Document AI 보안 및 규정 준수

다음은 다양한 분야에 적용되는 질문과 답변입니다.

보안

Document AI의 서비스 보안을 보장하려면 다음 주제를 검토하세요.

Google은 내가 Document AI로 보내는 데이터의 보안을 어떻게 보호하고 보장하나요?

Google Cloud 서비스에 적용되는 보안 조치를 설명하는 Google Cloud 보안 페이지를 참고하세요.

Document AI는 시스템 간에 이동하는 수평적 공격으로부터 보호하기 위해 어떤 보안 기능을 제공하나요?

Document AI는 다음을 지원합니다.

• 데이터 상주
• 거부 정책
• VPC 서비스 제어 (VPC-SC)
  • 인그레스 및 이그레스 규칙의 ID 그룹 및 서드 파티 ID
• 액세스 투명성
• 고객 관리 암호화 키 (CMEK)
  • Document AI에서 CMEK 사용하기

보안 규정 준수

이 섹션에서는 규정 준수와 관련된 질문을 설명합니다.

Document AI는 어떤 규정 준수를 제공하나요?

Google Cloud 는 보안, 개인 정보 보호, 규정 준수 관리와의 일치 여부를 확인하기 위해 정기적으로 독립적인 서드 파티 감사를 받습니다. Google Cloud 는 ISO 27001, ISO 27017, ISO 27018, SOC 2, SOC 3, PCI DSS 등의 기준에 대한 정기적인 감사를 받습니다.

Google Cloud 규정 준수에 대한 자세한 내용은 규정 준수 리소스 센터를 참고하세요.

Document AI는 FedRAMP를 준수하나요?

Document AI는 FedRAMP 높음 수준을 준수합니다.

Document AI는 HIPAA를 준수하나요?

Document AI는 HIPAA 규정을 준수합니다.

보안 데이터 사용량

이 섹션에서는 데이터 문의를 설명합니다.

Google은 모델을 개선하기 위해 고객 데이터를 사용하나요?

아니요. Google은 Document AI 서비스를 제공하기 위한 목적을 제외하고는 어떠한 목적으로도 사용자의 콘텐츠 (문서 및 예측 등)를 사용하지 않습니다. Google Cloud 서비스 약관의 17항을 참고하세요.

Google은 Google CloudDocument AI 모델을 학습시키는 데 고객 데이터를 사용하지 않습니다.

자세한 내용은 투명성 및 데이터 보호 페이지를 참고하세요.

향후 Google은 내가 Document AI로 보내는 문서를 공유하나요?

Google은 Document AI 서비스를 제공하는 데 필요한 경우를 제외하고는 사용자가 전송하는 문서를 공개하거나 다른 누구와도 공유하지 않습니다. 예를 들어 데이터 저장이나 전송 등 일부 서비스를 제공하기 위해 타사 공급업체의 도움이 필요할 수 있습니다. Google의 공급업체는 적절한 보안 및 기밀 계약에 따른 의무를 지니게 됩니다. Google은 사용자가 전송하는 문서를 다른 당사자와 공유하거나 다른 목적으로 공개하지 않습니다.

Google은 Document AI로 보낸 문서, 결과 또는 요청에 관한 기타 정보를 서버에 얼마나 오래, 어디에 저장하나요? 액세스할 수 있나요?

일괄 요청을 사용하여 Document AI로 문서를 전송할 때 Google은 분석을 수행하고 결과를 반환하기 위해 짧은 시간 동안 문서를 저장해야 합니다 (일시적 키로 암호화되므로 사람이 액세스할 수 없음). 일괄 작업의 경우 저장된 문서는 일반적으로 처리가 완료된 직후에 삭제되며, 안전 조치로 1일의 TTL (수명)이 적용됩니다. 배치가 비정상적으로 종료되면 데이터가 최대 1일의 TTL로 유지될 수 있습니다.

동기 프로세스

온라인 (즉시 응답) 작업의 경우 문서 데이터 (요청에 전송됨)가 메모리에서 처리되고, 전송 중에 암호화되며, 디스크에 유지되지 않습니다. 또한 Google은 서비스를 개선하고 악용을 막기 위해 Document AI API 요청에 대한 일부 메타데이터(요청 수신 시간, 요청 크기 등)를 일시적으로 로깅합니다.

자세한 내용은 전송 중인 데이터 암호화 및 리전을 참고하세요.

Google은 내가 Document AI에 보낸 요청에 포함된 콘텐츠에 대해 소유권을 주장하나요?

Google은 사용자가 Document AI에 전송하는 어떠한 콘텐츠 (문서 및 예측 포함)에 대해서도 소유권을 주장하지 않습니다. 문서와 맞춤 모델은 (비공개) 고객 데이터로 간주됩니다. Google은 모델을 개선하는 데 고객 데이터를 사용하지 않습니다. 양측이 이러한 계약에 동의하는 드문 경우 명시적인 데이터 공유 계약이 작성됩니다.

Google과 공유하기 전에 문서에서 수정해야 하는 개인 식별 정보 (PII)는 무엇인가요?

문서 공유 목적으로 PII는 관련 법규에 따라 개인 식별 데이터로 정의된 모든 정보입니다. 고객은 Google과 문서를 공유하기 전에 문서를 수정해야 합니다(예: 문제를 재현하기 위해 기술 지원 목적으로 자발적으로 수행하는 경우).

PII의 예에는 다음이 포함되나 이에 국한되지 않습니다.

• 생년월일(예: 2/10/1988)
• 개인의 이름(예: Kiran Darko)
• 개인 주소(예: Evergreen terrace 123)
• 개인의 이메일 주소(예: rivelro@test-mail.com)
• 개인의 전화번호(예: 636-555-3226)
• 운전면허 번호
• 국민 식별 번호
• 고용주 식별 번호
• 은행 계좌 정보: 계정 ID, 은행 고유번호, SWIFT ID
• 결제 카드 번호
• 성별(예: Female, Male, Nonbinary)
• 민족(예: Berber, Italian, Japanese, Latino, Ukrainian)
• 사용자 이름, 서드 파티 ID 번호
• 여권 번호(예: AA1001111)
• 결혼 여부(예: Single, Divorced)
• 공제 또는 면제 수
• 종속 이름
• 차량 식별자 (VIN, 번호판 등)
• 시간이 지남에 따라 또는 여러 서비스에서 개인 소비자를 식별할 수 있는 개인의 기타 고유 식별 번호, 특징 또는 코드

Document AI API를 재판매할 수 있나요?

아니요, Document AI 서비스는 재판매할 수 없습니다. 독립적인 가치를 갖는 애플리케이션에 Document AI를 통합하는 것은 허용됩니다.

고객은 문서 또는 데이터에 대한 Google Cloud 지원 액세스를 어떻게 제어할 수 있나요?

모든 Document AI 파서는 액세스 투명성 및 액세스 승인을 지원합니다. 기본적으로 Google 지원팀은 고객 데이터 또는 애플리케이션에 액세스할 수 없습니다. Google 지원팀의 액세스가 필요한 경우 고객은 액세스 승인 절차를 사용하여 데이터 또는 애플리케이션에 대한 액세스를 승인할 수 있습니다. 이 프로세스는 Google 지원 포털에서 티켓을 생성하는 것으로 시작됩니다. 그러면 고객에게 알림 (일반적으로 이메일)과 액세스를 승인하거나 거부하는 옵션이 표시됩니다.

Google에서는 액세스 투명성이라는 서비스도 제공합니다. 이 서비스를 통해 고객은 Google 지원팀이 시스템에 액세스하는 동안 수행하는 모든 작업을 확인할 수 있습니다.