Panoramica: Protezione di una chat web

Modifica online

Se attivi le impostazioni di sicurezza, puoi configurare la chat web per autenticare gli utenti, proteggere i dati personali e limitare l'accesso al tuo assistente AI.

Nota:

Il contenuto di questa sezione riguarda l 'assistente AI. Se desideri incorporare la chat con IA in una pagina esterna, consulta la pagina "Panoramica sulla sicurezza della chat web ".

Tutti i messaggi scambiati tra la chat web e l 'assistente AI vengono crittografati tramite il protocollo Transport Layer Security ( TLS ), che protegge i dati sensibili durante il loro transito in rete. Tuttavia, esistono ancora potenziali esposizioni alla sicurezza contro le quali è necessario proteggersi. Abilitando la funzione di sicurezza della chat web e aggiornando opportunamente il codice del sito web, è possibile aggiungere le seguenti protezioni:

  • Puoi impedire che siti web non autorizzati inviino messaggi al tuo assistente AI, anche se copiano lo script di integrazione della chat web. (Gli identificatori unici nello script di incorporamento, come l'ID dell'integrazione e l'ID dell'istanza del servizio, sono visibili a chiunque abbia accesso al vostro sito web)

  • È possibile autenticare i clienti in modo sicuro per controllare l'accesso alle funzionalità del proprio assistente AI che richiedono un'autorizzazione.

  • È possibile crittografare i dati sensibili in modo che i clienti non possano visualizzarli, consentendo comunque al proprio assistente AI di accedervi.

La sicurezza della chat web utilizza i JSON Web Token (JWT), ovvero oggetti dati inviati insieme a ogni messaggio dal tuo sito web al servizio di creazione di assistenti AI. Poiché un JWT è firmato digitalmente utilizzando una chiave di crittografia privata che solo voi avete, garantisce che ogni messaggio provenga dal vostro sito web. Il payload JWT può essere utilizzato anche per autenticare in modo sicuro gli utenti e trasportare dati privati crittografati.

Per informazioni dettagliate sui JSON Web Token, consultare la specifica JWT.

L'abilitazione della sicurezza della chat web comporta le seguenti personalizzazioni:

  • Implementare il codice del server dell'applicazione web che genera un JWT firmato con la chiave di crittografia privata

  • Personalizzazione della configurazione della chat web per fornire il JWT generato

  • Abilitazione della sicurezza nelle impostazioni di sicurezza della web chat

Dopo aver abilitato la sicurezza della chat web, qualsiasi messaggio ricevuto dall'integrazione della chat web che non sia accompagnato da un JWT correttamente firmato verrà rifiutato.

Per informazioni dettagliate su come eseguire questi passaggi, consultare la sezione "Abilitazione della sicurezza della chat web".

Con la sicurezza della chat web attivata, è possibile implementare ulteriori misure di sicurezza, a seconda delle necessità:

  • È possibile utilizzare i JWT per autenticare in modo sicuro i clienti tramite l'ID utente, consentendo così al proprio assistente AI di controllare l'accesso alle funzioni che richiedono un'autorizzazione.

Se la sicurezza della chat web non è abilitata, ogni cliente che utilizza il tuo assistente AI viene identificato solo tramite la user_id proprietà inclusa nella richiesta del messaggio. Questo è sufficiente per identificare utenti unici ai fini della fatturazione, ma non è sicuro, perché potrebbe essere modificato.

Codificando le informazioni sull'identità dell'utente come parte del payload JWT, è possibile autenticare gli utenti in modo sicuro. Il JWT è firmato e non può essere modificato dall'utente.

Per ulteriori informazioni sull'uso dei JWT per l'autenticazione sicura, consulta la sezione "Autenticazione degli utenti nella chat web ".

  • È possibile impedire l'accesso non autorizzato alle informazioni sensibili dei clienti criptandole e includendole come parte del payload dell'utente JWT.

Il payload utente è una parte del JWT che puoi utilizzare per inviare informazioni a cui desideri che il tuo assistente AI abbia accesso, ma che non vuoi che i clienti vedano. Queste informazioni vengono memorizzate solo in variabili private, che non possono essere viste dai clienti e non sono mai incluse nei registri.

Per ulteriori informazioni sull'utilizzo del payload utente per proteggere le informazioni sensibili, consulta la sezione "Crittografia dei dati sensibili nella chat web ".

icona di sviluppo Tutorial: per un tutorial per sviluppatori che illustra un esempio di utilizzo della sicurezza della chat web per autenticare gli utenti e proteggere i dati sensibili, consultare il tutorial: Autenticazione di un utente durante una sessione.