Безопасность в Lucid

Сертификаты, актуальную документацию по безопасности и ответы на часто задаваемые вопросы можно моментально найти в центре доверия Lucid. Здесь хранится наша документация по SOC 2, CAIQ и SIG, а также более 30 других документов.

Компания Lucid прекрасно понимает, что ваши данные — ценный актив, который обязательно нужно защищать. Предлагаем вашему вниманию белую книгу о том, как наши правила и процедуры безопасности стоят на страже данных клиентов в Lucidchart, Lucidspark и Lucidscale.

Компания Lucid не претендует на права на содержимое ваших файлов. Право интеллектуальной собственности и другие права на ваши документы и содержащуюся в них информацию сохраняются за вами. Мы уважаем неприкосновенность вашей информации и ни в коем случае не размещаем ваши файлы в открытом пространстве без вашего согласия.

В целях защиты вашей информации передача всех данных между пользовательскими устройствами и серверами Lucid производится посредством соединения TLS 1.2 с применением 256-битного шифрования и сертификата поставщика мирового класса. Чтобы обезопасить всю хранимую в приложении информацию, Lucid также осуществляет шифрование неактивных данных (AES-256). Для охраны информации на платформах Lucid применяются криптографические ключи, защищенные системой управления ключами Amazon (Key Management Services).

Компания Lucid строго соблюдает закон штата Калифорния о защите персональных данных потребителей (California Consumer Privacy Act, или CCPA) и Общий регламент по защите данных (GDPR), а также следит за применением одобренных механизмов работы с данными (например, стандартных положений о защите данных в составе GDPR или рамочных соглашений о правилах передачи персональных данных между ЕС и США, или EU-U.S. Data Privacy Framework) при передаче личной информации пользователей из Европейской экономической зоны (ЕЭЗ), Великобритании и Швейцарии в США. Вдобавок к этому, при передаче личной информации из ЕЭЗ, Великобритании и Швейцарии в США все наши субподрядчики по обработке данных придерживаются вышеозначенных рамочных соглашений Data Privacy Framework либо стандартных положений или обязательных корпоративных правил GDPR. Компания Lucid также обладает сертификатом ISO 27701.

Полезные ресурсы:

• Политика конфиденциальности
• Условия предоставления услуг
• Дополнение по обработке данных (для корпоративных клиентов)
• Часто задаваемые вопросы

Мы знаем, что данные, хранящиеся в облаке, требуют особой защиты. Поэтому протокол безопасности Lucidscale включает меры по охране данных и предоставлению доступа к ним только тем, кому он положен. Lucidscale придерживается передовых методов охраны данных на всех трех интегрированных облачных платформах — AWS, Azure и Google Cloud.

Приглашаем вас ознакомиться с дополнительной информацией о стороннем доступе, разрешениях, идентификаторах пользователей и правилах хранения данных в AWS, Azure и Google Cloud.

Компания Lucid соблюдает применимые местные и международные правила работы с данными и располагает актуальными сертификатами соответствия, в числе которых:

• SOC 2 второго типа (системный и организационный контроль);
• PCI (стандарт сферы платежных карт);
• Data Privacy Framework (рамочные соглашения о правилах передачи персональных данных между ЕС/Швейцарией и США);
• FedRAMP (Федеральная программа управления рисками и авторизацией, США);
• ISO 27001 (стандарт информационной безопасности);
• ISO 27701 (стандарт информационной безопасности);
• Cloud Application Security Assessment, или CASA (оценка безопасности облачных приложений);
• уровень PROTECTED («защищено») в рамках австралийской программы аккредитации IRAP. 

Безопасность ваших данных — один из главнейших приоритетов Lucid, поэтому на защиту наших систем, процессов и рычагов управления выделена целая команда сотрудников. Платформа Lucid работает на базе Amazon Web Services (AWS) — ведущего поставщика надежной вычислительной инфраструктуры в нашей области.
Мы выбрали AWS за жесткий контроль безопасности, в частности: 

• аудит по стандарту SOC 2, 
• сертификат поставщика услуг первого уровня согласно стандарту безопасности данных (DSS) в сфере платежных карт (PCI),
• сертификат ISO 27001,   
• разрешение на ведение деятельности умеренного уровня по стандартам Управления общих служб США и Федерального закона о модернизации информационной безопасности (FISMA),
• разрешение FedRAMP (средний уровень риска).

С процедурами защиты данных, принятыми в AWS, можно подробнее ознакомиться в документации по безопасности и исполнению стандартов.

Безопасный доступ к сервисам Lucid предоставляется в любое время, с любого устройства и в любом месте. Lucid гарантирует корпоративным клиентам аптайм 99,9%. Эта цифра достигается путем репликации документов, сведений об учетных записях, списков контроля доступа и других постоянных данных в нескольких зонах доступности с использованием стандартных отраслевых систем управления базами данных и решений для аварийного переключения.

Корпоративным клиентам Lucid предлагает функции, позволяющие держать учетные записи под контролем для более строгого исполнения стандартов работы с данными. В их числе — ограничение на передачу документов, а также списки разрешенных IP-адресов и доменов.

Мы строго придерживаемся передовых методов защиты информации, в частности, принципа минимальных привилегий. Опираясь на простую систему выдачи прав на основе ролей, Lucid дает администраторам возможность контролировать доступ пользователей к документам в пределах вашей учетной записи. А наши инструменты позволяют администраторам аккаунтов и рабочих команд интегрировать наш сервис с предпочитаемыми платформами управления идентификацией и держать под контролем настройки совместной работы.

Lucid позволяет сторонним исследователям выявлять ошибки в наших приложениях и оповещать нас о них через программу «баг-баунти» на платформе HackerOne. Чтобы вступить в программу, отправьте свое имя пользователя в HackerOne на адрес security@lucid.co.

Если вы обнаружили ошибку в безопасности наших приложений, вместо отчета через HackerOne вы можете отправить информацию нам напрямую: security@lucid.co, однако вознаграждения за «пойманные» ошибки начисляются только по программе на HackerOne.

Enterprise Shield — специальное дополнение для корпоративных клиентов Lucid и учетных записей с сертификацией FedRAMP. Оно обеспечивает повышенный уровень безопасности и строгий контроль для и без того крайне надежной платформы Lucid.

Enterprise Shield открывает администраторам расширенные возможности для защиты важных данных, контроля доступа к содержимому и более строгого соблюдения рабочих стандартов.

Компания Lucid исправно следит за безопасностью инструментов искусственного интеллекта (ИИ) в составе своей платформы. Функции ИИ предоставляются на факультативной основе, и пользователи вправе в любой момент отказаться от их применения. Функции генеративного ИИ в составе платформы Lucid опираются на службу Microsoft Azure OpenAI. Наше сотрудничество со службой Microsoft Azure OpenAI подразумевает хранение входных и выходных данных генеративного ИИ на ограниченный срок, позволяющий нам обеспечивать работу функций платформы и исполнять необходимые стандарты, уделяя при этом первостепенное внимание охране конфиденциальности пользователей.

Данные клиентов ни в коем случае не применяются для обучения генеративных ИИ-моделей, доступных третьим сторонам. Компания Lucid хранит пользовательские запросы и ответы от ИИ в анонимизированной обезличенной форме в целях внутренней обработки и анализа ошибок и следит за тем, чтобы вышеозначенные материалы не были напрямую связаны с конкретными пользователями или документами Lucid. Компании Lucid и Microsoft придерживаются строжайших правил разграничения пользовательских данных и процессов обучения ИИ-моделей и следят за тем, чтобы данные клиентов существовали обособленно и применялись исключительно по назначению. Обе компании также соблюдают высочайшие стандарты охраны информации и защиты конфиденциальности пользователей.