Política de proteção de dados para Rask AI
Brask Inc
Finalidade
Esta política descreve os procedimentos e controles técnicos para a proteção de dados.
Escopo
Os sistemas de produção que lidam com os dados de clientes da Rask AI devem seguir esta política.
Definições
Dados de produção: Dados que são ativamente usados e mantidos para operações comerciais e serviços ao cliente.
Sistemas de produção: Sistemas e infraestrutura que criam, recebem, armazenam ou transmitem dados de clientes de IA do Rask .
Funções e responsabilidades
O Departamento de Infraestrutura da Brask ML mantém e atualiza esta política. O CEO e o departamento jurídico aprovam esta política e quaisquer alterações.
Política
A política da Brask exige isso:
- Tratar e proteger os dados de acordo com a classificação e os padrões de criptografia aprovados.
- Armazene dados da mesma classificação juntos; evite misturar dados confidenciais e não confidenciais. Aplique controles de segurança com base na classificação mais alta em um repositório.
- Os funcionários não têm acesso administrativo direto aos dados de produção, exceto em emergências (por exemplo, análise forense, recuperação de desastres).
- Desative os serviços desnecessários em todos os sistemas de produção.
- Registre todos os acessos aos sistemas de produção.
- Ative o monitoramento de segurança em todos os sistemas de produção (monitoramento de atividades e integridade de arquivos, varredura de vulnerabilidades, detecção de malware).
Implementação e processos de proteção de dados
Proteção de dados do cliente
Rask A IA usa o AWS com dados replicados em várias regiões para redundância e recuperação de desastres.
Os funcionários da Brask seguem esses processos para proteger os Dados de Produção:
- Implemente e revise os controles para evitar alterações ou destruição indevidas.
- Armazene dados confidenciais para dar suporte a registros de acesso e monitoramento de segurança automatizado.
- Segmentar e restringir o acesso aos dados de produção do cliente a clientes autorizados.
- Criptografar todos os dados de produção em repouso usando chaves gerenciadas pela Brask.
- Proteja as chaves de criptografia e as máquinas geradoras de chaves contra acesso não autorizado; somente contas privilegiadas podem acessar o material da chave.
Acesso
O acesso dos funcionários à produção é desativado por padrão e requer aprovação. O acesso temporário é concedido conforme necessário e analisado pela equipe de segurança caso a caso.
Separação
- Os dados dos clientes são separados logicamente no nível do banco de dados/datastore usando identificadores exclusivos de clientes.
- A camada de API reforça a separação exigindo a autenticação do cliente com uma conta escolhida.
- Uma vez autenticado, o identificador exclusivo do cliente é incluído no token de acesso.
- A API usa esse token para restringir o acesso aos dados da conta autenticada.
- Todas as consultas ao banco de dados/datastore incluem o identificador da conta para garantir a segregação adequada dos dados.
Monitoramento
Rask A AI usa o Amazon CloudWatch para monitorar os serviços de nuvem. Em caso de falha no sistema, o pessoal-chave é notificado por texto, bate-papo ou e-mail para que sejam tomadas medidas corretivas.
Contrato de confidencialidade/não divulgação (NDA)
A Brask utiliza NDAs para proteger informações confidenciais com termos legalmente aplicáveis a partes internas e externas. Os principais elementos incluem:
- Definição de informações
- Duração do contrato
- Ações após a rescisão
- Responsabilidades para evitar a divulgação não autorizada
- Propriedade de informações e PI
- Uso e direitos permitidos
- Atividades de auditoria e monitoramento
- Denúncia de divulgações não autorizadas
- Devolução ou destruição de informações após o término do contrato
- Ações por violação de contrato
- Revisão periódica
Dados em repouso
Criptografia
Criptografe todos os bancos de dados, armazenamentos de dados e sistemas de arquivos de acordo com a Política de criptografia da Rask AI.
Retenção
Categorize os dados armazenados e aplique um cronograma de retenção de acordo com as políticas de retenção de dados e gerenciamento de ativos de IA do site Rask .
Considerações sobre retenção:
- Requisitos legais e contratuais
- Tipo de dados (por exemplo, registros contábeis, registros de banco de dados, logs de auditoria)
- Tipo de mídia de armazenamento (por exemplo, papel, disco rígido, servidor)
Armazenamento e descarte
Armazenar e manipular adequadamente os dados em repouso. As considerações incluem:
- Autorização para acesso e gerenciamento
- Identificação de registros e períodos de retenção
- Mudanças tecnológicas e acesso durante a retenção
- Prazo e formato da recuperação
- Métodos de descarte
Exclusão de dados
Excluir adequadamente dados confidenciais quando não forem mais necessários, de acordo com os objetivos comerciais da Brask, leis e acordos com terceiros. Mantenha registros da exclusão.
Dados em trânsito
Necessidade
Transferir dados somente quando estritamente necessário para os processos comerciais.
Fatores de transferência
Antes de escolher o método de transferência de dados, é preciso considerar o seguinte:
- Natureza, sensibilidade, confidencialidade e valor das informações
- Tamanho dos dados
- Impacto da possível perda de dados
Criptografia
Para garantir a segurança dos dados em trânsito:
- Criptografar todas as transmissões externas de ponta a ponta com chaves gerenciadas pela Brask, incluindo nuvem e fornecedores terceirizados.
- Uso de protocolos robustos, trocas de chaves e cifras para conexões de Internet e intranet.
Canais de mensagens para usuários finais
Não é permitido o envio de dados restritos e confidenciais por canais de mensagens eletrônicas para usuários finais, como e-mail ou bate-papo, a menos que a criptografia de ponta a ponta esteja ativada.