Cette page présente une vue d'ensemble des produits et fonctionnalités OpenAI éligibles HIPAA. Pour obtenir des détails sur l'utilisation et la configuration de ces produits, consultez le Guide HIPAA mentionné dans votre BAA.
Produits éligibles HIPAA
OpenAI met à disposition les produits suivants éligibles à la HIPAA avec un accord de partenariat commercial (BAA) :
ChatGPT for Healthcare
ChatGPT pour les entreprises avec l'espace de travail réglementé
ChatGPT FedRAMP
ChatGPT for Clinicians
API avec conservation modifiée
API FedRAMP avec conservation modifiée
Fonctionnalités de ChatGPT couvertes par le BAA
Les produits ChatGPT éligibles HIPAA comprennent les fonctionnalités suivantes qui soutiennent la conformité HIPAA et sont couvertes par l'OpenAI Business Associate and Healthcare Addendum (le « BAA ») :
Fonctionnalités d’administration
SSO
API de conformité
RBAC
Chat avec fichiers
Partage de chat
Voix (reconnaissance vocale/mode vocal avancé)
Outil Python et téléchargement de fichiers
Recherche Web & Recherche approfondie (voir les détails ci-dessous)
Canvas et exécution de code Canvas
Génération d’images
Mémoire
Projets
Notifications
Applications / Connecteurs
GPT
Clients de bureau : macOS et Windows
Application mobile
Enregistrer
Travailler avec les applications
ChatGPT pour Excel et Google Sheets
Agents d’espace de travail
Bibliothèque
Codex local (voir ci-dessous pour plus de détails)
Mode étude (disponible uniquement dans ChatGPT pour l'éducation)
Recherche clinique fiable (disponible dans ChatGPT for Healthcare uniquement)
Codex Local (connexion avec ChatGPT)
Codex Local implique l'installation du client Codex Local sur un poste de travail local. Les clients locaux éligibles HIPAA incluent le CLI, l'IDE et l'application de bureau lorsque vous êtes connecté à un compte ChatGPT éligible HIPAA . Lorsque le client Codex Local transmet des PHI à OpenAI à des fins de traitement, OpenAI protégera les PHI du client conformément au BAA.
Le BAA d'OpenAI ne s'applique pas à l'exécution du client local Codex sur les machines clientes du client ni aux services tiers auxquels le client local Codex accède en raison de l'utilisation ou des instructions du client. Il incombe au client d'évaluer l'installation du client local Codex, son environnement d'exploitation, et de mettre en place une configuration gérée répondant à ses exigences d'utilisation avec des informations de santé protégées (PHI).
Pour en savoir plus sur le déploiement de Codex au sein de votre organisation, consultez https://developers.openai.com/codex/enterprise/admin-setup.
Pour les options de configuration de Codex Local, consultez https://developers.openai.com/codex/enterprise/managed-configuration et le Guide d'implémentation HIPAA de Codex.
Recherche web & recherche approfondie
OpenAI configure les espaces de travail ChatGPT éligibles à la HIPAA pour utiliser l'index de recherche d'OpenAI. Lorsque les utilisateurs activent l'outil recherche sur le web ou recherche approfondie, ou lorsque le modèle récupère des informations sur le web, il utilise des informations issues de l'index d'OpenAI. OpenAI n'envoie pas de requêtes à des fournisseurs de recherche tiers (par exemple, Bing) lors de l'utilisation d'un espace de travail éligible à la HIPAA.
Accès aux fonctionnalités de ChatGPT non couvertes par le BAA
Un client peut, à sa seule discrétion, activer l'accès à des fonctionnalités supplémentaires de ChatGPT qui ne sont pas couvertes par le BAA. Ces fonctionnalités supplémentaires sont désactivées par défaut. Les administrateurs des espaces de travail peuvent activer l'accès à ces fonctionnalités via des groupes RBAC. Consultez cet article pour en savoir plus sur la configuration des rôles et des groupes RBAC. Cet accès est réservé aux utilisations n'impliquant pas la transmission, le stockage ou le traitement d'informations de santé protégées (PHI).
Fonctionnalités d'API couvertes par le BAA
L'éligibilité HIPAA pour l'API OpenAI est subordonnée au fait que le compte du client soit configuré avec la rétention modifiée, sauf indication contraire d'OpenAI. Une fois que l'ID de votre organisation est provisionné avec la rétention modifiée, les points de terminaison répertoriés ci-dessous peuvent être utilisés pour traiter des données de santé protégées (PHI), même si les données sont conservées, après la signature du BAA d'OpenAI.
Points de terminaison conformes à la HIPAA
/v1/chat/completions
/v1/responses
/v1/assistants
/v1/threads
/v1/threads/messages
/v1/threads/runs
/v1/vector_stores
/v1/threads/runs/steps
/v1/images/generations
/v1/images/edits
/v1/images/variations
/v1/embeddings
/v1/audio/transcriptions
/v1/audio/translations
/v1/audio/speech
/v1/files
/v1/fine_tuning/jobs
/v1/batches
/v1/moderations
/v1/completions
/v1/realtime
Codex local (clé API)
L'utilisation de Codex Local avec une clé d'API OpenAI fournie par le client pour les services API OpenAI sera couverte par le BAA pour les données traitées par OpenAI uniquement si le client a conclu avec OpenAI un BAA qui inclut les services API avec conservation modifiée en tant que service éligible. Consultez la section Codex Local (Connexion avec ChatGPT) ci-dessus pour en savoir plus sur la couverture du BAA et les responsabilités du client.
