פרוטוקול אבטחה

• הגנה בעומק

  אנו שוזרים בקרות אבטחה מרובות על פני תשתיות, קוד יישום ותהליכים ארגוניים. שום בקרה בודדת אינה נחשבת מספקת כשלעצמה.

• פרטיות מובנית

  הגנת הנתונים משולבת משלבי הפיתוח המוקדמים ביותר של המוצר, ולא מוסיפה בדיעבד.

• גישת הרשאות מינימליות

  גישה פנימית למערכות ולנתונים מוגבלת למינימום הנחוץ לכל תפקיד. הרשאות נבדקות ומותאמות בהתאם לשינויים באחריות.

• הצפנה בתעבורה

  נתונים המוחלפים בין משתמשים לשירותינו מועברים דרך חיבורים מוצפנים ב-TLS.

• הצפנה באחסון

  נתונים רגישים המאוחסנים במערכות שלנו מוצפנים בשכבת האחסון באמצעות אלגוריתמים תעשייתיים סטנדרטיים (AES-256 כאשר נתמך על ידי ספק הענן שלנו).

• בקרת גישה מבוססת תפקיד

  הפלטפורמה אוכפת הרשאות מבוססות תפקיד. גישה פנימית לנתוני ייצור מוגבלת לצוות שאחריותו מחייבת זאת במפורש.

• בקרות אימות

  חשבונות משתמש מוגנים על ידי אימות סטנדרטי. גישה מנהלתית פנימית מחייבת אמצעי אימות נוספים.

המחויבות האמון החזקה ביותר של הפלטפורמה כלפי המשתמש היא שעוזר ה-AI אינו רואה את קבצי הראיות שהועלו.

• העיקרון המאושר

  ראיות גולמיות שהועלו אינן נשלחות כברירת מחדל לספקי AI חיצוניים. תכניהם של מסמכים, תמונות וקובצי PDF שהועלו אינם מועברים לשירותי AI של צד שלישי לשם בדיקה או ניתוח ב-v1.

• מה ה-AI מקבל

  עוזר הקליטה מקבל טקסט שהוקלד על ידי המשתמש לאחר סינון, אותות זרימת עבודה ומטא-נתוני קבצים מצורפים מוגבלים — כמות, שמות קבצים, סוגי תוכן, גדלים וסיווג סוג דטרמיניסטי (כגון "דומה לחשבונית" או "דומה לקבלה"). הוא אינו מקבל תכני קבצים.

• סינון PII לפני קריאות AI

  הטקסט שהוקלד על ידי המשתמש עובר דרך מסנן שמסתיר דפוסים אישיים מזוהים (כגון שמות, כתובות דוא"ל, מספרי טלפון, מזהים ומספרי כרטיסים) לפני כל בקשת AI חיצונית.

• בניית פרומפט מבוססת רשימת היתרים

  קלטים ל-AI נבנים מסכמה סגורה, ולא על ידי הסרת שדות מעומסי נתונים שרירותיים של משתמשים. הוספת שדה חדש לסכמה זו מחייבת סקירת קוד מפורשת.

• כיוון עתידי

  חילוץ טקסט מסמכים מקומי עשוי להתווסף בגרסה עתידית. במקרה כזה, העיבוד נועד להישאר בתוך תשתית הפלטפורמה שלנו, ורק עובדות מובנות ממוזערות ומעורפלות עשויות להיות מועברות לשירותי AI חיצוניים.

• תשתית ענן מבוקרת

  הפלטפורמה שלנו פועלת על תשתית ענן ארגונית (AWS) עם יתירות על פני אזורי זמינות. תצורת רשת, תפקידי גישה והצפנת אחסון מנוהלים תחת חשבון הענן שלנו.

• הפרדה בין אתר לפלטפורמה

  האתר השיווקי הציבורי והפלטפורמה המאומתת פרוסים כמשטחים נפרדים עם מארחים ייחודיים. עוגיית הסשן של הפלטפורמה היא host-only ואינה ניתנת לקריאה ממארח השיווק.

• ניטור אבטחה

  אנו משתמשים בכלים אוטומטיים לסריקת פעילות חריגה ודפוסי פגיעות ידועים על פני התשתיות ושכבת היישום שלנו.

• רישום ביקורת

  פעולות מנהלתיות ואירועי מערכת משמעותיים נרשמים ונשמרים. היומנים מוגנים מפני שינוי בלתי מורשה.

• תהליך מוגדר

  אנו פועלים לפי תהליך מוגדר המכסה זיהוי, בלימה, חקירה ותיקון. ממצאים מניעים הן תיקונים מיידיים והן שיפורים ארוכי-טווח.

• הודעה ללקוחות

  לקוחות מושפעים מקבלים הודעה בהתאם לחובות החוזיות שלנו ולדרישות המשפטיות החלות.

• דיווח על פגיעויות

  פעילות חשודה או חששות אבטחה פוטנציאליים ניתן לדווח לכתובת security@settled.com. דוחות נבחנים בתום לב.

אנו מתארים את עמדת הציות שלנו בשפה ברורה. כאשר הסמכה אינה קיימת עדיין, אנו אומרים זאת.

• מוכנות ל-SOC 2

  Settled מתוכננת עם שיטות מוכנות ל-SOC 2 בתשומת לב. איננו מוסמכים כרגע ב-SOC 2 Type II. נעדכן עמוד זה אם ומתי תושלם ביקורת.

• יישור ל-GDPR

  אנו מתכננים את הפלטפורמה סביב מינימיזציית נתונים בגישה המיושרת עם GDPR ושואפים לכבד את זכויות נושאי הנתונים בהתאם לעקרונות GDPR כאשר ישים.

• עמדת CCPA

  אנו מכבדים בקשות נושאי נתונים המיושרות עם עקרונות CCPA כאשר ישים.

• ISO 27001

  אנו בוחנים יישור ל-ISO 27001 כחלק ממפת הדרכים לאבטחה שלנו. איננו מוסמכים כרגע ב-ISO 27001.

• הגנה על פרטי גישה

  המשתמשים אחראים לשמור על סודיות פרטי הכניסה שלהם. אסור לשתף פרטי כניסה עם אחרים.

• שלמות המסמכים

  המשתמשים אחראים להבטיח שמסמכים שהועלו לפלטפורמה מדויקים, מורשים וחופשיים מתכנים זדוניים.

• דיווח על תקריות

  יש לדווח מיידית על פעילות חשודה או חששות אבטחה פוטנציאליים לכתובת security@settled.com. כל הדוחות נבחנים.