Политика соответствия стандартам

Принципы защиты данных

• Законность, справедливость и прозрачность во всей обработке данных
• Ограничение целей: данные собираются только для определённых, явных целей
• Минимизация данных: мы собираем только то, что необходимо для наших сервисов
• Точность: мы поддерживаем точные данные и предоставляем инструменты для их исправления
• Ограничение хранения: мы храним данные только столько, сколько необходимо
• Целостность и конфиденциальность: мы внедряем соответствующие технические и организационные меры безопасности

Ваши права по GDPR

Мы поддерживаем и облегчаем следующие индивидуальные права:

• Право на доступ: Запросить копию ваших личных данных
• Право на исправление: Исправить неточные личные данные
• Право на удаление: Запросить удаление ваших данных ('право быть забытым')
• Право на ограничение обработки: Ограничить то, как мы используем ваши данные
• Право на переносимость данных: Получить ваши данные в переносимом формате
• Право на возражение: Возражать против обработки на основе законных интересов
• Права, связанные с автоматизированным принятием решений: Получить человеческую проверку автоматизированных решений

Вы можете воспользоваться этими правами через настройки вашей учётной записи или связавшись с [email protected]

Правовая основа для обработки

• Договор: Обработка, необходимая для предоставления Apilium Forge и связанных сервисов
• Согласие: Если вы дали явное согласие (например, маркетинговые коммуникации)
• Законные интересы: Необходимо для наших бизнес-операций (например, безопасность, предотвращение мошенничества)
• Юридическое обязательство: Если требуется законом (например, налоговые записи)

Сотрудник по защите данных

Мы назначили сотрудника по защите данных для надзора за соблюдением GDPR:

Email: [email protected]

Мы отвечаем на все запросы субъектов данных в течение 30 дней.

CCPA/CPRA (Калифорния)

Для жителей Калифорнии мы предоставляем следующие права в соответствии с CCPA и CPRA:

• Право знать: Какая личная информация собирается, используется и передаётся
• Право на удаление: Запросить удаление вашей личной информации
• Право на исправление: Запросить исправление неточной информации
• Право на отказ: Отказаться от 'продажи' или 'передачи' (мы не продаём данные)
• Право на ограничение: Ограничить использование конфиденциальной личной информации
• Право на недискриминацию: Отсутствие штрафа за реализацию ваших прав

Другие законы о конфиденциальности, которые мы соблюдаем

Мы разрабатываем наши сервисы для соблюдения основных глобальных правил конфиденциальности:

• Директива о конфиденциальности в электронных коммуникациях (Закон ЕС о файлах cookie) - Согласие на файлы cookie и отслеживание
• PIPEDA (Канада) - Защита личной информации
• Privacy Act 1988 (Австралия) - Австралийские принципы конфиденциальности
• PDPA (Сингапур) - Защита личных данных
• LGPD (Бразилия) - Lei Geral de Proteção de Dados
• POPIA (Южная Африка) - Закон о защите личной информации
• UK GDPR - Защита данных Великобритании после Brexit

Соответствие Закону ЕС об ИИ

Как инструмент разработки на основе ИИ, мы активно готовимся к соответствию Закону ЕС об ИИ:

Apilium Forge IDE классифицируется как система ИИ с ограниченным риском в рамках Закона ЕС об ИИ.

• Прозрачность: Чёткое раскрытие того, что предложения кода генерируются ИИ
• Документация: Ведение технической документации наших систем ИИ
• Человеческий надзор: Пользователи проверяют и одобряют весь код, сгенерированный ИИ
• Оценка рисков: Регулярная оценка рисков системы ИИ и мер по их снижению
• Управление данными: Строгий контроль за обучающими данными и разработкой моделей

Принципы этичного ИИ

Мы привержены ответственной разработке и развёртыванию ИИ:

• Прозрачность: Мы чётко маркируем контент, сгенерированный ИИ, и объясняем, как работает наш ИИ
• Справедливость: Мы активно работаем над выявлением и смягчением предвзятости в выходных данных ИИ
• Человек в процессе: Пользователи сохраняют контроль над предложениями ИИ и итоговым кодом
• Конфиденциальность по дизайну: Режим конфиденциальности обеспечивает, что код не используется для обучения
• Подотчётность: Мы несём ответственность за поведение наших систем ИИ
• Безопасность: Системы ИИ разработаны с приоритетом безопасности

Политика обучающих данных ИИ

Наши обязательства в отношении обучающих данных ИИ:

• Мы НЕ используем код клиентов для обучения моделей ИИ без явного согласия
• Код пользователей режима конфиденциальности никогда не используется для каких-либо целей обучения
• Наши модели ИИ обучаются на правильно лицензированных и публичных наборах данных
• Мы ведём документацию источников обучающих данных и происхождения

Сертификации безопасности

Мы стремимся получать и поддерживать признанные отраслью сертификации:

• SOC 2 Type II: Контроль организации обслуживания (сертификация в процессе)
• ISO/IEC 27001: Система управления информационной безопасностью (планируется)
• OWASP: Следование руководствам Открытого проекта безопасности веб-приложений
• CIS Controls: Внедрение лучших практик Центра интернет-безопасности

Фреймворки соответствия

Мы согласовываем нашу программу безопасности с признанными фреймворками:

• NIST Cybersecurity Framework (CSF)
• NIST AI Risk Management Framework (AI RMF)
• Cloud Security Alliance (CSA) STAR
• ISO/IEC 27701 Управление информацией о конфиденциальности

Аудиты третьих лиц

Мы проходим регулярные сторонние оценки безопасности для проверки наших мер контроля и выявления областей для улучшения.

Код, сгенерированный ИИ, и интеллектуальная собственность

Важные соображения относительно кода, сгенерированного ИИ:

• Вы владеете кодом, который пишете, и предложениями, сгенерированными ИИ, которые вы принимаете
• Код, сгенерированный ИИ, может быть похож на публично доступный код или код, сгенерированный для других
• Вы несёте ответственность за проверку кода, сгенерированного ИИ, на потенциальные проблемы интеллектуальной собственности
• Мы не претендуем на владение вашим кодом или предложениями, сгенерированными ИИ

Уважение прав интеллектуальной собственности

Мы уважаем права интеллектуальной собственности и ожидаем того же от пользователей:

• Соответствие DMCA для претензий о нарушении авторских прав
• Защита товарных знаков и надлежащее использование
• Мониторинг соответствия лицензиям с открытым исходным кодом
• Правильно лицензированное стороннее программное обеспечение

Процедуры DMCA

Для сообщения о нарушении авторских прав свяжитесь:

• Идентификация защищённого авторским правом произведения
• Местонахождение предположительно нарушающего материала
• Ваша контактная информация
• Заявление о добросовестной вере
• Заявление о точности под страхом лжесвидетельства
• Физическая или электронная подпись

Email: [email protected]

Географические ограничения

Наши сервисы могут быть недоступны в странах, подпадающих под комплексные санкции, включая, но не ограничиваясь, Кубу, Иран, Северную Корею, Сирию и Крымский регион. Мы проверяем пользователей на соответствие применимым спискам санкций.

Противодействие отмыванию денег (AML)

Мы внедряем соответствующие меры контроля для предотвращения финансовых преступлений:

• Проверка клиентов на основе рисков
• Мониторинг транзакций на подозрительную деятельность
• Соответствие директивам ЕС по противодействию отмыванию денег
• Сообщение о подозрительной деятельности соответствующим органам

Безопасность платежей (PCI DSS)

Мы не храним, не обрабатываем и не передаём данные о держателях карт напрямую. Вся обработка платежей осуществляется через Stripe, поставщика услуг, сертифицированного по стандарту PCI DSS уровня 1.

Налоговое соответствие

Мы соблюдаем применимые налоговые обязательства:

• Сбор и перечисление НДС ЕС (VAT OSS)
• Обязательства по корпоративному налогу Эстонии
• Налоги на цифровые услуги, если применимо
• Правильное выставление счетов с идентификационными номерами НДС

Внутренняя программа соответствия

Мы поддерживаем надёжную внутреннюю программу соответствия:

• Регулярные аудиты соответствия и оценки рисков
• Обучение соответствию для всех сотрудников
• Документированные политики и процедуры
• Программа защиты информаторов
• Надзор за соответствием на уровне руководства и совета директоров

Внешняя прозрачность

Мы обеспечиваем прозрачность через: