Assistenten schützen
IBM hat sich das Ziel gesetzt, unseren Kunden und Partnern innovative Datenschutz-, Sicherheits- und Governance-Lösungen bereitzustellen.
Hinweis
Jeder Kunde ist für die Einhaltung der geltenden Gesetze und Verordnungen, einschließlich der Datenschutz-Grundverordnung der Europäischen Union selbst verantwortlich.
Die Kunden sind allein dafür verantwortlich, sich von einem kompetenten Rechtsbeistand beraten zu lassen, um relevante Gesetze und Vorschriften zu ermitteln und zu interpretieren, die sich auf das Geschäft der Kunden auswirken können, sowie um Maßnahmen zu ergreifen, die die Kunden zur Einhaltung dieser Gesetze und Vorschriften ergreifen müssen.
Die hier beschriebenen Produkte, Services und sonstigen Funktionen können nur eingeschränkt verfügbar sein und sind nicht für alle Kundensituationen geeignet. IBM bietet keine Rechts-, Buchhaltungs- oder Prüfungsberatung an und übernimmt keine Gewähr dafür, dass ihre Dienstleistungen oder Produkte die Einhaltung von Gesetzen oder Vorschriften gewährleisten können.
Wenn Sie DSGVO-Unterstützung für IBM Cloud® Watson-Ressourcen anfordern müssen:
- Informationen in der Europäischen Union finden Sie unter Anfordern von Support für in der Europäischen Union erstellte IBM Cloud Watson Ressourcen.
- Außerhalb der Europäischen Union siehe "Anforderung von Ressourcen außerhalb der Europäischen Union ".
Sie können die Daten des Benutzerassistenten bei der Interaktion mit dem vom Server ausgeführten Code schützen, indem Sie Secure Sockets Layer- oder Transport Layer Security (SSL/TLS)-Zertifikate in Ihrem Assistenten konfigurieren. Weitere Informationen finden Sie unter Konfiguration von Sicherheitszertifikaten.
Datenschutzgrundverordnung der Europäischen Union (DSGVO)
IBM hat es sich zur Aufgabe gemacht, seinen Kunden und Partnern innovative Lösungen für Datenschutz, Sicherheit und Governance zur Verfügung zu stellen, um sie auf ihrem Weg zur Einhaltung der DSGVO zu unterstützen.
Erfahren Sie mehr über IBM eigene GDPR-Bereitschaft und unsere GDPR-Funktionen und -Angebote zur Unterstützung Ihrer Compliance-Reise unter IBM Cloud GDPR EU Compliance.
Health Insurance Portability and Accountability Act (HIPAA)
Die Unterstützung des US Health Insurance Portability and Accountability Act (HIPAA) ist für Enterprise-Pläne verfügbar, die an den Standorten Washington, DC oder Dallas gehostet werden. Weitere Informationen finden Sie unter "HIPAA-Unterstützung für Ihr Konto aktivieren ".
Nehmen Sie keine personenbezogenen Gesundheitsdaten in die Trainingsdaten (Entitäten und Absichten sowie Benutzerbeispiele) auf, die Sie erstellen. Stellen Sie vielmehr sicher, dass alle personenbezogenen Gesundheitsdaten aus Dateien mit Äußerungen realer Benutzer entfernt werden, die zum Suchen nach Empfehlungen für Absichten oder für Benutzerbeispiele von Absichten hochgeladen werden.
Sicherheitszertifikate konfigurieren
Sie können Sicherheitszertifikate in Ihrem Assistenten konfigurieren, um sichere Kommunikation, Datenschutz und Privatsphäre in verschiedenen Anwendungen zu gewährleisten. Durch den Aufbau von Vertrauen und die Überprüfung der Identität der
kommunizierenden Parteien tragen Sicherheitszertifikate zur Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit digitaler Informationen bei. Über den Abschnitt Security certificates (SSL/TLS)
können Sie Zertifikate hoch-
und herunterladen, alte Zertifikate ersetzen und die Zertifikate in Ihrem Assistenten löschen.
Der Assistent unterstützt TLS 1.2 und TLS 1.3, wobei TLS 1.3 die Standardversion ist. Wenn der Dienst die TLS-Versionen 1.3 oder 1.2 nicht unterstützt, bitten Sie den Administrator des Dienstes um Unterstützung für eine dieser TLS-Versionen.
Wenn Ihr Assistent über benutzerdefinierte Erweiterungen, Konversationsfähigkeiten oder Webhooks eine Verbindung zu einer benutzerdefinierten URL herstellt, muss die Identität der Dienste überprüft werden, um unbefugten Zugriff zu verhindern und Sicherheitsrisiken zu beseitigen. Wenn die vom Benutzer angegebene URL das Hypertext Transfer Protocol Secure HTTPS )-Protokoll verwendet, überprüft Ihr Assistent die Identität des sicheren Dienstes auf drei Arten.
Table 1. Possibilities of identifying secure service
erläutert die drei Möglichkeiten, mit denen der Assistent die Identität des sicheren Dienstes überprüfen kann, wenn er zu einem HTTPS geleitet wird.
Beschreibung | Anforderungen | Zertifikatsüberprüfer | Sicherheitsstufe | Anmerkungen |
---|---|---|---|---|
Ihr Assistent verfügt über das SSL-Zertifikat für den anrufenden Dienst. | Sie stellen dem Assistenten das SSL-Zertifikat für den Dienst zur Verfügung. | Der Assistent prüft die Identität direkt. | Am sichersten | Dies ist auch dann sicher, wenn das SSL-Zertifikat selbst signiert ist, da eine Signaturprüfung nicht erforderlich ist, wenn der Assistent das Zertifikat bereits besitzt. |
Ihr Assistent verfügt über das SSL-Zertifikat einer Zertifizierungsstelle, die das Zertifikat des von ihm aufgerufenen Dienstes signiert hat. | Sie stellen dem Assistenten das SSL-Zertifikat für die Zertifizierungsstelle zur Verfügung, und das SSL-Zertifikat für den Dienst muss von dieser Zertifizierungsstelle signiert werden. | Der Assistent prüft die Authentizität eines Dienstes über die Zertifizierungsstelle. Es weiß, dass es der Zertifizierungsstelle vertrauen kann, weil Sie das Zertifikat für sie bereitgestellt haben. | Extrem sicher, wenn die Zertifizierungsstelle extrem sicher ist | Dieser Ansatz funktioniert mit privaten Zertifizierungsstellen, wie sie von Unternehmen für den internen Gebrauch eingerichtet werden. |
Der Dienst verfügt über ein SSL-Zertifikat, das von einer öffentlichen, vertrauenswürdigen Zertifizierungsstelle unterzeichnet ist. | Sie müssen dem Assistenten kein SSL-Zertifikat zur Verfügung stellen, aber das SSL-Zertifikat für den Dienst muss von einer öffentlichen vertrauenswürdigen Stelle unterzeichnet sein. | Der Assistent prüft die Authentizität eines Dienstes anhand der öffentlichen vertrauenswürdigen Zertifizierungsstelle. | Äußerst sicher | Öffentlich vertrauenswürdige Zertifizierungsstellen überprüfen sorgfältig den Besitz des privaten Schlüssels, bevor sie ein Zertifikat signieren. |
Es werden einige beispielhafte Konfigurationsoptionen für Sicherheitszertifikate besprochen, mit denen Sie eine optimale Balance zwischen Sicherheit und Komfort für einen Assistenten mit wenigen Verbindungsdetails erreichen können. Weitere Informationen finden Sie unter Methoden zur Auswahl der Option Sicherheitszertifikate.
Table 2. Security certificates configuration option
liefert Informationen über die mögliche Konfigurationsoption Sicherheitszertifikate in Ihrem Assistenten und deren Erklärung.
Konfigurationsoption für Sicherheitszertifikate | Beschreibung | Konnektivität | Verwendung | Unterstützung der Upload-Option |
---|---|---|---|---|
Trust uploaded certificates and any certificates signed by a trusted authority |
Ihr Assistent kann sich mit jedem Dienst verbinden:
|
|
Wird häufig von allen Assistenten verwendet. | Ja |
Trust uploaded certificates |
Ihr Assistent kann sich mit jedem Dienst verbinden, für den ein Zertifikat hochgeladen wurde (entweder das Zertifikat für diesen Dienst oder das Zertifikat für die Zertifizierungsstelle). Er kann keine Verbindung zu einem anderen sicheren Dienst herstellen. |
|
Weniger Gebrauch | Ja |
Trust all certificates, operation insecure (Not recommended) |
Ihr Assistent kann sich mit jedem beliebigen Dienst verbinden und wird wegen des mangelnden Schutzes vor gefälschten Diensten nicht empfohlen. |
Sinnvolle Option
|
Eine Standardoption sowohl für alte als auch für neue Assistenten. | Nein |

Hochladen von Sicherheitszertifikaten
Vorbereitende Schritte
- Achten Sie darauf, dass Ihre Dateien im Format PEM mit einer maximalen Größe von 500 KB vorliegen.
- Wenn Sie mehrere Dateien haben, führen Sie diese zu einer einzigen Datei zusammen.
So laden Sie selbst signierte Zertifikate oder Zertifikate von einer vertrauenswürdigen Stelle in Ihren Assistenten hoch:
-
Gehen Sie zu Home > Assistenteneinstellungen.
-
Wählen Sie im Abschnitt Sicherheitszertifikate (SSL/TLS) je nach Ihren Anforderungen
Trust uploaded certificates and any certificates signed by a trusted authority
oderTrust uploaded certificates
. -
Klicken Sie auf
Upload
. -
Fügen Sie im Dialogfeld
Upload certificate
Ihre Zertifikate hinzu. Sie können die Zertifikatsdatei aus Ihrem Ordner ziehen oder auswählen. -
Klicken Sie auf
Upload
. Sie können die MeldungSecure socket layer connected
sehen.
Ersetzen der vorhandenen Sicherheitszertifikate
Um die vorhandenen Zertifikate durch die neuen in Ihrem Assistenten zu ersetzen:
-
Gehen Sie zu Home > Assistenteneinstellungen.
-
Klicken Sie im Abschnitt Sicherheitszertifikate (SSL/TLS) auf
Upload
. -
Fügen Sie im Dialogfeld
Upload certificate
Ihre neuen Zertifikate hinzu. Sie können die Zertifikatsdatei ziehen oder hochladen.Diese Option löscht oder überschreibt die vorhandenen Zertifikate.
-
Klicken Sie auf
Upload
.
Herunterladen der Sicherheitszertifikate
So zeigen Sie die vorhandenen Zertifikate in Ihrem Assistenten an:
-
Gehen Sie zu Home > Assistenteneinstellungen.
-
Klicken Sie im Abschnitt Sicherheitszertifikate (SSL/TLS) auf
Download
. -
Sie können nun die heruntergeladene Datei öffnen und die vorhandenen Zertifikate sehen.
Ändern der vorhandenen Sicherheitszertifikate
So ändern Sie die vorhandenen Zertifikate in Ihrem Assistenten:
- Laden Sie die Sicherheitszertifikate herunter, wie unter Herunterladen der Sicherheitszertifikate beschrieben.
- Hinzufügen oder Entfernen von Zertifikaten aus der bestehenden Datei.
- Ersetzen Sie die vorhandene PEM-Datei durch die geänderte Datei, wie unter Ersetzen der vorhandenen Sicherheitszertifikate beschrieben.
Löschung der vorhandenen Sicherheitszertifikate
So löschen Sie die vorhandenen Zertifikate in Ihrem Assistenten:
- Gehen Sie zu Home > Assistenteneinstellungen.
- Klicken Sie im Abschnitt Sicherheitszertifikate (SSL/TLS) auf
Delete
. - Wählen Sie im Dialog Zertifikat löschen
I acknowledge that I read and understand this warning
. - Klicken Sie auf
Yes
.
Die ausgewählte Option zeigt automatisch auf Trust all certificates, operation insecure (Not recommended)
.
Verwendung von Protokolldaten ablehnen
IBM verwendet Protokolldaten (Daten des Enterprise-Plans sind ausgeschlossen), um kontinuierlich aus dem watsonx Assistant zu lernen und es zu verbessern. Die protokollierten Daten werden weder freigegeben noch öffentlich gemacht.
Um zu verhindern, dass IBM Ihre Protokolldaten für allgemeine Serviceverbesserungen verwendet, führen Sie eine der folgenden Aufgaben aus.
-
Wenn Sie eine benutzerdefinierte Anwendung verwenden, setzen Sie für jede API-Anfrage
/message
den Header-ParameterX-Watson-Learning-Opt-Out
auftrue
.Weitere Informationen finden Sie unter Datenerfassung.
-
Wenn Sie die Web-Chat-Integration verwenden, fügen Sie den Parameter
learningOptOut
zu dem Skript hinzu, das Sie in Ihre Webseite einbetten, und setzen Sie ihn auftrue
.Weitere Informationen finden Sie unter Konfiguration.
In watsonx Assistant Daten kennzeichnen und löschen
Fügen Sie den von Ihnen erstellten Trainingsdaten (Aktionen und Schritte, einschließlich Benutzerbeispiele) keine persönlichen Daten hinzu. Achten Sie insbesondere darauf, alle personenbezogenen Daten aus Dateien mit echten Benutzerkommentaren zu entfernen, die Sie hochladen, um Beispiele für Benutzerempfehlungen zu erhalten.
Experimentelle und Beta-Funktionen sind nicht für die Verwendung in einer Produktionsumgebung gedacht; beim Kennzeichnen und Löschen von Daten kann ihre erwartungsgemäße Funktionsweise daher nicht garantiert werden. Experimentelle und Beta-Funktionen können nicht zur Implementierung einer Lösung verwendet werden, die das Kennzeichnen und Löschen von Daten erfordert.
Wenn Sie die Nachrichtendaten eines Kunden aus watsonx Assistant entfernen müssen, können Sie die Kunden-ID des Kunden verwenden, wenn Sie die Nachricht beim Senden an watsonx Assistant mit einer Kunden-ID verknüpfen.
Das Entfernen von Nachrichtendaten darf nur gelegentlich für einzelne Kunden-IDs erfolgen. Um Analyseprotokolle zu deaktivieren, können Sie ein Upgrade auf einen Enterprise-Plan mit Datenisolation durchführen.
-
Die Assistentenvorschau und die automatische Facebook-Integration unterstützen die Beschriftung oder Löschung von Daten auf Basis der Kunden-ID nicht und können nicht in einer Lösung verwendet werden, die die Möglichkeit zum Löschen von Daten auf Basis der Kunden-ID unterstützen muss.
-
Für Intercom ist
customer_id
deruser_id
mit dem Präfixintercom_
. Die Intercom-Eigenschaftuser_id
ist dieid
des Nachrichtenobjektsauthor
im Dialogmodell (Conversation Model), die durch Intercom definiert wird.- Öffnen Sie zum Abrufen der ID den Kanal über einen Web-Browser. Öffnen Sie die Webentwicklertools, um die Konsole anzuzeigen. Suchen Sie nach
author
.
Die vollständige Kunden-ID sieht wie folgt aus:
customer_id=intercom_5c499e5535ddf5c7fa2d72b3
. - Öffnen Sie zum Abrufen der ID den Kanal über einen Web-Browser. Öffnen Sie die Webentwicklertools, um die Konsole anzuzeigen. Suchen Sie nach
-
Für Slack ist
customer_id
deruser_id
mit dem Präfixslack_
. Die Slack-Eigenschaftuser_id
ist eine Verkettung der Team-ID, beispielsweiseT09LVDR7Y
, und der Mitglieds-ID des Benutzers, beispielsweiseW4F8K9JNF
. Beispiel:T09LVDR7YW4F8K9JNF
.- Öffnen Sie zum Abrufen der Team-ID den Kanal über einen Web-Browser. Öffnen Sie die Webentwicklertools, um die Konsole anzuzeigen. Suchen Sie nach
[BOOT] Initial team ID
. - Sie können die Mitglieds-ID aus dem Slack-Profil des Benutzers kopieren.
- Verwenden Sie die Slack-API, um die IDs programmgesteuert abzurufen. Weitere Informationen finden Sie unter Übersicht. Die vollständige Kunden-ID sieht wie folgt
aus:
customer_id=slack_T09LVDR7YW4F8K9JNF
.
- Öffnen Sie zum Abrufen der Team-ID den Kanal über einen Web-Browser. Öffnen Sie die Webentwicklertools, um die Konsole anzuzeigen. Suchen Sie nach
-
Bei der Web-Chat-Integration verwendet der Service die übergebene
user_id
und fügt sie als Wert des Parameterscustomer_id
bei jeder Anforderung dem HeaderX-Watson-Metadata
hinzu.
Vorbereitende Schritte
Damit Nachrichtendaten gelöscht werden können, die einem bestimmten Benutzer zugeordnet sind, müssen Sie zunächst allen Nachrichten eine eindeutige Kunden-ID für jeden Benutzer zuordnen. Um die Kunden-ID für
alle Nachrichten anzugeben, die mit der /message
-API gesendet werden, fügen Sie die X-Watson-Metadata: customer_id
-Eigenschaft in Ihre Kopfzeile ein. Beispiel:
curl -X POST -u "apikey:3Df... ...Y7Pc9"
--header
'Content-Type: application/json'
'X-Watson-Metadata: customer_id=abc'
--data
'{"input":{"text":"hello"}}'
'{url}/v2/assistants/{assistant_id}/sessions/{session_id}/message?version=2019-02-28'
Hierbei ist {url} die entsprechende URL für Ihre Instanz. Weitere Informationen finden Sie unter Serviceendpunkt.
Die Zeichenfolge customer_id
darf kein Semikolon (;
) und kein Gleichheitszeichen (=
) enthalten. Sie müssen sicherstellen, dass jede Eigenschaft customer ID
für alle Ihre Kunden eindeutig
ist.
Nur der erste Kunden-ID-Wert, der im Header X-Watson-Metadata
übergeben wird, wird als customer_id
-Zeichenfolge für das Nachrichtenprotokoll verwendet. Dieser Kunden-ID-Wert kann
mit DELETE /user_data
v1-API-Aufrufen gelöscht werden.
Wenn Sie einem Assistenten eine Suche hinzufügen, wird die an den Assistenten übergebene Benutzereingabe als Suchabfrage an den Discovery-Service weitergeleitet. Wenn die watsonx Assistant-Integration eine Kunden-ID bereitstellt, ist im Header
der resultierenden Anforderung der API /message
die Kunden-ID enthalten und sie wird an die Discovery-API-Anforderung /query
übergeben.
Um Abfragedaten zu löschen, die mit einem bestimmten Kunden verknüpft sind, müssen Sie eine separate Löschanfrage direkt an Discovery senden, die mit Ihrem Assistenten verknüpft ist. Weitere Informationen finden Sie unter Discovery -Informationssicherheit.
Benutzerdaten abfragen
Verwenden Sie den Parameter /logs
für die Methode der API filter
der Version 1, um in einem Anwendungsprotokoll nach bestimmten Benutzerdaten zu suchen. Mit der folgenden Abfrage kann beispielsweise nach zugehörigen
Daten für eine Kunden-ID (customer_id
) gesucht werden, die mit der Angabe my_best_customer
übereinstimmen:
curl -X GET -u "apikey:3Df... ...Y7Pc9" \
"{url}/v2/assistants/{assistant_id}/logs?version=2020-04-01&filter=customer_id::my_best_customer"
Hierbei ist {url} die entsprechende URL für Ihre Instanz. Weitere Informationen finden Sie unter Serviceendpunkt.
Weitere Informationen finden Sie unter Filterabfragereferenz.
Daten löschen
Um alle mit einem bestimmten Benutzer verknüpften Nachrichtenprotokolldaten zu löschen, die Ihr Assistent möglicherweise gespeichert hat, verwenden Sie die API-Methode DELETE /user_data
v1 Geben Sie die Kunden-ID des Benutzers
an, indem Sie mit der Anforderung einen Parameter customer_id
übergeben.
Mit dieser Löschmethode können nur Daten gelöscht werden, die über den API-Endpunkt POST /message
mit einer zugehörigen Kunden-ID hinzugefügt wurden. Daten, die mit anderen Methoden hinzugefügt wurden, können nicht anhand der
Kunden-ID gelöscht werden. Zum Beispiel können Entitäten und Absichten aus Kundengesprächen nicht auf diese Weise gelöscht werden. Diese Methoden unterstützen keine personenbezogenen Daten.
WICHTIG Wenn Sie eine customer_id
angeben, werden alle Nachrichten mit dieser customer_id
gelöscht, die vor der Löschanfrage eingegangen sind, und zwar in Ihrer gesamten watsonx Assistant,
nicht nur innerhalb einer Fertigkeit.
Wenn Sie beispielsweise alle Benutzernachrichtendaten löschen möchten, die der Kunden-ID abc
aus Ihrer watsonx Assistant-Instanz zugeordnet sind, senden Sie den folgenden cURL-Befehl:
curl -X DELETE -u "apikey:3Df... ...Y7Pc9" \
"{url}/v2/user_data?customer_id=abc&version=2020-04-01"
Hierbei ist {url} die entsprechende URL für Ihre Instanz. Weitere Informationen finden Sie unter Serviceendpunkt.
Ein leeres JSON-Objekt {}
wird zurückgegeben.
Weitere Informationen finden Sie in der API-Referenz.
Hinweis: Löschanfragen werden stapelweise bearbeitet und können bis zu 24 Stunden in Anspruch nehmen.
Web-Chat-Nutzungsdaten
Der Web-Chat watsonx Assistant sendet eingeschränkte Nutzungsdaten an den Amplitudenservice. Wenn ein Benutzer mit dem Web-Chat-Widget interagiert, verfolgen wir Funktionen, die verwendet werden, und Ereignisse, wie z. B. wie oft das Widget geöffnet wird und wie viele Benutzer Dialoge starten. Diese Informationen umfassen keine Assistant-Trainingsdaten oder den Inhalt von Chatinteraktionen.
Die an Amplitude gesendeten Informationen sind keine Inhalte, wie in der Vereinbarung für Cloud-Services (CSA) definiert. Es handelt sich um Informationen zur Kontennutzung, wie in Abschnitt 9.d der CSA beschrieben, und wird wie in der IBM Datenschutzerklärungbeschrieben behandelt. Der Zweck dieser Datenerhebung beschränkt sich auf die Erstellung von Statistiken über die Nutzung und Effektivität von Webchats und auf die Vornahme von Verbesserungen.
Private Netzendpunkte
Plus
Sie können ein privates Netz für watsonx Assistant -Instanzen einrichten, die Teil eines Plus-oder Enterprise-Serviceplans sind. Ein privates Netzwerk verhindert, dass Daten über das öffentliche Internet übertragen werden, und sorgt für eine bessere Datenisolierung.
Private Netzendpunkte unterstützen Routing-Services über das private IBM Cloud-Netz und nicht über das öffentliche Netz. Ein privater Netzendpunkt stellt eine eindeutige IP-Adresse bereit, die für Sie ohne VPN-Verbindung zugänglich ist.
Weitere Informationen finden Sie unter Öffentliche und private Netzendpunkte.
Integrationen, die mit dem Produkt bereitgestellt werden, erfordern Endpunkte im öffentlichen Internet. Daher verfügen alle integrierten Integrationen für Ihren Assistenten über öffentliche Endpunkte.