GenAI is an indispensable part of the Guru service, and Guru keeps source content protected throughout the entire input/output transaction. Key security features include:

• Only relevant document matches are submitted to the third party LLM; thus ensuring the vast majority of content remains out of the AI workstream (Answers)
• Any content submitted to the third party LLM for processing is immediately removed after the output is returned (“zero day retention”)
• Guru does not use your content to train the LLM in any way; your content remains exclusively yours in a protected enclave
• Our third party AI partner undergoes recurring risk reviews and is bound by a Data Protection Agreement

Программа управляется предназначеным лидером по информационной безопасности, который работает в тесном сотрудничестве с исполнительным руководством и экспертами в предметной области для кодификации процедур и обеспечения выполнения.

Guru нанимает независимую аудиторскую фирму для проведения ежегодного аудита SOC 2, тип II, который включает не только Общие критерии, но и критерии доверия к конфиденциальности и приватности.

Да. Мы просматриваем изменения в линейке продуктов, регулятивной среде и киберугрозах. Мы назначаем оценочные баллы по рискам и обеспечиваем регулярное вовлечение исполнительного руководства в смягчение рисков. Эти шаги проверяются в ежегодном аудите SOC 2.

• Guru предлагает несколько функций для синхронизации, обработки, хранения и интерпретации ваших источников знаний; специфичной для всех этих функций является ваша способность контролировать, какие знания будут общедоступны.
• Guru обрабатывает только ту информацию, которая необходима для выполнения своих обязательств, следовательно, минимизируя сбор контента и ограничивая время его хранения в наибольшей степени возможной.
• Ваш контент хранится и управляется в высоко защищенной базе данных AWS, отделенной и защищенной от другого контента клиентов уникальным идентификатором команды.
• Любое использование интеграторов контролируется через высоко защищенные, зашифрованные API-соединения.

У нас есть контрольная структура, основанная на контрольных мерах Центра интернет-безопасности, охватывающая широкий спектр соответствия и обеспечивающая основное внимание на правильные вещи. У нас есть девять отдельных политик, которые регулируют следующее:

• Роли по безопасности и конфиденциальности
• Управление рисками
• Управление и защита активов
• Классификация/обработка/передача данных
• Восстановление данных и бизнес-континуити
• Управление доступом пользователей
• Люди и обучение
• Разработка продукта и управление изменениями
• Отношения с поставщиками

По умолчанию сотрудники Guru не имеют доступа к данным клиентов. Это остается за администраторами бэк-энда с демонстрированной необходимостью. Эти члены утверждаются главным техническим директором письменно, а доступы пересматриваются три раза в год.

Guru серьезно относится к вашим потребностям в медицинской конфиденциальности и безопасности, и хотя мы готовы заключить соглашение о сотрудничестве с бизнес-ассоциацией для соответствия HIPAA, мы бы хотели, чтобы вы сначала рассмотрели вероятность того, что платформа Guru когда-либо будет потреблять, обрабатывать или хранить электронную защищенную медицинскую информацию. Если вы считаете, что существует разумный шанс того, что такие личные данные попадут в систему, мы готовы предоставить шаблонное соглашение BAA в качестве подписанного подтверждения Guru, что мы будем следовать соответствующим указаниям HHS по обеспечению защиты ваших данных.

Любому поставщику с потенциалом доступа к чувствительным данным клиента требуется предоставить внешний аудит или, как минимум, пройти рисковый интервью и продемонстрировать лучшие практики безопасности. Эти артефакты ежегодно обновляются, чтобы избежать просчетов в надзоре. Кроме того, каждому поставщику требуется подписать соглашение о обработке данных и контрактно обязаться соблюдать практики безопасности данных.

Наша открытая сеть сканируется ежемесячно на актуальность сертификата, открытые порты и протоколы, а также на заголовки безопасности. Наши контейнеры приложений сканируются через AWS перед развертыванием для обнаружения и устранения уязвимостей.

Да. Приложение регулярно проходит тестирование на проникновение внешним агентством не менее двух раз в год, чтобы выявить распространенные уязвимости OWASP. Краткое изложение доступно по запросу.

Мы ежедневно копируем нашу базу данных и сохраняем ее на сайте резервного копирования в полностью отдельном регионе. Мы ежедневно проверяем целостность этой резервной копии, чтобы убедиться, что она может быть использована в случае необходимости. Цель восстановления составляет 1 час, с временем восстановления в пределах 24 часов.

Guru поддерживает всеобъемлющую процедуру классификации и реагирования на инциденты, прорабатывая потенциальные инциденты дважды в год через формальное упражнение за столом. Участники извлекают уроки и постоянно стремятся улучшить программу. Хотя это маловероятно, любое нарушение данных будет сообщено администратору Guru клиента в течение 24 часов после подтверждения.

Безопасность вшита в процесс кодирования, и проводится ряд проверок для проверки нового кода перед развертыванием. Кроме того, разработчики Guru проходят специализированное обучение по безопасности, чтобы адресовать распространенные уязвимости, такие как межсайтовый скриптинг и SQL-инъекции.

Guru полностью уважает как установленные, так и новые правила конфиденциальности и создал необходимые процессы для поддержки прав субъектов данных. Guru предлагает соглашение о защите данных и контрактно соглашается поддерживать все новые правила конфиденциальности, касающиеся предоставляемых услуг. Также требуется, чтобы третьи стороны документировали свои обязательства в области безопасности в соответствии с законами и нормативными актами.

In addition to AWS, Guru uses some third parties to perform certain components of its operations. Only vendors who have successfully demonstrated sufficient security capabilities and commitments are authorized to support the Guru system.