Administrasi

Retensi API dan data

Pelajari tentang bagaimana API Anthropic dan fitur terkait mempertahankan data, termasuk informasi tentang retensi data nol (ZDR) dan akses API siap HIPAA.

Informasi tentang kebijakan retensi standar Anthropic dijelaskan dalam kebijakan retensi data komersial Anthropic dan kebijakan retensi data konsumen.

Anthropic menawarkan dua pengaturan penanganan data untuk Claude API:

Retensi data nol (ZDR): Data pelanggan tidak disimpan saat istirahat setelah respons API dikembalikan, kecuali jika diperlukan untuk mematuhi hukum atau memerangi penyalahgunaan.
Kesiapan HIPAA: Untuk organisasi yang menangani informasi kesehatan yang dilindungi (PHI), Anthropic menawarkan akses API siap HIPAA dengan Perjanjian Mitra Bisnis (BAA) yang ditandatangani. Lihat Kesiapan HIPAA.

Pendekatan Anthropic terhadap retensi data

API dan fitur yang berbeda memiliki kebutuhan penyimpanan dan retensi yang berbeda. Jika API atau fitur tidak memerlukan penyimpanan prompt atau respons pelanggan, mungkin memenuhi syarat untuk ZDR. Jika API atau fitur harus menyimpan prompt atau respons pelanggan, Anthropic merancang jejak retensi sekecil mungkin. Untuk fitur-fitur ini:

Data yang dipertahankan tidak pernah digunakan untuk pelatihan model tanpa izin eksplisit Anda.
Hanya apa yang secara teknis diperlukan untuk API dan fitur bekerja yang dipertahankan. Konten percakapan (prompt Anda dan output Claude) tidak pernah dipertahankan kecuali jika secara eksplisit dicatat.
Data dihapus pada TTL terpendek yang praktis, dan Anthropic bertujuan untuk memberikan pelanggan kontrol atas berapa lama data dipertahankan. Apa yang disimpan, dan durasi retensi di mana TTL tertentu berlaku, didokumentasikan di halaman setiap fitur.

Dalam tabel kelayakan fitur, beberapa fitur ditandai "Ya (qualified)" di kolom ZDR eligible. Jika organisasi Anda memiliki pengaturan ZDR, Anda dapat menggunakan fitur-fitur ini dengan percaya diri bahwa apa yang Anthropic pertahankan sempit dan diperlukan untuk kinerja optimal.

Cakupan retensi data nol (ZDR)

Apa yang dicakup ZDR

API Claude tertentu: ZDR berlaku untuk Claude Messages dan Token Counting APIs
Claude Code: ZDR berlaku saat digunakan dengan kunci API organisasi Komersial atau melalui Claude Enterprise (lihat dokumentasi Claude Code ZDR)

Apa yang TIDAK dicakup ZDR

Console dan Workbench: Penggunaan apa pun di Console atau Workbench
Produk konsumen Claude: Paket Claude Free, Pro, atau Max, termasuk ketika pelanggan di paket tersebut menggunakan aplikasi web, desktop, atau mobile Claude atau Claude Code
Claude Teams dan Claude Enterprise: Antarmuka produk Claude Teams dan Claude Enterprise tidak memenuhi syarat ZDR, kecuali untuk Claude Code saat digunakan melalui Claude Enterprise dengan ZDR diaktifkan untuk organisasi. Untuk antarmuka produk lainnya, hanya kunci API organisasi Komersial yang memenuhi syarat untuk ZDR.
Integrasi pihak ketiga: Data yang diproses oleh situs web pihak ketiga, alat, atau integrasi lainnya tidak memenuhi syarat ZDR, meskipun beberapa mungkin memiliki penawaran serupa. Saat menggunakan layanan eksternal bersama dengan Claude API, pastikan untuk meninjau praktik penanganan data layanan tersebut.

Untuk informasi terbaru tentang produk dan fitur mana yang memenuhi syarat ZDR, lihat ketentuan kontrak Anda atau hubungi perwakilan akun Anthropic Anda.

Kesiapan HIPAA

Claude API mendukung integrasi siap HIPAA untuk organisasi yang menangani informasi kesehatan yang dilindungi (PHI). Dengan BAA yang ditandatangani dan organisasi yang diaktifkan HIPAA, Anda dapat menggunakan fitur API yang didukung untuk memproses PHI sambil mendukung kepatuhan HIPAA organisasi Anda.

Sebelumnya, organisasi yang memerlukan kesiapan HIPAA untuk Claude API perlu mengaktifkan ZDR. Akses API siap HIPAA menghilangkan persyaratan ini dan memberikan fondasi bagi Anthropic untuk secara progresif mengaktifkan fitur tambahan saat diaudit untuk kesiapan HIPAA.

Halaman ini mencakup kesiapan HIPAA untuk Claude API. Untuk Panduan Implementasi HIPAA lengkap yang mencakup Claude Enterprise, Claude Code, dan persyaratan konfigurasi, lihat Pusat Kepercayaan Anthropic.

Memulai

Untuk menyiapkan akses API siap HIPAA:

Menandatangani Perjanjian Mitra Bisnis
Hubungi tim penjualan Anthropic untuk menandatangani BAA yang mencakup penggunaan API.
Menyediakan organisasi yang diaktifkan HIPAA
Anthropic menyediakan organisasi khusus dengan kontrol kesiapan HIPAA diaktifkan. Organisasi ini secara otomatis memberlakukan pembatasan fitur, memblokir permintaan API yang menggunakan fitur yang tidak memenuhi syarat.
Membangun dengan fitur yang memenuhi syarat
Gunakan tabel kelayakan fitur untuk mengonfirmasi fitur mana yang didukung. Tinjau panduan penanganan PHI untuk fitur yang memerlukan pembatasan khusus tentang di mana PHI dapat muncul. Untuk persyaratan konfigurasi dan kepatuhan terperinci, lihat Panduan Implementasi HIPAA.

Kesiapan HIPAA diberlakukan di tingkat organisasi. Jika Anda memerlukan akses API siap HIPAA dan tujuan umum, gunakan organisasi terpisah untuk masing-masing.

Cakupan kesiapan HIPAA

Apa yang dicakup kesiapan HIPAA

Claude API: Kesiapan HIPAA berlaku untuk Claude API (api.anthropic.com) untuk fitur yang memenuhi syarat yang tercantum dalam tabel kelayakan fitur.

Apa yang TIDAK dicakup kesiapan HIPAA

Produk konsumen Claude: Paket Claude Free, Pro, atau Max
Console dan Workbench: Penggunaan melalui antarmuka Claude Console
Platform pihak ketiga: Claude di AWS Bedrock atau Google Cloud Vertex AI (lihat dokumentasi kepatuhan platform tersebut)
Integrasi pihak ketiga: Data yang diproses oleh alat eksternal atau layanan yang terhubung ke aplikasi Anda
Claude Code: Claude Code tidak tercakup dalam kesiapan HIPAA
Fitur beta: Fitur dalam beta umumnya tidak tercakup dalam BAA kecuali secara eksplisit tercantum sebagai memenuhi syarat dalam tabel kelayakan fitur

Panduan penanganan PHI

Informasi kesehatan yang dilindungi (PHI) mencakup informasi kesehatan yang dapat diidentifikasi secara individual. Dalam konteks Claude API, PHI biasanya muncul dalam:

Konten pesan (prompt dan respons dari Claude)
File terlampir (gambar, PDF)
Nama file dan metadata yang terkait dengan konten pesan

Bidang berikut tidak diharapkan mengandung PHI di bawah BAA: nama ruang kerja, informasi pengguna (nama, email, nomor telepon), data penagihan, dan tiket dukungan.

Pembatasan definisi skema dan alat

Saat menggunakan output terstruktur atau alat dengan strict: true, API mengompilasi skema JSON menjadi tata bahasa yang di-cache secara terpisah dari konten pesan. Skema yang di-cache ini tidak menerima perlindungan PHI yang sama seperti prompt dan respons.

Jangan sertakan PHI dalam definisi skema JSON. Pembatasan ini berlaku untuk:

Nama properti skema
nilai enum
nilai const
ekspresi reguler pattern

Informasi khusus pasien hanya boleh muncul dalam konten pesan, di mana dilindungi di bawah perlindungan HIPAA.

Penanganan kesalahan HIPAA

BAA yang ditandatangani Anda adalah sumber kebenaran resmi untuk fitur mana yang tercakup. API juga memberlakukan pembatasan ini secara otomatis: ketika organisasi yang diaktifkan HIPAA mengirim permintaan yang mencakup fitur yang tidak memenuhi syarat, API mengembalikan kesalahan 400 untuk mencegah penggunaan fitur yang tidak tercakup oleh BAA Anda secara tidak sengaja:

{
  "type": "error",
  "error": {
    "type": "invalid_request_error",
    "message": "The requested features are not available for HIPAA-regulated organizations without Zero Data Retention: code_execution."
  }
}

Pesan kesalahan mencantumkan fitur yang tidak memenuhi syarat yang terdeteksi dalam permintaan. Hapus fitur-fitur ini dari permintaan Anda dan coba lagi.

Kelayakan fitur

Tabel berikut mencantumkan fitur Claude API mana yang memenuhi syarat untuk pengaturan ZDR dan kesiapan HIPAA. Untuk organisasi yang diaktifkan HIPAA, fitur yang ditandai "Tidak" di kolom HIPAA secara otomatis diblokir, dan permintaan yang mencakupnya mengembalikan kesalahan 400.

Fitur	Endpoint	ZDR eligible	HIPAA eligible	Detail
Messages API	`/v1/messages`	Ya	Ya	Panggilan API standar untuk menghasilkan respons Claude.
Token counting	`/v1/messages/count_tokens`	Ya	Ya	Hitung token sebelum mengirim permintaan.
Web search	`/v1/messages` (dengan alat `web_search`)

¹ Dynamic filtering tidak memenuhi syarat untuk ZDR atau HIPAA.

² Meskipun web fetch memenuhi syarat ZDR, penerbit situs web dapat mempertahankan data permintaan (seperti URL yang diambil dan metadata permintaan) sesuai dengan kebijakan mereka sendiri.

³ PHI tidak boleh disertakan dalam definisi skema JSON. Lihat panduan penanganan PHI.

Batasan dan pengecualian

CORS tidak didukung untuk ZDR

Cross-Origin Resource Sharing (CORS) tidak didukung untuk organisasi dengan pengaturan ZDR. Jika Anda perlu membuat panggilan API dari aplikasi berbasis browser, Anda harus:

Gunakan server proxy backend untuk membuat panggilan API atas nama front end Anda
Implementasikan penanganan CORS Anda sendiri di server proxy
Jangan pernah mengekspos kunci API langsung di JavaScript browser

Retensi data untuk pelanggaran kebijakan dan jika diperlukan oleh hukum

Bahkan dengan pengaturan ZDR atau HIPAA yang ada, Anthropic dapat mempertahankan data jika diperlukan oleh hukum atau untuk memerangi pelanggaran Kebijakan Penggunaan dan penggunaan jahat platform Anthropic. Akibatnya, jika obrolan atau sesi ditandai untuk pelanggaran seperti itu, Anthropic dapat mempertahankan input dan output hingga 2 tahun.

Pertanyaan yang sering diajukan

Sumber daya terkait

Was this page helpful?

Administrasi

Retensi API dan data

Pelajari tentang bagaimana API Anthropic dan fitur terkait mempertahankan data, termasuk informasi tentang retensi data nol (ZDR) dan akses API siap HIPAA.

Informasi tentang kebijakan retensi standar Anthropic dijelaskan dalam kebijakan retensi data komersial Anthropic dan kebijakan retensi data konsumen.

Anthropic menawarkan dua pengaturan penanganan data untuk Claude API:

Retensi data nol (ZDR): Data pelanggan tidak disimpan saat istirahat setelah respons API dikembalikan, kecuali jika diperlukan untuk mematuhi hukum atau memerangi penyalahgunaan.
Kesiapan HIPAA: Untuk organisasi yang menangani informasi kesehatan yang dilindungi (PHI), Anthropic menawarkan akses API siap HIPAA dengan Perjanjian Mitra Bisnis (BAA) yang ditandatangani. Lihat Kesiapan HIPAA.

Pendekatan Anthropic terhadap retensi data

Data yang dipertahankan tidak pernah digunakan untuk pelatihan model tanpa izin eksplisit Anda.
Hanya apa yang secara teknis diperlukan untuk API dan fitur bekerja yang dipertahankan. Konten percakapan (prompt Anda dan output Claude) tidak pernah dipertahankan kecuali jika secara eksplisit dicatat.
Data dihapus pada TTL terpendek yang praktis, dan Anthropic bertujuan untuk memberikan pelanggan kontrol atas berapa lama data dipertahankan. Apa yang disimpan, dan durasi retensi di mana TTL tertentu berlaku, didokumentasikan di halaman setiap fitur.

Cakupan retensi data nol (ZDR)

Apa yang dicakup ZDR

API Claude tertentu: ZDR berlaku untuk Claude Messages dan Token Counting APIs
Claude Code: ZDR berlaku saat digunakan dengan kunci API organisasi Komersial atau melalui Claude Enterprise (lihat dokumentasi Claude Code ZDR)

Apa yang TIDAK dicakup ZDR

Console dan Workbench: Penggunaan apa pun di Console atau Workbench
Produk konsumen Claude: Paket Claude Free, Pro, atau Max, termasuk ketika pelanggan di paket tersebut menggunakan aplikasi web, desktop, atau mobile Claude atau Claude Code
Claude Teams dan Claude Enterprise: Antarmuka produk Claude Teams dan Claude Enterprise tidak memenuhi syarat ZDR, kecuali untuk Claude Code saat digunakan melalui Claude Enterprise dengan ZDR diaktifkan untuk organisasi. Untuk antarmuka produk lainnya, hanya kunci API organisasi Komersial yang memenuhi syarat untuk ZDR.
Integrasi pihak ketiga: Data yang diproses oleh situs web pihak ketiga, alat, atau integrasi lainnya tidak memenuhi syarat ZDR, meskipun beberapa mungkin memiliki penawaran serupa. Saat menggunakan layanan eksternal bersama dengan Claude API, pastikan untuk meninjau praktik penanganan data layanan tersebut.

Untuk informasi terbaru tentang produk dan fitur mana yang memenuhi syarat ZDR, lihat ketentuan kontrak Anda atau hubungi perwakilan akun Anthropic Anda.

Kesiapan HIPAA

Memulai

Untuk menyiapkan akses API siap HIPAA:

Menandatangani Perjanjian Mitra Bisnis
Hubungi tim penjualan Anthropic untuk menandatangani BAA yang mencakup penggunaan API.
Menyediakan organisasi yang diaktifkan HIPAA
Anthropic menyediakan organisasi khusus dengan kontrol kesiapan HIPAA diaktifkan. Organisasi ini secara otomatis memberlakukan pembatasan fitur, memblokir permintaan API yang menggunakan fitur yang tidak memenuhi syarat.
Membangun dengan fitur yang memenuhi syarat
Gunakan tabel kelayakan fitur untuk mengonfirmasi fitur mana yang didukung. Tinjau panduan penanganan PHI untuk fitur yang memerlukan pembatasan khusus tentang di mana PHI dapat muncul. Untuk persyaratan konfigurasi dan kepatuhan terperinci, lihat Panduan Implementasi HIPAA.

Kesiapan HIPAA diberlakukan di tingkat organisasi. Jika Anda memerlukan akses API siap HIPAA dan tujuan umum, gunakan organisasi terpisah untuk masing-masing.

Cakupan kesiapan HIPAA

Apa yang dicakup kesiapan HIPAA

Claude API: Kesiapan HIPAA berlaku untuk Claude API (api.anthropic.com) untuk fitur yang memenuhi syarat yang tercantum dalam tabel kelayakan fitur.

Apa yang TIDAK dicakup kesiapan HIPAA

Produk konsumen Claude: Paket Claude Free, Pro, atau Max
Console dan Workbench: Penggunaan melalui antarmuka Claude Console
Platform pihak ketiga: Claude di AWS Bedrock atau Google Cloud Vertex AI (lihat dokumentasi kepatuhan platform tersebut)
Integrasi pihak ketiga: Data yang diproses oleh alat eksternal atau layanan yang terhubung ke aplikasi Anda
Claude Code: Claude Code tidak tercakup dalam kesiapan HIPAA
Fitur beta: Fitur dalam beta umumnya tidak tercakup dalam BAA kecuali secara eksplisit tercantum sebagai memenuhi syarat dalam tabel kelayakan fitur

Panduan penanganan PHI

Informasi kesehatan yang dilindungi (PHI) mencakup informasi kesehatan yang dapat diidentifikasi secara individual. Dalam konteks Claude API, PHI biasanya muncul dalam:

Konten pesan (prompt dan respons dari Claude)
File terlampir (gambar, PDF)
Nama file dan metadata yang terkait dengan konten pesan

Bidang berikut tidak diharapkan mengandung PHI di bawah BAA: nama ruang kerja, informasi pengguna (nama, email, nomor telepon), data penagihan, dan tiket dukungan.

Pembatasan definisi skema dan alat

Jangan sertakan PHI dalam definisi skema JSON. Pembatasan ini berlaku untuk:

Nama properti skema
nilai enum
nilai const
ekspresi reguler pattern

Informasi khusus pasien hanya boleh muncul dalam konten pesan, di mana dilindungi di bawah perlindungan HIPAA.

Penanganan kesalahan HIPAA

{
  "type": "error",
  "error": {
    "type": "invalid_request_error",
    "message": "The requested features are not available for HIPAA-regulated organizations without Zero Data Retention: code_execution."
  }
}

Pesan kesalahan mencantumkan fitur yang tidak memenuhi syarat yang terdeteksi dalam permintaan. Hapus fitur-fitur ini dari permintaan Anda dan coba lagi.

Kelayakan fitur

Fitur	Endpoint	ZDR eligible	HIPAA eligible	Detail
Messages API	`/v1/messages`	Ya	Ya	Panggilan API standar untuk menghasilkan respons Claude.
Token counting	`/v1/messages/count_tokens`	Ya	Ya	Hitung token sebelum mengirim permintaan.
Web search	`/v1/messages` (dengan alat `web_search`)

¹ Dynamic filtering tidak memenuhi syarat untuk ZDR atau HIPAA.

² Meskipun web fetch memenuhi syarat ZDR, penerbit situs web dapat mempertahankan data permintaan (seperti URL yang diambil dan metadata permintaan) sesuai dengan kebijakan mereka sendiri.

³ PHI tidak boleh disertakan dalam definisi skema JSON. Lihat panduan penanganan PHI.

Batasan dan pengecualian

CORS tidak didukung untuk ZDR

Cross-Origin Resource Sharing (CORS) tidak didukung untuk organisasi dengan pengaturan ZDR. Jika Anda perlu membuat panggilan API dari aplikasi berbasis browser, Anda harus:

Gunakan server proxy backend untuk membuat panggilan API atas nama front end Anda
Implementasikan penanganan CORS Anda sendiri di server proxy
Jangan pernah mengekspos kunci API langsung di JavaScript browser

Retensi data untuk pelanggaran kebijakan dan jika diperlukan oleh hukum

Pertanyaan yang sering diajukan

Sumber daya terkait

Was this page helpful?

Pendekatan Anthropic terhadap retensi data

Cakupan retensi data nol (ZDR)

Kesiapan HIPAA

Memulai

Cakupan kesiapan HIPAA

Panduan penanganan PHI

Pembatasan definisi skema dan alat

Penanganan kesalahan HIPAA

Kelayakan fitur

Batasan dan pengecualian

CORS tidak didukung untuk ZDR

Retensi data untuk pelanggaran kebijakan dan jika diperlukan oleh hukum

Pertanyaan yang sering diajukan

Bagaimana cara saya tahu jika organisasi saya memiliki pengaturan ZDR?

Bisakah saya menggunakan fitur ZDR-eligible (qualified) di bawah pengaturan ZDR saya?

Apa yang terjadi jika saya menggunakan fitur yang ditandai "Tidak" di bawah ZDR?

Bisakah saya meminta penghapusan data dari fitur yang tidak memenuhi syarat ZDR?

Bagaimana kesiapan HIPAA berbeda dari ZDR?

Apakah saya masih memerlukan ZDR jika saya memiliki kesiapan HIPAA?

Apa yang terjadi jika saya menggunakan fitur yang tidak memenuhi syarat di bawah HIPAA?

Sumber daya terkait

Pendekatan Anthropic terhadap retensi data

Cakupan retensi data nol (ZDR)

Kesiapan HIPAA

Memulai

Cakupan kesiapan HIPAA

Panduan penanganan PHI

Pembatasan definisi skema dan alat

Penanganan kesalahan HIPAA

Kelayakan fitur

Batasan dan pengecualian

CORS tidak didukung untuk ZDR

Retensi data untuk pelanggaran kebijakan dan jika diperlukan oleh hukum

Pertanyaan yang sering diajukan

Bagaimana cara saya tahu jika organisasi saya memiliki pengaturan ZDR?

Bisakah saya menggunakan fitur ZDR-eligible (qualified) di bawah pengaturan ZDR saya?

Apa yang terjadi jika saya menggunakan fitur yang ditandai "Tidak" di bawah ZDR?

Bisakah saya meminta penghapusan data dari fitur yang tidak memenuhi syarat ZDR?

Bagaimana kesiapan HIPAA berbeda dari ZDR?

Apakah saya masih memerlukan ZDR jika saya memiliki kesiapan HIPAA?

Apa yang terjadi jika saya menggunakan fitur yang tidak memenuhi syarat di bawah HIPAA?

Sumber daya terkait

Bisakah saya menggunakan organisasi yang sama untuk beban kerja HIPAA dan non-HIPAA?

Bagaimana cara saya meminta akses API siap HIPAA?

Apakah ini berlaku untuk Claude di AWS Bedrock atau Vertex AI?

Apakah Claude Code memenuhi syarat untuk ZDR?

Apakah Claude for Excel mendukung ZDR?

Bagaimana cara saya meminta ZDR?