Sicherheit und Compliance von Document AI

Lesen Sie die folgenden Fragen, die für diese Szenarien gelten, um die Dienstsicherheit in Document AI zu gewährleisten.

Auf der Seite Google Cloud Sicherheit sind die Sicherheitsmaßnahmen für Google Cloud -Dienste beschrieben.

Document AI unterstützt Folgendes:

Sicherheitscompliance

In diesem Abschnitt werden die Fragen zu Compliance beschrieben.

Welche Compliance-Anforderungen erfüllt Document AI?

Google Cloud wird regelmäßig von unabhängigen Dritten auf die Einhaltung von Sicherheits-, Datenschutz- und Compliance-Kontrollen geprüft. Google Cloud wird regelmäßig auf Standards wie ISO 27001, ISO 27017, ISO 27018, SOC 2, SOC 3 und PCI DSS geprüft.

Weitere Informationen zu Google Cloud Compliance finden Sie im Center für Compliance-Ressourcen.

Ist Document AI FedRAMP-konform?

Document AI ist FedRAMP High-konform.

Ist Document AI HIPAA-konform?

Document AI ist HIPAA-konform.

Verwendung von Sicherheitsdaten

In diesem Abschnitt werden Datenanfragen beschrieben.

Verwendet Google Kundendaten, um die Modelle zu verbessern?

Nein. Google verwendet Ihre Inhalte (z. B. Dokumente und Vorhersagen) ausschließlich dazu, Ihnen den Document AI-Dienst zur Verfügung zu stellen. Weitere Informationen finden Sie in der Datennutzungsrichtlinie für Document AI.

Bei Google Cloudwerden Kundendaten niemals zum Trainieren unserer KI-Modelle für Dokumente verwendet.

Weitere Informationen finden Sie in diesem Blogpost: Unsere Datenschutzverpflichtungen im Zeitalter der KI

Gibt Google das Dokument, das ich an Document AI sende, in Zukunft an Dritte weiter?

Das Dokument, das Sie uns senden, wird weder veröffentlicht noch irgendjemand anderem zugänglich gemacht, sofern dies nicht notwendig ist, um den Document AI-Dienst bereitzustellen. Beispielsweise kann es erforderlich sein, einen Drittanbieter damit zu beauftragen, einige Aspekte unserer Dienste bereitzustellen, z. B. die Speicherung oder Übertragung von Daten. Unsere Anbieter unterliegen entsprechenden vertraglichen Verpflichtungen zur Sicherheit und Vertraulichkeit. Wir geben von Ihnen gesendete Dokumente nicht an Dritte weiter und machen sie zu keinem anderen Zweck öffentlich.

Werden die Dokumente, die ich an Document AI sende, die Ergebnisse oder andere Informationen zu Anfragen auf Google-Servern gespeichert? Falls ja, wie lange und wo werden sie gespeichert und kann ich darauf zugreifen?

security.1

Wenn Sie ein Dokument mit einer Batchanfrage an Document AI senden, müssen wir dieses Dokument (verschlüsselt mit einem sitzungsspezifischen Schlüssel, sodass niemand darauf zugreifen kann) für kurze Zeit speichern, um die Analyse durchzuführen und die Ergebnisse an Sie zurückzusenden. Bei Batchvorgängen wird das gespeicherte Dokument in der Regel unmittelbar nach der Verarbeitung gelöscht. Als Ausfallsicherung ist eine Gültigkeitsdauer (TTL) von einem Tag eingerichtet. Wenn der Batch nicht normal abgeschlossen wird, bleiben die Daten möglicherweise mit einer TTL von bis zu sieben Tagen erhalten.

Synchrone Prozesse

security-2

Bei Online-Vorgängen mit sofortiger Antwort werden die Dokumentdaten (in der Anfrage gesendet) im Arbeitsspeicher verarbeitet, während der Übertragung verschlüsselt und nicht auf dem Laufwerk gespeichert. Google protokolliert auch vorübergehend einige Metadaten zu Ihren Document AI API-Anfragen (z. B. die Uhrzeit, zu der die Anfrage eingegangen ist, und die Größe der Anfrage), um unseren Dienst zu verbessern und Missbrauch zu unterbinden.

Weitere Informationen finden Sie unter:

Beansprucht Google Eigentumsrechte an den Inhalten, die ich in der Anfrage an Document AI sende?

Google beansprucht keine Eigentumsrechte an Inhalten (einschließlich Dokumenten und Vorhersagen), die Sie an Document AI senden. Dokumente und benutzerdefinierte Modelle gelten als (private) Kundendaten. Wir verwenden Kundendaten niemals, um unsere Modelle zu verbessern. In den seltenen Fällen, in denen beide Parteien einer solchen Vereinbarung zustimmen, wird eine ausdrückliche Datenfreigabevereinbarung erstellt.

Was gilt als personenidentifizierbare Informationen, die aus Dokumenten entfernt werden müssen, bevor sie an Google weitergegeben werden?

Für die Freigabe von Dokumenten sind personenidentifizierbare Informationen alle Informationen, die gemäß anwendbarem Recht als personenidentifizierbare Daten definiert sind. Kunden müssen die Dokumente schwärzen, bevor sie sie für Google freigeben, z. B. wenn dies freiwillig zu technischen Supportzwecken geschieht, um ein Problem zu reproduzieren.

Beispiele für personenbezogene Daten:

  1. Geburtsdatum, z. B. 2/10/1988
  2. Namen von Einzelpersonen, z. B.: Kiran Darko
  3. Privatadresse, z. B.: Evergreen terrace 123
  4. E-Mail-Adressen von Einzelpersonen, z. B.: rivelro@test-mail.com
  5. Telefonnummer einer Einzelperson, z. B.: 636-555-3226
  6. Führerscheinnummer
  7. Personenkennzeichen
  8. Arbeitgeber-ID
  9. Bankkontoinformationen: Konto-IDs, Bankleitzahlen, SWIFT-IDs
  10. Nummer der Zahlungskarte
  11. Geschlecht, z. B.: Female, Male, Nonbinary
  12. Ethnische Herkunft, z. B.: Berber, Italian, Japanese, Latino, Ukrainian
  13. Nutzernamen, ID-Nummer von Dritten
  14. Reisepassnummer, z. B.: AA1001111
  15. Familienstand, z. B.: Single, Divorced
  16. Anzahl der Toleranzen oder Ausnahmen
  17. Abhängige Namen
  18. Fahrzeugkennungen (FIN, Kennzeichen usw.)
  19. Jede andere eindeutige Kennung, Eigenschaft oder ein Code einer Person, mit der ein einzelner Verbraucher, eine Familie oder ein Gerät im Zeitverlauf oder über Dienste hinweg identifiziert werden kann

Kann ich die Document AI API weiterverkaufen?

Nein, Sie dürfen den Document AI-Dienst nicht weiterverkaufen. Sie können Document AI jedoch in Anwendungen mit davon unabhängigem Mehrwert einbinden.

Wie können Kunden den Zugriff des Supports auf ihre Dokumente oder Daten steuern? Google Cloud

Alle Document AI-Parser unterstützen Access Transparency und Zugriffsgenehmigungen. Standardmäßig hat der Google-Support keinen Zugriff auf Kundendaten oder ‑anwendungen. Wenn der Zugriff des Google-Supportteams erforderlich ist, können Kunden den Zugriff auf Daten oder Anwendungen über das Verfahren Zugriffsgenehmigungen autorisieren. Dieser Prozess beginnt mit dem Erstellen eines Tickets im Google-Supportportal. Der Kunde erhält dann eine Benachrichtigung (in der Regel per E-Mail) und die Möglichkeit, den Zugriff zu autorisieren oder abzulehnen.

Google bietet außerdem einen Dienst namens Access Transparency an, mit dem Kunden Einblick in alle Aufgaben erhalten, die der Google-Support ausführt, während er Zugriff auf das System hat.