LoanIntelligence.aiLoanIntelligence.ai
Вернуться к юридическому обзору

Безопасность

Как мы защищаем ваши данные

Последнее обновление: November 14, 2025

Обзор безопасности

  1. 1Нулевое хранение документов минимизирует поверхность атаки
  2. 2Клиентская зашифрованность - ваши уникальные ключи защищают ваши данные
  3. 3Автоматическая ротация ключей после каждой обработки
  4. 4Передовая технология обработки - проприетарные алгоритмы, сигнальные системы и SOC 2 Type I и Type II сертифицированные сторонние AI‑сервисы
  5. 5Фокус на качестве данных - обеспечение точности и качества данных посредством многослойной валидации
  6. 6Все данные зашифрованы на протяжении всего процесса
  7. 7Безопасность без знаний - даже если сервера скомпрометированы, ваши данные остаются зашифрованными
  8. 8Вы контролируете свои данные - хранящиеся в вашей Google Drive
  9. 9Только информационное использование - анализ точности данных, а не финансовые советы
  10. 10Соответствует GDPR, CCPA, FCRA, ECOA

Архитектура с приоритетом безопасности

Создано для конфиденциальности и безопасности

1

Нулевое хранение документов

Ваши документы НЕ хранятся на наших серверах. Документы обрабатываются в реальном времени во время каждой обработки, затем немедленно удаляются. Это устраняет самый крупный вектор атаки: хранимые данные документов. Результаты обработки шифруются с использованием ваших пользовательских ключей и хранятся в вашем Google Drive AppData.

2

Обработка без состояния

Каждый запрос API является независимым. Данные сессии не сохраняются после выполнения запроса. Минимальная поверхность атаки.

3

Изоляция запроса

Профессиональные и корпоративные уровни используют выделенные экземпляры с изоляцией сети, чтобы предотвратить утечку данных между клиентами.

Данные в пути

1

Шифрование HTTPS/TLS

Все запросы и ответы API шифруются с использованием TLS 1.3. Ненешифрованный HTTP-трафик не принимается.

2

SSL-сертификаты

Действительные SSL-сертификаты от доверенных центров сертификации. Автоматическое продление и мониторинг.

3

API Безопасность

API ключи передаются через безопасные заголовки. Ограничение частоты предотвращает злоупотребления и атаки DoS.

Аутентификация и авторизация

1

OAuth 2.0

Google OAuth для аутентификации пользователей. Мы никогда не храним пароли. Токены OAuth шифруются с помощью AES-256.

2

Безопасные сессии

Куки сессии с флагами httpOnly и secure. 7-дневный срок действия с автоматическим обновлением. Защита от CSRF включена.

3

API Управление ключами

API ключи хэшируются перед хранением. Меняйте ключи в любое время с панели управления. Ключи ограничены конкретными правами.

4

Многофакторная аутентификация

MFA доступна для корпоративных аккаунтов. 2FA аккаунта Google защищает все логины OAuth.

Данные в покое

Архитектура шифрования, специфичная для клиента

1

Документы

НЕ хранится на наших серверах. Удаляется сразу после обработки. Нулевая сохранность документов.

2

Результаты обработки

Зашифровано с помощью ваших пользовательских ключей и хранится в YOUR Google Drive AppData. Мы не можем получить доступ к вашим зашифрованным данным без ваших OAuth разрешений.

3

Ключи шифрования

Пользовательские ключи хранятся в YOUR Google Drive AppData. Автоматически ротация после каждого запуска обработки. Старые ключи отбрасываются.

4

Данные аккаунта

Электронная почта, имя, ID клиента Stripe хранятся в зашифрованной базе данных. Шифрование AES-256 в состоянии покоя.

5

OAuth токены

Google OAuth токены обновления зашифрованы AES-256 перед сохранением. Токены доступа хранятся в памяти только во время синхронизации Drive.

6

Логи

Логи ошибок и метрики использования не содержат содержимое документов. Хранятся не более 30 дней. Зашифрованы в состоянии покоя.

Безопасность сторонних организаций

1

Stripe (обработка платежей)

Сертифицировано PCI DSS Уровень 1. Мы никогда не видим номера кредитных карт. Хранятся только ID клиентов Stripe.

2

Google (OAuth & Drive)

OAuth 2.0 с минимальными областями доступа (drive.file, spreadsheets, drive.appdata). Пользователи могут отозвать доступ в любое время через настройки аккаунта Google. Ваши зашифрованные данные и ключи хранятся в YOUR Google Drive AppData.

3

Сторонние AI-услуги

Мы используем собственные алгоритмы и сигнальные системы для обеспечения точности и качества данных. Сторонние AI-услуги сертифицированы SOC 2 Тип I и Тип II, договором запрещено использовать ваши данные для обучения и обрабатывают данные эфемерно с шифрованием при передаче.

Контроль доступа

1

Принцип минимальных привилегий

Сотрудники имеют минимальный доступ, необходимый для их роли. Сотрудник не имеет доступа к документам клиентов (они не хранятся).

2

Аудит логов

Все административные действия записываются в лог. Логи доступа регулярно проверяются на наличие аномалий.

3

Разделение обязанностей

Окружения разработки, подготовки и продакшн изолированы. Доступ к продакшн ограничен командой эксплуатации.

Мониторинг и реагирование на инциденты

1

Обнаружение угроз

Автоматический мониторинг подозрительной активности, неудачных попыток входа и API злоупотреблений. Уведомления в реальном времени о событиях безопасности.

2

План реагирования на инциденты

Документированные процедуры для инцидентов безопасности. Команда реагирования на вызов 24/7 для уровня Enterprise.

3

Уведомление о нарушении

Если произойдет нарушение данных, затронутые пользователи будут уведомлены в течение 72 часов. Соответствие GDPR и законам штатов об уведомлении о нарушении.

Соответствие и сертификаты

1

Соответствие GDPR

Доступны соглашения о обработке данных. Архитектура с нулевой удерживаемостью упрощает соблюдение требований. Право на удаление автоматическое (удалить аккаунт = удалить данные).

2

Соответствие CCPA

Мы не продаем персональную информацию. Жители Калифорнии имеют право на доступ и удаление данных.

3

SOC 2 Тип II (План)

Формальный аудит в процессе для уровня Enterprise. Текущие практики соответствуют принципам Безопасности, Доступности, Конфиденциальности.

Управление уязвимостями

1

Регулярные обновления

Зависимости и инфраструктура регулярно обновляются. Обновления безопасности применяются в течение 48 часов после раскрытия.

2

Тестирование безопасности

Регулярные тесты на проникновение и сканирование уязвимостей. Аудиты безопасности третьих сторон ежегодно.

3

Ответственное раскрытие

Сообщайте о уязвимостях безопасности [email protected]. Мы подтверждаем отчёты в течение 24 часов и предоставляем обновления каждые 72 часа.

Ваши обязанности по безопасности

Храните API ключи в секрете. При компрометации меняйте их немедленно.
Используйте сильные, уникальные пароли для своей учетной записи Google (OAuth)
Защищённые устройства, доступные к панели управления. Выходите из общих компьютеров.
Периодически проверяйте разрешения Google OAuth . Отозвать доступ, если он больше не нужен.
Незамедлительно сообщайте о подозрительной активности [email protected].

Нужна помощь?

Нужна помощь по безопасности?

Обратитесь в нашу юридическую и службу безопасности по адресу [email protected] для раскрытия инцидентов или вопросов соответствия.

[email protected]

Мы отвечаем в течение одного рабочего дня.