安全、隐私与数据保护

在线编辑

在使用 IBM watsonx Orchestrate 时,了解您的数据是如何存储、保护和管理的至关重要。 watsonx Orchestrate 该产品在设计之初就融入了安全与隐私保护机制,让您能够专注于创建自动化流程,而无需配置底层的安全设置。

AWS

本页面说明了 watsonx Orchestrate 存储哪些信息、您的数据如何得到保护,以及您作为管理员应承担哪些责任。

数据存储概述

watsonx Orchestrate 仅收集和存储实现自动化工作流及助手体验所需的信息。 通过将存储的数据量降至最低,该平台既降低了安全风险,又简化了贵组织的合规工作。

下表总结了 watsonx Orchestrate 为确保安全运行而存储的数据:

数据分类

详细信息与处理

已存储的数据

系统会存储以下类型的数据: - 系统生成的用户、账户和交互线程标识符 - 您明确提交的工作流和助手内容 - 支持自动化任务的配置元数据 - 由 IBMid 或您的 IdP 管理的身份信息(例如登录电子邮件地址),这些信息将根据 IBM 访问策略进行存储。 这些信息使 watsonx Orchestrate 能够保持上下文关联、提供个性化操作,并支持可靠的工作流执行。

未存储的数据

watsonx Orchestrate 不会存储您的工作流内容、消息内容,也不会存储超出身份和访问管理所需范围的其他个人身份信息。 在身份验证过程中, IBMid 或您配置的身份提供商 ( IdP ) 会根据访问策略管理用户身份属性,包括用户的登录电子邮件地址和唯一标识符。 watsonx Orchestrate 不会独立存储联系人资料、SSO 属性集或 MFA(多因素身份验证)密钥。 相反,该平台使用系统生成的内部标识符来关联用户、对话和工作流执行。

存储的个人身份信息(PII)极少

为了运行该平台, watsonx Orchestrate 会生成并存储内部标识符,这些标识符用于唯一关联用户、对话和工作流执行。 这些内部标识符本身并不会泄露用户的身份,但由于它们可以追溯到贵组织内的特定个人,因此仍被视为个人信息。 这种方法在避免存储直接标识符的同时,将保留的个人身份信息类别降至最低。 有关 IBM 在 IBM Cloud 及在线服务中收集和保留的各类个人信息的完整说明,请参阅 IBM 信任中心——隐私政策。

您的数据如何存储

主要存储组件包括:

  • 亚马逊 RDS :托管关系型数据库存储服务

  • Amazon S3 用于云对象存储

  • 由服务商管理的快照和备份,用于灾难恢复和业务韧性

所有存储层均遵循 AWS 的加密和保护标准。

静态加密

所有存储的数据默认在静止状态下均采用以下方式进行加密:

  • AES‑256 加密

  • AWS 使用 AWS 托管密钥的密钥管理服务 (KMS)

您无需配置或管理密钥轮换。 云服务提供商负责加密、密钥生命周期管理以及备份保护。

租户隔离

watsonx Orchestrate 确保不同客户的数据相互隔离。 应用层隔离、服务边界以及 AWS 身份管理(IAM)策略协同工作,确保您的工作流和内容的私密性。

如果您的组织需要更严格的隔离措施,高级部署选项可在应用程序层和存储层提供更强的隔离能力。 更多详情请参阅 “数据隔离 ”。

基于角色的访问控制(RBAC)

RBAC 确保用户只能访问与其角色相符的功能和资源。 您通过分配角色来控制组织内的访问权限。

数据在传输过程中的保护措施

watsonx Orchestrate 在组件和服务之间传输数据时,通过使用 TLS 1.2 或更高版本来保障所有内部和外部通信的安全。

会话管理

watsonx Orchestrate 中的用户会话由 IBM MultiCloud 软件平台 (MCSP) 进行管理。

MCSP负责管理:

  • 会话创建

  • 会话维护

  • 会话到期

watsonx Orchestrate 不会自定义或覆盖 MCSP 会话逻辑。 您无需进行任何设置或策略配置。

证书管理

watsonx Orchestrate 使用 SSL/TLS 证书来保护与服务端点的连接:

  • AWS 管理 watsonx Orchestrate 内部服务端点的证书

  • Akamai 负责管理面向公众的端点的证书

日志记录和监视

watsonx Orchestrate 仅记录维持服务可靠性及支持故障排查所需的信息。

类别

捕捉到了什么

记录的信息

- 系统健康状况和可靠性事件 - 运行元数据 - 用于诊断的内部标识符 - 源 IP 地址

未记录的信息

- 为保护您的隐私,日志中不包含任何客户内容或消息内容。

您的责任

watsonx Orchestrate 负责基础设施层和平台层的安全管理。 作为管理员,您负责:

  • 管理用户访问权限(添加和删除用户)

  • 使用基于角色的访问控制 (RBAC) 分配角色

  • 管理 SSO、MFA 和 IdP 策略

  • 确保使用符合 IBM 的使用条款及任何适用的服务协议