Visión general: Proteger un chat web

Nota : El contenido de esta sección se aplica al asistente de IA. Si desea integrar el chat de IA en una página externa, consulte la página [Descripción general de la seguridad del chat web](.. /chat/web_chat_security_overview.html ).

Si activas la seguridad, puedes configurar el chat web para autenticar usuarios, proteger datos privados y restringir el acceso a tu asistente de IA.

Todos los mensajes que se envían entre el chat web y el asistente de IA se cifran mediante Transport Layer Security (TLS), que protege los datos confidenciales mientras viajan por la red. Sin embargo, sigue habiendo posibles riesgos de seguridad contra los que podría tener que protegerse. Activando la función de seguridad del chat web y actualizando adecuadamente el código de tu sitio web, puedes añadir las siguientes protecciones:

  • Puede evitar que sitios web no autorizados envíen mensajes a su asistente de IA, incluso si copian su script incrustado de chat web. (Los identificadores únicos del script de incrustación, como el ID de integración y el ID de instancia de servicio, son visibles para cualquiera que tenga acceso a su sitio web)

  • Puede autenticar de forma segura a los clientes para controlar el acceso a las funciones de su asistente de IA que requieren autorización.

  • Puedes cifrar los datos confidenciales para que los clientes no puedan verlos y, al mismo tiempo, permitir que tu asistente de IA acceda a ellos.

La seguridad del chat web utiliza tokens web JSON (JWT), que son objetos de datos que se envían con cada mensaje desde su sitio web al servicio del generador de asistentes de IA. Dado que un JWT está firmado digitalmente mediante una clave de cifrado privada que sólo usted posee, garantiza que cada mensaje se origina en su sitio web. La carga útil JWT también puede utilizarse para autenticar de forma segura a los usuarios y transportar datos privados cifrados.

Para obtener información detallada sobre los tokens web JSON, consulte la especificación JWT).

Habilitar la seguridad del chat web implica realizar las siguientes personalizaciones:

  • Implementar código de servidor de aplicaciones web que genere un JWT firmado con su clave de cifrado privada

  • Personalización de la configuración del chat web para proporcionar el JWT generado

  • Activar la seguridad en la configuración de seguridad del chat web

    Después de activar la seguridad del chat web, cualquier mensaje recibido por la integración del chat web que no vaya acompañado de un JWT firmado correctamente será rechazado.

Para obtener información detallada sobre cómo realizar estos pasos, consulte Activación de la seguridad del chat web.

Con la seguridad del chat web activada, puede implementar opcionalmente medidas de seguridad adicionales según sea necesario:

  • Puede utilizar JWT para autenticar de forma segura a los clientes por ID de usuario, lo que hace posible que su asistente de IA controle el acceso a las funciones que requieren autorización.

    Sin la seguridad del chat web activada, cada cliente que utiliza su asistente de IA se identifica únicamente por la propiedad " user_id " que forma parte de la solicitud del mensaje. Esto es suficiente para identificar usuarios únicos a efectos de facturación, pero no es seguro, porque podría modificarse.

    Al codificar la información de identidad del usuario como parte de la carga útil del JWT, puede autenticar a los usuarios de forma segura. El JWT está firmado y no puede ser modificado por el usuario.

    Para obtener más información sobre el uso de JWT para la autenticación segura, consulte Autenticación de usuarios en el chat web.

  • Puede evitar el acceso no autorizado a la información confidencial de los clientes cifrándola e incluyéndola como parte de la carga útil del usuario JWT.

    La carga útil del usuario es una parte del JWT que puede utilizar para enviar información a la que desea que su asistente de IA tenga acceso, pero que no desea que los clientes vean. Esta información se almacena únicamente en variables privadas, que no pueden ver los clientes y nunca se incluyen en los registros.

    Para obtener más información sobre el uso de la carga útil de usuario para proteger la información confidencial, consulte Cifrado de datos confidenciales en el chat web.

icono de desarrollo Tutorial : Para ver un tutorial para desarrolladores que muestra un ejemplo de uso de la seguridad del chat web para autenticar a los usuarios y proteger los datos confidenciales, consulte Tutorial: Autenticación de un usuario en medio de una sesión.