Bezpieczeństwo i prywatność danych

Bezpieczeństwo

Stosujemy najlepsze praktyki wielowarstwowego podejścia, aby zabezpieczyć naszą platformę i informacje Twojej firmy

Infrastruktura chmurowa

Wybór przez nas Google Cloud Platform (GCP) jako dostawcy usług w chmurze zapewnia naszym klientom szereg korzyści w zakresie bezpieczeństwa danych:

Bezpieczeństwo fizyczne: Centra danych Google wdrażają wiodące w branży środki bezpieczeństwa fizycznego, w tym ograniczony dostęp, nadzór wideo i zaawansowane systemy wykrywania włamań. Środki te są rygorystycznie kontrolowane i są zgodne z międzynarodowo uznanymi standardami, takimi jak ISO 27001 w zakresie bezpieczeństwa fizycznego.

Szyfrowanie danych: Google Cloud domyślnie stosuje transparentne szyfrowanie, szyfrując dane w stanie spoczynku i podczas przesyłania za pomocą standardowych algorytmów branżowych, takich jak AES-256. Ponadto usługa Google Key Management Service (KMS) zapewnia scentralizowaną kontrolę nad kluczami szyfrowania, przestrzegając najlepszych praktyk w zakresie rotacji kluczy i kontroli dostępu.

Zgodność: Google Cloud przechodzi rygorystyczne niezależne audyty, aby zapewnić zgodność z różnymi standardami branżowymi i przepisami, w tym ISO 27001, SOC 2, HIPAA i PCI DSS. Ta niezależna weryfikacja zapewnia naszym klientom dodatkową pewność co do postawy bezpieczeństwa infrastruktury chmurowej Google.

Zarządzanie tożsamością i dostępem klienta (IAM): Google Cloud IAM zapewnia szczegółowe kontrole dostępu do zasobów, zapewniając zgodność z zasadą najmniejszych uprawnień. Klienci mogą definiować role i uprawnienia na podstawie swoich konkretnych potrzeb, zgodnie z Polityką Google Identity and Access Management.

Bezpieczeństwo sieci: Prywatna sieć Google zapewnia bezpieczną ścieżkę dla Twoich danych, chronioną fizycznymi i operacyjnymi środkami bezpieczeństwa Google.

Szyfrowanie plików i baz danych

Wszystkie dane klientów (zarówno pliki, jak i bazy danych) są szyfrowane w stanie spoczynku i podczas przesyłu za pomocą niezawodnych algorytmów szyfrowania.

Zewnętrzne zarządzanie kluczami. Aby zapewnić maksymalną kontrolę i suwerenność danych, korzystamy z External Key Management (EKM). Oznacza to, że klucze szyfrujące używane do ochrony danych znajdują się w oddzielnym, bezpiecznym systemie, który kontrolujesz, a nie w infrastrukturze naszego dostawcy chmury. Takie podejście chroni przed nieautoryzowanym dostępem, nawet na mocy nakazów prawnych niektórych jurysdykcji.

Korzyści:

  • Zwiększone bezpieczeństwo danych: Szyfrowanie sprawia, że dane stają się niemożliwe do odczytania bez kluczy deszyfrujących, co znacznie wzmacnia ich ochronę przed nieautoryzowanym dostępem lub naruszeniami.
  • Suwerenność danych: Ponieważ masz kontrolę nad kluczami szyfrującymi, Twoje dane podlegają Twojej kontroli i wymogom regulacyjnym, nawet jeśli znajdują się w geograficznie odmiennych centrach danych.
  • Ochrona prywatności: Usługa External Key Management zabezpiecza Twoje dane przed potencjalnym wymuszonym ujawnieniem, dzięki czemu pozostają one pod Twoją kontrolą.

Kopie zapasowe

Stawiamy na bezpieczeństwo danych i dostępność usług, stosując solidną strategię tworzenia kopii zapasowych i odzyskiwania danych po awarii.

  • Przechowywanie plików w chmurze: Wykorzystujemy geograficznie rozproszone, redundantne przechowywanie w chmurze, aby zapewnić automatyczną replikację danych w wielu centrach danych. Minimalizuje to ryzyko utraty danych z powodu awarii sprzętu lub przerw regionalnych.
  • Ciągłe kopie zapasowe bazy danych: Stosujemy ciągły proces tworzenia kopii zapasowych bazy danych, rejestrując zmiany w czasie rzeczywistym. Zapewnia to minimalną utratę danych w przypadku awarii systemu i umożliwia nam szybkie przywrócenie danych do najnowszego stanu.
  • Bezpieczne przechowywanie kopii zapasowych: Bezpiecznie przechowujemy kopie zapasowe w geograficznie oddzielonych centrach danych, co dodatkowo łagodzi skutki nieprzewidzianych zdarzeń, takich jak klęski żywiołowe lub lokalne zakłócenia.
  • Plan odzyskiwania po awarii: Posiadamy kompleksowy plan odzyskiwania po awarii, który określa procedury szybkiego przywrócenia działania naszej platformy i danych w przypadku poważnego incydentu.

Stos oprogramowania

Priorytetem jest dla nas bezpieczny cykl rozwoju poprzez wykorzystanie stosów oprogramowania typu open source. Takie podejście pozwala nam na:

  • Bądź o krok przed zagrożeniami: Oprogramowanie open-source korzysta ze zbiorowej wiedzy specjalistycznej ogromnej społeczności programistów. Stała kontrola ze strony programistów pomaga szybko identyfikować i usuwać luki, chroniąc naszą platformę przed pojawiającymi się zagrożeniami.
  • Przezroczyste bezpieczeństwo: Otwarta natura kodu pozwala na niezależne audyty bezpieczeństwa i weryfikację. Ta przejrzystość wzmacnia zaufanie i pewność co do postawy bezpieczeństwa naszej platformy.
  • Integrate Best Practices: Biblioteki i struktury bezpieczeństwa typu open source łatwo rozwiązują typowe problemy bezpieczeństwa, takie jak Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), SQL Injection, Clickjacking, Host Header Validation i Session Security. Te zintegrowane rozwiązania usprawniają rozwój, jednocześnie wzmacniając solidną postawę bezpieczeństwa.

Testowanie bezpieczeństwa

Aby wykazać wysoki poziom bezpieczeństwa, zobowiązujemy się do przeprowadzania zewnętrznego testu penetracyjnego przynajmniej raz w roku.

Testy te są przeprowadzane przez niezależnych, etycznych ekspertów hakerskich, którzy symulują rzeczywiste scenariusze ataków. To proaktywne podejście pomaga nam identyfikować i usuwać luki, zanim zostaną wykorzystane przez złośliwych aktorów.

Prywatność

Rezydencja danych

Lepsza kontrola danych i zgodność z przepisami dla klientów europejskich.

  • Rezydencja danych we Francji: Priorytetem jest dla nas bezpieczeństwo i suwerenność Twoich danych, ponieważ przechowujemy je wyłącznie w centrach danych zlokalizowanych we Francji. To ograniczenie geograficzne jest zgodne z rygorystycznymi europejskimi przepisami dotyczącymi prywatności danych, takimi jak GDPR, zapewniając, że Twoje dane podlegają Twojej kontroli i wymogom regulacyjnym.
  • Zewnętrzne szyfrowanie kluczem: Aby uzyskać dodatkową warstwę bezpieczeństwa i kontroli, wykorzystujemy External Key Management (EKM). Oznacza to, że klucze szyfrujące używane do ochrony danych znajdują się w oddzielnym, bezpiecznym systemie, który kontrolujesz, a nie w naszych centrach danych. Nawet w przypadku danych przechowywanych we Francji EKM umożliwia Ci zachowanie pełnej kontroli nad danymi.

Zgodność z RODO

INGREEN AI jest stanowczo zobowiązane do ochrony prywatności Twoich danych i przestrzegania Ogólnego rozporządzenia o ochronie danych (GDPR). Rozumiemy, że masz kontrolę nad swoimi danymi osobowymi i upoważniamy Cię do korzystania z praw wynikających z RODO.

Więcej szczegółów znajdziesz na stronie https://fingreen.ai/privacy

Aby skorzystać z tych praw, możesz skontaktować się z naszym Inspektorem Ochrony Danych (IOD) pod adresem privacy@fingreen.ai.

Kontrola dostępu i zarządzanie

Nasza platforma umożliwia zarządzanie dostępem do danych z wyjątkową szczegółowością. Możesz zdefiniować odrębne prawa dostępu dla poszczególnych użytkowników w portalu, zapewniając, że tylko upoważniony personel ma dostęp do określonych zestawów danych. Ta szczegółowa kontrola minimalizuje ryzyko nieautoryzowanego dostępu i naruszeń danych, tworząc bezpieczniejsze środowisko dla Twoich cennych informacji.

Sztuczna inteligencja i studia prawnicze (LLM)

FINGREEN AI korzysta z usług LLM dostarczanych w chmurze. Aby zapewnić prywatność danych naszych klientów, podczas korzystania z usług LLM stron trzecich, oto nasze praktyki.

Model i kontrola dostępu:

  • Nasi dostawcy usług w chmurze stosują silne praktyki ochrony prywatności LLM. Nie korzystamy z dostawców, którzy trenują swoje modele przy użyciu danych dostarczonych przez klientów. Dzięki temu dane klientów nie „wyciekną” do publicznych odpowiedzi LLM.
  • Wdrażamy kontrolę dostępu, aby ograniczyć, kto może przeglądać wyniki generowane przez LLM. Dzięki temu tylko upoważniony personel widzi potencjalnie poufne informacje.

Monitorowanie i audyt:

  • Śledzimy, w jaki sposób Twoje dane są wykorzystywane w ramach LLM. Pomaga to zidentyfikować wszelkie potencjalne zagrożenia prywatności lub niewłaściwe wykorzystanie Twoich danych.
  • Regularnie przeprowadzamy audyty praktyk bezpieczeństwa LLM stosowanych przez Twojego dostawcę usług w chmurze, aby upewnić się, że przestrzega on Twoich wymagań dotyczących prywatności danych.