Conformidade

Política de proteção de dados para Rask AI

Brask Inc

Objectivo

Esta política descreve os procedimentos e controlos técnicos para a proteção de dados.

Âmbito de aplicação

Os sistemas de produção que tratam os dados dos clientes de Rask AI devem seguir esta política.

Definições

Dados de produção: Dados que são ativamente utilizados e mantidos para operações comerciais e serviços ao cliente.

Sistemas de produção: Sistemas e infra-estruturas que criam, recebem, armazenam ou transmitem dados de clientes Rask AI.

Funções e responsabilidades

O Departamento de Infra-estruturas da Brask ML mantém e actualiza esta política. O CEO e o departamento jurídico aprovam esta política e quaisquer alterações.

Política

A política da Brask exige isso:

• Tratar e proteger os dados de acordo com a classificação e as normas de encriptação aprovadas.
• Armazenar dados com a mesma classificação em conjunto; evitar misturar dados sensíveis e não sensíveis. Aplicar controlos de segurança com base na classificação mais elevada de um repositório.
• Os funcionários não têm acesso administrativo direto aos dados de produção, exceto em situações de emergência (por exemplo, análise forense, recuperação de desastres).
• Desativar serviços desnecessários em todos os sistemas de produção.
• Registar todos os acessos aos sistemas de produção.
• Permitir a monitorização da segurança em todos os sistemas de produção (monitorização da atividade e da integridade dos ficheiros, análise de vulnerabilidades, deteção de malware).

Implementação e processos de proteção de dados

Proteção dos dados dos clientes

Rask A IA utiliza o AWS com dados replicados em várias regiões para redundância e recuperação de desastres.

Os funcionários da Brask seguem estes processos para proteger os Dados de Produção:

• Implementar e rever os controlos para evitar a alteração ou destruição indevida.
• Armazenar dados confidenciais para suportar registos de acesso e monitorização de segurança automatizada.
• Segmentar e restringir o acesso aos dados de produção do cliente a clientes autorizados.
• Criptografar todos os dados de produção em repouso usando chaves gerenciadas pela Brask.
• Proteger as chaves de encriptação e as máquinas geradoras de chaves contra o acesso não autorizado; apenas as contas privilegiadas podem aceder ao material das chaves.

Acesso

O acesso dos funcionários à produção é desativado por defeito e requer aprovação. O acesso temporário é concedido conforme necessário e analisado pela equipa de segurança caso a caso.

Separação

• Os dados dos clientes são separados logicamente ao nível da base de dados/datastore utilizando identificadores únicos de clientes.
• A camada API impõe a separação exigindo a autenticação do cliente com uma conta selecionada.
• Uma vez autenticado, o identificador único do cliente é incluído no token de acesso.
• A API utiliza este token para restringir o acesso aos dados à conta autenticada.
• Todas as consultas à base de dados/datastore incluem o identificador de conta para garantir a correcta separação dos dados.

Controlo

Rask A AI utiliza o Amazon CloudWatch para monitorizar os serviços em nuvem. Em caso de falha do sistema, o pessoal-chave é notificado por texto, chat ou correio eletrónico para que sejam tomadas medidas correctivas.

Acordo de confidencialidade/não divulgação (NDA)

A Brask utiliza NDAs para proteger informações confidenciais com termos legalmente executáveis, aplicáveis a partes internas e externas. Os principais elementos incluem:

• Definição de informação
• Duração do acordo
• Acções após a cessação da atividade
• Responsabilidades para evitar a divulgação não autorizada
• Propriedade da informação e da propriedade intelectual
• Utilização permitida e direitos
• Actividades de auditoria e acompanhamento
• Comunicação de divulgações não autorizadas
• Devolução ou destruição de informações após a cessação da atividade
• Acções por incumprimento do acordo
• Revisão periódica

Dados em repouso

Encriptação

Encriptar todas as bases de dados, armazéns de dados e sistemas de ficheiros de acordo com a Política de Encriptação da Rask AI.

Retenção

Categorize os dados armazenados e aplique um calendário de retenção de acordo com Rask AI Asset Management e Políticas de Retenção de Dados.

Considerações sobre a retenção:

• Requisitos legais e contratuais
• Tipo de dados (por exemplo, registos contabilísticos, registos de bases de dados, registos de auditoria)
• Tipo de suporte de armazenamento (por exemplo, papel, disco rígido, servidor)

Armazenamento e eliminação

Armazenar e tratar corretamente os dados em repouso. As considerações incluem:

• Autorização de acesso e gestão
• Identificação dos registos e dos períodos de conservação
• Alterações tecnológicas e acesso durante a retenção
• Prazo e formato da recuperação
• Métodos de eliminação

Eliminação de dados

Excluir adequadamente dados sensíveis quando não forem mais necessários, de acordo com os objetivos comerciais da Brask, leis e acordos com terceiros. Manter registros da exclusão.

Dados em trânsito

Necessidade

Transferir dados apenas quando estritamente necessário para os processos comerciais.

Factores de transferência

Antes de escolher o método de transferência de dados, é necessário ter em conta o seguinte

• Natureza, sensibilidade, confidencialidade e valor da informação
• Tamanho dos dados
• Impacto da potencial perda de dados

Encriptação

Para garantir a segurança dos dados em trânsito:

• Criptografar todas as transmissões externas de ponta a ponta com chaves gerenciadas pela Brask, incluindo nuvem e fornecedores terceirizados.
• Utilização de protocolos fortes, trocas de chaves e cifras para ligações à Internet e à intranet.

Canais de mensagens para utilizadores finais

Não é permitido o envio de dados restritos e sensíveis através de canais electrónicos de mensagens para o utilizador final, como o correio eletrónico ou o chat, a menos que esteja activada a encriptação de extremo a extremo.