Turvalisus Conviros

Edastamisel: Kõik andmed krüptitakse TLS 1.2+ abil 256-bitise krüptimisega. Kõik API lõpp-punktid, webhookid ja vidina ühendused on ainult HTTPS. HSTS on jõustatud max-age väärtusega 1 aasta, kaasa arvatud alamdomeenid.

Salvestatuna: Kliendiandmed krüptitakse salvestuskihis AES-256 abil. Andmebaasi mahud kasutavad täisketta krüptimist. Varufailid krüptitakse eraldi võtmetega.

Saladuste haldus: API võtmed, märgid ja mandaadid krüptitakse salvestatuna eraldi võtmehierarhiatega ning neid ei logita ega avaldata kunagi API vastustes.

Andmekeskus: Kogu tootmisinfrastruktuur asub ISO 27001 sertifitseeritud andmekeskustes Euroopa Liidus (Saksamaa). Serverid ei ole avalikust internetist ligipääsetavad.

Võrgu isoleerimine: Andmebaasi-, vahemälu- ja sõnumijärjekorra teenused töötavad privaatvõrkudes ilma avalike IP-aadressideta. Ainult API ja veebirakendus omavad avalikke lõpp-punkte, mis asuvad pöördproksi taga koos kiiruspiirangu ja DDoS-kaitsega.

Jälgimine: 24/7 infrastruktuuri jälgimine automaatsete teavitustega. Tööaja eesmärk: 99,9%.

Autentimine: E-post/parool koos bcrypt-räsiga (soolaringe: 12) või Google OAuth 2.0. JWT-põhised juurdepääsumärgid 15-minutilise kehtivusajaga ja krüptograafiliselt juhuslikud värskendusmärgid.

Autoriseerimine: Rollipõhine juurdepääsu kontroll (RBAC) rollidega Owner, Admin ja Agent. API-võtme autentimine programmiliseks juurdepääsuks koos võtmepõhise õiguste piiritlemisega.

Kiiruspiirang: IP- ja kontopõhised kiiruspiirangud kõigil lõpp-punktidel. Autentimise lõpp-punktidel on rangemad piirangud, et vältida toore jõu rünnakuid.

GDPR: Täielik vastavus ELi isikuandmete kaitse üldmäärusele. Andmetöötluslepingud (DPA) on Enterprise-klientidele saadaval. Privaatsust kavandav lähenemine on rakendatud kogu platvormis.

Andmete asukoht: Kõiki kliendiandmeid säilitatakse ja töödeldakse ELis. AI-mudelite pakkujad töötlevad vestlusandmeid DPA-de alusel asjakohaste kaitsemeetmetega mis tahes USA-sse edastamise korral (EU-US DPF, standardsed lepingutingimused).

Küpsiste vastavus: GDPR-iga kooskõlas olev küpsiste nõusoleku bänner detailse kategooriakontrolliga (hädavajalikud, analüütika, turundus). Nõusolekukirjeid säilitatakse auditeerimise eesmärgil.

Eesti isikuandmete kaitse seadus: Vastab kohalikele Eesti õigusaktidele. Järelevalveasutus: Andmekaitse Inspektsioon.

Vestlusandmed: Säilitatakse sinu tööruumi seadete alusel (vaikimisi: 90 päeva). Seadistatav iga tööruumi kohta.

Konto kustutamine: Kui kustutad oma konto või vestlusroboti, kustutatakse kõik seotud andmed aktiivsetest andmebaasidest kohe jäädavalt. Krüptitud varukoopiad, mis sisaldavad kustutatud andmeid, eemaldatakse jäädavalt 30 päeva jooksul.

Õigus andmete kustutamisele: GDPR artikli 17 taotlused töödeldakse 30 päeva jooksul. Võta ühendust [email protected].

Andmete isoleerimine: Sinu teadmusbaasi ja vestlusandmeid ei kasutata kunagi AI-mudelite treenimiseks. Iga tööruumi andmed on rangelt isoleeritud.

Teenusepakkujate lepingud: Hoiame andmetöötluslepinguid kõigi AI-pakkujatega (Anthropic, OpenAI, Google). Nullsäilitusega API-lepingud tagavad, et pakkujad ei säilita sinu andmeid.

Sisu filtreerimine: AI väljundeid jälgitakse turvalisuse tagamiseks. Kõigis AI-interaktsioonides rakendatakse käsuinjektsiooni kaitset ja sisu turvalisuse filtreid.

Kui usud, et oled leidnud Conviros turvanõrkuse, palun teata sellest vastutustundlikult meie turvameeskonnale. Ära avalikusta haavatavust avalikult enne, kui meil on olnud võimalus sellega tegeleda.

Kontakt: [email protected]

Me kohustume:

• Kinnitama sinu teate kättesaamist 24 tunni jooksul.
• Esitama parandamise ajakava 72 tunni jooksul.
• Hoidma sind meie edusammudega kursis.
• Mitte algatama õiguslikke meetmeid heausksete turvauurijate vastu.