कर्मचारियों के लिए एआई सुरक्षा चेकलिस्ट

एक नियम से शुरू करें

कर्मचारी अब लेखन, सार संक्षेप, अनुवाद, कोडिंग, नोट लेने, खोज और निर्णय सहायता के लिए AI टूल्स का उपयोग करते हैं। यह समय बचा सकता है, परन्तु यह नई गोपनीयता और सुरक्षा जोखिम भी उत्पन्न करता है। सबसे सुरक्षित कार्यस्थल आदत सरल है: किसी AI चैटबॉट को निजी नोटबुक या विश्वसनीय कंपनी वॉल्ट की तरह न मानें।

व्यवहारिक प्रश्न केवल यह नहीं है “क्या इस टूल में गोपनीयता सेटिंग्स हैं?”\n\t\tबल्कि यह भी है “क्या इसे समीक्षा, संग्रह, उजागर, या गलत सिस्टम पर भेजे जाने पर नुकसान होगा?” यदि उत्तर हाँ हो सकता है, तो पेस्ट करने से पहले रुकें और पहले अनुमोदित वर्कफ्लो की जाँच करें।

10 कर्मचारी AI सुरक्षा चेक

1. अनुमोदित टूल का उपयोग करें, यादृच्छिक AI ऐप्स का नहीं

कर्मचारियों को पहले कंपनी-स्वीकृत AI टूल्स का उपयोग करना चाहिए। खाते का प्रकार, एडमिन नियंत्रण, प्रतिधारण, जुड़े ऐप्स, और गोपनीयता सीमाएँ उत्पादों के बीच भिन्न हो सकती हैं। भले ही दो उत्पाद समान लगें, शासन मॉडल बहुत अलग हो सकता है।

एक व्यावहारिक कर्मचारी नियम सरल है: यदि आपकी संस्था स्वीकृत वर्कस्पेस टूल प्रदान करती है, तो कार्य डेटा के लिए व्यक्तिगत AI खाता उपयोग न करें।

2. कभी भी सीक्रेट्स न चिपकाएँ

पासवर्ड, रिकवरी कोड, API कीज़, एक्सेस टोकन, प्राइवेट कीज़, डेटाबेस क्रेडेंशियल्स, या वेबहूक सीक्रेट्स को AI चैटबॉट्स में न चिपकाएँ। एक बार उजागर होने पर, सीक्रेट्स सिस्टम्स, क्लाउड सेवाओं, रिपॉज़िटरीज़, और बिलिंग वातावरणों तक सीधे पहुँच सक्षम कर सकते हैं।

सुरक्षित पैटर्न यह है कि वास्तविक सीक्रेट्स को प्लेसहोल्डरों से बदल दें जैसे [API_KEY], [TOKEN]`[API_KEY]`, `[TOKEN]`, या `[PASSWORD]` [PASSWORD]।\n\t\tअधिकांश मामलों में, AI को समस्या की संरचना ही चाहिए, वास्तविक मान की नहीं।

3. गोपनीय ग्राहक या कर्मचारी डेटा न चिपकाएँ

ग्राहक ईमेल, फोन नंबर, पते, समर्थन टिकट, HR रिकॉर्ड, पेरोल विवरण, छात्र डेटा, चिकित्सा विवरण, और अन्य व्यक्तिगत पहचान योग्य जानकारी को सामान्यतः AI टूल्स में पेस्ट नहीं करना चाहिए।

कर्मचारियों को पहले अननामाइज़ करना चाहिए। वास्तविक नामों को इस तरह के लेबलों से बदलें Customer A, Student 1`[API_KEY]`, `[TOKEN]`, या `[PASSWORD]` Employee B`,\n\t\tऔर सहायता माँगने से पहले अनावश्यक तारीखें, पहचानकर्ता, और खाता संदर्भ हटाएँ।

4. सामान्य टूल्स में अनुबंध, कानूनी ड्राफ्ट, या NDA-आच्छादित सामग्री न चिपकाएँ

कानूनी दस्तावेज़ अक्सर गोपनीय दायित्व, बातचीत का इतिहास, मूल्य निर्धारण शर्तें, और नियंत्रित या विशेषाधिकार प्राप्त जानकारी रखते हैं। एक सुरक्षित तरीका है टेम्पलेट, चेकलिस्ट, या क्लॉज़ की व्याख्या मांगना, न कि पूरा दस्तावेज़ चिपकाना।

यदि समीक्षा सहायता आवश्यक है, तो अस्पष्ट सीमाओं वाले सुविधा चैटबॉट के बजाय अनुमोदित कंपनी वर्कफ़्लो के भीतर एक रेडैक्टेड संस्करण का उपयोग करें।

5. आंतरिक दस्तावेज़ों को अनुमानों से नहीं, वर्गीकरण के अनुसार व्यवहार करें

कर्मचारियों को सार्वजनिक, आंतरिक, गोपनीय, और प्रतिबंधित जानकारी के बीच भेद जानना चाहिए। आंतरिक नोट्स निर्दोष महसूस हो सकते हैं, पर उनमें कुछ ग्राहक संदर्भ, सुरक्षा विवरण, वित्तीय अनुमान, या रोडमैप आइटम हो सकते हैं जिन्हें उपभोक्ता AI टूल्स में चिपकाना नहीं चाहिए।

यदि आप वर्गीकरण नहीं जानते हैं, तो मान लें कि डेटा कम से कम आंतरिक है\n\t\tऔर उसे बाहरी रूप से या अप्रूव्ड AI टूल्स के साथ साझा न करें जब तक आप जाँच न लें।\n\t\tगहन व्याख्या के लिए पढ़ें Data Classification Explained .

6. व्यक्तिगत खातों की तुलना में कार्य खातों को प्राथमिकता दें

यह कर्मचारियों के लिए सबसे महत्वपूर्ण भेदों में से एक है। वर्क प्रोडक्ट्स आम तौर पर एक मजबूत नियंत्रण वातावरण प्रदान करते हैं, पर इसका मतलब यह नहीं कि वे हर चीज के लिए सुरक्षित हैं।

कर्मचारियों को फिर भी साझा किए गए डेटा को न्यूनतम करना चाहिए, केवल अनुमोदित टूल्स का उपयोग करना चाहिए, और कंपनी नीति का पालन करना चाहिए। वर्क खाता एक सुरक्षित शुरुआती बिंदु है, न कि मुफ़्त पास।

7. कनेक्टेड ऐप्स, एजेंट्स और MCP-शैली के टूल के साथ सावधान रहें

जोखिम केवल चैट इंटरफ़ेस नहीं है। कुछ AI टूल कंपनी डेटा खोज सकते हैं, फाइलें खींच सकते हैं, या कनेक्टेड ऐप्स और कस्टम इंटीग्रेशन के माध्यम से कार्य कर सकते हैं।

किसी ऐप, कनेक्टर, या एजेंट को सक्षम करने से पहले तीन प्रश्न पूछें: यह क्या एक्सेस कर सकता है, यह क्या भेज सकता है, और क्या मैं इसे बाद में आसानी से हटा सकता हूँ? यदि उत्तर अस्पष्ट है, तो कनेक्ट न करें।

8. मानें कि AI आउटपुट गलत, अपूर्ण, या असुरक्षित हो सकता है

कर्मचारियों को समीक्षा किए बिना AI आउटपुट को सीधे प्रोडक्शन सिस्टम्स, ग्राहक संचार, कानूनी दस्तावेज़, या सुरक्षा निर्णयों में कभी कॉपी नहीं करना चाहिए।

सही नियम है: काम को तेज करने के लिए AI का उपयोग करें, निर्णय का स्थान लेने के लिए नहीं।\n\t\tनिष्कर्ष पर कार्रवाई करने से पहले तथ्यों, अनुमतियों, गणनाओं, उद्धरणों और संवेदनशील शब्दों की समीक्षा करें।

9. पहले रेडैक्ट करें, फिर सारांश बनाएं, अंत में पेस्ट करें

जब कर्मचारियों को AI सहायता चाहिए, तो सबसे सुरक्षित क्रम है:

• संवेदनशील विवरणों को रेडैक्ट करें
• वास्तविक समस्या का सार संक्षेप करें
• आवश्यक न्यूनतम ही पेस्ट करें

यह ईमेल, टिकट, घटना नोट, कोड स्निपेट, स्प्रेडशीट और मीटिंग सारांश के लिए काम करता है। उदाहरण के लिए, पूरी ग्राहक शिकायत में नाम और खाता नंबर चिपकाने के बजाय, देरी से शिपमेंट के जवाब का एक सौम्य पुनर्लेखन मांगें।

10. गलतियों और जोखिमपूर्ण उपयोग की जल्दी रिपोर्ट करें

कर्मचारियों को पता होना चाहिए कि यदि उन्होंने गलत चीज़ पेस्ट की, गलत टूल कनेक्ट किया, या AI का असुरक्षित उपयोग देखा तो क्या करना है। तेज रिपोर्टिंग चुपचाप समस्या ठीक करने की कोशिश से बेहतर है।

एक मजबूत कंपनी प्रथा यह है कि कर्मचारियों को रिपोर्ट करने का एक स्पष्ट मार्ग दिया जाएः

• आकस्मिक संवेदनशील-डेटा साझा करना
• संदिग्ध AI-जनित आउटपुट
• असुरक्षित प्रॉम्प्ट पैटर्न
• अनुमोदित न किए गए टूल या कनेक्टर्स
• ग्राहक-प्रभावित भ्रम (hallucinations)
• आंतरिक नीति प्रश्न

एक सरल कर्मचारी चेकलिस्ट

AI का उपयोग करने से पहले, कर्मचारियों को जाँच करनी चाहिए:

• क्या यह अनुमोदित कंपनी AI टूल है?
• क्या मैं सही वर्क खाते में साइन इन हूँ?
• क्या सामग्री में सीक्रेट्स, PII, अनुबंध, कानूनी सामग्री, या\n\t\t\tप्रतिबंधित आंतरिक जानकारी शामिल है?
• क्या मैं पहले नाम, आईडी, टोकन, और आंतरिक विवरण रेडैक्ट कर सकता/सकती हूँ?
• क्या यह सामग्री आंतरिक, गोपनीय, या प्रतिबंधित के रूप में वर्गीकृत है?
• क्या मैं किसी ऐसे ऐप, एजेंट, या बाहरी टूल को कनेक्ट करने जा रहा/रही हूँ जिसे मैं पूरी तरह से समझता/समझती नहीं हूँ?
• क्या मुझे आउटपुट भेजने या उस पर कार्रवाई करने से पहले मानव समीक्षा की आवश्यकता है?
• क्या मुझे पता है कि कुछ गलत होने पर गलती कैसे रिपोर्ट करनी है?

यह चेकलिस्ट जानबूझकर सरल है। उद्देश्य कर्मचारियों को AI से डराना नहीं है। उद्देश्य सुरक्षित उपयोग को डिफ़ॉल्ट व्यवहार बनाना है।

संबंधित पठन के लिए, इस चेकलिस्ट के साथ इसको जोड़ें AI चैट गोपनीयता सेटिंग्स , AI चैटबॉट्स के साथ क्या कभी साझा नहीं करना चाहिए , और Data Classification Explained .

अंतिम निष्कर्ष

कर्मचारियों को AI का अच्छी तरह उपयोग करने के लिए सुरक्षा विशेषज्ञ बनने की आवश्यकता नहीं है। पर उन्हें कुछ मजबूत आदतों की जरूरत है: अनुमोदित टूल्स का उपयोग करना, संवेदनशील डेटा की सुरक्षा करना, व्यक्तिगत खातों की बजाय वर्क खाते प्राथमिक करना, कार्रवाई करने से पहले आउटपुट की समीक्षा करना, और कनेक्टेड ऐप्स व एजेंट्स के साथ सावधानी बरतना।

सबसे अच्छी AI सुरक्षा चेकलिस्ट लंबी नीति दस्तावेज़ नहीं है। यह व्यवहारों का एक छोटा सेट है जिसका लोग हर दिन वास्तव में पालन कर सकते हैं।

अधिकारिक संदर्भ और आगे पढ़ने के लिए

• OpenAI: Data Usage for Consumer Services FAQ
• OpenAI: Apps in ChatGPT
• OpenAI: ChatGPT Apps with Sync FAQ
• Anthropic Privacy Center: Commercial products
• Anthropic Privacy Center: Consumer products
• Google Workspace: Gemini privacy and data protection
• Microsoft Learn: Microsoft 365 Copilot Chat Privacy and Protections
• OWASP GenAI: Sensitive Information Disclosure
• CISA: AI Data Security Best Practices
• NIST: Generative AI Profile

अक्सर पूछे जाने वाले प्रश्न