Безпека CRM AI CRM : підхід Zoho, орієнтований на конфіденційність, проти OpenAI

22.05.26 PM 19:15 PM Автор: Оксана Пономаренко

AI безпека CRM :

Підхід Zoho, орієнтований на конфіденційність, проти OpenAI

Ваша команда продажів, ймовірно, вже використовує AI CRM — незалежно від того, чи схвалила це ваша компанія, чи ні.

Імена клієнтів, бюджети, контракти, нотатки щодо угод, медичні картки, фінансові дані — співробітники ChatGPT вводять цю інформацію в ChatGPT , щоб заощадити час.

Більшість компаній не мають політики AI , не ведуть журнал аудиту і не мають уявлення про те, куди потім потрапляють ці дані.

Саме тому багато підприємств, діяльність яких підлягає регулюванню, віддають перевагу AI , вбудованим безпосередньо в CRM , замість того, щоб передавати дані про клієнтів через зовнішні AI .

Ми розповідаємо про реальні ризики використання AI CRM , зокрема щодо конфіденційності даних, AI , безпеки даних клієнтів, а також про те, що слід знати компаніям перед тим, як надавати дані про продажі ChatGPT іншим AI .

CRM у AI: прихований ризик

Перш ніж перейти до питання ризиків, варто зробити одне фундаментальне розмежування — яке більшість людей взагалі не помічає.


Сценарій перший. AI у вашу CRM і працює безпосередньо в ній. Наприклад, Zoho Zia аналізує ваші угоди, пропонує наступні кроки в процесі продажів або формує звіти про дзвінки безпосередньо в CRM . Ваші дані не залишають платформу — вони обробляються в тому самому середовищі, де вони зберігаються.


Сценарій № 2. Хтось із вашої команди бере дані з CRM надсилає їх до зовнішньої системи AI вручну або через інтеграцію. Це може бути ChatGPT браузері, плагін Copilot, сторонній інструмент автоматизації або API . У цьому випадку дані фізично залишають вашу систему і потрапляють в інфраструктуру іншого постачальника.

Обидва підходи є поширеними. Обидва дають результати. Однак другий підхід пов’язаний із принципово іншими ризиками в плані безпеки, дотримання нормативних вимог та контролю.

Найпоширенішою формою другого сценарію є так званий «тіньовий AI»: співробітники самостійно використовують зовнішні AI — без офіційного дозволу компанії, без відома ІТ-відділу та без будь-яких правил щодо того, якими даними дозволено ділитися. Дослідження показують, що від 40 до 60 відсотків офісних працівників роблять це регулярно. Більшість їхніх компаній про це навіть не підозрюють, і відповідних правил у них немає.

Що насправді означає підхід «Privacy-First» — і чому це важливо

Zoho — це один із найяскравіших прикладів того, що в галузі називають підходом «приватність понад усе». Але щоб це не звучало як рекламний слоган, давайте розглянемо, що це означає на практиці.

  • Бізнес-модель без реклами. Більшість великих технологічних платформ отримують прибуток від даних користувачів за допомогою реклами — прямо чи опосередковано. Компанія Zoho з самого початку створила іншу модель: вона заробляє виключно на передплаті. Це означає, що у неї немає фінансової мотивації збирати більше даних, ніж потрібно для функціонування продукту.

Це має значення, оскільки стимули формують поведінку. Компанія, яка продає рекламу, прагне зібрати якомога більше інформації про користувачів. Компанія, яка продає SaaS , зацікавлена лише в тому, щоб продукт працював належним чином.

  • Мінімізація даних. Принцип «приватність понад усе» означає збір лише тих даних, які дійсно необхідні для функціонування функції — а не «про всяк випадок» чи «може, колись це знадобиться». Лише те, що дійсно потрібно інструменту для виконання своїх завдань.

  • Контроль користувача. Позиція Zoho є чіткою: дані клієнта належать клієнту. Компанія не претендує на права щодо їх використання, окрім як для надання послуги. Це відображено в їхній Політиці конфіденційності та в Угоді про обробку даних (DPA), доступній для корпоративних клієнтів.

  • Місцезнаходження даних. Для компаній, для яких має значення, де фізично зберігаються дані — особливо в контексті GDPR місцевих нормативних вимог — Zoho пропонує варіанти розміщення в центрах обробки даних у різних регіонах. Європейські компанії можуть зберігати свої дані в інфраструктурі ЄС, 

для багатьох організацій.

AI працює всередині платформи. Zoho Zia та інші AI в Zoho CRM дані в рамках власної інфраструктури Zoho. Ваші потенційні угоди, угоди та контакти не надсилаються до сторонніх систем для формування відповідей.

7 ознак того, що у вашій компанії вже існує AI «тіньового AI

  • Співробітники вставляють CRM у ChatGPT

  • Відсутність письмової політики AI

  • Відсутність угоди про обробку даних (DPA) з AI

  • Журналів аудиту немає

  • Невідомі плагіни браузера

  • Торгові представники користуються особистими AI

  • Відсутність обмежень на CRM дозволяє створювати зображення, але без тексту

Хочете інтегрувати AI свою CRM не втрачаючи при цьому контролю над даними клієнтів?

Замовити CRM

OpenAI підхід AI: можливості та що слід знати

OpenAI інша філософія. Тут основна увага приділяється суто потужності генеративного AI GPT-4 та новіші моделі забезпечують таку якість генерації, аналізу та синтезу тексту, яка на даний момент не має близьких аналогів за широтою застосування.

Саме томуAPI OpenAI — або, простіше кажучи, ChatGPT браузері — набула такого широкого поширення в корпоративному середовищі. Це швидко, доступно і дає миттєві результати.

Однак перед тим, як почати передавати через нього бізнес-дані, варто з’ясувати кілька моментів.

ChatGPT веб-версія) та API на різних умовах. Коли співробітники користуються ChatGPT безкоштовний або Plus у браузері, OpenAI за замовчуванням використовувати ці розмови для вдосконалення своїх моделей. Цю функцію можна вимкнути в налаштуваннях, але за замовчуванням вона увімкнена, і більшість користувачів про це не знають.

API інакше. При API доступі OpenAI API за замовчуванням моделі не навчаються на даних, які ви надсилаєте. Однак це стосується лише прямого API . Якщо ви користуєтеся стороннім інструментом, який OpenAI капотом» працює на базі OpenAI , умови залежать від налаштувань цього інструменту — він може як дотримуватися тих самих заходів захисту, так і не дотримуватися їх.

Зберігання даних. За замовчуванням OpenAI дані, надіслані через API 30 днів з метою моніторингу безпеки та виявлення зловживань, після чого вони видаляються. Щодо ChatGPT, термін зберігання залежить від того, чи увімкнено збереження історії розмов.

Внутрішній доступ. Як і будь-який великий постачальник технологій, OpenAI внутрішні команди, які можуть отримувати доступ до певних даних — наприклад, для перевірки можливих порушень правил. Це стандартна практика в галузі, але про це варто пам’ятати під час передачі конфіденційної ділової інформації через систему.

План «Enterprise». OpenAI умови плану «Enterprise», що передбачають більш надійні гарантії конфіденційності, відсутність навчання моделей на даних клієнтів та можливість підписання угоди про обробку даних (DPA). Якщо ваша компанія серйозно розглядає можливість використання OpenAI бізнес-цілях, саме з плану «Enterprise» і починається справжня розмова про безпеку даних.

Справа не в тому, що OpenAI небезпечний варіант або погана компанія. Справа в тому, що можливості та контроль над даними — це різні аспекти, і компроміс між ними — це те, що кожна компанія має оцінювати обдумано, а не автоматично.

Реальні ризики: що насправді може піти не так

Давайте розглянемо конкретні приклади. Ось ті ситуації, в яких відсутність чіткої AI щодо AI створює реальні проблеми.

B2B SaaS агентства

Менеджер з продажу готує пропозицію для корпоративного клієнта. Він вводить у ChatGPT деталі угоди ChatGPT бюджет, технічні вимоги, імена осіб, які приймають рішення, терміни. За лічені секунди він отримує чітко структуровану пропозицію.

Проблема полягає в тому, що ці дані, ймовірно, підпадають під дію угоди про нерозголошення (NDA) або, як мінімум, є конфіденційними з точки зору конкуренції. Якщо конкурент отримає доступ до подібної інформації, він дізнається про вашу структуру ціноутворення, ваших клієнтів та ваш портфель потенційних клієнтів. Цей ризик не є гіпотетичним — він залежить від того, як дані обробляються та зберігаються на іншому боці.

Охорона здоров’я

Медична клініка використовує AI автоматичного формування звітів про візити або обробки відповідей у чаті підтримки. Якщо ці запити містять дані про пацієнтів — навіть без імен, а лише plus симптомів plus — це може вважатися GDPR HIPAA у США або GDPR у Європі. Регулюючі органи не приймають пояснення «ми не усвідомлювали» як виправдання.

Фінтех

Аналітик передає дані про фінансові операції або записи KYC до AI аналізу закономірностей. Ці дані перебувають під суворим регуляторним наглядом. Питання полягає не лише в тому, чи AI їх система AI , а в тому, чи має ваш постачальник сертифікати та підписані угоди, необхідні для роботи з такою інформацією взагалі.

Електронна комерція

Персональні дані клієнтів: адреси електронної пошти, адреси доставки, історія замовлень. Згідно з GDPR, ваша компанія є контролером даних. Якщо ви передаєте ці дані зовнішньому постачальнику AI укладення відповідної угоди про обробку даних (DPA) з цим постачальником, ви порушуєте законодавство — незалежно від того, чи дійсно відбувся якийсь «витік» даних.

Shadow AI найпоширеніший ризик

Усі наведені вище сценарії можуть реалізуватися не через офіційні інтеграції, а через звичайні повсякденні дії окремих співробітників. Торговий представник, аналітик, співробітник служби підтримки — будь-хто з них може щодня передавати бізнес-дані до зовнішніх AI , навіть не усвідомлюючи, що питання управління даними взагалі є актуальним.

Доки компанія не встановить чітких правил, ця ситуація триватиме безконтрольно.

Дотримання вимог: GDPR, HIPAA та що вони насправді передбачають

Якщо ваша компанія веде діяльність у ЄС або співпрацює з клієнтами, які знаходяться в ЄС, до вас GDPR незалежно від того, де розташована штаб-квартира вашої компанії.

Основні моменти, які слід розуміти в контексті AI:

Ви залишаєтеся контролером даних. Навіть у разі передачі даних до зовнішньої AI відповідальність за спосіб їх обробки залишається за вами. AI стає обробником даних — і ви зобов’язані укласти з ним підписану угоду про обробку даних.

Угода про обробку даних (DPA) — це не просто паперова формальність. У ній має бути чітко визначено: які саме дані обробляються, з якою метою, як довго вони зберігаються, хто має до них доступ, як вирішуються випадки витоку даних та де фізично розташовані сервери. Якщо постачальник не може або не хоче підписати DPA — це сигнал, до якого варто поставитися серйозно.

Транскордонна передача даних. Відповідно GDPR, передача персональних даних громадян ЄС до третіх країн — зокрема до США — допускається лише за певних умов. OpenAI, як американська компанія, має відповідні механізми (стандартні договірні умови), але їх наявність потрібно перевірити, а не просто припускати.

HIPAA. У сфері охорони здоров’я США вимога є чіткою: будь-який постачальник послуг, який обробляє захищену медичну інформацію (PHI), повинен підписати угоду про ділове партнерство (BAA). Якщо немає BAA, немає HIPAA . Крапка.

Перелік питань: що слід перевірити перед будь-якою AI

Незалежно від того, який саме AI ви розглядаєте — вбудований у вашу CRM зовнішній — ось питання, які слід задати собі, перш ніж підключити його до бізнес-даних.

Про зберігання даних

  • Де фізично зберігаються дані (місцезнаходження центру обробки даних, країна)?

  • Як довго постачальник зберігає дані після їх обробки?

  • Чи існує процедура подання запиту на видалення?

  • Що відбувається з даними після закінчення терміну дії договору?

Про навчання моделей

  • Чи використовуються мої дані для навчання AI ?

  • Чи можна цю функцію вимкнути — і як саме це зробити?

  • Це стосується всіх продуктів цього постачальника чи лише певних тарифних планів?

Про доступ та безпеку

  • Хто в організації постачальника має доступ до моїх даних?

  • За яких обставин продавець може переглянути мої запити або дані?

  • Які сертифікати безпеки має постачальник (SOC 2, ISO 27001)?

  • Як відбувається процедура повідомлення про витік даних?

Щодо дотримання вимог

  • Чи підпише постачальник угоду про обробку даних?

  • Чи мають вони механізми передачі даних, GDPR(наприклад, стандартні договірні умови)?

  • Щодо сфери охорони здоров’я: чи підпишуть вони угоду про співпрацю?

Про особливості інтеграції

  • Які дані передаються AI кожному запиті — і чи можна обмежити обсяг цих даних?

  • Чи можна контролювати, які CRM передаються в систему AI які — ні?

  • Чи існують журнали аудиту, в яких зазначено, хто, які саме дані та коли надіслав до системи AI?

Якщо на більшість цих питань немає чітких відповідей у відкритій документації постачальника — або його служба підтримки не може на них відповісти — це є достатньою причиною, щоб призупинити процес.

Не знаєте, якими AI вже користується ваша команда?

CRMOZ компаніям проводити аудит AI CRM AI , виявляти ризики витоку даних та розробляти AI , що відповідають вимогам, у системі Zoho CRM.

Замовити CRM