Seguridad y cumplimiento de Document AI

Seguridad

Para garantizar la seguridad del servicio en Document AI, lee las siguientes preguntas aplicables en estas situaciones.

¿Cómo protege y garantiza Google la seguridad de los datos que envío a Document AI?

Consulta la página Google Cloud Seguridad, en la que se describen las medidas de seguridad vigentes para los Google Cloud Servicios.

¿Qué áreas de seguridad admite Document AI?

Document AI admite lo siguiente:

• Residencia de datos
• Controles del servicio de VPC (VPC-SC)
• Transparencia de acceso
• Claves de encriptación administradas por el cliente (CMEK)
  • Cómo usar CMEK con Document AI

Cumplimiento de las normas de seguridad

En esta sección, se describen las preguntas relacionadas con el cumplimiento.

¿Qué cumplimiento ofrece Document AI?

Google Cloud se somete a auditorías independientes de terceros de forma periódica para verificar la alineación con los controles de seguridad, privacidad y cumplimiento. Google Cloud realiza auditorías periódicas de estándares como ISO 27001, ISO 27017, ISO 27018, SOC 2, SOC 3 y PCI DSS.

Puedes obtener más información sobre el Google Cloud cumplimiento en el Centro de recursos de cumplimiento.

¿Document AI cumple con FedRAMP?

Document AI cumple con el nivel alto de FedRAMP.

¿Document AI cumple con la HIPAA?

Document AI cumple con la HIPAA.

Uso de datos de seguridad

En esta sección, se describen las consultas de datos.

¿Google usa los datos de los clientes para mejorar los modelos?

No. Google no usa tu contenido (como documentos y predicciones) para ningún fin, excepto para proporcionarte el servicio de Document AI. Consulta la política de uso de datos de Document AI.

En Google Cloud, nunca usamos datos de los clientes para entrenar nuestros modelos de Document AI.

Para obtener más información, consulta esta entrada de blog: Compartimos nuestros compromisos de privacidad de los datos para la era de la IA

¿Google compartirá el documento que envíe a Document AI en el futuro?

No pondremos a disposición del público el documento que envíes ni lo compartiremos con nadie más, excepto cuando sea necesario para proporcionar el servicio de Document AI. Por ejemplo, es posible que en ocasiones necesitemos recurrir a un proveedor externo para proporcionar algún aspecto de nuestros servicios, como el almacenamiento o la transmisión de datos. Nuestros proveedores están sujetos a las obligaciones contractuales de seguridad y confidencialidad correspondientes. No compartimos los documentos que envías con otras partes ni los hacemos públicos para ningún otro propósito.

¿Los documentos que envíe a Document AI, sus resultados o cualquier otra información sobre las solicitudes se almacenarán en los servidores de Google? Si es así, ¿durante cuánto tiempo y dónde? ¿Puedo acceder a ella?

Cuando envías un documento a Document AI con una solicitud por lotes, debemos almacenar ese documento (encriptado con una clave efímera, lo que significa que ninguna persona tiene acceso a él) durante un período breve para realizar el análisis y mostrarte los resultados. En el caso de las operaciones por lotes, el documento almacenado suele borrarse inmediatamente después del procesamiento, con un tiempo de actividad (TTL) a prueba de fallas de un día. Si el lote falla de forma anómala, los datos pueden persistir con un TTL de hasta siete días.

Procesos síncronos

Para las operaciones en línea (respuesta inmediata), los datos del documento (que se envían en la solicitud) se procesan en la memoria, se encriptan en tránsito y no se conservan en el disco. Google también registra temporalmente algunos metadatos sobre tus solicitudes a la API de Document AI (como el momento en que se recibió la solicitud y el tamaño de la solicitud) para mejorar nuestro servicio y combatir el abuso.

Para obtener más información, consulte:

• Encriptación en tránsito
• Regiones.

¿Google reclama la propiedad del contenido que envío en la solicitud a Document AI?

Google no reclama ninguna propiedad sobre el contenido (incluidos los documentos y las predicciones) que transmites a Document AI. Los documentos y los modelos personalizados se consideran datos del cliente (privados). Nunca usamos los datos de los clientes para mejorar nuestros modelos. En el caso poco frecuente en que ambas partes acuerdan un acuerdo de este tipo, se elabora un acuerdo de uso compartido de datos explícito.

¿Qué se considera información de identificación personal (PII) que debe ocultarse en los documentos antes de compartirlos con Google?

A los efectos del uso compartido de documentos, la PII es cualquier información definida como datos de identificación personal según las leyes aplicables. Los clientes deben ocultar los documentos antes de compartirlos con Google, por ejemplo, cuando lo hacen de forma voluntaria con fines de asistencia técnica para reproducir un problema.

Estos son algunos ejemplos de PII:

1. Fecha de nacimiento, por ejemplo: 2/10/1988
2. Nombres de personas, por ejemplo: Kiran Darko
3. Dirección personal, por ejemplo: Evergreen terrace 123
4. Dirección de correo electrónico de personas, por ejemplo: rivelro@test-mail.com
5. Número de teléfono de personas, por ejemplo: 636-555-3226
6. Número de licencia de conducir
7. Número de ID nacional
8. Número de identificación del empleador
9. Información de la cuenta bancaria: IDs de cuenta, números de ruta y IDs SWIFT
10. Número de tarjeta de pago
11. Género, por ejemplo: Female, Male, Nonbinary
12. Etnia, por ejemplo: Berber, Italian, Japanese, Latino, Ukrainian
13. Nombres de usuario y números de ID de terceros
14. Número de pasaporte (por ejemplo, AA1001111)
15. Estado civil, por ejemplo: Single, Divorced
16. Cantidad de permisos o exenciones
17. Nombres dependientes
18. Identificadores de vehículos (VIN, matrículas, etcétera)
19. Cualquier otro número, característica o código de identificación único de una persona que pueda identificar a un consumidor, una familia o un dispositivo individuales a lo largo del tiempo o en diferentes servicios

¿Puedo revender la API de Document AI?

No, no tienes autorización para revender el servicio de Document AI. Pero puedes integrar Document AI en aplicaciones de valor independiente.

¿Cómo pueden los clientes controlar el acceso de Google Cloud asistencia a sus documentos o datos?

Todos los analizadores de Document AI admiten la transparencia de acceso y las aprobaciones de acceso. De forma predeterminada, Atención al cliente de Google no tendría acceso a los datos ni las aplicaciones de los clientes. En el caso de que el equipo de asistencia de Google requiera acceso, los clientes pueden usar el proceso de Aprobaciones de acceso para autorizar el acceso a los datos o las aplicaciones. Este proceso comienza con la creación de un ticket en el portal de asistencia de Google. Luego, el cliente recibe una notificación (por lo general, por correo electrónico) y una opción para autorizar o rechazar el acceso.

Google también ofrece un servicio llamado Transparencia de acceso, que les brinda a los clientes visibilidad de todas las tareas que realiza el equipo de Atención al cliente de Google mientras tienen acceso al sistema.