本頁說明 Sovereign Controls by Partners 的共同責任。如要瞭解 Google Cloud中的共同責任一般資訊,請參閱「在 Google Cloud上實現共同責任和命運共同體」。
資料共同責任
您是專家,瞭解貴商家的安全和法規要求,以及保護機密資料和資源的要求。在 Google Cloud上執行工作負載時,您必須找出需要在 Google Cloud 中設定的安全控管措施,以保護機密資料和各項工作負載。如要決定導入哪些安全控管措施,請務必考量下列因素:
- 您的法規遵循義務
- 貴機構的安全標準和風險管理計畫
- 客戶和供應商的安全需求
確保您的資料安全是所有 Google 基礎架構、產品及人員作業的核心根本。 Google Cloud 可為多種資料類型提供嚴密的安全防護,包括客戶資料和服務資料。不過,如果工作負載必須符合特定法規要求,或受到國家標準的約束,需要提升安全控管措施,內部政策可能與預設設定選項不同。如有這類需求,建議您採用其他工具和技術,協助維持所需的法規遵循程度,並讓團隊遵循資料管理和整體網路安全管理的最佳做法。
設定 Google Cloud 合作夥伴管理的主權控管機制,落實共同責任
身為任何公有雲的使用者,客戶應負責下列事項:
- 瞭解資料的哪些部分有不同的法規遵循和安全性需求。 大多數雲端客戶都有需要一般商業安全性的 IT 基礎架構,部分客戶則有健康資料等特定資料,必須符合較高的法規遵循要求。合作夥伴提供的主權控管機制可協助您滿足這些更高的法規遵循要求。將任何具有特定存取或駐留要求的機密/私密或管制資料,放在適當的「合作夥伴主權控管」資料夾或專案中,並保留在該處。
- 設定 Identity and Access Management (IAM),確保適當人員可存取及修改貴機構的內容。
- 建立及整理機構階層,確保不會揭露個人資料。
- 請務必詳閱所有說明文件,瞭解並遵循最佳做法。
- 在技術支援工作階段和疑難排解期間謹慎分享資訊,以及不在合作夥伴的合規主權控制資料夾外放置或分享機密或受監管的資料。
機密或受管制資料的範圍可能因多項因素而異,包括您或您的客戶適用的法規,可能包含:
- 帳戶資訊
- 健康狀態資訊
- 顧客或使用者的個人 ID
- 持卡人資料
- 身分證件號碼
共同責任模式中 Google 的責任
在 Google 與客戶的共同責任合作關係中,Google 負責建構成功雲端業務的基礎元素和基礎架構,其中有些元素和基礎架構需要客戶履行責任,設定Google Cloud 以充分保護資料。Google 的責任包括:
- 套用預設加密和基礎架構控制項。
- 強制執行您設定的 IAM 政策,限制工作負載管理和資料存取權,只允許您識別的身分存取。
- 針對您設定的資源,為所選法規遵循制度相關的合作夥伴控制選項,設定並強制執行任何客戶選取的 Sovereign Controls,以保護這些資源中的資料類型。包括限制資料的儲存位置,以及哪些 Google 員工可在適當的業務活動中存取您的資料。
- 透過合作夥伴提供的主權控管機制,為受監管產業和位置敏感資料提供設定和控管機制。
- 提供機構政策和資源設定,讓您為整個資料夾和專案階層設定政策。
- 提供 Policy Intelligence 工具,讓您深入瞭解帳戶和資源的存取權。
歐洲和歐盟專屬設定
使用合作夥伴的 Sovereign Controls 時,客戶除了可享有 Google Cloud 的 GDPR 保證外,還能運用額外的技術控管措施,在法規遵循作業中調整資料駐留位置和安全控管措施。這類控制項包括:
- 歐盟資料邊界,詳情請參閱「資料落地」。
- 將支援要求轉送給歐盟境內的歐盟自然人/法人,包括次級處理者。
- 查看管理員存取權要求和存取權。
- 以政策為依據的存取權核准 (僅限主權控制項)。
- 資料加密和金鑰管理的自訂選項。
不建議用於機密或受管制資料的常見欄位範例
我們強烈建議所有受監管和主權客戶,在 Google Cloud 服務中輸入資料時務必謹慎。請務必避免在一般輸入欄位中新增機密或受監管的資料,因為這些欄位可能未受技術控管機制保護,或未納入合作夥伴主權控管技術控管邊界。這是為了確保符合法規要求,並保護敏感或受監管的資訊。為協助您,我們彙整了各種 Google Cloud 服務的範例清單,說明需要特別注意的事項。
請避免在下列常見欄位中放置機密或受監管資料:
- 資源名稱和 ID
- 專案或資料夾名稱和 ID
- 任何說明欄位或標籤
- 記錄指標
- VM 大小和類似的服務設定
- URI 或檔案路徑
- 時間戳記
- 使用者 ID
- 防火牆規則
- 安全性掃描設定
- 客戶 IAM 政策
後續步驟
- 進一步瞭解 Google Cloud 的共同責任和命運共同體。