Політика безпеки

Сертифікації та оцінки

Ми підтримуємо такі сертифікації безпеки та проходимо регулярні оцінки:

• Сертифікація SOC 2 Type II (в процесі)
• Щорічне тестування на проникнення третьою стороною
• Постійне сканування вразливостей
• Регулярні аудити безпеки незалежними фірмами

Детальні звіти про безпеку доступні на apilium.com/security

Потік даних коду

Коли ви використовуєте Apilium Forge IDE, ваш код проходить через нашу безпечну інфраструктуру:

• Ваш код шифрується при передачі за допомогою TLS 1.3
• Запити обробляються через наші серверні сервери, розміщені на AWS
• Обробка ШІ виконується нашими постачальниками моделей з угодами про нульове зберігання
• З увімкненим режимом конфіденційності код у звичайному тексті не зберігається після завершення запиту

Партнери з інфраструктури

Шифрування

Дані при передачі: Всі дані, що передаються між Apilium Forge та нашими серверами, шифруються за допомогою TLS 1.3 з сильними наборами шифрів

Дані у стані спокою: Всі збережені дані шифруються за допомогою шифрування AES-256-GCM

Ключі шифрування керуються за допомогою AWS KMS з автоматичною ротацією кожні 90 днів

Для корпоративних клієнтів ми пропонуємо наскрізне шифрування, де тільки ви володієте ключами розшифрування

Контроль доступу

• Багатофакторна автентифікація (MFA) необхідна для всіх облікових записів співробітників
• Апаратні ключі безпеки (FIDO2/WebAuthn) для привілейованого доступу
• Контроль доступу на основі ролей (RBAC) з принципом найменших привілеїв
• Надання доступу just-in-time для виробничих систем
• Щоквартальні перевірки доступу та негайне скасування при звільненні
• Білі списки IP та вимоги VPN для адміністративного доступу

Мережева безпека

• Брандмауер веб-додатків (WAF) з спеціальними наборами правил
• Корпоративне пом'якшення DDoS (Cloudflare Magic Transit)
• Сегментація мережі з приватними підмережами для чутливих послуг
• Системи виявлення/запобігання вторгнень (IDS/IPS)
• Постійний моніторинг мережевого трафіку та виявлення аномалій
• Регулярне зовнішнє та внутрішнє тестування на проникнення

Безпека додатків

• Безпечний життєвий цикл розробки ПЗ (SSDLC) з воротами безпеки
• Обов'язкові перевірки коду з контрольним списком безпеки
• Статичне тестування безпеки додатків (SAST) в конвеєрі CI/CD
• Динамічне тестування безпеки додатків (DAST) для розгорнутих додатків
• Аналіз складу ПЗ (SCA) для вразливостей залежностей
• Регулярне навчання з безпеки для всіх розробників
• Захист від OWASP Top 10 та SANS Top 25 вразливостей

Безпека клієнта (IDE)

Apilium Forge IDE створено з урахуванням безпеки:

• Цифрово підписані двійкові файли для всіх платформ (Windows, macOS, Linux)
• Автоматичні оновлення безпеки з можливістю відкату
• Ізольоване середовище виконання розширень
• Локальне шифрування кешованих даних та облікових даних
• Налаштований мережевий доступ з білим списком доменів
• Підтримка .apiliumignore для виключення чутливих файлів з обробки ШІ

Навчання співробітників з безпеки

Усі співробітники Apilium проходять комплексне навчання з безпеки:

• Навчання з обізнаності про безпеку під час адаптації
• Щоквартальні оновлення та оцінки навчання з безпеки
• Щомісячні вправи з імітації фішингу
• Спеціалізоване навчання з безпеки для інженерів
• Щорічні настільні вправи з реагування на інциденти

Політики безпеки

Ми підтримуємо та виконуємо комплексні політики безпеки:

• Політика та стандарти інформаційної безпеки
• Політики прийнятного використання та контролю доступу
• План реагування на інциденти та комунікацій
• План безперервності бізнесу та відновлення після катастроф
• Вимоги до оцінки безпеки постачальників
• Керівництво з класифікації та обробки даних
• Процедури управління змінами та випусків

Перевірка співробітників

Усі співробітники з доступом до даних клієнтів проходять перевірки біографії, відповідні їхній ролі та юрисдикції, та підписують угоди про конфіденційність.

Опції корпоративної конфіденційності

• Локальне розгортання для повного суверенітету даних
• Виділена інфраструктура, ізольована від інших клієнтів
• Спеціальні вимоги до розміщення даних (тільки ЄС, конкретні регіони)
• Шифрування власними ключами (BYOK)
• Приватне мережеве підключення (AWS PrivateLink, VPN)

Класифікація даних

Ми класифікуємо всі дані на основі рівня чутливості:

• Публічні: Маркетингові матеріали, публічна документація
• Внутрішні: Внутрішні процеси, нечутливі бізнес-дані
• Конфіденційні: Дані облікового запису клієнта, комунікації підтримки
• Обмежені: Код клієнта, облікові дані, конфігурації безпеки

Резервне копіювання та відновлення

Ми підтримуємо надійні можливості резервного копіювання та відновлення після катастроф:

• Зашифровані, географічно розподілені резервні копії
• Відновлення на певний момент часу для баз даних (до 35 днів)
• Цільовий час відновлення (RTO): 4 години
• Цільова точка відновлення (RPO): 1 година
• Щоквартальне тестування відновлення після катастроф
• Можливість багаторегіонального перемикання при відмові

Процес реагування на інциденти

Ми слідуємо структурованому процесу реагування на інциденти:

• Виявлення: Цілодобовий автоматизований моніторинг та сповіщення
• Сортування: Оцінка командою безпеки протягом 15 хвилин
• Стримування: Негайна ізоляція порушених систем
• Розслідування: Аналіз першопричин та оцінка впливу
• Викорінення: Усунення загрози та зміцнення системи
• Відновлення: Контрольоване відновлення послуг
• Пост-аналіз: Вивчені уроки та покращення процесів

Повідомлення про порушення

У разі порушення безпеки, що впливає на ваші дані, ми зобов'язуємось:

• Повідомити порушених користувачів протягом 72 годин після підтвердженого порушення
• Надати чіткі деталі про те, які дані були порушені
• Пояснити дії, які ми вживаємо для вирішення інциденту
• Запропонувати рекомендації щодо кроків, які ви можете вжити для захисту себе
• Повідомити відповідні регуляторні органи згідно з вимогами законодавства
• Надавати регулярні оновлення, доки інцидент не буде вирішено

В обсязі

• Apilium Forge IDE (всі платформи)
• api.apilium.com та всі піддомени
• portal.apilium.com (Клієнтський портал)
• apilium.com (Веб-сайт)

Як повідомити

Якщо ви виявили вразливість безпеки:

• Надішліть електронний лист на [email protected] з детальною інформацією про вразливість
• Включіть кроки для відтворення, потенційний вплив та будь-який proof-of-concept
• Для чутливих звітів використовуйте наш ключ PGP (доступний на нашій сторінці безпеки)
• Дозвольте до 90 днів для усунення перед публічним розкриттям

Наше зобов'язання

Ми зобов'язуємось дослідникам безпеки:

• Підтвердити отримання протягом 24 годин
• Надати початкову оцінку протягом 5 робочих днів
• Інформувати вас про прогрес усунення
• Вказати вас у наших подяках з безпеки (якщо не віддаєте перевагу анонімності)
• Не переслідувати юридично за дослідження безпеки добросовісно

Ми пропонуємо винагороди за кваліфіковані вразливості. Зв'яжіться з нами для отримання поточних деталей програми.

Вимоги безпеки постачальників

Усі постачальники з доступом до даних клієнтів повинні відповідати нашим вимогам безпеки:

• Заповнити анкету безпеки та оцінку ризиків
• Сертифікація SOC 2 Type II або еквівалентна
• Угода про обробку даних (DPA) з застереженнями, що відповідають GDPR
• Щорічна перевірка безпеки та ре-сертифікація
• Вимоги негайного повідомлення про порушення

Субпроцесори

Поточні субпроцесори з доступом до даних клієнтів:

• AWS (Інфраструктура) - США/ЄС
• Anthropic, OpenAI (Моделі ШІ) - США з нульовим зберіганням
• Stripe (Обробка платежів) - США/ЄС
• Cloudflare (CDN/Безпека) - Глобально
• MongoDB Atlas (База даних) - ЄС
• SendGrid (Електронна пошта) - США

Ми повідомляємо клієнтів за 30 днів до додавання нових субпроцесорів. Поточний список доступний на apilium.com/compliance