Michał Pawełczyk 17.05.2019

Bezpieczeństwo danych w chatbocie – dobre praktyki

Dane z chatbotów stanowią bardzo cenną walutę. Pomagają firmom lepiej zrozumieć ludzi, z którymi mają do czynienia na co dzień. By dbać o ich wartość, warto je odpowiednio chronić. W obliczu afer, takich jak wyciek danych z Facebooka itp., użytkownicy sieci coraz częściej zwracają uwagę nie tylko komu” przekazują informacje o sobie, ale i po co”. Dziś pokażę ci, co zrobić, by bezpieczeństwo danych w chatbocie nie było tylko pustym sloganem a odbiorcy Twojego rozwiązania nie martwili się o informacje, które przekazują nawiązując z nim dialog.

Przez chatbota możesz otrzymać informacje o swoim saldzie konta, pobrać fakturę czy zlecić przelew. To tylko niektóre przykłady, ale na tyle utrwalone w świadomości człowieka, bo zawsze przywołują na myśl szeroko rozumiane bezpieczeństwo.

Decydując się na współpracę z dostawcą chatbotów, powinieneś upewnić się, że firma – jeśli przechowuje i dalej przetwarza dane użytkowników chatbota – robi to zgodnie z obowiązującym prawem.

Chociaż interakcja z chatbotem znacząco różni się od np. wprowadzenia danych do formularza przez stronę internetową, efekt jest taki sam. Informacje o użytkowniku przechodzą przez serwer i zapisują się w bazie danych. Stąd chatbot powinien zawierać te same funkcje zabezpieczeń i protokoły, które są wymagane w innych systemach.

Dostępne kanały publikacji chatbota

Jedną z kluczowych zalet chatbotów jest możliwość wykorzystania wielu kanałów do komunikowania się z użytkownikami. Każdy z nich cechuje się swoimi prawami i stoi za nim firma, która posiada swoją politykę bezpieczeństwa danych. Jeśli decydujesz się na wejście w konkretne rozwiązanie, miej świadomość z czym to się wiąże.

Ze względu na bezpieczeństwo, kanały możemy podzielić na 2 kategorie:

  • prywatne
  • otwarte

Najczęściej spotkasz chatboty opublikowane na kanałach otwartych, takich jak np. Facebook Messenger, Google Assistant czy Slack. Wówczas zawsze dzielisz się danymi z innym podmiotem.

Jednak w przypadku komunikatora Marka Zuckerberga można zaprojektować chatbota tak, by wrażliwe dane, takie jak np. numer telefonu czy numer szkody ubezpieczeniowej, były przekazywane poza obrębem komunikatora (do czego zachęcamy naszych klientów).

Kanały prywatne wykorzystuje się w sytuacjach, gdzie przekazywanie danych innej firmie jest zwyczajnie nie do zaakceptowania. Są one dostępne w przeglądarce (widget webowy) lub w aplikacji mobilnej. Dostęp do nich może być ograniczony, np. tylko do intranetu.

Hosting chatbota ma znaczenie

To gdzie trafi chatbot, wpływa na sposób przechowywania danych. Istnieją 2 główne modele wdrożenia oprogramowania:

  • Cloud
  • On Premise

W modelu Cloud instalacja systemu odbywa się w infrastrukturze dostawcy. Zazwyczaj każda platforma chatbotowa przechowuje dane w jednej, wybranej chmurze. Znane, większe chmury, takie jak Google Cloud, Amazon Web Services czy Microsoft Azure posiadają swoje “data center” na całym świecie, a nad bezpieczeństwem czuwają światowej klasy specjaliści.

On Premise to model zdecydowanie bardziej „tradycyjny”. Oprogramowanie trafia wówczas do infrastruktury klienta. Proces wdrożenia znacznie się wydłuża, jednak ten model jest często wymagany w przypadku branż takich, jak bankowość czy ubezpieczenia. Wówczas w dużej mierze to dział IT klienta odpowiada za bezpieczeństwo całego rozwiązania.

Model Hybrydowy 

Istnieje również możliwość połączenia 2 opisywanych powyżej modeli. Wrażliwe dane są przechowywane w infrastrukturze klienta (lub w dowolnym wskazanym miejscu), a system chatbota w chmurze.

Jeśli chatbot korzysta z usług innych firm, np. dostarczających silnik do przetwarzania języka naturalnego (NLP) czy system analityczny, należy wziąć pod uwagę podobne problemy związane z hostingiem i bezpieczeństwem informacji. Wraz ze wzrostem ilości podmiotów przetwarzających dane, wzrasta prawdopodobieństwo wycieku informacji.

Mniej znaczy więcej – bezpieczne zbieranie danych w chatbocie

W zależności od kanału, w którym znajduje się chatbot, możemy używać dodatkowych funkcji, pozwalających zbierać dane poza ekosystemem chatbota. Jedna z nich dotyczy możliwości stworzenia dedykowanych formularzy, do których przekazywane są dane przy pomocy parametrów w adresie URL.

Podobne rozwiązanie znajdziesz w chatbocie marki Żywiec, w którym ze względu na wymogi prawne nie mieliśmy możliwości dodawania kodu bezpośrednio z poziomu chatbota. Do formularza przekazywane są:

  1. imię,
  2. nazwisko,
  3. kod z puszki lub kapsla, jeśli użytkownik wcześniej wpisał go w wiadomości.

Wszystkie zgody oraz adres e-mail podawane są w zabezpieczonym formularzu.

Pamiętaj, by nie przekazywać wrażliwych danych do formularza tą metodą, ponieważ istnieje możliwość podsłuchania zapytania przez osoby trzecie. Stąd umieszczenie w adresie URL takich danych jak e-mail, nr PESEL itd. to bardzo zły pomysł.

Unikanie zbierania danych to najlepsza forma ochrony. 🙂 Jeśli Twoja firma musi znać tylko kod pocztowy, nie pytaj o cały adres. Potrzebujesz tylko aktualnych objawów choroby, by skierować użytkownika do odpowiedniego lekarza, nie pytaj o pełną historię medyczną.

Uproszczenie rozmowy nie tylko ogranicza odpowiedzialność za posiadanie poufnych informacji, ale także poprawia UX chatbota.

Anonimizacja danych w chatbocie – klucz do bezpieczeństwa

Z doświadczenia wiemy, że użytkownicy chatbota, pomimo jasnego określenia, gdzie mają podać dane, wpisują je bezpośrednio w wiadomość, chociaż przygotowany został do tego celu formularz. Widać to szczególnie podczas zbierania danych od szczęściarzy, którzy wygrali nagrody w konkursach organizowanych przez naszych klientów.

A co jeśli nie chcemy przechowywać danych wpisywanych bezpośrednio w wiadomość? Anonimizacja będzie tu najlepszym rozwiązaniem. W przypadku chatbotów, najlepiej zastąpić je np. gwiazdkami. Wdrożyliśmy takie rozwiązanie dla naszych klientów, których chatboty z założenia nie miały zapisywać żadnych danych, nawet jeśli użytkownik chciałby je podać za wszelką cenę 🙂

Artykuł jest dla Ciebie wartościowy?

Sprawdź nasze usługi.
Dowiedz się jak chatbot pomoże twojej firmie w komunikacji z klientem.

Dane nie zapiszą się w bazie danych, nie pojawią się w statystykach, ani skrzynce odbiorczej. Należy pamiętać, że oczywiście nadal będą dostępne w skrzynce odbiorczej portalu np. Facebooka, jeśli chatbot widnieje na kanale publicznym.

Bezpieczeństwo danych w chatbocie w rękach administratorów

Kokpit administracyjny to podstawowe narzędzie pracy dla osoby zarządzającej chatbotem. Dzięki niemu aktualizuje strukturę, dodaje intencje do systemu NLP, przegląda prace konkursowe, analizuje dane, wysyła kampanie, a nawet odpowiada użytkownikom na pytania.

Zabezpieczenie dostępu do tych informacji jest bardzo ważne w kontekście bezpieczeństwa.

Dostęp musi być ściśle kontrolowany przez system oparty o role i uprawnienia. Użytkownik powinien mieć wgląd tylko do tych części, na których pracuje. Przykłady takich ról mogą to m.in.: Administrator, Edytor, Marketer, Moderator Skrzynki Odbiorczej, Moderator Konkursów czy Viewer.

Każda akcja dokonana przez użytkownika musi być zarejestrowana w logach, czyli rejestrze aktywności aplikacji. Dzięki temu, posiadasz dokładne informacje na temat tego, który użytkownik miał dostęp do jakich danych. To bardzo ważne nie tylko w kontekście bezpieczeństwa, ale też wymagań stawianych przed systemami informatycznymi przez RODO.

Polityka haseł w chatbocie

Wspólne hasło do wielu usług to jedno z najważniejszym problemów bezpieczeństwa współczesnego Internetu. Podczas kradzieży danych z jednego systemu, haker potrafi wykorzystać zdobyte hasło użytkownika do autoryzacji do innych serwisów.

Hasło do kokpitu administracyjnego powinno być silne (odpowiednia długość, duże i małe litery, znaki specjalne) oraz cyklicznie zmieniane. Z pomocą przychodzi system, który dba o to, aby użytkownik o tych dobrych praktykach nie zapomniał. Dwuetapowa weryfikacja, np. przy pomocy wiadomości SMS to kolejna funkcja, która zwiększa bezpieczeństwo nieuprawnionego dostępu osób trzecich. Warto z niej skorzystać, jeśli system to umożliwia.

Bezpieczeństwo danych w chatbocie przede wszystkim

Jak widzisz, kwestia bezpieczeństwa danych w chatbocie wymaga od Ciebie znajomości kilku ważnych zagadnień. Traktuj ten element jako priorytet. Dzięki temu będziesz mieć pewność, że jesteś przygotowany na każdą ewentualność. Pamiętaj, że żyjemy w czasach, gdzie bezpieczeństwo danych budzi najwięcej wątpliwości. Nie dawaj swoimi działaniami powodów do realizacji czarnych scenariuszy. Nieważne czy tworzysz boty na Messengera czy inne aplikacji, rozwiązanie ma pomóc ci w kontakcie z klientami, a nie stanowić powodu do zmartwień w kluczowym obszarze dla jego funkcjonowania.

 

Spodobał Ci się artykuł? Podziel się!

Komentarze

Zobacz inne artykuły Michała