Datenschutzrichtlinie für Rask AI
Brask Inc.
Zweck
In dieser Politik werden Verfahren und technische Kontrollen für den Datenschutz dargelegt.
Umfang
Produktionssysteme, die Rask AI-Kundendaten verarbeiten, müssen diese Richtlinie befolgen.
Definitionen
Produktionsdaten: Daten, die aktiv für den Geschäftsbetrieb und die Kundenbetreuung genutzt und gepflegt werden.
Produktionssysteme: Systeme und Infrastruktur, die Rask AI-Kundendaten erstellen, empfangen, speichern oder übertragen.
Rollen und Zuständigkeiten
Die Abteilung Infrastruktur von Brask ML pflegt und aktualisiert diese Richtlinie. Der CEO und die Rechtsabteilung genehmigen diese Richtlinie und alle Änderungen.
Politik
Die Brask-Politik verlangt dies:
- Behandlung und Schutz von Daten entsprechend der Klassifizierung und den genehmigten Verschlüsselungsstandards.
- Speichern Sie Daten der gleichen Klassifizierung zusammen; vermeiden Sie die Vermischung von sensiblen und nicht sensiblen Daten. Wenden Sie Sicherheitskontrollen auf der Grundlage der höchsten Klassifizierung in einem Repository an.
- Die Mitarbeiter haben keinen direkten administrativen Zugang zu den Produktionsdaten, außer in Notfällen (z. B. forensische Analyse, Wiederherstellung nach einem Notfall).
- Deaktivieren Sie unnötige Dienste auf allen Produktionssystemen.
- Protokollieren Sie alle Zugriffe auf die Produktionssysteme.
- Aktivieren Sie die Sicherheitsüberwachung auf allen Produktionssystemen (Überwachung von Aktivitäten und Dateiintegrität, Schwachstellen-Scans, Malware-Erkennung).
Umsetzung und Verfahren des Datenschutzes
Schutz von Kundendaten
Rask AI nutzt AWS, wobei die Daten zur Redundanz und Notfallwiederherstellung über mehrere Regionen repliziert werden.
Die Mitarbeiter von Brask befolgen diese Prozesse zum Schutz der Produktionsdaten:
- Durchführung und Überprüfung von Kontrollen zur Verhinderung einer unzulässigen Änderung oder Zerstörung.
- Speicherung vertraulicher Daten zur Unterstützung von Zugriffsprotokollen und automatischer Sicherheitsüberwachung.
- Segmentierung und Beschränkung des Zugriffs auf Kundenproduktionsdaten auf autorisierte Kunden.
- Verschlüsseln Sie alle Produktionsdaten im Ruhezustand mit von Brask verwalteten Schlüsseln.
- Schützen Sie Verschlüsselungsschlüssel und Schlüssel generierende Maschinen vor unbefugtem Zugriff; nur privilegierte Konten können auf Schlüsselmaterial zugreifen.
Zugang
Der Zugang der Mitarbeiter zur Produktion ist standardmäßig deaktiviert und muss genehmigt werden. Vorübergehender Zugang wird nach Bedarf gewährt und von Fall zu Fall vom Sicherheitsteam überprüft.
Trennung
- Kundendaten werden auf Datenbank-/Datenspeicherebene durch eindeutige Kundenkennungen logisch getrennt.
- Die API-Schicht erzwingt die Trennung, indem sie eine Client-Authentifizierung mit einem ausgewählten Konto verlangt.
- Nach der Authentifizierung wird die eindeutige Kennung des Kunden in das Zugriffstoken aufgenommen.
- Die API verwendet dieses Token, um den Datenzugriff auf das authentifizierte Konto zu beschränken.
- Alle Datenbank-/Datenspeicherabfragen enthalten die Kontokennung, um eine ordnungsgemäße Datentrennung zu gewährleisten.
Überwachung
Rask AI verwendet Amazon CloudWatch zur Überwachung von Cloud-Diensten. Im Falle eines Systemausfalls werden wichtige Mitarbeiter per Text, Chat oder E-Mail benachrichtigt, um Abhilfe zu schaffen.
Vertraulichkeits-/Non-Disclosure-Vereinbarung (NDA)
Brask verwendet NDAs zum Schutz vertraulicher Informationen mit rechtlich durchsetzbaren Bedingungen, die für interne und externe Parteien gelten. Schlüsselelemente umfassen:
- Definition von Informationen
- Dauer der Vereinbarung
- Maßnahmen bei Beendigung
- Verantwortlichkeiten zur Verhinderung unbefugter Offenlegung
- Eigentumsrechte an Informationen und geistigem Eigentum
- Zulässige Nutzung und Rechte
- Audit- und Überwachungstätigkeiten
- Meldung unzulässiger Offenlegungen
- Rückgabe oder Vernichtung von Informationen bei Kündigung
- Klagen wegen Verletzung der Vereinbarung
- Regelmäßige Überprüfung
Daten im Ruhezustand
Verschlüsselung
Verschlüsseln Sie alle Datenbanken, Datenspeicher und Dateisysteme gemäß der Rask AI-Verschlüsselungsrichtlinie.
Vorratsspeicherung
Kategorisierung der gespeicherten Daten und Anwendung eines Aufbewahrungsplans gemäß Rask AI Asset Management and Data Retention Policies.
Überlegungen zur Aufbewahrung:
- Gesetzliche und vertragliche Anforderungen
- Datentyp (z. B. Buchungsdatensätze, Datenbankdatensätze, Prüfprotokolle)
- Art des Speichermediums (z. B. Papier, Festplatte, Server)
Lagerung und Entsorgung
Ordnungsgemäße Speicherung und Handhabung von Daten im Ruhezustand. Dazu gehören Überlegungen:
- Berechtigung für Zugang und Verwaltung
- Identifizierung von Aufzeichnungen und Aufbewahrungsfristen
- Technologieänderungen und Zugang während der Aufbewahrung
- Zeitrahmen und Format des Abrufs
- Methoden der Beseitigung
Löschung von Daten
Ordnungsgemäße Löschung sensibler Daten, wenn sie nicht mehr benötigt werden, in Übereinstimmung mit den Geschäftszielen von Brask, Gesetzen und Vereinbarungen mit Dritten. Führen Sie Aufzeichnungen über die Löschung.
Daten im Transit
Notwendigkeit
Übertragen Sie Daten nur dann, wenn dies für Geschäftsprozesse unbedingt erforderlich ist.
Transfer-Faktoren
Bei der Wahl der Datenübertragungsmethode ist Folgendes zu beachten:
- Art, Sensibilität, Vertraulichkeit und Wert der Informationen
- Größe der Daten
- Auswirkungen eines möglichen Datenverlusts
Verschlüsselung
Gewährleistung der Sicherheit der Daten bei der Übertragung:
- Verschlüsselung aller externen Übertragungen Ende-zu-Ende mit von Brask verwalteten Schlüsseln, auch bei Cloud- und Drittanbietern.
- Verwendung von sicheren Protokollen, Schlüsselaustausch und Chiffren für Internet- und Intranetverbindungen.
Messaging-Kanäle für Endbenutzer
Eingeschränkte und sensible Daten dürfen nicht über elektronische Endbenutzer-Nachrichtenkanäle wie E-Mail oder Chat versendet werden, es sei denn, die End-to-End-Verschlüsselung ist aktiviert.