Politica di protezione dei dati per Rask AI
Brask Inc
Scopo
Questa politica illustra le procedure e i controlli tecnici per la protezione dei dati.
Ambito di applicazione
I sistemi di produzione che gestiscono i dati dei clienti di Rask AI devono seguire questa politica.
Definizioni
Dati di produzione: Dati utilizzati e gestiti attivamente per le operazioni commerciali e i servizi ai clienti.
Sistemi di produzione: Sistemi e infrastrutture che creano, ricevono, archiviano o trasmettono i dati dei clienti di Rask AI.
Ruoli e responsabilità
Il Dipartimento Infrastrutture di Brask ML mantiene e aggiorna questa politica. L'Amministratore Delegato e l'Ufficio Legale approvano questa politica e qualsiasi modifica.
Politica
La politica di Brask prevede che:
- Gestire e proteggere i dati in base alla classificazione e agli standard di crittografia approvati.
- Archiviare insieme i dati della stessa classificazione; evitare di mescolare dati sensibili e non sensibili. Applicare i controlli di sicurezza in base alla classificazione più alta in un repository.
- I dipendenti non hanno accesso amministrativo diretto ai dati di produzione, se non in caso di emergenza (ad esempio, analisi forense, disaster recovery).
- Disattivare i servizi non necessari su tutti i sistemi di produzione.
- Registrare tutti gli accessi ai sistemi di produzione.
- Attivare il monitoraggio della sicurezza su tutti i sistemi di produzione (monitoraggio dell'attività e dell'integrità dei file, scansione delle vulnerabilità, rilevamento di malware).
Implementazione e processi di protezione dei dati
Protezione dei dati dei clienti
Rask AI utilizza AWS con dati replicati in più regioni per la ridondanza e il disaster recovery.
I dipendenti Brask seguono questi processi per proteggere i dati di produzione:
- Implementare e rivedere i controlli per prevenire alterazioni o distruzioni improprie.
- Memorizzare i dati riservati per supportare i registri di accesso e il monitoraggio automatico della sicurezza.
- Segmentare e limitare l'accesso ai dati di produzione dei clienti ai clienti autorizzati.
- Crittografare tutti i dati di produzione a riposo utilizzando chiavi gestite da Brask.
- Proteggere le chiavi di crittografia e le macchine che generano le chiavi da accessi non autorizzati; solo gli account privilegiati possono accedere al materiale delle chiavi.
Accesso
L'accesso dei dipendenti alla produzione è disabilitato per impostazione predefinita e richiede l'approvazione. L'accesso temporaneo è concesso in base alle necessità e viene esaminato dal team di sicurezza caso per caso.
Separazione
- I dati dei clienti sono separati logicamente a livello di database/datastore mediante l'utilizzo di identificatori unici dei clienti.
- Il livello API impone la separazione richiedendo l'autenticazione del cliente con un account scelto.
- Una volta autenticato, l'identificativo unico del cliente è incluso nel token di accesso.
- L'API utilizza questo token per limitare l'accesso ai dati all'account autenticato.
- Tutte le interrogazioni del database/datastore includono l'identificativo del conto per garantire una corretta segregazione dei dati.
Monitoraggio
Rask AI utilizza Amazon CloudWatch per monitorare i servizi cloud. In caso di guasto del sistema, il personale chiave viene avvisato via testo, chat o e-mail per l'azione correttiva.
Accordo di riservatezza/non divulgazione (NDA)
Brask utilizza gli NDA per proteggere le informazioni riservate con termini legalmente applicabili, applicabili a parti interne ed esterne. Gli elementi chiave includono:
- Definizione delle informazioni
- Durata dell'accordo
- Azioni in caso di cessazione del rapporto di lavoro
- Responsabilità di prevenire la divulgazione non autorizzata
- Proprietà delle informazioni e della proprietà intellettuale
- Uso e diritti consentiti
- Attività di audit e monitoraggio
- Segnalazione di divulgazioni non autorizzate
- Restituzione o distruzione delle informazioni al momento della cessazione del rapporto
- Azioni per violazione del contratto
- Revisione periodica
Dati a riposo
Crittografia
Crittografare tutti i database, i data store e i file system in base alla politica di crittografia di Rask AI.
Mantenimento
Categorizzare i dati archiviati e applicare un piano di conservazione secondo le politiche di gestione delle risorse e di conservazione dei dati di Rask .
Considerazioni sulla conservazione:
- Requisiti legali e contrattuali
- Tipo di dati (ad esempio, registrazioni contabili, registrazioni di database, registri di audit)
- Tipo di supporto di memorizzazione (ad esempio, carta, disco rigido, server)
Stoccaggio e smaltimento
Archiviare e gestire correttamente i dati a riposo. Le considerazioni includono:
- Autorizzazione all'accesso e alla gestione
- Identificazione delle registrazioni e dei periodi di conservazione
- Cambiamenti tecnologici e accesso durante la conservazione
- Tempi e formati di recupero
- Metodi di smaltimento
Cancellazione dei dati
Eliminare correttamente i dati sensibili quando non sono più necessari, in linea con gli obiettivi aziendali di Brask, le leggi e gli accordi con terzi. Conservare le registrazioni della cancellazione.
Dati in transito
Necessità
Trasferire i dati solo quando è strettamente necessario per i processi aziendali.
Fattori di trasferimento
Prima di scegliere il metodo di trasferimento dei dati, è necessario considerare quanto segue:
- Natura, sensibilità, riservatezza e valore delle informazioni.
- Dimensione dei dati
- Impatto della potenziale perdita di dati
Crittografia
Per garantire la sicurezza dei dati in transito:
- Crittografia di tutte le trasmissioni esterne end-to-end con chiavi gestite da Brask, compresi cloud e fornitori terzi.
- Utilizzo di protocolli, scambi di chiavi e cifrari forti per le connessioni Internet e Intranet.
Canali di messaggistica per gli utenti finali
I dati riservati e sensibili non possono essere inviati tramite i canali di messaggistica elettronica degli utenti finali, come e-mail o chat, a meno che non sia abilitata la crittografia end-to-end.