Mantener la seguridad y conformidad de los datos

La seguridad de los datos del cliente es primordial. La siguiente información describe algunas de las formas en que los datos de cliente están protegidos al utilizar Cloud Pak for Data as a Service y qué ayuda se espera por parte del usuario.

Responsabilidad del cliente

Los clientes son responsables de garantizar su propia conformidad con distintas leyes y normativas, incluido el Reglamento general de protección de datos de la Unión Europea. Los clientes son los únicos responsables de obtener asesoramiento legal competente referente a la identificación y la interpretación de cualquier ley relevante que pudiera afectar a su negocio, así como cualquier medida que debieran tomar para cumplir con dichas leyes y normativas. Los productos, servicios y otras funciones aquí descritas no son adecuadas para todas las situaciones de los clientes y pueden tener una disponibilidad restringida. IBM no proporciona asesoramiento jurídico, contable o de auditoría, y no representa ni ofrece ninguna garantía de que sus servicios o productos garanticen el cumplimiento por parte de los clientes de ninguna ley o normativa.

Preparación para HIPAA

Watson Studio, Watson Machine Learning y Watson Knowledge Catalog cumplen con los controles de IBM necesarios que son proporcionales a los requisitos de las reglas de seguridad y privacidad de HIPAA (Health Insurance Portability and Accountability Act) de 1996. Estos requisitos incluyen las protecciones administrativas, físicas y técnicas apropiadas necesarias para los socios empresariales en 45 CFR Parte 160 y las Subpartes A y C de la Parte 164. La preparación para HIPAA se aplica a los planes siguientes:

  • El plan Watson Studio Enterprise en la región de Dallas (Sur de EE.UU.)
  • El plan Watson Machine Learning Professional en la región de Dallas (Sur de EE.UU.)
  • Los planes Standard y Professional de Watson Knowledge Catalog en la región de Dallas (Sur de EE.UU)

Para los otros servicios que utilice con Watson Studio, debe comprobar la página del plan en IBM Cloud para cada uno de ellos, para determinar si está preparado para HIPAA y si es necesario volver a suministrar el servicio después de habilitar el soporte de HIPAA.

El soporte de HIPAA de IBM requiere que acepte los términos del BAA (Business Associate Addendum) con IBM para su cuenta de IBM Cloud. El acuerdo BAA describe las responsabilidades de IBM, pero también sus responsabilidades para mantener la conformidad con HIPAA. Después de habilitar el soporte de HIPAA en su cuenta de IBM Cloud, no puede inhabilitarlo. Consulte Documentos de IBM Cloud: Habilitación del valor de HIPAA soportado.

Para habilitar el soporte de HIPAA para su cuenta de IBM Cloud:

  1. Inicie sesión en la cuenta de IBM Cloud.
  2. Pulse Gestionar > Cuenta y, a continuación, Valores de cuenta.
  3. En la sección HIPAA soportado, pulse Activado.
  4. Lea el acuerdo BAA y, después, seleccione Aceptar y pulse Enviar.

No es necesario que vuelva a suministrar los servicios de Watson Studio, Watson Machine Learning o Watson Knowledge Catalog después de habilitar el soporte de HIPAA. No obstante, es posible que necesite migrar Watson Studio y otras instancias de servicio desde las organizaciones y los espacios de Cloud Foundry a los grupos de recursos de IBM Cloud. Para obtener las instrucciones, consulte IBM Cloud: Migración de las instancias de servicio de Cloud Foundry a un grupo de recursos.

Compromiso de IBM con GDPR

Obtenga más información sobre el recorrido de preparación para GDPR realizado por IBM y las prestaciones y ofertas de GDPR para dar soporte a sus esfuerzos de conformidad aquí.

Protección de datos y contenido

La hoja de datos de proceso y protección de datos (Hoja de datos) proporciona información específica del servicio IBM Cloud, en relación con el tipo de contenido habilitado para su proceso, las actividades de proceso implicadas, las funciones de protección de datos y los detalles específicos sobre la retención y devolución del contenido. Cualquier detalle o aclaración y términos, incluidas las responsabilidades del Cliente, con respecto al uso de Cloud Service y las características de protección de datos, si las hay, se establecen en este apartado. Es posible que haya más de una hoja de datos aplicable al uso del cliente de IBM Cloud Service, en función de las opciones seleccionadas por el cliente. La Hoja de datos sólo puede estar disponible en inglés y no está disponible en idiomas locales. A pesar de cualquier práctica de la legislación local o personalizada, las partes acuerdan que comprenden el idioma inglés y que este es un idioma adecuado con respecto a la adquisición y el uso de IBM Cloud Services. Las siguientes hojas de datos se aplican a IBM Cloud Service y a sus opciones disponibles. El cliente acepta que i) IBM puede modificar las Hojas de datos en cualquier momento bajo la discreción de IBM y que ii) estas modificaciones prevalecen sobre las versiones anteriores. El objetivo de cualquier modificación en las hojas de datos será para

  1. mejorar o clarificar los compromisos existentes,
  2. mantener la alineación con los estándares adoptados actualmente y las leyes aplicables, o
  3. proporcionar compromisos adicionales. Ninguna modificación de las Hojas de datos degradará materialmente la protección de datos de un IBM Cloud Service.

Las siguientes son algunas hojas de datos que puede visualizar:

Usted, el Cliente, es responsable de llevar a cabo las acciones necesarias para realizar el pedido de, habilitar o utilizar las características de protección de datos disponibles para un IBM Cloud Service y aceptar su responsabilidad en el uso de IBM Cloud Services si no lleva a cabo estas acciones, incluido el cumplimiento de cualquier requisito de protección de datos u otros requisitos legales relacionados con el Contenido. Data Processing Addendum de IBM Como parte del Acuerdo, se hace referencia a y se aplican (DPA) y DPA Exhibits, si y en la medida en que se aplique el GDPR (European General Data Protection Regulation (EU/2016/679) a los datos incluidos en el Contenido. Las hojas de datos aplicables para este IBM Cloud Service servirán como resultados de DPA Exhibits. Si se aplica DPA, la obligación de IBM de proporcionar un aviso de los cambios en los Subprocesadores y el derecho del cliente a oponerse a dichos cambios, se aplicará según lo establecido en DPA.

Declaración de GDPR que se aplica a los archivos de registro de IBM Watson Machine Learning

Exención de responsabilidad: El uso por parte del cliente del proceso de entrenamiento de aprendizaje profundo incluye la capacidad de escribir en los archivos de registro de entrenamiento. Los datos personales no deben escribirse en estos archivos de registro de entrenamiento, ya que son accesibles por parte de otros usuarios de la Empresa del Cliente, así como por parte de IBM, según sea necesario, para dar soporte a IBM Cloud Service.

Preste una atención especial a los principios de privacidad de datos cuando seleccione un conjunto de datos para los datos de entrenamiento. El procesamiento de PI está regido por fuertes requisitos legales y sólo se permite si está basado en una base legal explícita. Estas normativas ordenan que PI sólo se procese con la finalidad para la cual se ha recopilado. No se permite ningún otro proceso de un modo que sea incompatible con esta finalidad inicial. Para estas y otras restricciones, que imponen estas normativas en su uso de PI, recomendamos que no utilice el PI "real" en su conjunto de datos de entrenamiento, a menos que esté permitido o sea permisible. Puede sustituir el PI real utilizando los datos de prueba disponibles en la esfera pública.

Supresión segura del servicio IBM Watson Machine Learning

Cualquiera que tenga almacenados información y datos personales identificables (PII) como parte de la utilización del servicio IBM Watson Machine Learning, tiene el derecho de obtener por parte del controlador el borrado de dichos datos sin demora indebida. El controlador tiene la obligación de borrar los datos personales sin ninguna demora injustificada cuando exista una de las condiciones siguientes:

  • Existen datos de PII almacenados en el servicio IBM Watson Machine Learning
  • La dirección de correo electrónico y el nombre completo se han almacenado como metadatos relacionados con los activos del repositorio de Machine Learning.
  • El usuario ha proporcionado las credenciales de servicio.
  • El contenido del activo de repositorio, que suele estar fuera del control del servicio de Machine Learning y potencialmente puede contener cualquier tipo de datos PII. En este caso, cuando los usuarios desean realizar un seguimiento de los datos de PII almacenados en activos, como por ejemplo un modelo, deben:

    • Obtener la referencia de los datos de entrenamiento desde los metadatos del modelo.
    • Explorar los datos de entrenamiento para la aparición de datos de PII de un usuario específico.
    • Si se pueden encontrar estos datos en el conjunto de datos de entrenamiento, debe considerarse que el modelo posee potencialmente estos datos en su contenido.

El contenido del activo del repositorio, como los modelos, se puede suprimir de forma segura llevando a cabo uno de los métodos para suprimir los datos personales de forma permanente.

Opciones para suprimir los datos personales de forma permanente

Hay varias opciones que los usuarios pueden elegir para suprimir sus datos personales de forma permanente:

  • Eliminar la instancia completa del servicio IBM Watson Machine Learning en IBM Cloud. Esto se puede llevar a cabo enviando una solicitud de cancelación de suministro a través de diferentes canales, tales como la interfaz de usuario de IBM Cloud, la CLI o la API REST.

  • Elimine toda la información relacionada con el modelo específico publicado en el repositorio de IBM Watson Machine Learning con el siguiente Mandato de API REST:

     DELETE /v3/wml_instances/{instance_id}/published_models/{published_model_id}
    
  • Elimine toda la información relacionada con el despliegue del modelo seleccionado utilizando el siguiente Mandato de API REST:

     DELETE /v3/wml_instances/{instance_id}/published_models/{published_model_id}/deployments/{deployment_id}
    

Para el servicio IBM Watson Machine Learning, la información y los datos identificables personalmente se eliminan por completo de todos los orígenes de datos, incluidas las copias de seguridad, después de 30 días.

Más información