Política de proteção de dados para Rask AI
Brask Inc
Objectivo
Esta política descreve os procedimentos e controlos técnicos para a proteção de dados.
Âmbito de aplicação
Os sistemas de produção que tratam os dados dos clientes de Rask AI devem seguir esta política.
Definições
Dados de produção: Dados que são ativamente utilizados e mantidos para operações comerciais e serviços ao cliente.
Sistemas de produção: Sistemas e infra-estruturas que criam, recebem, armazenam ou transmitem dados de clientes Rask AI.
Funções e responsabilidades
O Departamento de Infra-estruturas da Brask ML mantém e actualiza esta política. O CEO e o departamento jurídico aprovam esta política e quaisquer alterações.
Política
A política da Brask exige isso:
- Tratar e proteger os dados de acordo com a classificação e as normas de encriptação aprovadas.
- Armazenar dados com a mesma classificação em conjunto; evitar misturar dados sensíveis e não sensíveis. Aplicar controlos de segurança com base na classificação mais elevada de um repositório.
- Os funcionários não têm acesso administrativo direto aos dados de produção, exceto em situações de emergência (por exemplo, análise forense, recuperação de desastres).
- Desativar serviços desnecessários em todos os sistemas de produção.
- Registar todos os acessos aos sistemas de produção.
- Permitir a monitorização da segurança em todos os sistemas de produção (monitorização da atividade e da integridade dos ficheiros, análise de vulnerabilidades, deteção de malware).
Implementação e processos de proteção de dados
Proteção dos dados dos clientes
Rask A IA utiliza o AWS com dados replicados em várias regiões para redundância e recuperação de desastres.
Os funcionários da Brask seguem estes processos para proteger os Dados de Produção:
- Implementar e rever os controlos para evitar a alteração ou destruição indevida.
- Armazenar dados confidenciais para suportar registos de acesso e monitorização de segurança automatizada.
- Segmentar e restringir o acesso aos dados de produção do cliente a clientes autorizados.
- Criptografar todos os dados de produção em repouso usando chaves gerenciadas pela Brask.
- Proteger as chaves de encriptação e as máquinas geradoras de chaves contra o acesso não autorizado; apenas as contas privilegiadas podem aceder ao material das chaves.
Acesso
O acesso dos funcionários à produção é desativado por defeito e requer aprovação. O acesso temporário é concedido conforme necessário e analisado pela equipa de segurança caso a caso.
Separação
- Os dados dos clientes são separados logicamente ao nível da base de dados/datastore utilizando identificadores únicos de clientes.
- A camada API impõe a separação exigindo a autenticação do cliente com uma conta selecionada.
- Uma vez autenticado, o identificador único do cliente é incluído no token de acesso.
- A API utiliza este token para restringir o acesso aos dados à conta autenticada.
- Todas as consultas à base de dados/datastore incluem o identificador de conta para garantir a correcta separação dos dados.
Controlo
Rask A AI utiliza o Amazon CloudWatch para monitorizar os serviços em nuvem. Em caso de falha do sistema, o pessoal-chave é notificado por texto, chat ou correio eletrónico para que sejam tomadas medidas correctivas.
Acordo de confidencialidade/não divulgação (NDA)
A Brask utiliza NDAs para proteger informações confidenciais com termos legalmente executáveis, aplicáveis a partes internas e externas. Os principais elementos incluem:
- Definição de informação
- Duração do acordo
- Acções após a cessação da atividade
- Responsabilidades para evitar a divulgação não autorizada
- Propriedade da informação e da propriedade intelectual
- Utilização permitida e direitos
- Actividades de auditoria e acompanhamento
- Comunicação de divulgações não autorizadas
- Devolução ou destruição de informações após a cessação da atividade
- Acções por incumprimento do acordo
- Revisão periódica
Dados em repouso
Encriptação
Encriptar todas as bases de dados, armazéns de dados e sistemas de ficheiros de acordo com a Política de Encriptação da Rask AI.
Retenção
Categorize os dados armazenados e aplique um calendário de retenção de acordo com Rask AI Asset Management e Políticas de Retenção de Dados.
Considerações sobre a retenção:
- Requisitos legais e contratuais
- Tipo de dados (por exemplo, registos contabilísticos, registos de bases de dados, registos de auditoria)
- Tipo de suporte de armazenamento (por exemplo, papel, disco rígido, servidor)
Armazenamento e eliminação
Armazenar e tratar corretamente os dados em repouso. As considerações incluem:
- Autorização de acesso e gestão
- Identificação dos registos e dos períodos de conservação
- Alterações tecnológicas e acesso durante a retenção
- Prazo e formato da recuperação
- Métodos de eliminação
Eliminação de dados
Excluir adequadamente dados sensíveis quando não forem mais necessários, de acordo com os objetivos comerciais da Brask, leis e acordos com terceiros. Manter registros da exclusão.
Dados em trânsito
Necessidade
Transferir dados apenas quando estritamente necessário para os processos comerciais.
Factores de transferência
Antes de escolher o método de transferência de dados, é necessário ter em conta o seguinte
- Natureza, sensibilidade, confidencialidade e valor da informação
- Tamanho dos dados
- Impacto da potencial perda de dados
Encriptação
Para garantir a segurança dos dados em trânsito:
- Criptografar todas as transmissões externas de ponta a ponta com chaves gerenciadas pela Brask, incluindo nuvem e fornecedores terceirizados.
- Utilização de protocolos fortes, trocas de chaves e cifras para ligações à Internet e à intranet.
Canais de mensagens para utilizadores finais
Não é permitido o envio de dados restritos e sensíveis através de canais electrónicos de mensagens para o utilizador final, como o correio eletrónico ou o chat, a menos que esteja activada a encriptação de extremo a extremo.