AdminData & kepatuhan

API dan retensi data

Pelajari bagaimana API Anthropic dan fitur terkait menyimpan data, termasuk informasi tentang zero data retention (ZDR) dan akses API yang siap HIPAA.

Informasi tentang kebijakan retensi standar Anthropic tercantum dalam kebijakan retensi data komersial Anthropic dan kebijakan retensi data konsumen.

Anthropic menawarkan dua pengaturan penanganan data untuk Claude API:

Zero data retention (ZDR): Data pelanggan tidak disimpan dalam keadaan diam setelah respons API dikembalikan, kecuali jika diperlukan untuk mematuhi hukum atau memerangi penyalahgunaan.
Kesiapan HIPAA: Untuk organisasi yang menangani protected health information (PHI), Anthropic menawarkan akses API yang siap HIPAA dengan Business Associate Agreement (BAA) yang ditandatangani. Lihat Kesiapan HIPAA.

Pendekatan Anthropic terhadap retensi data

API dan fitur yang berbeda memiliki kebutuhan penyimpanan dan retensi yang berbeda. Jika suatu API atau fitur tidak memerlukan penyimpanan prompt atau respons pelanggan, API atau fitur tersebut mungkin memenuhi syarat untuk ZDR. Jika suatu API atau fitur memang memerlukan penyimpanan prompt atau respons pelanggan, Anthropic merancangnya dengan jejak retensi sekecil mungkin. Untuk fitur-fitur ini:

Data yang disimpan tidak pernah digunakan untuk pelatihan model tanpa izin eksplisit Anda.
Hanya data yang secara teknis diperlukan agar API dan fitur dapat berfungsi yang disimpan. Konten percakapan (prompt Anda dan output Claude) tidak disimpan secara default. Model tertentu memerlukan retensi data 30 hari; lihat Persyaratan retensi data khusus model.
Data dihapus dengan TTL sesingkat mungkin secara praktis, dan Anthropic berupaya memberikan kontrol kepada pelanggan atas berapa lama data disimpan. Apa yang disimpan, dan durasi retensi ketika TTL tertentu berlaku, didokumentasikan di halaman masing-masing fitur.

Data yang dapat diakses melalui Compliance API mengikuti model retensinya sendiri. Activity Feed menyimpan data selama 6 tahun. Konten chat, file, dan proyek dari claude.ai mengikuti kebijakan retensi organisasi Anda, yang diatur di claude.ai > Organization settings > Data and privacy.

Dalam tabel kelayakan fitur, beberapa fitur ditandai "Ya (dengan kualifikasi)" di kolom kelayakan ZDR. Jika organisasi Anda memiliki pengaturan ZDR, Anda dapat menggunakan fitur-fitur ini dengan keyakinan bahwa apa yang disimpan Anthropic bersifat terbatas dan diperlukan untuk kinerja optimal.

Cakupan zero data retention (ZDR)

Claude Fable 5 dan Claude Mythos 5 tidak tersedia di bawah ZDR; lihat Persyaratan retensi data khusus model.

Apa yang dicakup ZDR

API Claude tertentu: ZDR berlaku untuk Claude Messages API dan Token Counting API.
Claude Code: ZDR berlaku ketika digunakan dengan kunci API organisasi Komersial atau melalui Claude Enterprise (lihat dokumentasi ZDR Claude Code)

Apa yang TIDAK dicakup ZDR

Console dan Workbench: Penggunaan apa pun di Console atau Workbench
Claude Managed Agents: Claude Managed Agents adalah sumber daya yang bersifat stateful. Anda dapat menghapus transkrip sesi, tetapi tidak ada penghapusan otomatis.
Produk konsumen Claude: Paket Claude Free, Pro, atau Max, termasuk ketika pelanggan pada paket tersebut menggunakan aplikasi web, desktop, atau seluler Claude, atau Claude Code
Claude Teams dan Claude Enterprise: Antarmuka produk Claude Teams dan Claude Enterprise tidak memenuhi syarat ZDR, kecuali untuk Claude Code ketika digunakan melalui Claude Enterprise dengan ZDR yang diaktifkan untuk organisasi tersebut. Untuk antarmuka produk lainnya, hanya kunci API organisasi Komersial yang memenuhi syarat untuk ZDR.
Integrasi pihak ketiga: Data yang diproses oleh situs web, alat, atau integrasi pihak ketiga lainnya tidak memenuhi syarat ZDR, meskipun beberapa mungkin memiliki penawaran serupa. Saat menggunakan layanan eksternal bersama dengan Claude API, pastikan untuk meninjau praktik penanganan data layanan tersebut.

Untuk informasi terbaru tentang produk dan fitur apa saja yang memenuhi syarat ZDR, lihat ketentuan kontrak Anda atau hubungi perwakilan akun Anthropic Anda.

Persyaratan retensi data khusus model

Claude Fable 5 dan Claude Mythos 5 ditetapkan sebagai Covered Models dan memerlukan retensi data 30 hari. Zero data retention tidak tersedia untuk Claude Fable 5 atau Claude Mythos 5. Permintaan ke salah satu model tersebut dari organisasi yang konfigurasi retensi datanya tidak memenuhi persyaratan ini akan mengembalikan 400 invalid_request_error.

Persyaratan ini berlaku pada Claude API. Untuk Claude Fable 5 di Amazon Bedrock, Vertex AI, dan Microsoft Foundry, persyaratan retensi data ditetapkan oleh masing-masing platform.

Organisasi dengan pengaturan ZDR dapat mengonfigurasi retensi data di tingkat workspace di Claude Console > Settings > Workspaces: buka tab Privacy controls pada suatu workspace dan aktifkan retensi data 30 hari untuk workspace tersebut. Ini membuat Claude Fable 5 dan Claude Mythos 5 tersedia di workspace yang ditentukan sementara workspace lain dalam organisasi tetap menggunakan zero data retention. Workspace tanpa pengaturan khusus akan mengikuti default organisasi.

Kesiapan HIPAA

Claude API mendukung integrasi yang siap HIPAA untuk organisasi yang menangani protected health information (PHI). Dengan BAA yang ditandatangani dan organisasi yang mengaktifkan HIPAA, Anda dapat menggunakan fitur API yang didukung untuk memproses PHI sambil mendukung kepatuhan HIPAA organisasi Anda.

Sebelumnya, organisasi yang memerlukan kesiapan HIPAA untuk Claude API perlu mengaktifkan ZDR. Akses API yang siap HIPAA menghilangkan persyaratan ini dan menyediakan fondasi bagi Anthropic untuk secara bertahap mengaktifkan fitur tambahan seiring fitur-fitur tersebut diaudit untuk kesiapan HIPAA.

Halaman ini membahas kesiapan HIPAA untuk Claude API. Untuk Panduan Implementasi HIPAA lengkap yang mencakup Claude Enterprise dan persyaratan konfigurasi, lihat Anthropic Trust Center.

Memulai

Untuk menyiapkan akses API yang siap HIPAA:

Tanda tangani Business Associate Agreement
Hubungi tim penjualan Anthropic untuk menandatangani BAA yang mencakup penggunaan API.
Sediakan organisasi yang mengaktifkan HIPAA
Anthropic menyediakan organisasi khusus dengan kontrol kesiapan HIPAA yang diaktifkan. Organisasi ini secara otomatis menerapkan pembatasan fitur, memblokir permintaan API yang menggunakan fitur yang tidak memenuhi syarat.
Bangun dengan fitur yang memenuhi syarat
Gunakan tabel kelayakan fitur untuk mengonfirmasi fitur mana yang didukung. Tinjau pedoman penanganan PHI untuk fitur yang memerlukan pembatasan khusus tentang di mana PHI dapat muncul. Untuk persyaratan konfigurasi dan kepatuhan yang terperinci, lihat Panduan Implementasi HIPAA.

Kesiapan HIPAA diterapkan di tingkat organisasi. Jika Anda memerlukan akses API yang siap HIPAA dan akses API untuk tujuan umum, gunakan organisasi terpisah untuk masing-masing.

Cakupan kesiapan HIPAA

Apa yang dicakup kesiapan HIPAA

Claude API: Kesiapan HIPAA berlaku untuk Claude API (api.anthropic.com) untuk fitur yang memenuhi syarat yang tercantum dalam tabel kelayakan fitur.

Apa yang TIDAK dicakup kesiapan HIPAA

Produk konsumen Claude: Paket Claude Free, Pro, atau Max
Console dan Workbench: Penggunaan melalui antarmuka Claude Console
Platform yang dioperasikan mitra: Amazon Bedrock atau Vertex AI (lihat dokumentasi kepatuhan platform tersebut)
Claude Platform di AWS dan Microsoft Foundry: Kesiapan HIPAA tidak tersedia
Integrasi pihak ketiga: Data yang diproses oleh alat atau layanan eksternal yang terhubung ke aplikasi Anda
Claude Code: Claude Code tidak dicakup dalam kesiapan HIPAA
Fitur beta: Fitur dalam tahap beta umumnya tidak dicakup dalam BAA kecuali secara eksplisit tercantum sebagai memenuhi syarat dalam tabel kelayakan fitur

Pedoman penanganan PHI

Protected health information (PHI) mencakup informasi kesehatan apa pun yang dapat diidentifikasi secara individual. Dalam konteks Claude API, PHI biasanya muncul dalam:

Konten pesan (prompt dan respons dari Claude)
File terlampir (gambar, PDF)
Nama file dan metadata yang terkait dengan konten pesan

Bidang berikut tidak diharapkan mengandung PHI berdasarkan BAA: nama workspace, informasi pengguna (nama, email, nomor telepon), data penagihan, dan tiket dukungan.

Pembatasan skema dan definisi alat

Saat menggunakan structured outputs atau alat dengan strict: true, API mengompilasi skema JSON menjadi grammar yang di-cache secara terpisah dari konten pesan. Skema yang di-cache ini tidak menerima perlindungan PHI yang sama seperti prompt dan respons.

Jangan sertakan PHI dalam definisi skema JSON. Pembatasan ini berlaku untuk:

Nama properti skema
Nilai enum
Nilai const
Ekspresi reguler pattern

Informasi spesifik pasien hanya boleh muncul dalam konten pesan, di mana informasi tersebut dilindungi di bawah pengamanan HIPAA.

Penanganan error HIPAA

BAA yang Anda tanda tangani adalah sumber kebenaran resmi untuk fitur mana yang dicakup. API juga menerapkan pembatasan ini secara otomatis: ketika organisasi yang mengaktifkan HIPAA mengirim permintaan yang menyertakan fitur yang tidak memenuhi syarat, API mengembalikan error 400 untuk mencegah penggunaan fitur yang tidak dicakup oleh BAA Anda secara tidak sengaja:

{
  "type": "error",
  "error": {
    "type": "invalid_request_error",
    "message": "The requested features are not available for HIPAA-regulated organizations without Zero Data Retention: code_execution."
  }
}

Pesan error mencantumkan fitur yang tidak memenuhi syarat yang terdeteksi dalam permintaan. Hapus fitur-fitur ini dari permintaan Anda dan coba lagi.

Kelayakan fitur

Tabel berikut mencantumkan fitur Claude API mana yang memenuhi syarat untuk pengaturan ZDR dan kesiapan HIPAA. Untuk organisasi yang mengaktifkan HIPAA, fitur yang ditandai "Tidak" di kolom HIPAA diblokir secara otomatis, dan permintaan yang menyertakannya akan mengembalikan error 400.

Fitur	Endpoint	Memenuhi syarat ZDR	Memenuhi syarat HIPAA	Detail
Messages API	`/v1/messages`	Ya	Ya	Panggilan API standar untuk menghasilkan respons Claude.
Penghitungan token	`/v1/messages/count_tokens`	Ya	Ya	Hitung token sebelum mengirim permintaan.
Pencarian web	`/v1/messages` (dengan alat `web_search`)	Ya¹	Ya¹	Hasil pencarian web real-time dikembalikan dalam respons API.
Web fetch	`/v1/messages` (dengan alat `web_fetch`)	Ya¹ ²	Tidak	Konten web yang diambil dikembalikan dalam respons API.
Alat advisor	`/v1/messages` (dengan alat `advisor`)	Ya	Tidak	Output model advisor dikembalikan dalam respons API; tidak ada yang disimpan di sisi server setelah respons.
Alat memori	`/v1/messages` (dengan alat `memory`)	Ya	Ya	Penyimpanan memori sisi klien di mana Anda mengontrol retensi data.
Manajemen konteks (compaction)	`/v1/messages` (dengan `context_management`)	Ya	Tidak	Hasil compaction sisi server dikembalikan/dikirim bolak-balik secara stateless melalui respons API.
Pengeditan konteks	`/v1/messages` (dengan `context_management`)	Ya	Tidak	Pengeditan konteks (pembersihan tool use + pembersihan thinking) diterapkan secara real time.
Mode cepat	`/v1/messages` (dengan `speed: "fast"`)	Ya	Ya	Endpoint Messages API yang sama dengan inferensi lebih cepat. ZDR berlaku terlepas dari pengaturan kecepatan.
Jendela konteks 1 juta token	`/v1/messages`	Ya	Ya	Pemrosesan konteks yang diperluas menggunakan Messages API standar.
Pemikiran adaptif	`/v1/messages`	Ya	Ya	Kedalaman pemikiran dinamis menggunakan Messages API standar.
Sitasi	`/v1/messages`	Ya	Ya	Atribusi sumber menggunakan Messages API standar.
Residensi data	`/v1/messages` (dengan `inference_geo`)	Ya	Ya	Perutean geografis menggunakan Messages API standar.
Effort	`/v1/messages` (dengan `effort`)	Ya	Ya	Kontrol efisiensi token menggunakan Messages API standar.
Pemikiran diperpanjang	`/v1/messages` (dengan `thinking`)	Ya	Ya	Penalaran langkah demi langkah menggunakan Messages API standar.
Dukungan PDF	`/v1/messages`	Ya	Ya	Pemrosesan dokumen PDF menggunakan Messages API standar. Kelayakan HIPAA berlaku untuk PDF yang dikirim secara inline melalui Messages API, bukan melalui Files API.
Hasil pencarian	`/v1/messages` (dengan sumber `search_results`)	Ya	Ya	Dukungan sitasi RAG menggunakan Messages API standar.
Alat bash	`/v1/messages` (dengan alat `bash`)	Ya	Ya	Alat sisi klien yang dieksekusi di lingkungan Anda.
Alat editor teks	`/v1/messages` (dengan alat `text_editor`)	Ya	Ya	Alat sisi klien yang dieksekusi di lingkungan Anda.
Computer use	`/v1/messages` (dengan alat `computer`)	Ya	Tidak	Alat sisi klien di mana tangkapan layar dan file ditangkap dan disimpan di lingkungan Anda, bukan oleh Anthropic. Lihat Computer use.
Streaming alat terperinci	`/v1/messages`	Ya	Ya	Streaming parameter alat menggunakan Messages API standar.
Caching prompt	`/v1/messages`	Ya	Ya	Prompt Anda dan output Claude tidak disimpan. Representasi KV cache dan hash kriptografis disimpan dalam memori selama TTL cache dan segera dihapus setelah kedaluwarsa. Lihat Caching prompt.
Structured outputs	`/v1/messages`	Ya (dengan kualifikasi)	Ya³	Prompt Anda dan output Claude tidak disimpan. Hanya skema JSON yang di-cache, hingga 24 jam sejak penggunaan terakhir. Ini juga mencakup strict tool use (`strict: true` pada alat), yang menggunakan pipeline grammar yang sama. Lihat Structured outputs.
Diagnostik cache	`/v1/messages` (dengan `diagnostics`)	Ya (dengan kualifikasi)	Tidak	Prompt Anda dan output Claude tidak disimpan. Sidik jari berupa hash kriptografis dan estimasi jumlah token disimpan sebentar untuk memungkinkan perbandingan dengan permintaan berikutnya. Lihat Diagnostik cache.
Pencarian alat	`/v1/messages` (dengan alat `tool_search`)	Ya	Tidak	Pencarian alat menggunakan Messages API standar.
Pemrosesan batch	`/v1/messages/batches`	Tidak	Tidak	Retensi 29 hari; penyimpanan async diperlukan. Lihat Pemrosesan batch.
Eksekusi kode	`/v1/messages` (dengan alat `code_execution`)	Tidak	Tidak	Data kontainer disimpan hingga 30 hari. Lihat Eksekusi kode.
Pemanggilan alat terprogram	`/v1/messages` (dengan alat `code_execution`)	Tidak	Tidak	Dibangun di atas kontainer eksekusi kode; data disimpan hingga 30 hari. Lihat Pemanggilan alat terprogram.
Files API	`/v1/files`	Tidak	Tidak	File disimpan hingga dihapus secara eksplisit. Lihat Files API.
Agent skills	`/v1/messages` (dengan `skills`) / `/v1/skills`	Tidak	Tidak	Data skill disimpan sesuai kebijakan standar. Lihat Agent skills.
Konektor MCP	`/v1/messages` (dengan `mcp_servers`)	Tidak	Tidak	Data disimpan sesuai kebijakan standar. Lihat Konektor MCP.
Claude Managed Agents	`/v1/agents`, `/v1/sessions`, `/v1/environments`	Tidak	Tidak	Sesi adalah sumber daya stateful; transkrip tetap ada hingga Anda menghapusnya. Berlaku untuk semua sub-fitur Managed Agents, termasuk Self-hosted sandboxes.
MCP tunnels	`/v1/organizations/tunnels`	Tidak	Tidak	Pratinjau riset. Lihat Keamanan MCP tunnels untuk batasan aliran data dan detail subprosesor.

¹ Pemfilteran dinamis tidak memenuhi syarat untuk ZDR atau HIPAA.

² Meskipun web fetch memenuhi syarat ZDR, penerbit situs web dapat menyimpan data permintaan (seperti URL yang diambil dan metadata permintaan) sesuai dengan kebijakan mereka sendiri.

³ PHI tidak boleh disertakan dalam definisi skema JSON. Lihat Pedoman penanganan PHI.

Batasan dan pengecualian

CORS tidak didukung untuk ZDR

Cross-Origin Resource Sharing (CORS) tidak didukung untuk organisasi dengan pengaturan ZDR. Jika Anda perlu melakukan panggilan API dari aplikasi berbasis browser, Anda harus:

Menggunakan server proxy backend untuk melakukan panggilan API atas nama front end Anda
Mengimplementasikan penanganan CORS Anda sendiri di server proxy
Jangan pernah mengekspos kunci API secara langsung di JavaScript browser

Retensi data untuk pelanggaran kebijakan dan jika diwajibkan oleh hukum

Bahkan dengan pengaturan ZDR atau HIPAA yang berlaku, Anthropic dapat menyimpan data jika diwajibkan oleh hukum atau untuk memerangi pelanggaran Kebijakan Penggunaan dan penggunaan berbahaya terhadap platform Anthropic. Akibatnya, jika suatu chat atau sesi ditandai karena pelanggaran tersebut, Anthropic dapat menyimpan input dan output hingga 2 tahun.

Pertanyaan yang sering diajukan

Sumber daya terkait

Was this page helpful?

AdminData & kepatuhan

API dan retensi data

Pelajari bagaimana API Anthropic dan fitur terkait menyimpan data, termasuk informasi tentang zero data retention (ZDR) dan akses API yang siap HIPAA.

Informasi tentang kebijakan retensi standar Anthropic tercantum dalam kebijakan retensi data komersial Anthropic dan kebijakan retensi data konsumen.

Anthropic menawarkan dua pengaturan penanganan data untuk Claude API:

Zero data retention (ZDR): Data pelanggan tidak disimpan dalam keadaan diam setelah respons API dikembalikan, kecuali jika diperlukan untuk mematuhi hukum atau memerangi penyalahgunaan.
Kesiapan HIPAA: Untuk organisasi yang menangani protected health information (PHI), Anthropic menawarkan akses API yang siap HIPAA dengan Business Associate Agreement (BAA) yang ditandatangani. Lihat Kesiapan HIPAA.

Pendekatan Anthropic terhadap retensi data

Data yang disimpan tidak pernah digunakan untuk pelatihan model tanpa izin eksplisit Anda.
Hanya data yang secara teknis diperlukan agar API dan fitur dapat berfungsi yang disimpan. Konten percakapan (prompt Anda dan output Claude) tidak disimpan secara default. Model tertentu memerlukan retensi data 30 hari; lihat Persyaratan retensi data khusus model.
Data dihapus dengan TTL sesingkat mungkin secara praktis, dan Anthropic berupaya memberikan kontrol kepada pelanggan atas berapa lama data disimpan. Apa yang disimpan, dan durasi retensi ketika TTL tertentu berlaku, didokumentasikan di halaman masing-masing fitur.

Cakupan zero data retention (ZDR)

Claude Fable 5 dan Claude Mythos 5 tidak tersedia di bawah ZDR; lihat Persyaratan retensi data khusus model.

Apa yang dicakup ZDR

API Claude tertentu: ZDR berlaku untuk Claude Messages API dan Token Counting API.
Claude Code: ZDR berlaku ketika digunakan dengan kunci API organisasi Komersial atau melalui Claude Enterprise (lihat dokumentasi ZDR Claude Code)

Apa yang TIDAK dicakup ZDR

Console dan Workbench: Penggunaan apa pun di Console atau Workbench
Claude Managed Agents: Claude Managed Agents adalah sumber daya yang bersifat stateful. Anda dapat menghapus transkrip sesi, tetapi tidak ada penghapusan otomatis.
Produk konsumen Claude: Paket Claude Free, Pro, atau Max, termasuk ketika pelanggan pada paket tersebut menggunakan aplikasi web, desktop, atau seluler Claude, atau Claude Code
Claude Teams dan Claude Enterprise: Antarmuka produk Claude Teams dan Claude Enterprise tidak memenuhi syarat ZDR, kecuali untuk Claude Code ketika digunakan melalui Claude Enterprise dengan ZDR yang diaktifkan untuk organisasi tersebut. Untuk antarmuka produk lainnya, hanya kunci API organisasi Komersial yang memenuhi syarat untuk ZDR.
Integrasi pihak ketiga: Data yang diproses oleh situs web, alat, atau integrasi pihak ketiga lainnya tidak memenuhi syarat ZDR, meskipun beberapa mungkin memiliki penawaran serupa. Saat menggunakan layanan eksternal bersama dengan Claude API, pastikan untuk meninjau praktik penanganan data layanan tersebut.

Untuk informasi terbaru tentang produk dan fitur apa saja yang memenuhi syarat ZDR, lihat ketentuan kontrak Anda atau hubungi perwakilan akun Anthropic Anda.

Persyaratan retensi data khusus model

Persyaratan ini berlaku pada Claude API. Untuk Claude Fable 5 di Amazon Bedrock, Vertex AI, dan Microsoft Foundry, persyaratan retensi data ditetapkan oleh masing-masing platform.

Kesiapan HIPAA

Halaman ini membahas kesiapan HIPAA untuk Claude API. Untuk Panduan Implementasi HIPAA lengkap yang mencakup Claude Enterprise dan persyaratan konfigurasi, lihat Anthropic Trust Center.

Memulai

Untuk menyiapkan akses API yang siap HIPAA:

Tanda tangani Business Associate Agreement
Hubungi tim penjualan Anthropic untuk menandatangani BAA yang mencakup penggunaan API.
Sediakan organisasi yang mengaktifkan HIPAA
Anthropic menyediakan organisasi khusus dengan kontrol kesiapan HIPAA yang diaktifkan. Organisasi ini secara otomatis menerapkan pembatasan fitur, memblokir permintaan API yang menggunakan fitur yang tidak memenuhi syarat.
Bangun dengan fitur yang memenuhi syarat
Gunakan tabel kelayakan fitur untuk mengonfirmasi fitur mana yang didukung. Tinjau pedoman penanganan PHI untuk fitur yang memerlukan pembatasan khusus tentang di mana PHI dapat muncul. Untuk persyaratan konfigurasi dan kepatuhan yang terperinci, lihat Panduan Implementasi HIPAA.

Kesiapan HIPAA diterapkan di tingkat organisasi. Jika Anda memerlukan akses API yang siap HIPAA dan akses API untuk tujuan umum, gunakan organisasi terpisah untuk masing-masing.

Cakupan kesiapan HIPAA

Apa yang dicakup kesiapan HIPAA

Claude API: Kesiapan HIPAA berlaku untuk Claude API (api.anthropic.com) untuk fitur yang memenuhi syarat yang tercantum dalam tabel kelayakan fitur.

Apa yang TIDAK dicakup kesiapan HIPAA

Produk konsumen Claude: Paket Claude Free, Pro, atau Max
Console dan Workbench: Penggunaan melalui antarmuka Claude Console
Platform yang dioperasikan mitra: Amazon Bedrock atau Vertex AI (lihat dokumentasi kepatuhan platform tersebut)
Claude Platform di AWS dan Microsoft Foundry: Kesiapan HIPAA tidak tersedia
Integrasi pihak ketiga: Data yang diproses oleh alat atau layanan eksternal yang terhubung ke aplikasi Anda
Claude Code: Claude Code tidak dicakup dalam kesiapan HIPAA
Fitur beta: Fitur dalam tahap beta umumnya tidak dicakup dalam BAA kecuali secara eksplisit tercantum sebagai memenuhi syarat dalam tabel kelayakan fitur

Pedoman penanganan PHI

Protected health information (PHI) mencakup informasi kesehatan apa pun yang dapat diidentifikasi secara individual. Dalam konteks Claude API, PHI biasanya muncul dalam:

Konten pesan (prompt dan respons dari Claude)
File terlampir (gambar, PDF)
Nama file dan metadata yang terkait dengan konten pesan

Bidang berikut tidak diharapkan mengandung PHI berdasarkan BAA: nama workspace, informasi pengguna (nama, email, nomor telepon), data penagihan, dan tiket dukungan.

Pembatasan skema dan definisi alat

Jangan sertakan PHI dalam definisi skema JSON. Pembatasan ini berlaku untuk:

Nama properti skema
Nilai enum
Nilai const
Ekspresi reguler pattern

Informasi spesifik pasien hanya boleh muncul dalam konten pesan, di mana informasi tersebut dilindungi di bawah pengamanan HIPAA.

Penanganan error HIPAA

{
  "type": "error",
  "error": {
    "type": "invalid_request_error",
    "message": "The requested features are not available for HIPAA-regulated organizations without Zero Data Retention: code_execution."
  }
}

Pesan error mencantumkan fitur yang tidak memenuhi syarat yang terdeteksi dalam permintaan. Hapus fitur-fitur ini dari permintaan Anda dan coba lagi.

Kelayakan fitur

Fitur	Endpoint	Memenuhi syarat ZDR	Memenuhi syarat HIPAA	Detail
Messages API	`/v1/messages`	Ya	Ya	Panggilan API standar untuk menghasilkan respons Claude.
Penghitungan token	`/v1/messages/count_tokens`	Ya	Ya	Hitung token sebelum mengirim permintaan.
Pencarian web	`/v1/messages` (dengan alat `web_search`)	Ya¹	Ya¹	Hasil pencarian web real-time dikembalikan dalam respons API.
Web fetch	`/v1/messages` (dengan alat `web_fetch`)	Ya¹ ²	Tidak	Konten web yang diambil dikembalikan dalam respons API.
Alat advisor	`/v1/messages` (dengan alat `advisor`)	Ya	Tidak	Output model advisor dikembalikan dalam respons API; tidak ada yang disimpan di sisi server setelah respons.
Alat memori	`/v1/messages` (dengan alat `memory`)	Ya	Ya	Penyimpanan memori sisi klien di mana Anda mengontrol retensi data.
Manajemen konteks (compaction)	`/v1/messages` (dengan `context_management`)	Ya	Tidak	Hasil compaction sisi server dikembalikan/dikirim bolak-balik secara stateless melalui respons API.
Pengeditan konteks	`/v1/messages` (dengan `context_management`)	Ya	Tidak	Pengeditan konteks (pembersihan tool use + pembersihan thinking) diterapkan secara real time.
Mode cepat	`/v1/messages` (dengan `speed: "fast"`)	Ya	Ya	Endpoint Messages API yang sama dengan inferensi lebih cepat. ZDR berlaku terlepas dari pengaturan kecepatan.
Jendela konteks 1 juta token	`/v1/messages`	Ya	Ya	Pemrosesan konteks yang diperluas menggunakan Messages API standar.
Pemikiran adaptif	`/v1/messages`	Ya	Ya	Kedalaman pemikiran dinamis menggunakan Messages API standar.
Sitasi	`/v1/messages`	Ya	Ya	Atribusi sumber menggunakan Messages API standar.
Residensi data	`/v1/messages` (dengan `inference_geo`)	Ya	Ya	Perutean geografis menggunakan Messages API standar.
Effort	`/v1/messages` (dengan `effort`)	Ya	Ya	Kontrol efisiensi token menggunakan Messages API standar.
Pemikiran diperpanjang	`/v1/messages` (dengan `thinking`)	Ya	Ya	Penalaran langkah demi langkah menggunakan Messages API standar.
Dukungan PDF	`/v1/messages`	Ya	Ya	Pemrosesan dokumen PDF menggunakan Messages API standar. Kelayakan HIPAA berlaku untuk PDF yang dikirim secara inline melalui Messages API, bukan melalui Files API.
Hasil pencarian	`/v1/messages` (dengan sumber `search_results`)	Ya	Ya	Dukungan sitasi RAG menggunakan Messages API standar.
Alat bash	`/v1/messages` (dengan alat `bash`)	Ya	Ya	Alat sisi klien yang dieksekusi di lingkungan Anda.
Alat editor teks	`/v1/messages` (dengan alat `text_editor`)	Ya	Ya	Alat sisi klien yang dieksekusi di lingkungan Anda.
Computer use	`/v1/messages` (dengan alat `computer`)	Ya	Tidak	Alat sisi klien di mana tangkapan layar dan file ditangkap dan disimpan di lingkungan Anda, bukan oleh Anthropic. Lihat Computer use.
Streaming alat terperinci	`/v1/messages`	Ya	Ya	Streaming parameter alat menggunakan Messages API standar.
Caching prompt	`/v1/messages`	Ya	Ya	Prompt Anda dan output Claude tidak disimpan. Representasi KV cache dan hash kriptografis disimpan dalam memori selama TTL cache dan segera dihapus setelah kedaluwarsa. Lihat Caching prompt.
Structured outputs	`/v1/messages`	Ya (dengan kualifikasi)	Ya³	Prompt Anda dan output Claude tidak disimpan. Hanya skema JSON yang di-cache, hingga 24 jam sejak penggunaan terakhir. Ini juga mencakup strict tool use (`strict: true` pada alat), yang menggunakan pipeline grammar yang sama. Lihat Structured outputs.
Diagnostik cache	`/v1/messages` (dengan `diagnostics`)	Ya (dengan kualifikasi)	Tidak	Prompt Anda dan output Claude tidak disimpan. Sidik jari berupa hash kriptografis dan estimasi jumlah token disimpan sebentar untuk memungkinkan perbandingan dengan permintaan berikutnya. Lihat Diagnostik cache.
Pencarian alat	`/v1/messages` (dengan alat `tool_search`)	Ya	Tidak	Pencarian alat menggunakan Messages API standar.
Pemrosesan batch	`/v1/messages/batches`	Tidak	Tidak	Retensi 29 hari; penyimpanan async diperlukan. Lihat Pemrosesan batch.
Eksekusi kode	`/v1/messages` (dengan alat `code_execution`)	Tidak	Tidak	Data kontainer disimpan hingga 30 hari. Lihat Eksekusi kode.
Pemanggilan alat terprogram	`/v1/messages` (dengan alat `code_execution`)	Tidak	Tidak	Dibangun di atas kontainer eksekusi kode; data disimpan hingga 30 hari. Lihat Pemanggilan alat terprogram.
Files API	`/v1/files`	Tidak	Tidak	File disimpan hingga dihapus secara eksplisit. Lihat Files API.
Agent skills	`/v1/messages` (dengan `skills`) / `/v1/skills`	Tidak	Tidak	Data skill disimpan sesuai kebijakan standar. Lihat Agent skills.
Konektor MCP	`/v1/messages` (dengan `mcp_servers`)	Tidak	Tidak	Data disimpan sesuai kebijakan standar. Lihat Konektor MCP.
Claude Managed Agents	`/v1/agents`, `/v1/sessions`, `/v1/environments`	Tidak	Tidak	Sesi adalah sumber daya stateful; transkrip tetap ada hingga Anda menghapusnya. Berlaku untuk semua sub-fitur Managed Agents, termasuk Self-hosted sandboxes.
MCP tunnels	`/v1/organizations/tunnels`	Tidak	Tidak	Pratinjau riset. Lihat Keamanan MCP tunnels untuk batasan aliran data dan detail subprosesor.

¹ Pemfilteran dinamis tidak memenuhi syarat untuk ZDR atau HIPAA.

² Meskipun web fetch memenuhi syarat ZDR, penerbit situs web dapat menyimpan data permintaan (seperti URL yang diambil dan metadata permintaan) sesuai dengan kebijakan mereka sendiri.

³ PHI tidak boleh disertakan dalam definisi skema JSON. Lihat Pedoman penanganan PHI.

Batasan dan pengecualian

CORS tidak didukung untuk ZDR

Cross-Origin Resource Sharing (CORS) tidak didukung untuk organisasi dengan pengaturan ZDR. Jika Anda perlu melakukan panggilan API dari aplikasi berbasis browser, Anda harus:

Menggunakan server proxy backend untuk melakukan panggilan API atas nama front end Anda
Mengimplementasikan penanganan CORS Anda sendiri di server proxy
Jangan pernah mengekspos kunci API secara langsung di JavaScript browser

Retensi data untuk pelanggaran kebijakan dan jika diwajibkan oleh hukum

Pertanyaan yang sering diajukan

Sumber daya terkait

Was this page helpful?

Pendekatan Anthropic terhadap retensi data

Cakupan zero data retention (ZDR)

Persyaratan retensi data khusus model

Kesiapan HIPAA

Memulai

Cakupan kesiapan HIPAA

Pedoman penanganan PHI

Pembatasan skema dan definisi alat

Penanganan error HIPAA

Kelayakan fitur

Batasan dan pengecualian

CORS tidak didukung untuk ZDR

Retensi data untuk pelanggaran kebijakan dan jika diwajibkan oleh hukum

Pertanyaan yang sering diajukan

Bagaimana saya tahu apakah organisasi saya memiliki pengaturan ZDR?

Dapatkah saya menggunakan fitur yang memenuhi syarat ZDR (dengan kualifikasi) di bawah pengaturan ZDR saya?

Apa yang terjadi jika saya menggunakan fitur yang ditandai "Tidak" di bawah ZDR?

Dapatkah saya meminta penghapusan data dari fitur yang tidak memenuhi syarat ZDR?

Apa perbedaan kesiapan HIPAA dengan ZDR?

Apakah saya masih memerlukan ZDR jika saya memiliki kesiapan HIPAA?

Apa yang terjadi jika saya menggunakan fitur yang tidak memenuhi syarat di bawah HIPAA?

Dapatkah saya menggunakan organisasi yang sama untuk beban kerja HIPAA dan non-HIPAA?

Bagaimana cara meminta akses API yang siap HIPAA?

Apakah ini berlaku untuk Amazon Bedrock atau Vertex AI?

Apakah Claude Platform di AWS memenuhi syarat untuk ZDR atau kesiapan HIPAA?

Apakah Claude Code memenuhi syarat untuk ZDR?

Apakah Claude for Excel mendukung ZDR?

Bagaimana cara meminta ZDR?

Sumber daya terkait

Pendekatan Anthropic terhadap retensi data

Cakupan zero data retention (ZDR)

Persyaratan retensi data khusus model

Kesiapan HIPAA

Memulai

Cakupan kesiapan HIPAA

Pedoman penanganan PHI

Pembatasan skema dan definisi alat

Penanganan error HIPAA

Kelayakan fitur

Batasan dan pengecualian

CORS tidak didukung untuk ZDR

Retensi data untuk pelanggaran kebijakan dan jika diwajibkan oleh hukum

Pertanyaan yang sering diajukan

Bagaimana saya tahu apakah organisasi saya memiliki pengaturan ZDR?

Dapatkah saya menggunakan fitur yang memenuhi syarat ZDR (dengan kualifikasi) di bawah pengaturan ZDR saya?

Apa yang terjadi jika saya menggunakan fitur yang ditandai "Tidak" di bawah ZDR?

Dapatkah saya meminta penghapusan data dari fitur yang tidak memenuhi syarat ZDR?

Apa perbedaan kesiapan HIPAA dengan ZDR?

Apakah saya masih memerlukan ZDR jika saya memiliki kesiapan HIPAA?

Apa yang terjadi jika saya menggunakan fitur yang tidak memenuhi syarat di bawah HIPAA?

Dapatkah saya menggunakan organisasi yang sama untuk beban kerja HIPAA dan non-HIPAA?

Bagaimana cara meminta akses API yang siap HIPAA?

Apakah ini berlaku untuk Amazon Bedrock atau Vertex AI?

Apakah Claude Platform di AWS memenuhi syarat untuk ZDR atau kesiapan HIPAA?

Apakah Claude Code memenuhi syarat untuk ZDR?

Apakah Claude for Excel mendukung ZDR?

Bagaimana cara meminta ZDR?

Sumber daya terkait

Pendekatan Anthropic terhadap retensi data

Cakupan zero data retention (ZDR)

Persyaratan retensi data khusus model

Kesiapan HIPAA

Memulai

Cakupan kesiapan HIPAA

Pedoman penanganan PHI

Pembatasan skema dan definisi alat

Penanganan error HIPAA

Kelayakan fitur

Batasan dan pengecualian

CORS tidak didukung untuk ZDR

Retensi data untuk pelanggaran kebijakan dan jika diwajibkan oleh hukum

Pertanyaan yang sering diajukan

Sumber daya terkait

Pendekatan Anthropic terhadap retensi data

Cakupan zero data retention (ZDR)

Persyaratan retensi data khusus model

Kesiapan HIPAA

Memulai

Cakupan kesiapan HIPAA

Pedoman penanganan PHI

Pembatasan skema dan definisi alat

Penanganan error HIPAA

Kelayakan fitur

Batasan dan pengecualian

CORS tidak didukung untuk ZDR

Retensi data untuk pelanggaran kebijakan dan jika diwajibkan oleh hukum

Pertanyaan yang sering diajukan

Sumber daya terkait