Безопасность данных в ИИ-сотруднике: PII, логи, аудит

ИИ-сотрудник видит телефоны, имена, истории визитов, иногда — данные карт. Это персональные данные клиентов, и относиться к ним нужно так же серьёзно, как и в любом другом продукте, который работает с PII.

Принципы, которым мы следуем

• Минимизация: модель видит только то, что ей нужно для текущей задачи.
• Маскирование: телефоны, e-mail, документы маскируются в логах.
• Изоляция: данные клиентов не уходят за пределы периметра без явного согласия.
• Прозрачность: владелец продукта в любой момент видит, какие данные обрабатываются и где.

PII и логи

Логи — самое опасное место. По умолчанию мы маскируем все известные паттерны PII перед записью в любые системы хранения. Полный текст диалога живёт только в защищённой системе с ролевым доступом.

Хранение и срок жизни

1. Сырые логи диалогов — короткий срок (например, 30 дней).
2. Обезличенные выборки — для аналитики и обучения, длительный срок.
3. Персональные профили — в CRM с собственной политикой удаления.

Аудит и доступы

Каждый вызов tool, каждая эскалация, каждое чтение профиля — событие. Мы агрегируем их в неизменяемом журнале, по которому можно построить аудиторский отчёт. Это полезно и для compliance, и для разбора инцидентов.

Согласия клиентов

Перед запуском пилота согласовываем с юристом клиента тексты согласий и формулировку «вы общаетесь с ИИ-сотрудником». Это часть честного дизайна: клиент должен понимать, с кем он разговаривает и как использует его данные.

Безопасность данных — это не только compliance. Это про доверие: один инцидент стоит дороже всех улучшений в точности модели.

Что мы советуем бизнесу

Если вы внедряете ИИ-сотрудника, попросите подрядчика три вещи: маскирование PII в логах, журнал вызовов tools и описание срока хранения данных. Это базовая гигиена, без которой не стоит запускать пилот, каким бы красивым ни был UX.