GenAI is an indispensable part of the Guru service, and Guru keeps source content protected throughout the entire input/output transaction. Key security features include:

• Only relevant document matches are submitted to the third party LLM; thus ensuring the vast majority of content remains out of the AI workstream (Answers)
• Any content submitted to the third party LLM for processing is immediately removed after the output is returned (“zero day retention”)
• Guru does not use your content to train the LLM in any way; your content remains exclusively yours in a protected enclave
• Our third party AI partner undergoes recurring risk reviews and is bound by a Data Protection Agreement

Das Programm wird von einem spezialisierten Informationssicherheitsleiter betrieben, der gemeinsam mit der obersten Führung und Fachexperten arbeitet, um Verfahren zu kodifizieren und die Durchführung sicherzustellen.

Guru beauftragt eine unabhängige Prüfungsfirma mit der Durchführung einer jährlichen SOC 2, Typ II-Prüfung, die nicht nur die allgemeinen Kriterien, sondern auch die Vertraulichkeits- und Datenschutzkriterien umfasst.

Ja. Wir betrachten Veränderungen in der Produktlinie, dem regulatorischen Umfeld und der Cyberbedrohung. Wir weisen Risikopunkte zu und stellen sicher, dass die oberste Führung routinemäßig in der Risikominimierung involviert ist. Diese Schritte werden in der jährlichen SOC 2-Prüfung überprüft.

• Guru bietet mehrere Funktionen zur Synchronisierung, Verarbeitung, Speicherung und Sinngebung Ihrer Wissensquellen an. In all diesen Funktionen ist Ihre Fähigkeit zur Kontrolle freigegebener Informationen enthalten
• Guru verarbeitet nur das, was zur Bereitstellung seines Dienstes erforderlich ist, und minimiert entsprechend die Erfassung von Inhalten und beschränkt die Aufbewahrungsdauer so weit wie möglich
• Ihre Inhalte werden in einer hochsicheren AWS-Datenbank gespeichert und verwaltet, getrennt und durch eine eindeutige Team-ID vor anderen Client-Inhalten geschützt
• Die Nutzung von Integratoren erfolgt über hochsichere, verschlüsselte API-Verbindungen

Wir haben einen Kontrollrahmen, der auf den Center for Internet Security Controls basiert, eine breite Compliance-Palette abdeckt und sicherstellt, dass wir uns auf die richtigen Dinge konzentrieren. Wir haben neun separate Richtlinien, die folgendes regeln:

• Sicherheits- und Datenschutzrollen
• Risikomanagement
• Vermögensverwaltung und -schutz
• Datenklassifizierung/-handhabung/-übertragung
• Datenwiederherstellung und Geschäftskontinuität
• Benutzerzugriffsverwaltung
• Mitarbeiter und Schulungen
• Produktentwicklung und Änderungsmanagement
• Lieferantenbeziehungen

Standardmäßig haben Guru-Mitarbeiter keinen Zugriff auf Kundendaten. Dies ist für Backend-Administratoren mit nachgewiesenem Bedarf reserviert. Diese Mitglieder werden schriftlich vom CTO genehmigt, und die Zugriffe werden dreimal jährlich überprüft.

Guru nimmt Ihre medizinische Privatsphäre und Sicherheitsbedürfnisse ernst,und obwohl wir bereit sind, eine Vereinbarung mit einem Geschäftspartner für die HIPAA-Konformität abzuschließen, möchten wir Sie zunächst bitten, die Wahrscheinlichkeit zu berücksichtigen, dass die Guru-Plattform jemals elektronisch geschützte Gesundheitsinformationen verarbeiten, verarbeiten oder speichern wird. Wenn Sie der Meinung sind, dass es eine berechtigte Chance gibt, dass solche persönlichen Daten den Weg in das System finden, sind wir bereit, einen Standard-BAA als versichertes Versprechen von Guru bereitzustellen, dass wir uns an die geltenden HHS-Vorschriften zur Sicherung Ihrer Daten halten werden.

Jeder Anbieter mit dem Potenzial, auf sensible Kundendaten zuzugreifen, muss eine externe Prüfung durchführen oder zumindest an einem Risikogespräch teilnehmen und bewährte Sicherheitspraktiken nachweisen. Diese Artefakte werden jährlich aktualisiert, um sicherzustellen, dass keine Aufsichtslücke besteht. Darüber hinaus ist jeder Anbieter verpflichtet, eine Datenverarbeitungsvereinbarung zu unterzeichnen und sich vertraglich zu Datensicherheitspraktiken zu verpflichten.

Unser öffentliches Netzwerk wird monatlich auf Zertifikatsgültigkeit, offene Ports und Protokolle sowie Sicherheitsheader gescannt. Unsere Anwendungscontainer werden vor dem Bereitstellen durch AWS gescannt, um Schwachstellen zu erkennen und zu beheben.

Ja. Die Anwendung wird regelmäßig von einer externen Agentur mindestens zweimal pro Jahr auf häufige OWASP-Schwachstellen getestet. Ein Executive Summary ist auf Anfrage verfügbar.

Wir kopieren unsere Datenbank täglich und speichern sie an einem Katastrophenschutzort in einer völlig separaten Region. Wir führen täglich eine Integritätsprüfung dieses Backups durch, um sicherzustellen, dass es im Bedarfsfall verwendbar ist. Das Wiederherstellungszeitziel beträgt 1 Stunde, mit einem Wiederherstellungszeitziel von 24 Stunden.

Guru unterhält ein umfassendes Verfahren zur Einstufung und Reaktion auf Vorfälle und übt potenzielle Vorfälle zweimal jährlich im Rahmen einer formalen Tischübung ein. Die Teilnehmer erfassen gewonnene Erkenntnisse und streben ständig danach, das Programm zu verbessern. Obwohl äußerst unwahrscheinlich, würde ein Datenleck innerhalb von 24 Stunden nach Bestätigung an den Guru-Administrator eines Kunden kommuniziert werden.

Sicherheit ist in den Kodierungsprozess integriert, und es werden mehrere Überprüfungen durchgeführt, um neuen Code vor dem Bereitstellen zu validieren. Darüber hinaus durchlaufen die Entwickler von Guru spezialisierte Sicherheitsschulungen, um häufige Schwachstellen wie Cross Site Scripting und SQL-Injektion zu behandeln.

Guru respektiert vollständig sowohl etablierte als auch aufkommende Datenschutzbestimmungen und hat die notwendigen Prozesse geschaffen, um die Rechte der Dateninhaber zu unterstützen. Guru bietet eine Datenschutzvereinbarung an und verpflichtet sich vertraglich, alle aufkommenden Datenschutzbestimmungen zu unterstützen, die auf den Service zutreffen. Auch Dritte müssen ihre Sicherheitsverpflichtungen dokumentieren, die mit Gesetzen und Vorschriften übereinstimmen.

In addition to AWS, Guru uses some third parties to perform certain components of its operations. Only vendors who have successfully demonstrated sufficient security capabilities and commitments are authorized to support the Guru system.