¿Debemos almacenar información de identificación personal en Google Drive?

Google Drive no es más o menos seguro que cualquier otro servicio basado en web con un solo inicio de sesión. Su empresa debe decidir por sí misma si está dispuesta a poner los datos en línea (aunque esté detrás de la autenticación de Google)

Por lo menos, lo recomendaría

1. se utiliza la autenticación de 2 factores
2. Todos los datos que viajan fuera de la organización están encriptados.

Google Drive es probablemente bastante seguro, pero como vimos con iCloud, las personas pueden (y lo hacen) a veces tener acceso a sistemas a los que no deberían poder acceder.

Un consejo que me dio un tutor en la universidad fue:

  

Trate todo lo que no esté detrás de su firewall como si estuviera en un bolígrafo USB que acaba de dejar en un tren

Significado: asume que puede caer en las manos equivocadas y asegúrate de haber tomado las precauciones suficientes para inutilizarlo.

(De hecho, soy un fanático de tratar las cosas que están detrás de mi firewall ...)

Editar

Para agregar a la pregunta de "responsabilidad":

Esto es principalmente una cuestión de lo que se establece en los contratos, acuerdos (EULA o ToS, etc.), entre usted y Google, y posiblemente usted y cualquier tercero a quien pertenezcan los datos. Tenga en cuenta que esto no solo incluye a los clientes, también incluye a su personal, si está almacenando su información de identificación personal en la nube, por lo que esto no solo puede causar problemas financieros, sino que también puede destruir la confianza de los empleados si se produce una violación. Su banco también puede negarse a reembolsar cualquier dinero perdido si los datos bancarios se almacenan en la nube, ya que esto podría considerarse negligencia.

en general: a menos que se especifique lo contrario, al menos alguna responsabilidad permanecerá siempre contigo. Alguna responsabilidad puede o no recaer sobre Google por violaciones de datos, etc., pero esto dependerá del acuerdo. Sin embargo, seguirá siendo responsable de los datos de terceros, en la medida en que haya elegido confiarlos a un tercero.

Si hubiera una violación de datos, se convertiría en una pregunta legal (¡probablemente muy larga y prolongada!) y giraría en torno a si Google o usted fue negligente, la naturaleza de su acuerdo y si ambos tomaron todos y cada uno de los pasos razonables para proteger esos datos.

Creo que el meollo de su pregunta es "Google asumirá la responsabilidad de la seguridad de los datos en Google Drive", y la respuesta es "No, probablemente no". Pero no soy abogado, ni juego en la televisión.

Es posible que esta respuesta no esté directamente relacionada con su pregunta, que es responsable de la fuga de datos.

No almacenaría ningún dato confidencial sin cifrar en Google Drive, incluso si solo usan sus datos para operate, promote and improve their Services . De los Términos del servicio de Google:

  

Cuando carga, envía, almacena, envía o recibe contenido a través de nuestros Servicios, le otorga a Google (y a aquellos con quienes trabajamos) una licencia mundial para usar, alojar, almacenar, reproducir, modificar, crear trabajos derivados (como como los resultantes de las traducciones, adaptaciones u otros cambios que realizamos para que su contenido funcione mejor con nuestros Servicios), comuníquese, publique, realice públicamente, muestre y distribuya públicamente dicho contenido. Los derechos que otorga en esta licencia tienen el propósito limitado de operar, promocionar y mejorar nuestros Servicios y desarrollar nuevos.

El almacenamiento de datos confidenciales fuera de una red privada siempre es un riesgo.

Es mucho más fácil para los usuarios malintencionados obtener acceso a los datos. Usando técnicas de pesca, o si inicia sesión en su cuenta en una computadora infectada, o peor aún si su computadora se infecta, un usuario malintencionado podría acceder a sus credenciales y usarlas para acceder a los datos. Dado que los servidores de Google están disponibles en la web, no sería difícil conectarse y hacer algún daño.

Por otro lado, si mantiene los datos confidenciales en una red privada, siempre es más difícil acceder a los datos, incluso si los usuarios malintencionados tienen las credenciales, ya que primero tendrían que ingresar a su red.

Para ayudar a evitar situaciones como esa, siempre se recomienda un two-factor authentication . A menos que el usuario malintencionado pueda tener acceso a su dispositivo físico, la autenticación de dos factores dificultaría el acceso a los datos, incluso con las credenciales.

Otro aspecto importante es la forma en que almacena la información. Recomiendo almacenar la información encriptada (puede intentar Truecrypt ) porque de esa manera, incluso si alguien pudiera tener acceso físico al dispositivo o por algún motivo podría registrar y ver los datos, sería ilegible.
Y las políticas de Google para los datos cargados les permiten utilizar los datos para múltiples propósitos (como publicidad, traducciones, etc.), por lo que nunca se sabe.

  

Supongo que serían responsables de violaciones físicas ...

Dudo que ellos sean responsables de esto en la forma en que lo esperas. Especialmente, dudo que cubran todos los costos causados por la pérdida o filtración de estos datos. A menos que cubran explícitamente, los costos son principalmente su problema porque ha cargado los datos allí.

Puede consultar con su proveedor de ciberseguro si cubrirían los costos (espero que tenga dicho seguro si trata con datos personales tan confidenciales).

¡Cifra los datos sin importar qué! Los datos confidenciales no deberían estar dentro de su propia red sin estar encriptados y sin el control de acceso establecido. Si está cifrado en primer lugar, al menos tiene mucho menos de qué preocuparse en cualquier circunstancia. No confíe en alguien más para hacer el trabajo que debería haber hecho en primer lugar y se trata más de protegerse. Dependiendo de los datos que transmita, podría ser ilegal transmitir y almacenar sin cifrar. Y nunca debe estar fuera de la empresa sin cifrar. Si debe hacer algo como transportarlo en una computadora portátil o unidad flash, esos dispositivos deben estar encriptados. Pierde los datos por prácticas inapropiadas, es su culpa.

¿Por qué no configura su propio servidor en su empresa? Mi suegro trabajó en una empresa de contabilidad y estableció sus propios servidores para sus datos.

Se reveló en este año DefCon que se está utilizando un nuevo tipo de vector de ataque llamado MITC, o Man-In-The-Cloud, que ya ha comprometido varias cuentas de G-Drive y DropBox. SOLO aconsejaría en contra de esto.

Además de los comentarios anteriores, agregaría un pequeño dato. La gran mayoría de los proveedores de almacenamiento en la nube no cifran los datos "en reposo" en sus servidores para su oferta "estándar" para el consumidor. Hay una ENORME excepción notable a esto y esto es "Box" (no Dropbox, solo "Box"; están en box.com). No son tan baratos como Google Drive, pero hay cierto valor en el hecho de que los datos se cifran de hecho. Esto podría aliviar algunos de los desafíos de cifrarlo usted mismo antes de almacenarlo en la nube.

Además, su servicio tiene una variante compatible con HIPAA que debería más que satisfacer las preocupaciones sobre la protección de datos.

Vea más aquí: Seguridad y privacidad de la caja (haga clic en la pestaña Cifrado en la parte superior para obtener más detalles)