אבטחה וציות של סוכן קולי מבוסס AI: מה ארגונים חייבים לדעת

כל שלב בשרשרת הזו הוא נקודת חשיפה פוטנציאלית לנתונים. לפי Verizon's Data Breach Investigations Report, חלק משמעותי מהפרות המידע שכוללות נתוני קשר עם לקוחות מערב ספקי שירות צד שלישי - בדיוק הקטגוריה שבה נמצא ספק פלטפורמת הסוכן הקולי.

בנוסף, נתוני קול מציגים חובות ציות ספציפיות שאין לנתונים מבוססי טקסט. בכמה תחומי שיפוט - כולל California (CIPA), Illinois (BIPA) וברחבי האיחוד האירופי (GDPR) - הקלטת שיחות דורשת הסכמה מפורשת. PII שמופק מאינטראקציות קוליות עשוי להפעיל חובות שונות של שמירה ומחיקה לעומת אותם נתונים שהוזנו דרך טופס אינטרנט.

• במעבר: כל נתוני האודיו שמועברים בין מכשיר המתקשר לספק הטלפוניה, בין ספק הטלפוניה לפלטפורמת הסוכן הקולי ובין פלטפורמת הקול לנקודות קצה של אינטגרציה חייבים להיות מוצפנים באמצעות TLS 1.2 או גבוה יותר. עבור זרמי אודיו של VoIP בפרט, יש לאכוף SRTP (Secure Real-Time Transport Protocol).
• במנוחה: כל הקלטות אודיו, תמלולים או נתונים שחולצו ונשמרים על ידי פלטפורמת הסוכן הקולי חייבים להיות מוצפנים במנוחה באמצעות AES-256 או שווה ערך. רוכשים ארגוניים צריכים לוודא שהצפנה במנוחה חלה על כל שכבות האחסון - אחסון ראשי, גיבויים וכל שכבות caching.
• בעיבוד: inference של AI כרוך בהעברת נתונים דרך נקודות קצה של inference למודל. ארגונים צריכים להבין האם עיבוד ה-AI של הפלטפורמה משתמש בתשתית inference משותפת או ייעודית, והאם נתונים שמעובדים דרך נקודות קצה של inference נשמרים לצורכי אימון מודל.

פלטפורמת UIRIX AI Voice Agent Platform מיישמת TLS 1.2+ עבור כל הנתונים במעבר והצפנת AES-256 עבור נתונים במנוחה, עם בקרות בידוד נתוני לקוח שתוכננו עבור סביבות multi-tenant ארגוניות.

• SOC 2 Type II (Service Organization Control 2): מסגרת ביקורת שפותחה על ידי American Institute of Certified Public Accountants. דוח SOC 2 Type II מכסה את חמשת Trust Service Criteria - Security, Availability, Processing Integrity, Confidentiality ו-Privacy - לאורך תקופת ביקורת מוגדרת (בדרך כלל שישה עד שנים-עשר חודשים). Type II משמעותי הרבה יותר מ-Type I משום שהוא מדגים שבקרות פעלו ביעילות לאורך זמן, ולא רק תוכננו נכון בנקודת זמן אחת. תמיד דרשו דוחות Type II בבדיקת נאותות ספקים.
• ISO 27001: התקן הבינלאומי למערכות ניהול אבטחת מידע. בניגוד ל-SOC 2, שהיא מסגרת ביקורת ממוקדת ארה"ב, הסמכת ISO 27001 מוכרת גלובלית ורלוונטית במיוחד לארגונים שפועלים בשווקים אירופיים או אסיה-פסיפיים. הסמכת ISO 27001 דורשת ביקורת מעקב שנתית וביקורת הסמכה מחדש מלאה כל שלוש שנים.

עבור פריסות של סוכנים קוליים מבוססי AI, השילוב של SOC 2 Type II ו-ISO 27001 מספק את הכיסוי הרחב ביותר לדרישות רכש ומשפט ארגוניות בשווקים גלובליים.

• בסיס חוקי לעיבוד: נתוני שיחות קוליות מהווים נתונים אישיים תחת GDPR. ארגונים חייבים לקבוע בסיס חוקי לעיבוד - בדרך כלל אינטרס לגיטימי עבור שיחות שירות או הסכמה עבור שיחות שיווק. הבסיס החוקי חייב להיות מתועד וניתן להגנה.
• הסכמה להקלטת שיחות: GDPR דורש ליידע נושאי מידע כאשר שיחות מוקלטות. הסוכן הקולי מבוסס ה-AI חייב למסור גילוי ברור ומובן בתחילת כל שיחה שתוקלט, לפני תחילת ההקלטה.
• מזעור נתונים: הסוכן הקולי צריך לחלץ ולשמור רק את הנתונים הנחוצים למטרת העיבוד המוגדרת. שמירת הקלטות אודיו מלאות כאשר סיכום מובנה היה מספק את הדרישה התפעולית קשה להצדקה תחת עקרונות מזעור נתונים.
• הזכות למחיקה: הארגון חייב להיות מסוגל למחוק את כל הנתונים המשויכים לנושא מידע מסוים לפי בקשה. פלטפורמות של סוכנים קוליים מבוססי AI חייבות לספק APIs למחיקת נושאי מידע.
• Data Processing Agreement (DPA): כל ספק סוכן קולי מבוסס AI שמעבד נתונים אישיים בשם הארגון הוא data processor תחת GDPR. יש לחתום על DPA תואם לפני שעובדים כל נתונים אישיים של האיחוד האירופי דרך הפלטפורמה.
• העברות נתונים בינלאומיות: אם פלטפורמת הסוכן הקולי מעבדת נתונים מחוץ ל-EU/EEA, חייבים להיות מנגנוני העברה מתאימים - כאשר Standard Contractual Clauses (SCCs) הם הכלי הנפוץ ביותר.

PHI בהקשר של סוכן קולי כולל: שמות מטופלים בשילוב עם כל מידע על מצב רפואי או טיפול, פרטי פגישות שחושפים מצב בריאותי, מזהי חבר ביטוח וכל מידע אחר שיכול לזהות אדם בהקשר של מצב רפואי.

דרישות HIPAA מרכזיות עבור פריסות של סוכנים קוליים:

• Business Associate Agreement (BAA): כל ספק שמטפל ב-PHI בשם ישות מכוסה על ידי HIPAA חייב לחתום על BAA. פריסה של סוכן קולי מבוסס AI שנוגע ב-PHI ללא BAA חתום יוצרת אחריות HIPAA ישירה עבור הישות המכוסה.
• בקרות גישה: רק מערכות ואנשי צוות מורשים צריכים לקבל גישה ל-PHI שמעובד דרך הסוכן הקולי.
• בקרות ביקורת: כל גישה ל-PHI - כולל שליפה במהלך איתור לקוח בזמן אמת - חייבת להירשם במסלול ביקורת שניתן לבדיקה.
• אבטחת העברה: PHI שמועבר בין פלטפורמת הסוכן הקולי לנקודות קצה של אינטגרציה חייב להיות מוצפן באמצעות תקנים תואמי HIPAA.
• הודעה על הפרה: אם מתרחשת הפרה שכוללת PHI בתוך פלטפורמת הסוכן הקולי, הספק חייב להודיע לישות המכוסה בתוך מסגרות הזמן שמוגדרות ב-Breach Notification Rule.

השיקול הקריטי הוא השהיה וחידוש של הקלטה. אם פלטפורמת הסוכן הקולי מקליטה שיחות, עליה להשהות את ההקלטה לפני שהמתקשר אומר את נתוני כרטיס התשלום ולחדש אותה לאחר שהנתונים הרגישים נלכדו ועובדו. אחסון נתוני מחזיק כרטיס בהקלטות שיחה או בתמלולים מכניס את הארגון להיקף PCI DSS גבוה משמעותית.

כאשר הדבר אפשרי, ארגונים צריכים ליישם קלט DTMF (dual-tone multi-frequency) עבור נתוני כרטיסי תשלום - לנתב את המתקשר להזין מספרי כרטיס דרך המקשים במקום בדיבור כאשר נדרשים נתוני תשלום. נתוני תשלום שנלכדו באמצעות DTMF יכולים להיות מוסתרים בתמלולים ומוחרגים מהקלטות אודיו, וכך מצטמצם היקף PCI DSS.

ארגונים צריכים גם לאשר האם ספק פלטפורמת הסוכן הקולי מחזיק ב-attestation of compliance של PCI DSS כספק שירות.

• SOC 2 Type II: בדקו את דוח הביקורת והעריכו חריגות. הספק מספק דוח SOC 2 Type II.
• ISO 27001: אשרו שההסמכה הנוכחית בתוקף ובתחום השירות. הספק מספק תעודה ו-statement of applicability.
• GDPR: חתמו על DPA, קבעו בסיס חוקי והגדירו הסכמה. הספק מספק DPA ורשימת data sub-processors.
• HIPAA: חתמו על BAA, ובצעו ביקורת על מסלולי גישה ל-PHI. הספק מספק BAA חתום ותיעוד בקרות אבטחה.
• PCI DSS: צמצום היקף באמצעות DTMF, הגדרת השהיה/חידוש הקלטה. הספק מספק PCI DSS attestation of compliance.
• CCPA / CPRA: העריכו חובות מכירה/שיתוף נתונים, והגדירו opt-out. הספק מספק data processing addendum.
• BIPA (Illinois): העריכו האם נתוני voice print נלכדים. הספק מספק מדיניות כתובה ומנגנון הסכמה.

• דוח SOC 2 Type II זמין ומכסה את שירות עיבוד הקול מבוסס ה-AI
• הסמכת ISO 27001 בתוקף ובתחום השירות
• TLS 1.2+ נאכף עבור כל הנתונים במעבר; SRTP עבור זרמי אודיו
• הצפנת AES-256 עבור נתונים במנוחה בכל שכבות האחסון
• בקרות בידוד נתוני לקוח מתועדות עבור סביבות multi-tenant
• איסור חוזי מפורש על שימוש בנתוני שיחות לקוח לאימון מודל
• BAA זמין עבור פריסות המכוסות על ידי HIPAA
• DPA זמין עם EU Standard Contractual Clauses לציות ל-GDPR
• API או מנגנון למחיקת נושאי מידע זמין
• בדיקות חדירה בוצעו על ידי צד שלישי מוסמך; דוח זמין תחת NDA
• יכולת השהיה/חידוש הקלטת שיחות לצמצום היקף PCI DSS
• מדיניות גילוי פגיעויות ו-SLA לתגובה לאירועים מתועדים
• רשימת subprocessor מתוחזקת ומעודכנת; תהליך הודעה על שינויים
• אפשרויות מיקום נתונים זמינות עבור תחומי שיפוט עם דרישות לוקליזציה
• יכולת ייצוא audit log עבור אינטגרציה עם SIEM ארגוני

מה ההבדל בין דוח SOC 2 Type I ל-Type II, ואיזה מהם עליי לדרוש מספקים?
דוחות Type I מעריכים האם בקרות אבטחה תוכננו כראוי בנקודת זמן אחת. דוחות Type II מעריכים האם אותן בקרות פעלו ביעילות לאורך תקופת ביקורת של לפחות שישה חודשים. רוכשים ארגוניים צריכים תמיד לדרוש דוחות Type II.

האם פלטפורמת סוכן קולי מבוסס AI יכולה להיות תואמת GDPR אם היא משתמשת בספק מודל AI מבוסס ארה"ב?
כן, אך זה דורש מנגנוני העברה מתאימים. הארגון חייב לוודא ש-Standard Contractual Clauses או מנגנון העברה מאושר אחר קיימים בין data controller באיחוד האירופי לבין המעבדים מבוססי ארה"ב בשרשרת.

האם נתוני ביומטריה קולית כפופים ל-BIPA באילינוי?
BIPA חל על voiceprints - מזהים ביומטריים שמופקים מנתוני קול. האם אינטראקציית קול סטנדרטית מבוססת AI מייצרת voiceprint תלוי בשאלה אם הפלטפורמה מבצעת פונקציות של זיהוי או אימות דובר. אם הפלטפורמה רק מבצעת תמלול speech-to-text בלי לחלץ מודל זהות קולי מתמשך, בדרך כלל BIPA אינו מופעל.

באיזו תדירות עלינו להעריך מחדש את עמדת האבטחה של ספק הסוכן הקולי מבוסס ה-AI שלנו?
הערכה מחדש שנתית שמיושרת עם חידוש דוח SOC 2 היא הסטנדרט המינימלי. בנוסף, יש להעריך מחדש בכל פעם שהספק מודיע לכם על שינויים מהותיים ברשימת ה-subprocessor שלו, בנוהלי עיבוד הנתונים או בארכיטקטורת האבטחה.