GenAI is an indispensable part of the Guru service, and Guru keeps source content protected throughout the entire input/output transaction. Key security features include:

• Only relevant document matches are submitted to the third party LLM; thus ensuring the vast majority of content remains out of the AI workstream (Answers)
• Any content submitted to the third party LLM for processing is immediately removed after the output is returned (“zero day retention”)
• Guru does not use your content to train the LLM in any way; your content remains exclusively yours in a protected enclave
• Our third party AI partner undergoes recurring risk reviews and is bound by a Data Protection Agreement

El programa es dirigido por un líder dedicado de infosec que trabaja en conjunto con el liderazgo ejecutivo y expertos en la materia para codificar los procedimientos y garantizar la ejecución.

Guru contrata a una firma de auditoría independiente para llevar a cabo una auditoría SOC 2, Tipo II anual, que incluye no solo los Criterios Comunes, sino también los criterios de servicios de Confidencialidad y Privacidad.

Sí. Observamos cambios en la línea de productos, el entorno regulatorio y la amenaza cibernética. Asignamos puntuaciones de riesgo y nos aseguramos de que el liderazgo ejecutivo participe de forma rutinaria en la mitigación del riesgo. Estos pasos se verifican en la auditoría SOC 2 anual.

• Guru ofrece múltiples funciones para sincronizar, procesar, almacenar y dar sentido a tus fuentes de conocimiento; inherente a todas estas funciones está tu capacidad para controlar qué conocimiento se comparte
• Guru solo procesará lo que necesita para brindar su servicio, y por consiguiente minimizará la recopilación de contenido y restringirá al máximo posible el tiempo de retención
• Tu contenido se almacena y gestiona en una base de datos AWS altamente segura, separada y protegida del contenido de otros clientes mediante un ID de equipo único
• Cualquier uso de integradores está controlado a través de conexiones de API altamente seguras y encriptadas

Tenemos un marco de control basado en los Controles del Centro de Seguridad en Internet, abarcando un amplio espectro de cumplimiento y asegurando que estamos enfocados en las cosas correctas. Tenemos nueve políticas separadas que rigen lo siguiente:

• Roles de Seguridad y Privacidad
• Gestión de Riesgos
• Gestión y Protección de Activos
• Clasificación/Gestión/Transmisión de Datos
• Recuperación de Datos y Continuidad del Negocio
• Gestión de Acceso de Usuarios
• Personas y Entrenamiento
• Desarrollo de Productos y Gestión de Cambios
• Relaciones con Proveedores

Por defecto, el personal de Guru no tiene acceso a los datos del cliente. Esto está reservado para administradores de backend con una necesidad demostrada. Estos miembros son aprobados por el CTO por escrito y los accesos se revisan tres veces al año.

Guru toma en serio tus necesidades de privacidad y seguridad médica, y aunque estamos preparados para celebrar un Acuerdo de Asociado Comercial para el cumplimiento de HIPAA, primero te pediríamos que consideres la posibilidad de que la plataforma de Guru pueda llegar a consumir, procesar o almacenar información de salud protegida electrónica. Si crees que hay una posibilidad razonable de que dichos datos personales lleguen al sistema, estamos dispuestos a proporcionar un Acuerdo de Asociado Comercial previo a Guru como garantía firmada de que cumpliremos con los mandatos aplicables de HHS para salvaguardar tus datos.

Se requiere que cualquier proveedor con el potencial de acceder a datos sensibles del cliente proporcione una auditoría externa o, como mínimo, se someta a una entrevista de riesgo y demuestre las mejores prácticas de seguridad. Estos artefactos se actualizan anualmente para garantizar que no haya una falta de supervisión. Además, se requiere que cada proveedor firme un Acuerdo de Procesamiento de Datos y se comprometa contractualmente a las prácticas de seguridad de datos.

Nuestra red de cara al público se escanea mensualmente para verificar la vigencia del certificado, los puertos abiertos y los protocolos y encabezados de seguridad. Nuestros contenedores de aplicación se escanean a través de AWS antes de la implementación para descubrir y abordar vulnerabilidades.

Sí. La aplicación se prueba de penetración rutinariamente por una agencia externa no menos de dos veces al año para revelar vulnerabilidades comunes de OWASP. Un resumen ejecutivo está disponible a pedido.

Copiamos nuestra base de datos diariamente y la guardamos en un sitio de recuperación ante desastres en una región completamente separada. Realizamos una verificación diaria de integridad en esa copia de seguridad para asegurarnos de que sea utilizable si es necesario. El objetivo del punto de recuperación es de 1 hora, con un objetivo de tiempo de recuperación de 24 horas.

Guru mantiene un procedimiento de clasificación y respuesta a incidentes exhaustivo, ensayando incidencias potenciales dos veces al año a través de un ejercicio de mesa formal. Los participantes capturan lecciones aprendidas y se esfuerzan constantemente por mejorar el programa. Aunque es muy improbable, cualquier brecha de datos sería comunicada al administrador de Guru de un cliente dentro de las 24 horas de confirmación.

La seguridad se integra en el proceso de codificación, y se realizan varias comprobaciones para validar el nuevo código antes de la implementación. Además, los desarrolladores de Guru reciben formación especializada en seguridad para abordar vulnerabilidades comunes como la Inyección de Código de Sitio Cruzado y la inyección SQL.

Guru respeta plenamente tanto las regulaciones de privacidad establecidas como las emergentes y ha creado los procesos necesarios para apoyar los derechos de los sujetos de datos. Guru ofrece un Acuerdo de Protección de Datos y se compromete contractualmente a respaldar todas las regulaciones emergentes de privacidad según corresponda al servicio. También se requiere que terceros documenten sus compromisos de seguridad de forma consistente con las leyes y regulaciones.

In addition to AWS, Guru uses some third parties to perform certain components of its operations. Only vendors who have successfully demonstrated sufficient security capabilities and commitments are authorized to support the Guru system.