Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Le informazioni sulle politiche di conservazione standard di Anthropic sono disponibili nella politica di conservazione dei dati commerciali di Anthropic e nella politica di conservazione dei dati per i consumatori.
Anthropic offre due modalità di gestione dei dati per l'API Claude:
Diverse API e funzionalità hanno diverse esigenze di archiviazione e conservazione. Quando un'API o una funzionalità non richiede l'archiviazione dei prompt o delle risposte dei clienti, potrebbe essere idonea per ZDR. Quando un'API o una funzionalità richiede necessariamente l'archiviazione dei prompt o delle risposte dei clienti, Anthropic progetta per il minimo footprint di conservazione possibile. Per queste funzionalità:
Was this page helpful?
Nella tabella di idoneità delle funzionalità, alcune funzionalità sono contrassegnate come "Sì (qualificato)" nella colonna idoneo per ZDR. Se la tua organizzazione ha un accordo ZDR, puoi utilizzare queste funzionalità con la certezza che ciò che Anthropic conserva è limitato ed è richiesto per prestazioni ottimali.
Cosa copre ZDR
Cosa NON copre ZDR
Per le informazioni più aggiornate su quali prodotti e funzionalità sono idonei per ZDR, fare riferimento ai termini del contratto o contattare il rappresentante dell'account Anthropic.
L'API Claude supporta integrazioni pronte per HIPAA per le organizzazioni che gestiscono informazioni sanitarie protette (PHI). Con un BAA firmato e un'organizzazione abilitata per HIPAA, puoi utilizzare le funzionalità API supportate per elaborare PHI supportando la conformità HIPAA della tua organizzazione.
In precedenza, le organizzazioni che richiedevano la conformità HIPAA per l'API Claude dovevano abilitare ZDR. L'accesso API pronto per HIPAA rimuove questo requisito e fornisce una base affinché Anthropic possa abilitare progressivamente funzionalità aggiuntive man mano che vengono verificate per la conformità HIPAA.
Questa pagina riguarda la conformità HIPAA per l'API Claude. Per la Guida all'implementazione HIPAA completa che copre Claude Enterprise, Claude Code e i requisiti di configurazione, consulta il Centro di fiducia di Anthropic.
Per configurare l'accesso API pronto per HIPAA:
Firma un Business Associate Agreement
Contatta il team vendite di Anthropic per firmare un BAA che copra l'utilizzo dell'API.
Provisioning di un'organizzazione abilitata per HIPAA
Anthropic esegue il provisioning di un'organizzazione dedicata con i controlli di conformità HIPAA abilitati. Questa organizzazione applica automaticamente le restrizioni delle funzionalità, bloccando le richieste API che utilizzano funzionalità non idonee.
Sviluppa con le funzionalità idonee
Utilizza la tabella di idoneità delle funzionalità per confermare quali funzionalità sono supportate. Esamina le linee guida per la gestione delle PHI per le funzionalità che richiedono restrizioni specifiche su dove possono apparire le PHI. Per i requisiti dettagliati di configurazione e conformità, consulta la Guida all'implementazione HIPAA.
La conformità HIPAA viene applicata a livello di organizzazione. Se hai bisogno sia di accesso API pronto per HIPAA che di accesso API per uso generale, utilizza organizzazioni separate per ciascuno.
Cosa copre la conformità HIPAA
api.anthropic.com) per le funzionalità idonee elencate nella tabella di idoneità delle funzionalità.Cosa NON copre la conformità HIPAA
Le informazioni sanitarie protette (PHI) includono qualsiasi informazione sanitaria individualmente identificabile. Nel contesto dell'API Claude, le PHI appaiono tipicamente in:
I seguenti campi non dovrebbero contenere PHI ai sensi del BAA: nomi degli spazi di lavoro, informazioni utente (nome, email, numero di telefono), dati di fatturazione e ticket di supporto.
Quando si utilizzano output strutturati o strumenti con strict: true, l'API compila gli schemi JSON in grammatiche che vengono memorizzate nella cache separatamente dal contenuto dei messaggi. Questi schemi memorizzati nella cache non ricevono le stesse protezioni PHI dei prompt e delle risposte.
Non includere PHI nelle definizioni dello schema JSON. Questa restrizione si applica a:
enumconstpatternLe informazioni specifiche del paziente devono apparire solo nel contenuto dei messaggi, dove sono protette dalle misure di sicurezza HIPAA.
Il BAA firmato è la fonte ufficiale di verità per le funzionalità coperte. L'API applica automaticamente queste restrizioni: quando un'organizzazione abilitata per HIPAA invia una richiesta che include una funzionalità non idonea, l'API restituisce un errore 400 per prevenire l'uso accidentale di funzionalità non coperte dal tuo BAA:
{
"type": "error",
"error": {
"type": "invalid_request_error",
"message": "The requested features are not available for HIPAA-regulated organizations without Zero Data Retention: code_execution."
}
}Il messaggio di errore elenca le funzionalità non idonee rilevate nella richiesta. Rimuovi queste funzionalità dalla tua richiesta e riprova.
La tabella seguente elenca quali funzionalità dell'API Claude sono idonee per gli accordi ZDR e di conformità HIPAA. Per le organizzazioni abilitate per HIPAA, le funzionalità contrassegnate come "No" nella colonna HIPAA vengono bloccate automaticamente e le richieste che le includono restituiscono un errore 400.
| Funzionalità | Endpoint | Idonea per ZDR | Idonea per HIPAA | Dettagli |
|---|---|---|---|---|
| API Messages | /v1/messages | Yes | Yes | Chiamate API standard per generare risposte Claude. |
| Conteggio token | /v1/messages/count_tokens | Yes | Yes | Conta i token prima di inviare le richieste. |
| Ricerca web | /v1/messages (con strumento web_search) | Yes1 | Yes1 | Risultati di ricerca web in tempo reale restituiti nella risposta API. |
| Recupero web | /v1/messages (con strumento web_fetch) | Yes1 2 | No | Contenuto web recuperato restituito nella risposta API. |
| Strumento memoria | /v1/messages (con strumento memory) | Yes | Yes | Archiviazione memoria lato client dove controlli la conservazione dei dati. |
| Gestione del contesto (compattazione) | /v1/messages (con context_management) | Yes | No | I risultati della compattazione lato server vengono restituiti/trasmessi in modo stateless tramite la risposta API. |
| Modifica del contesto | /v1/messages (con context_management) | Yes | No | Le modifiche al contesto (cancellazione dell'uso degli strumenti + cancellazione del pensiero) vengono applicate in tempo reale. |
| Modalità rapida | /v1/messages (con speed: "fast") | Yes | Yes | Stesso endpoint API Messages con inferenza più veloce. ZDR si applica indipendentemente dall'impostazione della velocità. |
| Finestra di contesto da 1M token | /v1/messages | Yes | Yes | L'elaborazione del contesto esteso utilizza l'API Messages standard. |
| Pensiero adattivo | /v1/messages | Yes | Yes | La profondità di pensiero dinamica utilizza l'API Messages standard. |
| Citazioni | /v1/messages | Yes | Yes | L'attribuzione della fonte utilizza l'API Messages standard. |
| Residenza dei dati | /v1/messages (con inference_geo) | Yes | Yes | Il routing geografico utilizza l'API Messages standard. |
| Impegno | /v1/messages (con effort) | Yes | Yes | Il controllo dell'efficienza dei token utilizza l'API Messages standard. |
| Pensiero esteso | /v1/messages (con thinking) | Yes | Yes | Il ragionamento passo-passo utilizza l'API Messages standard. |
| Supporto PDF | /v1/messages | Yes | Yes | L'elaborazione di documenti PDF utilizza l'API Messages standard. L'idoneità HIPAA si applica ai PDF inviati inline tramite l'API Messages, non tramite l'API Files. |
| Risultati di ricerca | /v1/messages (con sorgente search_results) | Yes | Yes | Il supporto alle citazioni RAG utilizza l'API Messages standard. |
| Strumento Bash | /v1/messages (con strumento bash) | Yes | Yes | Strumento lato client eseguito nel tuo ambiente. |
| Strumento editor di testo | /v1/messages (con strumento text_editor) | Yes | Yes | Strumento lato client eseguito nel tuo ambiente. |
| Uso del computer | /v1/messages (con strumento computer) | Yes | No | Strumento lato client dove screenshot e file vengono acquisiti e archiviati nel tuo ambiente, non da Anthropic. Vedi Uso del computer. |
| Streaming degli strumenti a grana fine | /v1/messages | Yes | Yes | I parametri degli strumenti in streaming utilizzano l'API Messages standard. |
| Caching dei prompt | /v1/messages | Yes | Yes | I tuoi prompt e gli output di Claude non vengono archiviati. Le rappresentazioni della cache KV e gli hash crittografici vengono mantenuti in memoria per il TTL della cache ed eliminati prontamente dopo la scadenza. Vedi Caching dei prompt. |
| Output strutturati | /v1/messages | Yes (qualified) | Yes3 | I tuoi prompt e gli output di Claude non vengono archiviati. Solo lo schema JSON viene memorizzato nella cache, per un massimo di 24 ore dall'ultimo utilizzo. Questo copre anche l'uso degli strumenti strict (strict: true sugli strumenti), che utilizza la stessa pipeline grammaticale. Vedi Output strutturati. |
| Ricerca strumenti | /v1/messages (con strumento tool_search) | Yes (qualified) | No | Solo i dati del catalogo degli strumenti (nomi, descrizioni, metadati degli argomenti) vengono archiviati lato server. Vedi Ricerca strumenti. |
| Elaborazione batch | /v1/messages/batches | No | No | Conservazione di 29 giorni; archiviazione asincrona richiesta. Vedi Elaborazione batch. |
| Esecuzione del codice | /v1/messages (con strumento code_execution) | No | No | Dati del container conservati fino a 30 giorni. Vedi Esecuzione del codice. |
| Chiamata programmatica degli strumenti | /v1/messages (con strumento code_execution) | No | No | Basato su container di esecuzione del codice; dati conservati fino a 30 giorni. Vedi Chiamata programmatica degli strumenti. |
| API Files | /v1/files | No | No | File conservati fino all'eliminazione esplicita. Vedi API Files. |
| Competenze agente | /v1/messages (con skills) / /v1/skills | No | No | Dati delle competenze conservati secondo la politica standard. Vedi Competenze agente. |
| Connettore MCP | /v1/messages (con mcp_servers) | No | No | Dati conservati secondo la politica standard. Vedi Connettore MCP. |
1 Il filtraggio dinamico non è idoneo per ZDR o HIPAA.
2 Sebbene il recupero web sia idoneo per ZDR, gli editori di siti web possono conservare i dati delle richieste (come gli URL recuperati e i metadati delle richieste) secondo le proprie politiche.
3 Le PHI non devono essere incluse nelle definizioni dello schema JSON. Vedi Linee guida per la gestione delle PHI.
La condivisione delle risorse tra origini diverse (CORS) non è supportata per le organizzazioni con accordi ZDR. Se hai bisogno di effettuare chiamate API da applicazioni basate su browser, devi:
Anche con accordi ZDR o HIPAA in vigore, Anthropic può conservare i dati dove richiesto dalla legge o per combattere le violazioni delle Politiche di utilizzo e gli usi malevoli della piattaforma di Anthropic. Di conseguenza, se una chat o una sessione viene segnalata per tale violazione, Anthropic può conservare input e output per un massimo di 2 anni.