Polityka Bezpieczeństwa

Ostatnia aktualizacja: 1 grudnia 2024

W Apilium Corp OU bezpieczeństwo jest fundamentem wszystkiego, co budujemy. Jako programiści rozumiemy krytyczne znaczenie ochrony Twojego kodu i danych. Niniejsza Polityka Bezpieczeństwa przedstawia nasze kompleksowe podejście do zabezpieczania Apilium Forge IDE i wszystkich powiązanych usług.

1. Nasze Zobowiązanie do Bezpieczeństwa

Zobowiązujemy się do:

  • Ochrony poufności, integralności i dostępności Twojego kodu i danych
  • Nigdy nie używania Twojego kodu do trenowania modeli AI bez wyraźnej zgody
  • Wdrażania wiodących w branży kontroli i najlepszych praktyk bezpieczeństwa
  • Zapewniania przejrzystości naszych praktyk bezpieczeństwa poprzez niniejszą politykę
  • Ciągłego monitorowania, testowania i ulepszania naszej postawy bezpieczeństwa
  • Szybkiego i przejrzystego reagowania na incydenty bezpieczeństwa

Certyfikaty i Oceny

Utrzymujemy następujące certyfikaty bezpieczeństwa i przeprowadzamy regularne oceny:

  • Certyfikat SOC 2 Type II (w toku)
  • Roczne testy penetracyjne przeprowadzane przez strony trzecie
  • Ciągłe skanowanie podatności
  • Regularne audyty bezpieczeństwa przez niezależne firmy

Szczegółowe raporty bezpieczeństwa są dostępne na apilium.com/security

2. Bezpieczeństwo Infrastruktury

Przepływ Danych Kodu

Gdy korzystasz z Apilium Forge IDE, Twój kod przepływa przez naszą bezpieczną infrastrukturę:

  • Twój kod jest szyfrowany w tranzycie za pomocą TLS 1.3
  • Żądania są przetwarzane przez nasze serwery backendu hostowane na AWS
  • Przetwarzanie AI jest wykonywane przez naszych dostawców modeli z umowami o zerowym przechowywaniu
  • Po włączeniu Trybu Prywatności żaden kod w postaci tekstowej nie jest przechowywany po zakończeniu żądania

Partnerzy Infrastruktury

Infrastruktura Podstawowa

  • AWS (Amazon Web Services) - Główna infrastruktura chmurowa (regiony USA i UE)
  • Cloudflare - Ochrona DDoS, WAF i usługi CDN
  • Google Cloud Platform - Infrastruktura wtórna/zapasowa

Dostawcy Modeli AI

Współpracujemy z wiodącymi dostawcami AI, wszyscy z umowami o zerowym przechowywaniu danych dla użytkowników Trybu Prywatności:

  • Anthropic (modele Claude)
  • OpenAI (modele GPT)
  • Niestandardowe dostrojone modele na bezpiecznej infrastrukturze

3. Techniczne Środki Bezpieczeństwa

Szyfrowanie

Dane w Tranzycie: Wszystkie dane przesyłane między Apilium Forge a naszymi serwerami są szyfrowane za pomocą TLS 1.3 z silnymi zestawami szyfrów

Dane w Spoczynku: Wszystkie przechowywane dane są szyfrowane za pomocą szyfrowania AES-256-GCM

Klucze szyfrowania są zarządzane za pomocą AWS KMS z automatyczną rotacją co 90 dni

Dla klientów Enterprise oferujemy szyfrowanie end-to-end, w którym tylko Ty posiadasz klucze deszyfrujące

Kontrole Dostępu

  • Uwierzytelnianie wieloskładnikowe (MFA) wymagane dla wszystkich kont pracowników
  • Klucze bezpieczeństwa sprzętowe (FIDO2/WebAuthn) dla dostępu uprzywilejowanego
  • Kontrola dostępu oparta na rolach (RBAC) z zasadą najmniejszych uprawnień
  • Udostępnianie dostępu just-in-time dla systemów produkcyjnych
  • Kwartalne przeglądy dostępu i natychmiastowe cofanie uprawnień przy odejściach
  • Listy dozwolonych IP i wymagania VPN dla dostępu administracyjnego

Bezpieczeństwo Sieci

  • Zapora aplikacji internetowej (WAF) z niestandardowymi zestawami reguł
  • Łagodzenie DDoS klasy korporacyjnej (Cloudflare Magic Transit)
  • Segmentacja sieci z prywatnymi podsieciami dla wrażliwych usług
  • Systemy wykrywania/zapobiegania włamaniom (IDS/IPS)
  • Ciągłe monitorowanie ruchu sieciowego i wykrywanie anomalii
  • Regularne zewnętrzne i wewnętrzne testy penetracyjne

Bezpieczeństwo Aplikacji

  • Bezpieczny cykl życia rozwoju oprogramowania (SSDLC) z bramkami bezpieczeństwa
  • Obowiązkowe przeglądy kodu z listą kontrolną skoncentrowaną na bezpieczeństwie
  • Statyczne testowanie bezpieczeństwa aplikacji (SAST) w pipeline CI/CD
  • Dynamiczne testowanie bezpieczeństwa aplikacji (DAST) dla wdrożonych aplikacji
  • Analiza składu oprogramowania (SCA) dla podatności zależności
  • Regularne szkolenia z zakresu bezpieczeństwa dla wszystkich programistów
  • Ochrona przed podatnościami OWASP Top 10 i SANS Top 25

Bezpieczeństwo Klienta (IDE)

Apilium Forge IDE jest zbudowane z myślą o bezpieczeństwie:

  • Podpisane binarki kodu dla wszystkich platform (Windows, macOS, Linux)
  • Automatyczne aktualizacje bezpieczeństwa z możliwością wycofania
  • Środowisko wykonywania rozszerzeń w sandboxie
  • Lokalne szyfrowanie buforowanych danych i poświadczeń
  • Konfigurowalna kontrola dostępu do sieci z domenami na liście dozwolonych
  • Wsparcie dla .apiliumignore w celu wykluczenia wrażliwych plików z przetwarzania AI

4. Bezpieczeństwo Organizacyjne

Szkolenia Bezpieczeństwa dla Pracowników

Wszyscy pracownicy Apilium przechodzą kompleksowe szkolenie z zakresu bezpieczeństwa:

  • Szkolenie z zakresu świadomości bezpieczeństwa podczas wdrożenia
  • Kwartalne aktualizacje i oceny szkoleniowe z zakresu bezpieczeństwa
  • Miesięczne ćwiczenia symulacyjne phishingu
  • Szkolenia z zakresu bezpieczeństwa specyficzne dla roli dla inżynierów
  • Roczne ćwiczenia tabletopowe reagowania na incydenty

Polityki Bezpieczeństwa

Utrzymujemy i egzekwujemy kompleksowe polityki bezpieczeństwa:

  • Polityka i Standardy Bezpieczeństwa Informacji
  • Polityki Akceptowalnego Użytkowania i Kontroli Dostępu
  • Plan Reagowania na Incydenty i Komunikacji
  • Plan Ciągłości Działania i Odzyskiwania po Awarii
  • Wymagania Oceny Bezpieczeństwa Dostawców
  • Wytyczne Klasyfikacji i Obsługi Danych
  • Procedury Zarządzania Zmianami i Wydań

Weryfikacja Pracowników

Wszyscy pracownicy z dostępem do danych klientów przechodzą weryfikację przeszłości odpowiednią do ich roli i jurysdykcji oraz podpisują umowy o poufności.

5. Gwarancje Bezpieczeństwa Trybu Prywatności

Gdy Tryb Prywatności jest włączony w Apilium Forge (domyślnie włączony), zapewniamy następujące gwarancje bezpieczeństwa:

  • Zerowe przechowywanie danych przez wszystkich dostawców modeli AI
  • Brak przechowywania kodu w postaci tekstowej na naszych serwerach poza natychmiastowym przetwarzaniem żądania
  • Twój kod nigdy nie jest używany do trenowania modeli AI
  • Wszystkie żądania AI zawierają wymuszane nagłówki prywatności (x-privacy-mode)
  • Żądania domyślnie mają zachowanie chroniące prywatność, jeśli brakuje nagłówków
  • Indeksowanie bazy kodu przechowuje tylko zaciemnione embeddingi, a nie kod w postaci tekstowej

Opcje Prywatności Enterprise

  • Wdrożenie lokalne dla pełnej suwerenności danych
  • Dedykowana infrastruktura odizolowana od innych klientów
  • Niestandardowe wymagania rezydencji danych (tylko UE, określone regiony)
  • Szyfrowanie Bring-Your-Own-Key (BYOK)
  • Łączność z siecią prywatną (AWS PrivateLink, VPN)

6. Ochrona Danych

Klasyfikacja Danych

Klasyfikujemy wszystkie dane na podstawie poziomu wrażliwości:

  • Publiczne: Materiały marketingowe, dokumentacja publiczna
  • Wewnętrzne: Procesy wewnętrzne, niewrażliwe dane biznesowe
  • Poufne: Dane kont klientów, komunikacja wsparcia
  • Zastrzeżone: Kod klientów, poświadczenia, konfiguracje bezpieczeństwa

Tworzenie Kopii Zapasowych i Odzyskiwanie

Utrzymujemy solidne możliwości tworzenia kopii zapasowych i odzyskiwania po awarii:

  • Zaszyfrowane, geograficznie rozproszone kopie zapasowe
  • Odzyskiwanie do punktu w czasie dla baz danych (do 35 dni)
  • Cel Czasu Odzyskiwania (RTO): 4 godziny
  • Cel Punktu Odzyskiwania (RPO): 1 godzina
  • Kwartalne testowanie odzyskiwania po awarii
  • Możliwość przełączania awaryjnego w wielu regionach

7. Reagowanie na Incydenty Bezpieczeństwa

Proces Reagowania na Incydenty

Stosujemy ustrukturyzowany proces reagowania na incydenty:

  • Wykrywanie: Zautomatyzowane monitorowanie i alarmowanie 24/7
  • Triage: Ocena przez zespół bezpieczeństwa w ciągu 15 minut
  • Powstrzymywanie: Natychmiastowa izolacja dotkniętych systemów
  • Dochodzenie: Analiza przyczyny źródłowej i ocena wpływu
  • Eliminacja: Usunięcie zagrożenia i wzmocnienie systemu
  • Odzyskiwanie: Kontrolowane przywrócenie usług
  • Post-mortem: Wyciągnięte wnioski i ulepszenia procesów

Powiadomienie o Naruszeniu

W przypadku naruszenia bezpieczeństwa wpływającego na Twoje dane zobowiązujemy się do:

  • Powiadomienia dotkniętych użytkowników w ciągu 72 godzin od potwierdzonego naruszenia
  • Podania jasnych szczegółów dotyczących tego, jakie dane zostały dotknięte
  • Wyjaśnienia działań, które podejmujemy, aby rozwiązać incydent
  • Oferowania wskazówek dotyczących kroków, które możesz podjąć, aby się chronić
  • Powiadomienia odpowiednich organów regulacyjnych zgodnie z wymogami prawa
  • Zapewnienia regularnych aktualizacji do czasu rozwiązania incydentu

8. Program Ujawniania Podatności

Utrzymujemy program odpowiedzialnego ujawniania i z zadowoleniem przyjmujemy badania bezpieczeństwa.

W Zakresie

  • Apilium Forge IDE (wszystkie platformy)
  • api.apilium.com i wszystkie subdomeny
  • portal.apilium.com (Portal Klienta)
  • apilium.com (Strona Internetowa)

Jak Zgłaszać

Jeśli odkryjesz podatność bezpieczeństwa:

  • Wyślij e-mail na [email protected] ze szczegółowymi informacjami o podatności
  • Dołącz kroki do odtworzenia, potencjalny wpływ i dowolny proof-of-concept
  • W przypadku wrażliwych raportów użyj naszego klucza PGP (dostępny na naszej stronie bezpieczeństwa)
  • Pozwól na maksymalnie 90 dni na naprawę przed publicznym ujawnieniem

Nasze Zobowiązanie

Zobowiązujemy się wobec badaczy bezpieczeństwa:

  • Potwierdzenie otrzymania w ciągu 24 godzin
  • Zapewnienie wstępnej oceny w ciągu 5 dni roboczych
  • Informowanie Cię o postępach w naprawie
  • Przypisanie Ci uznania w naszych podziękow aniach za bezpieczeństwo (chyba że preferujesz anonimowość)
  • Nie podejmowanie działań prawnych za badania bezpieczeństwa w dobrej wierze

Oferujemy nagrody za kwalifikujące się podatności. Skontaktuj się z nami, aby uzyskać szczegóły aktualnego programu.

9. Bezpieczeństwo Stron Trzecich

Wymagania Bezpieczeństwa Dostawców

Wszyscy dostawcy z dostępem do danych klientów muszą spełniać nasze wymagania bezpieczeństwa:

  • Wypełnienie kwestionariusza bezpieczeństwa i oceny ryzyka
  • Certyfikat SOC 2 Type II lub równoważny
  • Umowa Przetwarzania Danych (DPA) z klauzulami zgodnymi z RODO
  • Coroczny przegląd bezpieczeństwa i ponowna certyfikacja
  • Wymagania natychmiastowego powiadomienia o naruszeniu

Podprocesory

Obecni podprocesory z dostępem do danych klientów:

  • AWS (Infrastruktura) - USA/UE
  • Anthropic, OpenAI (Modele AI) - USA z zerowym przechowywaniem
  • Stripe (Przetwarzanie Płatności) - USA/UE
  • Cloudflare (CDN/Bezpieczeństwo) - Globalnie
  • MongoDB Atlas (Baza Danych) - UE
  • SendGrid (E-mail) - USA

Powiadamiamy klientów na 30 dni przed dodaniem nowych podprocesory. Aktualna lista dostępna na apilium.com/compliance

10. Bezpieczeństwo Fizyczne

Nasza infrastruktura jest hostowana w centrach danych klasy korporacyjnej z kompleksowym bezpieczeństwem fizycznym:

  • Personel bezpieczeństwa i monitoring wideo 24/7/365
  • Wieloskładnikowe fizyczne kontrole dostępu (biometryczne + identyfikator)
  • Systemy wejścia Mantrap i wymagania eskorty dla gości
  • Kontrole środowiskowe (tłumienie pożaru, kontrola klimatu, UPS, generatory)
  • Obiekty certyfikowane SOC 2 Type II
  • Regularne audyty bezpieczeństwa fizycznego

11. Aktualizacje Polityki

Przeglądamy niniejszą Politykę Bezpieczeństwa kwartalnie i aktualizujemy ją, aby odzwierciedlić zmiany w naszych praktykach bezpieczeństwa, technologii i przepisach. Istotne zmiany są komunikowane pocztą elektroniczną do wszystkich użytkowników.

12. Informacje Kontaktowe

W przypadku pytań związanych z bezpieczeństwem lub zgłaszania problemów bezpieczeństwa:

Company: Apilium Corp OU

Address: Tallin, Estonia

Zespół Bezpieczeństwa: [email protected]

Klucz PGP: Dostępny na apilium.com/security

Centrum Zaufania: apilium.com/security

Zapytania Ogólne: [email protected]