GenAI is an indispensable part of the Guru service, and Guru keeps source content protected throughout the entire input/output transaction. Key security features include:

• Only relevant document matches are submitted to the third party LLM; thus ensuring the vast majority of content remains out of the AI workstream (Answers)
• Any content submitted to the third party LLM for processing is immediately removed after the output is returned (“zero day retention”)
• Guru does not use your content to train the LLM in any way; your content remains exclusively yours in a protected enclave
• Our third party AI partner undergoes recurring risk reviews and is bound by a Data Protection Agreement

Het programma wordt gerund door een toegewijde infosec-leider die samenwerkt met uitvoerend leiderschap en deskundigen om procedures te codificeren en uit te voeren.

Guru huurt een onafhankelijk auditbedrijf in om jaarlijks een SOC 2, Type II-audit uit te voeren, die niet alleen de Common Criteria, maar ook de Vertrouwelijkheid en Privacy services criteria omvat.

Ja. We kijken naar veranderingen in de productlijn, de regelgeving en de cyberdreiging. We wijzen risicoscores toe en zorgen ervoor dat het uitvoerend leiderschap op regelmatige basis betrokken is bij risicovermindering. Deze stappen worden geverifieerd in de jaarlijkse SOC 2-audit.

• Guru biedt meerdere functies om uw kennisbronnen te synchroniseren, verwerken, opslaan en zin te geven; inherent aan al deze functies is uw vermogen om te bepalen welke kennis wordt gedeeld
• Guru verwerkt alleen wat nodig is om haar dienst te leveren, en zal daarom minimaliseren de verzameling van inhoud en beperk retentietijd tot het grootst mogelijke
• Uw inhoud wordt opgeslagen en beheerd in een zeer beveiligde AWS-database, gescheiden en beschermd tegen andere clientinhoud door een uniek team-ID
• Het gebruik van integrators wordt gecontroleerd via zeer veilige, versleutelde API-verbindingen

We hebben een controlekader gebaseerd op de Controls van het Center for Internet Security, dat een breed nalevingspectrum bestrijkt en ervoor zorgt dat we ons richten op de juiste zaken. We hebben negen afzonderlijke beleidslijnen die het volgende regelen:

• Veiligheids- en privacyrollen
• Risicobeheer
• Assetmanagement en -bescherming
• Gegevensclassificatie/-behandeling/-transmissie
• Gegevensherstel en bedrijfscontinuïteit
• Gebruikerstoegangsbeheer
• Mensen en training
• Productontwikkeling en -wijzigingsbeheer
• Leveranciersrelaties

Standaard hebben Guru-medewerkers geen toegang tot klantgegevens. Dit is voorbehouden aan back-endbeheerders met een aangetoonde behoefte. Deze leden worden schriftelijk goedgekeurd door de CTO en de toegangen worden driemaal per jaar beoordeeld.

Guru neemt uw medische privacy- en veiligheidsbehoeften serieus, en hoewel we bereid zijn om een overeenkomst te sluiten voor Business Associate Agreement voor naleving van HIPAA, zouden we eerst vragen om te overwegen hoe waarschijnlijk het is dat het Guru-platform ooit elektronische beschermd gezondheidsinformatie zal consumeren, verwerken of opslaan. Als u denkt dat er een redelijke kans is dat dergelijke persoonlijke gegevens in het systeem terechtkomen, zijn we bereid om een standaard BAA te verstrekken als de ondertekende verzekering van Guru dat we ons zullen houden aan de toepasselijke HHS-mandaat voor het beschermen van uw gegevens.

Elke leverancier met het potentieel om toegang te krijgen tot gevoelige klantgegevens, moet een externe audit leveren of op zijn minst deelnemen aan een risicogesprek en de beste beveiligingspraktijken aantonen. Deze artefacten worden jaarlijks vernieuwd om ervoor te zorgen dat er geen verzuim is in het toezicht. Bovendien is elke leverancier verplicht om een Data Processing Agreement te ondertekenen en contractueel toe te zeggen aan data beveiligingspraktijken.

Ons openbare netwerk wordt maandelijks gescand op certificaatvaluta, open poorten en protocollen en beveiligingsheaders. Onze toepassingscontainers worden vóór implementatie gescand via AWS om kwetsbaarheden te ontdekken en aan te pakken.

Ja. De toepassing wordt routinematig getest door een extern bureau minstens twee keer per jaar om veelvoorkomende OWASP-kwetsbaarheden aan het licht te brengen. Een beknopte samenvatting is op verzoek beschikbaar.

We kopiëren onze database dagelijks en slaan deze op in een rampenherstelsite in een volledig aparte regio. We voeren dagelijks een integriteitscontrole op die back-up uit om ervoor te zorgen dat deze bruikbaar is indien nodig. Het herstelpuntdoel is 1 uur, met een hersteltijddoel van 24 uur.

Guru onderhoudt een uitgebreide incidentclassificatie- en responsprocedure, waarbij potentiële incidenten twee keer per jaar worden gerepeteerd via een formele tafeloefening. Deelnemers leggen geleerde lessen vast en streven er voortdurend naar om het programma te verbeteren. Hoewel zeer onwaarschijnlijk, zou elke data-inbreuk binnen 24 uur na bevestiging worden gecommuniceerd aan de Guru-beheerder van een cliënt.

Beveiliging is geïntegreerd in het coderingsproces, en er worden verschillende controles uitgevoerd om nieuwe code te valideren vóór implementatie. Ook ondergaan de ontwikkelaars van Guru gespecialiseerde beveiligingstraining om veelvoorkomende kwetsbaarheden zoals Cross Site Scripting en SQL-injectie aan te pakken.

Guru respecteert volledig zowel gevestigde als opkomende privacyregels en heeft de noodzakelijke processen gecreëerd om de rechten van de betrokkenen van gegevens te ondersteunen. Guru biedt een Data Protection Agreement aan en stemt contractueel in met het ondersteunen van alle opkomende privacyregels zoals ze van toepassing zijn op de dienst. Derden moeten ook hun beveiligingstoezeggingen documenteren in overeenstemming met wetten en voorschriften.

In addition to AWS, Guru uses some third parties to perform certain components of its operations. Only vendors who have successfully demonstrated sufficient security capabilities and commitments are authorized to support the Guru system.