Vlastnictví dat, právní vztahy

Veškerá data uložená zákazníkem v prostředí Google Apps jsou a zůstávají v jeho vlastnictví (data owner), Google je pouze zpracovatelem (data processor). Google je signatářem smlouvy mezi Spojenými státy a Evropskou unií – tzv. Safe Harbor Program a zpracování dat je v souladu pravidly Evropské unie (direktiva 95/46/EC). Google v žádném případě nesdílí data uživatelů nebo jejich osobní údaje.

Zabezpečený přístup

Přístup k datům uživateli je vždy šifrován pomocí protokolu SSL (HTTPS,POP3/S, SMTP/TLS, IMAP4/TLS). Uživatel může navíc aktivovat 2-step autorizaci, která kromě jména a hesla vždy vyžaduje navíc šestimístný bezpečností kód, který se mění každý 60 vteřin. Kód je generován pomocí mobilní aplikace Google Authenticator, nebo může být zaslán SMS zprávou, případně klasickým telefonním hovorem – vše zdarma a bez nutnosti instalovat jakýkoliv server nebo dodatečný software.

Bezpečnost uložených dat

Přístup k datům uloženým v prostředí Google Apps je velmi striktní pro zaměstnance Google. V rámci vlastního vývoje jsou role jednotlivých týmů oddělené. Přístup jsou minimální nutné, jsou prováděny pravidelné i náhodné ověření dodržování bezpečnostních pravidel.

Pro vlastní uložení dat Google Apps používá Google distribuovaný file systém (GFS), určený pro ukládání velkých objemů dat na velké množství serverů. Strukturovaná data jsou uložena ve velké distribuované databázi postavené na systému souborů. Každý soubor je rozdělen do několika bloků, zašifrován a každý jednotlivý blok je uložen na několik systémů, minimálně do dvou geograficky různých datových centrech tak, aby žádný jednotlivý z nich nebyl tzv. single point of failure.

Bezpečnost datových center Google Apps

Společnost Google provozuje několik desítek datových center v různých částech světa, která vynikají především svou vysokou dostupností, úsporou energie a bezpečností. Datová centra i vlastní proces softwarového vývoje Google Apps jsou certifikovaná SAS 70 Type II, SSAE 16 Type II a ISAE 3402 Type II. V případě zájmu je možné získat kopii těchto auditů pro interní potřebu zákazníka.

Google Apps jsou současně certifikována FISMA (Federal Information Security Management Act), který má vyšší nároky než v Evropě platný standard ISO/IEC 27001:2005 definující požadavky na systém managementu bezpečnosti informací, mimo jiné soulad s legislativními požadavky (zákon č. 101/2000 Sb. o ochraně osobních údajů).

Následující video popisue postupy a pravidla, která jsou uplatňována v datových centrech Google.

Datové osvobození

Veškerá data uživatelů je možné kdykoliv exportovat v běžných formátech jiných programů. Zákazník tak není jinak „uzamčen“ a nucen používat Google Apps trvale. Jednotlivá aplikační programovatelná rozhraní (API) umožňují centralizovaný hromadný export dat. Ve vybraných aplikacích mají možnost exportu přímo samotní uživatelé.

Na stránkách www.dataliberation.org jsou uvedeny možnosti exportu dat z jednotlivých Google aplikací (nejen z Google Apps). Google vytvořil samostaný tým specialistů, kteří zajišťují aby veškeré aplikace Google umožňovali export uživatelských dat.

Poskytování dat vládním úřadům

V případě, kdy je Google požádán vládní institucí s příslušnou pravomocí, o poskytnutí dat konkrétních uživatelů, Google vždy (až na výjimečné případy) postoupí tento požadavek danému uživateli/organizaci. Přehled těchto požadavků je uveden na veřejné adrese

http://www.google.com/transparencyreport/governmentrequests