Google Cloud והתקנה הכללית להגנה על נתונים (GDPR)

מבוא

התקנה הכללית להגנה על נתונים (GDPR)

ב-25 במאי 2018, ייכנס לתוקף החוק המשמעותי ביותר בתחום ההגנה על נתונים שנחקק ב-20 השנים האחרונות באירופה. EU General Data Protection Regulation ‏ (GDPR) מחליפה את‏ 1995 EU Data Protection Directive‏. התקנה הכללית להגנה על נתונים מחזקת את הזכויות שיש ליחידים לגבי נתונים אישיים הקשורים אליהם. כמו כן, מטרתה לאחד את חוקי הגנת הנתונים בכל רחבי אירופה, ללא קשר למקום של עיבוד הנתונים.

Google מתחייבת בזאת שכל שירותי Google Cloud יפעלו בהתאם ל-GDPR. כמו כן, אנחנו מתחייבים לעזור ללקוחות שלנו לעמוד בדרישות ה-DGPR וללוות אותם בתהליך. לשם כך, הוספנו לשירותים ולחוזים שלנו אמצעים חזקים להגנה על פרטיות לאורך השנים.

מה אתם יכולים לעשות

מהם תחומי האחריות שלכם כלקוחות?

הלקוחות של G Suite1 ושל Google Cloud Platform יפעלו בדרך כלל כבעלי השליטה בכל הנתונים האישיים שהם מספקים ל-Google כתוצאה מהשימוש שלהם בשירותי Google. בעלי השליטה בנתונים קובעים את המטרות של עיבוד הנתונים האישיים ואת האמצעים להשגתן, והאחראים לעיבוד הנתונים מעבדים את הנתונים מטעם בעלי השליטה. Google היא אחראית לעיבוד נתונים. היא מעבדת נתונים אישיים מטעם בעל השליטה בנתונים כאשר בעל השליטה משתמש ב-G Suite או ב-Google Cloud Platform.

על בעל השליטה בנתונים לנקוט אמצעים טכניים וארגוניים מתאימים כדי להבטיח ולהוכיח שעיבוד הנתונים מבוצע בהתאם לדרישות ה-GDPR. בעל השליטה בנתונים מחויב לשמור על עקרונות כגון חוקיות, הוגנות ושקיפות, צמידות המטרה, צמצום נתונים ודיוק, וכן שמירה על הזכויות של האנשים שאליהם מתייחסים הנתונים בכל הנוגע לנתונים שלהם.

אם אתם בעלי שליטה בנתונים, ייתכן שתמצאו הנחיות הקשורות לתחומי האחריות שלכם במסגרת ה-GDPR באתר של הרשות להגנה על נתונים במדינה שלכם או של הרשות הקובעת לפי ה-GDPR (אם רלוונטי)2. כדאי להיכנס לאתר באופן קבוע כדי להתעדכן בשינויים. ניתן גם לעיין בפרסומים של אגודות לפרטיות נתונים, למשל האיגוד הבינלאומי של אנשי המקצוע בתחום הפרטיות (IAPP).

בנוסף, מומלץ לקבל ייעוץ משפטי בלתי תלוי הקשור לסטטוס ולמחויבויות שלכם במסגרת ה-GDPR, מפני שרק עורך דין יכול לספק ייעוץ משפטי המותאם במיוחד למצבכם. שימו לב – המידע באתר הזה לא נועד לספק ייעוץ משפטי, ואין להשתמש בו כתחליף לייעוץ משפטי.

איפה כדאי להתחיל?

כלקוחות קיימים או עתידיים של Google Cloud, זהו הזמן המתאים להתחיל להתכונן לעבודה במסגרת התקנה הכללית להגנה על נתונים (GDPR). מומלץ לקרוא את הטיפים הבאים:

  • הכירו את התנאים של GDPR, עם דגש על ההבדלים ביניהם לבין ההתחייבויות הנוכחיות שלכם להגנה על נתונים.
  • כדאי ליצור מלאי מעודכן של הנתונים האישיים שבהם אתם מטפלים. ניתן להשתמש בחלק מהכלים שאנחנו מספקים כדי לזהות ולסווג נתונים.
  • בדקו את אמצעי הבקרה, המדיניות והתהליכים הקיימים בעסק שלכם כדי לראות אם הם עומדים בדרישות ה-GDPR. אם יתגלו פערים, צרו תוכנית כדי לטפל בהם.
  • נסו לחשוב איך אפשר למנף את התכונות להגנה על נתונים הקיימות ב-Google Cloud במסגרת התאימות הרגולטורית של העסק. עיינו בחומרים בנושא ביקורת ואישורים של גורמי צד שלישי ל-G Suite ול-Google Cloud Platform כדי לראות אם הם יכולים לעזור לכם בתהליך הזה.
  • עיינו בהנחיות הרגולציה המעודכנות מייד עם פרסומן והתייעצו עם עורך דין בנושאים הרלוונטיים לנסיבות העסקיות שלכם.

1 G Suite כולל את G Suite for Business ואת G Suite for Education.

2 אנחנו ממליצים לפנות לייעוץ משפטי בלתי תלוי כדי לבדוק מהי הרשות להגנה על נתונים במדינה שלכם ואיזו רשות קובעת במקרה של פעילות בינלאומית.

מה אנחנו עושים

ההתחייבויות של G Suite ושל Google Cloud Platform 
לעמידה בדרישות ה-GDPR

בין היתר, בעלי השליטה בנתונים נדרשים להשתמש רק באחראים לעיבוד נתונים שנוקטים אמצעים טכניים וארגוניים מתאימים כדי לעמוד בדרישות ה-GDPR, והנותנים לכך ערובה מספקת. יש כמה היבטים שכדאי להביא בחשבון בהערכה של שירותי G Suite ו-Google Cloud Platform.

משאבים, אמינות וידע שרק מומחים יכולים לספק

מומחיות בהגנה על נתונים

‏Google מעסיקה אנשי מקצוע מתחום האבטחה והפרטיות, וביניהם כמה מהמומחים המובילים בעולם לאבטחה של מידע, אפליקציות ורשתות. הצוות הזה אמון על תחזוקה של מערכות ההגנה בחברה, פיתוח של תהליכי ביקורת הנוגעים לאבטחה, פיתוח תשתית אבטחה ויישום המדיניות של Google בתחום האבטחה.

כמו כן, Google מעסיקה צוות גדול של עורכי דין, מומחי תאימות לתקנות רגולטוריות ומומחי מדיניות ציבורית, שאמונים על תאימות בתחומי הפרטיות והאבטחה ב-Google.‏

הצוותים האלה יוצרים קשר עם לקוחות, עם בעלי עניין בתעשייה ועם רשויות פיקוח, כדי לבנות את השירותים של G Suite ושל Google Cloud Platform באופן שיסייע ללקוחות לענות על הצרכים שלהם בתחום התאימות.

התחייבויות בנושא הגנה על נתונים

הסכמים בנושא עיבוד נתונים

ההסכמים הקשורים לעיבוד נתונים במוצרים G Suite ו-Google Cloud Platform מבטאים באופן ברור את ההתחייבויות שלנו ללקוחות בתחום הפרטיות. פיתחנו את התנאים האלה במשך שנים על סמך המשוב שקיבלנו מהלקוחות ומהרגולטורים שלנו.

לאחרונה, עדכנו את התנאים האלה באופן ספציפי כך שיעמדו בדרישות התקנה הכללית להגנה על נתונים (GDPR). כמו כן, פרסמנו את העדכונים האלה זמן רב לפני כניסת התקנה לתוקף כדי לסייע ללקוחות שלנו להתאים את עצמם לדרישות ה-GDPR בעת השימוש בשירותי Google Cloud‏.

הלקוחות שלנו יכולים כעת לקבל את תנאים המעודכנים של עיבוד הנתונים באמצעות תהליך הבעת ההסכמה המתואר כאן בנוגע לתיקון לעיבוד הנתונים ב-G Suite,‏ וכאן בנוגעי לתנאי האבטחה ועיבוד הנתונים ב-GCP. התנאים המעודכנים יחולו ב-25 במאי 2018, כאשר התקנה GDPR תיכנס לתוקף.

עיבוד בהתאם להוראות

עיבוד הנתונים שלקוח כלשהו והמשתמשים שלו שומרים במערכות שלנו יתבצע בהתאם להוראות הלקוח בלבד, כפי שמתואר בהסכמים הנוכחיים שלנו בנושא עיבוד נתונים וגם בהסכמים המעודכנים לפי GDPR‏.

התחייבויות העובדים לסודיות

כל העובדים של Google נדרשים לחתום על הסכם סודיות ולהשלים הדרכות חובה בנושאי סודיות ופרטיות, וכן הדרכה בנושא קוד ההתנהגות. קוד ההתנהגות של Google כולל התייחסות פרטנית לתחומי האחריות הנוגעים להגנה על מידע ולהתנהגות הנדרשת מהעובדים בהקשר זה.

שימוש במעבדי משנה

חברות בקבוצת Google מנהלות באופן ישיר את מרבית הפעילויות של עיבוד הנתונים שנדרשות כדי לספק את שירותי G Suite ו-Google Cloud Platform. עם זאת, אנחנו עובדים גם עם ספקים של צד שלישי שמסייעים בתמיכה בשירותים האלה. כל ספק עובר תהליך מיון קפדני כדי להבטיח שהוא יכול לספק את המומחיות הטכנית הנדרשת ואת רמות האבטחה והפרטיות הראויות.

אנחנו מספקים מידע על אחראי עיבוד משניים של חברות בקבוצת Google שתומכים בשירותים של G Suite‏ ו-Google Cloud Platform‏. כמו כן, אנחנו מספקים מידע על אחראי העיבוד המשניים של גורמי צד שלישי המעורבים במתן שירותים אלה. הוספנו את ההתחייבויות הקשורות לאחראי עיבוד משניים להסכמים הנוכחיים והמעודכנים שלנו בנושא עיבוד נתונים.

אבטחת השירותים

לפי התקנה הכללית להגנה על נתונים (GDPR), בעל השליטה בנתונים והאחראי לעיבוד שלהם חייבים לנקוט אמצעים טכניים וארגוניים כדי להבטיח רמת אבטחה שמתאימה לרמת הסיכון.

‏Google מפעילה תשתית גלובלית המיועדת לספק רמת אבטחה יוצאת מן הכלל בכל שלבי מחזור החיים של עיבוד המידע. תשתית זו נועדה לספק פריסה מאובטחת של שירותים, אחסון נתונים מאובטח עם אמצעי הגנה לפרטיות של משתמשי קצה, תקשורת מאובטחת בין שירותים, תקשורת מאובטחת ופרטית עם לקוחות דרך האינטרנט ותפעול בטוח שמבצעים מנהלי מערכות. G Suite ו-Google Cloud Platform פועלים בתשתית הזו.

תכננו את אבטחת התשתית במבנה של שכבות המתחיל מהאבטחה הפיזית של מרכזי הנתונים, ממשיך באמצעי ההגנה של החומרה והתוכנה שלנו ומסתיים בתהליכים המשמשים אותנו לתמיכה באבטחה תפעולית. מבנה השכבות יוצר בסיס אבטחה איתן לכל סוגי הפעילות שלנו. ניתן לעיין בדיון מפורט על אבטחת התשתית שלנו בסקירה הטכנית של תכנון האבטחה ב-Google‏.

זמינות, שלמות ועמידות

Google מתכננת את רכיבי הפלטפורמה כרכיבים יתירים. מרכזי הנתונים של Google פרוסים באזורים גיאוגרפיים שונים כדי למזער את ההשפעות של שיבושים אזוריים, כמו אסונות טבע והפסקות חשמל מקומיות, על מוצרים גלובליים. במקרה של כשל בחומרה, בתוכנה או ברשת, השירותים מועברים באופן אוטומטי ומיידי ממתקן אחד לאחר, כך שניתן להמשיך בפעילות ללא הפרעה. התשתית שלנו כוללת מערכות כפולות רבות כדי לעזור ללקוחות למנוע אובדן נתונים.

בדיקות

‏Google עורכת בדיקות להתאוששות מאסון על בסיס שנתי כדי לספק אפשרות לתיאום בין צוות התשתית לצוותי האפליקציות בזמן בדיקה של תוכניות תקשורת, תרחישי יתירות-כשל (fail-over), מעבר תפעולי ותגובות אחרות במקרי חירום. כל הצוותים המשתתפים בתרגיל להתאוששות מאסון מפתחים תוכניות בדיקה, מנתחים את התוצאות ואת המסקנות שהופקו מהבדיקות ומתעדים אותן בדוחות מפורטים.

הצפנה

‏Google משתמשת בהצפנה כדי להגן על נתונים שנשמרים ועל נתונים שמועברים. נתונים שמועברים אל G Suite מוגנים באמצעות פרוטוקול HTTPS, שמופעל כברירת מחדל לכל המשתמשים. השירותים של G Suite ושל Google Cloud Platform מצפינים תוכן שמור של לקוחות באמצעות מנגנון הצפנה אחד או יותר. לא נדרשת פעולה מצד לקוחות לצורך ההצפנה. ניתן לקרוא דיון מפורט על האופן שבו אנחנו מצפינים נתונים בסקירה הטכנית שלנו בנושא הצפנה.

בקרת גישה

זכויות הגישה של עובדי Google נחלקות לרמות גישה שונות ונקבעות על סמך המשימות והתפקידים שלהם, בהתאם לעקרונות "הרשאה מינימלית" ו"לידיעה", כך שהרשאות הגישה מתאימות לתחומי האחריות המוגדרים. בקשות לקבלת גישה נוספת מעובדות בתהליך רשמי הכולל בקשה ואישור של בעל נתונים, בעל מערכת, מנהל או מנהלים בכירים אחרים, כפי שנקבע במדיניות האבטחה של Google.‏

ניהול פרצות אבטחה

אנחנו עורכים סריקות כדי לאתר פרצות אבטחה בתוכנה בעזרת שילוב של כלים מסחריים וכלים פנימיים שפותחו בחברה במיוחד למטרה זו, בדיקות חדירה אינטנסיביות אוטומטיות וידניות, תהליכי הבטחת איכות, בדיקות של אבטחת תוכנה וביקורות חיצוניות. כמו כן, אנחנו מסתמכים על קהילת המחקר החיצונית בתחום האבטחה ומעריכים מאוד את עזרתם של חברי הקהילה בזיהוי פרצות אבטחה ב-G Suite, ב-Google Cloud Platform ובמוצרים אחרים של Google. תוכנית התמריצים על איתור פרצות אבטחה נועדה לעודד חוקרים לדווח על בעיות בתכנון ובהטמעה, שעלולות לסכן נתוני לקוחות.

אבטחת מוצר: G Suite‏

לקוחות G Suite יכולים לנצל תכונות ותצורות של המוצר כדי לספק הגנה נוספת מפני עיבוד לא מורשה או לא חוקי של נתונים אישיים:

למידע נוסף, ניתן להיכנס אל https://gsuite.google.com/security

אבטחת מוצר: GCP

לקוחות GCP יכולים לנצל תכונות ותצורות של המוצר להגנה נוספת מפני עיבוד לא מורשה או לא חוקי של נתונים אישיים:

  • אימות דו-שלבי מפחית באופן משמעותי את הסיכון של גישה לא מורשית על ידי בקשת הוכחה נוספת לזהות המשתמשים בכניסה לחשבון. הדרישה למפתחות אבטחה פיזיים מספקת שכבת אבטחה נוספת לחשבונות של משתמשים.
  • ניהול זהויות וגישה ב-Google Cloud‏ (Cloud IAM) מאפשר ליצור ולנהל הרשאות גישה ועריכה פרטניות למשאבים של Google Cloud Platform‏.
  • Data Loss Prevention API עוזר לזהות קטגוריות מיוחדות של נתונים אישיים ולנהל מעקב אחר עיבודן, לצורך הטמעה של בקרה מתאימה.
  • השירותים Stackdriver Logging ו-Stackdriver Monitoring מוסיפים ל-Google Cloud Platform רישום ביומנים, מעקב, התראות ומערכות לזיהוי חריגות.
  • Cloud Identity-Aware Proxy‏ (Cloud IAP) שולט בגישה לאפליקציות ענן שרצות ב-Google Cloud Platform.‏
  • Cloud Security Scanner מאתר פרצות אבטחה נפוצות באפליקציות של Google App Engine.‏

למידע נוסף, ניתן להיכנס אל https://cloud.google.com/security/

החזרה ומחיקה של נתונים

מנהלי מערכת יכולים לייצא נתוני לקוחות באמצעות הפונקציונליות של שירותי G Suite או Google Cloud Platform בכל זמן במהלך תקופת ההסכם. הוספנו התחייבויות לגבי ייצוא נתונים לתנאים שלנו בנושא עיבוד נתונים כבר לפני מספר שנים. אנחנו נמשיך להציע אותן לאחר שהתקנה הכללית להגנה על נתונים (GDPR) תיכנס לתוקף. כמו כן, אנחנו פועלים לשיפור האמינות של היכולות לייצוא הנתונים בשירותי G Suite‏ ובכל אחד מהשירותים של Google Cloud Platform (לקבלת מידע נוסף, ניתן לעיין במסמכי התיעוד של Google Cloud Platform‏‏).

ניתן גם למחוק נתוני לקוחות באמצעות הפונקציונליות של שירותי G Suite או Google Cloud Platform בכל זמן. כאשר Google מקבלת מכם הוראה למחיקה מלאה (למשל, כדי שלא ניתן יהיה לשחזר אימייל שמחקתם מתיקיית האשפה), היא מוחקת את נתוני הלקוחות הרלוונטיים מכל המערכות שלה תוך תקופה של 180 יום לכל היותר, אלא אם חלה עליהם מחויבות שימור.

סיוע לבעל השליטה בנתונים

זכויות האנשים שאליהם מתייחסים הנתונים

בעלי השליטה בנתונים יכולים להיעזר במסופי הניהול של G Suite ו-Google Cloud Platform ובפונקציונליות של השירותים שלהם כדי לגשת לנתונים שהם והמשתמשים שלהם שמרו במערכות שלנו. כמו כן, אפשר להיעזר בהם כדי לתקן ולמחוק את הנתונים האלו ולהגביל את העיבוד שלהם. פונקציונליות זו תעזור להם למלא את המחויבות שלהם להגיב לבקשות של האנשים שאליהם מתייחסים הנתונים, בכל הנוגע למימוש זכויותיהם במסגרת ה-GDPR‏.

צוות ההגנה על נתונים

ללקוחות G Suite ו-Google Cloud Platform יש צוות ייעודי שאליו ניתן להפנות שאלות בנושא הגנה על נתונים.

הודעות על תקריות

לקוחות G Suite ו-Google Cloud Platform נהנים מזה שנים רבות מהתחייבויות חוזיות בנוגע להודעות על תקריות. נמשיך לעדכן אתכם בנוגע לתקריות הקשורות לנתוני הלקוחות מהר ככל הניתן, בהתאם לתנאים המוגדרים בהסכמים הנוכחיים שלנו בנושא תקריות נתונים. כמו כן, העדכון יתבצע בהתאם לתנאים המעודכנים שיחולו ב-25 במאי 2018, כאשר התקנה GDPR תיכנס לתוקף.

העברות נתונים בינלאומיות

התקנה הכללית להגנה על נתונים (GDPR) כוללת מספר מנגנונים שמאפשרים העברה של נתונים אישיים מחוץ לאיחוד האירופי. מטרת המנגנונים האלה היא להבטיח רמה מתאימה של הגנה או יישום של אמצעי הגנה מתאימים להעברת נתונים אישיים למדינה שלישית.

ניתן לספק אמצעי הגנה מתאימים בעזרת סעיפים חוזיים סטנדרטיים. ניתן להבטיח רמת הגנה מתאימה באמצעות החלטות בנוגע לתאימות, כגון ההחלטות התומכות בעקרונות של 'מגן הפרטיות' של האיחוד האירופי וארצות הברית.

אנחנו מתחייבים בסכמים הנוכחיים שלנו בנוגע עיבוד הנתונים, להשתמש במנגנון המאפשר העברת נתונים אישיים מחוץ לאיחוד האירופי, בהתאם לדרישות ההוראה להגנה על נתונים (Data Protection Directive). אנחנו נציע גם התחייבות מקבילה החל מ-25 במאי 2018, כאשר ה-GDPR תיכנס לתוקף.

האישור של Google, שניתן במסגרות 'מגן הפרטיות' של האיחוד האירופי וארצות הברית ושל שווייץ וארצות הברית, כולל את G Suite ואת Google Cloud Platform‏. כמו כן, קיבלנו אישור מרשויות אירופיות להגנה על נתונים בנוגע לתאימות של הסעיפים החוזיים הסטנדרטיים. פירוש האישור הוא שההתחייבויות החוזיות הנוכחיות שלנו ל-G Suite ול-Google Cloud Platform עומדות באופן מלא בדרישות המפורטות בהוראה להגנה על נתונים. דרישות אלה מגדירות מסגרת חוקית להעברה של נתונים אישיים מהאיחוד האירופי אל שאר העולם.

תקנים ואישורים

הלקוחות והרגולטורים שלנו מצפים לאימות בלתי תלוי של אמצעי הבקרה בתחום האבטחה, הפרטיות והתאימות. כדי לספק אימות כזה, המוצרים G Suite ו-Google Cloud Platform עוברים באופן קבוע שורה של ביקורות בלתי תלויות שמבוצעות על ידי צד שלישי.

  • ‏ISO 27001 (ניהול של אבטחת מידע)

    ‏תקן ISO 27001‎‏ הוא תקן אבטחה בלתי-תלוי, וזהו אחד התקנים המוכרים והמקובלים ביותר בכל העולם. Google קיבלה אישורי ISO 27001 למערכות, לאפליקציות, לאנשים, לטכנולוגיה, לתהליכים ולמרכזי הנתונים המרכיבים את התשתית המשותפת שלנו. היא קיבלה אישור זה גם למוצרים G Suite ו-Google Cloud Platform.

  • ‏ISO 27017 (אבטחה בענן)

    ‏ISO 27017 הוא תקן בינלאומי לבקרה על אבטחת מידע, המבוסס על ISO/IEC 27002 וכולל דרישות מיוחדות לשירותי ענן. Google אושרה כחברה שעומדת בתקן ISO 27017 במוצרים G Suite ו-Google Cloud Platform.

  • ‏ISO 27018 (פרטיות בענן)

    ‏ISO 27018 הוא תקן בינלאומי להגנה על פרטים אישיים מזהים (PII) בשירותי ענן ציבוריים. Google אושרה כחברה העומדת בתקן ISO 27018 במוצרים G Suite ו-Google Cloud Platform‏.

  • SSAE16 / ISAE 3402 (SOC 2/3)

    במסגרת הביקורות SOC 2 (בקרה לארגון שירות) ו-SOC 3 של ארגון רואי החשבון האמריקני (AICPA), מוגדרים עקרונות אמינות וקריטריונים לאבטחה, זמינות, שלמות בעיבוד נתונים וסודיות. ל-Google יש דוחות SOC 2 ו-SOC 3 למוצרים Google Cloud Platform ו-G Suite‏.

שאלות נפוצות

מהי התקנה הכללית להגנה על נתונים (GDPR)?
התקנה הכללית להגנה על נתונים היא תקנה חדשה בנושא פרטיות באיחוד האירופי, שתחליף את הוראה 95/46‎/EC להגנה על נתונים, שנכנסה לתוקף ב-24 באוקטובר 1995.
מתי תיכנס לתוקף התקנה הכללית להגנה על נתונים (GDPR)?
התקנה הכללית להגנה על נתונים (GDPR) תיושם באופן ישיר בכל המדינות החברות באיחוד האירופי החל מ-25 במאי 2018.
האם התקנה הכללית להגנה על נתונים (GDPR) דורשת אחסון של נתונים אישיים בתחומי האיחוד האירופי?
לא. בדומה להוראה 95/46‎/EC להגנה על נתונים, התקנה הכללית להגנה על נתונים (GDPR) מגדירה תנאים מסוימים להעברת נתונים אישיים מחוץ לתחומי האיחוד האירופי. ניתן לעמוד בתנאים אלה באמצעות מנגנונים כמו סעיפים חוזיים סטנדרטיים.
האם התקנה הכללית להגנה על נתונים (GDPR) תעניק ללקוחות את הזכות לערוך ביקורת ל-Google Cloud?
במסגרת ה-GDPR, צריך להעניק לבעלי השליטה בנתונים זכויות לביצוע ביקורת ולעגן את הזכויות האלה בחוזים שלהם עם האחראים לעיבוד נתונים. ההסכמים המעודכנים של עיבוד הנתונים שנציע החל מ-25 במאי 2018, כאשר התקנה GDPR תיכנס לתוקף, יכללו זכויות לביצוע ביקורת, למען רווחת הלקוחות שלנו.
איך הדוחות מגורמי צד שלישי הבודקים תאימות ל-ISO 27001,‏ ISO 27017,‏ ISO 27018 ו-SOC 2/3 תורמים לתאימות ל-GDPR?
דוחות של ביקורת SOC 2/3 ואישורי ISO מגורמי צד שלישי יכולים לסייע ללקוחות בהערכת הסיכונים ולעזור להם לקבוע אם קיימים אמצעים טכניים וארגוניים מתאימים.
האם Google סיפקה מידע נוסף על התקנה הכללית להגנה על נתונים (GDPR)?