Segurança e compliance do Document AI

Confira a seguir perguntas e respostas aplicáveis a várias áreas.

Segurança

Para garantir a segurança do serviço na Document AI, consulte os seguintes tópicos.

Como o Google protege e garante a segurança dos dados que envio para a Document AI?

Consulte a página Google Cloud Segurança, que descreve as medidas de segurança em vigor para os Google Cloud serviços.

Quais recursos de segurança a Document AI oferece para proteger contra ataques horizontais que se movem de um sistema para outro?

A Document AI oferece suporte para:

• Residência de dados
• VPC Service Controls (VPC-SC)
• Transparência no acesso
• Chaves de criptografia gerenciadas pelo cliente (CMEK)
  • Como usar a CMEK com a Document AI

Compliance da segurança

Esta seção descreve as perguntas relacionadas à conformidade.

Qual compliance a Document AI oferece?

Google Cloud passa por auditorias terceirizadas independentes regulares para verificar o alinhamento com controles de segurança, privacidade e compliance. Google Cloud tem auditorias regulares para padrões como ISO 27001, ISO 27017, ISO 27018, SOC 2, SOC 3 e PCI DSS.

Saiba mais sobre a conformidade com a Google Cloud na Central de recursos de compliance.

A Document AI está em conformidade com o FedRAMP?

O Document AI é compatível com o FedRAMP High.

A Document AI está em conformidade com a HIPAA?

A Document AI está em compliance com a HIPAA.

Uso de dados de segurança

Esta seção descreve as consultas de dados.

O Google usa dados de clientes para melhorar os modelos?

Não. O Google não usa seu conteúdo (como documentos e previsões) para nenhuma finalidade, exceto para fornecer o serviço de IA de documentos. Consulte a seção 17 dos Termos de Serviço doGoogle Cloud .

No Google Cloud, nunca usamos dados de clientes para treinar nossos modelos de Document AI.

Para mais informações, consulte a página Transparência e proteção de dados.

O Google vai compartilhar o documento que eu enviar para a Document AI no futuro?

Não disponibilizamos ao público nem compartilhamos com ninguém o documento que você envia, exceto conforme necessário para fornecer o serviço Document AI. Por exemplo, às vezes pode ser necessário usar um fornecedor terceirizado para nos ajudar a oferecer alguns aspectos dos nossos serviços, como armazenamento ou transmissão de dados. Nossos fornecedores estão sob obrigações contratuais adequadas de segurança e confidencialidade. Não compartilhamos os documentos que você envia com outras partes nem os disponibilizamos ao público para qualquer outra finalidade.

Por quanto tempo e onde o Google vai armazenar os documentos que envio para o Document AI, os resultados ou outras informações sobre solicitações nos servidores? Posso acessar?

Quando você envia um documento para a Document AI usando uma solicitação em lote, precisamos armazenar esse documento (codificado com uma chave temporária, o que significa que nenhum humano tem acesso a ele) por um curto período para realizar a análise e retornar os resultados a você. Para operações em lote, o documento armazenado normalmente é excluído imediatamente após o processamento, com uma medida de segurança Time to live (TTL) de um dia. Se o lote for corrompido de forma anormal, os dados poderão persistir com um TTL de até um dia.

Processos síncronos

Para operações on-line (resposta imediata), os dados do documento (enviados na solicitação) são processados na memória, criptografados em trânsito e não são mantidos no disco. O Google também registra temporariamente alguns metadados sobre suas solicitações da API Document AI, como o horário em que ela foi recebida e o tamanho dela, para melhorar nosso serviço e combater abusos.

Para mais informações, consulte Criptografia em trânsito e Regiões.

O Google reivindica a propriedade do conteúdo que envio na solicitação para a Document AI?

O Google não reivindica a propriedade de nenhum conteúdo, incluindo documentos e previsões, que você transmite para a Document AI. Documentos e modelos personalizados são considerados dados (privados) do cliente. Nunca usamos dados do cliente para melhorar nossos modelos. Na rara circunstância em que ambas as partes concordam com esse acordo, um contrato explícito de compartilhamento de dados é elaborado.

O que é considerado informação de identificação pessoal (PII) que precisa ser redigida em documentos antes de ser compartilhada com o Google?

Para fins de compartilhamento de documentos, PII é qualquer informação definida como dados de identificação pessoal de acordo com as leis aplicáveis. Os clientes precisam editar os documentos antes de compartilhá-los com o Google, por exemplo, quando isso é feito voluntariamente para fins de suporte técnico para reproduzir um problema.

Exemplos de PII incluem, entre outros:

• Data de nascimento, por exemplo: 2/10/1988
• Nomes de pessoas, por exemplo: Kiran Darko
• Endereço pessoal, por exemplo: Evergreen terrace 123
• Endereço de e-mail de pessoas, por exemplo: rivelro@test-mail.com
• Número de telefone de pessoas, por exemplo: 636-555-3226
• Número da carteira de habilitação
• Número de identificação nacional
• Número de identificação do empregador
• Informações da conta bancária: IDs da conta, números de identificação do banco, IDs SWIFT
• Número do cartão de pagamento
• Gênero, por exemplo: Female, Male, Nonbinary
• Etnia, por exemplo: Berber, Italian, Japanese, Latino, Ukrainian
• Nomes de usuário, número de identificação de terceiros
• Número do passaporte, por exemplo: AA1001111
• Estado civil, por exemplo: Single, Divorced
• Número de isenções ou isenções
• Nomes dependentes
• Identificadores do veículo (chassi, placas etc.)
• Qualquer outro número, característica ou código de identificação exclusivo de um indivíduo que possa identificar um consumidor, família ou dispositivo ao longo do tempo ou em serviços

Posso revender a API Document AI?

Não, você não tem permissão para revender o serviço da Document AI. No entanto, é possível integrar a IA de documentos a aplicativos de valor independente.

Como os clientes podem controlar o acesso Google Cloud ao suporte a documentos ou dados?

Todos os analisadores da Document AI oferecem suporte à Transparência no acesso e às aprovações de acesso. Por padrão, o suporte do Google não tem acesso aos dados ou aplicativos do cliente. Na situação em que o acesso é necessário pela equipe de suporte do Google, os clientes podem usar o processo de aprovação de acesso para autorizar o acesso a dados ou aplicativos. Esse processo começa com a criação de um tíquete no portal de suporte do Google. O cliente recebe uma notificação (geralmente por e-mail) e uma opção para autorizar ou negar o acesso.

O Google também oferece um serviço chamado Transparência no acesso, que mostra ao cliente todas as tarefas que o suporte do Google realiza enquanto tem acesso ao sistema.