Seguridad y cumplimiento de Document AI

A continuación, se incluyen preguntas y respuestas aplicables en diversas áreas.

Seguridad

Para garantizar la seguridad del servicio en Document AI, revisa los siguientes temas.

¿Cómo protege Google los datos que envío a Document AI y garantiza su seguridad?

Consulta la página Google Cloud Seguridad, en la que se describen las medidas de seguridad vigentes para los Google Cloud Servicios.

¿Qué funciones de seguridad ofrece Document AI para protegerse de los ataques horizontales que se mueven de un sistema a otro?

Document AI admite lo siguiente:

• Residencia de datos
• Política de denegación
• Controles del servicio de VPC (VPC-SC)
  • Grupos de identidades e identidades de terceros en reglas de entrada y salida.
• Transparencia de acceso
• Claves de encriptación administradas por el cliente (CMEK)
  • Uso de CMEK con Document AI

Cumplimiento de las normas de seguridad

En esta sección, se describen las preguntas relacionadas con el cumplimiento.

¿Qué cumplimiento ofrece Document AI?

Google Cloud Se somete a auditorías periódicas independientes de terceros para verificar la alineación con los controles de seguridad, privacidad y cumplimiento. Google Cloud Se somete a auditorías periódicas de conformidad para estándares como ISO 27001, ISO 27017, ISO 27018, SOC 2, SOC 3 y PCI DSS.

Puedes obtener más información sobre el Google Cloud cumplimiento en el Centro de recursos de cumplimiento.

¿Document AI cumple con FedRAMP?

Document AI cumple con FedRAMP High.

¿Document AI cumple con la HIPAA?

Document AI cumple con la HIPAA.

Uso de datos de seguridad

En esta sección, se describen las consultas de datos.

¿Google usa los datos del cliente para mejorar los modelos?

No. Google no utiliza tu contenido (como documentos y predicciones) para ningún fin, excepto para proporcionarte el servicio de Document AI. Consulta el artículo 17 de las Google Cloud Condiciones del Servicio.

En Google Cloud, nunca usamos los datos de los clientes para entrenar nuestros modelos de Document AI.

Para obtener más información, consulta la página Transparencia y protección de datos.

En el futuro, ¿Google compartirá el documento que envíe a Document AI?

No pondremos a disposición del público el documento que envíes ni lo compartiremos con nadie más, excepto cuando sea necesario para proporcionar el servicio de Document AI. Por ejemplo, a veces es posible que necesitemos recurrir a un proveedor externo para proporcionar algún aspecto de nuestros servicios, como el almacenamiento o la transmisión de datos. Nuestros proveedores están sujetos a las obligaciones contractuales de seguridad y confidencialidad pertinentes. No compartimos los documentos que envías con otras partes ni los hacemos públicos para ningún otro propósito.

¿Durante cuánto tiempo y dónde almacenará Google en sus servidores los documentos que envíe a Document AI, sus resultados o cualquier otra información sobre las solicitudes? ¿Puedo acceder a ella?

Cuando envías un documento a Document AI con una solicitud por lotes, debemos almacenar ese documento (encriptado con una clave efímera, lo que significa que ningún humano tiene acceso a él) durante un período corto para realizar el análisis y mostrarte los resultados. En el caso de las operaciones por lotes, el documento almacenado suele borrarse inmediatamente después del procesamiento, con un tiempo de actividad (TTL) a prueba de fallas de un día. Si el lote finaliza de forma anormal, es posible que los datos persistan con un TTL de hasta un día.

Procesos síncronos

Para las operaciones en línea (respuesta inmediata), los datos del documento (que se envían en la solicitud) se procesan en la memoria, se encriptan en tránsito y no se conservan en el disco. Google también registra temporalmente algunos metadatos sobre tus solicitudes a la API de Document AI (como el momento en que se recibió la solicitud y el tamaño de la solicitud) para mejorar nuestro servicio y combatir el abuso.

Para obtener más información, consulta Encriptación en tránsito y Regiones.

¿Google reclama la propiedad del contenido que envío en la solicitud a Document AI?

Google no reclama ninguna propiedad sobre el contenido (incluidos los documentos y las predicciones) que transmites a Document AI. Los documentos y los modelos personalizados se consideran datos del cliente (privados). Nunca usamos los datos de los clientes para mejorar nuestros modelos. En el caso poco frecuente en que ambas partes acepten tal acuerdo, se redacta un acuerdo explícito de intercambio de datos.

¿Qué se considera información de identificación personal (PII) que debe ocultarse en los documentos antes de compartirlos con Google?

Para los fines de compartir documentos, la PII es cualquier información definida como datos de identificación personal en virtud de las leyes aplicables. Los clientes deben redactar los documentos antes de compartirlos con Google, por ejemplo, cuando lo hacen de forma voluntaria para fines de asistencia técnica y reproducir un problema.

Estos son algunos ejemplos de PII:

• Fecha de nacimiento, por ejemplo: 2/10/1988
• Nombres de personas físicas, por ejemplo: Kiran Darko
• Dirección personal, por ejemplo: Evergreen terrace 123
• Dirección de correo electrónico de personas físicas, por ejemplo: rivelro@test-mail.com
• Número de teléfono de personas físicas, por ejemplo, 636-555-3226
• Número de licencia de conducir
• Número de ID nacional
• Número de identificación del empleador
• Información de la cuenta bancaria: IDs de cuenta, números de ruta, IDs de SWIFT
• Número de tarjeta de pago
• Género, por ejemplo: Female, Male, Nonbinary
• Etnia, por ejemplo: Berber, Italian, Japanese, Latino, Ukrainian
• Nombres de usuario y números de ID de terceros
• Número de pasaporte, por ejemplo: AA1001111
• Estado civil, por ejemplo: Single, Divorced
• Cantidad de subsidios o exenciones
• Nombres de dependientes
• Identificadores de vehículos (VIN, matrículas, etc.)
• Cualquier otro número, característica o código de identificación único de una persona que pueda identificar a un consumidor, una familia o un dispositivo individuales a lo largo del tiempo o en diferentes servicios

¿Puedo revender la API de Document AI?

No, no tienes permiso para revender el servicio de Document AI. Pero puedes integrar Document AI en aplicaciones de valor independiente.

¿Cómo pueden los clientes controlar el Google Cloud acceso del equipo de asistencia a sus documentos o datos?

Todos los analizadores de Document AI admiten la Transparencia de acceso y las aprobaciones de acceso. De forma predeterminada, el equipo de asistencia de Google no tendría acceso a ninguna aplicación ni datos de los clientes. En el caso de que el equipo de asistencia de Google necesite acceder a los datos, los clientes pueden usar el proceso de Aprobación de Acceso para autorizar el acceso a los datos o las aplicaciones. Este proceso comienza con la creación de un ticket en el portal de asistencia de Google. Luego, el cliente recibe una notificación (generalmente, por correo electrónico) y una opción para autorizar o rechazar el acceso.

Google también ofrece un servicio llamado Transparencia de acceso, que brinda visibilidad a los clientes sobre todas las tareas que realiza el equipo de asistencia de Google mientras tiene acceso al sistema.