الانتقال إلى المحتوى الرئيسي
إذا كان وكيلك يتعامل مع بيانات العملاء، فالمكانان اللذان تتسرّب منهما PII هما المطالبات التي ترسلها للمزود الأعلى والسجلات التي تحتفظ بها. تربط هذه الوصفة التسجيل الآمن لـ PII من طرف إلى طرف: قاعدة تقنيع PII تفرك الطلب قبل النموذج، والمحتوى المطابق الخام يبقى خارج تغذية التطابقات لديك افتراضياً، واحتفاظ سجل الطلبات مقيَّد بحيث لا يبقى شيء. كل ما أدناه ضبط لمساحة العمل في وحدة التحكم — يستمر تطبيقك في استدعاء /v1/chat/completions بلا تغيير.
كل خطوة ضبط محكومة بالدور. تأليف حاجز حماية يتطلب Developer+؛ تغيير الاحتفاظ أو إقامة الامتثال يتطلب Admin لمساحة العمل. قراءة تغذية Matches مفتوحة لأي Member.

1. خط أنابيب التسجيل الآمن لـ PII في ثلاث حركات

خط أنابيب آمن لـ PII هو ثلاثة ضوابط مستقلة، كل واحد مفتاح تقلبه مرة واحدة لكامل مساحة العمل:

قنّع عند الحافة

قاعدة حاجز حماية pii تنقّح رسائل البريد وأرقام الضمان الاجتماعي والبطاقات والمزيد إلى وسوم مُصنَّفة قبل أن يرى النموذج الأعلى الطلب أبداً.

لا تسجّل محتوى خاماً

مفتاح Log raw content للحاجز مطفأ افتراضياً، فتسجّل تغذية التطابقات أنّ قاعدة أُطلقت، لا السلسلة الفرعية المطابقة أبداً.

قيّد الاحتفاظ

احتفاظ سجل الطلبات افتراضه 30 يوماً ومقيَّد من الخادم إلى حد أقصى صارم 180 يوماً — قصير الأجل بالتصميم.
تربط بقية هذه الصفحة الثلاثة معاً بمثال ملموس واحد.

2. قنّع PII قبل أن يراه النموذج

أنشئ حاجز حماية بقاعدة pii واحدة على مرحلة input وإجراء mask. عند إجراء mask يُستبدَل كل تطابق بوسم مُصنَّف — يصبح البريد [EMAIL]، ورقم الضمان الاجتماعي [SSN] — فيستقبل النموذج الأعلى طلباً منظَّفاً، لا الأصلي. 
{
  "type": "pii",
  "stage": "input",
  "action": "mask",
  "entities": ["email", "phone", "ssn", "credit_card", "ip"]
}
في وحدة التحكم: Guardrails → New guardrail، أضف القاعدة أعلاه (أو ابدأ من الإعداد المسبق PII Shield تحت الفئة PII)، ثم احفظ. اربطه بمفتاح API عبر القائمة المنسدلة Guardrail للمفتاح، أو اضبطه كافتراضي لمساحة العمل بحيث يرثه كل مفتاح.
تريد بعض الكيانات مقنَّعة وأخرى مرفوضة بالكامل؟ قاعدة واحدة يمكنها حمل تجاوزات لكل كيان — قنّع email/phone لكن block على ssn/credit_card — عبر entity_actions. انظر حواجز الحماية لمجموعة كيانات PII الكاملة، وكيانات regex المخصصة، وصياغة التجاوز لكل كيان.
أرسل طلباً بذلك المفتاح ويُنقَّح البريد في الطيران: 
curl https://api.orcarouter.ai/v1/chat/completions \
  -H "Authorization: Bearer sk-orca-..." \
  -H "Content-Type: application/json" \
  -d '{
    "model": "openai/gpt-4o-mini",
    "messages": [
      {"role": "user", "content": "Draft a reply to jane@acme.com about her SSN 123-45-6789"}
    ]
  }'
يرى النموذج Draft a reply to [EMAIL] about her SSN [SSN]. لا تغادر القيم الأصلية البوابة أبداً.
تقنيع مرحلة الإدخال هو ما يعتمد عليه خط أنابيب آمن لـ PII — يفرك الطلب قبل الاستدعاء الأعلى. يعمل تقنيع مرحلة المخرجات على الاستجابات غير المتدفقة والمتدفقة (يعيد التدفق كتابة كل مقطع في مكانه)، فيمكنك أيضاً تنقيح PII الذي يصدره النموذج.

3. أبقِ المحتوى الخام خارج سجلاتك

كل قاعدة تُطلق تسجّل تطابقاً — نوعها، إجراؤها، مرحلتها، وسلسلة تفصيل. ما إذا كان التطابق يخزّن أيضاً السلسلة الفرعية المطابقة (عنوان البريد الفعلي، رقم الضمان الاجتماعي الفعلي) محكوم بمفتاح Log raw content للحاجز، وهو مطفأ افتراضياً — الموقف المحافظ على الخصوصية.
مع إطفاء Log raw content، تُظهر تغذية Matches أن قاعدة pii قنّعت email على مرحلة input، لكن ليس العنوان نفسه. ذلك بالضبط ما تريده لخط أنابيب آمن لـ PII: قابلية تدقيق كاملة لـما أُطلق، وصفر PII محتفَظ به. اتركه مطفأً في الإنتاج؛ شغّله لكل حاجز فقط للفرز قصير الأجل. المفتاح غير رجعي.
اقرأ التغذية على Guardrails → Matches (GET /api/guardrail/match، Member). جمّع وصفِّ حسب الحاجز، ونوع القاعدة، والإجراء لرؤية معدّل تقنيعك دون إظهار قيمة حقيقية أبداً. تعليم تطابق كإيجابية كاذبة إجراء Admin (POST /api/guardrail/match/:id/mark-fp).

4. قيّد كم تعيش سجلات الطلبات

التقاط سجل الطلبات ميزة استكشاف أخطاء اختيارية، وعندما تكون مفعّلة، يكون الاحتفاظ محدوداً:
الإعدادالقيمةالسلوك
الاحتفاظ الافتراضي30 يوماًيُطبَّق عندما لا تُضبط قيمة لكل مساحة عمل.
الحد الأقصى الصارم180 يوماًأي قيمة أطول تُقيَّد من الخادم نزولاً.
لا يمكنك تجاوز سقف الـ 180 يوماً — يُفرض وقت الكتابة، لا اقتراح. مدموجاً مع التقنيع من §2، حتى السجلات الملتقَطة تحمل نصاً منظَّفاً، وتتقادم على ساعة ثابتة.
عامل سجلات الطلبات الملتقَطة كرافعة تصحيح، لا متجر بيانات. فعّل الالتقاط أثناء حادث، أبقِ نافذة الاحتفاظ ضيقة، واعتمد على تغذية Matches (التي لا تحمل PII خاماً أبداً عندما يكون Log raw content مطفأً) للقابلية للملاحظة في الحالة المستقرة.

5. الحق في المحو والإقامة

ضابطان آخران يكملان خط أنابيب متوافقاً:
حذف المستخدم لنفسه يدخل نافذة مهلة 30 يوماً، يُفرَك بعدها PII ويزيل تطهير متسلسل سجلات طلبات ذلك المستخدم، وتطابقات حواجز الحماية، وأحداث جدار الحماية معاً — فلا يعمّر أي أثر أكثر من طلب المحو.
اضبط المنطقة التي تُثبَّت إليها أعمال تقرير الامتثال لديك (us، eu، uk، ap، cn، global) عبر PUT /api/compliance/residency (Admin). تُحجب القراءات عبر المناطق لتقرير. هذا يثبّت منطقة عمل التقرير — وليس تثبيتاً جغرافياً لبيانات الاستدلال.

6. تحقّق قبل أن تطلق

أثبت أن التقنيع يفعل ما تتوقّعه قبل أن تعتمد عليه أي حركة مرور:
1

جرّب القاعدة في صندوق الرمل

افتح تبويب Test في محرّر حاجز الحماية، الصق نصاً عينة ببريد ورقم ضمان اجتماعي يبدوان حقيقيين، اختر مرحلة input، وشغّل. يعيد صندوق الرمل الحكم والنص المعروض ([EMAIL]، [SSN]) دون استدعاء أعلى أو أي حصة منفقة.
2

قيّم مقابل مجموعة

يشغّل تبويب Eval السياسة على مجموعات JSONL مرفقة أو مخصصة بحيث يمكنك قياس معدّل الالتقاط والإيجابيات الكاذبة قبل البدء.
3

أكّد أن التغذية تبقى نظيفة

أرسل طلباً حقيقياً واحداً، ثم افتح Matches وأكّد أن المدخل يُظهر أن القاعدة أُطلقت بلا سلسلة فرعية مطابقة — دليل أن Log raw content مطفأ.

ذات صلة

مرجع حواجز الحماية

مجموعة كيانات PII الكاملة، والكيانات المخصصة، وتجاوزات كل كيان، وتغذية Matches.

تأمين خط أنابيب RAG

ضوابط التأريض وPII للوكلاء المعزَّزين بالاسترجاع.

أدلة SOC 2

حوّل نشاط حواجز الحماية وجدار الحماية إلى تقارير تدقيق موقَّعة.

تسريب البيانات

نموذج التهديد خلف إبقاء PII خارج السلك وخارج السجلات.