GenAI is an indispensable part of the Guru service, and Guru keeps source content protected throughout the entire input/output transaction. Key security features include:

• Only relevant document matches are submitted to the third party LLM; thus ensuring the vast majority of content remains out of the AI workstream (Answers)
• Any content submitted to the third party LLM for processing is immediately removed after the output is returned (“zero day retention”)
• Guru does not use your content to train the LLM in any way; your content remains exclusively yours in a protected enclave
• Our third party AI partner undergoes recurring risk reviews and is bound by a Data Protection Agreement

プログラムは、専任の情報セキュリティリーダーがエグゼクティブリーダーシップと専門家と協力して手順をコーディングし、実行を確実にすることで実行されます。

Guruは、年次SOC 2、タイプII監査を実施する独立した監査ファームを採用し、Common Criteriaだけでなく機密性およびプライバシー信頼サービスの基準も含まれます。

はい。 製品ライン、規制環境、サイバー脅威の変化を見ています。 リスクスコアを付与し、エグゼクティブリーダーシップがリスクの緩和に積極的に関与していることを確認しています。 これらの手順は年次SOC 2監査で検証されます。

• Guruは、複数の機能を提供して、知識源を同期し、処理、保存、理解します。これらの機能に固有のものがすべてあり、共有される知識を制御する機能があります。
• Guruは、サービスを提供するために必要なものだけを処理し、その結果、コンテンツの収集を最小限に抑え、最大限に保持時間を制限します。
• お客様のコンテンツは、他のクライアントのコンテンツから一意のチームIDによって分離・保護された非常に安全なAWSデータベースに保存および管理されます。
• 統合業者の使用は、非常に安全な暗号化されたAPI接続を介して制御されています。

広範なコンプライアンススペクトラムをカバーし、適切な焦点を当てるように確認されたCenter for Internet Security Controlsに基づくコントロールフレームワークを有しています。 以下を統治する9つの独立したポリシーがあります：

• セキュリティおよびプライバシーの役割
• リスク管理
• 資産管理と保護
• データの分類/処理/転送
• データの回復と事業継続
• ユーザーアクセス管理
• 人々とトレーニング
• 製品開発と変更管理
• サプライヤーリレーションシップ

デフォルトでは、Guruスタッフはクライアントデータにアクセスできません。 これは、実証された必要性を持つバックエンド管理者のために予約されています。 これらのメンバーは、CTOの承認を経て書面で承認され、アクセスは年3回レビューされます。

Guruはあなたの医療のプライバシーとセキュリティのニーズを真剣に受け止め、HIPAAのコンプライアンスのためのビジネスアソシエイト契約に入る準備ができていますが、まずはGuruプラットフォームが将来的に電子保護された健康情報を取り込み、処理、または保存する可能性があることを考慮していただきたいと思います。 そうした個人データがシステム内に入る可能性があると思われる場合、Guruは適用可能なHHSの規定に従ってあなたのデータを保護することを確約する契約書としてBoilerplate BAAを提供する用意があります。

機密クライアントデータにアクセスの可能性があるベンダは、外部監査を提供するか、少なくともリスク面接を受けること、そしてベストセキュリティプラクティスを実証することが必要とされています。 これらのアーティファクトは毎年更新され、監視の途切れがないようにされています。 さらに、各ベンダはデータ処理契約に署名し、データセキュリティのプラクティスへの契約上の義務を実行するよう求められています。

私たちの公開ネットワークは月次で証明書の有効性、オープンポートとプロトコル、セキュリティヘッダーをスキャンしています。 アプリケーションのコンテナはAWSを介して展開前にスキャンされ、脆弱性を発見して修正しています。

はい。 アプリケーションは年間最低2回OWASPの一般的な脆弱性を明らかにするため、外部機関による定期的なペンテストを行っています。 概要がリクエスト可能です。

私たちは毎日データベースをコピーし、それを完全に異なる地域の災害復旧サイトに保存しています。 そのバックアップに対して毎日整合性チェックを実行して、必要に応じて使用できるか確認しています。 復旧ポイント目標は1時間で、回復時間目標は24時間です。

Guruは包括的なインシデント分類と対応手順を維持し、潜在的なインシデントを年に2回のフォーマルなテーブルトップエクササイズを通じて練習しています。 参加者は学んだ教訓を共有し、プログラムを常に向上させようと努力しています。 高度に信じられないが、データ侵害が発生した場合、確認後24時間以内にクライアントのGuru管理者に通知されます。

セキュリティはコーディングプロセスに組み込まれており、新しいコードを展開する前に検証するためにさまざまなチェックが実施されています。 また、Guruの開発者は、クロスサイトスクリプティングやSQLインジェクションなど、一般的な脆弱性に対処するための特別なセキュリティトレーニングを受けています。

Guruは確立されたプライバシー規制と新興のプライバシー規制を全面的に尊重し、データ主体の権利を支持するために必要なプロセスを作成しています。 Guruはデータ保護契約を提供し、サービスに適用される新興のプライバシー規制を支持することに契約で同意しています。 法や規制に適合するようサードパーティーもセキュリティに関するコミットメントを文書化する必要があります。

In addition to AWS, Guru uses some third parties to perform certain components of its operations. Only vendors who have successfully demonstrated sufficient security capabilities and commitments are authorized to support the Guru system.