Sei esperto dei requisiti di sicurezza e normativi della tua attività e conosci i requisiti per proteggere le tue risorse e i tuoi dati riservati. Quando esegui i carichi di lavoro su Google Cloud, devi identificare i controlli di sicurezza da configurare in Google Cloud per contribuire a proteggere i tuoi dati riservati e ogni carico di lavoro. Per decidere quali controlli di sicurezza implementare, devi considerare i seguenti fattori:
I tuoi obblighi di conformità normativa
Gli standard di sicurezza e il piano di gestione dei rischi della tua organizzazione
Requisiti di sicurezza dei tuoi clienti e dei tuoi fornitori
La protezione dei tuoi dati è una priorità in fase di progettazione per tutte le operazioni di Google relative a infrastrutture, prodotti e personale. Google Cloud offre una sicurezza solida per molti tipi di dati, inclusi i dati dei clienti e i dati di servizio. Tuttavia, se i tuoi carichi di lavoro devono soddisfare requisiti normativi specifici o sono soggetti a standard nazionali che richiedono controlli di sicurezza elevati, i tuoi criteri interni potrebbero essere diversi dalle opzioni di configurazione predefinite. Se hai questi requisiti, ti consigliamo di adottare strumenti e tecniche aggiuntivi per mantenere il livello di conformità richiesto e consentire al tuo team di seguire le best practice di gestione dei dati e della cybersecurity complessiva.
Configura Google Cloud e Assured Workloads per la responsabilità condivisa
Le seguenti aree sono responsabilità del cliente in qualità di utente di qualsiasi cloud pubblico:
Scopri quali parti dei tuoi dati hanno requisiti di conformità e sicurezza diversi.
La maggior parte dei clienti cloud ha un'infrastruttura IT che richiede sicurezza commerciale generale e alcuni clienti hanno dati specifici, come i dati sanitari, che devono soddisfare un requisito di conformità più elevato. Assured Workloads può aiutarti a soddisfare questi requisiti di conformità più elevati. Inserisci eventuali
dati sensibili o regolamentati con requisiti di accesso o residenza specifici all'interno di progetti o cartelle
Assured Workloads appropriati e mantienili lì.
Configurare Identity and Access Management (IAM) per assicurarti che i contenuti della tua organizzazione siano accessibili e modificabili dal personale appropriato.
Creare e organizzare la gerarchia dell'organizzazione in modo che non esponga dati personali.
Assicurati di aver letto tutta la documentazione per comprendere e seguire le best practice.
Condividere le informazioni con cautela durante le sessioni di assistenza tecnica e la risoluzione dei problemi e non inserire o condividere dati sensibili o regolamentati al di fuori delle cartelle Assured Workloads conformi.
L'ambito dei dati sensibili o regolamentati può variare a seconda di molti fattori, tra cui le normative a cui tu o i tuoi clienti siete soggetti, e può includere:
Dati dell'account
Informazioni sull'integrità
Identificatori personali per clienti o utenti
Dati del titolare della carta
Numeri di documenti di identità
Responsabilità di Google nel modello di responsabilità condivisa
Nella partnership con responsabilità condivisa tra Google e i clienti, Google si assume la responsabilità degli elementi di base e dell'infrastruttura per la creazione di un'attività cloud di successo, alcuni dei quali richiedono ai clienti di assumersi la responsabilità di configurareGoogle Cloud per proteggere adeguatamente i propri dati. Ecco alcuni esempi di responsabilità di Google:
Applicazione delle norme IAM impostate per limitare l'amministrazione dei carichi di lavoro e l'accesso ai dati alle identità identificate.
Configurazione e applicazione di eventuali controlli Assured Workloads selezionati dal cliente associati al regime di conformità selezionato per i tipi di dati protetti nelle risorse per le quali sono stati configurati. Sono incluse limitazioni relative a dove verranno archiviati i dati e a quali dipendenti di Google possono avere accesso ai tuoi dati nel corso delle loro attività aziendali appropriate.
Fornisce configurazioni e controlli tramite Assured Workloads per settori regolamentati e
dati sensibili dal punto di vista della posizione.
Quando utilizzano Assured Workloads per le regioni dell'UE o i controlli di sovranità per l'UE, i clienti hanno a disposizione controlli tecnici aggiuntivi oltre alle garanzie del GDPR fornite su Google Cloud che possono utilizzare per modificare la residenza dei dati e i controlli di sicurezza nell'ambito dei loro sforzi di conformità. Ecco alcuni di questi controlli:
Un confine di dati dell'UE, come descritto più dettagliatamente in Residenza dei dati.
Supporta il routing a persone giuridiche dell'UE in località dell'UE, inclusi i subprocessori.
Visibilità delle richieste e degli accessi con accesso amministrativo.
Approvazioni di accesso basate su criteri (solo controlli sovrani).
Opzioni personalizzate per la crittografia dei dati e la gestione delle chiavi.
Esempi di campi comuni non consigliati per i dati sensibili o regolamentati
Consigliamo vivamente a tutti i clienti regolamentati e sovrani di prestare attenzione quando inseriscono i dati nei Google Cloud servizi. È fondamentale evitare di aggiungere dati sensibili o regolamentati
nei campi di immissione comuni che potrebbero non essere protetti da controlli tecnici o non essere inclusi nel
confine del controllo tecnico dei carichi di lavoro garantiti. Questa pratica è necessaria per mantenere la conformità ai requisiti normativi e salvaguardare le tue informazioni sensibili o regolamentate. Per aiutarti, abbiamo compilato un elenco di esempi di vari Google Cloud servizi in cui è necessaria una maggiore vigilanza.
Evita di inserire i tuoi dati sensibili o regolamentati nei seguenti campi comuni:
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eCustomers are responsible for identifying and configuring security controls within Google Cloud to protect their confidential data and meet regulatory requirements.\u003c/p\u003e\n"],["\u003cp\u003eAssured Workloads helps customers meet high compliance requirements by allowing them to place sensitive or regulated data in protected folders or projects, and also aids in configuring appropriate IAM for the resources.\u003c/p\u003e\n"],["\u003cp\u003eGoogle is responsible for foundational infrastructure security, enforcing customer-defined IAM policies, and applying Assured Workloads controls according to the selected compliance regime.\u003c/p\u003e\n"],["\u003cp\u003eCustomers should avoid placing sensitive or regulated data in common input fields like resource names, descriptions, or timestamps, as these fields may not be protected by the Assured Workloads technical controls.\u003c/p\u003e\n"],["\u003cp\u003eAssured Workloads for EU Regions or Sovereign Controls for EU offer extra technical controls, including an EU data boundary, support routing to EU locations, visibility into administrative accesses, and custom options for data encryption.\u003c/p\u003e\n"]]],[],null,["# Shared responsibility in Assured Workloads\n==========================================\n\nThis page describes shared responsibility in Assured Workloads. For\ngeneral information about shared responsibility in Google Cloud, see\n[Shared responsibilities and shared fate on Google Cloud](/architecture/framework/security/shared-responsibility-shared-fate).\n\nShared responsibility for data\n------------------------------\n\nYou're the expert in knowing the security and regulatory requirements for your business and\nknowing the requirements for protecting your confidential data and resources. When you run your\nworkloads on Google Cloud, you must identify the security controls that you need to configure\nin Google Cloud to help protect your confidential data and each workload. To decide which\nsecurity controls to implement, you must consider the following factors:\n\n- Your regulatory compliance obligations\n- Your organization's security standards and risk management plan\n- Security requirements of your customers and your vendors\n\nThe protection of your data is a primary design consideration for all of Google's\ninfrastructure, products, and personnel operations. Google Cloud provides strong security for\nmany data types, including [Customer Data](/terms/data-processing-addendum) and\n[Service Data](/terms/cloud-privacy-notice). However, if your workloads must meet\nspecific regulatory requirements or are subject to national standards that require elevated security\ncontrols, your internal policies may differ from default configuration options. If you have such\nrequirements, we recommend adopting additional tools and techniques to help maintain your required\nlevel of compliance and enable your team to follow the best practices of data management and overall\ncybersecurity management.\n\nConfigure Google Cloud and Assured Workloads for shared responsibility\n----------------------------------------------------------------------\n\nThe following areas are customer responsibilities as a user of any public cloud:\n\n- Understanding what portions of your data have different compliance and security requirements. Most cloud customers have some IT infrastructure which requires general commercial security, and some customers have specific data, such as health data, which must meet a higher compliance requirement. Assured Workloads can help to meet those higher compliance requirements. Place any sensitive or regulated data with specific access or residency requirements inside appropriate Assured Workloads folders or projects and keep it there.\n- Configuring Identity and Access Management (IAM) to ensure that the contents of your organization are accessed and modifiable by the appropriate personnel.\n- Creating and organizing your organizational hierarchy such that it does not expose personal data.\n- Ensuring you have read all documentation to understand and follow best practices.\n- Sharing information prudently during technical support sessions and troubleshooting, and **not placing or sharing sensitive or regulated data** outside compliant Assured Workloads folders.\n\nThe scope of sensitive or regulated data can vary depending on many factors including regulations\nyou or your customers are subject to and can include:\n\n- Account information\n- Health information\n- Personal identifiers for customers or users\n- Cardholder data\n- ID numbers\n\nGoogle's responsibilities in the shared responsibility model\n------------------------------------------------------------\n\nIn the shared responsibility partnership between Google and customers, Google takes\nresponsibility for the foundational elements and infrastructure of building a successful cloud\nbusiness, some of which rely on customers undertaking their responsibilities to configure\nGoogle Cloud to adequately protect their data. Examples of Google's responsibilities\ninclude:\n\n- Applying [default encryption](/docs/security/encryption/default-encryption) and [infrastructure controls](/docs/security/infrastructure/design).\n- Enforcing the IAM policies that you set to restrict workload administration and data access to the identities that you identify.\n- Configuring and enforcing any customer-selected Assured Workloads controls associated with your selected compliance regime, for the protected data types in the resources you have configured it for. This includes restrictions on where data will be stored and which Google employees can have access to your data in the course of their appropriate business activities.\n- Providing configurations and controls through Assured Workloads for regulated industries and locationally sensitive data.\n- Providing [Organization policies](/resource-manager/docs/organization-policy/overview) and [resource settings](/resource-manager/docs/cloud-platform-resource-hierarchy) that let you configure policies throughout your hierarchy of folders and projects.\n- Providing [Policy Intelligence tools](/policy-intelligence/docs/overview) that give you insights on access to accounts and resources.\n\nConfiguration specific to Europe and the EU\n-------------------------------------------\n\nWhen using Assured Workloads for EU Regions or Sovereign Controls for EU, customers have\nadditional technical controls on top of the GDPR assurances made on Google Cloud that they can\nuse to adjust their data residency and security controls as part of their compliance efforts. Some\nof these controls include:\n\n- An EU data boundary as further described in [Data residency](/assured-workloads/docs/data-residency).\n- Support routing to EU persons in EU locations, including subprocessors.\n- Visibility into Administrative Access requests and accesses.\n- Policy-driven access approvals (Sovereign Controls only).\n- Custom options for data encryption and key management.\n\nExamples of common fields that are not recommended for sensitive or regulated data\n----------------------------------------------------------------------------------\n\nWe strongly recommend all regulated and sovereign customers to exercise caution when inputting\ndata into Google Cloud services. It's critical to avoid adding sensitive or regulated data\ninto common input fields that may not be protected by technical controls or aren't included in the\nAssured Workloads technical control boundary. This practice is necessary to maintain compliance with\nregulatory requirements and safeguards your sensitive or regulated information. To assist you, we\ncompiled a list of examples across various Google Cloud services where extra vigilance is\nrequired.\n\nAvoid placing your sensitive or regulated data in the following common fields:\n\n- Resource names and IDs\n- Project or folder names and IDs\n- Any description fields or labels\n- Log-based metrics\n- VM sizes and similar service configurations\n- URIs or file paths\n- Timestamps\n- User IDs\n- Firewall rules\n- Security scanning configurations\n- Customer IAM policies\n\nWhat's next\n-----------\n\n- Learn more about [Shared responsibilities and shared fate on Google Cloud](/architecture/framework/security/shared-responsibility-shared-fate)."]]
