Conformidade

Política de proteção de dados para Rask AI

Brask Inc

Finalidade

Esta política descreve os procedimentos e controles técnicos para a proteção de dados.

Escopo

Os sistemas de produção que lidam com os dados de clientes da Rask AI devem seguir esta política.

Definições

Dados de produção: Dados que são ativamente usados e mantidos para operações comerciais e serviços ao cliente.

Sistemas de produção: Sistemas e infraestrutura que criam, recebem, armazenam ou transmitem dados de clientes de IA do Rask .

Funções e responsabilidades

O Departamento de Infraestrutura da Brask ML mantém e atualiza esta política. O CEO e o departamento jurídico aprovam esta política e quaisquer alterações.

Política

A política da Brask exige isso:

• Tratar e proteger os dados de acordo com a classificação e os padrões de criptografia aprovados.
• Armazene dados da mesma classificação juntos; evite misturar dados confidenciais e não confidenciais. Aplique controles de segurança com base na classificação mais alta em um repositório.
• Os funcionários não têm acesso administrativo direto aos dados de produção, exceto em emergências (por exemplo, análise forense, recuperação de desastres).
• Desative os serviços desnecessários em todos os sistemas de produção.
• Registre todos os acessos aos sistemas de produção.
• Ative o monitoramento de segurança em todos os sistemas de produção (monitoramento de atividades e integridade de arquivos, varredura de vulnerabilidades, detecção de malware).

Implementação e processos de proteção de dados

Proteção de dados do cliente

Rask A IA usa o AWS com dados replicados em várias regiões para redundância e recuperação de desastres.

Os funcionários da Brask seguem esses processos para proteger os Dados de Produção:

• Implemente e revise os controles para evitar alterações ou destruição indevidas.
• Armazene dados confidenciais para dar suporte a registros de acesso e monitoramento de segurança automatizado.
• Segmentar e restringir o acesso aos dados de produção do cliente a clientes autorizados.
• Criptografar todos os dados de produção em repouso usando chaves gerenciadas pela Brask.
• Proteja as chaves de criptografia e as máquinas geradoras de chaves contra acesso não autorizado; somente contas privilegiadas podem acessar o material da chave.

Acesso

O acesso dos funcionários à produção é desativado por padrão e requer aprovação. O acesso temporário é concedido conforme necessário e analisado pela equipe de segurança caso a caso.

Separação

• Os dados dos clientes são separados logicamente no nível do banco de dados/datastore usando identificadores exclusivos de clientes.
• A camada de API reforça a separação exigindo a autenticação do cliente com uma conta escolhida.
• Uma vez autenticado, o identificador exclusivo do cliente é incluído no token de acesso.
• A API usa esse token para restringir o acesso aos dados da conta autenticada.
• Todas as consultas ao banco de dados/datastore incluem o identificador da conta para garantir a segregação adequada dos dados.

Monitoramento

Rask A AI usa o Amazon CloudWatch para monitorar os serviços de nuvem. Em caso de falha no sistema, o pessoal-chave é notificado por texto, bate-papo ou e-mail para que sejam tomadas medidas corretivas.

Contrato de confidencialidade/não divulgação (NDA)

A Brask utiliza NDAs para proteger informações confidenciais com termos legalmente aplicáveis a partes internas e externas. Os principais elementos incluem:

• Definição de informações
• Duração do contrato
• Ações após a rescisão
• Responsabilidades para evitar a divulgação não autorizada
• Propriedade de informações e PI
• Uso e direitos permitidos
• Atividades de auditoria e monitoramento
• Denúncia de divulgações não autorizadas
• Devolução ou destruição de informações após o término do contrato
• Ações por violação de contrato
• Revisão periódica

Dados em repouso

Criptografia

Criptografe todos os bancos de dados, armazenamentos de dados e sistemas de arquivos de acordo com a Política de criptografia da Rask AI.

Retenção

Categorize os dados armazenados e aplique um cronograma de retenção de acordo com as políticas de retenção de dados e gerenciamento de ativos de IA do site Rask .

Considerações sobre retenção:

• Requisitos legais e contratuais
• Tipo de dados (por exemplo, registros contábeis, registros de banco de dados, logs de auditoria)
• Tipo de mídia de armazenamento (por exemplo, papel, disco rígido, servidor)

Armazenamento e descarte

Armazenar e manipular adequadamente os dados em repouso. As considerações incluem:

• Autorização para acesso e gerenciamento
• Identificação de registros e períodos de retenção
• Mudanças tecnológicas e acesso durante a retenção
• Prazo e formato da recuperação
• Métodos de descarte

Exclusão de dados

Excluir adequadamente dados confidenciais quando não forem mais necessários, de acordo com os objetivos comerciais da Brask, leis e acordos com terceiros. Mantenha registros da exclusão.

Dados em trânsito

Necessidade

Transferir dados somente quando estritamente necessário para os processos comerciais.

Fatores de transferência

Antes de escolher o método de transferência de dados, é preciso considerar o seguinte:

• Natureza, sensibilidade, confidencialidade e valor das informações
• Tamanho dos dados
• Impacto da possível perda de dados

Criptografia

Para garantir a segurança dos dados em trânsito:

• Criptografar todas as transmissões externas de ponta a ponta com chaves gerenciadas pela Brask, incluindo nuvem e fornecedores terceirizados.
• Uso de protocolos robustos, trocas de chaves e cifras para conexões de Internet e intranet.

Canais de mensagens para usuários finais

Não é permitido o envio de dados restritos e confidenciais por canais de mensagens eletrônicas para usuários finais, como e-mail ou bate-papo, a menos que a criptografia de ponta a ponta esteja ativada.