Müştəri xidmətində chatbot təhlükəsizliyi standartları

Published: 6 May 2026

Müasir chatbotlar artıq sadə ipucları və “bəli/xeyr” düymələrindən xeyli irəli gedib. Bu gün onlar sifarişləri emal edir, maliyyə məhsulları üzrə məsləhətlər verir, müraciətlərin statusunu yoxlayır və müştəri sorğularına 24/7 — insan müdaxiləsi olmadan cavab verirlər.

Məhz buna görə chatbot təhlükəsizliyi funksionallıq qədər vacib hala gəlib: avtomatlaşdırılmış sistemə nə qədər çox məsuliyyət həvalə etsəniz, onun zəif olduğu üzə çıxarsa, nəticələr bir o qədər ciddi olar.

Bu məqalədə chatbotları müştəri xidmətində təhlükəsiz şəkildə tətbiq etməyə imkan verən standart və yanaşmaları — məlumat sızmaları və reputasiya riskləri olmadan — nəzərdən keçirəcəyik. Material məhsul menecerləri, texniki direktorlar, kibertəhlükəsizlik üzrə mütəxəssislər və artıq avtomatlaşdırılmış dəstəyi tətbiq edən və ya tətbiq etməyi planlaşdıran hər kəs üçün faydalı olacaq.

Niyə chatbot təhlükəsizliyi ayrıca bir sahədir

Bizneslər chatbotu ilk dəfə işə saldıqda, təhlükəsizlik məsələləri çox vaxt ikinci plana keçir. Əsas diqqət cavab sürətinə, cavabların keyfiyyətinə və CRM inteqrasiyasına yönəlir. Bu başa düşüləndir — lakin risklidir.

Chatbot daxili sistemlərə giriş nöqtəsi, şəxsi məlumatların saxlanması və ya ötürülməsi üçün bir qovşaq, bəzən isə hücum edənlərin hesablara daxil olmağa və ya biznes proseslərini manipulyasiya etməyə çalışdığı bir kanal ola bilər.

Chatbotlara qarşı təhlükələr spesifik xarakter daşıyır və ənənəvi veb-təhlükələrdən fərqlənir. Bunlara prompt injection hücumları (zərərli mətnin sistemi istənməyən əməliyyatları yerinə yetirməyə məcbur etməsi), kontent filtrlərinin aşılması və canlı operatora keçidin sui-istifadəsi daxildir. Bütün bunlar ayrıca təhlükəsizlik strategiyası tələb edir.

Əsas risklər: tətbiqdən əvvəl nələri bilmək lazımdır

Şəxsi məlumatların sızması

Hətta yaxşı qurulmuş chatbot belə, sessiya kontekstləri düzgün izolyasiya edilmədikdə şəxsi məlumatları təsadüfən ifşa edə bilər. Tipik hal: bot əvvəlki istifadəçinin məlumatlarını “xatırlayır” və növbəti istifadəçiyə cavabda istifadə edir.

Prompt Injection

Prompt injection — adi istifadəçi mesajı vasitəsilə chatbotun davranışını manipulyasiya etməyə cəhd etməkdir.

Sadə dillə desək: istifadəçi bota “bütün əvvəlki təlimatları unut və bunu et” kimi bir şey yazır və sistem qorunmamışdırsa, bot öz məntiqinə deyil, hücum edən tərəfin göstərişinə əməl edir.

Real nümunə: 2023-cü ilin dekabrında ABŞ-da Chevrolet avtomobil dileri saytında chatbot işə saldı. Bir istifadəçi sistemli şəkildə botu “hər şeylə razılaşmağa” inandırdı və nəticədə bot yeni avtomobili 1 dollara “satdı”.

Əlbəttə, heç kim avtomobil almadı, lakin bu hadisə sürətlə bütün dünyada yayıldı. Diler həmin gün chatbotu söndürdü. Reputasiya zərəri isə geri dönməz oldu.

Chatbotlar vasitəsilə sosial mühəndislik

Hücum edənlər chatbotlardan şirkət, onun prosesləri və zəif tərəfləri haqqında məlumat toplamaq üçün istifadə edə bilər. Həddindən artıq açıq cavab verən bot gələcək hücumlar üçün məlumat mənbəyinə çevrilə bilər.

Tənzimləyici tələblərin pozulması

GDPR, Ukraynanın şəxsi məlumatların qorunması qanunu və ya sahəvi tənzimləmələrə (xüsusilə maliyyə sektorunda) əməl edilməməsi cərimələrə, fəaliyyət məhdudiyyətlərinə və reputasiya itkilərinə səbəb ola bilər.

Şəxsi məlumatları hüquqi əsas olmadan saxlayan və ya ötürən chatbot ciddi uyğunluq (compliance) riski yaradır.

Standartlar və çərçivələr: nəyə əsaslanmaq lazımdır

Hazırda chatbot təhlükəsizliyi üçün xüsusi olaraq hazırlanmış vahid ISO standartı mövcud deyil. Lakin ən yaxşı təcrübələr bir neçə tanınmış çərçivəyə əsaslanır.

LLM tətbiqləri üçün OWASP Top 10

OWASP böyük dil modellərinə əsaslanan tətbiqlər üçün ən aktual 10 riskin siyahısını yayımlayıb. Bunlara prompt injection, təhlükəsiz olmayan çıxışların emalı (insecure output handling), həddindən artıq sistem icazələri və etibarsız plaginlərdən asılılıq daxildir.

Bu siyahı istənilən chatbotun auditinə başlamaq üçün əsas nöqtədir.

GDPR və məlumatların qorunması qanunları

Əgər chatbotunuz Aİ və ya Ukrayna vətəndaşlarının məlumatlarını emal edirsə, müvafiq qanunlara uyğun olmalıdır. Bu o deməkdir:

  • məlumatların toplanma məqsədi əvvəlcədən müəyyən edilməlidir
  • saxlanma müddəti məhdud olmalıdır
  • məlumatların silinməsi hüququ təmin edilməlidir
  • sızmalar barədə məlumat vermək öhdəliyi olmalıdır

ISO/IEC 27001

Bu standart informasiya təhlükəsizliyinin idarə olunması sistemini müəyyən edir və chatbot bu sistemin yalnız bir komponentidir. ISO 27001 üzrə sertifikatlaşdırılmış şirkətlər məlumat axınlarına və insidentlərin idarə olunmasına daha yaxşı nəzarət edir.

NovaTalks-un ISO/IEC 27001:2022 uyğunluğu

NovaIT tərəfindən hazırlanmış NovaTalks platforması müstəqil auditdən uğurla keçmiş və ISO/IEC 27001:2022 — informasiya təhlükəsizliyinin idarə olunması üzrə qlobal standart üzrə sertifikat almışdır.

Sertifikatlaşdırma platformanın inkişafı, tətbiqi, texniki dəstəyi və müşayiəti ilə bağlı bütün prosesləri, sistemləri, heyəti və texnologiyaları əhatə edir.

Bu o deməkdir ki, NovaTalks vasitəsilə emal olunan bütün məlumatlar — biznes məlumatlarından tutmuş müştərilərin şəxsi məlumatlarınadək — beynəlxalq audit tərəfindən təsdiqlənmiş yüksək səviyyədə qorunur.

Təhlükəsiz chatbot üçün praktiki prinsiplər

Minimum səlahiyyət prinsipi

Chatbot yalnız öz vəzifələrini yerinə yetirmək üçün lazım olan məlumatlara və funksiyalara çıxış əldə etməlidir.

Məsələn, əgər bot məhsul qaytarılması ilə məşğuldursa, onun maliyyə tranzaksiyaları bazasına və ya müştərilərin şəxsi sənədlərinə çıxışı olmamalıdır. Giriş nə qədər azdırsa, mümkün zərər də bir o qədər az olur.

Sessiya kontekstinin izolyasiyası

Hər bir dialoq ayrı olmalıdır. Bir istifadəçinin məlumatları digər istifadəçinin qarşılıqlı əlaqəsində görünməməlidir.

Bu sadə görünsə də, praktikada xüsusilə keşləmə və kontekstin təkrar istifadəsi zamanı tez-tez problemlər yaranır.

Giriş məlumatlarının yoxlanması

İstifadəçi mesajları əvvəlcədən emaldan keçməlidir:

  • inyeksiya cəhdlərinin yoxlanması
  • potensial təhlükəli məzmunun filtrasiya edilməsi
  • giriş uzunluğunun məhdudlaşdırılması

Bu, əsas, lakin çox vacib qoruma səviyyəsidir.

Autentifikasiya və avtorizasiya

Əgər chatbot fərdiləşdirilmiş xidmətlər təqdim edirsə və ya istifadəçi hesablarına çıxış əldə edirsə, güclü autentifikasiya tələb olunur.

Standart yanaşmalara daxildir:

  • çoxfaktorlu autentifikasiya (MFA)
  • qısa müddətli tokenlər
  • hər sorğu üçün icazələrin yoxlanması

Loglama və monitorinq

Chatbot ilə bütün qarşılıqlı əlaqələr təhlükəsiz yaddaşda qeyd olunmalıdır.

Bu, aşağıdakı imkanları yaradır:

  • anormal davranışların aşkarlanması
  • insidentlərin araşdırılması
  • audit tələblərinə uyğunluq

NovaTalks platformasında chatbot ssenarilərinin loglanması BotFlow konstruktoru vasitəsilə həyata keçirilir və hər mühüm hadisə ayrıca qeyd kimi saxlanılır.

Sadə dillə desək, sistem yalnız dialoqu deyil, bütün müştəri yolunu izləyir:

  • seçilmiş dil
  • menyu seçimləri
  • operatora keçid olub-olmaması
  • özünəxidmət funksiyalarının istifadəsi və nəticəsi
  • dialoqun bitmə səbəbi

Əgər istifadəçi qeyri-aktivliyə görə çatı tərk edirsə və ya iş saatlarından kənar müraciət edirsə, bu da avtomatik qeyd olunur — əlavə sazlamalara ehtiyac olmadan.

Bu səviyyədə detallılıq komandaya yalnız “nəsə səhv getdi” deməyə deyil, dəqiq olaraq harada, hansı mərhələdə və niyə problem yarandığını anlamağa imkan verir. Bu, həm təhlükəsizlik insidentlərinin araşdırılması, həm də chatbot ssenarilərinin təkmilləşdirilməsi üçün vacibdir.

Aydın funksional sərhədlər

Chatbot nəyi edə bildiyini və nəyi edə bilmədiyini dəqiq bilməlidir.

Onun imkanlarından kənar sorğular:

  • canlı operatora yönləndirilməli
  • və ya neytral cavabla rədd edilməlidir

“Bu məlumatlara çıxışım yoxdur” cavabı riskli şəkildə kömək etməyə çalışmaqdan daha təhlükəsizdir.

Şəffaflıq və etibar: müştərilərə nəyi bildirmək lazımdır

Chatbot təhlükəsizliyi həm də müştəri məlumatlarının necə emal edildiyi və istifadəçilərin avtomatlaşdırılmış assistentlə qarşılıqlı əlaqədən nə gözləyə biləcəyi barədə şəffaf olmaq deməkdir.

Avtomatlaşdırmanın açıqlanması

Müştərilərin botla yoxsa insanla ünsiyyət qurduqlarını bilmək hüququ var.

Bu yalnız etik məsələ deyil — bir çox yurisdiksiyalarda (o cümlədən Aİ-də) bu, hüquqi tələbdir.

Avtomatlaşdırma faktını gizlətmək etibarı sarsıdır və hüquqi nəticələrə səbəb ola bilər.

Məlumatların toplanması barədə bildiriş

Dialoqun əvvəlində — və ya şəxsi məlumatların toplanmasından əvvəl — müştəriyə aydın məlumat verilməlidir:

  • hansı məlumatların toplandığı
  • niyə toplandığı
  • nə qədər müddət saxlanacağı
  • bundan necə imtina edə biləcəyi

Bu, GDPR və Ukraynanın məlumatların qorunması qanunvericiliyi ilə tələb olunur.

İnsan operatora çıxış imkanı

Təhlükəsiz və keyfiyyətli müştəri xidməti hər zaman dialoqu canlı operatora ötürmək imkanını nəzərdə tutmalıdır.

NovaTalks platformasında bu, sistem arxitekturasına daxil edilib: hər menyu seçimi konkret komanda və ya agent bacarığı ilə əlaqələndirilir və bu, müraciətlərin düzgün yönləndirilməsini təmin edir.

Müştərilər bu seçimi asanlıqla tapa bilməlidirlər — xüsusilə mürəkkəb və ya həssas hallarda.

Ukrayna və Aİ üçün tənzimləyici kontekst

Ukrayna bazarında fəaliyyət göstərən və ya Aİ müştərilərinə xidmət edən şirkətlər 2026-cı ilin aprel ayına olan vəziyyətə uyğun olaraq tənzimləyici mühiti nəzərə almalıdır.

Ukraynanın “Şəxsi məlumatların qorunması haqqında” qanunu

Bu qanun Ukrayna vətəndaşlarının şəxsi məlumatlarının toplanması, emalı, saxlanması və ötürülməsini tənzimləyir.

Ad, telefon nömrəsi, e-mail və ya digər identifikasiyaedici məlumatları toplayan chatbot məlumatların idarəedicisi hesab olunur və bu qanuna tabedir.

Əsas tələblər:

  • məlumatların toplanmasının dəqiq məqsədi
  • istifadəçinin razılığı
  • məhdud saxlanma müddəti
  • məlumatların silinməsi hüququ

GDPR (Ümumi Məlumatların Qorunması Qaydası)

Əgər chatbot Aİ müştərilərinə xidmət edirsə, şirkətin harada yerləşməsindən asılı olmayaraq GDPR-a uyğunluq məcburidir.

Əsas prinsiplər:

  • məqsədin məhdudlaşdırılması
  • məlumatların minimallaşdırılması
  • dəqiqlik
  • saxlanma müddətinin məhdudlaşdırılması
  • bütövlük və məxfilik

Aİ-nin Süni İntellekt Aktı (AI Act)

AI Act süni intellekt sistemlərini risk səviyyəsinə görə təsnif edir.

Maliyyə xidmətlərində istifadə olunan chatbotlar “yüksək riskli” kateqoriyaya daxil ola bilər və bu da aşağıdakı sahələrdə daha ciddi tələblər deməkdir:

  • şəffaflıq
  • sənədləşdirmə
  • insan nəzarəti

2026-cı ildən etibarən AI Act tələbləri mərhələli şəkildə tətbiq olunur, buna görə şirkətlər aktual tələblərin vəziyyətini daim izləməlidirlər.

Chatbot təhlükəsizliyinin test edilməsi

Müntəzəm testlər təhlükəsiz chatbotun təmin edilməsinin vacib hissəsidir.

Red Teaming

Bu, manipulyativ sorğular və qeyri-adi istifadə ssenariləri vasitəsilə chatbotun davranışını qəsdən “pozmağa” yönəlmiş cəhdlərdir.

Ən effektiv nəticə chatbotun hazırlanmasında iştirak etməmiş müstəqil komanda tərəfindən aparıldıqda əldə olunur.

Avtomatlaşdırılmış testlər

Xüsusi alətlər məlum hücum vektorlarını sistemli şəkildə yoxlamağa və zəiflikləri hücum edənlərdən əvvəl aşkar etməyə imkan verir.

GenAI əsaslı chatbotlar üçün böyük dil modellərinə uyğunlaşdırılmış xüsusi test frameworkləri mövcuddur.

Ssenari əsaslı testlər

Hər yeniləmədən sonra əsas ssenariləri yoxlamaq vacibdir:

  • daxili və ya həssas məlumatları əldə etmək mümkündürmü
  • bot yanlış və ya provokativ mesajlara necə reaksiya verir
  • dialoqu düzgün şəkildə canlı operatora ötürürmü

Bu yoxlamalar az vaxt aparır, lakin problemləri müştərilərdən əvvəl aşkar etməyə kömək edir.

Tez-tez verilən suallar (FAQ)

Chatbot üçün ayrıca təhlükəsizlik siyasəti lazımdırmı?

Bəli, tövsiyə olunur. Ümumi informasiya təhlükəsizliyi siyasəti prompt injection və ya sessiya kontekstinin izolyasiyası kimi spesifik riskləri əhatə etmir.

Ayrı sənəd və ya mövcud siyasətdə genişləndirilmiş bölmə məsuliyyətləri və prosedurları daha aydın müəyyən etməyə kömək edir.

Chatbot təhlükəsizlik auditi nə qədər tez-tez aparılmalıdır?

Minimum ildə bir dəfə və ya hər ciddi yeniləmədən sonra (yeni inteqrasiyalar, funksionallığın genişləndirilməsi).

Maliyyə sektorunda — rüblük və ya tənzimləyici mühitdə hər hansı dəyişiklik olduqda.

Chatbotda məlumatların emalı üçün istifadəçi razılığı tələb olunurmu?

Bəli, əgər şəxsi məlumatlar emal olunursa.

GDPR razılıqdan əlavə digər hüquqi əsasları (məsələn, müqavilənin icrası və ya qanuni maraq) nəzərdə tutsa da, istifadəçi hər halda məlumatların necə emal olunduğu barədə məlumatlandırılmalıdır.

Nəticə

Müştəri xidmətində chatbot təhlükəsizliyi davamlı bir prosesdir.

Təhdidlər inkişaf edir, tənzimləyici tələblər sərtləşir, müştərilər isə öz hüquqları barədə daha məlumatlı olur.

Təhlükəsizliyi chatbot arxitekturasına başlanğıcdan daxil edən şirkətlər əhəmiyyətli üstünlük əldə edir: daha az düzəliş xərcləri, daha aşağı risklər və daha yüksək müştəri etibarı.

Əlaqə forması

NovaTalks-da qeydiyyat

Pulsuz 14 günlük sınaq

NovaTalks-da qeydiyyat

Pulsuz 14 günlük sınaq