Политика безопасности

Последнее обновление: 1 декабря 2024 г.

В Apilium Corp OU безопасность лежит в основе всего, что мы создаём. Будучи сами разработчиками, мы понимаем критическую важность защиты вашего кода и данных. Настоящая Политика безопасности описывает наш комплексный подход к обеспечению безопасности Apilium Forge IDE и всех связанных сервисов.

1. Наши обязательства по безопасности

Мы привержены:

  • Защите конфиденциальности, целостности и доступности вашего кода и данных
  • Никогда не использовать ваш код для обучения моделей ИИ без явного согласия
  • Внедрению ведущих в отрасли мер безопасности и лучших практик
  • Обеспечению прозрачности наших практик безопасности через эту политику
  • Постоянному мониторингу, тестированию и улучшению нашей позиции безопасности
  • Быстрому и прозрачному реагированию на инциденты безопасности

Сертификации и оценки

Мы поддерживаем следующие сертификации безопасности и проходим регулярные оценки:

  • Сертификация SOC 2 Type II (в процессе)
  • Ежегодное тестирование на проникновение третьей стороной
  • Постоянное сканирование уязвимостей
  • Регулярные аудиты безопасности независимыми фирмами

Подробные отчёты о безопасности доступны на apilium.com/security

2. Безопасность инфраструктуры

Поток данных кода

Когда вы используете Apilium Forge IDE, ваш код проходит через нашу защищённую инфраструктуру:

  • Ваш код шифруется при передаче с использованием TLS 1.3
  • Запросы обрабатываются через наши серверы бэкенда, размещённые на AWS
  • Обработка ИИ выполняется нашими поставщиками моделей с соглашениями о нулевом хранении
  • При включённом режиме конфиденциальности код в открытом виде не хранится после завершения запроса

Партнёры по инфраструктуре

Основная инфраструктура

  • AWS (Amazon Web Services) - Основная облачная инфраструктура (регионы США и ЕС)
  • Cloudflare - Защита от DDoS, WAF и сервисы CDN
  • Google Cloud Platform - Вторичная/резервная инфраструктура

Поставщики моделей ИИ

Мы сотрудничаем с ведущими поставщиками ИИ, все с соглашениями о нулевом хранении данных для пользователей режима конфиденциальности:

  • Anthropic (модели Claude)
  • OpenAI (модели GPT)
  • Пользовательские тонко настроенные модели на защищённой инфраструктуре

3. Технические меры безопасности

Шифрование

Данные при передаче: Все данные, передаваемые между Apilium Forge и нашими серверами, шифруются с использованием TLS 1.3 с сильными наборами шифров

Данные в состоянии покоя: Все хранимые данные шифруются с использованием шифрования AES-256-GCM

Ключи шифрования управляются с помощью AWS KMS с автоматической ротацией каждые 90 дней

Для корпоративных клиентов мы предлагаем сквозное шифрование, где только вы владеете ключами расшифровки

Контроль доступа

  • Многофакторная аутентификация (MFA) требуется для всех учётных записей сотрудников
  • Аппаратные ключи безопасности (FIDO2/WebAuthn) для привилегированного доступа
  • Контроль доступа на основе ролей (RBAC) с принципом наименьших привилегий
  • Предоставление доступа "точно в срок" для производственных систем
  • Ежеквартальные проверки доступа и немедленное лишение прав при уходе
  • IP-allowlisting и требования VPN для административного доступа

Сетевая безопасность

  • Брандмауэр веб-приложений (WAF) с пользовательскими наборами правил
  • Корпоративная защита от DDoS (Cloudflare Magic Transit)
  • Сегментация сети с частными подсетями для конфиденциальных сервисов
  • Системы обнаружения/предотвращения вторжений (IDS/IPS)
  • Постоянный мониторинг сетевого трафика и обнаружение аномалий
  • Регулярное внешнее и внутреннее тестирование на проникновение

Безопасность приложений

  • Жизненный цикл безопасной разработки программного обеспечения (SSDLC) с контрольными точками безопасности
  • Обязательные проверки кода с контрольным списком безопасности
  • Статическое тестирование безопасности приложений (SAST) в конвейере CI/CD
  • Динамическое тестирование безопасности приложений (DAST) для развёрнутых приложений
  • Анализ состава программного обеспечения (SCA) на уязвимости зависимостей
  • Регулярное обучение безопасности для всех разработчиков
  • Защита от уязвимостей OWASP Top 10 и SANS Top 25

Безопасность клиента (IDE)

Apilium Forge IDE создана с учётом безопасности:

  • Подписанные кодом двоичные файлы для всех платформ (Windows, macOS, Linux)
  • Автоматические обновления безопасности с возможностью отката
  • Изолированная среда выполнения расширений
  • Локальное шифрование кэшированных данных и учётных данных
  • Настраиваемый сетевой доступ с доменами белого списка
  • Поддержка .apiliumignore для исключения конфиденциальных файлов из обработки ИИ

4. Организационная безопасность

Обучение сотрудников безопасности

Все сотрудники Apilium проходят комплексное обучение безопасности:

  • Обучение осведомлённости о безопасности во время адаптации
  • Ежеквартальные обновления обучения безопасности и оценки
  • Ежемесячные упражнения по моделированию фишинга
  • Специализированное обучение безопасности для инженеров
  • Ежегодные настольные упражнения по реагированию на инциденты

Политики безопасности

Мы поддерживаем и применяем комплексные политики безопасности:

  • Политика и стандарты информационной безопасности
  • Политики допустимого использования и контроля доступа
  • План реагирования на инциденты и коммуникации
  • План непрерывности бизнеса и восстановления после катастроф
  • Требования к оценке безопасности поставщиков
  • Руководства по классификации и обработке данных
  • Процедуры управления изменениями и выпуска

Проверка сотрудников

Все сотрудники с доступом к данным клиентов проходят проверки биографических данных, соответствующие их роли и юрисдикции, и подписывают соглашения о конфиденциальности.

5. Гарантии безопасности режима конфиденциальности

Когда режим конфиденциальности включён в Apilium Forge (включён по умолчанию), мы предоставляем следующие гарантии безопасности:

  • Нулевое хранение данных всеми поставщиками моделей ИИ
  • Код в открытом виде не хранится на наших серверах после немедленной обработки запроса
  • Ваш код никогда не используется для обучения моделей ИИ
  • Все запросы ИИ включают принудительные заголовки конфиденциальности (x-privacy-mode)
  • Запросы по умолчанию используют поведение, сохраняющее конфиденциальность, если заголовки отсутствуют
  • Индексация кодовой базы хранит только обфусцированные вложения, а не код в открытом виде

Корпоративные варианты конфиденциальности

  • Локальное развёртывание для полного суверенитета данных
  • Выделенная инфраструктура, изолированная от других клиентов
  • Пользовательские требования к местонахождению данных (только ЕС, конкретные регионы)
  • Шифрование с использованием собственного ключа (BYOK)
  • Частное сетевое подключение (AWS PrivateLink, VPN)

6. Защита данных

Классификация данных

Мы классифицируем все данные на основе уровня конфиденциальности:

  • Публичные: Маркетинговые материалы, публичная документация
  • Внутренние: Внутренние процессы, неконфиденциальные бизнес-данные
  • Конфиденциальные: Данные учётной записи клиента, коммуникации поддержки
  • Ограниченные: Код клиента, учётные данные, конфигурации безопасности

Резервное копирование и восстановление

Мы поддерживаем надёжные возможности резервного копирования и восстановления после катастроф:

  • Шифрованные, географически распределённые резервные копии
  • Восстановление на определённый момент времени для баз данных (до 35 дней)
  • Целевое время восстановления (RTO): 4 часа
  • Целевая точка восстановления (RPO): 1 час
  • Ежеквартальное тестирование восстановления после катастроф
  • Возможность переключения на несколько регионов

7. Реагирование на инциденты безопасности

Процесс реагирования на инциденты

Мы следуем структурированному процессу реагирования на инциденты:

  • Обнаружение: круглосуточный автоматизированный мониторинг и оповещение
  • Сортировка: Оценка командой безопасности в течение 15 минут
  • Сдерживание: Немедленная изоляция затронутых систем
  • Расследование: Анализ первопричин и оценка воздействия
  • Искоренение: Устранение угрозы и усиление системы
  • Восстановление: Контролируемое восстановление сервисов
  • Пост-мортем: Извлечённые уроки и улучшение процессов

Уведомление о нарушении

В случае нарушения безопасности, затрагивающего ваши данные, мы обязуемся:

  • Уведомить затронутых пользователей в течение 72 часов после подтверждённого нарушения
  • Предоставить чёткие детали о том, какие данные были затронуты
  • Объяснить действия, которые мы предпринимаем для устранения инцидента
  • Предложить рекомендации по шагам, которые вы можете предпринять для защиты себя
  • Уведомить соответствующие регулирующие органы в соответствии с требованиями закона
  • Предоставлять регулярные обновления до разрешения инцидента

8. Программа раскрытия уязвимостей

Мы поддерживаем программу ответственного раскрытия и приветствуем исследования безопасности.

В области

  • Apilium Forge IDE (все платформы)
  • api.apilium.com и все поддомены
  • portal.apilium.com (Портал клиентов)
  • apilium.com (Веб-сайт)

Как сообщить

Если вы обнаружите уязвимость безопасности:

  • Отправьте электронное письмо на [email protected] с подробной информацией об уязвимости
  • Включите шаги для воспроизведения, потенциальное воздействие и любое доказательство концепции
  • Для конфиденциальных отчётов используйте наш ключ PGP (доступен на нашей странице безопасности)
  • Предоставьте до 90 дней для исправления перед публичным раскрытием

Наши обязательства

Мы обязуемся перед исследователями безопасности:

  • Подтвердить получение в течение 24 часов
  • Предоставить первоначальную оценку в течение 5 рабочих дней
  • Держать вас в курсе прогресса исправления
  • Упомянуть вас в наших благодарностях за безопасность (если не предпочитается анонимность)
  • Не преследовать юридически за добросовестные исследования безопасности

Мы предлагаем вознаграждения за соответствующие уязвимости. Свяжитесь с нами для получения деталей текущей программы.

9. Безопасность третьих лиц

Требования к безопасности поставщиков

Все поставщики с доступом к данным клиентов должны соответствовать нашим требованиям безопасности:

  • Заполнить анкету безопасности и оценку рисков
  • Сертификация SOC 2 Type II или эквивалентная
  • Соглашение об обработке данных (DPA) с оговорками, соответствующими GDPR
  • Ежегодная проверка безопасности и ре-сертификация
  • Немедленные требования уведомления о нарушении

Субпроцессоры

Текущие субпроцессоры с доступом к данным клиентов:

  • AWS (Инфраструктура) - США/ЕС
  • Anthropic, OpenAI (Модели ИИ) - США с нулевым хранением
  • Stripe (Обработка платежей) - США/ЕС
  • Cloudflare (CDN/Безопасность) - Глобально
  • MongoDB Atlas (База данных) - ЕС
  • SendGrid (Электронная почта) - США

Мы уведомляем клиентов за 30 дней до добавления новых субпроцессоров. Текущий список доступен на apilium.com/compliance

10. Физическая безопасность

Наша инфраструктура размещена в центрах обработки данных корпоративного уровня с комплексной физической безопасностью:

  • Круглосуточный персонал безопасности и видеонаблюдение
  • Многофакторный контроль физического доступа (биометрия + значок)
  • Системы входа с ловушками и требования сопровождения посетителей
  • Экологический контроль (пожаротушение, климат-контроль, ИБП, генераторы)
  • Сертифицированные объекты SOC 2 Type II
  • Регулярные аудиты физической безопасности

11. Обновления политики

Мы пересматриваем эту Политику безопасности ежеквартально и обновляем её, чтобы отразить изменения в наших практиках безопасности, технологии и правилах. Существенные изменения доводятся до сведения по электронной почте всем пользователям.

12. Контактная информация

По вопросам, связанным с безопасностью, или для сообщения о проблемах безопасности:

Company: Apilium Corp OU

Address: Таллинн, Эстония

Команда безопасности: [email protected]

Ключ PGP: Доступен на apilium.com/security

Центр доверия: apilium.com/security

Общие запросы: [email protected]