Aralin 1Mga kontrol sa access at role-based permissions, least privilege, monitoring ng privileged accessIpinaliliwanag ng seksyong ito kung paano magdisenyo ng mga kontrol sa access at role-based permissions para sa mga system ng AI, ipatupad ang least privilege, at i-monitor ang privileged access upang manatiling mahigpit na pinamumunuan ang sensitibong data at administrative functions.
Defining AI-specific roles and permissionsImplementing least privilege for AI adminsStrong authentication for privileged usersSession recording and just-in-time accessPeriodic access review and recertificationAralin 2Logging, audit trails, at immutable logging para sa mga tala ng access sa data at query ng modelTinatakpan ng seksyong ito ang mga estratehiya sa logging para sa mga system ng AI, kabilang ang detalyadong audit trails at immutable logs para sa access sa data at mga tala ng query ng model, na nagbibigay-daan sa mga imbestigasyon, accountability, at ebidensya para sa mga regulatory o panloob na review.
Defining AI logging scope and granularityCapturing user, admin, and system actionsImmutable logging and tamper resistanceLog minimization and pseudonymizationLog review, alerting, and investigationsAralin 3Data minimization at pre-processing: mga teknika para mabawasan ang PII bago ipadala sa LLMIpinaliliwanag ng seksyong ito ang mga teknika sa data minimization at pre-processing na nagbabawas ng personal na data bago ipadala sa mga model ng AI, gamit ang redaction, aggregation, at transformation upang mabawasan ang panganib habang pinapanatili ang utility para sa mga use case ng negosyo.
Identifying unnecessary personal data fieldsRedaction and masking of free-text inputsAggregation and generalization techniquesEdge preprocessing before API submissionBalancing utility with minimization dutiesAralin 4Input filtering at prompt engineering: pagbubura ng sensitibong data, pattern-based scrubbing, NLP-based classifiersNakatuon ang seksyong ito sa input filtering at prompt engineering upang alisin ang sensitibong data bago ang pagproseso, gamit ang pattern-based scrubbing at NLP classifiers upang makita ang mapanganib na nilalaman at ipatupad ang mga patakaran ng organisasyon sa boundary.
Pattern-based scrubbing of identifiersNLP classifiers for sensitive categoriesPrompt templates that avoid PII captureReal-time input validation and blockingUser guidance and consent at input timeAralin 5Pamamahala: integrasyon ng DPIA, Data Processing Agreements (DPAs), mga update sa tala at change controlInilalarawan ng seksyong ito ang mga istraktura ng pamamahala para sa AI, kabilang ang integrasyon ng DPIAs, pamamahala ng Data Processing Agreements, at pagpapanatili ng mga tala at change control upang manatiling transparent, nasuriin, at sumusunod ang mga pagbabago sa system.
When and how to run AI-focused DPIAsKey DPA clauses for AI processingMaintaining records of processing for AIChange control for models and datasetsGovernance forums and approval workflowsAralin 6Mga diskarte sa pseudonymization at tokenization para sa free-text data at structured fieldsGalugarin ng seksyong ito ang mga estratehiya sa pseudonymization at tokenization para sa free-text at structured data, na nagpapakita kung paano palitan ang mga identifier ng reversible o irreversible na token habang pinamamahalaan ang mga panganib sa re-identification at paghihiwalay ng key.
Pseudonymization versus anonymization limitsTokenization for structured identifiersHandling names and IDs in free-text dataKey and token vault management controlsRe-identification risk assessment methodsAralin 7Output filtering at post-processing: detection ng sensitivity, detection ng hallucination, confidence scoringTinatakpan ng seksyong ito ang mga mekanismo na sinusuri at ina-adjust ang mga output ng AI upang makita ang sensitibong data, makilala ang mga hallucination, at maglagay ng confidence scoring upang ma-block, i-flag, o i-route para sa review ang mga mapanganib na tugon bago makarating sa mga end user.
Detecting personal and sensitive data in model outputsHallucination detection rules and model ensemblesDesigning confidence scores and thresholdsHuman review workflows for risky responsesUser feedback loops to refine output filtersAralin 8Mga patakaran sa pagtago, automated deletion, at pagkakahanay ng pagtago ng backup sa limitasyon ng layuninIpinaliliwanag ng seksyong ito kung paano maglimi ng mga iskedyul ng pagtago para sa data ng AI, i-configure ang automated deletion, at i-align ang mga backup sa limitasyon ng layunin upang hindi mapagtago nang mas matagal kaysa kinakailangan o magamit nang hindi tugma ang training data, logs, at prompts.
Mapping data categories to retention periodsAutomated deletion of prompts and logsBackup retention and restore testingHandling legal holds and exceptionsDocumenting retention decisions for auditsAralin 9Sandboxing at rate-limiting ng API calls; throttling, request validation, at queuingIpinaliliwanag ng seksyong ito kung paano i-isolate ang mga serbisyo ng AI, kontrolin ang dami ng trapiko, at i-validate ang mga paparating na request gamit ang sandboxing, rate limits, throttling, at queuing upang manatiling matatag, ligtas, at lumalaban sa abuse o denial-of-service ang mga system.
Designing API rate limits and burst controlsSandbox environments for testing AI featuresRequest validation and schema enforcementQueueing strategies for high-volume workloadsAbuse detection and automated blocking rulesAralin 10Due diligence sa vendor: security questionnaires, SOC/ISO reports, mga kinakailangan sa penetration testIdinetalye ng seksyong ito kung paano suriin ang mga vendor ng AI gamit ang structured na due diligence, kabilang ang mga security questionnaire, SOC at ISO reports, at mga kinakailangan sa penetration testing, na tinitiyak na sumusunod ang mga processor sa legal, seguridad, at resilience expectations.
Building AI-specific security questionnairesReviewing SOC 2, ISO 27001, and similar reportsPenetration testing scope for AI integrationsAssessing data residency and subcontractorsOngoing vendor monitoring and reassessmentAralin 11Mga operational na hakbang: pagsasanay ng staff, privacy-by-design, incident response playbooks, mga pamamaraan sa notification ng breachNakatuon ang seksyong ito sa mga operational na proteksyon tulad ng pagsasanay ng staff, privacy-by-design practices, incident response playbooks, at mga pamamaraan sa notification ng breach na tinitiyak na manatiling sumusunod, matibay, at maayos na nadodokumento ang mga operasyon ng AI.
AI-specific security and privacy trainingEmbedding privacy by design in AI projectsIncident detection and triage for AI systemsAI incident response and communication plansBreach notification timelines and contentAralin 12Encryption sa transit at at rest; key management at envelope encryption para sa mga input/output ng modelTinatakpan ng seksyong ito ang encryption sa transit at at rest para sa data ng AI, kabilang ang key management at envelope encryption patterns na nagpoprotekta sa prompts, outputs, at logs habang sumusuporta sa access control, rotation, at regulatory expectations.
TLS configuration for AI APIs and servicesDisk, database, and object storage encryptionEnvelope encryption for prompts and outputsKey lifecycle, rotation, and segregationHSMs and cloud KMS integration options
