publieke sector. Google Cloud (GCP en G Suite) voldoet aan de vereisten van het ENS op het niveau Hoog.
G Suite helpt klanten te voldoen aan de Amerikaanse Health Insurance Portability and Accountability Act van 1996 (HIPAA). Klanten op wie de HIPAA van toepassing is en die G Suite willen gebruiken voor het verwerken of opslaan van beschermde gezondheidsinformatie, kunnen een Business Associate-overeenkomst afsluiten met Google. Bekijk meer informatie over naleving van de HIPAA met G Suite.
G Suite voldoet aan de aanbevelingen voor gegevensbescherming van de Artikel 29-werkgroep en blijft conform de modelcontractclausules van de EU via ons Amendement gegevenswerking, de openbaarmaking van onderliggende verwerkers en modelcontractclausules van de EU. Google voldoet daarnaast aan Privacyschild en maakt portabiliteit van gegevens mogelijk, zodat beheerders zonder aanvullende kosten gegevens in standaardindelingen kunnen exporteren.
Volgens plan voldoen we vanaf mei 2018 aan de Algemene verordening gegevensbescherming 2016/679 (AVG; General Data Protection Regulation, GDPR). We zullen het Amendement gegevensverwerking van G Suite updaten om de aanstaande AVG-wijzigingen voorafgaand aan de vereiste datum op te nemen. In de afgelopen jaren hebben we strikte beleidsregels, processen en controles geïmplementeerd via ons Amendement gegevensverwerking en modelcontractclausules, en hebben nauw samengewerkt met Europese autoriteiten op het gebied van gegevensbescherming om aan hun verwachtingen te voldoen.
Miljoenen leerlingen en studenten maken gebruik van G Suite for Education. G Suite for Education-services voldoen aan de Family Educational Rights and Privacy Act (FERPA). Ons streven om hieraan te blijven voldoen, is opgenomen in onze overeenkomsten.
Wij vinden het zeer belangrijk om kinderen online te beschermen. We stellen contractuele eisen aan G Suite for Education-scholen om toestemming van ouders te verkrijgen die voor de Children's Online Privacy Protection Act (COPPA) van 1998 is vereist voor gebruik van onze services in naleving van COPPA.
Google biedt productfunctionaliteit en contractuele toezeggingen om klanten te helpen de Zuid-Afrikaanse Protection of Personal Information Act (POPI Act) na te leven. Klanten die onder POPI vallen, kunnen bepalen hoe hun gegevens worden opgeslagen, verwerkt en beschermd door een Amendement gegevensverwerking te ondertekenen.
Met Google Vault kunt u de e-mails van uw organisatie bewaren, archiveren, doorzoeken en exporteren voor eDiscovery- en nalevingsdoeleinden. Vault werkt volledig online. U hoeft dus geen extra software te installeren of te beheren. Met Vault kunt u zoeken in uw gegevens van Gmail, Drive en Discussiegroepen, aangepast retentiebeleid instellen, juridische bewaarplicht instellen voor gebruikersaccounts (en gerelateerde gegevens), oudere versies van Drive-bestanden exporteren en gerelateerde zoekopdrachten beheren.
Met Google Vault kunt u specifieke e-mails, officiële chats en bestanden exporteren naar standaardindelingen, zodat u ze verder kunt verwerken en beoordelen. Dit gebeurt allemaal op een manier die de wettelijke normen ondersteunt en de richtlijnen voor ketenbeheer volgt.
Met de controletools van G Suite kunnen beheerders e-mailberichten scannen op alfanumerieke patronen en aanstootgevende content. Beheerders kunnen regels maken om overeenkomende e-mails af te wijzen voordat deze de beoogde ontvangers bereiken of om ze met aanpassingen te leveren.
Via eenvoudige, interactieve rapporten kunt u de blootstelling van uw organisatie aan beveiligingsproblemen op domein- en gebruikersniveau bepalen. Via uitbreidbaarheid met een aantal Application Programming Interfaces (API's) kunt u aangepaste beveiligingstools ontwikkelen voor uw eigen omgeving. Met inzicht in hoe gebruikers gegevens delen, welke apps van derden zijn geïnstalleerd en of er toepasselijke beveiligingsmaatregelen zoals authenticatie in twee stappen zijn geïmplementeerd, kunt u uw beveiligingsprofiel verbeteren.
G Suite biedt beheerders de mogelijkheid om gebruikersacties bij te houden en aangepaste meldingen in te stellen in G Suite. Deze tracking is van toepassing op de beheerdersconsole, Gmail, Drive, Agenda, Discussiegroepen, mobiele apparaten en verificatie van apps van derden. Als een gemarkeerd bestand bijvoorbeeld wordt gedownload of als een bestand met het woord 'vertrouwelijk' buiten de organisatie wordt gedeeld, kunnen beheerders een melding ontvangen.
Met BigQuery, het Google-systeem voor grootschalige analyse van bedrijfsgegevens, kunt u Gmail-logboeken analyseren via geavanceerde, hoogwaardige aangepaste query's en tools van derden gebruiken voor verdere analyse.
Transparantie maakt deel uit van het DNA van Google. We werken er hard aan om via transparantie het vertrouwen van klanten te verdienen en te behouden. De klant, en niet Google, is eigenaar van zijn gegevens. Google verkoopt uw gegevens niet aan derden, G Suite bevat geen advertenties en we zullen nooit gegevens van G Suite-services verzamelen of gebruiken voor advertentiedoeleinden.
Google verzamelt, scant of gebruikt uw gegevens in G Suite-services niet voor advertentiedoeleinden, en er worden geen advertenties weergegeven in G Suite. We gebruiken uw gegevens om de G Suite-services te leveren en voor systeemondersteuning, zoals spamfilters, virusdetectie, spellingcontrole, capaciteitsplanning en verkeersroutering, en de mogelijkheid om in afzonderlijke accounts te zoeken naar e-mails en bestanden.
De gegevens die bedrijven, scholen en overheidsinstellingen in G Suite-services invoeren, zijn geen eigendom van Google. Of het nu om het intellectueel eigendom van een bedrijf, persoonlijke gegevens of een huiswerkopdracht gaat: Google is geen eigenaar van die gegevens en Google verkoopt die gegevens niet aan derden.
G Suite biedt een beschikbaarheidsgarantie van 99,9%. Bovendien heeft G Suite geen geplande downtime of onderhoudsperioden. In tegenstelling tot de meeste providers zorgen we ervoor dat onze apps altijd beschikbaar zijn, zelfs als we onze services upgraden of onderhoud uitvoeren aan onze systemen.
We streven ernaar u te voorzien van informatie over onze systemen en processen, of het nu gaat om een realtime prestatieoverzicht, de resultaten van een gegevensverwerkingsaudit of de locatie van onze datacenters. Het zijn immers uw gegevens en wij zorgen ervoor dat u hier de controle over houdt. U kunt uw gegevens op elk gewenst moment verwijderen of exporteren. We publiceren regelmatig Transparantierapporten waarin wordt uitgelegd welke invloed overheden en andere partijen kunnen hebben op uw veiligheid en privacy online. Wij zijn van mening dat u dit moet weten. Daarnaast vinden we het belangrijk om u te laten weten wat er speelt en komen we op voor uw rechten.