Sicurezza e conformità di Document AI

Sicurezza

Per garantire la sicurezza del servizio in Document AI, leggi le seguenti domande applicabili a questi scenari.

In che modo Google protegge e garantisce la sicurezza dei dati che invio a Document AI?

Consulta la pagina Google Cloud Sicurezza, che descrive le misure di sicurezza in vigore per i Google Cloud Servizi.

Quali aree orizzontali della sicurezza supporta Document AI?

Document AI supporta quanto segue:

• Residenza dei dati
• Controlli di servizio VPC (VPC-SC)
• Access Transparency
• Chiavi di crittografia gestite dal cliente (CMEK)
  • Utilizzare CMEK con Document AI

Conformità ai requisiti di sicurezza

Questa sezione descrive le domande relative alla conformità.

Quale conformità offre Document AI?

Google Cloud si sottopone regolarmente a controlli indipendenti da parte di terze parti per verificare l'allineamento con i controlli di sicurezza, privacy e conformità. Google Cloud ha controlli regolari per standard come ISO 27001, ISO 27017, ISO 27018, SOC 2, SOC 3 e PCI DSS.

Puoi scoprire di più sulla Google Cloud conformità nel Centro risorse per la conformità

Document AI è conforme a FedRAMP?

Document AI è conforme a FedRAMP High.

Document AI è conforme a HIPAA?

Document AI è conforme a HIPAA.

Utilizzo dei dati sulla sicurezza

Questa sezione descrive le richieste di dati.

Google utilizza i dati dei clienti per migliorare i modelli?

No. Google non utilizza i tuoi contenuti (ad esempio documenti e previsioni) per nessun altro scopo, tranne per fornirti il servizio Document AI. Consulta le norme relative all'utilizzo dei dati di Document AI.

Al momento Google Cloud, non utilizziamo mai i dati dei clienti per addestrare i nostri modelli di Document AI.

Per saperne di più, leggi questo post del blog: Condividere i nostri impegni in materia di privacy dei dati per l'era dell'IA

In futuro, Google condividerà il documento che invio a Document AI?

Non renderemo disponibile al pubblico il documento che invii né lo condivideremo con altre persone, tranne nei casi in cui sia necessario per fornire il servizio Document AI. Ad esempio, a volte potremmo dover utilizzare un fornitore di terze parti per aiutarci a fornire alcuni aspetti dei nostri servizi, come lo stoccaggio o la trasmissione dei dati. I nostri fornitori sono soggetti a obblighi contrattuali appropriati in materia di sicurezza e riservatezza. Non condividiamo i documenti che invii con altre parti né li rendiamo pubblici per altri scopi.

I documenti che invio a Document AI, i relativi risultati o altre informazioni sulle richieste verranno archiviati sui server di Google? Se sì, per quanto tempo e dove, e posso accedervi?

Quando invii un documento a Document AI utilizzando una richiesta batch, dobbiamo memorizzare il documento (criptato con una chiave temporanea, il che significa che nessun utente ha accesso) per un breve periodo di tempo per eseguire l'analisi e restituirti i risultati. Per le operazioni batch, il documento archiviato viene in genere eliminato immediatamente dopo l'elaborazione, con un TTL (time to live) di sicurezza di un giorno. Se il batch termina in modo anomalo, i dati potrebbero essere mantenuti con un TTL fino a sette giorni.

Processi sincroni

Per le operazioni online (risposta immediata), i dati del documento (inviati nella richiesta) vengono elaborati in memoria, criptati durante il trasferimento e non vengono memorizzati su disco. Google registra temporaneamente anche alcuni metadati sulle tue richieste all'API Document AI (ad esempio l'ora di ricezione e le dimensioni della richiesta) per migliorare il servizio e contrastare gli abusi.

Per ulteriori informazioni, vedi:

• Crittografia dei dati in transito.
• Regioni.

Google rivendica la proprietà dei contenuti che invio nella richiesta a Document AI

Google non rivendica la proprietà di nessuno dei contenuti (inclusi documenti e predizioni) che trasmetti a Document AI. I documenti e i modelli personalizzati sono considerati dati (privati) dei clienti. Non utilizziamo mai i dati dei clienti per migliorare i nostri modelli. Nella rara circostanza in cui entrambe le parti accettino un simile arrangiamento, viene stipulato un contratto esplicito di condivisione dei dati.

Cosa si considera informazione che consente l'identificazione personale (PII) che deve essere oscurata nei documenti prima di essere condivisa con Google?

Ai fini della condivisione dei documenti, le PII sono tutte le informazioni definite come dati personali identificabili ai sensi delle leggi vigenti. I clienti devono oscurare i documenti prima di condividerli con Google, ad esempio quando lo fanno volontariamente a fini di assistenza tecnica per riprodurre un problema.

Alcuni esempi di PII includono, a titolo esemplificativo:

1. Data di nascita, ad esempio: 2/10/1988
2. Nomi di privati, ad esempio: Kiran Darko
3. Indirizzo personale, ad esempio: Evergreen terrace 123
4. Indirizzo email di privati, ad esempio: rivelro@test-mail.com
5. Numero di telefono di privati, ad esempio: 636-555-3226
6. Numero della patente di guida
7. Numero del documento di identità
8. Employer Identification Number
9. Dati del conto bancario: ID account, codici di avviamento bancario, ID SWIFT
10. Numero della carta di pagamento
11. Genere, ad esempio: Female, Male, Nonbinary
12. Etnia, ad esempio: Berber, Italian, Japanese, Latino, Ukrainian
13. Nomi utente, numero ID di terze parti
14. Numero di passaporto, ad esempio: AA1001111
15. Stato civile, ad esempio: Single, Divorced
16. Numero di tolleranze o esenzioni
17. Nomi dipendenti
18. Identificatori del veicolo (VIN, targhe e così via)
19. Qualsiasi altro numero, caratteristica o codice di identificazione univoco di un individuo che potrebbe identificare un singolo consumatore, una famiglia o un dispositivo nel tempo o tra servizi

Posso rivendere l'API Document AI?

No, non è consentito rivendere il servizio Document AI. Puoi comunque integrare Document AI in applicazioni di valore indipendente.

In che modo i clienti possono controllare l'accesso dell'assistenza ai propri documenti o dati? Google Cloud

Tutti gli analizzatori Document AI supportano la trasparenza degli accessi e le approvazioni degli accessi. Per impostazione predefinita, l'Assistenza Google non ha accesso ai dati o alle applicazioni dei clienti. Nei casi in cui sia richiesto l'accesso da parte del team di assistenza Google, i clienti possono utilizzare la procedura Access Approvals (Approvazioni di accesso) per autorizzare l'accesso a dati o applicazioni. Questa procedura inizia con la creazione di un ticket nel portale di assistenza Google. Il cliente riceve quindi una notifica (in genere via email) e un'opzione per autorizzare o negare l'accesso.

Google offre anche un servizio chiamato Access Transparency, che offre ai clienti visibilità su tutte le attività eseguite dall'assistenza Google quando hanno accesso al sistema.