GenAI is an indispensable part of the Guru service, and Guru keeps source content protected throughout the entire input/output transaction. Key security features include:

• Only relevant document matches are submitted to the third party LLM; thus ensuring the vast majority of content remains out of the AI workstream (Answers)
• Any content submitted to the third party LLM for processing is immediately removed after the output is returned (“zero day retention”)
• Guru does not use your content to train the LLM in any way; your content remains exclusively yours in a protected enclave
• Our third party AI partner undergoes recurring risk reviews and is bound by a Data Protection Agreement

Program jest prowadzony przez dedykowanego lidera ds. bezpieczeństwa informacji, który współpracuje z kierownictwem wykonawczym i ekspertami w dziedzinie tematu, aby skodyfikować procedury i zapewnić ich wykonanie.

Guru zatrudnia niezależną firmę audytorską do przeprowadzenia corocznego audytu SOC 2, typu II, który obejmuje nie tylko Kryteria Ogólne, ale także kryteria usług zaufania w zakresie poufności i prywatności.

Tak. Patrzymy na zmiany w linii produktów, otoczeniu regulacyjnym i zagrożeniach cybernetycznych. Przypisujemy wyniki ryzyka i zapewniamy zaangażowanie kierownictwa wykonawczego w rutynowe zmniejszanie ryzyka. Te kroki są weryfikowane w corocznym audycie SOC 2.

• Guru oferuje wiele funkcji do synchronizacji, przetwarzania, przechowywania i zrozumienia źródeł wiedzy; ściśle związane z tymi funkcjami jest zdolność do kontrolowania udostępniania wiedzy
• Guru przetwarza tylko to, co jest mu potrzebne do świadczenia usługi, co w konsekwencji minimalizuje zbieranie treści i ogranicza czas retencji do możliwie największego stopnia
• Twoje treści są przechowywane i zarządzane w bardzo bezpiecznej bazie danych AWS, oddzielone i chronione od innych treści klientów za pomocą unikalnego identyfikatora zespołu
• Korzystanie z integratorów jest kontrolowane za pomocą ściśle zabezpieczonych, zaszyfrowanych połączeń interfejsu API

Posiadamy ramy kontroli oparte na kontrolach Center for Internet Security, obejmujące szerokie spektrum zgodności i zapewniające naszą skoncentrowaną uwagę na właściwych sprawach. Mamy dziewięć odrębnych polityk, które regulują następujące kwestie:

• Role dotyczące bezpieczeństwa i prywatności
• Zarządzanie ryzykiem
• Zarządzanie i ochrona aktywów
• Klasyfikacja/Działanie/Transmisja danych
• Odzyskiwanie danych i ciągłość działania biznesu
• Zarządzanie dostępem użytkownika
• Ludzie i szkolenia
• Rozwój produktu i zarządzanie zmianami
• Relacje z dostawcami

Domyślnie pracownicy Guru nie mają dostępu do danych klienta. Jest to zarezerwowane dla administratorów zaplecza posiadających udokumentowaną potrzebę. Członkowie ci muszą zostać zatwierdzeni przez CTO na piśmie, a dostępy są przeglądane trzy razy w roku.

Guru poważnie traktuje twoją prywatność medyczną i potrzeby związane z bezpieczeństwem, i chociaż jesteśmy przygotowani do zawarcia Porozumienia Partnera Biznesowego w celu uzyskania zgodności z HIPAA, najpierw poprosilibyśmy cię o rozważenie prawdopodobieństwa, że platforma Guru kiedykolwiek będzie przetwarzać, przetwarzać lub przechowywać elektroniczne chronione informacje zdrowotne. Jeśli uważasz, że istnieje uzasadniona szansa, że takie dane osobowe znajdą się w systemie, jesteśmy gotowi dostarczyć wzorzec BAA jako zapewnienie podpisane przez Guru, że będziemy przestrzegać obowiązujących zarządzeń HHS dotyczących zabezpieczenia twoich danych.

Każdy dostawca mający potencjał dostępu do wrażliwych danych klientów jest zobowiązany do przeprowadzenia zewnętrznej audytu lub co najmniej poddania się wywiadowi ryzyka i wykazania najlepszych praktyk bezpieczeństwa. Te artefakty są odświeżane rocznie, aby zapewnić brak braków w nadzorze. Co więcej, każdy dostawca jest zobowiązany do podpisania Umowy przetwarzania danych i zobowiązania kontraktowego do praktyk dotyczących bezpieczeństwa danych.

Nasza publicznie dostępna sieć jest skanowana miesięcznie pod kątem aktualności certyfikatów, otwartych portów i protokołów oraz nagłówków bezpieczeństwa. Nasze kontenery aplikacyjne są skanowane przez AWS przed wdrożeniem, aby odkryć i rozwiązać podatności.

Tak. Aplikacja jest regularnie testowana pod kątem penetracji przez zewnętrzną agencję co najmniej dwa razy do roku, aby wykryć powszechne podatności OWASP. Podsumowanie wykonawcze jest dostępne na żądanie.

Codziennie kopiujemy naszą bazę danych i zapisujemy ją na stronie odzyskiwania po katastrofie w całkowicie oddzienym regionie. Codziennie wykonujemy sprawdzanie integralności tej kopii zapasowej, aby upewnić się, że jest używalna, gdy jest potrzebna. Obiekt wspólny odzyskiwania wynosi 1 godzinę, a czas odzyskiwania wynosi 24 godziny.

Guru utrzymuje kompleksową procedurę klasyfikacji i reakcji na incydenty, przeprowadzając próby potencjalnych zdarzeń dwa razy do roku poprzez formalne ćwiczenia wokół stołu. Uczestnicy wyciągają wnioski i stale starają się ulepszać program. Choć mało prawdopodobne, wszelkie naruszenie danych zostanie skomunikowane administratorowi Guru klienta w ciągu 24 godzin od potwierdzenia.

Bezpieczeństwo jest wbudowane w proces kodowania, a przeprowadza się wiele kontroli w celu zweryfikowania nowego kodu przed wdrożeniem. Ponadto, programiści Guru przeszli specjalistyczne szkolenie z zakresu bezpieczeństwa, aby zająć się powszechnymi podatnościami, takimi jak Cross Site Scripting i wstrzykiwanie SQL.

Guru w pełni przestrzega zarówno ustalonych, jak i nowych regulacji dotyczących prywatności i stworzył niezbędne procesy do wspierania praw podmiotów danych. Guru oferuje Umowę o Ochronie Danych i zobowiązuje się umownie do wspierania wszystkich nowych przepisów dotyczących prywatności w odniesieniu do usługi. Od dostawców wymaga się również udokumentowania ich zobowiązań w zakresie bezpieczeństwa zgodnie z obowiązującymi przepisami prawnymi.

In addition to AWS, Guru uses some third parties to perform certain components of its operations. Only vendors who have successfully demonstrated sufficient security capabilities and commitments are authorized to support the Guru system.