Polityka ochrony danych dla Rask AI
Brask Inc
Cel
Niniejsza polityka określa procedury i techniczne środki kontroli w zakresie ochrony danych.
Zakres
Systemy produkcyjne obsługujące dane klientów Rask AI muszą być zgodne z tą polityką.
Definicje
Dane produkcyjne: Dane, które są aktywnie wykorzystywane i utrzymywane na potrzeby operacji biznesowych i obsługi klienta.
Systemy produkcyjne: Systemy i infrastruktura, które tworzą, odbierają, przechowują lub przesyłają dane klientów Rask AI.
Role i obowiązki
Dział Infrastruktury ML Brask utrzymuje i aktualizuje niniejszą politykę. Dyrektor generalny i dział prawny zatwierdzają niniejszą politykę i wszelkie zmiany.
Polityka
Polityka firmy Brask tego wymaga:
- Obsługa i ochrona danych zgodnie z klasyfikacją i zatwierdzonymi standardami szyfrowania.
- Przechowuj dane o tej samej klasyfikacji razem; unikaj mieszania danych wrażliwych i niewrażliwych. Stosuj mechanizmy kontroli bezpieczeństwa oparte na najwyższej klasyfikacji w repozytorium.
- Pracownicy nie mają bezpośredniego dostępu administracyjnego do danych produkcyjnych, z wyjątkiem sytuacji awaryjnych (np. analiza kryminalistyczna, odzyskiwanie danych po awarii).
- Wyłącz niepotrzebne usługi we wszystkich systemach produkcyjnych.
- Rejestrowanie całego dostępu do systemów produkcyjnych.
- Włączenie monitorowania bezpieczeństwa we wszystkich systemach produkcyjnych (monitorowanie aktywności i integralności plików, skanowanie luk w zabezpieczeniach, wykrywanie złośliwego oprogramowania).
Wdrażanie i procesy ochrony danych
Ochrona danych klientów
Rask AI korzysta z AWS z danymi replikowanymi w wielu regionach w celu zapewnienia redundancji i odzyskiwania danych po awarii.
Pracownicy firmy Brask przestrzegają tych procesów w celu ochrony danych produkcyjnych:
- Wdrożenie i przegląd kontroli w celu zapobiegania niewłaściwym zmianom lub zniszczeniu.
- Przechowywanie poufnych danych w celu obsługi dzienników dostępu i automatycznego monitorowania bezpieczeństwa.
- Segmentowanie i ograniczanie dostępu do danych produkcyjnych klientów do autoryzowanych klientów.
- Szyfrowanie wszystkich danych produkcyjnych w spoczynku przy użyciu kluczy zarządzanych przez Brask.
- Ochrona kluczy szyfrujących i maszyn generujących klucze przed nieautoryzowanym dostępem; tylko konta uprzywilejowane mogą uzyskać dostęp do materiału klucza.
Dostęp
Dostęp pracowników do produkcji jest domyślnie wyłączony i wymaga zatwierdzenia. Tymczasowy dostęp jest przyznawany w razie potrzeby i weryfikowany przez zespół ds. bezpieczeństwa.
Separacja
- Dane klientów są logicznie oddzielone na poziomie bazy danych / magazynu danych przy użyciu unikalnych identyfikatorów klientów.
- Warstwa API wymusza separację, wymagając uwierzytelnienia klienta za pomocą wybranego konta.
- Po uwierzytelnieniu unikalny identyfikator klienta jest zawarty w tokenie dostępu.
- Interfejs API wykorzystuje ten token do ograniczenia dostępu do danych do uwierzytelnionego konta.
- Wszystkie zapytania do bazy danych / magazynu danych zawierają identyfikator konta, aby zapewnić właściwą segregację danych.
Monitorowanie
Rask AI wykorzystuje Amazon CloudWatch do monitorowania usług w chmurze. W przypadku awarii systemu kluczowy personel jest powiadamiany za pośrednictwem wiadomości tekstowej, czatu lub wiadomości e-mail w celu podjęcia działań naprawczych.
Poufność/Umowa o zachowaniu poufności (NDA)
Brask stosuje umowy o zachowaniu poufności w celu ochrony informacji poufnych za pomocą prawnie egzekwowalnych warunków, mających zastosowanie do stron wewnętrznych i zewnętrznych. Kluczowe elementy obejmują:
- Definicja informacji
- Okres obowiązywania umowy
- Działania po rozwiązaniu umowy
- Obowiązki w zakresie zapobiegania nieuprawnionemu ujawnieniu
- Własność informacji i IP
- Dozwolone użytkowanie i prawa
- Działania w zakresie audytu i monitorowania
- Zgłaszanie nieautoryzowanych ujawnień
- Zwrot lub zniszczenie informacji po rozwiązaniu umowy
- Powództwa z tytułu naruszenia umowy
- Przegląd okresowy
Dane w spoczynku
Szyfrowanie
Szyfrowanie wszystkich baz danych, magazynów danych i systemów plików zgodnie z polityką szyfrowania Rask AI.
Zatrzymanie
Skategoryzuj przechowywane dane i zastosuj harmonogram przechowywania zgodnie z Rask AI Asset Management and Data Retention Policies.
Rozważania dotyczące retencji:
- Wymogi prawne i umowne
- Typ danych (np. zapisy księgowe, zapisy bazy danych, dzienniki audytu)
- Typ nośnika danych (np. papier, dysk twardy, serwer)
Przechowywanie i utylizacja
Prawidłowe przechowywanie i obsługa danych w spoczynku. Rozważania obejmują:
- Autoryzacja dostępu i zarządzania
- Identyfikacja zapisów i okresy przechowywania
- Zmiany technologiczne i dostęp podczas retencji
- Ramy czasowe i format pobierania
- Metody utylizacji
Usuwanie danych
Prawidłowe usuwanie danych wrażliwych, gdy nie są już potrzebne, zgodnie z celami biznesowymi Brask, przepisami prawa i umowami z osobami trzecimi. Przechowywanie dokumentacji dotyczącej usuwania danych.
Dane w tranzycie
Konieczność
Przesyłaj dane tylko wtedy, gdy jest to absolutnie konieczne dla procesów biznesowych.
Czynniki transferu
Przed wyborem metody przesyłania danych należy wziąć pod uwagę następujące kwestie:
- Charakter, wrażliwość, poufność i wartość informacji
- Rozmiar danych
- Wpływ potencjalnej utraty danych
Szyfrowanie
Zapewnienie bezpieczeństwa przesyłanych danych:
- Szyfrowanie wszystkich zewnętrznych transmisji od końca do końca za pomocą kluczy zarządzanych przez Brask, w tym chmury i dostawców zewnętrznych.
- Korzystanie z silnych protokołów, wymiany kluczy i szyfrów dla połączeń internetowych i intranetowych.
Kanały wiadomości dla użytkowników końcowych
Ograniczone i wrażliwe dane nie mogą być przesyłane za pośrednictwem elektronicznych kanałów komunikacji z użytkownikami końcowymi, takich jak poczta e-mail lub czat, chyba że włączone jest szyfrowanie typu end-to-end.