Sauga Conviro platformoje

Perdavimo metu: Visi duomenys šifruojami naudojant TLS 1.2+ su 256 bitų šifravimu. Visi API galiniai taškai, webhooks ir valdiklio jungtys veikia tik per HTTPS. HSTS taikomas su 1 metų max-age, įskaitant subdomenus.

Saugomi duomenys: Klientų duomenys šifruojami naudojant AES-256 saugojimo sluoksnyje. Duomenų bazės tomai naudoja viso disko šifravimą. Atsarginių kopijų failai šifruojami atskirais raktais.

Slaptažodžių valdymas: API raktai, žetonai ir prisijungimo duomenys šifruojami saugant naudojant atskiras raktų hierarchijas ir niekada nėra registruojami ar atskleidžiami API atsakymuose.

Duomenų centras: Visa gamybinė infrastruktūra talpinama ISO 27001 sertifikuotuose duomenų centruose Europos Sąjungoje (Vokietijoje). Serveriai nepasiekiami iš viešojo interneto.

Tinklo izoliavimas: Duomenų bazės, talpyklos ir žinučių eilės paslaugos veikia privačiuose tinkluose be viešų IP adresų. Tik API ir interneto programa turi viešus galinius taškus, esančius už atvirkštinio tarpinio serverio su dažnio ribojimu ir DDoS apsauga.

Stebėsena: Visą parą veikianti infrastruktūros stebėsena su automatiniu įspėjimu. Veikimo laiko tikslas: 99,9 %.

Autentifikavimas: El. paštas / slaptažodis su bcrypt maišomis (druskos ciklai: 12) arba Google OAuth 2.0. JWT pagrįsti prieigos žetonai su 15 minučių galiojimo laiku ir kriptografiškai atsitiktiniais atnaujinimo žetonais.

Autorizavimas: Vaidmenimis pagrįsta prieigos kontrolė (RBAC) su savininko, administratoriaus ir agento vaidmenimis. API rakto autentifikavimas programinei prieigai su leidimų taikymo apimtimi kiekvienam raktui.

Dažnio ribojimas: Pagal IP ir pagal paskyrą taikomi dažnio apribojimai visuose galiniuose taškuose. Autentifikavimo galiniai taškai turi griežtesnius apribojimus, kad būtų išvengta brutalios jėgos atakų.

GDPR: Visiška atitiktis ES Bendrajam duomenų apsaugos reglamentui. Įmonių klientams prieinami duomenų tvarkymo susitarimai (DPA). Privatumo pagal dizainą principai taikomi visoje platformoje.

Duomenų buvimo vieta: Visi klientų duomenys saugomi ir tvarkomi ES viduje. AI modelių teikėjai tvarko pokalbių duomenis pagal DPA su tinkamomis apsaugos priemonėmis bet kokiems perdavimams į JAV (EU-US DPF, standartinės sutarčių sąlygos).

Slapukų atitiktis: GDPR atitinkantis slapukų sutikimo skydelis su detalia kategorijų kontrole (būtini, analitiniai, rinkodaros). Sutikimo įrašai saugomi audito tikslais.

Estijos duomenų apsaugos įstatymas: Atitinka vietinius Estijos teisės aktus. Priežiūros institucija: Estijos duomenų apsaugos inspekcija (Andmekaitse Inspektsioon).

Pokalbių duomenys: Saugomi pagal jūsų darbo srities nustatymus (numatyta: 90 dienų). Konfigūruojama kiekvienai darbo sričiai.

Paskyros naikinimas: Kai ištrinate savo paskyrą arba pokalbių robotą, visi susiję duomenys nedelsiant visiškai pašalinami iš aktyvių duomenų bazių. Šifruotos atsarginės kopijos, kuriose yra ištrintų duomenų, visam laikui pašalinamos per 30 dienų.

Teisė į ištrynimą: GDPR 17 straipsnio užklausos apdorojamos per 30 dienų. Kreipkitės [email protected].

Duomenų izoliavimas: Jūsų žinių bazė ir pokalbių duomenys niekada nenaudojami AI modeliams mokyti. Kiekvienos darbo srities duomenys griežtai izoliuoti.

Teikėjų susitarimai: Palaikome duomenų tvarkymo susitarimus su visais AI teikėjais (Anthropic, OpenAI, Google). Nulinio saugojimo API susitarimai užtikrina, kad teikėjai nesaugotų jūsų duomenų.

Turinio filtravimas: AI rezultatai stebimi saugumo požiūriu. Visoms AI sąveikoms taikoma apsauga nuo užklausų injekcijos ir turinio saugos filtrai.

Jei manote, kad radote saugumo pažeidžiamumą Conviro platformoje, atsakingai praneškite apie jį mūsų saugumo komandai. Neatskleiskite pažeidžiamumo viešai, kol neturėjome galimybės jo pašalinti.

Kontaktai: [email protected]

Mes įsipareigojame:

• Patvirtinti jūsų pranešimą per 24 valandas.
• Pateikti ištaisymo terminą per 72 valandas.
• Informuoti jus apie mūsų pažangą.
• Nesiimti teisinių veiksmų prieš sąžiningus saugumo tyrėjus.