אמון · אבטחה ובקרות

אבטחה ובקרות למערכות אוטומציה מבוססות-AI.

תפעול B2B מבוסס על אמון. לפני שאוטומציה נוגעת ב-CRM, בחיוב או בתקשורת מול לקוחות, אתם צריכים לדעת בדיוק למה היא יכולה לגשת, מה היא מחליטה בעצמה, ומה תמיד ממתין להחלטת אדם. העמוד הזה מתעד את הבקרות שאנחנו בונים בכל פרויקט.

בשליטה כברירת מחדל. גישה לפי הרשאות מינימליות, שערי אישור אנושי לפעולות בעלות השפעה גבוהה, יומני ביקורת מלאים, ומתג עצירה מתועד בכל תהליך פעיל.

מודל הבקרה

תשע בקרות מאחורי כל אוטומציה.

עקרונות גישה לנתונים

כל אוטומציה פועלת לפי הרשאות מינימליות. מערכת יכולה לקרוא ולכתוב רק את הרשומות והשדות שהיא צריכה כדי לבצע את תפקידה — לא רחב מזה.

ההיקף מוגדר לכל תהליך, לא לכל פלטפורמה — קריאה בלבד היכן שאין צורך בכתיבה
גישה ברמת השדה היכן שהכלי תומך בכך (למשל, סוכן ניתוב לידים לעולם לא נוגע בשדות פיננסיים)
הגישה מתועדת במפרט הבנייה ונבדקת לפני העלייה לאוויר
אישורי גישה נשמרים במנהל סודות (secrets manager), לעולם לא מקודדים קשיח ולא משותפים בטקסט גלוי

שערי אישור אנושי

פעולות בעלות השפעה גבוהה עוצרות וממתינות לאדם. האוטומציה מכינה את העבודה; אדם מאשר אותה לפני שמתרחש דבר בלתי הפיך.

ספי אישור הניתנים להגדרה (ערך, רמת סיכון, דרגת לקוח, ציון ביטחון)
טיוטה-ובדיקה כברירת מחדל לכל תקשורת יוצאת ללקוחות
אישור מפורש נדרש לפני מחיקה, עדכונים גורפים, החזרים כספיים או פעולות חוזיות
אירועי אישור נרשמים עם המאשר, חותמת הזמן והמטען המדויק שאושר

יומני ביקורת

כל פעולה משמעותית שאוטומציה מבצעת נרשמת, כך שתוכלו לשחזר מה קרה, מתי ולמה.

יומן אירועים בכתיבה-בלבד: קלט שהתקבל, החלטה שהתקבלה, פעולה שבוצעה, מערכת שעודכנה
כל רשומה מקשרת בין הרשומה המפעילה, פלט הכלל או המודל, והשינוי במורד הזרם
היומנים ניתנים לתשאול ולייצוא לצורכי ציות וביקורת פנימית
אירועי עקיפה (override) ונפילה לברירת מחדל מסומנים בנפרד מפעולה רגילה

הרשאות API

אינטגרציות משתמשות באישורים מתוחמים וניתנים לביטול. אנחנו מתחברים למינימום נקודות הקצה הנדרשות, ושומרים את המפתחות ניתנים להחלפה.

היקפי OAuth או מפתחות API מוגבלים לנקודות הקצה שתהליך באמת קורא להן
אישורים נפרדים לכל סביבה (sandbox מול production) ולכל אינטגרציה
המפתחות ניתנים להחלפה ללא פריסת קוד מחדש; הביטול מיידי
מגבלות קצב ומכסות נשמרות עם השהיה הדרגתית (backoff), כדי שלעולם לא נערער את יציבות מערכת הלקוח

טיפול בשגיאות וכללי נפילה לברירת מחדל

האוטומציות בנויות להיכשל בבטחה. כשקלט אינו חד-משמעי, כששירות מושבת או כשהביטחון נמוך — המערכת עוצרת במקום לנחש.

ספי ביטחון: מתחת לסף, המשימה מנותבת לאדם במקום לפעול
ניסיונות חוזרים עם השהיה הדרגתית לכשלים זמניים; עצירה מוחלטת לאחר תקרה מוגדרת
תור מכתבים מתים (dead-letter queue) לפריטים שלא ניתן לעבד, עם התראות
הידרדרות מבוקרת — שלב העשרה שנכשל לעולם לא חוסם את ההעברה המרכזית

טיפול בנתונים רגישים

אנחנו ממזערים את כמות הנתונים הרגישים שנוגעים באוטומציה, ושולטים לאן הם זורמים כשאין ברירה.

מזעור נתונים: רק השדות הנדרשים להחלטה מועברים למודל כלשהו
הסתרה ומיסוך של PII היכן שהתהליך אינו דורש זאת
עמדה ברורה לגבי שימוש ספקי המודלים בנתונים — אנחנו משתמשים בספקים ובהגדרות שאינם מאמנים את המודלים על הנתונים שלכם
כללי שמירה מוגדרים לכל תהליך; נתונים זמניים אינם נשמרים מעבר למטרתם

גישה ל-CRM ולכלים העסקיים

הגישה ל-CRM, למוקד התמיכה, לחיוב ולכלים הפנימיים שלכם מתוחמת, מזוהה בשם, וניתנת לביטול. אתם תמיד יודעים איזו מערכת יכולה לעשות מה.

חשבונות שירות ייעודיים לכל אינטגרציה, לעולם לא חשבון מנהל משותף
ההרשאות ממופות לאובייקטים ולפעולות הספציפיים שכל אוטומציה צריכה
כתיבות חזרה (write-backs) הן אידמפוטנטיות ועקיבות לאוטומציה שביצעה אותן
אתם יכולים לבטל גישה בכל רגע מבלי לשבור תהליכים אחרים

ניטור ותגובה לאירועים

אוטומציות פעילות נמצאות תחת מעקב רציף. כשמשהו חורג, התראות נשלחות ויש מסלול מוגדר להכלה.

בדיקות תקינות, ניטור תפוקה והתראות חריגה בכל תהליך פעיל
ההתראות מנותבות לבעלים מוגדר בשם, עם רמות חומרה וציפיות תגובה
מתג עצירה (kill-switch) מתועד להשהיית תהליך באופן מיידי אם הוא משתבש
סקירה לאחר אירוע עם שורש הבעיה ושינוי הבקרה שמונע הישנות

מה איננו מבצעים אוטומטית ללא אישור

פעולות מסוימות תמיד דורשות החלטה אנושית. אנחנו מתכננים אותן כשערים קשיחים, לא כברירות מחדל שניתן לכבות בשקט.

מחיקה בלתי הפיכה או השמדה גורפת של רשומות
תנועת כספים: החזרים, תשלומים, שינויי חשבוניות, שינויי תמחור
תקשורת או התחייבויות משמעותיות מבחינה משפטית מול לקוחות
כל דבר הנוגע להעסקה, חוזים או החלטות מפוקחות
הודעות יוצאות המוניות ללא תבנית מאושרת ורשימת נמענים

הבקרות האלה מותאמות לכל פרויקט בשלב התכנון ומאומתות לפני העלייה לאוויר. ראו כיצד הן באות לידי ביטוי במערכות אמיתיות בתיאורי המקרה שלנו ובספריית ההוכחות.

10 · שאלות נפוצות

שאלות אבטחה נפוצות.

01האם Profitec AI מאמנת מודלים על הנתונים שלנו?

לא. אנחנו משתמשים בספקי מודלים ובתצורות שאינם מאמנים על הנתונים שלכם, וממזערים מלכתחילה את הנתונים הנשלחים לכל מודל. שדות רגישים מוסתרים או ממוסכים כשהתהליך אינו דורש אותם, והשמירה מתוחמת לכל תהליך.

02האם נוכל לשמור על אדם בלולאה לפעולות רגישות?

כן — זו ברירת המחדל לכל דבר בעל השפעה גבוהה. שערי אישור עוצרים את האוטומציה לפני פעולות בלתי הפיכות (מחיקה, תנועת כספים, התחייבויות ללקוחות). המערכת מכינה את העבודה, אדם מוגדר בשם מאשר את המטען המדויק, וזה נרשם ביומן.

03כיצד אתם שולטים בגישה ל-CRM ולכלים הפנימיים שלנו?

אנחנו משתמשים בחשבונות שירות ייעודיים ומתוחמים לכל אינטגרציה, עם הרשאות מינימליות הממופות לאובייקטים ולפעולות שהתהליך צריך. הגישה מתועדת, ניתנת לביטול בכל רגע, ולעולם אינה נשענת על חשבון מנהל משותף.

04מה קורה כשאוטומציה נתקלת במשהו שאינה יכולה לטפל בו?

היא נכשלת בבטחה. מתחת לסף ביטחון או בעת כשל שירות, המשימה מנותבת לאדם במקום לנחש. כשלים זמניים מנוסים שוב עם השהיה הדרגתית; פריטים שלא ניתן לעבד עוברים לתור מכתבים מתים עם התראה. שלב אופציונלי שנכשל לעולם לא חוסם את ההעברה המרכזית.

05האם תוכלו להשהות או לבטל אוטומציה במהירות?

כן. לכל תהליך פעיל יש מתג עצירה מתועד להשהיה מיידית, לצד ניטור והתראות חריגה המנותבות לבעלים מוגדר בשם. כתיבות חזרה הן אידמפוטנטיות ועקיבות, כך שניתן לזהות ולהפוך שינויים.

06האם אתם שומרים תיעוד ביקורת (audit trail)?

כן. אנחנו מתחזקים יומן אירועים בכתיבה-בלבד של קלט שהתקבל, החלטה שהתקבלה, פעולה שבוצעה ומערכת שעודכנה — כל רשומה מקושרת לרשומה המפעילה ולפלט הכלל או המודל. אירועי עקיפה ונפילה לברירת מחדל מסומנים בנפרד, והיומנים ניתנים לתשאול ולייצוא לביקורת.

השלב הבא

רוצים שנמפה את הבקרות למערכות שלכם?

נעבור יחד על האופן שבו גישה, שערי אישור, יומני ביקורת וכללי נפילה לברירת מחדל חלים על ה-CRM, החיוב והכלים שלכם — לפני שנבנית אוטומציה כלשהי.

לקביעת שיחת התאמה צפו בספריית ההוכחות