本主题介绍有关 Sensitive Data Protection 和数据安全性的信息,包括认证、合规性(包括 GDPR)和加密。如需详细了解数据安全性和 Google Cloud,请参阅 Google Cloud 安全性。
认证
Sensitive Data Protection 符合各种认证和合规性标准,包括以下标准。此列表并未涵盖所有情况。
- ISO/IEC 27001
- ISO/IEC 27017:2015
- ISO/IEC 27018:2014
- 支付卡行业数据安全标准 (PCI DSS)
- HIPAA 业务伙伴协议 (BAA)
- 多层级云安全 (MTCS) 新加坡标准 (SS) 584
如需详细了解 Google Cloud 服务满足的合规产品和服务,请参阅合规性资源中心。
GDPR
遵守欧盟的《一般数据保护条例》(GDPR) 是 Google Cloud 和 Google Cloud 客户的首要任务之一。
虽然敏感数据保护功能提供了一些内置的 infoType 检测器(可能适用于 GDPR 合规性),但您可能需要构建自己的自定义 infoType 检测器并应进行全面测试,以确保该工具可以满足您的特定需求。
建议您阅读 Google Cloud 和 GDPR 概览,详细了解 Google Cloud 的 GDPR 合规性可用资源。
加密
如需详细了解传输加密和 Google Cloud 服务,请参阅 Google Cloud 中的传输加密。
如需详细了解静态加密和 Google Cloud 服务,请参阅 Google Cloud 中的静态数据加密。
数据的存储方式
Sensitive Data Protection 会根据您使用的服务方法来处理和存储您的数据。
内容方法
当您使用 content 方法处理数据时,您的数据不会存储在 Google Cloud 上。您的请求配置和载荷会在内存中同步处理,不会缓存。
存储方法
存储方法是异步操作,可让您检查 Google Cloud 数据,例如 BigQuery 表和 Cloud Storage 存储分区中的数据。您可以控制这些数据的存储、访问和保护方式,就像您在 Google Cloud 中拥有的任何资源一样。敏感数据保护功能会在数据所在的同一区域处理数据,并将检查作业存储在该区域。
检查作业包含您设置的配置详细信息和结果摘要。Sensitive Data Protection 存储的结果摘要不包含任何已检查的数据,也不包含包含敏感信息的实际字符串(在 Sensitive Data Protection 中也称为引号)。您可以通过 Google Cloud 控制台或通过 DLP API 删除作业(包括结果摘要)。
在配置检查作业时,您可以指示敏感数据保护功能将检查结果导出到您选择的 BigQuery 表。引号可能会包含在导出的发现结果中,具体取决于您的设置。您拥有 BigQuery 表,并控制其存储、访问和保护方式。
混合方法
混合方法是异步操作,可让您检查存储在任何位置的数据,包括存储在 Google Cloud 之外的数据。在检查作业中,您可以指定 Sensitive Data Protection 在哪里处理数据以及保存作业。
检查作业包含您设置的配置详细信息和结果摘要。Sensitive Data Protection 存储的结果摘要不包含任何已检查的数据,也不包含包含敏感信息的实际字符串(在 Sensitive Data Protection 中也称为引号)。您可以通过 Google Cloud 控制台或通过 DLP API 删除作业(包括结果摘要)。
在配置检查作业时,您可以指示敏感数据保护功能将检查结果导出到您选择的 BigQuery 表。引号可能会包含在导出的发现结果中,具体取决于您的设置。您拥有 BigQuery 表,并控制其存储、访问和保护方式。
发现
敏感数据保护功能会在数据资产所在的区域或多区域中处理这些数据资产,并将生成的数据分析文件存储在同一区域或多区域中。如需详细了解发现服务如何支持数据驻留要求,请参阅数据驻留注意事项。
自定义 infoType 的存储方式
您可以通过指定要扫描的正则表达式或字词列表(字词和短语)来创建自定义 infoType。您可以直接在敏感数据保护请求中列出这些字词来提供这些字词。或者,您也可以引用包含字词列表的 BigQuery 表或 Cloud Storage 文件或文件夹。
构成自定义 infoType 的字词可能比较敏感。这些数据的存储方式取决于您向 Sensitive Data Protection 提供这些数据的方式:
- 如果您直接在内容方法中列出字词,则系统会在内存中同步处理数据,而不会存储或缓存数据。
- 如果您直接在检查作业中列出字词,则这些字词会随检查作业一起保存。如需详细了解如何存储检查作业,请参阅存储方法和混合方法。
- 如果您直接在检查模板中列出字词,则这些字词会随检查模板一起保存。检查模板存储在您创建模板时设置的区域中。您可以通过 Google Cloud 控制台或通过 DLP API 删除检查模板。
- 如果您将字词存储在 BigQuery 表或 Cloud Storage 文件或文件夹中,则可以控制其存储、访问和保护方式,就像您在 Google Cloud 中拥有的任何资源一样。
隐私权
如需了解 Google Cloud 如何保护您的隐私,请访问隐私权资源中心。
后续步骤
如需详细了解 Google 云服务的安全措施,请参阅 Google Cloud 安全性页面。