Segurança e compliance da Document AI

Segurança

Para garantir a segurança do serviço na Document AI, leia as perguntas abaixo aplicáveis a esses cenários.

Como o Google protege e garante a segurança dos dados que envio para a Document AI?

Consulte a página Google Cloud Segurança, que descreve as medidas de segurança em vigor para os Google Cloud serviços.

Quais verticais de segurança são compatíveis com a Document AI?

A Document AI oferece suporte para:

• Residência dos dados
• VPC Service Controls (VPC-SC)
• Transparência no acesso
• Chaves de criptografia gerenciadas pelo cliente (CMEK)
  • Como usar a CMEK com a Document AI

Compliance da segurança

Esta seção descreve as perguntas relacionadas à conformidade.

Qual conformidade a Document AI oferece?

Google Cloud passa por auditorias terceirizadas independentes regulares para verificar o alinhamento com controles de segurança, privacidade e compliance. Google Cloud tem auditorias regulares para padrões como ISO 27001, ISO 27017, ISO 27018, SOC 2, SOC 3 e PCI DSS.

Saiba mais sobre compliance com a Google Cloud na Central de recursos de compliance.

A Document AI está em conformidade com o FedRAMP?

O Document AI é compatível com o FedRAMP High.

A Document AI está em compliance com a HIPAA?

A Document AI está em compliance com a HIPAA.

Uso de dados de segurança

Esta seção descreve as consultas de dados.

O Google usa dados de clientes para melhorar os modelos?

Não. O Google não usa seu conteúdo (como documentos e previsões) para nenhuma finalidade, exceto para fornecer o serviço de IA de documentos. Consulte a política de uso de dados da Document AI.

No Google Cloud, nunca usamos dados de clientes para treinar nossos modelos de IA de documentos.

Para mais informações, consulte esta postagem do blog: Compartilhamento de nossos compromissos de privacidade de dados para a era da IA

O Google vai compartilhar o documento que eu enviar para a Document AI no futuro?

Não disponibilizamos ao público nem compartilhamos com ninguém o documento que você envia, exceto conforme necessário para fornecer o serviço Document AI. Por exemplo, às vezes pode ser necessário usar um fornecedor terceirizado para nos ajudar a oferecer alguns aspectos dos nossos serviços, como armazenamento ou transmissão de dados. Nossos fornecedores estão sob as obrigações contratuais adequadas de segurança e confidencialidade. Não compartilhamos os documentos que você envia com outras partes nem os disponibilizamos ao público para qualquer outra finalidade.

Os documentos que envio para a Document AI, os resultados ou outras informações sobre as solicitações serão armazenados nos servidores do Google? Em caso afirmativo, por quanto tempo e onde? Posso acessá-lo?

Quando você envia um documento para a Document AI usando uma solicitação em lote, precisamos armazenar esse documento (codificado com uma chave temporária, o que significa que nenhum humano tem acesso a ele) por um curto período para realizar a análise e retornar os resultados a você. Para operações em lote, o documento armazenado normalmente é excluído imediatamente após o processamento, com uma medida de segurança Time to live (TTL) de um dia. Se o lote for corrompido de forma anormal, os dados poderão persistir com um TTL de até sete dias.

Processos síncronos

Para operações on-line (resposta imediata), os dados do documento (enviados na solicitação) são processados na memória, criptografados em trânsito e não são mantidos no disco. O Google também registra temporariamente alguns metadados sobre suas solicitações da API Document AI, como o horário em que ela foi recebida e o tamanho dela, para melhorar nosso serviço e combater abusos.

Veja mais informações em:

• Criptografia em trânsito.
• Regiões.

O Google reivindica a propriedade do conteúdo que envio na solicitação para a Document AI?

O Google não reivindica a propriedade de nenhum conteúdo, incluindo documentos e previsões, que você transmite à Document AI. Documentos e modelos personalizados são considerados dados (privados) do cliente. Nunca usamos dados do cliente para melhorar nossos modelos. Na rara circunstância em que ambas as partes concordam com esse acordo, um contrato de compartilhamento de dados explícito é elaborado.

O que é considerado informação de identificação pessoal (PII) que precisa ser redigida em documentos antes de ser compartilhada com o Google?

Para fins de compartilhamento de documentos, PII é qualquer informação definida como dados de identificação pessoal de acordo com as leis aplicáveis. Os clientes precisam editar os documentos antes de compartilhá-los com o Google, por exemplo, quando são feitos voluntariamente para fins de suporte técnico para reproduzir um problema.

Exemplos de PII incluem, entre outros:

1. Data de nascimento, por exemplo: 2/10/1988
2. Nomes de pessoas, por exemplo: Kiran Darko
3. Endereço pessoal, por exemplo: Evergreen terrace 123
4. Endereço de e-mail de pessoas, por exemplo: rivelro@test-mail.com
5. Número de telefone de pessoas, por exemplo: 636-555-3226
6. Número da carteira de habilitação
7. Número de identificação nacional
8. Número de identificação do empregador
9. Informações da conta bancária: IDs da conta, números de identificação do banco, IDs SWIFT
10. Número do cartão de pagamento
11. Gênero, por exemplo: Female, Male, Nonbinary
12. Etnia, por exemplo: Berber, Italian, Japanese, Latino, Ukrainian
13. Nomes de usuário, número de identificação de terceiros
14. Número do passaporte, por exemplo: AA1001111
15. Estado civil, por exemplo: Single, Divorced
16. Número de isenções ou isenções
17. Nomes dependentes
18. Identificadores de veículos (chassi, placas etc.)
19. Qualquer outro número, característica ou código de identificação exclusivo de um indivíduo que possa identificar um consumidor, família ou dispositivo ao longo do tempo ou em serviços

Posso revender a API Document AI?

Não, você não tem permissão para revender o serviço da Document AI. No entanto, é possível integrar a IA de documentos a aplicativos de valor independente.

Como os clientes podem controlar o acesso Google Cloud ao suporte a documentos ou dados?

Todos os analisadores da Document AI oferecem suporte à transparência no acesso e às aprovações de acesso. Por padrão, o suporte do Google não tem acesso a nenhum dos dados ou aplicativos do cliente. Na situação em que o acesso é necessário pela equipe de suporte do Google, os clientes podem usar o processo de aprovações de acesso para autorizar o acesso a dados ou aplicativos. Esse processo começa com a criação de um tíquete no portal de suporte do Google. O cliente recebe uma notificação (geralmente por e-mail) e uma opção para autorizar ou negar o acesso.

O Google também oferece um serviço chamado Transparência no acesso, que mostra ao cliente todas as tarefas que o suporte do Google realiza enquanto tem acesso ao sistema.