Dovremmo memorizzare informazioni personali identificabili su Google Drive?

Google Drive non è più o meno sicuro di qualsiasi altro servizio basato sul Web con un singolo accesso. La tua azienda deve decidere da sola se è disposta a mettere i dati online (anche se dietro l'autenticazione di Google)

Per lo meno, lo consiglierei

1. Viene utilizzata l'autenticazione a 2 fattori
2. Tutti i dati che viaggiano all'esterno dell'organizzazione sono crittografati.

Google Drive è presumibilmente abbastanza sicuro, ma come abbiamo visto con iCloud, le persone possono (e lo fanno) a volte accedere ai sistemi ai quali non dovrebbero essere in grado di accedere.

Un consiglio che un tutor universitario mi ha dato è stato:

Treat anything that isn't behind your firewall as though it was on a USB pen you'd just left on a train

Significato: supponi che possa cadere nelle mani sbagliate e assicurarti di aver preso precauzioni sufficienti per renderlo inutile per loro.

(In realtà, sono un fan del trattare cose che sono dietro il mio firewall lo stesso ...)

Modifica

Per aggiungere alla domanda "responsabilità":

Si tratta principalmente di ciò che viene indicato nei contratti, negli accordi (EULA o ToS ecc.) tra te e Google, e potenzialmente tu e le terze parti a cui appartengono i dati. Nota che questo non include solo clienti / clienti, ma include anche il tuo staff, se stai memorizzando le loro informazioni di identificazione personale nel cloud - quindi questo potrebbe non solo causare problemi finanziari, ma anche distruggere la fiducia dei dipendenti in caso di violazione! La tua banca potrebbe anche rifiutarsi di rimborsare qualsiasi somma persa se i dati bancari sono archiviati nel cloud, in quanto ciò potrebbe essere considerato negligenza.

In generale, però: a meno che non sia specificato in modo specifico, almeno alcuni responsabilità rimarranno sempre con te. Alcune responsabilità possono o meno ricadere su Google per violazioni dei dati ecc., Ma ciò dipenderà dal contratto. Sarai comunque responsabile per qualsiasi dato di terzi, tuttavia, nella misura in cui hai scelto di affidarlo a una terza parte.

Se ci fosse una violazione dei dati, diventerebbe una domanda (probabilmente molto lunga e tirata fuori!), e ruoterebbe intorno a se Google o te stesso fossero negligenti, la natura del tuo accordo e se entrambi qualsiasi e ogni ragionevole misura per proteggere tali dati.

Penso che il punto cruciale della tua domanda sia "Google si assumerà la responsabilità della sicurezza dei dati su Google Drive" a cui la risposta è "No, probabilmente no". Ma io non sono un avvocato, né gioco uno in TV.

Questa risposta potrebbe non riguardare direttamente la tua domanda che è ritenuta responsabile per la perdita di dati.

Non memorizzarei dati sensibili non crittografati su Google Drive, anche se usano solo i tuoi dati a operate, promote and improve their Services . Dai Termini di servizio di Google:

When you upload, submit, store, send or receive content to or through our Services, you give Google (and those we work with) a worldwide licence to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes that we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content. The rights that you grant in this licence are for the limited purpose of operating, promoting and improving our Services, and to develop new ones.

Archiviare dati sensibili al di fuori di una rete privata è sempre un rischio.

È molto più facile per gli utenti malintenzionati accedere ai dati. Utilizzando tecniche di pesca, o se accedi al tuo account su un computer infetto, o peggio ancora se il tuo computer viene infettato, un utente malintenzionato potrebbe ottenere l'accesso alle tue credenziali e usarle per accedere ai dati. Poiché i server di Google sono disponibili sul Web, non sarebbe difficile connettersi e fare danni.

D'altro canto, se si conservano i dati sensibili in una rete privata, è sempre più difficile accedere ai dati anche se gli utenti malintenzionati hanno le credenziali, perché dovrebbero prima entrare nella rete.

Per evitare situazioni simili, è sempre consigliato un two-factor authentication . A meno che l'utente malintenzionato possa accedere al dispositivo fisico, l'autenticazione a due fattori renderebbe più difficile l'accesso ai dati anche con le credenziali.

Un altro aspetto importante è il modo in cui memorizzi le informazioni. Consiglierei di archiviare le informazioni crittografate (puoi provare TrueCrypt ) perché in questo modo, anche se qualcuno potrebbe ottenere l'accesso fisico al dispositivo o per qualche motivo, potrebbe registrare e vedere i dati che sarebbero illeggibili.
E le norme di Google per i dati caricati consentono loro di utilizzare i dati per molteplici scopi (come pubblicità, traduzioni, ecc.), quindi non si sa mai.

I'm making the assumption they would be responsible for physical breaches ...

Dubito che ne saranno responsabili nel modo in cui te lo aspetti. Soprattutto dubito che coprano tutti i costi causati dalla perdita o dalla perdita di questi dati. A meno che non coprano esplicitamente i costi, è principalmente il tuo problema perché hai caricato i dati lì.

Potresti verificare con il tuo fornitore di assicurazione cibernetica se coprirebbe quindi i costi (spero che tu abbia un'assicurazione di questo tipo se gestisci dati personali sensibili).

Cifra i dati non importa cosa! I dati sensibili non dovrebbero nemmeno essere seduti all'interno della propria rete senza essere crittografati e il controllo degli accessi in atto. Se è crittografato, in primo luogo si ha almeno molto meno da preoccuparsi in qualsiasi circostanza. Non fidarti di qualcun altro a fare il lavoro che avresti dovuto fare e in primo luogo a proteggere te stesso. A seconda dei dati che si trasmettono potrebbe essere illegale trasmetterli e archiviarli non crittografati. E non dovrebbe mai essere fuori dalla società non criptato. Se devi fare qualcosa come trasportarlo su un laptop o su una chiavetta USB, questi dispositivi devono essere crittografati. Perdi i dati per pratiche improprie è colpa tua.

Perché non impostare il proprio server nella propria azienda? Mio suocero lavorava in uno studio di contabilità e creava i propri server per i propri dati.

È stato rivelato a questi anni DefCon che è in uso un nuovo tipo di vettore di attacco chiamato MITC, o Man-In-The-Cloud, che ha già compromesso diversi account G-Drive e DropBox. FORNISCO strongMENTE questo contrario.

Oltre ai commenti sopra, aggiungerei un piccolo bocconcino. La stragrande maggioranza dei fornitori di cloud storage non crittografa i dati "a riposo" sui loro server per la loro offerta di consumatori "standard". C'è un'enorme eccezione enorme a questo e questo è "Box" (non Dropbox, solo "Box", sono su box.com). Non sono economici come Google Drive, ma c'è un certo valore nel fatto che i dati siano effettivamente crittografati a riposo. Questo potrebbe alleviare alcune delle sfide con la crittografia te stesso prima di memorizzarlo nel cloud.

Inoltre, il loro servizio ha una variante compatibile con HIPAA che dovrebbe più che soddisfare i dubbi sulla protezione dei dati.

Vedi di più qui: Sicurezza e privacy dei box (fai clic sulla scheda Crittografia in alto per ulteriori dettagli)