In risposta a (1), sì, potrebbe fornire un percorso, ma è improbabile per qualsiasi organizzazione sotto qualche ragionevole ipotesi. In particolare, è possibile accedere a GMail e Google Drive da un browser che supporta solo JavaScript, quindi la sandbox del browser standard significa che Google non dovrebbe essere in grado di leggere o modificare alcun file sulla rete interna a cui si potrebbe avere accesso.
Questo è per un utente responsabile e un browser aggiornato, semplicemente usando la versione web delle app. Ovviamente un utente può ricevere malware tramite GMail o memorizzato / condiviso da un computer compromesso o con credenziali compromesse in Google Drive. Google fornisce un plug-in di Google Talk e un client Google Drive, ed è possibile che una back door sia stata inserita in uno di questi. Inoltre, se un utente effettua una ricerca sul web per "scaricare client gmail" o "scarica google drive client" o "scarica browser per gmail" e fa clic sul link sbagliato, potrebbe invece ottenere malware.
La preoccupazione più grande di consentire agli utenti di un ambiente sicuro di controllare la propria posta web (da qualsiasi provider) o accedere ai file su un servizio cloud è che è facile per loro condividere i dati e le informazioni dell'organizzazione senza controlli adeguati. La rete in quanto tale è fuori questione, ciò che rende davvero qualcosa una violazione della sicurezza sono i segreti.
Che porta a una risposta a (2). Nelle loro Norme sulla privacy Google afferma che "Lavoriamo duramente per proteggere Google e i nostri utenti da non autorizzati accesso o alterazione non autorizzata, divulgazione o distruzione delle informazioni in nostro possesso ". Non è assolutamente una promessa assoluta; ci sono specifiche eccezioni annotate altrove nella politica e nei Termini di servizio. Se la tua organizzazione svolge attività rispettose della legge negli Stati Uniti, è meno probabile che la posta inviata tra due account GMail venga visualizzata dagli agenti del KGB rispetto alla posta inviata tra due account mail.ru. Se sei un concorrente diretto di Google e metti il tuo business plan in Drive, non dovrebbe guardarlo. Non è così strong come affermare che nessuno può guardarlo.
Se hai un contratto (o informativa sulla privacy, ecc.) con i tuoi clienti che dice che puoi memorizzare le loro informazioni in Google Drive o con "fornitori commerciali", allora puoi farlo. Tuttavia, la tua organizzazione potrebbe anche disporre di una norma che proibisce la memorizzazione di determinati elementi (ad esempio quelli relativi ai clienti che menzioni) senza controlli particolari e Google Drive potrebbe non soddisfare tali controlli.