Политика безопасности BaseMind

1. Цель и область действия

Настоящая Политика определяет организационные и технические меры, применяемые компанией BaseMind для защиты информации и персональных данных клиентов, пользователей и сотрудников при обработке диалогов, формировании баз знаний и интеграции с чат‑ботами и внешними системами.

2. Термины

• Информация ограниченного доступа — информация, к которой установлен ограниченный доступ (в т.ч. персональные данные).
• Обработка данных — любые действия с данными: сбор, запись, систематизация, хранение, обезличивание, передача, удаление.

3. Роли и ответственность

• Ответственный за безопасность назначается приказом и координирует внедрение мер.
• Доступ сотрудников предоставляется по принципу минимально необходимого (Least Privilege).
• Все сотрудники проходят онбординг по безопасности и ежегодное переобучение.

4. Классификация и хранение данных

• Классы: публичные, служебные, конфиденциальные (включая ПДн).
• Конфиденциальные данные хранятся в зашифрованном виде (в покое и при передаче).
• Резервные копии создаются регулярно; хранение — в изолированном хранилище с контролем доступа.

5. Технические меры защиты

• Шифрование tTLS 1.2+ в транзите; AES‑256/ключи KMS в покое.
• MFA для административных аккаунтов; SSO/OAuth2 для пользователей, где доступно.
• Сегментация сетей; минимизация открытых портов; WAF/Reverse Proxy.
• Журналы аудита доступа и действий; ретенция не менее 90 дней.
• Изоляция сред (prod/stage/dev); принцип «Infrastructure as Code».

6. Управление уязвимостями и обновления

• Регулярные обновления ОС/библиотек; мониторинг CVE.
• Пентесты и сканирование уязвимостей по графику; устранение согласно приоритетам (Critical — немедленно).

7. Инциденты и уведомления

• Имеется процедура реагирования (IRP): выявление, изоляция, анализ причин, восстановление, пост‑мортем.
• При инцидентах, затрагивающих ПДн, уведомление клиентов и регуляторов осуществляется в сроки, требуемые законодательством.

8. Обмен данными с третьими лицами

• Передача возможна по договору и при наличии достаточных мер безопасности у получателя.
• Сервис‑провайдеры проходят оценку и подписывают соглашения о конфиденциальности и обработке ПДн (DPA).

9. Сроки хранения и уничтожение

Сроки хранения определяются целями обработки и требованиями закона. По истечении сроков данные обезличиваются либо безвозвратно удаляются.

10. Контакты

По вопросам безопасности: security@basemind.tech

Отказ от ответственности

Этот документ предоставлен для информационных целей и не является юридической консультацией. Для обеспечения соответствия требованиям вашего сектора может потребоваться адаптация.