Conformità

Politica di protezione dei dati per Rask AI

Brask Inc

Scopo

Questa politica illustra le procedure e i controlli tecnici per la protezione dei dati.

Ambito di applicazione

I sistemi di produzione che gestiscono i dati dei clienti di Rask AI devono seguire questa politica.

Definizioni

Dati di produzione: Dati utilizzati e gestiti attivamente per le operazioni commerciali e i servizi ai clienti.

Sistemi di produzione: Sistemi e infrastrutture che creano, ricevono, archiviano o trasmettono i dati dei clienti di Rask AI.

Ruoli e responsabilità

Il Dipartimento Infrastrutture di Brask ML mantiene e aggiorna questa politica. L'Amministratore Delegato e l'Ufficio Legale approvano questa politica e qualsiasi modifica.

Politica

La politica di Brask prevede che:

• Gestire e proteggere i dati in base alla classificazione e agli standard di crittografia approvati.
• Archiviare insieme i dati della stessa classificazione; evitare di mescolare dati sensibili e non sensibili. Applicare i controlli di sicurezza in base alla classificazione più alta in un repository.
• I dipendenti non hanno accesso amministrativo diretto ai dati di produzione, se non in caso di emergenza (ad esempio, analisi forense, disaster recovery).
• Disattivare i servizi non necessari su tutti i sistemi di produzione.
• Registrare tutti gli accessi ai sistemi di produzione.
• Attivare il monitoraggio della sicurezza su tutti i sistemi di produzione (monitoraggio dell'attività e dell'integrità dei file, scansione delle vulnerabilità, rilevamento di malware).

Implementazione e processi di protezione dei dati

Protezione dei dati dei clienti

Rask AI utilizza AWS con dati replicati in più regioni per la ridondanza e il disaster recovery.

I dipendenti Brask seguono questi processi per proteggere i dati di produzione:

• Implementare e rivedere i controlli per prevenire alterazioni o distruzioni improprie.
• Memorizzare i dati riservati per supportare i registri di accesso e il monitoraggio automatico della sicurezza.
• Segmentare e limitare l'accesso ai dati di produzione dei clienti ai clienti autorizzati.
• Crittografare tutti i dati di produzione a riposo utilizzando chiavi gestite da Brask.
• Proteggere le chiavi di crittografia e le macchine che generano le chiavi da accessi non autorizzati; solo gli account privilegiati possono accedere al materiale delle chiavi.

Accesso

L'accesso dei dipendenti alla produzione è disabilitato per impostazione predefinita e richiede l'approvazione. L'accesso temporaneo è concesso in base alle necessità e viene esaminato dal team di sicurezza caso per caso.

Separazione

• I dati dei clienti sono separati logicamente a livello di database/datastore mediante l'utilizzo di identificatori unici dei clienti.
• Il livello API impone la separazione richiedendo l'autenticazione del cliente con un account scelto.
• Una volta autenticato, l'identificativo unico del cliente è incluso nel token di accesso.
• L'API utilizza questo token per limitare l'accesso ai dati all'account autenticato.
• Tutte le interrogazioni del database/datastore includono l'identificativo del conto per garantire una corretta segregazione dei dati.

Monitoraggio

Rask AI utilizza Amazon CloudWatch per monitorare i servizi cloud. In caso di guasto del sistema, il personale chiave viene avvisato via testo, chat o e-mail per l'azione correttiva.

Accordo di riservatezza/non divulgazione (NDA)

Brask utilizza gli NDA per proteggere le informazioni riservate con termini legalmente applicabili, applicabili a parti interne ed esterne. Gli elementi chiave includono:

• Definizione delle informazioni
• Durata dell'accordo
• Azioni in caso di cessazione del rapporto di lavoro
• Responsabilità di prevenire la divulgazione non autorizzata
• Proprietà delle informazioni e della proprietà intellettuale
• Uso e diritti consentiti
• Attività di audit e monitoraggio
• Segnalazione di divulgazioni non autorizzate
• Restituzione o distruzione delle informazioni al momento della cessazione del rapporto
• Azioni per violazione del contratto
• Revisione periodica

Dati a riposo

Crittografia

Crittografare tutti i database, i data store e i file system in base alla politica di crittografia di Rask AI.

Mantenimento

Categorizzare i dati archiviati e applicare un piano di conservazione secondo le politiche di gestione delle risorse e di conservazione dei dati di Rask .

Considerazioni sulla conservazione:

• Requisiti legali e contrattuali
• Tipo di dati (ad esempio, registrazioni contabili, registrazioni di database, registri di audit)
• Tipo di supporto di memorizzazione (ad esempio, carta, disco rigido, server)

Stoccaggio e smaltimento

Archiviare e gestire correttamente i dati a riposo. Le considerazioni includono:

• Autorizzazione all'accesso e alla gestione
• Identificazione delle registrazioni e dei periodi di conservazione
• Cambiamenti tecnologici e accesso durante la conservazione
• Tempi e formati di recupero
• Metodi di smaltimento

Cancellazione dei dati

Eliminare correttamente i dati sensibili quando non sono più necessari, in linea con gli obiettivi aziendali di Brask, le leggi e gli accordi con terzi. Conservare le registrazioni della cancellazione.

Dati in transito

Necessità

Trasferire i dati solo quando è strettamente necessario per i processi aziendali.

Fattori di trasferimento

Prima di scegliere il metodo di trasferimento dei dati, è necessario considerare quanto segue:

• Natura, sensibilità, riservatezza e valore delle informazioni.
• Dimensione dei dati
• Impatto della potenziale perdita di dati

Crittografia

Per garantire la sicurezza dei dati in transito:

• Crittografia di tutte le trasmissioni esterne end-to-end con chiavi gestite da Brask, compresi cloud e fornitori terzi.
• Utilizzo di protocolli, scambi di chiavi e cifrari forti per le connessioni Internet e Intranet.

Canali di messaggistica per gli utenti finali

I dati riservati e sensibili non possono essere inviati tramite i canali di messaggistica elettronica degli utenti finali, come e-mail o chat, a meno che non sia abilitata la crittografia end-to-end.