Triggerfish

हिन्दी

English (US)
English (UK)
Español (Latinoamérica)
Español (España)
Français
简体中文
繁體中文
한국어
العربية
Filipino
עברית
فارسی
Português (Brasil)
Deutsch
Italiano
日本語
Norsk
Nederlands
Svenska
اردو
ಕನ್ನಡ
मराठी
தமிழ்
Bahasa Melayu

हिन्दी

English (US)
English (UK)
Español (Latinoamérica)
Español (España)
Français
简体中文
繁體中文
한국어
العربية
Filipino
עברית
فارسی
Português (Brasil)
Deutsch
Italiano
日本語
Norsk
Nederlands
Svenska
اردو
ಕನ್ನಡ
मराठी
தமிழ்
Bahasa Melayu
← ब्लॉग

AI विक्रेता सुरक्षा मूल्यांकन: अपने डेटा के साथ भरोसा करने से पहले AI टूल का मूल्यांकन कैसे करें

·triggerfish
AI agent

एक AI विक्रेता सुरक्षा मूल्यांकन एक संरचित मूल्यांकन प्रक्रिया है जो यह निर्धारित करती है कि क्या कोई आर्टिफिशियल इंटेलिजेंस टूल या प्लेटफॉर्म किसी संगठन की सुरक्षा, अनुपालन और डेटा संरक्षण आवश्यकताओं को पूरा करता है, इससे पहले कि उस विक्रेता को संगठनात्मक डेटा तक पहुंच प्रदान की जाए या व्यावसायिक वर्कफ़्लो में एकीकृत किया जाए। यह खरीद प्रक्रिया के उस बिंदु पर अनुमान को साक्ष्य से बदल देता है जहां गलत होने के परिणाम अभी भी प्रबंधनीय हैं।

अधिकांश संगठनों के पास विक्रेता सुरक्षा मूल्यांकन प्रक्रियाएं हैं जो पारंपरिक सॉफ़्टवेयर के लिए उचित रूप से अच्छी तरह से काम करती हैं। विक्रेता एक प्रश्नावली पूरी करता है। कानूनी टीम अनुबंध की समीक्षा करती है। IT प्रमाणपत्रों की जांच करता है। टूल तैनात किया जाता है। AI विक्रेताओं के लिए, वह प्रक्रिया महत्वपूर्ण रूप से पर्याप्त चूक जाती है। AI विक्रेता संबंधों में सबसे महत्वपूर्ण जोखिमों को प्रकट करने वाले प्रश्न मानक IT विक्रेता प्रश्नावलियों पर नहीं हैं। वे मॉडल प्रशिक्षण डेटा उपयोग के बारे में, अनुमान बुनियादी ढांचे के अधिकार क्षेत्र के बारे में, बातचीत समाप्त होने पर डेटा का क्या होता है इसके बारे में, और क्या विक्रेता द्वारा प्रस्तुत किया जा रहा सुरक्षा प्रमाणन तैनात किए जा रहे विशिष्ट उत्पाद को कवर करता है या उनके बुनियादी ढांचे के पूरी तरह से अलग हिस्से को कवर करता है, इसके बारे में प्रश्न हैं। वे संगठन जो अनुबंधों पर हस्ताक्षर करने के बाद और संवेदनशील डेटा के उन प्रणालियों से बहने के बाद इन अंतरालों की खोज करते हैं जिनका उन्होंने ठीक से मूल्यांकन नहीं किया, वे ही दूसरी बार उस मूल्यांकन को अधिक सावधानी से करते हैं। यह गाइड बताती है कि एक AI विक्रेता सुरक्षा मूल्यांकन कैसे आयोजित करें जो जो मायने रखता है उसे पकड़े, कौन से साक्ष्य की मांग करें न कि कथन पर स्वीकार करें, और मूल्यांकन प्रक्रिया को एक दोहराने योग्य संगठनात्मक क्षमता में कैसे बनाएं।

AI agent

AI के लिए मानक विक्रेता मूल्यांकन क्यों कम पड़ते हैं

जेनेरिक प्रश्नावलियों द्वारा चूकी गई कमियां

मानक IT विक्रेता सुरक्षा प्रश्नावलियों को एक सॉफ़्टवेयर वातावरण के लिए विकसित किया गया था जहां प्राथमिक सुरक्षा चिंताएं डेटा भंडारण सुरक्षा, पहुंच नियंत्रण और नेटवर्क संरक्षण थीं। वे चिंताएं AI विक्रेताओं पर भी लागू होती हैं। लेकिन AI सिस्टम अतिरिक्त चिंताओं का एक सेट पेश करते हैं जिन्हें जेनेरिक प्रश्नावलियां सतह पर लाने के लिए डिज़ाइन नहीं की गई थीं और जिन्हें विक्रेता विशेष रूप से पूछे जाने पर ही स्वेच्छा से नहीं देंगे।

मॉडल प्रशिक्षण डेटा उपयोग पहली कमी है। क्या एक विक्रेता अपने उत्पाद के माध्यम से सबमिट किए गए डेटा का उपयोग अपने AI मॉडल को प्रशिक्षित या सुधारने के लिए करता है, AI टूल के माध्यम से मालिकाना या संवेदनशील जानकारी संसाधित करने वाले संगठनों के लिए सबसे महत्वपूर्ण डेटा हैंडलिंग प्रश्नों में से एक है। यह एक ऐसा प्रश्न भी है जिसे मानक विक्रेता प्रश्नावलियों में शामिल नहीं किया गया है क्योंकि पारंपरिक सॉफ़्टवेयर खरीद में इसका कोई समकक्ष नहीं है। एक डेटाबेस विक्रेता अपने उत्पाद को आपके डेटा पर प्रशिक्षित नहीं करता है। एक AI विक्रेता ऐसा कर सकता है, और क्या वे करते हैं या नहीं करते अक्सर सेवा की शर्तों की भाषा में दबा होता है बजाय प्रमुखता से प्रकट किए जाने के।

अनुमान बुनियादी ढांचे का स्थान दूसरी कमी है। जहां एक AI मॉडल भौतिक रूप से आपके डेटा को संसाधित करता है, यह निर्धारित करता है कि उस प्रसंस्करण पर कौन से कानूनी ढांचे लागू होते हैं, क्या सीमा पार डेटा हस्तांतरण तंत्र आवश्यक हैं, और किस अधिकार क्षेत्र की कानूनी प्रक्रिया उस डेटा के प्रकटीकरण को मजबूर कर सकती है। मानक विक्रेता मूल्यांकन पूछते हैं कि डेटा कहां संग्रहीत है। AI मूल्यांकन को अलग से पूछने की आवश्यकता है कि अनुमान के दौरान डेटा कहां संसाधित होता है, जो किसी अलग स्थान पर अलग बुनियादी ढांचा हो सकता है।

सुरक्षा प्रमाणपत्रों की दायरे की सीमा तीसरी कमी है। एक विक्रेता एक SOC 2 Type 2 रिपोर्ट प्रस्तुत कर सकता है जो उनके क्लाउड बुनियादी ढांचे को कवर करती है जबकि मूल्यांकन किया जा रहा विशिष्ट AI उत्पाद अलग बुनियादी ढांचे पर चलता है जो ऑडिट दायरे के भीतर नहीं है। यह सत्यापित किए बिना कि प्रस्तुत किए गए प्रमाणपत्र आपकी तैनाती के लिए प्रासंगिक विशिष्ट उत्पाद और बुनियादी ढांचे को कवर करते हैं, एक प्रमाणन समीक्षा एक तैनाती के बारे में झूठा विश्वास प्रदान कर सकती है जिसकी कभी जांच नहीं की गई।

यह समझना कि AI security मूल्यांकन आवश्यकताएं पारंपरिक विक्रेता सुरक्षा मूल्यांकन से कैसे भिन्न हैं, संगठनों को मूल्यांकन प्रक्रियाएं बनाने में मदद करता है जो वास्तविक AI जोखिम परिदृश्य को संबोधित करती हैं न कि पारंपरिक सॉफ़्टवेयर जोखिम परिदृश्य जिसके लिए वे प्रक्रियाएं मूल रूप से डिज़ाइन की गई थीं।

AI agent

AI विक्रेता सुरक्षा मूल्यांकन फ्रेमवर्क का निर्माण

पांच डोमेन जिन्हें हर मूल्यांकन को कवर करना चाहिए

एक प्रभावी AI विक्रेता सुरक्षा मूल्यांकन अपने मूल्यांकन को पांच डोमेन में व्यवस्थित करता है जो एक साथ विचार की जा रही विशिष्ट तैनाती के लिए विक्रेता की सुरक्षा स्थिति की पूरी तस्वीर प्रदान करते हैं। प्रत्येक डोमेन जोखिम के एक अलग आयाम को संबोधित करता है जिसे अन्य कवर नहीं करते हैं, यही कारण है कि वे मूल्यांकन जो एक या दो डोमेन पर ध्यान केंद्रित करते हैं और बाकी को छोड़ देते हैं, लगातार महत्वपूर्ण जोखिमों को चूक जाते हैं।

तकनीकी सुरक्षा उन बुनियादी ढांचे के नियंत्रणों को कवर करती है जो विक्रेता के AI सिस्टम द्वारा संसाधित डेटा की रक्षा करते हैं। यह वह डोमेन है जो पारंपरिक विक्रेता सुरक्षा मूल्यांकन के साथ सबसे अधिक ओवरलैप करता है और एन्क्रिप्शन मानकों, नेटवर्क सुरक्षा वास्तुकला, भेद्यता प्रबंधन प्रथाओं, घटना का पता लगाने और प्रतिक्रिया क्षमताओं, और AI वर्कलोड चलाने वाले बुनियादी ढांचे की भौतिक सुरक्षा को कवर करता है।

डेटा शासन उस चीज़ को कवर करता है जो विक्रेता अपने सिस्टम में संगठनात्मक डेटा के पूरे जीवनचक्र में करता है। इस डोमेन में प्रशिक्षण डेटा उपयोग नीतियां, अनुमान लॉग प्रतिधारण प्रथाएं, डेटा विलोपन क्षमताएं और समयरेखाएं, उप-प्रसंस्करणकर्ता संबंध और उनका डेटा एक्सेस, सीमा पार डेटा हस्तांतरण तंत्र, और उपरोक्त सभी को नियंत्रित करने वाली अनुबंधीय सुरक्षाएं शामिल हैं।

अनुपालन और प्रमाणन विक्रेता के सुरक्षा दावों के स्वतंत्र सत्यापन और उनके उत्पाद द्वारा समर्थित नियामक ढांचे को कवर करता है। इस डोमेन में विक्रेता बयानों को स्वीकार करने के बजाय विशिष्ट प्रमाणन दस्तावेजों की समीक्षा करना, प्रमाणन दायरे और मुद्रा का सत्यापन करना, आवश्यक डेटा समझौतों की उपलब्धता का आकलन करना, और आपके संगठन के लिए लागू क्षेत्र-विशिष्ट अनुपालन आवश्यकताओं के लिए समर्थन की पुष्टि करना शामिल है।

AI-विशिष्ट सुरक्षा AI सिस्टम के लिए अद्वितीय जोखिमों को कवर करती है जिनका पारंपरिक सॉफ़्टवेयर विक्रेता मूल्यांकन में कोई समकक्ष नहीं है। इस डोमेन में प्रॉम्प्ट इंजेक्शन संवेदनशीलता और शमन नियंत्रण, प्रतिकूल मजबूती परीक्षण, मॉडल निष्कर्षण सुरक्षा, तैनात किए जा रहे विशिष्ट उपयोग मामले के लिए मतिभ्रम दर और शमन दृष्टिकोण, और मॉडल अपडेट और व्यवहार परिवर्तन प्रबंधन के लिए विक्रेता का दृष्टिकोण शामिल है।

परिचालन सुरक्षा विक्रेता के विशिष्ट उत्पाद के तकनीकी नियंत्रणों के बजाय एक संगठन के रूप में विक्रेता की सुरक्षा प्रथाओं को कवर करती है। इस डोमेन में सुरक्षा टीम की संरचना और विशेषज्ञता, सुरक्षा प्रकटीकरण और भेद्यता प्रबंधन प्रथाएं, उल्लंघन अधिसूचना प्रक्रियाएं और ऐतिहासिक घटना रिकॉर्ड, और विक्रेता के AI उत्पाद के निर्भर घटकों और सेवाओं के लिए विक्रेता की अपनी आपूर्ति श्रृंखला सुरक्षा शामिल है।

मूल्यांकन डोमेनप्राथमिक प्रश्नआवश्यक साक्ष्य
तकनीकी सुरक्षाएन्क्रिप्शन मानक, नेटवर्क वास्तुकला, भेद्यता प्रबंधनSOC 2 Type 2 रिपोर्ट, पैठ परीक्षण सारांश
डेटा शासनप्रशिक्षण डेटा उपयोग, प्रतिधारण अवधि, विलोपन क्षमताएं, उप-प्रसंस्करणकर्ताअनुबंधीय शर्तें, डेटा प्रसंस्करण समझौता, उप-प्रसंस्करणकर्ता सूची
अनुपालन और प्रमाणनप्रमाणन दायरा और मुद्रा, डेटा समझौते की उपलब्धता, नियामक समर्थनवर्तमान प्रमाणन दस्तावेज़, हस्ताक्षरित DPA या BAA
AI-विशिष्ट सुरक्षाप्रॉम्प्ट इंजेक्शन नियंत्रण, प्रतिकूल मजबूती, मॉडल अपडेट प्रथाएंतकनीकी दस्तावेज़, सुरक्षा परीक्षण परिणाम
परिचालन सुरक्षासुरक्षा टीम, प्रकटीकरण प्रथाएं, घटना इतिहास, आपूर्ति श्रृंखलासुरक्षा प्रकटीकरण, घटना अधिसूचना इतिहास

साक्ष्य मानक जो मूल्यांकन को स्वीकृति से अलग करता है

AI विक्रेता सुरक्षा मूल्यांकन में सबसे महत्वपूर्ण अनुशासन कथनों को स्वीकार करने के बजाय साक्ष्य की मांग करना है। बिक्री वार्तालापों, विपणन सामग्री, और यहां तक कि विक्रेता-पूर्ण प्रश्नावलियों में किए गए विक्रेता सुरक्षा दावे स्वतंत्र रूप से सत्यापित तथ्य के बयान नहीं हैं। वे प्रतिनिधित्व हैं जिनकी सटीकता विक्रेता के अपने सुरक्षा स्थिति के मूल्यांकन और इसे अनुकूल रूप से प्रस्तुत करने के उनके वाणिज्यिक प्रोत्साहन पर निर्भर करती है।

साक्ष्य-आधारित मूल्यांकन की आवश्यकता है कि हर महत्वपूर्ण सुरक्षा दावा दस्तावेज़ीकरण द्वारा समर्थित हो जिसे एक स्वतंत्र पक्ष ने सत्यापित किया है या जिसे संगठन सीधे सत्यापित कर सकता है। एक विक्रेता जो SOC 2 अनुपालन का दावा करता है, उसे एक सारांश या बैज नहीं, बल्कि वास्तविक SOC 2 रिपोर्ट प्रस्तुत करनी चाहिए। रिपोर्ट को पढ़ा जाना चाहिए, न कि केवल प्राप्त किया जाना चाहिए, दायरे की सीमा, ऑडिट अवधि, परीक्षित विशिष्ट नियंत्रणों, और किसी भी अपवाद या नोट किए गए विचलन पर ध्यान देते हुए। एक विक्रेता जो दावा करता है कि उनका उत्पाद मॉडल प्रशिक्षण के लिए ग्राहक डेटा का उपयोग नहीं करता है, उसके पास उस निषेध को संबंध को नियंत्रित करने वाली अनुबंधीय शर्तों में दस्तावेज़ीकृत होना चाहिए, न कि केवल बिक्री वार्तालाप में कहा जाना चाहिए।

सत्यापन अनुशासन प्रमाणपत्रों तक भी फैलता है। SOC 2 ऑडिटर गुणवत्ता और कठोरता में भिन्न होते हैं। एक मान्यता प्राप्त फर्म से एक ऑडिट रिपोर्ट जिसकी प्रौद्योगिकी क्षेत्र में प्रदर्शित विशेषज्ञता है, एक अज्ञात फर्म से जिसका सीमित प्रौद्योगिकी ऑडिट इतिहास है, से अधिक मजबूत साक्ष्य प्रदान करती है। रिपोर्ट अवधि महत्वपूर्ण है क्योंकि एक बहुत छोटी ऑडिट अवधि को कवर करने वाली रिपोर्ट एक परिपक्व, निरंतर सुरक्षा कार्यक्रम के बजाय जल्दी से प्रमाणन प्राप्त करने के लिए डिज़ाइन किए गए एक पहली बार के ऑडिट को प्रतिबिंबित कर सकती है।

यह समीक्षा करना कि विक्रेताओं से AI architecture दस्तावेज़ीकरण उनके सुरक्षा नियंत्रणों का वर्णन कैसे करता है, मूल्यांकनकर्ताओं को यह मूल्यांकन करने में मदद करता है कि क्या प्रस्तुत की जा रही तकनीकी वास्तुकला सुसंगत और रक्षणीय है या क्या यह सुरक्षा को अमूर्तता के एक स्तर पर वर्णित करती है जो महत्वपूर्ण अंतराल को छिपाती है।

AI-विशिष्ट प्रश्न जो सबसे अधिक मायने रखते हैं

प्रशिक्षण डेटा उपयोग के बारे में क्या पूछें

प्रशिक्षण डेटा उपयोग प्रश्न को हां या नहीं के उत्तर से अधिक सटीकता की आवश्यकता होती है क्योंकि वे प्रथाएं जो महत्वपूर्ण जोखिम पैदा करती हैं, वे सामान्य प्रश्न द्वारा कैप्चर की गई चीज़ों से अधिक विशिष्ट हैं। एक विक्रेता जो उत्तर देता है कि वे प्रशिक्षण के लिए ग्राहक डेटा का उपयोग नहीं करते हैं, उसका मतलब प्रश्न द्वारा निहित से कुछ संकीर्ण हो सकता है।

पूछें कि क्या बातचीत सामग्री, जिसमें प्रॉम्प्ट और प्रतिक्रियाएं दोनों शामिल हैं, का उपयोग मॉडल प्रशिक्षण या फाइन-ट्यूनिंग के लिए किसी भी परिस्थिति में किया जाता है, जिसमें सेवा की शर्तों के माध्यम से प्राप्त ग्राहक सहमति शामिल है। पूछें कि क्या ग्राहक डेटा के एकत्रित या अनाम संस्करण मॉडल सुधार में योगदान करते हैं। पूछें कि क्या निषेध सभी उत्पाद स्तरों पर लागू होता है या केवल मूल्यांकन किए जा रहे उद्यम स्तर पर। पूछें कि क्या निषेध पूर्ण है या क्या इसे ग्राहक समझौते से माफ किया जा सकता है। और पूछें कि निषेध तकनीकी रूप से कैसे लागू किया जाता है, न कि केवल अनुबंधीय रूप से, क्योंकि एक अनुबंधीय निषेध जो तकनीकी रूप से लागू नहीं किया जाता है, वास्तुकला गारंटियों के बजाय पूरी तरह से विक्रेता के परिचालन अनुपालन पर निर्भर करता है।

इन विशिष्ट अनुवर्ती प्रश्नों के उत्तर अक्सर यह प्रकट करते हैं कि प्रशिक्षण डेटा उपयोग प्रथाएं प्रारंभिक विक्रेता बयानों द्वारा सुझाए गए से अधिक सूक्ष्म हैं, और उद्यम स्तर पर उपलब्ध सुरक्षा जिसका संगठन मूल्यांकन कर रहा है, मानक उत्पाद शर्तों से उन तरीकों से भिन्न हो सकती है जो मूल्यांकन किए जा रहे विशिष्ट उपयोग मामले के लिए मायने रखते हैं।

अनुमान बुनियादी ढांचे और डेटा निवास के बारे में क्या पूछें

AI सिस्टम के लिए बुनियादी ढांचे का प्रश्न अलग से पूछने की आवश्यकता है कि मॉडल वज़न कहां संग्रहीत हैं, अनुमान कम्प्यूटेशनल रूप से कहां होता है, इनपुट डेटा कहां संसाधित होता है, आउटपुट डेटा और लॉग कहां संग्रहीत हैं, और इनमें से प्रत्येक विक्रेता के बुनियादी ढांचे के बजाय तैनात किए जा रहे विशिष्ट उत्पाद स्तर के संदर्भ में कहां होता है।

डेटा निवास दायित्वों वाले संगठनों के लिए, अनुमान स्थान का प्रश्न अक्सर भंडारण स्थान के प्रश्न की तुलना में तत्काल अधिक महत्वपूर्ण होता है क्योंकि अधिकांश अधिकार क्षेत्रों में निवास आवश्यकताओं को चलाने वाले नियामक ढांचे भंडारण अधिकार क्षेत्र के बराबर प्रसंस्करण अधिकार क्षेत्र को मानते हैं। एक विक्रेता जिसका भंडारण बुनियादी ढांचा आवश्यक अधिकार क्षेत्र में स्थित है लेकिन जिसका अनुमान प्रसंस्करण कहीं और होता है, उसने भंडारण नियंत्रण पूरी तरह से अनुपालन होने पर भी निवास आवश्यकता को पूरा नहीं किया है।

विक्रेता से एक डेटा प्रवाह आरेख प्रदान करने के लिए कहें जो संगठनात्मक डेटा को सबमिशन से अनुमान, आउटपुट, लॉगिंग से लेकर विलोपन तक ट्रेस करता है, प्रत्येक चरण के भौतिक स्थान को स्पष्ट रूप से इंगित करते हुए। यदि विक्रेता इस दस्तावेज़ीकरण का उत्पादन नहीं कर सकता है, तो अपने डेटा प्रवाह की उनकी समझ में अंतराल स्वयं में एक महत्वपूर्ण सुरक्षा खोज है।

AI agent

मॉडल अपडेट और व्यवहार परिवर्तन के बारे में क्या पूछें

AI विक्रेता अपने अंतर्निहित मॉडल को ऐसे शेड्यूल पर अपडेट करते हैं जो हमेशा ग्राहकों को पहले से सूचित नहीं किए जाते हैं। एक मॉडल अपडेट एक AI सिस्टम के व्यवहार को इस तरह से बदल सकता है जो इसकी सुरक्षा स्थिति, ग्राहक की स्वीकार्य उपयोग आवश्यकताओं के साथ इसके अनुपालन, या ग्राहक द्वारा तैनात विशिष्ट उपयोग मामले के लिए इसकी आउटपुट गुणवत्ता को प्रभावित करता है।

पूछें कि विक्रेता उन मॉडल अपडेट के बारे में ग्राहकों को कैसे सूचित करता है जो सुरक्षा या अनुपालन के लिए प्रासंगिक व्यवहार को प्रभावित करते हैं। पूछें कि क्या उद्यम ग्राहकों के पास स्वचालित अपडेट प्राप्त करने के बजाय एक विशिष्ट मॉडल संस्करण पर बने रहने का विकल्प है। पूछें कि विक्रेता ग्राहक वातावरण में तैनात करने से पहले सुरक्षा प्रतिगमन के लिए मॉडल अपडेट का परीक्षण कैसे करता है। और पूछें कि ग्राहक का उपाय क्या है यदि एक मॉडल अपडेट ग्राहक की तैनाती में अनुपालन या सुरक्षा को प्रभावित करने वाले तरीकों से व्यवहार बदलता है।

उत्तर उस नियंत्रण की डिग्री प्रकट करते हैं जो संगठन के पास अपने तैनात AI सिस्टम के मूल घटक पर होगा और मॉडल जीवनचक्र में ग्राहक भागीदारी के बारे में विक्रेता का दर्शन। जिन संगठनों के तैनात AI सिस्टम विनियमित संदर्भों या उच्च-दांव वाले निर्णय समर्थन में उपयोग किए जाते हैं, उनके पास निम्न-दांव वाले उत्पादकता अनुप्रयोगों के लिए AI का उपयोग करने वालों की तुलना में मॉडल स्थिरता और अपडेट अधिसूचना में मजबूत हित होते हैं।

अनुबंधीय सुरक्षाएं जो मूल्यांकन को स्थापित करनी चाहिए

समझौते जो डेटा प्रवाहित होने से पहले होने चाहिए

एक AI विक्रेता सुरक्षा मूल्यांकन का अनुबंधीय चरण तकनीकी और शासन निष्कर्षों को कानूनी रूप से लागू करने योग्य सुरक्षा में अनुवाद करता है। तकनीकी नियंत्रण विक्रेता के बुनियादी ढांचे पर डेटा की रक्षा करते हैं। अनुबंधीय सुरक्षाएं उन कानूनी दायित्वों को परिभाषित करती हैं जो उस बुनियादी ढांचे को कैसे संचालित किया जाता है इसे नियंत्रित करते हैं और जब दायित्व पूरे नहीं होते हैं तो संगठन के पास क्या उपचार होते हैं।

तैनात किए जा रहे विशिष्ट AI उत्पाद को कवर करने वाला एक डेटा प्रसंस्करण समझौता GDPR, CCPA, या समकक्ष ढांचे के अधीन व्यक्तिगत डेटा को संसाधित करने वाले किसी भी विक्रेता के लिए आधारभूत अनुबंधीय आवश्यकता है। DPA को प्रशिक्षण डेटा निषेध, श्रेणी द्वारा डेटा प्रतिधारण सीमाएं, उप-प्रसंस्करणकर्ता प्रबंधन दायित्वों, डेटा विलोपन समयरेखाओं, और उल्लंघन अधिसूचना आवश्यकताओं को स्पष्ट रूप से संबोधित करने की आवश्यकता है। एक विक्रेता DPA टेम्पलेट जिसे सामान्य क्लाउड सेवाओं के लिए तैयार किया गया था, मूल्यांकन ने प्रासंगिक के रूप में पहचाने गए AI-विशिष्ट विचारों को पर्याप्त रूप से संबोधित नहीं कर सकता है।

स्वास्थ्य सेवा संगठनों के लिए, एक बिजनेस एसोसिएट एग्रीमेंट किसी भी डेटा से पहले एक कानूनी पूर्व-आवश्यकता है जो विक्रेता के AI सिस्टम के माध्यम से संरक्षित स्वास्थ्य जानकारी का गठन कर सकता है। BAA को तैनात किए जा रहे विशिष्ट उत्पाद को कवर करने की आवश्यकता है, न कि केवल विक्रेता के बुनियादी ढांचे को सामान्य रूप से, और पुष्टि करनी चाहिए कि AI उत्पाद की डेटा हैंडलिंग प्रथाएं HIPAA तकनीकी सुरक्षा आवश्यकताओं के अनुरूप हैं।

यह समझना कि उद्यम AI प्लेटफार्मों में AI features को बातचीत की जा रही अनुबंधीय सुरक्षा के संबंध में कैसे संरचित किया गया है, संगठनों को यह पहचानने में मदद करता है कि उत्पाद व्यवहार और अनुबंधीय शर्तें कहां सुसंगत हैं और जहां उत्पाद तकनीकी वास्तविकता संगठन द्वारा आवश्यक सुरक्षा प्राप्त करने के लिए अतिरिक्त अनुबंधीय विशिष्टता की आवश्यकता होती है।

आवश्यक समझौताकब लागू होता हैAI के लिए महत्वपूर्ण शर्तें
डेटा प्रसंस्करण समझौताGDPR या समकक्ष के तहत किसी भी व्यक्तिगत डेटा का प्रसंस्करणप्रशिक्षण डेटा निषेध, प्रतिधारण सीमाएं, उप-प्रसंस्करणकर्ता सूची
बिजनेस एसोसिएट एग्रीमेंटHIPAA के तहत किसी भी PHI का प्रसंस्करणउत्पाद-विशिष्ट कवरेज, तकनीकी सुरक्षा पुष्टि
मास्टर सेवा समझौतासभी वाणिज्यिक विक्रेता संबंधदायित्व आवंटन, उल्लंघन उपचार, समाप्ति डेटा वापसी
सुरक्षा परिशिष्टउच्च-संवेदनशीलता डेटा प्रसंस्करण संदर्भमानक शर्तों से परे विशिष्ट सुरक्षा दायित्व
मॉडल जोखिम दस्तावेज़ीकरणविनियमित वित्तीय गतिविधियों में AIमॉडल दस्तावेज़ीकरण, सत्यापन अधिकार, अपडेट अधिसूचना
गैर-प्रकटीकरण समझौतामूल्यांकन प्रक्रिया स्वयं और संवेदनशील निष्कर्षमूल्यांकन पद्धति और संगठनात्मक आवश्यकताओं को कवर करने वाला दायरा

मानक शर्तों से परे बातचीत

अधिकांश उद्यम AI विक्रेता समझौते विक्रेता का पक्ष लेने के लिए तैयार की गई मानक शर्तों के साथ शुरू होते हैं। मूल्यांकन प्रक्रिया को संगठन के सुरक्षा निष्कर्षों और अनुपालन आवश्यकताओं के आधार पर संशोधन की आवश्यकता वाली विशिष्ट शर्तों की पहचान करनी चाहिए, बजाय प्राथमिकता के बिना अपनी संपूर्णता में मानक शर्तों के खिलाफ बातचीत करने के।

बातचीत के लिए सबसे अधिक प्राथमिकता वाली शर्तें वे हैं जो मूल्यांकन द्वारा पहचाने गए सुरक्षा और अनुपालन जोखिमों को सबसे सीधे प्रभावित करती हैं। प्रशिक्षण डेटा उपयोग खंड जो उस उपयोग की अनुमति देते हैं जिसे संगठन को निषिद्ध करने की आवश्यकता है। दायित्व सीमाएं जो संसाधित किए जा रहे डेटा श्रेणियों के लिए अपर्याप्त हैं। उल्लंघन अधिसूचना समय-सीमाएं जो नियामक आवश्यकताओं को पूरा नहीं करती हैं। उप-प्रसंस्करणकर्ता अनुमोदन अधिकार जो विक्रेता को संगठन की अनुपालन आवश्यकताओं द्वारा समायोजित किए जा सकने वाले से अधिक अपने बुनियादी ढांचे को बदलने की लचीलापन देते हैं।

महत्वपूर्ण खरीद लाभ वाले संगठन, चाहे डील आकार, ब्रांड मूल्य, या बाजार स्थिति के माध्यम से, अक्सर ठीक इन बिंदुओं पर मानक AI विक्रेता शर्तों में महत्वपूर्ण सुधार प्राप्त करते हैं क्योंकि विक्रेता संबंध को पर्याप्त रूप से महत्व देते हैं कि वे अपने मानक टेम्पलेट से परे जाने वाली आवश्यकताओं को समायोजित कर सकें। सीमित लाभ वाले संगठन कभी-कभी प्राथमिकता के बजाय नियामक आवश्यकता के संदर्भ में आवश्यकताओं को तैयार करके वही परिणाम प्राप्त कर सकते हैं, क्योंकि विक्रेताओं के अनुपालन तैनाती का समर्थन करने में वाणिज्यिक हित हैं जो किसी भी व्यक्तिगत ग्राहक संबंध से परे फैले हुए हैं।

सुरक्षा और अनुपालन के लिए AI विक्रेता समझौतों को संरचित करने पर एक संपूर्ण AI guide संगठनों को बातचीत के ढांचे बनाने में मदद करता है जो उन शर्तों को प्राथमिकता देते हैं जो उनके वास्तविक जोखिम जोखिम को सबसे अधिक प्रभावित करती हैं बजाय हर खंड को समान तीव्रता के साथ बातचीत करने का प्रयास करने के।

मूल्यांकन को एक दोहराने योग्य प्रक्रिया में बनाना

मूल्यांकन वर्कफ़्लो जो स्केल करता है

जो संगठन AI विक्रेता सुरक्षा मूल्यांकन को प्रत्येक महत्वपूर्ण AI खरीद के लिए एकमुश्त परियोजनाओं के रूप में संचालित करते हैं, वे संस्थागत ज्ञान का निर्माण करते हैं जो बाद के मूल्यांकन में कुशलता से स्थानांतरित नहीं होता है। जो संगठन मूल्यांकन को प्रलेखित पद्धति, मानक साक्ष्य टेम्पलेट्स, और परिभाषित निर्णय मानदंडों के साथ एक दोहराने योग्य प्रक्रिया के रूप में बनाते हैं, वे एक क्षमता विकसित करते हैं जो प्रत्येक मूल्यांकन को पिछले की तुलना में तेज़ और अधिक सुसंगत बनाती है।

एक दोहराने योग्य AI विक्रेता सुरक्षा मूल्यांकन प्रक्रिया में पांच मूल्यांकन डोमेन को कवर करने वाली AI विक्रेताओं के लिए विशेष रूप से विकसित एक मानकीकृत प्रश्नावली, एक दस्तावेज़ अनुरोध सूची जो प्रत्येक प्रमुख सुरक्षा दावे के लिए आवश्यक सटीक साक्ष्य निर्दिष्ट करती है, एक स्कोरिंग या निर्णय ढांचा जो मूल्यांकन निष्कर्षों को तैनाती सिफारिशों में अनुवाद करता है, एक समीक्षा प्रक्रिया जिसमें सुरक्षा, कानूनी, अनुपालन, और व्यवसाय कार्यों में सही हितधारक शामिल हैं, और एक दस्तावेज़ीकरण मानक जो आंतरिक शासन और बाहरी नियामक परीक्षा दोनों के लिए उपयोगी रिकॉर्ड तैयार करता है शामिल है।

प्रश्नावली और दस्तावेज़ अनुरोध सूची की समीक्षा की जानी चाहिए और कम से कम सालाना अपडेट की जानी चाहिए ताकि विक्रेता परिदृश्य, नियामक वातावरण, और संगठन के अपने तैनाती अनुभव से उभरे नए AI-विशिष्ट सुरक्षा विचारों को शामिल किया जा सके। मूल्यांकन उपकरण जो बारह महीने पहले व्यापक था, आज महत्वपूर्ण अंतराल हो सकता है क्योंकि AI सुरक्षा खतरा परिदृश्य और इसके आसपास की नियामक अपेक्षाएं विकसित होती रहती हैं।

प्रारंभिक खरीद से परे चल रहा मूल्यांकन

खरीद के समय आयोजित एक AI विक्रेता सुरक्षा मूल्यांकन विक्रेता की सुरक्षा स्थिति का एक समय-बिंदु मूल्यांकन प्रदान करता है। यह यह चल रहा आश्वासन प्रदान नहीं करता है कि जैसे-जैसे विक्रेता का उत्पाद विकसित होता है, उनका बुनियादी ढांचा बदलता है, उनका स्वामित्व या वित्तीय स्थिति बदलती है, या उनके प्रौद्योगिकी स्टैक में नई सुरक्षा कमजोरियां उभरती हैं, स्थिति पर्याप्त रहती है।

महत्वपूर्ण AI विक्रेताओं के लिए चल रहे मूल्यांकन में अपडेट किए गए प्रमाणपत्रों और सुरक्षा दस्तावेज़ीकरण की वार्षिक समीक्षा, विक्रेता से किसी भी सुरक्षा घटना प्रकटीकरण या उल्लंघन अधिसूचनाओं की समीक्षा, विक्रेता की सेवा की शर्तों या गोपनीयता नीतियों में महत्वपूर्ण परिवर्तनों का मूल्यांकन जो प्रारंभिक मूल्यांकन द्वारा मूल्यांकन की गई डेटा हैंडलिंग प्रथाओं को प्रभावित करते हैं, और विक्रेता के AI उत्पाद, बुनियादी ढांचे, या स्वामित्व में किसी भी महत्वपूर्ण परिवर्तन की समीक्षा शामिल होनी चाहिए जो प्रारंभिक मूल्यांकन के अंतर्निहित सुरक्षा मान्यताओं को प्रभावित कर सकती है।

जो संगठन AI विक्रेता सुरक्षा मूल्यांकन को एक चल रहे संबंध प्रबंधन अभ्यास के बजाय एक खरीद चेकपॉइंट के रूप में मानते हैं, वे अपनी प्रलेखित सुरक्षा मान्यताओं और वास्तविक विक्रेता सुरक्षा स्थिति के बीच क्रमिक बहाव को संचित करते हैं जो घटना खोज को सक्रिय निगरानी की तुलना में इतना महंगा बनाता है।

जानने योग्य बातें

AI विक्रेता सुरक्षा मूल्यांकन के बारे में कई महत्वपूर्ण वास्तविकताएं जो संगठन अपने कार्यक्रमों के परिपक्व होने पर लगातार सामना करते हैं:

मूल्यांकन का दायरा तैनाती दायरे से ठीक से मेल खाना चाहिए। एक विक्रेता के उद्यम API को कवर करने वाला एक सुरक्षा मूल्यांकन विक्रेता के उपभोक्ता उत्पाद के बारे में आश्वासन प्रदान नहीं करता है। एक विक्रेता के टेक्स्ट जनरेशन उत्पाद को कवर करने वाला एक मूल्यांकन उनके इमेज जनरेशन उत्पाद को कवर नहीं करता है भले ही दोनों एक ही ब्रांड नाम धारण करते हों। मूल्यांकन किए जा रहे विशिष्ट उत्पाद, स्तर, और तैनाती कॉन्फ़िगरेशन को परिभाषित करें और पुष्टि करें कि समीक्षित प्रत्येक प्रमाणन और अनुबंधीय सुरक्षा उस विशिष्ट दायरे को कवर करती है।

संदर्भ ग्राहक बातचीत दस्तावेज़ समीक्षा को उन तरीकों से पूरक करती है जो दस्तावेज़ीकरण दोहरा नहीं सकता है। समान आकार, उद्योग, और नियामक प्रोफ़ाइल के संगठनों के साथ बात करना जिन्होंने उसी विक्रेता के AI उत्पाद को तैनात किया है, विक्रेता प्रतिक्रियात्मकता, दस्तावेज़ीकृत बनाम वास्तविक डेटा हैंडलिंग प्रथाओं, और विक्रेता संबंध संचालित करने के व्यावहारिक अनुभव में गुणात्मक अंतर्दृष्टि प्रदान करता है जिसे कोई दस्तावेज़ समीक्षा कैप्चर नहीं करती है।

विक्रेता वित्तीय स्थिरता एक वैध सुरक्षा मूल्यांकन आयाम है। एक AI विक्रेता जो परिचालन बंद कर देता है, डेटा पोर्टेबिलिटी, विलोपन, और ऑडिट ट्रेल चुनौतियां बनाता है जो अनुपालन समस्याएं बन सकती हैं। विक्रेता के वित्तीय स्वास्थ्य, फंडिंग रनवे, और बाजार स्थिति का आकलन करना महत्वपूर्ण उत्पादन तैनाती के लिए विचार किए जा रहे AI विक्रेताओं के लिए उपयुक्त है, विशेष रूप से वे जहां निकाला गया या प्रशिक्षित डेटा चल रही निर्भरताएं बनाता है।

30% सिद्धांत मूल्यांकन प्रयास आवंटन पर लागू होता है। लगभग 30% मूल्यांकन प्रयास तकनीकी सुरक्षा डोमेन में जाना चाहिए जिसमें मूल्यांकन प्रक्रियाएं इसके वास्तविक जोखिम योगदान के सापेक्ष सबसे आम तौर पर अधिक निवेश करती हैं। शेष 70% डेटा शासन, अनुबंधीय सुरक्षा, AI-विशिष्ट जोखिम, और परिचालन सुरक्षा आयामों को कवर करना चाहिए जो उन विक्रेताओं के बीच सबसे महत्वपूर्ण भेदभाव प्रकट करते हैं जिनके प्रमाणपत्र सतह पर समान दिखते हैं।

मूल्यांकन निष्कर्षों को व्यापार हितधारकों को तकनीकी भाषा के बजाय जोखिम शब्दों में संप्रेषित करने की आवश्यकता है। एक खोज कि एक विक्रेता का SOC 2 ऑडिट दायरा AI अनुमान बुनियादी ढांचे को बाहर करता है, तकनीकी रूप से सटीक है लेकिन व्यापार जोखिम शब्दों में अनुवाद के बिना व्यापार निर्णय-निर्माताओं के लिए कार्यान्वयन योग्य नहीं है। यह खोज कि विक्रेता ने उन सिस्टमों की सुरक्षा को स्वतंत्र रूप से सत्यापित नहीं किया है जो आपके सबसे संवेदनशील डेटा को संसाधित करेंगे, उस भाषा में वही खोज है जो निर्णयों का उत्पादन करती है।

पुनर्मूल्यांकन ट्रिगर पहले से परिभाषित करने की आवश्यकता है। विशिष्ट घटनाएं जिन्हें एक नया या आंशिक AI विक्रेता सुरक्षा मूल्यांकन शुरू करना चाहिए, जिसमें महत्वपूर्ण विक्रेता घटनाएं, सेवा की शर्तों में महत्वपूर्ण परिवर्तन, विक्रेता अधिग्रहण या स्वामित्व परिवर्तन, और महत्वपूर्ण उत्पाद वास्तुकला परिवर्तन शामिल हैं, उन घटनाओं के होने पर तदर्थ निर्धारित होने के बजाय मूल्यांकन प्रक्रिया में परिभाषित होनी चाहिए।

प्रतिस्पर्धी चयन उपकरण के रूप में AI विक्रेता सुरक्षा मूल्यांकन

जो संगठन संपूर्ण AI विक्रेता सुरक्षा मूल्यांकन करते हैं, वे लगातार पाते हैं कि प्रक्रिया अस्वीकार्य विक्रेताओं की पहचान करने से अधिक करती है। यह उन विक्रेताओं के बीच महत्वपूर्ण भेदभाव प्रकट करती है जिनके प्रमाणपत्र और विपणन समान दिखते हैं लेकिन जिनकी वास्तविक सुरक्षा प्रथाएं कथन के बजाय साक्ष्य के स्तर पर जांच किए जाने पर महत्वपूर्ण रूप से भिन्न होती हैं।

वह भेदभाव अपने जोखिम प्रबंधन मूल्य से परे वाणिज्यिक रूप से उपयोगी है। विक्रेता जो वास्तविक सुरक्षा बुनियादी ढांचे में निवेश करते हैं, वर्तमान और व्यापक प्रमाणपत्र बनाए रखते हैं, पारदर्शी डेटा हैंडलिंग प्रथाओं का संचालन करते हैं, और विनियमित संगठनों द्वारा आवश्यक अनुबंधीय सुरक्षाओं का समर्थन करते हैं, उन्होंने सुरक्षा को अनुपालन लागत के बजाय एक प्रतिस्पर्धी संपत्ति बनाया है। कठोर मूल्यांकन के माध्यम से उन विक्रेताओं की पहचान करना और उनके साथ स्थायी संबंध बनाना खरीद परिणाम उत्पन्न करता है जो मूल्य में संयोजित होते हैं क्योंकि AI टूल परिदृश्य विकसित होता रहता है और सुरक्षा आवश्यकताएं कड़ी होती रहती हैं।

AI विक्रेता सुरक्षा मूल्यांकन वह जगह है जहां जिम्मेदार AI अपनाने की प्रतिबद्धता उस डेटा पर भरोसा करने के लिए परिचालन वास्तविकता से मिलती है जो सबसे अधिक मायने रखता है। जो संगठन उस काम को पूरी तरह से, लगातार, और इसके योग्य साक्ष्य मानकों के साथ करते हैं, वे विक्रेता संबंध बनाते हैं जो उनकी AI महत्वाकांक्षाओं का समर्थन करते हैं बजाय अपर्याप्त मूल्यांकन द्वारा अनिवार्य रूप से छोड़ी गई अनदेखी देनदारियों को बनाने के।

अक्सर पूछे जाने वाले प्रश्न

AI विक्रेताओं का मूल्यांकन कैसे करें?

AI विक्रेताओं का मूल्यांकन करने के लिए पांच डोमेन में एक संरचित मूल्यांकन की आवश्यकता है: वर्तमान प्रमाणन दस्तावेजों के माध्यम से सत्यापित तकनीकी सुरक्षा नियंत्रण, अनुबंधीय शर्तों के माध्यम से सत्यापित प्रशिक्षण डेटा उपयोग और प्रतिधारण को कवर करने वाली डेटा शासन प्रथाएं, विक्रेता बयानों के बजाय वास्तविक रिपोर्ट्स के माध्यम से सत्यापित अनुपालन प्रमाणन दायरा और मुद्रा, प्रॉम्प्ट इंजेक्शन नियंत्रण और मॉडल अपडेट प्रथाओं सहित AI-विशिष्ट सुरक्षा विचार, और विक्रेता की संगठनात्मक सुरक्षा प्रथाओं और घटना इतिहास को कवर करने वाली परिचालन सुरक्षा। मूल्यांकन विक्रेता कथनों के बजाय साक्ष्य के आधार पर तैनाती निर्णय उत्पन्न करता है, जिसमें विक्रेता के सिस्टम के माध्यम से कोई भी संगठनात्मक डेटा प्रवाहित होने से पहले अनुबंधीय सुरक्षा स्थापित की जाती है।

AI का उपयोग करके सुरक्षा मूल्यांकन क्या है?

AI का उपयोग करके सुरक्षा मूल्यांकन सुरक्षा मूल्यांकन प्रक्रियाओं की दक्षता और कवरेज में सुधार करने के लिए आर्टिफिशियल इंटेलिजेंस टूल के अनुप्रयोग को संदर्भित करता है, जिसमें सुरक्षा-प्रासंगिक खंडों के लिए विक्रेता दस्तावेज़ीकरण का विश्लेषण करने के लिए AI का उपयोग करना, कई विक्रेता प्रस्तुतियों में प्रश्नावली प्रतिक्रिया विश्लेषण को स्वचालित करना, विक्रेता सुरक्षा प्रकटीकरणों और घटना अधिसूचनाओं की लगातार निगरानी करना, और विक्रेता सुरक्षा स्थिति डेटा में पैटर्न की पहचान करना जिन्हें मैन्युअल समीक्षा प्रक्रियाएं चूक जाएंगी शामिल हैं। यह AI विक्रेता सुरक्षा मूल्यांकन से अलग है, जो AI टूल की स्वयं सुरक्षा का मूल्यांकन करता है, हालांकि परिपक्व सुरक्षा कार्यक्रमों वाले संगठन अपनी AI विक्रेता मूल्यांकन प्रक्रियाओं और अपनी व्यापक सुरक्षा मूल्यांकन क्षमताओं दोनों को बढ़ाने के लिए तेजी से AI का उपयोग कर रहे हैं।

विक्रेता सुरक्षा मूल्यांकन क्या है?

विक्रेता सुरक्षा मूल्यांकन एक तृतीय-पक्ष प्रौद्योगिकी प्रदाता के सुरक्षा नियंत्रणों, डेटा हैंडलिंग प्रथाओं, अनुपालन प्रमाणपत्रों, और अनुबंधीय सुरक्षाओं का एक संरचित मूल्यांकन है, इससे पहले कि उस विक्रेता को संगठनात्मक डेटा तक पहुंच प्रदान की जाए या व्यवसाय प्रणालियों में एकीकृत किया जाए। विशेष रूप से AI विक्रेताओं के लिए, मूल्यांकन प्रशिक्षण डेटा उपयोग, अनुमान बुनियादी ढांचे के अधिकार क्षेत्र, मॉडल अपडेट प्रथाओं, और AI-विशिष्ट हमले की सतहों के AI-विशिष्ट जोखिमों को संबोधित करने के लिए पारंपरिक विक्रेता सुरक्षा मूल्यांकन से परे फैलता है जिन्हें मानक IT विक्रेता प्रश्नावलियों को सतह पर लाने के लिए डिज़ाइन नहीं किया गया था।

यह सुनिश्चित करने के लिए कि एक AI आपूर्तिकर्ता सुरक्षित है, क्या उपाय किए जा सकते हैं?

यह सुनिश्चित करने के लिए पांच सबसे महत्वपूर्ण उपाय कि एक AI आपूर्तिकर्ता सुरक्षित है, तैनात किए जा रहे विशिष्ट उत्पाद और बुनियादी ढांचे को कवर करने वाले वर्तमान SOC 2 Type 2 या समकक्ष प्रमाणन दस्तावेजों की आवश्यकता है, किसी भी संगठनात्मक डेटा को संसाधित किए जाने से पहले स्पष्ट प्रशिक्षण डेटा निषेधों और परिभाषित प्रतिधारण सीमाओं के साथ हस्ताक्षरित डेटा प्रसंस्करण समझौते प्राप्त करना, यह सत्यापित करना कि अनुमान बुनियादी ढांचा उन अधिकार क्षेत्रों में स्थित है जो लागू डेटा निवास आवश्यकताओं को पूरा करते हैं, अनुबंधीय शर्तों और तकनीकी दस्तावेज़ीकरण के माध्यम से पुष्टि करना कि विक्रेता के सुरक्षा नियंत्रण प्रॉम्प्ट इंजेक्शन और मॉडल निष्कर्षण सहित AI-विशिष्ट जोखिमों को संबोधित करते हैं, और एक चल रहे विक्रेता निगरानी प्रक्रिया स्थापित करना जो एक परिभाषित वार्षिक चक्र पर प्रमाणन नवीनीकरण, घटना प्रकटीकरण, और सेवा की शर्तों में महत्वपूर्ण परिवर्तनों की समीक्षा करती है। साथ में ये उपाय AI आपूर्तिकर्ता के साथ एक सुरक्षा संबंध बनाते हैं जो असत्यापित कथनों और अनुमानित अच्छे विश्वास के बजाय सत्यापित साक्ष्य और लागू करने योग्य दायित्वों पर आधारित है।

5 सुरक्षा उपाय क्या हैं?

AI विक्रेता संबंधों में लागू होने वाले पांच मूलभूत सुरक्षा उपाय प्रलेखित कुंजी प्रबंधन प्रथाओं के साथ वर्तमान मानकों का उपयोग करके पारगमन में और आराम में डेटा का एन्क्रिप्शन हैं, पहुंच नियंत्रण जो सीमित करते हैं कि विक्रेता संगठन में कौन और किन परिस्थितियों में संगठनात्मक डेटा तक पहुंच सकता है, सभी डेटा पहुंच और प्रसंस्करण घटनाओं की व्यापक लॉगिंग जिसमें घटना जांच का समर्थन करने वाली प्रतिधारण अवधि शामिल है, नियमित सुरक्षा परीक्षण और पहचानी गई कमजोरियों के लिए परिभाषित उपचार समयरेखाओं सहित भेद्यता प्रबंधन प्रथाएं, और उल्लंघन अधिसूचना प्रक्रियाएं जो विक्रेता को संगठन के नियामक अधिसूचना दायित्वों को पूरा करने वाली विशिष्ट समयरेखाओं के साथ समय पर प्रकटीकरण के लिए प्रतिबद्ध करती हैं। ये पांच उपाय तकनीकी सुरक्षा आधार रेखा का प्रतिनिधित्व करते हैं जिसे महत्वपूर्ण डेटा प्रसंस्करण जिम्मेदारियों के लिए मूल्यांकन किए जा रहे प्रत्येक AI विक्रेता के लिए साक्ष्य के माध्यम से सत्यापित किया जाना चाहिए, इस पारंपरिक सुरक्षा नींव के शीर्ष पर परतदार AI-विशिष्ट मूल्यांकन आयामों के साथ।