Google Maps Platform 安全性及合规性概览

本文最后更新于 2024 年 2 月,所述内容反映了编写时的实际情况。Google 会持续改进客户保护措施,因此相关的安全政策和系统日后可能会发生变化。

简介

Google Maps Platform 提供了多种 API 和 SDK 来帮助客户和合作伙伴开发使用 Google 的地理空间技术的 Web 应用和移动应用。Google Maps Platform 为多个行业的客户提供了 50 多种 API 和 SDK。业界客户在构建解决方案时,通常必须满足安全性、数据使用和监管方面的各项要求,包括确保所使用的第三方技术满足同样的要求。

本文档简要介绍了 Google Maps Platform 提供的人员、流程和技术控制措施,并介绍了使用该平台的好处。首先,请务必了解 Google Maps Platform 的两大技术支柱:

  • Google 提供的技术、数据中心和基础设施。Google Maps Platform 完全在 Google 提供的数据中心和基础设施上运行。在此基础上,它会对从 Google 继承的安全控制措施进行内部和第三方审核,以验证 Google Maps Platform 是否正确实施了本文所述的安全、运营和技术控制措施。
  • Google Maps Platform 技术。除了继承的控制措施之外,Google Maps Platform 还为 Google 产品套件提供额外的安全、隐私保护、数据和运维控制措施。

本文档总结了 Google Maps Platform 的安全流程和控制措施,分为以下几个主题:

  • Google 各级组织对安全和隐私保护的重视
  • 技术基础设施和硬件安全性
  • 运营安全性
  • 关键安全控制措施
  • 客户端安全性(包括网页版和移动版)
  • Google Maps Platform 目前拥有的认证和通过的审核
  • 在全球范围内支持的法律框架

潜在客户可以与 Google 销售代表联系,获取更多信息。

Google 对安全性和隐私保护的关注

安全性推动着 Google 的组织结构、文化、培训优先事项和招聘流程的发展,决定着 Google 数据中心的设计及其提供的技术。安全性是 Google 日常运营(包括灾难规划和威胁管理)的基础。Google 在处理数据、账号控件、合规性审核和行业认证方面将安全视为头等大事。与许多依赖于多个供应商和多个平台,且安全措施相互脱节的本地服务方案相比,Google 设计的服务能够提供更高的安全性。如果您利用 Google Maps Platform 产品开展业务,您将受益于 Google 的集成式安全计划和控制措施。Google Maps Platform 在为全球十多亿用户提供服务的过程中,将安全作为运营的首要任务。

Google 和 Google Maps Platform 携手合作,为整个公司和组织提供了多层安全保护:

  • Google 专门的安全团队
  • Google Maps Platform 产品安全团队
  • 积极参与全球安全研究社区
  • Google Maps Platform 隐私权团队
  • Google 员工安全和隐私保护培训
  • 内部审核和合规性专家

Google 专门的安全团队

Google 在整个公司内和产品领域提供了专门的安全团队。

业务范围涵盖整个 Google 的安全团队为 Google 的多个产品领域(包括 Google Maps Platform)提供支持。安全团队由信息安全、应用安全、加密和网络安全领域的一些世界顶尖专家组成。其工作职责包括:

  • 制定、审核和实施安全流程。这包括审核 Google 网络的安全计划,以及为 Google 的产品和工程团队提供针对特定项目的咨询。例如,如果待发布的产品采用了加密技术,加密专家会进行审核。
  • 积极管理安全威胁。该团队会使用商用工具和自定义工具来监控 Google 网络上持续存在的威胁和可疑活动。
  • 执行例行审核和评估,这可能涉及聘请外部专家进行安全评估。
  • 向更广泛的社区发布安全文章。Google 拥有一个安全博客和一个 YouTube 视频系列,其中重点介绍了几个特定的安全团队及其成就。

Google Maps Platform 安全团队与业务范围涵盖整个 Google 的安全团队通力协作,在产品开发和 SRE 方面开展更密切的合作,以监督安全实施情况。具体而言,该团队负责管理以下各项工作:

  • Google Maps Platform 的灾难恢复测试 (DiRT)。它基于 Google 的高可用性基础设施运行,用于测试 Google Maps Platform 产品的业务连续性和故障切换功能。
  • 第三方渗透测试。Google Maps Platform 产品每年至少会进行一次渗透测试,以改善 Google 的安全状况,并为您提供独立的安全保障。

与安全研究社区的协作

长期以来,Google 一直与安全研究社区保持密切的关系。Google 非常重视他们在识别 Google Maps Platform 漏洞和其他 Google 产品潜在漏洞方面的帮助。

  • 通过 Project Zero 进行的在线社区协作。Project Zero 是一个安全研究人员团队,致力于研究零日漏洞。这项研究的成果包括发现 Spectre 漏洞、Meltdown 漏洞、POODLE SSL 3.0 漏洞加密套件漏洞
  • 学术研究 - Google 的安全工程师和研究人员积极参与学术安全社区和隐私研究社区并发布文章。您可以在 Google 的 Google 研究网站上找到与安全相关的发布内容。Google 的安全团队在《构建安全可靠的系统》一书中深入介绍了他们的实践和经验。
  • 漏洞奖励计划 - Google Maps Platform 加入了漏洞奖励计划,该计划为每个已确认的漏洞提供价值数万美元的奖励。它鼓励研究人员报告可能会使客户数据面临风险的设计和实现问题。2022 年,Google 向研究人员发放了超过 1,190 万美元的奖金。如需详细了解此计划(包括 Google 提供的奖励),请参阅 Bug Hunters 关键统计信息。如需详细了解如何报告安全问题,请参阅 Google 如何处理安全漏洞
  • 开源安全性研究 - Google 的工程师还会组织和参与开源项目及学术会议。为了改进开源代码,漏洞奖励计划还为开源项目提供补贴
  • 加密 - Google 拥有极其出色的密码学家,致力于保护 TLS 连接免受量子计算机攻击,并开发了椭圆曲线和后量子组合 (CECPQ2) 算法。Google 密码学家开发了 Tink,这是一个包含加密 API 的开源库。Google 也会在其内部产品和服务中使用 Tink。

Google Maps Platform 专门的隐私权团队

这个专门的隐私权团队与产品开发和安全组织分开运营。它支持内部隐私保护计划,以改善隐私保护的各个方面:关键流程、内部工具、基础设施和产品开发。隐私权团队会执行以下任务:

  • 确保产品发布时遵循数据收集方面的严格隐私保护标准。该团队通过设计文档和代码审核,参与 Google 的每次产品发布。
  • 产品发布后,隐私权团队会监督自动化流程,持续验证数据收集和使用是否适当。
  • 研究隐私保护最佳实践。

Google 员工安全和隐私保护培训

安全和隐私保护是一个不断变化的领域,Google 认为员工的全力参与是提升意识的关键方式。所有 Google 员工在入职培训过程中都要接受安全和隐私培训,并且在整个 Google 职业生涯中都需要接受持续的强制性安全和隐私培训。

  • 入职培训期间:新员工同意 Google 的行为准则,其中强调了 Google 对保障客户信息安全的承诺。
  • 按职位划分的专业培训。某些职位需要特定安全方面的培训。例如,信息安全团队会指导新工程师了解安全编码实践、产品设计和自动化漏洞测试工具。工程师必须参加例行安全情况通报,而且会收到内容涵盖新威胁、攻击模式、缓解措施等主题的安全简报。
  • 持续举办的活动。Google 会定期举办面向所有员工的内部会议,以提高安全和数据隐私方面的意识并推动创新。Google 在全球办事处举办活动,以提高软件开发、数据处理和政策执行方面的安全和隐私意识。

内部审核和合规性专家

Google Maps Platform 拥有专门的内部审核团队,负责审核 Google 产品是否符合全球安全法律法规的要求。随着新的审核标准的制定和现有标准的更新,内部审核团队会确定需要哪些控制措施、流程和系统来帮助达到这些标准。该团队支持第三方的独立审核和评估。如需了解详情,请参阅本文档后面的安全认证和审核部分。

以安全为核心打造的平台

Google 利用纵深防御原则设计其服务器、专有操作系统和分布在不同地理位置的数据中心。Google Maps Platform 基于为确保安全运行而设计和构建的技术基础设施运行。与较为传统的本地或托管解决方案相比,我们打造的 IT 基础设施更加安全且更易于管理。

先进的数据中心

对数据安全和保护的高度重视,是 Google 的主要设计标准之一。Google 数据中心采用了多层级的实体安全措施,包括定制的电子门禁卡、警报系统、车辆进出路障、围栏、金属探测器和生物识别技术等保护措施。此外,为了检测和跟踪入侵者,Google 还采用各种安全措施,例如激光入侵检测,以及通过高分辨率内外摄像头全天候监控。如果有突发事件发生,我们可以检查进出日志、活动记录以及监控录像片段。经验丰富的安保人员经过严格的背景调查和培训,会定期在 Google 的数据中心巡逻。越靠近数据中心楼层,安全措施也就越多。要进出数据中心楼层,只能通过使用安全标志和生物识别技术实现多重访问权限控制的安全走廊。只有担任特定职位并获得批准的员工才可进入。只有不到 1% 的 Google 员工会踏足 Google 数据中心。

Google 在全球都设有数据中心,可最大限度地提高其服务的速度和可靠性。其基础设施通常设置为从距离流量来源最近的数据中心处理流量。因此,Google Maps Platform 数据的确切位置可能会因此类流量的来源而异,这些数据可能由位于欧洲经济区 (EEA) 和英国的服务器处理,或传输到第三方国家/地区。采用了 Google Maps Platform 产品的 Google 客户产品通常面向全球提供,经常可以吸引全球的受众群体。这些产品依托的技术基础设施也部署在全球各地,可减少延迟时间并确保系统冗余。Google Maps Platform 使用下面列出的 Google 全球数据中心网络的子集作为参考:

以蓝点显示数据中心位置的世界地图

北美和南美

欧洲

亚洲

为 Google 数据中心供电

为了保持全天候运行并保持服务不中断,Google 数据中心配备了冗余电源系统和环境控制机制。每个关键部件都配备一个主电源和备用电源,且每个电源均具有相同的功率。备用发电机可以提供足够的应急电力,以满负荷运行每个数据中心。冷却系统可维持服务器及其他硬件的恒定运行温度,从而降低服务中断的风险,同时最大限度地减少对环境的影响。火灾探测和灭火设备有助于防止硬件损坏。热检测器、火灾检测器和烟雾检测器会在安全操作控制台和远程监控台触发声音和可视警报。

Google 的所有数据中心都达到了很高的环境、工作场所安全和能源管理标准,是首家获得相关外部认证的大型互联网服务公司。例如,为表明 Google 对能源管理实践的承诺,Google 为其在欧洲的数据中心获得了自愿性的 ISO 50001 认证。

服务器定制硬件和软件

Google 数据中心配备了专用服务器和网络设备,其中一些是由 Google 自己设计的。虽然 Google 的服务器经过定制,可以最大限度地提高性能、冷却和电源效率,但它们也有助于防范物理入侵攻击。与大多数商用硬件不同,Google 的服务器不配备显卡、芯片组或外围设备连接器等不必要的组件,这些组件可能会引入漏洞。Google 会对组件供应商进行审核,并会谨慎选择组件,同时还会与供应商一起对组件提供的安全属性进行审核和验证。Google 设计了定制芯片(例如 Titan),帮助我们在硬件级别安全地识别正规 Google 设备并对其进行身份验证,包括这些设备用于启动的代码。

服务器资源采用动态分配方式。这为我们的发展提供了灵活性,使我们能够通过添加或重新分配资源来快速高效地满足客户的需求。这种同构环境由专有软件维护,该软件可持续监控系统的二进制级别修改。Google 的自动化自我修复机制旨在让我们能够监控和修复不稳定事件,接收有关突发事件的通知,并减缓网络中潜在入侵的速度。

安全的服务部署

Google 服务是由 Google 开发者编写并在其基础设施上运行的应用二进制文件。为了处理所需规模的工作负载,可能会有数千台机器运行同一服务的二进制文件。一项名为 Borg 的集群编排服务用于控制直接在基础设施上运行的服务。

基础设施假定其上运行的服务之间不存在任何信任。这种信任模型称为零信任安全模型。零信任安全模型意味着在默认情况下不信任任何设备或用户,无论设备或用户是位于网络内部还是外部。

由于基础设施设计为多租户,因此 Google 客户的数据(消费者数据、商家数据,甚至 Google 自己的数据)都分布在整个共享基础设施中。此基础设施由数万台同构机器组成。基础设施不会将客户数据隔离到单个机器或一组机器中。

硬件跟踪和处置

Google 使用条形码和资产标签精确跟踪其数据中心内所有设备的位置和状态。Google 部署了金属探测器和视频监控,以确保设备在未经授权的情况下无法被带出数据中心楼层。如果某个组件在其生命周期中的任何时间点未通过性能测试,则会从库存中移除并停用。

Google 存储设备(包括硬盘、固态硬盘和非易失性双列直插式内存模块 [DIMM])使用全盘加密 (FDE) 和驱动器锁定等技术来保护静态数据。当存储设备停用时,获得授权的个人通过向驱动器写入零来验证磁盘是否已清除。他们还会执行多步验证流程,以确保驱动器中不包含任何数据。如果由于任何原因无法清除驱动器,我们会对其进行物理销毁。物理销毁是使用粉碎机完成的,此过程将硬盘拆成小碎片,然后在安全设施中回收。每个数据中心都遵守严格的处置政策,任何差错都将立即得到妥善解决。

Google 全球网络的安全优势

在其他地理空间云和本地解决方案中,数据在公共互联网上的设备之间通过名为“跃点”的路径传输。跃点数取决于客户 ISP 与数据中心之间的最佳路线。每次出现额外的跃点都会增加数据被攻击或被拦截的可能性。由于 Google 的全球网络与全球大多数 ISP 相连,因此 Google 的网络会限制公共互联网上的跃点数,从而帮助限制作恶方访问这些数据的权限。

Google 的网络使用多层防御机制(纵深防御)来帮助保护网络免受外部攻击。只有符合 Google 安全要求的授权服务和协议才能遍历 Google 网络;所有其他流量都会被自动丢弃。为了强制执行网络隔离,Google 使用防火墙和访问控制列表。所有流量均通过 Google Front End (GFE) 服务器进行路由,以帮助检测并阻止恶意请求和分布式拒绝服务 (DDoS) 攻击。我们会定期检查日志,以发现任何利用编程错误的行为。只有获得授权的员工才能访问联网设备。

借助 Google 的全球基础设施,我们可以运行 Project Shield,为容易受到 DDoS 攻击、用于审查信息的网站提供无限制的免费保护。Project Shield 适用于新闻网站、人权网站和选举监控网站。

低延迟和高可用性解决方案

Google 的 IP 数据网络由自己的光纤、公共光纤和海底电缆组成。此网络让我们得以在全球范围内提供高可用性和低延迟的服务。

Google 将其平台组件设计为具有高度冗余性。这种冗余适用于 Google 的服务器设计、Google 存储数据的方式、网络和互联网连接以及软件服务本身。这种“一切冗余”涵盖异常处理,形成了一个不依赖于单个服务器、数据中心或网络连接的解决方案。

Google 数据中心分布于不同的地理位置,可尽量减少自然灾害和局部服务中断等区域性中断对全球产品的影响。如果硬件、软件或网络出现故障,平台服务和控制平面会自动而快速地在不同设施之间切换,进而避免平台服务中断,并确保持续运维。

Google 冗余性超高的基础设施还可帮助保护您的企业免遭数据丢失。Google 系统旨在最大限度地缩短我们维护或升级平台所需的停机时间或维护窗口。

运营安全性

安全性是 Google 运营不可或缺的一部分,而不是事后的补救措施。本部分介绍了 Google 的漏洞管理计划、恶意软件预防计划、安全监控和突发事件管理计划。

漏洞管理

Google 的内部漏洞管理流程会主动扫描所有技术栈中的安全威胁。此过程结合使用商用工具、开源工具和专门构建的内部工具,包括以下内容:

  • 质量保证流程
  • 软件安全审核
  • 大量自动和手动渗透工作,包括广泛的红队演练
  • 针对 Google Maps Platform 产品的周期性外部渗透测试
  • 周期性外部审核

漏洞管理组织及其合作伙伴负责跟踪和跟进漏洞。由于只有在问题完全得到解决后,安全性才会提高,因此自动化流水线会持续重新评估漏洞的状态,验证补丁程序,并标记错误或部分解决方法。

安全监控

Google 的安全监控计划关注从内部网络流量、员工对系统执行的操作,以及外部漏洞知识中收集的信息。Google 的一项核心原则是将所有安全遥测数据汇总并存储在一个位置,以进行统一的安全分析。

Google 会在全球网络的许多点检查内部流量是否存在可疑行为,例如是否存在可能表示僵尸网络连接的流量。Google 结合使用开源和商用工具捕获并解析流量,以便执行此分析。基于 Google 技术构建的专有关联系统也会为此分析提供支持。Google 通过检查系统日志来对网络分析进行补充,以识别异常行为(例如尝试访问客户数据)。

Google 的威胁分析小组负责监控威胁行为者及其策略和技术的演变。Google 安全工程师会审核入站安全报告,并监控公共邮寄名单、博文和 Wiki。自动网络分析和系统日志自动分析有助于确定何时可能存在未知威胁。如果自动化流程检测到问题,则会将其上报给 Google 安全人员。

入侵检测

Google 使用先进的数据处理流水线来集成各个设备上基于主机的信号、来自基础设施中各个监控点的基于网络的信号,以及来自基础设施服务的信号。基于这些流水线构建的规则和机器智能会向运营安全工程师发出潜在突发事件警告。Google 的调查和突发事件响应团队会一年 365 天、一天 24 小时全天候地对这些潜在突发事件进行分类、调查和响应。除了外部渗透测试,Google 还会通过红队演练来衡量和改善 Google 检测与响应机制的有效性。

突发事件管理

对于可能影响系统或数据的机密性、完整性或可用性的安全事件,Google 一律执行严格的突发事件管理流程。Google 的安全突发事件管理计划围绕着 NIST 突发事件处理指南 (NIST SP 800–61) 而设计。Google 为关键员工提供取证和证据处理相关培训,以便为事件做好准备,包括使用第三方和专有工具。

Google 会针对关键区域测试突发事件响应方案。这些测试会考虑各种场景,包括内部威胁和软件漏洞。为了帮助确保安全突发事件可以快速解决,Google 安全团队对所有员工提供全天候支持。

软件开发实践

Google 使用源代码控制保护机制和两方审核主动限制漏洞的引入。Google 还提供了相关库,以防止开发者引入某些类别的安全 bug。例如,Google 拥有旨在消除 SDK 中 XSS 漏洞的库和框架。Google 还拥有用于检测安全 bug 的自动化工具,例如模糊测试工具、静态分析工具和 Web 安全扫描工具。

源代码保护

Google 的源代码存储在具有内置源代码完整性和治理功能的代码库中,因此可以审核服务的当前版本和过往版本。基础设施要求服务的二进制文件基于经过审核、确认安全和测试的特定源代码构建。Binary Authorization for Borg (BAB) 是在部署服务时执行的内部强制执行检查。BAB 会发挥以下作用:

  • 确保对在 Google 部署的生产软件和配置进行审核和授权,尤其是在相应代码可以访问用户数据时
  • 确保代码和配置部署达到特定的最低标准
  • 限制内部人员或攻击者对源代码进行恶意修改的能力,并提供从服务回溯至相应源代码的取证轨迹

降低来自内部人员的风险

Google 会限制并主动监控拥有基础设施管理员权限的员工的活动。Google 不断努力,借助能够以安全可控的方式完成特定任务的自动化功能,力求消除这些任务对特权访问权限的需求。例如,对于某些操作,Google 要求两方批准;此外,Google 可以使用数量有限的 API 在不暴露敏感信息的情况下进行调试。

Google 员工对最终用户信息的访问记录通过低层级基础设施钩子进行记录。Google 的安全团队会监控访问模式并调查异常事件。

灾难恢复测试 - DiRT

Google Maps Platform 每年都会在整个公司范围内开展多日灾难恢复测试 (DiRT) 活动,确保 Google Maps Platform 的服务和内部经营活动在灾难期间能够继续正常运行。DiRT 旨在通过故意造成故障来查找关键系统中的漏洞,并在故障以不受控制的方式发生故障前修复这些漏洞。DiRT 通过破坏实时系统来测试 Google 的技术稳健性,并通过明确阻止关键人员、领域专家和相关负责人参与来测试 Google 的运营弹性。所有已正式发布的服务都需要通过持续而主动的 DiRT 来测试及验证其弹性和可用性。

为了针对 DiRT 演练做好准备,Google 围绕优先级、通信协议、影响预期和测试设计要求,采用了一套一致的规则

包括经过预先审查和批准的回滚方案。DiRT 演练和场景不仅会迫使服务本身出现技术故障,还会在流程、关键人员空闲程度、支持系统、通信和物理访问方面引入设计好的故障。DiRT 可验证所制定的流程是否切实可行。它还确保团队经过预先培训,拥有应对实际断电、服务中断和人为或自然灾害的经验。

关键安全控制措施

本部分介绍了 Google Maps Platform 为保护其平台而实施的主要安全控制措施。

加密

加密为数据保护增加了一层防御。加密可确保攻击者在获取数据后,如果没有加密密钥,就无法读取数据。即使攻击者能够访问数据(例如,通过访问数据中心之间的有线连接或窃取存储设备),也无法理解或解密数据。

加密是 Google 用来帮助保护数据隐私的一种重要机制。它允许系统处理数据(例如备份),也允许工程师为 Google 的基础设施提供支持,而无需为这些系统或员工提供访问相应内容的权限。

静态加密

本部分中的“静态”加密是指用于保护存储在磁盘(包括固态硬盘)或备份介质上的数据的加密手段。数据在存储级别进行加密,通常使用 AES256(高级加密标准)。在 Google 的数据中心生产存储堆栈中,数据通常在多层(包括硬件级别)加密,而无需 Google 客户执行任何操作。使用多层加密

可增加冗余数据保护,让 Google 能够根据应用需求选择最佳方法。Google 使用通用加密库,其中纳入了 Google 已通过 FIPS 140-2 验证的模块,可以跨产品一致地实现加密。一致地使用通用库意味着,只需一个小型密码学家团队就能实现和维护这类受到严格控制和审核的代码。

保护传输中的数据

数据在互联网中传输时,很容易遭到未经授权的访问。Google Maps Platform 支持对在客户设备和网络与 Google Front End (GFE) 服务器之间传输的数据进行强加密。Google 建议客户/开发者在创建应用时使用 Google 支持的最强加密套件 (TLS 1.3)。由于兼容性原因,一些客户的用例需要使用旧版加密套件,因此 Google Maps Platform 支持这些较弱的标准,但不建议尽可能使用。Google Cloud 还为您提供了其他传输加密选项,包括使用 IPsec 为 Google Maps Platform 产品建立虚拟专用网的 Cloud VPN。

保护在 Google 数据中心之间传输的数据

应用层传输安全 (ALTS) 可确保 Google 流量的完整性根据需要受到保护和加密。在客户端和服务器之间的握手协议完成,并且客户端和服务器协商出加密网络流量并对其进行身份验证所需的共享加密密钥后,ALTS 会使用协商出的共享密钥强制执行完整性,从而保护 RPC(远程过程调用)流量。Google 支持多种完整性保证协议,例如采用 128 位密钥的 AES-GMAC(高级加密标准)。只要流量离开由 Google 或 Google 授权代理控制的物理边界,例如在数据中心之间通过 WAN(广域网)传输,所有协议都会自动升级,以提供加密和完整性保证。

Google Maps Platform 服务的可用性

某些 Google Maps Platform 服务可能仅在部分地区提供。意外事件(例如网络中断)导致的服务中断是暂时性的,但政府施加的限制导致的其他服务限制是永久性的。Google 全面的透明度报告状态信息中心会显示 Google Maps Platform 服务最近出现和持续存在的流量中断情况。Google 提供这些数据是为了帮助您分析和了解 Google 的正常运行时间信息。

客户端安全性

安全性是云服务提供商和实现 Google Maps Platform 产品的客户/合作伙伴共同承担的责任。本部分详细介绍了构建 Google Maps Platform 解决方案架构时应考虑的客户/合作伙伴责任。

JavaScript API

安全网站

Maps JavaScript API 发布了一系列建议,让客户能够微调其网站内容安全政策 (CSP),以避免跨站脚本攻击、点击劫持和数据注入攻击等漏洞。JavaScript API 支持两种形式的 CSP:使用 Nonce 的严格 CSP 和许可名单 CSP。

安全 JavaScript

系统会定期扫描 JavaScript,以确认是否存在已知的安全反模式,并快速修复问题。JavaScript API 每周发布一次,或者在出现任何问题时按需发布。

移动应用安全保障 (MAS)

移动应用安全保障 (MAS) 是一项开放、敏捷、众包的成果,由全球数十位作者和审核人员贡献而成。OWASP 移动应用安全保障 (MAS) 旗舰项目提供了针对移动应用的安全标准 (OWASP MASVS) 和一份和全面的测试指南 (OWASP MASTG);后者介绍了移动应用安全保障测试过程中使用的流程、技术和工具,以及使测试人员能够提供一致且完整的结果的详尽测试用例集。

  • OWASP 移动应用安全保障验证标准 (MASVS) 为 iOS 和 Android 进行完整且一致的安全测试提供了基准。
  • OWASP 应用安全保障测试指南 (MASTG) 是一本全面的手册,涵盖了移动应用安全保障分析过程中使用的流程、技术和工具,以及用于验证 MASVS 中所列要求的详尽测试用例集。
  • OWASP 移动应用安全保障核对清单包含指向每个 MASVS 控件的 MASTG 测试用例的链接。
    • 安全评估/渗透测试:确保您至少覆盖标准受攻击面并开始探索。
    • 标准合规性:包括 MASVS 和 MASTG 版本以及提交 ID。
    • 学习和练习移动安全技能。
    • Bug 赏金:逐步覆盖移动设备的受攻击面。

不妨考虑利用 OWASP MAS 来增强您的 iOS 和 Android 应用安全、测试和身份验证功能。

Android

开发 Android 应用时,值得考虑的另一项资源是 Android 社区应用最佳实践。安全准则包含有关实施安全通信、定义正确权限、安全数据存储、服务依赖项等的最佳实践指南。

iOS

开发 iOS 应用时,请参考 Apple 的 Introduction to Secure Coding Guide(安全编码指南简介),其中包含 iOS 平台的最佳实践。

数据的收集、使用和保留

Google Maps Platform 致力于在数据收集、数据使用和数据保留方面保持透明。Google Maps Platform 的数据收集、使用和保留均须遵守 Google Maps Platform 服务条款(包括 Google 隐私权政策)。

数据收集

数据是通过使用 Google Maps Platform 产品收集的。作为客户,您可以控制通过 API 和 SDK 向 Google Maps Platform 传输哪些信息。系统会记录所有的 Google Maps Platform 请求,其中包括产品的响应状态代码。

Google Maps Platform 记录的数据

Google Maps Platform 会记录整个产品套件中的数据。日志包含多个条目,通常包括:

  • 账号标识符,可以是 API 密钥、客户端 ID 或 Cloud 项目编号。这对于运维、支持和结算而言是必需的。
  • 发出请求的服务器、服务或设备的 IP 地址。请注意,对于 API,发送到 Google Maps Platform 的 IP 地址将取决于 API 调用在您的应用/解决方案中的实现方式。对于 SDK,系统会记录调用设备的 IP 地址。
  • 请求网址,其中包含 API 和传递给 API 的参数。例如,Geocoding API 需要两个参数(地址和 API 密钥)。地理编码还有许多可选参数。请求网址将包含传递给服务的所有参数。
  • 请求的日期和时间
  • Web 应用会记录请求标头,其中通常包括网络浏览器类型和操作系统等数据。
  • 使用 SDK 的移动应用会记录 Google Play 版本、库和应用名称。

Google Maps Platform 日志访问权限

对日志的访问权限受到严格限制,只有具有合理业务需求的特定团队成员才能获得授权。出于审核目的,对日志文件的每个访问请求都会记录下来,并通过 Google 的 ISO 27001 和 SOC 2 第三方审核进行验证。

数据使用

Google Maps Platform 收集的数据会用于以下用途:

  • 改进 Google 产品和服务
  • 为客户提供技术支持
  • 运营监控和提醒
  • 维护平台安全
  • 平台容量规划

请注意,根据 Google 的隐私权政策,Google Maps Platform 绝不会向第三方出售用户操作数据。

数据保留和匿名化

根据业务需要,Google Maps Platform 日志中收集的数据可能会保留不同的时长,但须遵守 Google 与数据匿名化和隐去相关的政策。我们会在可行的情况下尽快自动对 IP 地址进行匿名化处理(删除 IP 地址的一部分)。源自日志的匿名汇总使用情况统计信息可能会无限期保留。

安全性、行业、高可用性和环境认证与审核

ISO 27001

国际标准化组织 (ISO) 是一个独立的非政府国际组织,其国际成员包括 163 个国家标准机构。ISO/IEC 27000 系列标准可帮助组织确保自己的信息资产安全无虞。

ISO/IEC 27001 概述并提供了对信息安全管理系统 (ISMS) 的要求,规定了一套最佳实践,并详细介绍了有助于管理信息风险的安全控制措施。

Google Maps Platform 和 Google 通用基础设施已通过 ISO/IEC 27001 认证。虽然 27001 标准没有规定具体的信息安全控制措施,但通过它提出的框架和控制措施核对清单,Google 可以确保有一个全面且不断改进的安全管理模式。

您可以从 Google 合规报告管理器下载并查看 Google Maps Platform ISO 27001 认证。

SOC 2 Type II

SOC 2 是一份基于美国注册会计师协会 (AICPA) 审计准则委员会现有信托服务标准 (TSC) 的报告。此报告旨在评估组织与安全性、可用性、处理完整性、机密性和隐私相关的信息系统。SOC 2 Type II 报告每半年发布一次,在 6 月和 12 月左右。

您可以从 Google 合规报告管理器下载并查看 Google Maps Platform SOC 2 Type II 审核报告。

云安全联盟 (CSA)

云安全联盟(12)是一个非营利组织,其使命是“鼓励组织采用在云计算领域提供安全保证的最佳实践,并在云计算的使用方面提供指导,从而帮助保护其他所有形式的计算。”

CSA 的安全、信任与保证注册计划 (CSA STAR) 旨在通过自我评估、第三方审核和持续监控这三步计划,帮助您评估和选择云服务提供商。

Google Maps Platform 已获得基于第三方评估的认证(CSA STAR 1 级:认证)

Google 是 CSA 的赞助商,同时也是 CSA 国际标准化委员会 (ISC) 的成员,以及 CSA GDPR Center of Excellence 的创始成员。

ISO 22301:2019

国际标准化组织 (ISO) 是一个独立的非政府国际组织,其国际成员包括 163 个国家标准机构。

ISO 22301:2019 是一项国际性业务连续性管理标准,旨在帮助组织实施、维护和改进管理系统,以便针对中断采取预防、准备、响应和恢复措施。

经独立第三方审核机构的审核,为 Google Maps Platform 产品提供支持的数据中心已通过 ISO 22301:2019 和 BS EN ISO 22301:2019 认证。Google 数据中心符合这些标准,即表明托管 Google 产品和服务的位置符合 ISO 22301:2019 和 BS EN ISO 22301:2019 规定的要求。

ISO 50001

国际标准化组织 (ISO) 是一个独立的非政府国际组织,其国际成员包括 163 个国家标准机构。

ISO 50001:2018 是一项国际性能源管理标准,旨在帮助组织实施、维护和改进管理系统,将能源管理融入到改善质量和环境管理的总体工作中。

Google Maps Platform 使用的 Google 欧洲、中东和非洲地区数据中心接受了独立第三方审核机构的审核,已通过 ISO 50001:2018 认证。Google 数据中心符合 ISO 50001:2018 标准,即表明托管 Google 产品和服务的适用位置符合 ISO 50001:2018 规定的要求。

以下是全球合同承诺。

欧洲合同承诺

本部分介绍了欧洲合同承诺。

欧盟的《一般数据保护条例》(GDPR)

《一般数据保护条例》(GDPR) 是一部于 2018 年 5 月 25 日生效的隐私保护法规,取代了 1995 年 10 月 24 日发布的《欧盟数据保护指令》(95/46/EC)。GDPR 对设立于欧洲或服务欧洲用户的企业和组织提出了具体的要求。Google Maps Platform 大力支持优先考虑并加强客户个人数据安全性和隐私性的计划,同时希望 Google Maps Platform 客户能够根据 GDPR 的要求放心地使用 Google 服务。如果您采用 Google Maps Platform,它将通过以下方式为您的 GDPR 合规工作提供支持:

  1. 在 Google 合同中做出以下承诺:对于所有 Google Maps Platform 服务中的个人数据,Google 都会按照 GDPR 的规定进行处理
  2. 为您提供相关文档和资源,帮助您评估 Google 的服务在隐私保护方面的表现
  3. 随着监管环境的变化,不断完善 Google 产品及服务的功能

欧盟、欧洲经济区、瑞士和英国的数据保护充分性认定

Google 隐私权政策中所述,欧盟委员会已认定欧洲经济区 (EEA) 以外的某些国家/地区对个人信息提供的保护很充分,这意味着可以从欧盟 (EU) 成员国、挪威、列支敦士登和冰岛向这些国家/地区传输数据。英国和瑞士采用了类似的数据保护充分性认定机制。

欧盟标准合同条款

欧盟委员会发布了新的欧盟 SCC,可与 SCC 一起帮助保护欧洲数据。为了保护数据并满足欧洲隐私保护法律的要求,Google 已将 SCC 纳入其 Google Maps Platform 合同。与之前的 SCC 一样,这些条款可用于帮助对数据进行合法传输。

英国数据保护法

2018 年数据保护法》是英国实施的《一般数据保护条例》(GDPR)。“英国 GDPR”是指根据 2018 年签署的英国《退出欧盟法案》修正并纳入英国法律的欧盟 GDPR,以及根据该法案制定的适用次级法律法规。

《瑞士联邦数据保护法》(FDPA)

《瑞士数据保护法》的正式名称为《联邦数据保护法》(FADP),是一项数据保护法规,旨在在处理用户数据时保护其隐私权和基本权利。

非欧洲合同承诺

本部分介绍了非欧洲合同承诺。

Lei Geral de Proteção de Dados (LGPD)

巴西的 Lei Geral de Proteção de Dados (LGPD) 是一项数据隐私法,旨在规范设立于巴西、服务巴西用户等的企业和组织对个人数据的处理。该 LGPD 现已生效,可提供以下保护:

  • 规定了企业和组织收集、使用和处理个人数据的方式
  • 补充或替换了现有的联邦部门隐私权法,改善了问责制
  • 授权相关部门对违反要求的企业和组织收取罚款
  • 允许设立数据保护机构
  • 针对在巴西境内收集的个人数据的传输做出了相关规定

Google 提供了可在 LGPD 合规策略中使用的产品和解决方案:

  • 安全和隐私保护功能,可帮助您遵守 LGPD 并更好地保护和管理个人数据
  • 服务和基础设施,旨在确保数据处理的安全性并采用适当的隐私权规范
  • 随着监管环境的变化,不断改进 Google 的产品和相应功能

Google Maps Platform 客户需要评估其个人数据处理方式,并确定 LGPD 的要求是否适用于他们。Google 建议您咨询法律专家,获取有关适用于贵组织的 LGPD 特定要求的指导,因为本网站并不构成法律建议。

美国州级合同承诺

《康涅狄格州关于数据隐私权和在线监控的法案》

康涅狄格州关于数据隐私权和在线监控的法案》(第 22015 号法案)已于 2023 年 1 月 1 日生效。如需了解详情,请参阅《Google 控制方-控制方数据保护条款》。

《加州消费者隐私法案》(CCPA)

《加州消费者隐私法案》(CCPA)(12)是一部数据隐私权法律,为加州消费者提供了多项隐私保护措施,包括访问、删除和选择不“出售”其个人信息的权利。从 2020 年 1 月 1 日开始,收集加州居民个人信息并且达到一定门槛(例如,收入、数据处理量)的企业将需要遵守这些义务。《加州隐私权法案》(CPRA) 是一部数据隐私权法律,对 CCPA 进行了修订和扩展。这部法律已于 2023 年 1 月 1 日生效。Google 致力于为客户提供便捷的工具,并在其服务和合同中构建强大的隐私和安全保护机制,从而帮助客户履行这些数据相关法规所规定的义务。如需详细了解贵企业根据 CCPA 应承担的责任,请访问加州总检察长办公室网站,了解更多贵公司根据 CCPA 应承担的责任的信息。如需了解详情,请参阅《Google 控制方-控制方数据保护条款》。

《科罗拉多州隐私权法案》(CPA)

科罗拉多州隐私权法案》即《科罗拉多州修订法典》第 6-1-1301 条的规定及后续条款,已于 2023 年 1 月 1 日生效。该法案赋予了个人数据隐私权,适用于以下法律实体:专门针对科罗拉多州居民开展业务或生产商用产品或服务,以及:

  • 控制或处理每个日历年至少 10 万名消费者的个人数据
  • 通过出售个人数据获得收入,并控制或处理至少 25,000 名消费者的个人数据

如需了解详情,请参阅《Google 控制方-控制方数据保护条款》。

《犹他州消费者隐私权保护法》(UCPA)

犹他州消费者隐私权保护法》即《犹他州法案》第 13-61-101 条的规定及后续条款,已于 2023 年 1 月 1 日生效。UCPA 适用于个人数据销售和定向广告投放,规定了哪些行为属于销售,哪些不属于销售:“数据控制方出于创收目的而向第三方提供个人数据”。

如需了解详情,请参阅《Google 控制方-控制方数据保护条款》。

《弗吉尼亚州消费者数据保护法》(VCDPA)

弗吉尼亚州消费者数据保护法》(VCDPA) 已于 2023 年 1 月 1 日生效。这部法律为弗吉尼亚州居民赋予了对企业根据法律规定的条件收集的个人数据的某些权利。

如需了解详情,请参阅《Google 控制方-控制方数据保护条款》。

总结

确保安全是 Google 所有基础设施、产品和运营的主要设计标准。Google 的运营规模以及与安全研究社区的协作使我们能够快速修复漏洞,而且通常可以完全阻止漏洞。Google 在为客户提供的相同基础设施上运行自己的服务(例如 Google 搜索、YouTube 和 Gmail),客户可以直接受益于 Google 的安全控制机制和实践。

Google 认为,自己提供的保护级别是绝大多数公有云提供商或私有企业 IT 团队无法匹敌的。保护数据安全是 Google 业务的核心。我们可以在安全性、资源和专业知识方面进行大量投资,这是其他组织无法实现的。Google 的投资使您可以专注于业务发展和创新。我们将继续投资我们的平台,让您以安全透明的方式从 Google 服务中获益。