Politique de protection des données pour Rask AI

Brask Inc

Objectif

Cette politique décrit les procédures et les contrôles techniques pour la protection des données.

Champ d'application

Les systèmes de production qui traitent les données des clients de Rask AI doivent respecter cette politique.

Définitions

Données de production : Les données qui sont activement utilisées et conservées pour les opérations commerciales et les services à la clientèle.

Systèmes de production : Systèmes et infrastructures qui créent, reçoivent, stockent ou transmettent des données sur les clients de Rask AI.

Rôles et responsabilités

Le département Infrastructure de Brask ML assure la maintenance et la mise à jour de cette politique. Le directeur général et le service juridique approuvent cette politique et toute modification.

Politique

La politique de Brask l'exige :

  • Traiter et protéger les données conformément à la classification et aux normes de cryptage approuvées.
  • Stocker ensemble les données de même classification ; éviter de mélanger les données sensibles et non sensibles. Appliquer des contrôles de sécurité en fonction de la classification la plus élevée dans un référentiel.
  • Les employés n'ont pas d'accès administratif direct aux données de production, sauf en cas d'urgence (par exemple, analyse médico-légale, reprise après sinistre).
  • Désactiver les services inutiles sur tous les systèmes de production.
  • Enregistrer tous les accès aux systèmes de production.
  • Activer la surveillance de la sécurité sur tous les systèmes de production (surveillance de l'activité et de l'intégrité des fichiers, analyse des vulnérabilités, détection des logiciels malveillants).

Mise en œuvre et processus de protection des données

Protection des données des clients

Rask L'IA utilise AWS avec des données répliquées dans plusieurs régions pour la redondance et la reprise après sinistre.

Les employés de Brask suivent ces processus pour protéger les données de production :

  • Mettre en œuvre et réviser les contrôles afin d'empêcher toute modification ou destruction inappropriée.
  • Stocker des données confidentielles pour soutenir les journaux d'accès et la surveillance automatisée de la sécurité.
  • Segmenter et restreindre l'accès aux données de production des clients aux clients autorisés.
  • Cryptage de toutes les données de production au repos à l'aide de clés gérées par Brask.
  • Protéger les clés de chiffrement et les machines génératrices de clés contre tout accès non autorisé ; seuls les comptes privilégiés peuvent accéder aux clés.

Accès

L'accès des employés à la production est désactivé par défaut et doit être approuvé. L'accès temporaire est accordé selon les besoins et examiné par l'équipe de sécurité au cas par cas.

Séparation

  • Les données des clients sont séparées logiquement au niveau de la base de données/du magasin de données à l'aide d'identificateurs de clients uniques.
  • La couche API assure la séparation en exigeant l'authentification du client avec un compte choisi.
  • Une fois authentifié, l'identifiant unique du client est inclus dans le jeton d'accès.
  • L'API utilise ce jeton pour restreindre l'accès aux données au compte authentifié.
  • Toutes les interrogations de la base de données/du magasin de données incluent l'identifiant du compte afin de garantir une séparation correcte des données.

Contrôle

Rask AI utilise Amazon CloudWatch pour surveiller les services en nuage. En cas de défaillance du système, le personnel clé est averti par texto, chat ou courrier électronique afin qu'il prenne des mesures correctives.

Accord de confidentialité/non-divulgation (NDA)

Brask utilise des accords de confidentialité pour protéger les informations confidentielles avec des conditions juridiquement exécutoires, applicables aux parties internes et externes. Les éléments clés sont les suivants :

  • Définition de l'information
  • Durée de l'accord
  • Actions en cas de licenciement
  • Responsabilités en matière de prévention de la divulgation non autorisée
  • Propriété de l'information et de la propriété intellectuelle
  • Utilisation autorisée et droits
  • Activités d'audit et de suivi
  • Signaler les divulgations non autorisées
  • Retour ou destruction des informations en cas de résiliation
  • Actions pour rupture de contrat
  • Révision périodique

Données au repos

Cryptage

Chiffrer toutes les bases de données, les magasins de données et les systèmes de fichiers conformément à la politique de chiffrement de l'IA ( Rask ).

Rétention

Catégoriser les données stockées et appliquer un calendrier de conservation conformément à Rask AI Asset Management and Data Retention Policies.

Considérations relatives à la rétention :

  • Exigences légales et contractuelles
  • Type de données (par exemple, enregistrements comptables, enregistrements de base de données, journaux d'audit)
  • Type de support de stockage (par exemple, papier, disque dur, serveur)

Stockage et élimination

Stocker et traiter correctement les données au repos. Les points à prendre en compte sont les suivants :

  • Autorisation d'accès et de gestion
  • Identification des enregistrements et des périodes de conservation
  • Changements technologiques et accès pendant la durée de conservation
  • Délai et format de consultation
  • Méthodes d'élimination

Suppression des données

Supprimer correctement les données sensibles lorsqu'elles ne sont plus nécessaires, conformément aux objectifs commerciaux de Brask, aux lois et aux accords avec des tiers. Conserver les enregistrements de la suppression.

Données en transit

Nécessité

Transférer les données uniquement lorsque cela est strictement nécessaire pour les processus commerciaux.

Facteurs de transfert

Avant de choisir la méthode de transfert des données, il convient de tenir compte des éléments suivants :

  • Nature, sensibilité, confidentialité et valeur des informations
  • Taille des données
  • Impact de la perte potentielle de données

Cryptage

Assurer la sécurité des données en transit :

  • Cryptage de toutes les transmissions externes de bout en bout avec des clés gérées par Brask, y compris pour les fournisseurs en nuage et les fournisseurs tiers.
  • Utilisation de protocoles solides, d'échanges de clés et de chiffrements pour les connexions internet et intranet.

Canaux de messagerie pour l'utilisateur final

Les données restreintes et sensibles ne sont pas autorisées à être envoyées par les canaux de messagerie électronique de l'utilisateur final, tels que le courrier électronique ou le chat, à moins que le cryptage de bout en bout ne soit activé.