Keamanan & Kepatuhan Document AI

Keamanan

Untuk memastikan keamanan layanan di Document AI, baca pertanyaan berikut yang berlaku dalam skenario ini.

Bagaimana cara Google melindungi dan memastikan keamanan data yang saya kirim ke Document AI?

Lihat halaman Google Cloud Keamanan yang menjelaskan langkah-langkah keamanan yang diterapkan untuk Google Cloud Layanan.

Horizontal keamanan apa yang didukung Document AI?

AI Dokumen mendukung hal berikut:

• Residensi Data
• Kontrol Layanan VPC (VPC-SC)
• Transparansi Akses
• Kunci enkripsi yang dikelola pelanggan (CMEK)
  • Menggunakan CMEK dengan Document AI

Kepatuhan terhadap keamanan

Bagian ini menjelaskan pertanyaan terkait kepatuhan.

Kepatuhan apa yang ditawarkan Document AI?

Google Cloud melakukan audit pihak ketiga independen secara rutin untuk memverifikasi kesesuaian dengan kontrol keamanan, privasi, dan kepatuhan. Google Cloud memiliki audit rutin untuk standar seperti ISO 27001, ISO 27017, ISO 27018, SOC 2, SOC 3, dan PCI DSS.

Anda dapat membaca selengkapnya tentang Google Cloud kepatuhan di Pusat referensi kepatuhan

Apakah Document AI mematuhi FedRAMP?

Document AI mematuhi FedRAMP High.

Apakah Document AI mematuhi HIPAA?

Document AI mematuhi HIPAA.

Penggunaan data keamanan

Bagian ini menjelaskan permintaan data.

Apakah Google menggunakan data pelanggan untuk meningkatkan kualitas model?

Tidak. Google tidak menggunakan konten Anda (seperti dokumen dan prediksi) untuk tujuan apa pun kecuali untuk menyediakan layanan Document AI kepada Anda. Lihat Kebijakan penggunaan data Document AI.

Di Google Cloud, kami tidak pernah menggunakan data pelanggan untuk melatih model Document AI kami.

Untuk informasi selengkapnya, lihat postingan blog ini: Membagikan komitmen privasi data kami untuk era AI

Di masa mendatang, apakah Google akan membagikan dokumen yang saya kirim ke Document AI?

Kami tidak akan membuat dokumen yang Anda kirim tersedia untuk publik, atau membagikannya kepada orang lain, kecuali jika diperlukan untuk menyediakan layanan Document AI. Misalnya, terkadang kami mungkin perlu menggunakan vendor pihak ketiga untuk membantu kami menyediakan beberapa aspek layanan kami, seperti penyimpanan atau transmisi data. Vendor kami tunduk pada kewajiban kontrak keamanan dan kerahasiaan yang sesuai. Kami tidak membagikan dokumen yang Anda kirim kepada pihak lain atau membuatnya publik untuk tujuan lain.

Apakah dokumen yang saya kirim ke Document AI, hasilnya, atau informasi lain tentang permintaan, akan disimpan di server Google? Jika ya, berapa lama dan di mana, dan dapatkah saya mengaksesnya?

Saat Anda mengirim dokumen ke Document AI menggunakan permintaan batch, kami harus menyimpan dokumen tersebut (dienkripsi dengan kunci sementara, yang berarti tidak ada manusia yang memiliki akses ke dokumen tersebut) selama jangka waktu singkat untuk melakukan analisis dan menampilkan hasilnya kepada Anda. Untuk operasi batch, dokumen yang disimpan biasanya segera dihapus setelah pemrosesan, dengan Time to live (TTL) failsafe selama satu hari. Jika batch mengalami error secara tidak normal, data dapat dipertahankan dengan TTL hingga tujuh hari.

Proses sinkron

Untuk operasi online (respons langsung), data dokumen (yang dikirim dalam permintaan) diproses dalam memori, dienkripsi saat dalam pengiriman, dan tidak dipertahankan ke disk. Google juga mencatat beberapa metadata terkait permintaan Document AI API Anda untuk sementara (seperti waktu permintaan diterima dan ukuran permintaan) untuk meningkatkan layanan kami dan melawan penyalahgunaan.

Untuk informasi selengkapnya, lihat:

• Enkripsi dalam pengiriman.
• Wilayah.

Apakah Google mengklaim kepemilikan konten yang saya kirim dalam permintaan ke Document AI

Google tidak mengklaim kepemilikan apa pun atas konten apa pun (termasuk dokumen dan prediksi) yang Anda kirimkan ke Document AI. Dokumen dan model kustom dianggap sebagai data pelanggan (pribadi). Kami tidak pernah menggunakan data pelanggan untuk meningkatkan model kami. Dalam situasi yang jarang terjadi saat kedua pihak menyetujui pengaturan tersebut, perjanjian berbagi data eksplisit akan dibuat.

Apa yang dianggap sebagai Informasi Identitas Pribadi (PII) yang perlu disamarkan dalam dokumen sebelum dibagikan kepada Google?

Untuk tujuan berbagi dokumen, PII adalah informasi apa pun yang ditetapkan sebagai data identitas pribadi berdasarkan hukum yang berlaku. Pelanggan harus menyamarkan dokumen sebelum membagikannya kepada Google, misalnya jika dilakukan secara sukarela untuk tujuan dukungan teknis guna mereproduksi masalah.

Contoh PII mencakup, tetapi tidak terbatas pada:

1. Tanggal lahir, misalnya: 2/10/1988
2. Nama individu, misalnya: Kiran Darko
3. Alamat pribadi, misalnya: Evergreen terrace 123
4. Alamat email individu, misalnya: rivelro@test-mail.com
5. Nomor telepon individu, misalnya: 636-555-3226
6. Nomor surat izin mengemudi
7. Nomor tanda pengenal nasional
8. Employer Identification Number (EIN)
9. Informasi rekening bank: ID rekening, routing number, ID SWIFT
10. Nomor kartu pembayaran
11. Gender, misalnya: Female, Male, Nonbinary
12. Etnis, misalnya: Berber, Italian, Japanese, Latino, Ukrainian
13. Nama pengguna, nomor ID pihak ketiga
14. Nomor paspor, misalnya: AA1001111
15. Status pernikahan, misalnya: Single, Divorced
16. Jumlah tunjangan atau pengecualian
17. Nama dependen
18. ID kendaraan (VIN, pelat nomor, dll.)
19. Nomor identifikasi unik, karakteristik, atau kode individu lainnya yang dapat mengidentifikasi setiap konsumen, keluarga, atau perangkat dari waktu ke waktu atau di seluruh layanan

Dapatkah saya menjual kembali Document AI API?

Tidak, Anda tidak diizinkan untuk menjual kembali layanan Document AI. Anda masih dapat mengintegrasikan Document AI ke dalam aplikasi yang bernilai independen.

Bagaimana cara pelanggan mengontrol Google Cloud akses dukungan ke dokumen atau data mereka?

Semua parser Document AI mendukung transparansi akses dan persetujuan akses. Secara default, dukungan Google tidak akan memiliki akses ke data atau aplikasi pelanggan apa pun. Jika akses diperlukan dari tim dukungan Google, pelanggan dapat menggunakan proses Persetujuan Akses untuk memberikan otorisasi akses ke data atau aplikasi. Proses ini dimulai dengan pembuatan tiket di portal dukungan Google. Kemudian, pelanggan akan menerima notifikasi (biasanya email) dan opsi untuk mengizinkan atau menolak akses.

Google juga menawarkan layanan yang disebut Transparansi Akses yang memberi pelanggan visibilitas ke semua tugas yang dilakukan dukungan Google saat mereka memiliki akses ke sistem.