GenAI is an indispensable part of the Guru service, and Guru keeps source content protected throughout the entire input/output transaction. Key security features include:

• Only relevant document matches are submitted to the third party LLM; thus ensuring the vast majority of content remains out of the AI workstream (Answers)
• Any content submitted to the third party LLM for processing is immediately removed after the output is returned (“zero day retention”)
• Guru does not use your content to train the LLM in any way; your content remains exclusively yours in a protected enclave
• Our third party AI partner undergoes recurring risk reviews and is bound by a Data Protection Agreement

Programmet drivs av en dedikerad infosec-ledare som samarbetar med ledningsgruppen och ämnesexperter för att kodifiera procedurer och säkerställa utförande.

Guru anlitar ett oberoende revisionsföretag för att genomföra en årlig SOC 2, Typ II revision, som inkluderar inte bara Common Criteria, utan även konfidentialitets- och integritetsförtroendetjänsternas kriterier.

Ja. Vi granskar förändringar i produktlinjen, regleringsmiljön och cybersäkerhetshoten. Vi tilldelar riskpoäng och säkerställer att ledningsgruppen regelbundet engageras i riskhantering. Dessa steg verifieras i den årliga SOC 2-revisionen.

• Guru erbjuder flera funktioner för att synkronisera, bearbeta, lagra och förstå dina kunskapskällor; inneboende i alla dessa funktioner är din förmåga att kontrollera vilken kunskap som delas
• Guru kommer endast behandla det som behövs för att leverera sin tjänst, och kommer därför minimera insamlingen av innehåll och begränsa lagringstiden så långt som möjligt
• Ditt innehåll lagras och hanteras i en högsäker AWS-databas, separerad och skyddad från annat klientinnehåll genom ett unikt lag-ID
• Användningen av integratörer kontrolleras genom högsäkra, krypterade API-uppkopplingar

Vi har en kontrollram baserad på Center for Internet Security Controls, som täcker ett brett överensstämmelseområde och säkerställer att vi fokuserar på rätt saker. Vi har nio separata policys som styr följande:

• Säkerhets- och sekretessroller
• Riskhantering
• Tillgångshantering och skydd
• Dataklassificering/hantering/överföring
• Dataåtervinning och kontinuitet i verksamheten
• Användaråtkomstshantering
• Personer och träning
• Produktutveckling och förändringshantering
• Leverantörsrelationer

Som standard har Guru-personal inte åtkomst till klientdata. Detta är reserverat för administratörer på baksidan som har ett påvisat behov. Dessa medlemmar godkänns skriftligt av CTO och åtkomster granskas tre gånger årligen.

Guru tar dina medicinska sekretess- och säkerhetsbehov på allvar, och medan vi är beredda att ingå i ett avtal som affärsassociat för HIPAA-efterlevnad, skulle vi först be dig att överväga sannolikheten att Guru-plattformen någonsin kommer att konsumera, bearbeta eller lagra elektroniskt skyddad hälsoinformation. Om du tror att det finns en rimlig chans att sådana personuppgifter kommer att komma in i systemet är vi villiga att tillhandahålla en standard BAA som Gurus signerade försäkring om att vi kommer att följa de tillämpliga HHS-direktiven för att skydda dina data.

Varje leverantör med potential att få tillgång till känsliga klientdata måste genomföra en extern revision eller åtminstone underkasta sig en riskintervju och visa bästa säkerhetspraxis. Dessa artefakter uppdateras årligen för att säkerställa att det inte föreligger något felaktighet i översynen. Dessutom krävs varje leverantör att underteckna ett dataskyddsavtal och kontraktsenligt åtaga sig dataskyddspraxis.

Vårt publika nätverk skannas månadsvis för certifikats valutadatum, öppna portar och protokoll samt säkerhetsrubriker. Våra applikationscontainrar skannas genom AWS före distribution för att upptäcka och åtgärda sårbarheter.

Ja. Applikationen genomgår regelbundna penetreringstester av en extern byrå minst två gånger per år för att avslöja vanliga OWASP-sårbarheter. En verkställande sammanfattning finns tillgänglig på begäran.

Vi kopierar vår databas dagligen och sparar den på en katastrofåterställningssida i en helt separat region. Vi kör en daglig integritetskontroll av den säkerhetskopian för att säkerställa att den är användbar vid behov. Återställningspunktsmålet är 1 timme, med ett återställningstidsmål på 24 timmar.

Guru upprätthåller en omfattande incidentklassificering och svarsprocedur och övar potentiella incidenter två gånger per år genom en formell bordsskiveövning. Deltagare fångar upp lärdomar och strävar ständigt efter att göra programmet bättre. Även om det är mycket osannolikt skulle något dataintrång kommuniceras till en klients Guru-administratör inom 24 timmar efter bekräftelse.

Säkerhet integreras i kodningsprocessen, och ett antal kontroller utförs för att validera ny kod innan distribution. Dessutom genomgår Gurus utvecklare specialiserad säkerhetsträning för att hantera vanliga sårbarheter som Cross Site Scripting och SQL-injektion.

Guru respekterar fullt ut både etablerade och framväxande integritetsregler och har skapat de nödvändiga processerna för att stödja dataämnens rättigheter. Guru erbjuder ett dataskyddsavtal och åtar sig kontraktsenligt att stödja alla framväxande integritetsregler i tillämpliga fall till tjänsten. Tredje parter måste också dokumentera sina säkerhetsåtaganden i enlighet med lagar och regler.

In addition to AWS, Guru uses some third parties to perform certain components of its operations. Only vendors who have successfully demonstrated sufficient security capabilities and commitments are authorized to support the Guru system.