אימות האבטחה של שירות הצבירה

bookmark_border קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

שירות האגרגציה מרחיב את יכולות החישוב של ממשקי ה-API של ארגז החול לפרטיות מעבר למכשיר, כדי לאפשר מדידה של אירועים בקרב משתמשים שונים. כמה החלטות עיצוב עוזרות לוודא שפרטיות המשתמשים נשמרת מחוץ למכשיר. לדוגמה, שירות האגרגציה יכול לעבד אירועים רק בסביבת Trusted Execution Environment, וגיליונות עבודה חייבים לקבל אישור ממתאמים מרכזיים.

היום אנחנו משתפים עדכונים על רכזי שירות האגרגציה ותוצאות של הערכת אבטחה עצמאית.

הערכת האבטחה של NCC

הטמעות בקוד פתוח של שירות האגרגציה ושירותי התיאום מבטיחות שקוד המקור של המערכות האלה יהיה נגיש לכולם, ושכל בעלי העניין, כולל חוקרים בתחום האבטחה, פעילים למען הפרטיות וספקי טכנולוגיות פרסום, יוכלו לבדוק אותו. באוקטובר 2022 הפכנו לקוד פתוח את ההטמעה של Aggregation Service, ולאחרונה הפכנו לקוד פתוח גם את שירותי התיאום.

כדי להוכיח שהעיצוב וההטמעה שלנו עומדים בסטנדרטים גבוהים של אבטחה ופרטיות, חתמנו על חוזה עם NCC Group, חברה עצמאית שמתמחה בסייבר אבטחה, כדי לבדוק את שירות האגרגציה ואת התיאום. לאחרונה, NCC פרסמה את הדוח שלה ואישר את ההצהרות שלנו לגבי המערכת. בדוח מצוין:

• "חברת NCC Group לא זיהתה שגיאות בתכנון של שירות האגרגציה של ארגז החול לפרטיות. נראה שהיא עומדת בשיטות המומלצות בתחום ומספקת הגנה חזקה על הסודיות והשלמות של הנתונים שנאספים ממשתמשי הקצה".
• "העיצוב הכללי של רכיבי הקריפטוגרפיה בשירות האגרגטור של ארגז החול לפרטיות נמצא מתאים ליעדים שצוינו".
• "לא נמצאה בעיה משמעותית שיכולה לאפשר ל-AdTech או לגורם זדוני כלשהו לקבל גישה למפתחות מלאים או להרשאות גבוהות יותר".

אנחנו ממשיכים לקבל משוב על ההטמעות שלנו.

רכז/ת עצמאי/ת

כדי לשפר את האבטחה והפרטיות, ובהתאם לתכנון הראשוני של שירות האגרגציה, החלטנו לפצל את הפעולה של שירותי התיאום בין Google לבין צד שלישי עצמאי.

אנחנו שמחים להודיע ש-Accenture התחילה לפעול לאחרונה כמתאמת עצמאי של שירות הצבירה ב-Amazon Web Services‏ (AWS). בחרנו ב-Accenture בגלל הניסיון הרב שלה כספק שירות עצמאי ואמין לחברות רבות, והמומחיות החזקה שלה בתחומי התפעול והאבטחה לטובת הצרכנים וחברות טכנולוגיות הפרסום.

במבט קדימה

לאחרונה התחלנו את בדיקות הבטא של שירות הצבירה ב-Google Cloud. נודיע על תוכניות ליצירת גורם תיאום עצמאי ב-Google Cloud במועד מאוחר יותר. אפשר לעקוב אחרי שיפורים מתוכננים אחרים בשירות הצבירה בדף הסטטוס שלנו.

אנחנו מחויבים להמשיך לפעול עם הסביבה העסקית כדי לספק שירותים שעומדים בסטנדרטים גבוהים של אבטחה, ואנחנו פתוחים למשוב שלכם.