GenAI is an indispensable part of the Guru service, and Guru keeps source content protected throughout the entire input/output transaction. Key security features include:

• Only relevant document matches are submitted to the third party LLM; thus ensuring the vast majority of content remains out of the AI workstream (Answers)
• Any content submitted to the third party LLM for processing is immediately removed after the output is returned (“zero day retention”)
• Guru does not use your content to train the LLM in any way; your content remains exclusively yours in a protected enclave
• Our third party AI partner undergoes recurring risk reviews and is bound by a Data Protection Agreement

Program dijalankan oleh seorang pemimpin infosec yang bersungguh-sungguh bekerja sama dengan pimpinan eksekutif dan pakar subjek untuk mengkodekan prosedur dan memastikan eksekusi.

Guru mempekerjakan sebuah firma audit independen untuk melakukan audit SOC 2, Tipe II tahunan, yang mencakup bukan hanya Kriteria Umum, tetapi juga kriteria layanan kepercayaan Kerahasiaan dan Privasi.

Ya. Kami melihat perubahan dalam garis produk, lingkungan regulasi, dan ancaman siber. Kami menetapkan skor risiko dan memastikan pimpinan eksekutif secara rutin terlibat dalam mitigasi risiko. Langkah-langkah ini diverifikasi dalam audit SOC 2 tahunan.

• Guru menawarkan beberapa fitur untuk menyinkronkan, memproses, menyimpan, dan memahami sumber pengetahuan Anda; yang melekat pada semua fitur ini adalah kemampuan Anda untuk mengendalikan pengetahuan mana yang dibagikan
• Guru hanya akan memproses apa yang diperlukan untuk memberikan layanannya, dan karena itu akan meminimalkan pengumpulan konten dan membatasi waktu retensi sejauh mungkin
• Konten Anda disimpan dan dikelola dalam database AWS yang sangat aman, dipisahkan dan dilindungi dari konten klien lain oleh ID tim unik
• Penggunaan integrator dikendalikan melalui koneksi API yang sangat aman dan terenkripsi

Kami memiliki kerangka kontrol berdasarkan Kontrol Keamanan Internet Center, mencakup spektrum kepatuhan yang luas dan memastikan kami fokus pada hal yang tepat. Kami memiliki sembilan kebijakan terpisah yang mengatur hal berikut:

• Peran Keamanan dan Privasi
• Manajemen Risiko
• Manajemen dan Perlindungan Aset
• Klasifikasi/Data/Transmisi
• Pemulihan Data dan Kontinuitas Bisnis
• Manajemen Akses Pengguna
• Orang dan Pelatihan
• Pengembangan Produk dan Manajemen Perubahan
• Hubungan Pemasok

Secara default, staf Guru tidak memiliki akses ke data klien. Ini dipesan untuk administrator back end dengan kebutuhan yang terbukti. Anggota-anggota ini disetujui oleh CTO secara tertulis dan aksesnya ditinjau tiga kali setahun.

Guru menganggap privasi medis dan keamanan Anda secara serius, dan meskipun kami siap untuk mengadakan Perjanjian Mitra Usaha untuk kepatuhan HIPAA, kami akan meminta Anda mempertimbangkan kemungkinan bahwa platform Guru akan pernah mengonsumsi, memproses, atau menyimpan informasi kesehatan yang dilindungi secara elektronik. Jika Anda percaya ada kemungkinan yang wajar bahwa data pribadi tersebut akan masuk ke dalam sistem, kami bersedia menyediakan BAA pola sebagai jaminan yang ditandatangani oleh Guru bahwa kami akan mematuhi peraturan HHS yang berlaku untuk melindungi data Anda.

Setiap vendor dengan potensi untuk mengakses data sensitif klien diwajibkan untuk memberikan audit eksternal atau, setidaknya, tunduk pada wawancara risiko dan menunjukkan praktik keamanan terbaik. Artefak ini diperbarui setiap tahun untuk memastikan tidak ada kelalaian dalam pengawasan. Selain itu, setiap vendor wajib menandatangani Perjanjian Pemrosesan Data dan berkomitmen kontraktual terhadap praktik keamanan data.

Jaringan publik kami dipindai secara bulanan untuk keberadaan sertifikat, port terbuka dan protokol serta header keamanan. Container aplikasi kami dipindai melalui AWS sebelum implementasi untuk menemukan dan menangani kerentanan.

Ya. Aplikasi tersebut secara rutin diuji penetrasi oleh agensi eksternal tidak kurang dari dua kali setahun untuk menemukan kerentanan OWASP umum. Ringkasan eksekutif tersedia atas permintaan.

Kami menyalin database kami setiap hari dan menyimpannya di situs pemulihan bencana di wilayah yang sepenuhnya terpisah. Kami menjalankan pemeriksaan integritas harian pada cadangan tersebut untuk memastikan bahwa itu dapat digunakan jika diperlukan. Tujuan titik pemulihan adalah 1 jam, dengan waktu pemulihan maksimum 24 jam.

Guru menjaga prosedur klasifikasi dan tanggapan insiden yang komprehensif, latihan potensi insiden dua kali setahun melalui latihan meja formal. Peserta menangkap pelajaran yang dipelajari dan terus berupaya membuat program lebih baik. Meskipun sangat tidak mungkin, pelanggaran data akan dikomunikasikan kepada administrator Guru klien dalam waktu 24 jam setelah konfirmasi.

Keamanan disertakan dalam proses pengkodean, dan sejumlah pemeriksaan dilakukan untuk memvalidasi kode baru sebelum implementasi. Selain itu, pengembang Guru menjalani pelatihan keamanan khusus untuk mengatasi kerentanan umum seperti Cross Site Scripting dan injeksi SQL.

Guru sepenuhnya menghormati peraturan privasi yang ada dan sedang berkembang dan telah membuat proses yang diperlukan untuk mendukung hak subjek data. Guru menawarkan Perjanjian Perlindungan Data dan setuju kontraktual untuk mendukung semua peraturan privasi yang sedang berkembang sebagaimana berlaku untuk layanan tersebut. Pihak ketiga juga diwajibkan untuk mendokumentasikan komitmen keamanan mereka sesuai dengan hukum dan peraturan.

In addition to AWS, Guru uses some third parties to perform certain components of its operations. Only vendors who have successfully demonstrated sufficient security capabilities and commitments are authorized to support the Guru system.