Sécurité, confidentialité et conformité pour Gemini Code Assist

Ce document décrit les contrôles qui assurent la sécurité Gemini Code Assist Ces commandes peuvent également vous aider à respecter les exigences de confidentialité et réglementaires qui s'appliquent à votre entreprise.

La sécurité, la confidentialité et la conformité des services Google Cloud sont partagée responsabilité. Par exemple, Google sécurise l'infrastructure sur laquelle s'exécutent les services Google Cloud et vous fournit des outils tels que des contrôles d'accès pour vous permettre de gérer les personnes autorisées à accéder à vos services et ressources. Pour en savoir plus sur la façon dont nous sécurisons l'infrastructure, consultez la présentation de la conception de la sécurité sur l'infrastructure de Google.

Architecture de Gemini Code Assist

Le diagramme suivant montre les composants de l'architecture Gemini Code Assist.

Les composants comprennent les éléments suivants :

• Dans votre environnement sur site, vos développeurs d'applications installent Extension Cloud Code pour Visual Studio ou JetBrains. Les développeurs peuvent utiliser cette extension pour interagir avec Gemini Code Assist.
• Par défaut, l'extension utilise une connexion TLS chiffrée sur Internet pour se connecter à Google Cloud depuis votre environnement sur site. Pour créer une connexion sécurisée dédiée entre vos à l'environnement sur site et à Google Cloud, vous pouvez configurer Cloud VPN ou Cloud Interconnect :
• Dans votre environnement Google Cloud, vous pouvez configurer Périmètre de service VPC Service Controls. VPC Service Controls vous permet de définir des règles de sécurité qui empêchent l'accès aux services gérés par Google en dehors d'un périmètre approuvé, de bloquer l'accès aux données depuis des emplacements non approuvés et de limiter les risques d'exfiltration des données.
• Le projet Google Cloud dans lequel vous avez activé Service Gemini Code Assist. Gemini Code Assist utilise l'API Gemini pour Google Cloud pour traiter les conversations. L'API Gemini pour Google Cloud n'a pas accès aux autres API ni aux autres ressources de votre projet.

Si votre organisation utilise des stations de travail Cloud, les développeurs peuvent également installer les extensions Cloud Code sur leurs stations de travail. Pour en savoir plus, consultez Coder avec Gemini Code Assist

Contrairement à la plupart des API Google Cloud, l'API Gemini pour Google Cloud est une API développé uniquement pour les clients fournis par Google. Cette API permet à ces clients d'accéder aux LLM sans état qui alimentent Gemini Code Assist. Ces instances LLM sont partagées par l'ensemble des services Google les clients qui activent l'API Gemini pour Google Cloud.

Contrôles de sécurité du déploiement

Cette section décrit certains des contrôles de sécurité Gemini Code Assist sur Google Cloud.

Authentification

Gemini Code Assist exige que les développeurs de votre application s'authentifient auprès de Google Cloud pour valider leur identité et leurs droits d'accès. Vous devez configurer un compte utilisateur géré par Cloud Identity, Google Workspace fournisseur d'identité fédéré avec Cloud Identity ou Google Workspace. Pour en savoir plus, consultez la page Présentation de la gestion de l'authentification et des accès.

Une fois les comptes créés, tenez compte des points de sécurité suivants pratiques:

• Activez le sso lorsque vous vous authentifiez avec des fournisseurs d'identité externes.
• Utilisez la validation en deux étapes pour protéger les utilisateurs contre le vol de mots de passe.
• Appliquez et surveillez les exigences liées aux mots de passe.

Contrôle des accès

Vous pouvez utiliser Identity and Access Management (IAM) pour contrôler l'accès des développeurs d'applications à Gemini Code Assist. Pour gérer des rôles IAM à grande échelle, nous vous recommandons de créer groupe pour vos développeurs d'applications et octroyez les rôles IAM requises pour Gemini Code Assist groupe. Nous vous déconseillons d'attribuer des rôles IAM à des utilisateurs individuels, car les attributions individuelles peuvent augmenter la complexité de la gestion et de l'audit des rôles.

Lorsque vous attribuez des rôles à votre groupe de développeurs d'applications, assurez-vous de respecter le principe du moindre privilège et les autres bonnes pratiques de sécurité IAM.

Utilisez les processus de votre fournisseur d'identité existant pour la création et la souscription de groupes. Pour en savoir plus sur la configuration d'IAM, consultez la présentation d'IAM.

Pour en savoir plus sur les rôles IAM requis pour Gemini Code Assist, consultez la section Configurer Gemini Code Assist pour un projet. Pour en savoir plus sur les autorisations minimales requises par les développeurs de votre application, consultez la section Tâches de configuration avancées.

Pour auditer les activités d'administration et d'accès, consultez Gemini pour Google Cloud.

Sécurité du réseau

Par défaut, Google protège les données en transit Services Google Cloud, y compris Gemini Code Assist

La connexion principale est celle entre les stations de travail de votre développeur d'applications et Google Front End (GFE). GFE est notre système distribué à l'échelle mondiale qui achemine le trafic entre le réseau Google et le monde extérieur. Gemini Code Assist utilise cette connexion pour recevoir et répondre aux requêtes des développeurs. Par défaut, cette connexion est protégée à l'aide de TLS. Pour plus sur les protections réseau par défaut, consultez Chiffrement en transit.

Si votre organisation l'exige, vous pouvez configurer des paramètres de sécurité supplémentaires pour mieux protéger le trafic sur le réseau Google Cloud entre le réseau Google Cloud et votre réseau d'entreprise.

Réfléchissez aux éléments suivants :

• Utilisez Cloud VPN ou Cloud Interconnect pour de sécurité et de fiabilité pour la connexion entre le réseau d'entreprise et Google Cloud. Pour en savoir plus, consultez la page Choisir un produit de connectivité réseau.

• Utilisez VPC Service Controls. VPC Service Controls vous permet de contrôler le déplacement des données dans les services Google et de configurer une sécurité périmétrique basée sur le contexte. Pour en savoir plus sur la configuration de VPC Service Controls, consultez la page Configurer VPC Service Controls pour Gemini.

• Dans Google Cloud, envisagez VPC partagé que votre topologie de réseau. Le VPC partagé offre une gestion centralisée de la configuration du réseau tout en conservant la séparation des environnements. Pour en savoir plus sur les topologies réseau, consultez la section Choisir une conception réseau pour votre zone de destination Google Cloud.

Pour en savoir plus sur les bonnes pratiques de sécurité réseau, consultez les pages Sécuriser votre réseau et Choisir la conception de réseau pour votre zone de destination Google Cloud.

Protection et confidentialité des données

Cette section décrit comment Gemini Code Assist et les extensions protéger vos données et votre confidentialité.

Données client

Les Données du Client sont définies dans les Conditions d'utilisation de Google Cloud Pour en savoir plus sur la façon dont nous traitons et protégeons les Données client, consultez l'Avenant relatif au traitement des données dans le cloud (Clients).

Par exemple, Gemini Code Assist et les extensions transmettent les données client suivantes :

• Données de requête, y compris les requêtes des développeurs
• Données de réponse de Gemini Code Assist
• Contexte supplémentaire, comme l'historique de la conversation actuelle, des extraits des fichiers ouverts dans l'IDE, des extraits de fichiers stockés situé à côté du fichier ouvert, et l'emplacement du curseur dans le fichier actuel

Gemini Code Assist étant une solution Google Cloud il ne stocke pas les requêtes et les réponses dans Google Cloud. Si nécessaire, vous pouvez configurer Gemini Code Assist pour stocker les entrées et les réponses des utilisateurs dans un bucket Cloud Logging. Pour en savoir plus, consultez la section Afficher les journaux Gemini. Pour surveiller l'utilisation de Gemini Code Assist, consultez Surveiller l'utilisation de Gemini pour Google Cloud.

Pour en savoir plus sur la façon dont Google Cloud chiffre les données au repos, consultez la page Chiffrement au repos par défaut.

Données de service

Les données de service sont définies dans l'Avis de confidentialité de Google Cloud.

Exemples de Données des Services collectées par Gemini Code Assist incluent les éléments suivants:

• Données analytiques sur les utilisateurs (données sur les actions du développeur)
• Données de télémétrie
• Commentaires Google

Les données de télémétrie comprennent des données décrivant le fonctionnement technique de produit. Voici quelques exemples de données de télémétrie :

• Événement indiquant qu'une requête a été effectuée (mais pas le contenu de la demande)
• Événement indiquant qu'une réponse a été reçue (mais pas le contenu de la réponse)
• Réaction d'un utilisateur à la réponse (par exemple, si l'utilisateur a accepté ou refusé la réponse)
• Le nombre de caractères des suggestions acceptées
• Interaction d'un utilisateur avec divers éléments d'interface utilisateur

Les ingénieurs de Gemini Code Assist ont accès aux données de télémétrie pour afin d'améliorer continuellement les produits.

Vous pouvez personnaliser les informations que vous choisissez d'inclure dans votre formulaire de commentaires Google (y compris la possibilité de partager ou de ne pas partager des journaux spécifiques). Pour afficher l'historique de vos commentaires, consultez Vos rapports sur les commentaires.

Où les données sont-elles traitées ?

Gemini Code Assist utilise le réseau Google Edge mondial pour recevoir des données à traiter. En règle générale, le traitement se produit dans le centre de données le plus proche de l'origine géographique de la requête, mais la régionalité n'est pas garantie.

Confidentialité des données

Pour protéger la confidentialité de vos données, Gemini Code Assist respecte l'engagement de Google en matière de confidentialité grâce aux technologies d'IA générative. Il inclut des éléments tels que suivantes:

• Google n'utilise pas vos données pour entraîner nos modèles sans votre autorisation.
• Nous intégrons des principes de confidentialité lors du développement Gemini Code Assist, tels que ceux décrits dans Principes communs de confidentialité.

Pour en savoir plus sur nos principes concernant l'IA, consultez les principes de Google concernant l'IA.

Gemini Code Assist agit en tant que sous-traitant des données pour l'ensemble du Client Données, par exemple lors de la personnalisation des expériences et recommandations : résolution des problèmes et maintenance du service. Google agit également en qualité de responsable du traitement pour des informations telles que la facturation et la gestion des comptes et la détection des utilisations abusives. Pour en savoir plus, consultez Avis de confidentialité de Google Cloud.

Certifications

Gemini Code Assist a reçu les certifications suivantes :

• Organisation internationale de normalisation (ISO) 27001, ISO 27017, ISO 27018, et ISO 27701
• SOC 1 SOC 2, et SOC 3

Pour en savoir plus sur la conformité de Google Cloud avec différents cadres réglementaires et certifications, consultez le Centre de ressources sur la conformité.

Utiliser Gemini Code Assist en toute sécurité

En général, Google recommande d'utiliser un cycle de développement logiciel (SDLC, software development life cycle) sécurisé pour le développement d'applications, que vous utilisiez ou non l'assistance au codage par IA. Pour en savoir plus sur les bonnes pratiques SDLC, consultez Qu'est-ce que le DevOps ? Études et solutions et SLSA :

Gemini Code Assist est un Service d'IA générative indemnisé. Si vous êtes contesté pour des raisons de droits d'auteur après avoir utilisé un contenu généré par Gemini Code Assist, nous assumons une certaine responsabilité des problèmes juridiques potentiels les risques encourus. Pour plus d'informations sur l'indemnisation, consultez notre Conditions spécifiques aux services ou consultez notre article de blog sur ce sujet.

Étape suivante

Découvrez l'IA générative, la confidentialité et Google Cloud (PDF).