Bezpieczeństwo i prywatność danych
Bezpieczeństwo
Stosujemy najlepsze praktyki wielowarstwowego podejścia, aby zabezpieczyć naszą platformę i informacje Twojej firmy
Infrastruktura chmurowa
Wybór przez nas Google Cloud Platform (GCP) jako dostawcy usług w chmurze zapewnia naszym klientom szereg korzyści w zakresie bezpieczeństwa danych:
Bezpieczeństwo fizyczne: Centra danych Google wdrażają wiodące w branży środki bezpieczeństwa fizycznego, w tym ograniczony dostęp, nadzór wideo i zaawansowane systemy wykrywania włamań. Środki te są rygorystycznie kontrolowane i są zgodne z międzynarodowo uznanymi standardami, takimi jak ISO 27001 w zakresie bezpieczeństwa fizycznego.
Szyfrowanie danych: Google Cloud domyślnie stosuje transparentne szyfrowanie, szyfrując dane w stanie spoczynku i podczas przesyłania za pomocą standardowych algorytmów branżowych, takich jak AES-256. Ponadto usługa Google Key Management Service (KMS) zapewnia scentralizowaną kontrolę nad kluczami szyfrowania, przestrzegając najlepszych praktyk w zakresie rotacji kluczy i kontroli dostępu.
Zgodność: Google Cloud przechodzi rygorystyczne niezależne audyty, aby zapewnić zgodność z różnymi standardami branżowymi i przepisami, w tym ISO 27001, SOC 2, HIPAA i PCI DSS. Ta niezależna weryfikacja zapewnia naszym klientom dodatkową pewność co do postawy bezpieczeństwa infrastruktury chmurowej Google.
Zarządzanie tożsamością i dostępem klienta (IAM): Google Cloud IAM zapewnia szczegółowe kontrole dostępu do zasobów, zapewniając zgodność z zasadą najmniejszych uprawnień. Klienci mogą definiować role i uprawnienia na podstawie swoich konkretnych potrzeb, zgodnie z Polityką Google Identity and Access Management.
Bezpieczeństwo sieci: Prywatna sieć Google zapewnia bezpieczną ścieżkę dla Twoich danych, chronioną fizycznymi i operacyjnymi środkami bezpieczeństwa Google.
Szyfrowanie plików i baz danych
Wszystkie dane klientów (zarówno pliki, jak i bazy danych) są szyfrowane w stanie spoczynku i podczas przesyłu za pomocą niezawodnych algorytmów szyfrowania.
Zewnętrzne zarządzanie kluczami. Aby zapewnić maksymalną kontrolę i suwerenność danych, korzystamy z External Key Management (EKM). Oznacza to, że klucze szyfrujące używane do ochrony danych znajdują się w oddzielnym, bezpiecznym systemie, który kontrolujesz, a nie w infrastrukturze naszego dostawcy chmury. Takie podejście chroni przed nieautoryzowanym dostępem, nawet na mocy nakazów prawnych niektórych jurysdykcji.
Korzyści:
- Zwiększone bezpieczeństwo danych: Szyfrowanie sprawia, że dane stają się niemożliwe do odczytania bez kluczy deszyfrujących, co znacznie wzmacnia ich ochronę przed nieautoryzowanym dostępem lub naruszeniami.
- Suwerenność danych: Ponieważ masz kontrolę nad kluczami szyfrującymi, Twoje dane podlegają Twojej kontroli i wymogom regulacyjnym, nawet jeśli znajdują się w geograficznie odmiennych centrach danych.
- Ochrona prywatności: Usługa External Key Management zabezpiecza Twoje dane przed potencjalnym wymuszonym ujawnieniem, dzięki czemu pozostają one pod Twoją kontrolą.
Kopie zapasowe
Stawiamy na bezpieczeństwo danych i dostępność usług, stosując solidną strategię tworzenia kopii zapasowych i odzyskiwania danych po awarii.
- Przechowywanie plików w chmurze: Wykorzystujemy geograficznie rozproszone, redundantne przechowywanie w chmurze, aby zapewnić automatyczną replikację danych w wielu centrach danych. Minimalizuje to ryzyko utraty danych z powodu awarii sprzętu lub przerw regionalnych.
- Ciągłe kopie zapasowe bazy danych: Stosujemy ciągły proces tworzenia kopii zapasowych bazy danych, rejestrując zmiany w czasie rzeczywistym. Zapewnia to minimalną utratę danych w przypadku awarii systemu i umożliwia nam szybkie przywrócenie danych do najnowszego stanu.
- Bezpieczne przechowywanie kopii zapasowych: Bezpiecznie przechowujemy kopie zapasowe w geograficznie oddzielonych centrach danych, co dodatkowo łagodzi skutki nieprzewidzianych zdarzeń, takich jak klęski żywiołowe lub lokalne zakłócenia.
- Plan odzyskiwania po awarii: Posiadamy kompleksowy plan odzyskiwania po awarii, który określa procedury szybkiego przywrócenia działania naszej platformy i danych w przypadku poważnego incydentu.
Stos oprogramowania
Priorytetem jest dla nas bezpieczny cykl rozwoju poprzez wykorzystanie stosów oprogramowania typu open source. Takie podejście pozwala nam na:
- Bądź o krok przed zagrożeniami: Oprogramowanie open-source korzysta ze zbiorowej wiedzy specjalistycznej ogromnej społeczności programistów. Stała kontrola ze strony programistów pomaga szybko identyfikować i usuwać luki, chroniąc naszą platformę przed pojawiającymi się zagrożeniami.
- Przezroczyste bezpieczeństwo: Otwarta natura kodu pozwala na niezależne audyty bezpieczeństwa i weryfikację. Ta przejrzystość wzmacnia zaufanie i pewność co do postawy bezpieczeństwa naszej platformy.
- Integrate Best Practices: Biblioteki i struktury bezpieczeństwa typu open source łatwo rozwiązują typowe problemy bezpieczeństwa, takie jak Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), SQL Injection, Clickjacking, Host Header Validation i Session Security. Te zintegrowane rozwiązania usprawniają rozwój, jednocześnie wzmacniając solidną postawę bezpieczeństwa.
Testowanie bezpieczeństwa
Aby wykazać wysoki poziom bezpieczeństwa, zobowiązujemy się do przeprowadzania zewnętrznego testu penetracyjnego przynajmniej raz w roku.
Testy te są przeprowadzane przez niezależnych, etycznych ekspertów hakerskich, którzy symulują rzeczywiste scenariusze ataków. To proaktywne podejście pomaga nam identyfikować i usuwać luki, zanim zostaną wykorzystane przez złośliwych aktorów.
Prywatność
Rezydencja danych
Lepsza kontrola danych i zgodność z przepisami dla klientów europejskich.
- Rezydencja danych we Francji: Priorytetem jest dla nas bezpieczeństwo i suwerenność Twoich danych, ponieważ przechowujemy je wyłącznie w centrach danych zlokalizowanych we Francji. To ograniczenie geograficzne jest zgodne z rygorystycznymi europejskimi przepisami dotyczącymi prywatności danych, takimi jak GDPR, zapewniając, że Twoje dane podlegają Twojej kontroli i wymogom regulacyjnym.
- Zewnętrzne szyfrowanie kluczem: Aby uzyskać dodatkową warstwę bezpieczeństwa i kontroli, wykorzystujemy External Key Management (EKM). Oznacza to, że klucze szyfrujące używane do ochrony danych znajdują się w oddzielnym, bezpiecznym systemie, który kontrolujesz, a nie w naszych centrach danych. Nawet w przypadku danych przechowywanych we Francji EKM umożliwia Ci zachowanie pełnej kontroli nad danymi.
Zgodność z RODO
INGREEN AI jest stanowczo zobowiązane do ochrony prywatności Twoich danych i przestrzegania Ogólnego rozporządzenia o ochronie danych (GDPR). Rozumiemy, że masz kontrolę nad swoimi danymi osobowymi i upoważniamy Cię do korzystania z praw wynikających z RODO.
Więcej szczegółów znajdziesz na stronie https://fingreen.ai/privacy
Aby skorzystać z tych praw, możesz skontaktować się z naszym Inspektorem Ochrony Danych (IOD) pod adresem privacy@fingreen.ai.
Kontrola dostępu i zarządzanie
Nasza platforma umożliwia zarządzanie dostępem do danych z wyjątkową szczegółowością. Możesz zdefiniować odrębne prawa dostępu dla poszczególnych użytkowników w portalu, zapewniając, że tylko upoważniony personel ma dostęp do określonych zestawów danych. Ta szczegółowa kontrola minimalizuje ryzyko nieautoryzowanego dostępu i naruszeń danych, tworząc bezpieczniejsze środowisko dla Twoich cennych informacji.
Sztuczna inteligencja i studia prawnicze (LLM)
FINGREEN AI korzysta z usług LLM dostarczanych w chmurze. Aby zapewnić prywatność danych naszych klientów, podczas korzystania z usług LLM stron trzecich, oto nasze praktyki.Model i kontrola dostępu:
- Nasi dostawcy usług w chmurze stosują silne praktyki ochrony prywatności LLM. Nie korzystamy z dostawców, którzy trenują swoje modele przy użyciu danych dostarczonych przez klientów. Dzięki temu dane klientów nie „wyciekną” do publicznych odpowiedzi LLM.
- Wdrażamy kontrolę dostępu, aby ograniczyć, kto może przeglądać wyniki generowane przez LLM. Dzięki temu tylko upoważniony personel widzi potencjalnie poufne informacje.
Monitorowanie i audyt:
- Śledzimy, w jaki sposób Twoje dane są wykorzystywane w ramach LLM. Pomaga to zidentyfikować wszelkie potencjalne zagrożenia prywatności lub niewłaściwe wykorzystanie Twoich danych.
- Regularnie przeprowadzamy audyty praktyk bezpieczeństwa LLM stosowanych przez Twojego dostawcę usług w chmurze, aby upewnić się, że przestrzega on Twoich wymagań dotyczących prywatności danych.