IBM Cloud Docs
Assistenten schützen

Assistenten schützen

IBM hat sich das Ziel gesetzt, unseren Kunden und Partnern innovative Datenschutz-, Sicherheits- und Governance-Lösungen bereitzustellen.

Hinweis

Jeder Kunde ist für die Einhaltung der geltenden Gesetze und Verordnungen, einschließlich der Datenschutz-Grundverordnung der Europäischen Union selbst verantwortlich.

Die Kunden sind allein dafür verantwortlich, sich von einem kompetenten Rechtsbeistand beraten zu lassen, um relevante Gesetze und Vorschriften zu ermitteln und zu interpretieren, die sich auf das Geschäft der Kunden auswirken können, sowie um Maßnahmen zu ergreifen, die die Kunden zur Einhaltung dieser Gesetze und Vorschriften ergreifen müssen.

Die hier beschriebenen Produkte, Services und sonstigen Funktionen können nur eingeschränkt verfügbar sein und sind nicht für alle Kundensituationen geeignet. IBM bietet keine Rechts-, Buchhaltungs- oder Prüfungsberatung an und übernimmt keine Gewähr dafür, dass ihre Dienstleistungen oder Produkte die Einhaltung von Gesetzen oder Vorschriften gewährleisten können.

Wenn Sie DSGVO-Unterstützung für IBM Cloud® Watson-Ressourcen anfordern müssen:

Sie können die Daten des Benutzerassistenten bei der Interaktion mit dem vom Server ausgeführten Code schützen, indem Sie Secure Sockets Layer- oder Transport Layer Security (SSL/TLS)-Zertifikate in Ihrem Assistenten konfigurieren. Weitere Informationen finden Sie unter Konfiguration von Sicherheitszertifikaten.

Datenschutzgrundverordnung der Europäischen Union (DSGVO)

IBM hat es sich zur Aufgabe gemacht, seinen Kunden und Partnern innovative Lösungen für Datenschutz, Sicherheit und Governance zur Verfügung zu stellen, um sie auf ihrem Weg zur Einhaltung der DSGVO zu unterstützen.

Erfahren Sie mehr über IBM eigene GDPR-Bereitschaft und unsere GDPR-Funktionen und -Angebote zur Unterstützung Ihrer Compliance-Reise unter IBM Cloud GDPR EU Compliance.

Health Insurance Portability and Accountability Act (HIPAA)

Die Unterstützung des US Health Insurance Portability and Accountability Act (HIPAA) ist für Enterprise-Pläne verfügbar, die an den Standorten Washington, DC oder Dallas gehostet werden. Weitere Informationen finden Sie unter "HIPAA-Unterstützung für Ihr Konto aktivieren ".

Nehmen Sie keine personenbezogenen Gesundheitsdaten in die Trainingsdaten (Entitäten und Absichten sowie Benutzerbeispiele) auf, die Sie erstellen. Stellen Sie vielmehr sicher, dass alle personenbezogenen Gesundheitsdaten aus Dateien mit Äußerungen realer Benutzer entfernt werden, die zum Suchen nach Empfehlungen für Absichten oder für Benutzerbeispiele von Absichten hochgeladen werden.

Sicherheitszertifikate konfigurieren

Sie können Sicherheitszertifikate in Ihrem Assistenten konfigurieren, um sichere Kommunikation, Datenschutz und Privatsphäre in verschiedenen Anwendungen zu gewährleisten. Durch den Aufbau von Vertrauen und die Überprüfung der Identität der kommunizierenden Parteien tragen Sicherheitszertifikate zur Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit digitaler Informationen bei. Über den Abschnitt Security certificates (SSL/TLS) können Sie Zertifikate hoch- und herunterladen, alte Zertifikate ersetzen und die Zertifikate in Ihrem Assistenten löschen.

Der Assistent unterstützt TLS 1.2 und TLS 1.3, wobei TLS 1.3 die Standardversion ist. Wenn der Dienst die TLS-Versionen 1.3 oder 1.2 nicht unterstützt, bitten Sie den Administrator des Dienstes um Unterstützung für eine dieser TLS-Versionen.

Wenn Ihr Assistent über benutzerdefinierte Erweiterungen, Konversationsfähigkeiten oder Webhooks eine Verbindung zu einer benutzerdefinierten URL herstellt, muss die Identität der Dienste überprüft werden, um unbefugten Zugriff zu verhindern und Sicherheitsrisiken zu beseitigen. Wenn die vom Benutzer angegebene URL das Hypertext Transfer Protocol Secure HTTPS )-Protokoll verwendet, überprüft Ihr Assistent die Identität des sicheren Dienstes auf drei Arten.

Table 1. Possibilities of identifying secure service erläutert die drei Möglichkeiten, mit denen der Assistent die Identität des sicheren Dienstes überprüfen kann, wenn er zu einem HTTPS geleitet wird.

Möglichkeiten zur Identifizierung eines sicheren Dienstes
Beschreibung Anforderungen Zertifikatsüberprüfer Sicherheitsstufe Anmerkungen
Ihr Assistent verfügt über das SSL-Zertifikat für den anrufenden Dienst. Sie stellen dem Assistenten das SSL-Zertifikat für den Dienst zur Verfügung. Der Assistent prüft die Identität direkt. Am sichersten Dies ist auch dann sicher, wenn das SSL-Zertifikat selbst signiert ist, da eine Signaturprüfung nicht erforderlich ist, wenn der Assistent das Zertifikat bereits besitzt.
Ihr Assistent verfügt über das SSL-Zertifikat einer Zertifizierungsstelle, die das Zertifikat des von ihm aufgerufenen Dienstes signiert hat. Sie stellen dem Assistenten das SSL-Zertifikat für die Zertifizierungsstelle zur Verfügung, und das SSL-Zertifikat für den Dienst muss von dieser Zertifizierungsstelle signiert werden. Der Assistent prüft die Authentizität eines Dienstes über die Zertifizierungsstelle. Es weiß, dass es der Zertifizierungsstelle vertrauen kann, weil Sie das Zertifikat für sie bereitgestellt haben. Extrem sicher, wenn die Zertifizierungsstelle extrem sicher ist Dieser Ansatz funktioniert mit privaten Zertifizierungsstellen, wie sie von Unternehmen für den internen Gebrauch eingerichtet werden.
Der Dienst verfügt über ein SSL-Zertifikat, das von einer öffentlichen, vertrauenswürdigen Zertifizierungsstelle unterzeichnet ist. Sie müssen dem Assistenten kein SSL-Zertifikat zur Verfügung stellen, aber das SSL-Zertifikat für den Dienst muss von einer öffentlichen vertrauenswürdigen Stelle unterzeichnet sein. Der Assistent prüft die Authentizität eines Dienstes anhand der öffentlichen vertrauenswürdigen Zertifizierungsstelle. Äußerst sicher Öffentlich vertrauenswürdige Zertifizierungsstellen überprüfen sorgfältig den Besitz des privaten Schlüssels, bevor sie ein Zertifikat signieren.

Es werden einige beispielhafte Konfigurationsoptionen für Sicherheitszertifikate besprochen, mit denen Sie eine optimale Balance zwischen Sicherheit und Komfort für einen Assistenten mit wenigen Verbindungsdetails erreichen können. Weitere Informationen finden Sie unter Methoden zur Auswahl der Option Sicherheitszertifikate.

Table 2. Security certificates configuration option liefert Informationen über die mögliche Konfigurationsoption Sicherheitszertifikate in Ihrem Assistenten und deren Erklärung.

Konfigurationsoption für Sicherheitszertifikate
Konfigurationsoption für Sicherheitszertifikate Beschreibung Konnektivität Verwendung Unterstützung der Upload-Option
Trust uploaded certificates and any certificates signed by a trusted authority

Ihr Assistent kann sich mit jedem Dienst verbinden:

  • mit einem Zertifikat, das von einer vertrauenswürdigen authority.
  • mit dem hochgeladenen Zertifikat (entweder dem Zertifikat für diesen Dienst oder dem Zertifikat für seine Zertifizierungsstelle).
    Er kann sich nicht mit einem anderen sicheren Dienst verbinden.
  • Bequem zu bedienen.
  • Sie können die Identität aller Dienste überprüfen, mit denen sich Ihr Assistent verbindet. Für Dienste, die über ein von einer öffentlich vertrauenswürdigen Stelle signiertes Zertifikat verfügen, ist kein zusätzlicher Aufwand erforderlich.
  • Wenn sie nicht von einer öffentlich vertrauenswürdigen Stelle signiert sind, müssen Sie eine Zertifikatsdatei hochladen, um die Identität der Dienste, mit denen sich Ihr Assistent verbindet, zu überprüfen.
 Wird häufig von allen Assistenten verwendet. Ja
Trust uploaded certificates Ihr Assistent kann sich mit jedem Dienst verbinden, für den ein Zertifikat hochgeladen wurde (entweder das Zertifikat für diesen Dienst oder das Zertifikat für die Zertifizierungsstelle).
Er kann keine Verbindung zu einem anderen sicheren Dienst herstellen.
  • Weniger bequem zu use.
  • Ihr Assistent kann sich nur mit sicheren Diensten verbinden, die über hochgeladene Zertifikate oder das Zertifikat ihrer Signierstelle verfügen.
 Weniger Gebrauch Ja
Trust all certificates, operation insecure (Not recommended) Ihr Assistent kann sich mit jedem beliebigen Dienst verbinden und wird wegen des mangelnden Schutzes vor gefälschten Diensten nicht empfohlen.

Sinnvolle Option

  • für Proof-of-Concepts oder Demo-Assistenten, bei denen Ihre Assistenten keine unabhängigen Benutzer oder sensible Daten haben.
  • um die Assistenten auch dann betriebsbereit zu halten, wenn sie mit Diensten verbunden sind, die nicht von öffentlich vertrauenswürdigen Stellen signiert sind.
 Eine Standardoption sowohl für alte als auch für neue Assistenten. Nein

Konfigurationsoption für SSL-Zertifikate
Konfigurationsoption für SSL-Zertifikate

Hochladen von Sicherheitszertifikaten

Vorbereitende Schritte

  • Achten Sie darauf, dass Ihre Dateien im Format PEM mit einer maximalen Größe von 500 KB vorliegen.
  • Wenn Sie mehrere Dateien haben, führen Sie diese zu einer einzigen Datei zusammen.

So laden Sie selbst signierte Zertifikate oder Zertifikate von einer vertrauenswürdigen Stelle in Ihren Assistenten hoch:

  1. Gehen Sie zu Home > Assistenteneinstellungen.

  2. Wählen Sie im Abschnitt Sicherheitszertifikate (SSL/TLS) je nach Ihren Anforderungen Trust uploaded certificates and any certificates signed by a trusted authority oder Trust uploaded certificates.

  3. Klicken Sie auf Upload.

  4. Fügen Sie im Dialogfeld Upload certificate Ihre Zertifikate hinzu. Sie können die Zertifikatsdatei aus Ihrem Ordner ziehen oder auswählen.

  5. Klicken Sie auf Upload. Sie können die Meldung Secure socket layer connected sehen.

    SSL-Upload-Option

Ersetzen der vorhandenen Sicherheitszertifikate

Um die vorhandenen Zertifikate durch die neuen in Ihrem Assistenten zu ersetzen:

  1. Gehen Sie zu Home > Assistenteneinstellungen.

  2. Klicken Sie im Abschnitt Sicherheitszertifikate (SSL/TLS) auf Upload.

  3. Fügen Sie im Dialogfeld Upload certificate Ihre neuen Zertifikate hinzu. Sie können die Zertifikatsdatei ziehen oder hochladen.

    Diese Option löscht oder überschreibt die vorhandenen Zertifikate.

  4. Klicken Sie auf Upload.

Herunterladen der Sicherheitszertifikate

So zeigen Sie die vorhandenen Zertifikate in Ihrem Assistenten an:

  1. Gehen Sie zu Home > Assistenteneinstellungen.

  2. Klicken Sie im Abschnitt Sicherheitszertifikate (SSL/TLS) auf Download.

  3. Sie können nun die heruntergeladene Datei öffnen und die vorhandenen Zertifikate sehen.

    SSL-Download-Option

Ändern der vorhandenen Sicherheitszertifikate

So ändern Sie die vorhandenen Zertifikate in Ihrem Assistenten:

  1. Laden Sie die Sicherheitszertifikate herunter, wie unter Herunterladen der Sicherheitszertifikate beschrieben.
  2. Hinzufügen oder Entfernen von Zertifikaten aus der bestehenden Datei.
  3. Ersetzen Sie die vorhandene PEM-Datei durch die geänderte Datei, wie unter Ersetzen der vorhandenen Sicherheitszertifikate beschrieben.

Löschung der vorhandenen Sicherheitszertifikate

So löschen Sie die vorhandenen Zertifikate in Ihrem Assistenten:

  1. Gehen Sie zu Home > Assistenteneinstellungen.
  2. Klicken Sie im Abschnitt Sicherheitszertifikate (SSL/TLS) auf Delete.
  3. Wählen Sie im Dialog Zertifikat löschen I acknowledge that I read and understand this warning.
  4. Klicken Sie auf Yes.

Die ausgewählte Option zeigt automatisch auf Trust all certificates, operation insecure (Not recommended).

Verwendung von Protokolldaten ablehnen

IBM verwendet Protokolldaten (Daten des Enterprise-Plans sind ausgeschlossen), um kontinuierlich aus dem watsonx Assistant zu lernen und es zu verbessern. Die protokollierten Daten werden weder freigegeben noch öffentlich gemacht.

Um zu verhindern, dass IBM Ihre Protokolldaten für allgemeine Serviceverbesserungen verwendet, führen Sie eine der folgenden Aufgaben aus.

  • Wenn Sie eine benutzerdefinierte Anwendung verwenden, setzen Sie für jede API-Anfrage /message den Header-Parameter X-Watson-Learning-Opt-Out auf true.

    Weitere Informationen finden Sie unter Datenerfassung.

  • Wenn Sie die Web-Chat-Integration verwenden, fügen Sie den Parameter learningOptOut zu dem Skript hinzu, das Sie in Ihre Webseite einbetten, und setzen Sie ihn auf true.

    Weitere Informationen finden Sie unter Konfiguration.

In watsonx Assistant Daten kennzeichnen und löschen

Fügen Sie den von Ihnen erstellten Trainingsdaten (Aktionen und Schritte, einschließlich Benutzerbeispiele) keine persönlichen Daten hinzu. Achten Sie insbesondere darauf, alle personenbezogenen Daten aus Dateien mit echten Benutzerkommentaren zu entfernen, die Sie hochladen, um Beispiele für Benutzerempfehlungen zu erhalten.

Experimentelle und Beta-Funktionen sind nicht für die Verwendung in einer Produktionsumgebung gedacht; beim Kennzeichnen und Löschen von Daten kann ihre erwartungsgemäße Funktionsweise daher nicht garantiert werden. Experimentelle und Beta-Funktionen können nicht zur Implementierung einer Lösung verwendet werden, die das Kennzeichnen und Löschen von Daten erfordert.

Wenn Sie die Nachrichtendaten eines Kunden aus watsonx Assistant entfernen müssen, können Sie die Kunden-ID des Kunden verwenden, wenn Sie die Nachricht beim Senden an watsonx Assistant mit einer Kunden-ID verknüpfen.

Das Entfernen von Nachrichtendaten darf nur gelegentlich für einzelne Kunden-IDs erfolgen. Um Analyseprotokolle zu deaktivieren, können Sie ein Upgrade auf einen Enterprise-Plan mit Datenisolation durchführen.

  • Die Assistentenvorschau und die automatische Facebook-Integration unterstützen die Beschriftung oder Löschung von Daten auf Basis der Kunden-ID nicht und können nicht in einer Lösung verwendet werden, die die Möglichkeit zum Löschen von Daten auf Basis der Kunden-ID unterstützen muss.

  • Für Intercom ist customer_id der user_id mit dem Präfix intercom_. Die Intercom-Eigenschaft user_id ist die id des Nachrichtenobjekts author im Dialogmodell (Conversation Model), die durch Intercom definiert wird.

    • Öffnen Sie zum Abrufen der ID den Kanal über einen Web-Browser. Öffnen Sie die Webentwicklertools, um die Konsole anzuzeigen. Suchen Sie nach author.

    Die vollständige Kunden-ID sieht wie folgt aus: customer_id=intercom_5c499e5535ddf5c7fa2d72b3.

  • Für Slack ist customer_id der user_id mit dem Präfix slack_. Die Slack-Eigenschaft user_id ist eine Verkettung der Team-ID, beispielsweise T09LVDR7Y, und der Mitglieds-ID des Benutzers, beispielsweise W4F8K9JNF. Beispiel: T09LVDR7YW4F8K9JNF.

    • Öffnen Sie zum Abrufen der Team-ID den Kanal über einen Web-Browser. Öffnen Sie die Webentwicklertools, um die Konsole anzuzeigen. Suchen Sie nach [BOOT] Initial team ID.
    • Sie können die Mitglieds-ID aus dem Slack-Profil des Benutzers kopieren.
    • Verwenden Sie die Slack-API, um die IDs programmgesteuert abzurufen. Weitere Informationen finden Sie unter Übersicht. Die vollständige Kunden-ID sieht wie folgt aus: customer_id=slack_T09LVDR7YW4F8K9JNF.

  • Bei der Web-Chat-Integration verwendet der Service die übergebene user_id und fügt sie als Wert des Parameters customer_id bei jeder Anforderung dem Header X-Watson-Metadata hinzu.

Vorbereitende Schritte

Damit Nachrichtendaten gelöscht werden können, die einem bestimmten Benutzer zugeordnet sind, müssen Sie zunächst allen Nachrichten eine eindeutige Kunden-ID für jeden Benutzer zuordnen. Um die Kunden-ID für alle Nachrichten anzugeben, die mit der /message-API gesendet werden, fügen Sie die X-Watson-Metadata: customer_id-Eigenschaft in Ihre Kopfzeile ein. Beispiel:

curl -X POST -u "apikey:3Df... ...Y7Pc9"
 --header
   'Content-Type: application/json'
   'X-Watson-Metadata: customer_id=abc'
 --data
   '{"input":{"text":"hello"}}'
  '{url}/v2/assistants/{assistant_id}/sessions/{session_id}/message?version=2019-02-28'

Hierbei ist {url} die entsprechende URL für Ihre Instanz. Weitere Informationen finden Sie unter Serviceendpunkt.

Die Zeichenfolge customer_id darf kein Semikolon (;) und kein Gleichheitszeichen (=) enthalten. Sie müssen sicherstellen, dass jede Eigenschaft customer ID für alle Ihre Kunden eindeutig ist.

Nur der erste Kunden-ID-Wert, der im Header X-Watson-Metadata übergeben wird, wird als customer_id-Zeichenfolge für das Nachrichtenprotokoll verwendet. Dieser Kunden-ID-Wert kann mit DELETE /user_data v1-API-Aufrufen gelöscht werden.

Wenn Sie einem Assistenten eine Suche hinzufügen, wird die an den Assistenten übergebene Benutzereingabe als Suchabfrage an den Discovery-Service weitergeleitet. Wenn die watsonx Assistant-Integration eine Kunden-ID bereitstellt, ist im Header der resultierenden Anforderung der API /message die Kunden-ID enthalten und sie wird an die Discovery-API-Anforderung /query übergeben.

Um Abfragedaten zu löschen, die mit einem bestimmten Kunden verknüpft sind, müssen Sie eine separate Löschanfrage direkt an Discovery senden, die mit Ihrem Assistenten verknüpft ist. Weitere Informationen finden Sie unter Discovery -Informationssicherheit.

Benutzerdaten abfragen

Verwenden Sie den Parameter /logs für die Methode der API filter der Version 1, um in einem Anwendungsprotokoll nach bestimmten Benutzerdaten zu suchen. Mit der folgenden Abfrage kann beispielsweise nach zugehörigen Daten für eine Kunden-ID (customer_id) gesucht werden, die mit der Angabe my_best_customer übereinstimmen:

curl -X GET -u "apikey:3Df... ...Y7Pc9" \
"{url}/v2/assistants/{assistant_id}/logs?version=2020-04-01&filter=customer_id::my_best_customer"

Hierbei ist {url} die entsprechende URL für Ihre Instanz. Weitere Informationen finden Sie unter Serviceendpunkt.

Weitere Informationen finden Sie unter Filterabfragereferenz.

Daten löschen

Um alle mit einem bestimmten Benutzer verknüpften Nachrichtenprotokolldaten zu löschen, die Ihr Assistent möglicherweise gespeichert hat, verwenden Sie die API-Methode DELETE /user_data v1 Geben Sie die Kunden-ID des Benutzers an, indem Sie mit der Anforderung einen Parameter customer_id übergeben.

Mit dieser Löschmethode können nur Daten gelöscht werden, die über den API-Endpunkt POST /message mit einer zugehörigen Kunden-ID hinzugefügt wurden. Daten, die mit anderen Methoden hinzugefügt wurden, können nicht anhand der Kunden-ID gelöscht werden. Zum Beispiel können Entitäten und Absichten aus Kundengesprächen nicht auf diese Weise gelöscht werden. Diese Methoden unterstützen keine personenbezogenen Daten.

WICHTIG Wenn Sie eine customer_id angeben, werden alle Nachrichten mit dieser customer_id gelöscht, die vor der Löschanfrage eingegangen sind, und zwar in Ihrer gesamten watsonx Assistant, nicht nur innerhalb einer Fertigkeit.

Wenn Sie beispielsweise alle Benutzernachrichtendaten löschen möchten, die der Kunden-ID abc aus Ihrer watsonx Assistant-Instanz zugeordnet sind, senden Sie den folgenden cURL-Befehl:

curl -X DELETE -u "apikey:3Df... ...Y7Pc9" \
"{url}/v2/user_data?customer_id=abc&version=2020-04-01"

Hierbei ist {url} die entsprechende URL für Ihre Instanz. Weitere Informationen finden Sie unter Serviceendpunkt.

Ein leeres JSON-Objekt {} wird zurückgegeben.

Weitere Informationen finden Sie in der API-Referenz.

Hinweis: Löschanfragen werden stapelweise bearbeitet und können bis zu 24 Stunden in Anspruch nehmen.

Web-Chat-Nutzungsdaten

Der Web-Chat watsonx Assistant sendet eingeschränkte Nutzungsdaten an den Amplitudenservice. Wenn ein Benutzer mit dem Web-Chat-Widget interagiert, verfolgen wir Funktionen, die verwendet werden, und Ereignisse, wie z. B. wie oft das Widget geöffnet wird und wie viele Benutzer Dialoge starten. Diese Informationen umfassen keine Assistant-Trainingsdaten oder den Inhalt von Chatinteraktionen.

Die an Amplitude gesendeten Informationen sind keine Inhalte, wie in der Vereinbarung für Cloud-Services (CSA) definiert. Es handelt sich um Informationen zur Kontennutzung, wie in Abschnitt 9.d der CSA beschrieben, und wird wie in der IBM Datenschutzerklärungbeschrieben behandelt. Der Zweck dieser Datenerhebung beschränkt sich auf die Erstellung von Statistiken über die Nutzung und Effektivität von Webchats und auf die Vornahme von Verbesserungen.

Private Netzendpunkte

Plus

Sie können ein privates Netz für watsonx Assistant -Instanzen einrichten, die Teil eines Plus-oder Enterprise-Serviceplans sind. Ein privates Netzwerk verhindert, dass Daten über das öffentliche Internet übertragen werden, und sorgt für eine bessere Datenisolierung.

Private Netzendpunkte unterstützen Routing-Services über das private IBM Cloud-Netz und nicht über das öffentliche Netz. Ein privater Netzendpunkt stellt eine eindeutige IP-Adresse bereit, die für Sie ohne VPN-Verbindung zugänglich ist.

Weitere Informationen finden Sie unter Öffentliche und private Netzendpunkte.

Integrationen, die mit dem Produkt bereitgestellt werden, erfordern Endpunkte im öffentlichen Internet. Daher verfügen alle integrierten Integrationen für Ihren Assistenten über öffentliche Endpunkte.