Você é especialista em requisitos regulamentares e de segurança da sua empresa e
os requisitos para proteger seus dados e recursos confidenciais. Ao executar cargas de trabalho no Google Cloud, você precisa identificar os controles de segurança que precisa configurar
no Google Cloud para ajudar a proteger seus dados confidenciais e cada carga de trabalho. Para decidir quais
controles de segurança implementar, considere os seguintes fatores:
Obrigações regulatórias de conformidade
Padrões de segurança e plano de gerenciamento de riscos da organização
Requisitos de segurança de clientes e fornecedores
A proteção dos seus dados é uma consideração de design principal para todas as operações de infraestruturas, produtos e pessoal do Google. Google Cloud oferece segurança avançada para
muitos tipos de dados, incluindo Dados do cliente e
Dados do serviço. No entanto, se as cargas de trabalho precisarem atender a
requisitos regulatórios específicos ou estiverem sujeitas a padrões nacionais que exigem controles de segurança
elevado, as políticas internas poderão ser diferentes das opções de configuração padrão. Se você tiver esses
requisitos, recomendamos adotar outras ferramentas e técnicas para manter o nível de compliance
necessário e permitir que sua equipe siga as práticas recomendadas de gerenciamento de dados e
de cibersegurança.
Configurar Google Cloud e Assured Workloads para responsabilidade compartilhada
As áreas a seguir são responsabilidades do cliente como usuário de qualquer nuvem pública:
Entender quais partes dos seus dados têm requisitos de compliance e segurança diferentes.
A maioria dos clientes de nuvem tem alguma infraestrutura de TI que exige segurança comercial geral, e
alguns clientes têm dados específicos, como dados de saúde, que precisam atender a um requisito de conformidade
mais alto. O Assured Workloads pode ajudar a atender a esses requisitos mais altos de compliance. Coloque todos os
dados sensíveis ou regulamentados com requisitos específicos de acesso ou residência nas pastas ou projetos
apropriados do Assured Workloads e mantenha-os lá.
Configurar o gerenciamento de identidade e acesso (IAM) para garantir que o conteúdo da sua organização
seja acessado e modificado pelo pessoal adequado.
Criar e organizar sua hierarquia organizacional para que ela não exponha dados
pessoais.
Confira se você leu toda a documentação para entender e seguir as práticas recomendadas.
Compartilhar informações com prudência durante sessões de suporte técnico e solução de problemas e
não colocar nem compartilhar dados sensíveis ou regulamentados fora das pastas do Assured Workloads
em conformidade.
O escopo de dados sensíveis ou regulamentados pode variar dependendo de muitos fatores, incluindo regulamentações
a que você ou seus clientes estão sujeitos, e pode incluir:
Informações da conta
Informações sobre saúde
Identificadores pessoais de clientes ou usuários
Dados do titular do cartão
Números de documentos de identificação
Responsabilidades do Google no modelo de responsabilidade compartilhada
Na parceria de responsabilidade compartilhada entre o Google e os clientes, o Google assume a responsabilidade pelos elementos básicos e pela infraestrutura de criação de um negócio de nuvem de sucesso. Alguns deles dependem de responsabilidades dos clientes para configurar oGoogle Cloud e proteger adequadamente os dados. Exemplos de responsabilidades do Google
incluem:
Aplicar as políticas do IAM definidas para restringir a administração da carga de trabalho e
o acesso a dados às identidades identificadas.
Configurar e aplicar controles do Assured Workloads selecionados pelo cliente associados ao regime de compliance
selecionado para os tipos de dados protegidos nos recursos configurados
para eles. Isso inclui restrições sobre onde os dados serão armazenados e quais funcionários do Google podem ter acesso aos seus dados durante as atividades comerciais adequadas.
Fornecer configurações e controles pelo Assured Workloads para setores regulamentados e
dados sensíveis à localização.
Ao usar o Assured Workloads para Regiões da UE ou Controles de Soberania de Dados da UE, os clientes têm
controles técnicos adicionais além das garantias do GDPR feitas em Google Cloud que podem
ser usadas para ajustar a residência de dados e os controles de segurança como parte dos esforços de compliance. Alguns
desses controles incluem:
Suporte ao roteamento para pessoas da UE em locais da UE, incluindo subprocessadores.
Visibilidade sobre solicitações e acessos de acesso administrativo.
Aprovações de acesso orientadas por políticas (somente controles soberanos).
Opções personalizadas para criptografia de dados e gerenciamento de chaves.
Exemplos de campos comuns que não são recomendados para dados sensíveis ou regulamentados
Recomendamos que todos os clientes soberanos e regulamentados tenham cuidado ao inserir
dados nos serviços Google Cloud . É fundamental evitar a adição de dados sensíveis ou regulamentados
em campos de entrada comuns que podem não ser protegidos por controles técnicos ou não estão incluídos no
limite de controle técnico de cargas de trabalho garantidas. Essa prática é necessária para manter a conformidade com
os requisitos regulamentares e proteger suas informações sensíveis ou regulamentadas. Para ajudar você, criamos uma lista de exemplos de vários Google Cloud serviços em que é necessária uma vigilância
extra.
Evite colocar dados sensíveis ou regulamentados nos seguintes campos comuns:
Nomes e IDs de recursos
Nomes e IDs de projetos ou pastas
Campos ou rótulos de descrição
Métricas com base em registros
Tamanhos de VM e configurações de serviço semelhantes
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-01 UTC."],[[["\u003cp\u003eCustomers are responsible for identifying and configuring security controls within Google Cloud to protect their confidential data and meet regulatory requirements.\u003c/p\u003e\n"],["\u003cp\u003eAssured Workloads helps customers meet high compliance requirements by allowing them to place sensitive or regulated data in protected folders or projects, and also aids in configuring appropriate IAM for the resources.\u003c/p\u003e\n"],["\u003cp\u003eGoogle is responsible for foundational infrastructure security, enforcing customer-defined IAM policies, and applying Assured Workloads controls according to the selected compliance regime.\u003c/p\u003e\n"],["\u003cp\u003eCustomers should avoid placing sensitive or regulated data in common input fields like resource names, descriptions, or timestamps, as these fields may not be protected by the Assured Workloads technical controls.\u003c/p\u003e\n"],["\u003cp\u003eAssured Workloads for EU Regions or Sovereign Controls for EU offer extra technical controls, including an EU data boundary, support routing to EU locations, visibility into administrative accesses, and custom options for data encryption.\u003c/p\u003e\n"]]],[],null,["# Shared responsibility in Assured Workloads\n==========================================\n\nThis page describes shared responsibility in Assured Workloads. For\ngeneral information about shared responsibility in Google Cloud, see\n[Shared responsibilities and shared fate on Google Cloud](/architecture/framework/security/shared-responsibility-shared-fate).\n\nShared responsibility for data\n------------------------------\n\nYou're the expert in knowing the security and regulatory requirements for your business and\nknowing the requirements for protecting your confidential data and resources. When you run your\nworkloads on Google Cloud, you must identify the security controls that you need to configure\nin Google Cloud to help protect your confidential data and each workload. To decide which\nsecurity controls to implement, you must consider the following factors:\n\n- Your regulatory compliance obligations\n- Your organization's security standards and risk management plan\n- Security requirements of your customers and your vendors\n\nThe protection of your data is a primary design consideration for all of Google's\ninfrastructure, products, and personnel operations. Google Cloud provides strong security for\nmany data types, including [Customer Data](/terms/data-processing-addendum) and\n[Service Data](/terms/cloud-privacy-notice). However, if your workloads must meet\nspecific regulatory requirements or are subject to national standards that require elevated security\ncontrols, your internal policies may differ from default configuration options. If you have such\nrequirements, we recommend adopting additional tools and techniques to help maintain your required\nlevel of compliance and enable your team to follow the best practices of data management and overall\ncybersecurity management.\n\nConfigure Google Cloud and Assured Workloads for shared responsibility\n----------------------------------------------------------------------\n\nThe following areas are customer responsibilities as a user of any public cloud:\n\n- Understanding what portions of your data have different compliance and security requirements. Most cloud customers have some IT infrastructure which requires general commercial security, and some customers have specific data, such as health data, which must meet a higher compliance requirement. Assured Workloads can help to meet those higher compliance requirements. Place any sensitive or regulated data with specific access or residency requirements inside appropriate Assured Workloads folders or projects and keep it there.\n- Configuring Identity and Access Management (IAM) to ensure that the contents of your organization are accessed and modifiable by the appropriate personnel.\n- Creating and organizing your organizational hierarchy such that it does not expose personal data.\n- Ensuring you have read all documentation to understand and follow best practices.\n- Sharing information prudently during technical support sessions and troubleshooting, and **not placing or sharing sensitive or regulated data** outside compliant Assured Workloads folders.\n\nThe scope of sensitive or regulated data can vary depending on many factors including regulations\nyou or your customers are subject to and can include:\n\n- Account information\n- Health information\n- Personal identifiers for customers or users\n- Cardholder data\n- ID numbers\n\nGoogle's responsibilities in the shared responsibility model\n------------------------------------------------------------\n\nIn the shared responsibility partnership between Google and customers, Google takes\nresponsibility for the foundational elements and infrastructure of building a successful cloud\nbusiness, some of which rely on customers undertaking their responsibilities to configure\nGoogle Cloud to adequately protect their data. Examples of Google's responsibilities\ninclude:\n\n- Applying [default encryption](/docs/security/encryption/default-encryption) and [infrastructure controls](/docs/security/infrastructure/design).\n- Enforcing the IAM policies that you set to restrict workload administration and data access to the identities that you identify.\n- Configuring and enforcing any customer-selected Assured Workloads controls associated with your selected compliance regime, for the protected data types in the resources you have configured it for. This includes restrictions on where data will be stored and which Google employees can have access to your data in the course of their appropriate business activities.\n- Providing configurations and controls through Assured Workloads for regulated industries and locationally sensitive data.\n- Providing [Organization policies](/resource-manager/docs/organization-policy/overview) and [resource settings](/resource-manager/docs/cloud-platform-resource-hierarchy) that let you configure policies throughout your hierarchy of folders and projects.\n- Providing [Policy Intelligence tools](/policy-intelligence/docs/overview) that give you insights on access to accounts and resources.\n\nConfiguration specific to Europe and the EU\n-------------------------------------------\n\nWhen using Assured Workloads for EU Regions or Sovereign Controls for EU, customers have\nadditional technical controls on top of the GDPR assurances made on Google Cloud that they can\nuse to adjust their data residency and security controls as part of their compliance efforts. Some\nof these controls include:\n\n- An EU data boundary as further described in [Data residency](/assured-workloads/docs/data-residency).\n- Support routing to EU persons in EU locations, including subprocessors.\n- Visibility into Administrative Access requests and accesses.\n- Policy-driven access approvals (Sovereign Controls only).\n- Custom options for data encryption and key management.\n\nExamples of common fields that are not recommended for sensitive or regulated data\n----------------------------------------------------------------------------------\n\nWe strongly recommend all regulated and sovereign customers to exercise caution when inputting\ndata into Google Cloud services. It's critical to avoid adding sensitive or regulated data\ninto common input fields that may not be protected by technical controls or aren't included in the\nAssured Workloads technical control boundary. This practice is necessary to maintain compliance with\nregulatory requirements and safeguards your sensitive or regulated information. To assist you, we\ncompiled a list of examples across various Google Cloud services where extra vigilance is\nrequired.\n\nAvoid placing your sensitive or regulated data in the following common fields:\n\n- Resource names and IDs\n- Project or folder names and IDs\n- Any description fields or labels\n- Log-based metrics\n- VM sizes and similar service configurations\n- URIs or file paths\n- Timestamps\n- User IDs\n- Firewall rules\n- Security scanning configurations\n- Customer IAM policies\n\nWhat's next\n-----------\n\n- Learn more about [Shared responsibilities and shared fate on Google Cloud](/architecture/framework/security/shared-responsibility-shared-fate)."]]
