Seguridad y cumplimiento de Document AI

A continuación, se incluyen preguntas y respuestas aplicables a varios ámbitos.

Seguridad

Para garantizar la seguridad del servicio en Document AI, consulta los siguientes temas.

¿Cómo protege Google los datos que envío a Document AI y garantiza su seguridad?

Consulta la página Google Cloud Seguridad, en la que se describen las medidas de seguridad implementadas en los Google Cloud Servicios.

¿Qué funciones de seguridad ofrece Document AI para protegerse de los ataques horizontales que se desplazan de un sistema a otro?

Document AI admite lo siguiente:

• Residencia de datos
• Política de denegación
• Controles de Servicio de VPC (VPC-SC)
  • Grupos de identidades e identidades de terceros en reglas de entrada y salida.
• Transparencia de acceso
• Claves de encriptado gestionadas por el cliente (CMEK)
  • Usar CMEK con Document AI

Seguridad y cumplimiento

En esta sección se describen las preguntas relacionadas con el cumplimiento.

¿Qué cumplimiento ofrece Document AI?

Google Cloud se somete periódicamente a auditorías de terceros independientes para verificar que cumple los controles de seguridad, privacidad y cumplimiento. Google Cloud Se realizan auditorías periódicas para comprobar que cumple los estándares ISO 27001, ISO 27017, ISO 27018, SOC 2, SOC 3 y PCI DSS.

Puedes consultar más información sobre el Google Cloud cumplimiento en el Centro de recursos para el cumplimiento.

¿Cumple Document AI los requisitos de FedRAMP?

Document AI cumple los requisitos de FedRAMP High.

¿Cumple Document AI con la ley HIPAA?

Document AI cumple la ley HIPAA.

Uso de datos de seguridad

En esta sección se describen las consultas de datos.

¿Utiliza Google los datos de los clientes para mejorar los modelos?

No. Google no utiliza tu contenido (como documentos y predicciones) para ningún otro fin que no sea proporcionarte el servicio Document AI. Consulta la sección 17 de los Google Cloud Términos del Servicio.

En Google Cloud, nunca usamos los datos de los clientes para entrenar nuestros modelos de Document AI.

Para obtener más información, consulta la página Transparencia y protección de datos.

¿Compartirá Google el documento que envíe a Document AI en el futuro?

No pondremos a disposición del público el documento que envíes ni lo compartiremos con nadie, excepto en la medida necesaria para proporcionar el servicio Document AI. Por ejemplo, a veces necesitamos usar un proveedor externo para que nos ayude a proporcionar algún aspecto de nuestros servicios, como el almacenamiento o la transmisión de datos. Nuestros proveedores están sujetos a obligaciones contractuales de seguridad y confidencialidad adecuadas. No compartimos los documentos que envías con terceros ni los hacemos públicos con ningún otro fin.

¿Durante cuánto tiempo y dónde almacenará Google los documentos que envíe a Document AI, sus resultados u otra información sobre las solicitudes en sus servidores? ¿Puedo acceder a ella?

Cuando envías un documento a Document AI mediante una solicitud por lotes, debemos almacenar ese documento (cifrado con una clave efímera, lo que significa que ninguna persona tiene acceso a él) durante un breve periodo para realizar el análisis y devolverte los resultados. En el caso de las operaciones por lotes, el documento almacenado se suele eliminar inmediatamente después del procesamiento, con un tiempo de vida (TTL) de un día. Si el proceso por lotes finaliza de forma anómala, los datos pueden conservarse con un TTL de hasta un día.

Procesos síncronos

En las operaciones online (respuesta inmediata), los datos del documento (enviados en la solicitud) se procesan en la memoria, se cifran en tránsito y no se conservan en el disco. Google también registra temporalmente algunos metadatos sobre tus solicitudes a la API Document AI (como la hora en la que se recibió la solicitud y el tamaño de la solicitud) para mejorar nuestro servicio y combatir el abuso.

Para obtener más información, consulta Cifrado en tránsito y Regiones.

¿Google reclama la propiedad del contenido que envío en la solicitud a Document AI?

Google no reclama la propiedad de ningún contenido (incluidos documentos y predicciones) que transmitas a Document AI. Los documentos y los modelos personalizados se consideran datos de clientes (privados). Nunca utilizamos los datos de los clientes para mejorar nuestros modelos. En el improbable caso de que ambas partes acepten dicho acuerdo, se elaborará un acuerdo de intercambio de datos explícito.

¿Qué se considera información personal identificable (IPI) que debe ocultarse en los documentos antes de compartirlos con Google?

A efectos de compartir documentos, la información personal identificable es cualquier información definida como datos personales identificables en virtud de las leyes aplicables. Los clientes deben redactar los documentos antes de compartirlos con Google, por ejemplo, cuando lo hagan voluntariamente con fines de asistencia técnica para reproducir un problema.

Estos son algunos ejemplos de información personal:

• Fecha de nacimiento (por ejemplo): 2/10/1988
• Nombres de personas, por ejemplo: Kiran Darko
• Dirección personal, por ejemplo: Evergreen terrace 123
• Dirección de correo de personas físicas, por ejemplo: rivelro@test-mail.com
• Número de teléfono de personas físicas, por ejemplo: 636-555-3226
• Número de carné de conducir
• Número de identificación nacional
• Número de identificación fiscal de la empresa
• Información de la cuenta bancaria: IDs de cuenta, números de ruta, IDs SWIFT
• Número de tarjeta de pago
• Género, por ejemplo: Female, Male, Nonbinary
• Etnia, por ejemplo: Berber, Italian, Japanese, Latino, Ukrainian
• Nombres de usuario y números de identificación de terceros
• Número de pasaporte, por ejemplo: AA1001111
• Estado civil, por ejemplo: Single, Divorced
• Número de deducciones o exenciones
• Nombres dependientes
• Identificadores de vehículos (VIN, matrículas, etc.)
• Cualquier otro número, característica o código de identificación único de una persona que pueda identificar a un consumidor, una familia o un dispositivo a lo largo del tiempo o en diferentes servicios

¿Puedo revender la API de Document AI?

No, no tienes permiso para revender el servicio Document AI. Puedes seguir integrando Document AI en aplicaciones de valor independiente.

¿Cómo pueden los clientes controlar el Google Cloud acceso del equipo de Asistencia a sus documentos o datos?

Todos los analizadores de Document AI admiten Transparencia de acceso y aprobaciones de acceso. De forma predeterminada, el equipo de Asistencia de Google no tiene acceso a los datos ni a las aplicaciones de los clientes. En caso de que el equipo de Asistencia de Google necesite acceder a los datos, los clientes pueden usar el proceso de Aprobación de acceso para autorizar el acceso a los datos o las aplicaciones. Este proceso comienza con la creación de una incidencia en el portal de asistencia de Google. A continuación, el cliente recibe una notificación (normalmente, por correo electrónico) y una opción para autorizar o denegar el acceso.

Google también ofrece un servicio llamado Transparencia de acceso, que permite a los clientes ver todas las tareas que realiza el equipo de Asistencia de Google mientras tiene acceso al sistema.