Ваши артефакт соответствияы, в одном месте
Сертификации, отчёты аудита, DPA, список субпроцессоров и практики обработки данных. Большинство артефактов доступны корпоративным клиентам в течение одного рабочего дня после NDA.
Сертификации и регистрации
Подтверждённые независимыми аудиторами и регуляторами.
SOC 2 Type II
Ежегодный аудит независимой CPA-фирмой. Покрывает security, availability, confidentiality. Отчёт — под NDA.
ISO/IEC 27001:2022
Сертифицированная СУИБ. Сертификат обновляется ежегодно и доступен публично.
152-ФЗ · Роскомнадзор · GDPR
Оператор в реестре Роскомнадзора, метки соответствия per-request, DPA со всеми корпоративными клиентами.
Ежегодный pentest
Внешний pentest от аккредитованной фирмы. Scope и методология — под NDA, summary доступен корпоративным клиентам.
Артефакты
Что мы предоставляем корпоративным клиентам и в каком формате.
| Артефакт | Доступ | Формат |
|---|---|---|
| SOC 2 Type II — годовой отчёт | Под NDA | PDF (150+ страниц) |
| ISO/IEC 27001:2022 — сертификат | Публично | |
| ISO 27001 — statement of applicability | Под NDA | |
| Ежегодный пентест — итоговый отчёт | Под NDA | PDF + список CVE |
| DPA (обработчик данных) | Под договором | Word, подписание КЭП |
| Subprocessor list | Публично | JSON + RSS для уведомлений |
| Security overview pack | По запросу | PDF (архитектура, процессы, контроли) |
| Penetration test — scope & methodology | Под NDA |
Как мы обращаемся с данными
Короткие ответы на вопросы, которые чаще всего задают команды безопасности.
Где физически хранятся данные?
В дата-центрах на территории Российской Федерации. Прод, бэкапы, логи, биллинг — всё в российских ЦОДах. Трансграничная передача — только при явном выборе клиентом иностранного провайдера модели и с соответствующими договорными гарантиями.
Сколько хранятся запросы?
Содержимое prompts и completions — 30 дней для отладки и регуляторного аудита. Метаданные (ID, tokens, cost) — 5 лет по налоговому законодательству РФ.
Используете ли вы наши данные для обучения?
Нет. Никогда. Мы не обучаем модели на пользовательских данных. Провайдеры моделей связаны договорно не использовать данные корпоративных клиентов.
Шифрование?
TLS 1.3 в канале, AES-256 at-rest. Ключи управляются через KMS с ежемесячной ротацией и аудит-логом доступа.
Субпроцессоры?
Полный список публично опубликован. Уведомления об изменениях рассылаются корпоративным клиентам минимум за 30 дней.
Запросить пакет по безопасности
Один email — и в течение рабочего дня вы получаете NDA, DPA-шаблон и доступ к репозиторию артефактов.