מה GPs צריכים לשאול לפני אימוץ AI שנוגע בנתוני משקיעים

כל פיסת תוכנה ש-GP משתמש בה כיום מגיעה עם AI. ה-CRM לגיוס הון כולל עוזר כתיבה. כלי החשבונאות מסווג עסקאות בעצמו. פורטל המשקיעים מציע לנסח עדכונים ל-LPs. רוב זה באמת שימושי. קצב האימוץ פשוט עקף את השאלות — והפער הזה נסגר בשיחה קצרה עם כל ספק.

הנתונים האלה הם מה שהופך את זה לשווה לעשות בזהירות. GP שמנהל קרן מחזיק בחלק מהמידע האישי הרגיש ביותר שעסק קטן מטפל בו אי פעם: מספרי ביטוח לאומי ומספרי זיהוי מס של משקיעים, מספרי חשבון בנק ומספרי ניתוב, נתונים פיננסיים של משקיעים כשירים, עותקים של רישיונות נהיגה ודרכונים מבדיקות KYC, וההיסטוריה המלאה של החלוקות לכל אדם שהפקיד את הונו בידי ה-GP. כאשר תכונת AI מעבדת כל אחד מאלה, הנתונים יכולים לזרום דרך יותר גורמים ממה שמסך ההתחברות מרמז — וה-GP הוא זה שאחראי על השרשרת הזו.

ניהול השקעות יושב קרוב מספיק לבנקאות כדי שהסיכונים כאן יהיו גבוהים יותר מאשר ברוב התעשיות — וזו בדיוק הסיבה ש-GPs שמאמצים AI כראוי כעת הופכים למפעילים המהימנים בקבוצתם. מדריך זה מכסה כיצד לעשות זאת: מה לעשות, ממה להימנע, והשאלות הספציפיות שיש לשאול כל ספק שמוצרו כולל AI מובנה.

מדוע PII בתפעול קרנות הוא מקרה מיוחד

מידע אישי מזהה (PII) הוא כל נתון שיכול לזהות אדם מסוים, בין אם בפני עצמו ובין אם בשילוב עם נתונים אחרים. בהקשר של קרן, הפריטים הברורים הם מספרי זיהוי מס, פרטי בנק ומסמכים ממשלתיים. הפריטים הפחות ברורים חשובים גם הם: שם של משקיע המקושר לסכום ההתחייבות שלו, כתובת אימייל הקשורה ללוח חלוקות, או מספר טלפון המקושר להודעת קריאת הון. כל זה יכול לזהות אדם ולחשוף משהו פרטי על מצבו הפיננסי.

שלושה דברים הופכים את הקטגוריה הזו לרגישה עבור GPs באופן ספציפי.

ראשית, הנתונים מרוכזים ובעלי ערך גבוה. רשימת המשקיעים של קרן בודדת היא קובץ קומפקטי של בדיוק המידע שגנבי זהויות ומרמים רוצים יותר מכל. אין PII בעל ערך נמוך במסמך הצטרפות (subscription document).

שנית, מערכת היחסים היא נאמנותית. ה-LPs הסכימו להשקיע עם GP שהם סומכים עליו — לא לכך שמספר זיהוי המס שלהם יעובד על ידי שירותים שלא סופר להם עליהם. האמון הוא הנכס בשני צידי השולחן, והגנה עליו היא חלק מחובת הנאמנות.

שלישית, המשטח הרגולטורי אמיתי גם כשהוא מרגיש רחוק. בהתאם למבנה הקרן, המשקיעים והתחומי השיפוט, GP עשוי לגעת בחובות לפי חוקי פרטיות כמו GLBA בארצות הברית, חוקים מדינתיים כמו CCPA, ו-GDPR עבור כל משקיע אירופי. מנהלי קרנות (fund administrators) לעיתים קרובות מחזיקים בבדיקות SOC 2 בדיוק משום שלקוחותיהם זקוקים לביטחון לגבי טיפול בנתונים. תכונות AI אינן פטורות מאף אחד מאלה. אם כלי שולח PII של משקיעים למודל, ההעברה הזו כפופה לאותם כללים כמו כל עיבוד נתונים אחר.

כיצד כלי AI מטפלים בנתונים שלכם בפועל, ומדוע זה חשוב

כדי לבדוק כלי, מועיל לדעת מה בדרך כלל קורה כאשר תכונת AI מעבדת נתונים. ישנם כמה דפוסים, והם נושאים סיכון שונה מאוד.

חלק מהכלים שולחים את הנתונים שלכם ל-API של ספק מודל צד שלישי לעיבוד ואינם שומרים אותם או מאמנים עליהם. זה נפוץ וניתן לבצע זאת בבטחה, אך משמעות הדבר היא שנתוני המשקיעים שלכם עוזבים את סביבת הספק ונוסעים לחברה אחרת. כדאי לדעת מי החברה הזו ומה התנאים שלה אומרים.

חלק מהכלים מריצים מודלים בתשתית שלהם, כך שהנתונים לעולם אינם עוזבים את סביבתם. זה מצמצם את מספר הגורמים המעורבים, אם כי הוא מטיל משקל רב יותר על עמדת האבטחה של אותו ספק יחיד.

בתדירות נמוכה יותר, חלק מהכלים משתמשים בנתוני לקוחות כדי לאמן או לשפר את המודלים שלהם. זהו הדפוס שיש לשים אליו לב בזהירות הרבה ביותר, מכיוון שהוא יכול להוביל לכך שקטעים מנתוני המשקיעים שלכם יהפכו לחלק ממודל שלקוחות אחרים מתקשרים איתו. ספקי ארגון בעלי מוניטין בדרך כלל מבטלים זאת בחוזה, אך כלים ברמת צרכן וכלים חינמיים לעיתים קרובות עושים את ההפך, עם תנאים המעניקים זכויות נרחבות לשימוש בתוכן שהוגש.

הסיבה שההבחנה הזו חשובה: תכונת AI היא רק לעיתים רחוקות עצמאית. בדרך כלל היא שרשרת. תוכנת הספק קוראת לספק מודל, שעשוי לרוץ על מארח ענן, שעשוי להיות לו תת-מעבדים (subprocessors) משלו. כל חוליה היא מקום שבו הטיפול בנתונים חשוב. בדיקת הכלי משמעה הבנת השרשרת כולה, ולא רק הלוגו במסך ההתחברות.

מה לעשות

החדשות הטובות הן שהבדיקה פשוטה ברגע שאתם יודעים מה לשאול. אף אחד מהשלבים האלה אינו דורש רקע באבטחה — הם דורשים את אותה משמעת תפעולית ש-GPs כבר מיישמים בבדיקת נאותות של מלווים ובבחירת מנהל קרן.

מפו היכן PII כבר זורם. לפני הערכת כל תכונת AI חדשה, דעו אילו מהכלים הנוכחיים שלכם כבר נוגעים ב-PII של משקיעים וכיצד. רוב ה-GPs מופתעים מהתשובה. ה-CRM, כלי החתימה האלקטרונית, מערכת החשבונאות, פורטל הבנק ותוכנת רואה החשבון — כולם מחזיקים חלקים ממנו. אינכם יכולים לנהל את מה שלא מיפיתם.

קראו את תנאי עיבוד הנתונים, ובמיוחד את סעיף ה-AI. ספקים מפרסמים יותר ויותר נספח עיבוד נתונים (DPA) ובנפרד תנאים המכסים תכונות AI. מצאו את המשפט שאומר אם הנתונים שלכם משמשים לאימון מודלים. אם אינכם יכולים למצוא את המשפט הזה, ההיעדר הזה הוא תשובה בפני עצמו, ועליכם לשאול את הספק ישירות בכתב.

בקשו את רשימת תת-המעבדים. כל ספק B2B רציני מתחזק רשימה של הצדדים השלישיים שעמם הוא חולק נתונים, כולל ספקי מודלים ומארחי ענן. בקשו אותה. הרשימה אומרת לכם מי באמת נמצא בשרשרת ומאפשרת לכם לבדוק האם גורמים אלה בעלי מוניטין בעצמם.

דרשו מזעור נתונים. ה-PII הבטוח ביותר הוא ה-PII שה-AI לעולם אינו רואה. העדיפו כלים שמאפשרים לכם לשלוט באילו נתונים תכונה יכולה לגשת, שמסתירים או מטוקנים שדות רגישים לפני עיבוד, ושמשאירים את תכונות ה-AI ממוקדות במשימה במקום להעניק להן גישה גורפת לכל מסד נתוני המשקיעים שלכם.

אמתו את קו הבסיס של האבטחה. עבור כל דבר הסמוך לבנקאות, דוח SOC 2 Type II הוא כמעט סטנדרט מינימלי. בקשו אותו. הצפנה במעבר ובמנוחה צריכה להיות סטנדרטית. עבור משקיעים אירופים, ודאו שהספק יכול לתמוך בחובות GDPR, כולל מיקום נתונים (data residency) אם רלוונטי.

שמרו על אדם בלולאה בכל דבר שמזיז כסף או מגיע למשקיעים. טיוטת AI של עדכון ל-LP היא בסדר כנקודת התחלה. העברה בנקאית שיוזם AI היא קטגוריה אחרת של סיכון. ככל שתכונה מתקרבת לתנועת כספים או לתקשורת חיצונית, כך אדם צריך לבדוק יותר לפני שמשהו סופי.

העלו זאת על הכתב מול המשקיעים שלכם ובמדיניות שלכם. עדכנו את מדיניות הפרטיות שלכם ואת התקשורת שלכם עם LPs כדי לשקף כיצד אתם באמת משתמשים ב-AI ואילו הגנות קיימות. משקיעים שואלים יותר ויותר. היכולת לענות בבירור היא יתרון תחרותי בגיוס הון.

מה לא לעשות

אל תדביקו PII של משקיעים לתוך כלי AI צרכניים לשימוש כללי. הצ'אטבוט החינמי הוא המקום הנפוץ ביותר שבו נתוני משקיעים מסתיימים מחוץ למערכות מוסכמות בחוזה. הכנסת מסמך הצטרפות או גיליון חלוקות לעוזר ברמת צרכן כדי "לסדר אותו" יכולה לגרום לכך שהנתונים יישמרו או ישמשו לאימון לפי תנאים שאיש לא קרא. שמרו את ה-PII של המשקיעים בתוך מערכות עסקיות נבדקות ומוסכמות בחוזה.

אל תניחו שלוגו ארגוני משמעו תנאי נתונים ארגוניים. לספק ידוע עדיין יכולה להיות שכבה חינמית או נמוכה עם תנאי נתונים מתירניים. ההגנות לעיתים קרובות חיות בתוכנית בתשלום או בחוזה שהוסכם במשא ומתן. ודאו אילו תנאים חלים על התוכנית שאתם באמת נמצאים בה.

אל תתייחסו ל"אנחנו משתמשים ב-AI" כתכונה לחגוג בלי לשאול כיצד. ספק שמשווק AI באגרסיביות אך אינו יכול להסביר לאן הנתונים הולכים, אומר לכם משהו. הספקים הטובים מוצאים שהשאלות האלה קלות לענות עליהן משום שכבר עשו את העבודה.

אל תתנו ל-AI צללים (shadow AI) להצטבר. כאשר חברי צוות בודדים מאמצים כל אחד את כלי ה-AI שלהם ללא בדיקה, הקרן מסתיימת עם נתוני משקיעים מפוזרים על פני שירותים שאיש אינו עוקב אחריהם. החליטו כארגון אילו כלים מאושרים לאילו נתונים.

אל תסתחררו יתר על המידה לכיוון של אי-עשייה. הכישלון ההפוך אמיתי גם הוא. סירוב לכל AI כדי להימנע משאלת הנתונים משאיר GP איטי וידני יותר מעמיתים שאימצו בזהירות. המטרה היא אימוץ מנוהל, שבו התכונות השימושיות משמשות והנתונים מוגנים בו-זמנית.

רשימת בדיקה מעשית לתוכנה עם AI מובנה

כאשר אתם מעריכים כלי עם תכונות AI, עברו על השאלות האלה עם הספק. קבלו את התשובות בכתב היכן שאתם יכולים.

1. לאילו נתונים תכונת ה-AI ניגשת, והאם נוכל להגביל את היקפה?
2. האם הנתונים שלנו נשלחים לספק מודל צד שלישי, ואם כן, מי?
3. האם הנתונים שלנו משמשים אי פעם לאימון או לשיפור מודל כלשהו? (אתם רוצים 'לא' ברור, בחוזה.)
4. האם הנתונים נשמרים לאחר העיבוד? לכמה זמן, והאם נוכל לדרוש מחיקה?
5. מי תת-המעבדים שלכם, והאם נוכל לראות את הרשימה הנוכחית?
6. האם אתם מחזיקים בדוח SOC 2 Type II, והאם נוכל לעיין בו?
7. האם הנתונים מוצפנים במעבר ובמנוחה?
8. האם אתם יכולים לתמוך בדרישות GDPR ומיקום נתונים עבור המשקיעים האירופים שלנו?
9. מה קורה לנתונים שלנו אם נעזוב? כיצד הם מוחזרים או מושמדים?
10. האם יש שלב בדיקה אנושי לכל פעולת AI שמזיזה כסף או יוצרת קשר עם משקיעים?

ספק שעונה על אלה בקלות הוא ספק שכנראה תוכלו לסמוך עליו עם נתוני משקיעים. ספק שמתחמק, מעכב, או מתייחס לשאלות כחריגות, מראה לכם את התשובה בצורה אחרת.

כיצד זה מתממש בניהול השקעות ובניהול קרנות

הסיבה ששאלות אלה נוחתות קשה יותר בתפעול קרנות מאשר, נניח, בכלי שיווק, היא שהנתונים והכסף יושבים באותן מערכות. תכונת AI שמתווספת בכל מקום בערימה (stack) יורשת את חשיפת הנתונים של כל המערך הזה.

רוב ערימות הטכנולוגיה של סְפּוֹנְסוֹרים הן ארבעה עד שישה ספקים מנותקים — גיוס הון במקום אחד, בנקאות במקום אחר, חלוקות בגיליון אלקטרוני, רשומות משקיעים ב-CRM. כל חיבור בין המערכות האלה הוא נקודת מסירה שבה PII זז, וכל מסירה היא משהו שיש לנהל. ה-GPs שאיתם אנו עובדים ב-Covercy One מריצים גיוס הון, רשומות משקיעים, בנקאות וחלוקות על פלטפורמה אחת שבה בנקאות ותשלומים הם מקוריים ולא מורכבים בדיעבד. פחות מערכות שמחזיקות PII של משקיעים משמעו פחות ספקים לבדוק, פחות רשימות תת-מעבדים לרדוף אחריהן, ופחות שרשראות של גורמים שיש לתת עליהן דין וחשבון. זה אינו מסיר את הצורך לשאול את השאלות שבפוסט זה — זה מצמצם את מספר הספקים שעליכם לשאול אותם.

אותו עיקרון מעצב את האופן שבו בנינו את ה-AI לתוך הפלטפורמה. Neo, ה-Co-GP מבוסס ה-AI בתוך Covercy One, רץ באותה סביבה מנוהלת שכבר מחזיקה את הנתונים — תחת אותן בקרות SOC 2, אותה הצפנה, אותן הרשאות. Neo יכול לראות רק את מה שהמשתמש שקורא לו יכול לראות. שרשרת הגורמים אינה מתארכת כשמפעילים את ה-AI. זהו הרף שאנו חושבים שכל תכונת AI בתפעול קרנות צריכה לעמוד בו.

AI בתפעול קרנות שווה לאמץ, והחברות שיאמצו אותו בזהירות יזוזו מהר יותר מאלו שיתעלמו ממנו או ישתמשו בו בפזיזות. הגורם המכריע הוא האם ה-GP מתייחס לנתוני המשקיעים כאל האחריות הנאמנותית שהם, ושואל את הספק את השאלות שאותה אחריות דורשת. הכלים שראויים לנתוני המשקיעים שלכם יהיו עם תשובות טובות מוכנות.

ראו כיצד Neo מטפל ב-AI בתוך פלטפורמה שכבר מחזיקה את רשומות המשקיעים, הבנקאות והחלוקות שלכם תחת מערך אחד של הגנות ←