Sécurité et conformité de Document AI

Vous trouverez ci-dessous des questions et réponses applicables dans différents domaines.

Sécurité

Pour assurer la sécurité des services dans Document AI, consultez les rubriques suivantes.

Comment Google protège-t-il et assure-t-il la sécurité des données que j'envoie à Document AI ?

Consultez la page Google Cloud Sécurité, qui décrit les mesures de sécurité mises en place pour les Google Cloud Services.

Quelles fonctionnalités de sécurité Document AI propose-t-il pour se protéger contre les attaques horizontales qui se propagent d'un système à l'autre ?

Document AI est compatible avec les éléments suivants :

• Résidence des données
• Règle de refus
• VPC Service Controls (VPC-SC)
  • Groupes d'identité et identités tierces dans les règles d'entrée et de sortie
• Access Transparency
• Clés de chiffrement gérées par le client (CMEK)
  • Utiliser CMEK avec Document AI

Conformité de la sécurité

Cette section décrit les questions liées à la conformité.

Quelles sont les conformités proposées par Document AI ?

Google Cloud se soumet régulièrement à des audits indépendants par des tiers pour vérifier son alignement sur les contrôles de sécurité, de confidentialité et de conformité. Google Cloud Des audits sont régulièrement conduits pour vérifier queGoogle Cloud est notamment conforme aux normes suivantes : ISO 27001, ISO 27017, ISO 27018, SOC 2, SOC 3 et PCI DSS.

Pour en savoir plus sur la conformité Google Cloud , consultez le Centre de ressources pour la conformité.

Document AI est-il conforme à FedRAMP ?

Document AI est conforme au niveau d'impact élevé du FedRAMP.

Document AI est-il conforme à la loi HIPAA ?

Document AI est conforme à la loi HIPAA.

Utilisation des données de sécurité

Cette section décrit les demandes de données.

Google utilise-t-il les données client pour améliorer les modèles ?

Non. Google n'utilise en aucun cas vos contenus (documents et prédictions, par exemple), sauf pour vous fournir le service Document AI. Consultez la section 17 des Conditions d'utilisation deGoogle Cloud .

Chez Google Cloud, nous n'utilisons jamais les données client pour entraîner nos modèles Document AI.

Pour en savoir plus, consultez la page Transparence et protection des données.

Google partagera-t-il le document que j'envoie à Document AI ?

Nous ne rendrons pas le document que vous envoyez accessible au public ni ne le partagerons avec qui que ce soit, sauf si cela est nécessaire pour vous faire bénéficier du service Document AI. Par exemple, nous devons parfois recourir à un fournisseur tiers pour nous aider à proposer certains aspects de nos services, tels que le stockage ou la transmission de données. Nos fournisseurs sont tenus de respecter les obligations contractuelles appropriées en termes de sécurité et de confidentialité. Nous ne partageons pas les documents que vous envoyez avec d'autres parties et ne les rendons pas non plus publics, à quelque fin que ce soit.

Combien de temps et où Google stocke-t-il sur ses serveurs les documents que j'envoie à Document AI, leurs résultats ou d'autres informations sur les requêtes ? Puis-je y accéder ?

Lorsque vous envoyez un document à Document AI à l'aide d'une requête par lot, nous devons le stocker (chiffré avec une clé éphémère, ce qui signifie qu'aucun humain n'y a accès) pendant une courte période afin d'effectuer l'analyse et de vous renvoyer les résultats. Pour les opérations par lot, le document stocké est généralement supprimé immédiatement après le traitement, avec une valeur TTL de sécurité d'un jour. Si le lot se termine de manière anormale, les données peuvent persister avec une durée de vie (TTL) d'un jour maximum.

Processus synchrones

Pour les opérations en ligne (réponse immédiate), les données du document (envoyées dans la requête) sont traitées en mémoire, chiffrées en transit et ne sont pas conservées sur le disque. Google enregistre également temporairement certaines métadonnées sur les requêtes de l'API Document AI (telles que l'heure de réception et la taille de la requête) afin d'améliorer notre service et de lutter contre les abus.

Pour en savoir plus, consultez Chiffrement en transit et Régions.

Google revendique-t-il la propriété du contenu que j'envoie dans la requête à Document AI ?

Google ne revendique aucun droit de propriété sur le contenu (y compris les documents et les prédictions) que vous transmettez à Document AI. Les documents et les modèles personnalisés sont considérés comme des données client (privées). Nous n'utilisons jamais les données client pour améliorer nos modèles. Dans le cas rare où les deux parties acceptent un tel arrangement, un accord explicite de partage de données est élaboré.

Quelles sont les informations permettant d'identifier personnellement l'utilisateur (IPI) qui doivent être masquées dans les documents avant d'être partagés avec Google ?

Pour le partage de documents, les informations permettant d'identifier personnellement l'utilisateur sont toutes les informations définies comme des données permettant d'identifier personnellement l'utilisateur en vertu des lois applicables. Les clients doivent masquer les informations sensibles dans les documents avant de les partager avec Google, par exemple lorsqu'ils le font volontairement à des fins d'assistance technique pour reproduire un problème.

Voici quelques exemples d'informations permettant d'identifier personnellement l'utilisateur (liste non exhaustive) :

• Date de naissance, par exemple : 2/10/1988
• Noms de personnes physiques, par exemple : Kiran Darko
• Adresse personnelle, par exemple : Evergreen terrace 123
• Adresse e-mail de personnes physiques, par exemple : rivelro@test-mail.com
• Numéro de téléphone de personnes physiques, par exemple : 636-555-3226
• Numéro de permis de conduire
• N° de carte d'identité
• Numéro d'identification de l'employeur
• Informations sur le compte bancaire : ID de compte, numéros d'acheminement, ID SWIFT
• Numéro de carte de paiement
• Genre, par exemple : Female, Male, Nonbinary
• Origine ethnique, par exemple : Berber, Italian, Japanese, Latino, Ukrainian
• Noms d'utilisateur, numéros d'identification de tiers
• Numéro de passeport, par exemple : AA1001111
• État civil, par exemple : Single, Divorced
• Nombre d'allocations ou d'exonérations
• Noms dépendants
• Identifiants de véhicules (numéro VIN, plaques d'immatriculation, etc.)
• Tout autre numéro, caractéristique ou code d'identification unique d'une personne pouvant identifier un consommateur, une famille ou un appareil au fil du temps ou dans différents services

Puis-je revendre l'API Document AI ?

Non, vous n'êtes pas autorisé à revendre le service Document AI. Vous pouvez toutefois intégrer Document AI dans des applications de valeur indépendante.

Comment les clients peuvent-ils contrôler l'accès de l'assistance à leurs documents ou données ? Google Cloud

Tous les analyseurs Document AI sont compatibles avec Access Transparency et les approbations d'accès. Par défaut, l'assistance Google n'a accès à aucune donnée ni application client. Si l'équipe d'assistance Google a besoin d'accéder aux données ou aux applications, les clients peuvent utiliser la procédure Access Approval pour autoriser l'accès. Ce processus commence par la création d'une demande dans le portail d'assistance Google. Le client reçoit alors une notification (généralement par e-mail) et une option lui permettant d'autoriser ou de refuser l'accès.

Google propose également un service appelé Access Transparency, qui permet aux clients de voir toutes les tâches effectuées par l'assistance Google lorsqu'elle a accès au système.