Turvapoliitika

Viimati uuendatud: 1. detsember 2024

Apilium Corp OÜ-s on turvalisus kõige, mida me ehitame, aluseks. Arendajatena ise mõistame teie koodi ja andmete kaitsmise kriitilist tähtsust. Käesolev turvapoliitika kirjeldab meie terviklikku lähenemist Apilium Forge IDE ja kõigi seotud teenuste turvamisele.

1. Meie turvakohustus

Oleme pühendunud:

  • Kaitsma teie koodi ja andmete konfidentsiaalsust, terviklikkust ja kättesaadavust
  • Mitte kunagi kasutama teie koodi AI mudelite treenimiseks ilma selgesõnalise nõusolekuta
  • Rakendama tööstusharu juhtivaid turvakontrolle ja parimaid tavasid
  • Tagama läbipaistvuse meie turvatavasde kohta käesoleva poliitika kaudu
  • Pidevalt jälgima, testima ja parandama meie turvapositsiooni
  • Reageerima kiiresti ja läbipaistvalt turvaintsidentidele

Sertifikaadid ja hindamised

Säilitame järgmisi turvasertifikaate ja läbime regulaarseid hindamisi:

  • SOC 2 Type II sertifikaat (pooleli)
  • Igaaastane kolmandate osapoolte läbistustestimine
  • Pidev haavatavuste skaneerimine
  • Regulaarsed turvaauditid sõltumatute ettevõtete poolt

Üksikasjalikud turvaaruanded on saadaval aadressil apilium.com/security

2. Infrastruktuuri turvalisus

Koodi andmevoog

Apilium Forge IDE kasutamisel voolab teie kood läbi meie turvalise infrastruktuuri:

  • Teie kood on edastamisel krüpteeritud TLS 1.3-ga
  • Päringuid töödeldakse meie AWS-is majutatud taustaserverite kaudu
  • AI töötlust teostavad meie mudelipakkujad nullsäilituslepingutega
  • Privaatsusrežiimi korral ei salvestata tekstsisuga koodi pärast päringu lõpetamist

Infrastruktuuri partnerid

Esmane infrastruktuur

  • AWS (Amazon Web Services) - esmane pilveinfrastruktuur (USA ja EL regioonid)
  • Cloudflare - DDoS kaitse, WAF ja CDN teenused
  • Google Cloud Platform - sekundaarne/varuinfrastruktuur

AI mudeli pakkujad

Teeme koostööd juhtivate AI pakkujatega, kellel kõigil on privaatsusrežiimi kasutajate jaoks nullandmete säilitamise lepingud:

  • Anthropic (Claude mudelid)
  • OpenAI (GPT mudelid)
  • kohandatud peenhäälestatud mudelid turvalises infrastruktuuris

3. Tehnilised turvameetmed

Krüpteerimine

Andmed edastamisel: Kõik Apilium Forge'i ja meie serverite vahel edastatavad andmed on krüpteeritud TLS 1.3-ga tugevate šifreerimiskomplektidega

Andmed salvestamisel: Kõik salvestatud andmed on krüpteeritud AES-256-GCM krüpteerimisega

Krüpteerimisvõtmeid hallatakse AWS KMS-i abil automaatse rotatsiooniga iga 90 päeva tagant

Ettevõtte klientidele pakume otsast-otsani krüpteerimist, kus ainult teie hoiate dekrüpteerimisvõtmeid

Juurdepääsukontrollid

  • Mitmefaktoriline autentimine (MFA) nõutav kõigile töötajate kontodele
  • Riistvara turvavõtmed (FIDO2/WebAuthn) privilegeeritud juurdepääsuks
  • Rollipõhine juurdepääsukontroll (RBAC) vähima privileegi põhimõttega
  • Just-in-time juurdepääsu pakkumine tootmissüsteemidele
  • Kvartalised juurdepääsuülevaated ja viivitamatu juurdepääsu eemaldamine lahkumisel
  • IP lubadede loend ja VPN nõuded administratiivseks juurdepääsuks

Võrguturvalisus

  • Veebirakenduse tulemüür (WAF) kohandatud reeglitega
  • Ettevõtteklassi DDoS leevendamine (Cloudflare Magic Transit)
  • Võrgu segmenteerimine privaalte alamvõrkudega tundlike teenuste jaoks
  • Sissetungi tuvastamise/ennetamise süsteemid (IDS/IPS)
  • Pidev võrguliikluse jälgimine ja anomaaliate tuvastamine
  • Regulaarne väline ja sisemine läbistustestimine

Rakenduste turvalisus

  • Turvaline tarkvaraarenduse elutsükkel (SSDLC) turvaväravatega
  • Kohustuslikud koodiülevaated turvale keskendunud kontroll-loendiga
  • Staatilise rakenduse turvatestimise (SAST) CI/CD konveieris
  • Dünaamiline rakenduse turvatestimise (DAST) juurutatud rakendustele
  • Tarkvara koostise analüüs (SCA) sõltuvuste haavatavuste jaoks
  • Regulaarne turvakoolitus kõigile arendajatele
  • Kaitse OWASP Top 10 ja SANS Top 25 haavatavuste vastu

Kliendi (IDE) turvalisus

Apilium Forge IDE on ehitatud turvalisust silmas pidades:

  • Koodiga allkirjastatud binaarfailid kõigile platvormidele (Windows, macOS, Linux)
  • Automaatsed turvauuendused tagasipööramise võimekusega
  • Liivakastis laienduste käitamiskeskkond
  • Puhverdatud andmete ja mandaatide kohalik krüpteerimine
  • Konfigureeritav võrgu juurdepääs lubatud domeenidega
  • Tugi .apiliumignore failile tundlike failide välistamiseks AI töötlusest

4. Organisatsiooniline turvalisus

Töötajate turvakoolitus

Kõik Apiliumi töötajad läbivad tervikliku turvakoolituse:

  • Turvateadlikkuse koolitus sisseelamise ajal
  • Kvartalised turvakoolituse uuendused ja hindamised
  • Igakuised andmepüügi simulatsiooni harjutused
  • rollispetsiifiline turvakoolitus inseneridele
  • Iga-aastased intsidendile reageerimise lauaharjutused

Turvapoliitikas

Säilitame ja jõustame terviklikke turvapoliitikaid:

  • Infoturbe poliitika ja standardid
  • Aktsepteeritava kasutuse ja juurdepääsukontrolli poliitikad
  • Intsidentidele reageerimise ja kommunikatsiooni plaan
  • Äritegevuse järjepidevuse ja taastamisplaan
  • Tarnijate turvahinnangu nõuded
  • Andmete klassifitseerimise ja käitlemise juhised
  • Muudatuste haldamise ja väljalaske protseduurid

Töötajate kontrollimine

Kõik töötajad, kellel on juurdepääs kliendiandmetele, läbivad oma rollile ja jurisdiktsioonile vastavad taustakontrollid ning allkirjastavad konfidentsiaalsuslepingud.

5. Privaatsusrežiimi turvagarantiid

Kui privaatsusrežiim on Apilium Forge'is lubatud (vaikimisi lubatud), pakume järgmisi turvagarantiisid:

  • Nullandmete säilitamine kõigi AI mudelipakkujate poolt
  • Meie serveritesse ei salvestata tekstsisuga koodi pärast kohest päringu töötlemist
  • Teie koodi ei kasutata kunagi AI mudelite treenimiseks
  • Kõik AI päringud sisaldavad jõustatud privaatsuspäiseid (x-privacy-mode)
  • Päringud kasutavad vaikimisi privaatsust säilitavat käitumist, kui päised puuduvad
  • Koodibaasi indekseerimine salvestab ainult udundatud embeddinguid, mitte tekstsisuga koodi

Ettevõtte privaatsusvalikud

  • Kohapealne juurutus täieliku andmesuveräänsuse jaoks
  • Pühendunud infrastruktuur, mis on eraldatud teistest klientidest
  • kohandatud andmete asukohase nõuded (ainult EL, konkreetsed regioonid)
  • Tooge-oma-võti (BYOK) krüpteerimine
  • Privaatne võrguühendus (AWS PrivateLink, VPN)

6. Andmekaitse

Andmete klassifitseerimine

Klassifitseerime kõik andmed tundlikkuse taseme alusel:

  • Avalik: Turundusmaterjalid, avalik dokumentatsioon
  • Sisemine: Sisemised protsessid, mittetundlikud äriandmed
  • Konfidentsiaalne: Klientide kontode andmed, tugikommunikatsioon
  • Piiratud: Klientide kood, mandaadid, turvakonfiguratsioonid

Varundamine ja taaste

Säilitame tugevat varunduse ja katastroofitaaste võimekust:

  • Krüpteeritud, geograafiliselt hajutatud varukoodid
  • Andmebaasidele ajas tagasi taastamine (kuni 35 päeva)
  • Taaste aja eesmärk (RTO): 4 tundi
  • Taastepunkti eesmärk (RPO): 1 tund
  • Kvartalised katastroofitaaste testid
  • Mitme regiooni ülekandmise võimekus

7. Turvaintsidentidele reageerimine

Intsidentidele reageerimise protsess

Järgime struktureeritud intsidentidele reageerimise protsessi:

  • Tuvastamine: 24/7 automaatne jälgimine ja hoiatamine
  • Triaaž: Turvameeskonna hindamine 15 minuti jooksul
  • Piiramine: Mõjutatud süsteemide viivitamatu isoleerimine
  • Uurimine: Algpõhjuse analüüs ja mõju hindamine
  • Likvideerimine: Ohu eemaldamine ja süsteemi tugevdamine
  • Taaste: Teenuste kontrollitud taastamine
  • Järelanalüüs: Õppetunnid ja protsessi parandused

Rikkumisest teavitamine

Turvarikkumise korral, mis mõjutab teie andmeid, kohustume:

  • Teavitama mõjutatud kasutajaid 72 tunni jooksul pärast rikkumise kinnitamist
  • Esitama selged üksikasjad selle kohta, milliseid andmeid mõjutati
  • Selgitama toiminguid, mida rakendame intsidendi lahendamiseks
  • Pakkuma juhiseid sammude kohta, mida saate enda kaitsmiseks võtta
  • Teavitama asjakohaseid regulatiivasutusi vastavalt seaduse nõuetele
  • Pakkuma regulaarseid uuendusi kuni intsidendi lahendamiseni

8. Haavatavuste avalikustamise programm

Säilitame vastutustundlikku avalikustamise programmi ja tervitame turvauuringuid.

Ulatus

  • Apilium Forge IDE (kõik platvormid)
  • api.apilium.com ja kõik alamdomeenid
  • portal.apilium.com (Kliendiportaal)
  • apilium.com (Veebisait)

Kuidas teatada

Kui avastate turvahaavatavuse:

  • Saatke e-kiri aadressile [email protected] üksikasjaliku haavatavuse teabega
  • Lisage reprodutseerimise sammud, potentsiaalne mõju ja mis tahes tõenduskonseptsioon
  • Tundlike aruannete korral kasutage meie PGP võtit (saadaval meie turvalehel)
  • Laske kuni 90 päeva parandamiseks enne avalikku avalikustamist

Meie kohustus

Kohustume turvauurijatele:

  • Kättesaamist 24 tunni jooksul
  • Andma esialgse hinnangu 5 tööpäeva jooksul
  • Hoidma teid kursis parandamise edenemisega
  • Tunnustama teid meie turvakinnitustes (välja arvatud, kui eelistatakse anonüümsust)
  • Mitte algatama kohtuvaidlust heauskse turvauurimise vastu

Pakume preemiaid kvalifitseeruvate haavatavuste eest. Võtke meiega ühendust programmi üksikasjade saamiseks.

9. Kolmandate osapoolte turvalisus

Tarnijate turvanõuded

Kõik tarnijad, kellel on juurdepääs kliendiandmetele, peavad vastama meie turvanõuetele:

  • Turvaküsimustiku ja riskihindamise lõpetamine
  • SOC 2 Type II või samaväärne sertifikaat
  • Andmetöötlusleping (DPA) GDPR-iga ühilduvate klauslitega
  • igaaastane turvaülevaade ja uuesti sertifitseerimine
  • Viivitamatud rikkumisest teavitamise nõuded

Alamtöötlejad

Praegused alamtöötlejad, kellel on juurdepääs kliendiandmetele:

  • AWS (Infrastruktuur) - USA/EL
  • Anthropic, OpenAI (AI mudelid) - USA nullsäilitamisega
  • Stripe (Maksetöötlus) - USA/EL
  • Cloudflare (CDN/Turvalisus) - globaalne
  • MongoDB Atlas (Andmebaas) - EL
  • SendGrid (E-post) - USA

Teavitame kliente 30 päeva enne uute alamtöötlejate lisamist. Praegune nimekiri saadaval aadressil apilium.com/compliance

10. Füüsiline turvalisus

Meie infrastruktuur on majutatud ettevõtteklassi andmekeskustes tervikliku füüsilise turvalisusega:

  • 24/7/365 turvapersonal ja videovalve
  • Mitmefaktoriline füüsiline juurdepääsukontroll (biomeetria + kaart)
  • Mantrap-sissepääsusüsteemid ja külastajate saatmise nõuded
  • Keskkonnakontrollid (tulekustutus, kliimakontroll, UPS, generaatorid)
  • SOC 2 Type II sertifitseeritud rajatised
  • Regulaarsed füüsilise turvalisuse auditid

11. Poliitika uuendused

Vaatame selle turvapoliitika üle kord kvartalis ja uuendame seda, et kajastada muudatusi meie turvatavasdes, tehnoloogias ja regulatsioonides. Olulisi muudatusi teavitatakse e-posti teel kõigile kasutajatele.

12. Kontaktandmed

Turvaga seotud küsimuste või turvaprobleemide teatamiseks:

Company: Apilium Corp OÜ

Address: Tallinn, Eesti

Turvameeskond: [email protected]

PGP võti: Saadaval aadressil apilium.com/security

Usalduskeskus: apilium.com/security

Üldised päringud: [email protected]