раздел 01

Что можно и что нельзя

Чтобы решить, можно ли вставить текст в чат-бот, сначала надо понять, что это за данные. Все корпоративные данные удобно разложить на четыре уровня чувствительности.

Четыре типа данных

Публичные
То, что и так открыто: сайт, пресс-релизы, опубликованные материалы. Утечки нет по определению.
Внутренние
Не секрет, но и не для публикации: инструкции, рабочие заметки, черновики. Утечка неприятна, но не критична.
Конфиденциальные
Коммерческая тайна: договоры, финансы, исходный код, стратегия. Утечка бьёт по бизнесу.
Персональные (ПДн)
Данные людей: ФИО, телефоны, паспорта, кадровые и медицинские. Защищены 152-ФЗ.

Правило канала

Одно простое правило: чем чувствительнее данные - тем строже канал. Публичное можно почти куда угодно. Конфиденциальное и персональное - только в защищённый контур или после обезличивания.

Таблица: тип данных - куда можно

Тип данныхВнешний чат-бот (обычный)Внешний API с гарантиями / DPAЗащищённый контур или РФ-контур
ПубличныеМожноМожноМожно
ВнутренниеОсторожно, лучше обезличитьМожноМожно
КонфиденциальныеНельзяМожно по договору (DPA, no-training)Да, предпочтительно
Персональные (ПДн)НельзяТолько после обезличивания или по договоруДа, предпочтительно

Обезличивание как обходной путь

Часто данные нужны не сами по себе, а как пример структуры. Тогда чувствительное можно убрать: заменить реальные имена и номера на условные, вырезать суммы и реквизиты. После обезличивания текст переходит на уровень ниже, и его можно отправить в более простой канал.

Частые ошибки

  • Считать, что «это же просто договор» - и вставить его в бесплатный чат-бот.
  • Обезличить имена, но забыть про суммы, адреса и номера телефонов.
  • Отправить код вместе с ключами и паролями, которые лежат прямо в нём.