นโยบายความปลอดภัย
อัปเดตล่าสุด: 1 ธันวาคม 2024
ที่ Apilium Corp OU ความปลอดภัยเป็นพื้นฐานของทุกสิ่งที่เราสร้าง ในฐานะนักพัฒนาเอง เราเข้าใจความสำคัญที่สำคัญของการปกป้องโค้ดและข้อมูลของคุณ นโยบายความปลอดภัยนี้สรุปแนวทางที่ครอบคลุมของเราในการรักษาความปลอดภัย Apilium Forge IDE และบริการที่เกี่ยวข้องทั้งหมด
1. ความมุ่งมั่นด้านความปลอดภัยของเรา
เรามุ่งมั่นที่จะ:
- ปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของโค้ดและข้อมูลของคุณ
- ไม่ใช้โค้ดของคุณเพื่อฝึกอบรมโมเดล AI โดยไม่ได้รับความยินยอมอย่างชัดเจน
- ดำเนินการควบคุมความปลอดภัยและแนวปฏิบัติที่ดีที่สุดในอุตสาหกรรม
- ให้ความโปร่งใสเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยของเราผ่านนโยบายนี้
- ตรวจสอบ ทดสอบ และปรับปรุงท่าทางความปลอดภัยของเราอย่างต่อเนื่อง
- ตอบสนองต่อเหตุการณ์ด้านความปลอดภัยอย่างรวดเร็วและโปร่งใส
การรับรองและการประเมิน
เรารักษาการรับรองความปลอดภัยที่ได้รับการยอมรับในอุตสาหกรรมและผ่านการประเมินเป็นประจำ:
- การรับรอง SOC 2 Type II (กำลังดำเนินการ)
- การทดสอบการเจาะระบบของบุคคลที่สามเป็นประจำทุกปี
- การสแกนช่องโหว่อย่างต่อเนื่อง
- การตรวจสอบความปลอดภัยเป็นประจำโดยบริษัทอิสระ
รายงานความปลอดภัยโดยละเอียดมีให้บริการที่ apilium.com/security
2. ความปลอดภัยโครงสร้างพื้นฐาน
การไหลของข้อมูลโค้ด
เมื่อคุณใช้ Apilium Forge IDE โค้ดของคุณไหลผ่านโครงสร้างพื้นฐานที่ปลอดภัยของเรา:
- โค้ดของคุณถูกเข้ารหัสระหว่างการส่งโดยใช้ TLS 1.3
- คำขอถูกประมวลผลผ่านเซิร์ฟเวอร์แบ็คเอนด์ของเราที่โฮสต์บน AWS
- การประมวลผล AI ดำเนินการโดยผู้ให้บริการโมเดลของเราด้วยข้อตกลงการไม่เก็บข้อมูล
- เมื่อเปิดใช้งานโหมดความเป็นส่วนตัว ไม่มีโค้ดข้อความธรรมดาที่เก็บหลังจากคำขอเสร็จสิ้น
พาร์ทเนอร์โครงสร้างพื้นฐาน
โครงสร้างพื้นฐานหลัก
- AWS (Amazon Web Services) - โครงสร้างพื้นฐานคลาวด์หลัก (ภูมิภาคสหรัฐและสหภาพยุโรป)
- Cloudflare - การป้องกัน DDoS, WAF และบริการ CDN
- Google Cloud Platform - โครงสร้างพื้นฐานรอง/สำรอง
ผู้ให้บริการโมเดล AI
เราร่วมมือกับผู้ให้บริการ AI ชั้นนำ ทั้งหมดมีข้อตกลงการไม่เก็บข้อมูลสำหรับผู้ใช้โหมดความเป็นส่วนตัว:
- Anthropic (โมเดล Claude)
- OpenAI (โมเดล GPT)
- โมเดลปรับแต่งแบบกำหนดเองบนโครงสร้างพื้นฐานที่ปลอดภัย
3. มาตรการความปลอดภัยทางเทคนิค
การเข้ารหัส
ข้อมูลระหว่างการส่ง: ข้อมูลทั้งหมดที่ส่งระหว่าง Apilium Forge และเซิร์ฟเวอร์ของเราถูกเข้ารหัสโดยใช้ TLS 1.3 ด้วยชุดรหัสที่แข็งแกร่ง
ข้อมูลขณะพัก: ข้อมูลที่เก็บทั้งหมดถูกเข้ารหัสโดยใช้การเข้ารหัส AES-256-GCM
คีย์การเข้ารหัสถูกจัดการโดยใช้ AWS KMS ด้วยการหมุนเวียนอัตโนมัติทุก 90 วัน
สำหรับลูกค้าองค์กร เรามีการเข้ารหัสแบบครบวงจรที่เฉพาะคุณเท่านั้นที่เก็บคีย์ถอดรหัส
การควบคุมการเข้าถึง
- การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ต้องใช้สำหรับบัญชีพนักงานทั้งหมด
- คีย์ความปลอดภัยฮาร์ดแวร์ (FIDO2/WebAuthn) สำหรับการเข้าถึงที่มีสิทธิพิเศษ
- การควบคุมการเข้าถึงตามบทบาท (RBAC) ด้วยหลักการสิทธิ์น้อยที่สุด
- การจัดหาการเข้าถึงแบบทันเวลาสำหรับระบบการผลิต
- การตรวจสอบการเข้าถึงรายไตรมาสและการยกเลิกทันทีสำหรับการออกจากงาน
- การอนุญาต IP และความต้องการ VPN สำหรับการเข้าถึงการบริหาร
ความปลอดภัยเครือข่าย
- ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF) ด้วยกฎที่กำหนดเอง
- การบรรเทา DDoS ระดับองค์กร (Cloudflare Magic Transit)
- การแบ่งส่วนเครือข่ายด้วยซับเน็ตส่วนตัวสำหรับบริการที่ละเอียดอ่อน
- ระบบตรวจจับ/ป้องกันการบุกรุก (IDS/IPS)
- การตรวจสอบการรับส่งข้อมูลเครือข่ายอย่างต่อเนื่อง 24/7 และการตรวจจับความผิดปกติ
- การทดสอบการเจาะระบบภายนอกและภายในเป็นประจำ
ความปลอดภัยแอปพลิเคชัน
- วงจรการพัฒนาซอฟต์แวร์ที่ปลอดภัย (SSDLC) ด้วยเกตความปลอดภัย
- การตรวจสอบโค้ดบังคับด้วยรายการตรวจสอบที่มุ่งเน้นความปลอดภัย
- การทดสอบความปลอดภัยแอปพลิเคชันแบบคงที่ (SAST) ในไปป์ไลน์ CI/CD
- การทดสอบความปลอดภัยแอปพลิเคชันแบบไดนามิก (DAST) สำหรับแอปพลิเคชันที่ติดตั้ง
- การวิเคราะห์องค์ประกอบซอฟต์แวร์ (SCA) สำหรับช่องโหว่การพึ่งพา
- การฝึกอบรมความปลอดภัยเป็นประจำสำหรับนักพัฒนาทั้งหมด
- การป้องกัน OWASP Top 10 และ SANS Top 25 ช่องโหว่
ความปลอดภัยของไคลเอนต์ (IDE)
Apilium Forge IDE สร้างโดยคำนึงถึงความปลอดภัย:
- ไบนารีที่ลงนามด้วยโค้ดสำหรับแพลตฟอร์มทั้งหมด (Windows, macOS, Linux)
- การอัปเดตความปลอดภัยอัตโนมัติด้วยความสามารถในการย้อนกลับ
- สภาพแวดล้อมการรันส่วนขยายแบบแซนด์บ็อกซ์
- การเข้ารหัสท้องถิ่นของข้อมูลและข้อมูลประจำตัวที่แคช
- การเข้าถึงเครือข่ายที่กำหนดค่าได้ด้วยโดเมนที่อนุญาต
- รองรับ .apiliumignore เพื่อยกเว้นไฟล์ที่ละเอียดอ่อนจากการประมวลผล AI
4. ความปลอดภัยขององค์กร
การฝึกอบรมความปลอดภัยของพนักงาน
พนักงาน Apilium ทั้งหมดผ่านการฝึกอบรมความปลอดภัยที่ครอบคลุม:
- การฝึกอบรมการรับรู้ความปลอดภัยระหว่างการปฐมนิเทศ
- การอัปเดตและการประเมินการฝึกอบรมความปลอดภัยรายไตรมาส
- การฝึกซ้อมฟิชชิ่งรายเดือน
- การฝึกอบรมความปลอดภัยเฉพาะบทบาทสำหรับวิศวกร
- การฝึกซ้อมโต๊ะการตอบสนองต่อเหตุการณ์ประจำปี
นโยบายความปลอดภัย
เรารักษาและบังคับใช้นโยบายความปลอดภัยที่ครอบคลุม:
- นโยบายและมาตรฐานความปลอดภัยข้อมูล
- นโยบายการใช้งานที่ยอมรับได้และการควบคุมการเข้าถึง
- แผนการตอบสนองต่อเหตุการณ์และการสื่อสาร
- แผนความต่อเนื่องทางธุรกิจและการกู้คืนจากภัยพิบัติ
- ความต้องการการประเมินความปลอดภัยของผู้จำหน่าย
- แนวทางการจัดประเภทและการจัดการข้อมูล
- ขั้นตอนการจัดการการเปลี่ยนแปลงและการเปิดตัว
การตรวจสอบพนักงาน
พนักงานทั้งหมดที่มีการเข้าถึงข้อมูลลูกค้าผ่านการตรวจสอบประวัติที่เหมาะสมกับบทบาทและเขตอำนาจศาลของพวกเขา และลงนามในข้อตกลงความลับ
5. การรับประกันความปลอดภัยของโหมดความเป็นส่วนตัว
เมื่อเปิดใช้งานโหมดความเป็นส่วนตัวใน Apilium Forge (เปิดโดยค่าเริ่มต้น) เราให้การรับประกันความปลอดภัยต่อไปนี้:
- การไม่เก็บข้อมูลโดยผู้ให้บริการโมเดล AI ทั้งหมด
- ไม่มีโค้ดข้อความธรรมดาที่เก็บบนเซิร์ฟเวอร์ของเรานอกเหนือจากการประมวลผลคำขอทันที
- โค้ดของคุณจะไม่ถูกใช้สำหรับการฝึกอบรมโมเดล AI
- คำขอ AI ทั้งหมดรวมส่วนหัวความเป็นส่วนตัวที่บังคับใช้ (x-privacy-mode)
- คำขอเริ่มต้นเป็นพฤติกรรมที่รักษาความเป็นส่วนตัวหากส่วนหัวหายไป
- การสร้างดัชนีโค้ดเก็บเฉพาะการฝังที่ปิดบัง ไม่ใช่โค้ดข้อความธรรมดา
ตัวเลือกความเป็นส่วนตัวขององค์กร
- การติดตั้งในองค์กรสำหรับอำนาจอธิปไตยข้อมูลที่สมบูรณ์
- โครงสร้างพื้นฐานเฉพาะที่แยกจากลูกค้าอื่น
- ความต้องการการอยู่อาศัยข้อมูลแบบกำหนดเอง (เฉพาะสหภาพยุโรป ภูมิภาคเฉพาะ)
- การเข้ารหัสนำคีย์ของคุณเอง (BYOK)
- การเชื่อมต่อเครือข่ายส่วนตัว (AWS PrivateLink, VPN)
6. การปกป้องข้อมูล
การจัดประเภทข้อมูล
เราจัดประเภทข้อมูลทั้งหมดตามระดับความอ่อนไหว:
- สาธารณะ: เอกสารการตลาด เอกสารสาธารณะ
- ภายใน: กระบวนการภายใน ข้อมูลทางธุรกิจที่ไม่ละเอียดอ่อน
- ความลับ: ข้อมูลบัญชีลูกค้า การสื่อสารการสนับสนุน
- จำกัด: โค้ดลูกค้า ข้อมูลประจำตัว การกำหนดค่าความปลอดภัย
การสำรองและการกู้คืน
เรารักษาความสามารถในการสำรองและการกู้คืนจากภัยพิบัติที่แข็งแกร่ง:
- การสำรองที่เข้ารหัส กระจายทางภูมิศาสตร์
- การกู้คืนแบบจุดในเวลาสำหรับฐานข้อมูล (สูงสุด 35 วัน)
- วัตถุประสงค์เวลาการกู้คืน (RTO): 4 ชั่วโมง
- วัตถุประสงค์จุดการกู้คืน (RPO): 1 ชั่วโมง
- การทดสอบการกู้คืนจากภัยพิบัติรายไตรมาส
- ความสามารถในการล้มเหลวหลายภูมิภาค
7. การตอบสนองต่อเหตุการณ์ด้านความปลอดภัย
กระบวนการตอบสนองต่อเหตุการณ์
เราปฏิบัติตามกระบวนการตอบสนองต่อเหตุการณ์ที่มีโครงสร้าง:
- การตรวจจับ: การตรวจสอบและการแจ้งเตือนอัตโนมัติ 24/7
- การคัดกรอง: การประเมินทีมความปลอดภัยภายใน 15 นาที
- การกักกัน: การแยกระบบที่ได้รับผลกระทบทันที
- การสอบสวน: การวิเคราะห์สาเหตุรากและการประเมินผลกระทบ
- การกำจัด: การกำจัดภัยคุกคามและการเสริมความแข็งแกร่งของระบบ
- การกู้คืน: การฟื้นฟูบริการที่ควบคุม
- การชันสูตรพลิกศพ: บทเรียนที่ได้เรียนรู้และการปรับปรุงกระบวนการ
การแจ้งเตือนการละเมิด
ในกรณีที่มีการละเมิดความปลอดภัยที่ส่งผลกระทบต่อข้อมูลของคุณ เรามุ่งมั่นที่จะ:
- แจ้งผู้ใช้ที่ได้รับผลกระทบภายใน 72 ชั่วโมงหลังจากการยืนยันการละเมิด
- ให้รายละเอียดที่ชัดเจนเกี่ยวกับข้อมูลที่ได้รับผลกระทบ
- อธิบายการกระทำที่เรากำลังดำเนินการเพื่อจัดการกับเหตุการณ์
- เสนอคำแนะนำในขั้นตอนที่คุณสามารถทำเพื่อปกป้องตัวเอง
- แจ้งหน่วยงานกำกับดูแลที่เกี่ยวข้องตามที่กฎหมายกำหนด
- ให้การอัปเดตเป็นประจำจนกว่าเหตุการณ์จะได้รับการแก้ไข
8. โปรแกรมการเปิดเผยช่องโหว่
เรารักษาโปรแกรมการเปิดเผยที่รับผิดชอบและยินดีรับการวิจัยด้านความปลอดภัย
ในขอบเขต
- Apilium Forge IDE (ทุกแพลตฟอร์ม)
- api.apilium.com และโดเมนย่อยทั้งหมด
- portal.apilium.com (พอร์ทัลลูกค้า)
- apilium.com (เว็บไซต์)
วิธีรายงาน
หากคุณค้นพบช่องโหว่ด้านความปลอดภัย:
- อีเมล [email protected] พร้อมข้อมูลช่องโหว่โดยละเอียด
- รวมขั้นตอนในการทำซ้ำ ผลกระทบที่อาจเกิดขึ้น และการพิสูจน์แนวคิดใดๆ
- สำหรับรายงานที่ละเอียดอ่อน ใช้คีย์ PGP ของเรา (มีให้บริการบนหน้าความปลอดภัยของเรา)
- อนุญาตสูงสุด 90 วันสำหรับการแก้ไขก่อนการเปิดเผยสาธารณะ
ความมุ่งมั่นของเรา
เรามุ่งมั่นต่อนักวิจัยด้านความปลอดภัย:
- รับทราบการรับภายใน 24 ชั่วโมง
- ให้การประเมินเบื้องต้นภายใน 5 วันทำการ
- ทำให้คุณทราบเกี่ยวกับความคืบหน้าการแก้ไข
- ให้เครดิตคุณในการรับรองความปลอดภัยของเรา (เว้นแต่ต้องการนิรนาม)
- ไม่ดำเนินการทางกฎหมายสำหรับการวิจัยด้านความปลอดภัยที่มีเจตนาดี
เรามีรางวัลสำหรับช่องโหว่ที่มีคุณสมบัติ ติดต่อเราสำหรับรายละเอียดโปรแกรมปัจจุบัน
9. ความปลอดภัยของบุคคลที่สาม
ความต้องการความปลอดภัยของผู้จำหน่าย
ผู้จำหน่ายทั้งหมดที่มีการเข้าถึงข้อมูลลูกค้าต้องตรงตามความต้องการความปลอดภัยของเรา:
- กรอกแบบสอบถามความปลอดภัยและการประเมินความเสี่ยงให้สมบูรณ์
- การรับรอง SOC 2 Type II หรือเทียบเท่า
- ข้อตกลงการประมวลผลข้อมูล (DPA) ที่สอดคล้องกับ GDPR
- การตรวจสอบความปลอดภัยประจำปีและการรับรองใหม่
- ความต้องการการแจ้งเตือนการละเมิดทันที
ผู้ประมวลผลย่อย
ผู้ประมวลผลย่อยปัจจุบันที่มีการเข้าถึงข้อมูลลูกค้า:
- AWS (โครงสร้างพื้นฐาน) - สหรัฐ/สหภาพยุโรป
- Anthropic, OpenAI (โมเดล AI) - สหรัฐด้วยการไม่เก็บข้อมูล
- Stripe (การประมวลผลการชำระเงิน) - สหรัฐ/สหภาพยุโรป
- Cloudflare (CDN/ความปลอดภัย) - ทั่วโลก
- MongoDB Atlas (ฐานข้อมูล) - สหภาพยุโรป
- SendGrid (อีเมล) - สหรัฐ
เราแจ้งลูกค้า 30 วันก่อนเพิ่มผู้ประมวลผลย่อยใหม่ รายการปัจจุบันมีให้บริการที่ apilium.com/compliance
10. ความปลอดภัยทางกายภาพ
โครงสร้างพื้นฐานของเราโฮสต์ในศูนย์ข้อมูลระดับองค์กรที่มีความปลอดภัยทางกายภาพที่ครอบคลุม:
- เจ้าหน้าที่รักษาความปลอดภัยและการเฝ้าระวังด้วยวิดีโอ 24/7/365
- การควบคุมการเข้าถึงทางกายภาพแบบหลายปัจจัย (ไบโอเมตริก + บัตร)
- ระบบเข้าแม่กุญแจและความต้องการพาผู้เยี่ยมชม
- การควบคุมสิ่งแวดล้อม (ระงับไฟ ควบคุมอากาศ UPS เครื่องกำเนิดไฟฟ้า)
- สิ่งอำนวยความสะดวกที่ได้รับการรับรอง SOC 2 Type II
- การตรวจสอบความปลอดภัยทางกายภาพเป็นประจำ
11. การอัปเดตนโยบาย
เราตรวจสอบนโยบายความปลอดภัยนี้รายไตรมาสและอัปเดตเพื่อสะท้อนการเปลี่ยนแปลงในแนวปฏิบัติด้านความปลอดภัย เทคโนโลยี และกฎระเบียบของเรา การเปลี่ยนแปลงที่สำคัญจะถูกสื่อสารทางอีเมลให้กับผู้ใช้ทั้งหมด
12. ข้อมูลติดต่อ
สำหรับคำถามที่เกี่ยวข้องกับความปลอดภัยหรือเพื่อรายงานปัญหาความปลอดภัย:
Company: Apilium Corp OU
Address: ทาลลินน์ เอสโตเนีย
ทีมความปลอดภัย: [email protected]
คีย์ PGP: มีให้บริการที่ apilium.com/security
ศูนย์ความไว้วางใจ: apilium.com/security
สอบถามทั่วไป: [email protected]