Onko AI-chatbot turvallinen yrityksellesi?

Asiakkaat antavat chatbotille nimensä, puhelinnumeronsa ja kuvauksen omasta tilanteestaan. Tämä tarkoittaa että tietoturva on aihe, jonka pitää olla kunnossa ennen kuin botti laitetaan omille kotisivuille. Käydään läpi miten Bottinen sen hoitaa.

Mitä tietoja chatbot käsittelee

Chatbotti käsittelee kahdenlaista tietoa.

Ensinnäkin on yrityksen oma tieto — palvelukuvaukset, hinnat, aukioloajat, FAQ. Tämä on sinun materiaaliasi ja sen omistat sinä. Bottinen tallentaa sen tietokantaansa, mutta se ei jaa sitä muille asiakkaille eikä käytä sitä mihinkään muuhun kuin oman bottisi toimintaan.

Toiseksi on asiakkaiden henkilökohtainen tieto — nimi, puhelin, sähköposti, kysymykset omasta tilanteestaan. Tämä on se osa, jossa GDPR astuu kuvaan. Henkilötietojen käsittelyssä on selkeät säännöt, ja chatbot-ratkaisun on noudatettava niitä.

Missä data säilytetään

Bottisen tietokanta sijaitsee EU:n alueella, Hetznerin palvelinkeskuksessa Saksassa. Tämä koskee kaikkea: keskusteluhistoriaa, liidi-tietoja, asiakaspaneelin sisältöä, kuvia ja dokumentteja.

EU-sijainti on tärkeä, koska se tarkoittaa että data on GDPR:n suojan piirissä eikä siirry alueille joissa tietosuojan taso on heikompi.

Entä tekoälymalli — käytetäänkö dataa sen kouluttamiseen?

Tähän pitää vastata rehellisesti, koska se on tärkein kysymys.

Bottinen käyttää OpenAI:n kielimallia (GPT-4o mini). Kun asiakas lähettää viestin, se kulkee Bottisen palvelimen kautta OpenAI:lle, joka tuottaa vastauksen ja palauttaa sen takaisin. OpenAI on yhdysvaltalainen yritys, joten viesti käy USA:ssa ennen kuin vastaus näkyy chat-ikkunassa.

Tärkeää on, mitä OpenAI tekee tällä datalla. API-rajapinnan oletusasetuksissa OpenAI ei käytä asiakkaiden dataa mallin kouluttamiseen. Tämä on selkeä ero ChatGPT:n ilmaisversioon, jossa keskustelut saatetaan käyttää koulutukseen.

Käytännössä siis sinun asiakkaasi keskustelut menevät prosessoitavaksi, mutta ne eivät päädy seuraavan version GPT-mallin koulutusaineistoon eivätkä toisten käyttäjien näkyville.

OpenAI säilyttää API-viestit lyhyen aikaa (enintään 30 päivää) väärinkäytösten valvontaa varten ja poistaa ne sen jälkeen.

Salaus ja yhteys

Bottinen toimii HTTPS-yhteyden yli. Kun asiakas kirjoittaa botille, viesti kulkee salatussa muodossa hänen selaimestaan Bottisen palvelimelle. Tämä on standardi, joka koskee kaikkea modernia verkkoliikennettä — mutta se on syytä mainita, koska se on yksi GDPR:n teknisistä perusvaatimuksista.

Tietokannassa data on samalla palvelimella, jonka kanssa Bottisen sovellus kommunikoi. Pääsy tietokantaan on rajattu, eikä siihen ole ulkoista yhteyttä.

Pääsy asiakaspaneeliin

Jokainen asiakas (eli sinä) näkee vain oman yrityksensä keskustelut ja liidit. Bottisen rakenteessa ei ole tapaa, jolla yksi asiakas pääsisi katsomaan toisen asiakkaan tietoja.

Kirjautuminen tapahtuu sähköpostilla ja salasanalla. Suosittelemme käyttämään yksilöllistä, riittävän pitkää salasanaa.

Mitä tapahtuu kun asiakas pyytää tietojensa poistamista

GDPR antaa loppuasiakkaalle (eli sen asiakkaan, joka on chattaillut bottisi kanssa) oikeuden pyytää häntä koskevien tietojen poistamista. Jos saat tällaisen pyynnön, ilmoita siitä Bottiselle ja kerro mistä keskustelusta tai liidistä on kyse — poistamme tiedot pysyvästi.

Käytännössä tarvitset asiakkaan antaman yhteystiedon (puhelin tai sähköposti) tunnistaaksesi oikean liidin tai keskustelun.

Mitä tapahtuu jos lopetat Bottisen käytön

Asiakaspaneelista löytyy "Poista tili" -toiminto. Sen klikkaaminen poistaa kaikki sinun yrityksesi tiedot pysyvästi: keskustelut, liidit, dokumentit, asetukset. Toiminto vaatii vahvistuksen ennen kuin se etenee.

Poiston jälkeen tietoja ei voi enää palauttaa. Tämä on tarkoituksellinen ratkaisu — kun haluat että data on poissa, se on oikeasti poissa.

Yhteenveto

Pk-yrittäjän näkökulmasta tietoturva chatbotin yhteydessä on viime kädessä neljä kysymystä:

Onko data EU:ssa? Bottisen kohdalla: kyllä, Hetznerin palvelimilla Saksassa.

Käytetäänkö keskusteluja tekoälymallin koulutukseen? Ei. Bottisen käyttämä OpenAI:n API ei käytä API-viestejä mallin opettamiseen.

Voiko data poistaa pyynnöstä? Kyllä, sekä yksittäisiä liidejä että koko asiakastili.

Onko yhteys salattu? Kyllä, HTTPS kaikessa liikenteessä.

Tämä taso riittää useimmille pk-yrityksille. Jos yritykselläsi on erityisen arkaluonteista dataa — esimerkiksi terveys- tai talousneuvonta — kannattaa keskustella tarpeesta lakimiehen kanssa. Useimmilla palveluyrityksillä Bottisen taso on enemmän kuin riittävä.