GenAI is an indispensable part of the Guru service, and Guru keeps source content protected throughout the entire input/output transaction. Key security features include:

• Only relevant document matches are submitted to the third party LLM; thus ensuring the vast majority of content remains out of the AI workstream (Answers)
• Any content submitted to the third party LLM for processing is immediately removed after the output is returned (“zero day retention”)
• Guru does not use your content to train the LLM in any way; your content remains exclusively yours in a protected enclave
• Our third party AI partner undergoes recurring risk reviews and is bound by a Data Protection Agreement

Програму веде відданий лідер інформаційної безпеки, який працює разом з виконавчим керівництвом та експертами з певної галузі для кодифікації процедур та забезпечення виконання

Guru наймає незалежну аудиторську фірму для проведення щорічного аудиту SOC 2, типу II, в якому включено не лише загальні критерії, але також критерії довіри до конфіденційності та приватності

Так. Ми розглядаємо зміни в лінійці продуктів, у регулятивному середовищі та кіберзагрозах. Ми призначаємо бали ризику та забезпечуємо регулярне залучення виконавського керівництва до мінімізації ризиків Ці кроки підтверджуються у щорічному аудиті SOC 2.

• Guru пропонує кілька можливостей для синхронізації, обробки, зберігання та розуміння ваших джерел знань; необхідною у всіх цих можливостях є ваша здатність контролювати, яке знання ділиться
• Guru оброблятиме лише те, що необхідно для надання своїх послуг та відповідно мінімізує збирання вмісту та обмежує тривалість зберігання якнайбільш
• Ваш вміст зберігається і керується в високо захищеній базі даних AWS, відокремленій та захищеній від вмісту інших клієнтів унікальним ідентифікатором команди
• Будь-яке використання інтеграторів контролюється через високо захищені, шифровані підключення API

У нас є контрольна рамка на основі контролів Центру безпеки Інтернету, яка охоплює широкий спектр вимог відповідності та гарантує, що ми зосереджені на правильних речах У нас є дев'ять окремих політик, які регулюють наступне:

• Ролі з безпеки та конфіденційності
• Управління ризиками
• Управління та захист активів
• Категоризація/Обробка/Передача даних
• Відновлення даних та неперервність бізнесу
• Управління доступом користувачів
• Люди та навчання
• Розробка продукту та управління змінами
• Відносини з постачальниками

За замовчуванням персонал Guru не має доступу до даних клієнтів. Це залишається для адміністраторів фонових процесів з підтвердженою необхідністю. Ці члени схвалені головним технічним директором під час письмового затвердження, а доступи переглядаються тричі щорічно.

Гуру серйозно ставиться до ваших потреб у медичній конфіденційності та безпеці, і хоча ми готові укласти угоду з бізнес-партнерстві щодо відповідності стандартам HIPAA, спочатку ми попросимо вас розглянути ймовірність того, що платформа Гуру коли-небудь буде споживати, обробляти або зберігати електронну обмежену інформацію про здоров'я. Якщо ви вважаєте, що існує розумна ймовірність того, що такі особисті дані потраплять в систему, ми готові надати типову угоду BAA як гарантію підписання Гуру, що ми будемо дотримуватися відповідних вимог від HHS з метою захисту ваших даних.

Будь-який постачальник, який може мати доступ до чутливих даних клієнта, зобов'язаний забезпечити зовнішню аудиторію або, як мінімум, погодитися на інтерв'ю на ризик та продемонструвати кращі практики з безпеки. Ці артефакти щорічно оновлюються для забезпечення відсутності пропуску в нагляді. Крім того, вимагається, щоб кожен постачальник уклав угоду про обробку даних та контрактно зобов'язався дотримуватися практик забезпечення безпеки даних.

Нашу публічну мережу сканують щомісяця для перевірки актуальності сертифікатів, відкритих портів та протоколів і заголовків безпеки. Наші контейнери додатків скануються через AWS перед розгортанням для виявлення та усунення вразливостей.

Так. Додаток регулярно піддається тестуванню на проникнення з боку зовнішнього агентства не менше двічі на рік для виявлення загальних вразливостей OWASP. Звіт про результати тестування доступний за запитом.

Ми щоденно копіюємо нашу базу даних та зберігаємо її в резервному сайті в повністю відокремленому регіоні. Ми щоденно проводимо перевірку цілісності цієї резервної копії, щоб переконатися, що вона буде корисною у разі потреби. Об'єктивом відновлення є 1 година, а час відновлення - 24 години.

Гуру підтримує комплексну процедуру класифікації та реагування на інциденти, двічі на рік проводячи формальне навчання по таблицях цих потенційних інцидентів. Учасники фіксують отримані уроки та постійно прагнуть зробити програму краще. Хоча це малоймовірно, про будь-яке порушення даних буде повідомлено адміністратора Гуру клієнта протягом 24 годин після підтвердження.

Забезпечення вбудовується у процес кодування, і виконується кілька перевірок для перевірки нового коду перед розгортанням. Крім того, розробники Гуру проходять спеціалізоване навчання з безпеки для усунення загальних вразливостей, таких як впровадження скриптів на віддаленому сайті та введення SQL.

Гуру повністю поважає як встановлені, так і нові правила конфіденційності, і створило необхідні процедури для підтримки прав суб'єктів даних. Гуру пропонує угоду про захист даних та контрактно зобов'язується підтримувати будь-які та всі нові правила конфіденційності згідно з придатністю до послуги. Також стороннім сторонам потрібно документувати свої зобов'язання з безпеки відповідно до законів та правил.

In addition to AWS, Guru uses some third parties to perform certain components of its operations. Only vendors who have successfully demonstrated sufficient security capabilities and commitments are authorized to support the Guru system.