Política de protección de datos de Rask AI

Brask Inc

Propósito

Esta política describe los procedimientos y controles técnicos para la protección de datos.

Alcance

Los sistemas de producción que manejan datos de clientes de Rask AI deben seguir esta política.

Definiciones

Datos de producción: Datos que se utilizan y mantienen activamente para operaciones comerciales y servicios al cliente.

Sistemas de producción: Sistemas e infraestructuras que crean, reciben, almacenan o transmiten datos de clientes de Rask AI.

Funciones y responsabilidades

El Departamento de Infraestructura de Brask ML mantiene y actualiza esta política. El CEO y el departamento legal aprueban esta política y cualquier cambio.

Política

La política de Brask lo exige:

  • Manejar y proteger los datos de acuerdo con la clasificación y las normas de cifrado aprobadas.
  • Almacene juntos los datos de la misma clasificación; evite mezclar datos sensibles y no sensibles. Aplique controles de seguridad basados en la clasificación más alta de un repositorio.
  • Los empleados no tienen acceso administrativo directo a los datos de producción, excepto en casos de emergencia (por ejemplo, análisis forense, recuperación de desastres).
  • Desactive los servicios innecesarios en todos los sistemas de producción.
  • Registre todos los accesos a los sistemas de producción.
  • Habilite la supervisión de la seguridad en todos los sistemas de producción (supervisión de la actividad y de la integridad de los archivos, análisis de vulnerabilidades, detección de malware).

Implantación y procesos de protección de datos

Protección de datos de los clientes

Rask AI utiliza AWS con datos replicados en múltiples regiones para redundancia y recuperación de desastres.

Los empleados de Brask siguen estos procesos para proteger los Datos de Producción:

  • Implantar y revisar controles para evitar alteraciones o destrucciones indebidas.
  • Almacene datos confidenciales para respaldar los registros de acceso y la supervisión de seguridad automatizada.
  • Segmente y restrinja el acceso a los Datos de Producción de Clientes a los clientes autorizados.
  • Cifre todos los datos de producción en reposo utilizando claves gestionadas por Brask.
  • Proteja las claves de cifrado y las máquinas generadoras de claves de accesos no autorizados; sólo las cuentas con privilegios pueden acceder al material de las claves.

Acceda a

El acceso de los empleados a la producción está desactivado por defecto y requiere aprobación. El acceso temporal se concede en función de las necesidades y es revisado por el equipo de seguridad caso por caso.

Separación

  • Los datos de los clientes se separan lógicamente a nivel de base de datos/almacén de datos mediante identificadores únicos de cliente.
  • La capa API impone la separación exigiendo la autenticación del cliente con una cuenta elegida.
  • Una vez autenticado, el identificador único del cliente se incluye en el token de acceso.
  • La API utiliza este token para restringir el acceso a los datos a la cuenta autenticada.
  • Todas las consultas a la base de datos/almacén de datos incluyen el identificador de la cuenta para garantizar la correcta segregación de los datos.

Supervisión

Rask AI utiliza Amazon CloudWatch para monitorizar los servicios en la nube. En caso de fallo del sistema, se notifica al personal clave por mensaje de texto, chat o correo electrónico para que tome medidas correctivas.

Acuerdo de confidencialidad/no divulgación (NDA)

Brask utiliza los acuerdos de confidencialidad para proteger la información confidencial con condiciones legalmente exigibles, aplicables a partes internas y externas. Los elementos clave incluyen:

  • Definición de la información
  • Duración del acuerdo
  • Acciones en caso de cese
  • Responsabilidades para evitar la divulgación no autorizada
  • Propiedad de la información y propiedad intelectual
  • Uso permitido y derechos
  • Actividades de auditoría y control
  • Notificación de divulgaciones no autorizadas
  • Devolución o destrucción de la información en caso de cese
  • Acciones por incumplimiento del acuerdo
  • Revisión periódica

Datos en reposo

Cifrado

Cifre todas las bases de datos, almacenes de datos y sistemas de archivos de acuerdo con la política de cifrado de AI de Rask .

Retención

Clasifique los datos almacenados y aplique un calendario de conservación según las políticas de gestión de activos de IA y de conservación de datos de Rask .

Consideraciones para la retención:

  • Requisitos legales y contractuales
  • Tipo de datos (por ejemplo, registros contables, registros de bases de datos, registros de auditoría)
  • Tipo de soporte de almacenamiento (por ejemplo, papel, disco duro, servidor)

Almacenamiento y eliminación

Almacenar y manejar adecuadamente los datos en reposo. Las consideraciones incluyen:

  • Autorización de acceso y gestión
  • Identificación de registros y periodos de conservación
  • Cambios tecnológicos y acceso durante la retención
  • Calendario y formato de la recuperación
  • Métodos de eliminación

Eliminación de datos

Eliminar adecuadamente los datos sensibles cuando ya no sean necesarios, de acuerdo con los objetivos empresariales de Brask, las leyes y los acuerdos con terceros. Mantenga registros de la eliminación.

Datos en tránsito

Necesidad

Transferir datos sólo cuando sea estrictamente necesario para los procesos empresariales.

Factores de transferencia

Antes de elegir el método de transferencia de datos, hay que tener en cuenta lo siguiente:

  • Naturaleza, sensibilidad, confidencialidad y valor de la información
  • Tamaño de los datos
  • Impacto de la posible pérdida de datos

Cifrado

Garantizar la seguridad de los datos en tránsito:

  • Cifrado de todas las transmisiones externas de extremo a extremo con claves gestionadas por Brask, incluida la nube y los proveedores externos.
  • Utilización de protocolos, intercambios de claves y cifrados sólidos para las conexiones a Internet e Intranet.

Canales de mensajería para usuarios finales

No se permite el envío de datos restringidos y sensibles a través de canales electrónicos de mensajería de usuario final, como el correo electrónico o el chat, a menos que se active el cifrado de extremo a extremo.