GenAI is an indispensable part of the Guru service, and Guru keeps source content protected throughout the entire input/output transaction. Key security features include:

• Only relevant document matches are submitted to the third party LLM; thus ensuring the vast majority of content remains out of the AI workstream (Answers)
• Any content submitted to the third party LLM for processing is immediately removed after the output is returned (“zero day retention”)
• Guru does not use your content to train the LLM in any way; your content remains exclusively yours in a protected enclave
• Our third party AI partner undergoes recurring risk reviews and is bound by a Data Protection Agreement

Program, yürütme lideriyle iş birliği içinde çalışan bir uzman bilgi güvenliği lideri tarafından yönetilmekte ve prosedürleri kodlamak ve uygulamayı sağlamak için iş birliği yapmaktadır

Guru, Yıllık SOC 2, Tip II denetimi gerçekleştirmesi için bağımsız bir denetim firması tutar, bu denetim yalnızca Ortak Kriterler değil, Aynı zamanda Gizlilik ve Mahremiyet güvenlik hizmetleri kriterlerini de içerir

Evet. Ürün hattındaki değişikliklere, düzenleyici ortama ve siber tehdide bakıyoruz Risk puanları atıyoruz ve yürütme liderinin risk azaltma konusunda düzenli olarak ilgilenmesini sağlıyoruz Bu adımlar yıllık SOC 2 denetiminde doğrulanmaktadır

• Guru, bilgi kaynaklarınızı senkronize etmek, işlemek, depolamak ve anlamlandırmak için çoklu özellikler sunmaktadır; bu özelliklerin hepsine inherent olan, hangi bilginin paylaşıldığını kontrol edebilme yeteneğinizdir
• Guru, hizmetini sunmak için ihtiyaç duyduğu şeyi işleyecek ve dolayısıyla içeriğin toplanmasını en aza indirecek ve tutma süresini mümkün olan en üst düzeye çıkaracak
• İçeriğiniz yüksek güvenlikli bir AWS veritabanında depolanır ve yönetilir, diğer müşteri içeriğinden benzersiz bir ekip kimliği ile ayrı ve korunmuştur
• Entegratörlerin kullanımı yüksek güvenli, şifreli API bağlantıları aracılığıyla kontrol edilmektedir

Merkez Internet Güvenlik Kontrollerine dayalı bir kontrol çerçevesi kullanmaktayız, geniş bir uyumluluk yelpazesini kapsamakta ve doğru konulara odaklanmamızı sağlamaktadır Aşağıdakileri kapsayan dokuz ayrı politikamız bulunmaktadır:

• Güvenlik ve Gizlilik Rolleri
• Risk Yönetimi
• Varlık Yönetimi ve Koruma
• Veri Sınıflandırma/Kullanım/İletim
• Veri Kurtarma ve İş Sürekliliği
• Kullanıcı Erişim Yönetimi
• İnsanlar ve Eğitim
• Ürün Geliştirme ve Değişim Yönetimi
• Tedarikçi İlişkileri

Varsayılan olarak, Guru personelinin müşteri verilerine erişimi yoktur Bu, belirtilen bir ihtiyaca sahip arka uç yöneticileri içindir Bu üyeler, ihtiyaca göre CTO tarafından onaylanmış ve erişimler üç kez yılda kontrol edilmektedir

Guru, tıbbi gizlilik ve güvenlik ihtiyaçlarını ciddiye alır ve HIPAA uyumluluğu için bir İş Ortağı Anlaşması yapmaya hazır olsa da, öncelikle Guru platformunun elektronik korunan sağlık bilgilerini hiçbir zaman tüketmeye, işlemeye veya depolamaya devam edeceği olasılığını göz önünde bulundurmanızı isteyeceğiz. Böyle kişisel verilerin sisteme girmesinin makul bir şansı olduğuna inanıyorsanız, Guru olarak verilerinizi koruma konusunda HHS tarafından belirlenen yasalara uygun olarak uygulayacağımızın garantisi olarak bir hazır BAA sağlamaya istekliyiz.

Hassas müşteri verilerine erişim potansiyeline sahip tedarikçiler, harici bir denetim sağlamak veya en azından bir risk mülakatına tabi olmak ve en iyi güvenlik uygulamalarını göstermek zorundadır. Bu belgeler yılda bir kez yenilenir ve gözetimde herhangi bir aksaklık olmamasını sağlamak için kontrol edilir. Ayrıca, her tedarikçinin Veri İşleme Anlaşması imzalaması ve veri güvenliği uygulamalarına sözleşmeli olarak bağlanması gerekir.

Halka açık ağımız, sertifika geçerliliği, açık portlar ve protokoller ve güvenlik başlıkları için aylık taranmaktadır. Uygulama konteynerlerimiz, zafiyetleri bulmak ve ele almak için dağıtımdan önce AWS tarafından taranır.

Evet. Uygulama, ortak bir OWASP zafiyetleri ortaya çıkarmak için en az iki kez yılda dış bir kurum tarafından düzenli olarak test edilmektedir. Bir yürütme özeti talep edilebilir.

Veritabanımızı günlük olarak kopyalar ve tamamen farklı bir bölgedeki felaket kurtarma sitesine kaydeder. Yedek üzerinde günlük bütünlük kontrolü yaparız ve ihtiyaç duyulması halinde kullanılabilir olduğundan emin oluruz. Kurtarma nokta hedefimiz 1 saattir, kurtarma süresi hedefi ise 24 saattir.

Guru, kapsamlı bir olay sınıflandırma ve yanıt prosedürünü sürdürür ve potansiyel olayları yılda iki kez resmi bir masa başı tatbikatla provalar. Katılımcılar öğrendikleri dersleri kaydeder ve programı daha iyi hale getirmek için sürekli çaba sarf eder. Çok olasılı olmasa da, herhangi bir veri ihlali, doğrulamanın 24 saat sonra onaylanmasının ardından bir müşterinin Guru yöneticisine bildirilir.

Güvenlik, kodlama sürecine entegre edilmiş ve yeni kodları dağıtımdan önce doğrulamak için bir dizi kontrol gerçekleştirilir. Ayrıca, Guru'nun geliştiricileri yaygın güvenlik açıkları, Cross Site Scripting ve SQL enjeksiyon gibi ortak zafiyetleri ele almak için özelleştirilmiş güvenlik eğitimi alır.

Guru, kurulmuş ve ortaya çıkan gizlilik düzenlemelerine tamamen saygı duyar ve veri öznelerinin haklarını desteklemek için gerekli süreçleri oluşturmuştur. Guru, Veri Koruma Anlaşması sunar ve hizmete uygulanan tüm yeni gizlilik düzenlemelerini desteklemeyi taahhüt eder. Üçüncü taraflardan da belgelerde yasa ve düzenlemelerle tutarlı güvenlik taahhütlerini belgelemeleri istenir.

In addition to AWS, Guru uses some third parties to perform certain components of its operations. Only vendors who have successfully demonstrated sufficient security capabilities and commitments are authorized to support the Guru system.