A–Z
14 записей
BAA (Business Associate Agreement)
Обязательный по HIPAA контракт между covered entity (обычно healthcare provider) и vendor'ом, обрабатывающим PHI от их имени. BAA перечисляет permitted uses, security controls, SLA breach-notification и flow-down требования к subcontractors. Подписание BAA без поддерживающих controls — федеральное нарушение compliance.
SLAtech: SLAtech подписывает BAA только на Enterprise tier, где SLA-backed single-tenant инфраструктура может поддержать базовые control requirements. Запрос через [email protected].
COPPA
Children's Online Privacy Protection Act (США, 1998). Ограничивает сбор personal information от детей до 13 лет без verifiable parental consent. Применим к operators of websites или online services, ориентированных на детей, или к тем с actual knowledge сбора от детей.
SLAtech: Продукты SLAtech не ориентированы на детей до 13 лет. Клиенты SLAtech Education, обслуживающие primary-school audiences, должны обеспечить COPPA-compliant parental-consent workflows upstream от chatbot — обычно обрабатывается существующей SIS школы.
DPA (Data Processing Agreement)
Контракт, требуемый GDPR Article 28 между data controller и data processor. Специфицирует характер и цель processing, типы personal data, длительность, обязательства processor'а (confidentiality, security, sub-processors, breach notification, audit cooperation) и возврат / удаление данных по окончании контракта.
SLAtech: DPA template доступен при регистрации. Custom DPAs договариваются для Enterprise tier. Стандартный DPA ссылается на SCC 2021/914 для transfers и перечисляет всех текущих sub-processors.
FERPA
Family Educational Rights and Privacy Act (США, 1974). Ограничивает раскрытие student education records federally-funded educational institutions. Ключевое исключение: "school officials с legitimate educational interest" — под которым chatbot vendor может быть covered, если контракт обозначает их как school official.
SLAtech: Контракты SLAtech Education включают FERPA school-official designation language где применимо. PII (student names, IDs, grades) редактируется at ingest до LLM вызовов; transcripts логируются только с aggregate metadata.
GDPR
General Data Protection Regulation (EU 2016/679). Регулирует обработку personal data резидентов EU независимо от местоположения controller или processor. Статьи 6 (lawful basis), 7 (consent), 17 (right to erasure), 28 (processor obligations) и 32 (security of processing) наиболее релевантны chatbot vendors.
SLAtech: GDPR-compliant by default: EU-hosted инфраструктура (Azure West/North Europe), DPA подписывается при регистрации на Enterprise, DSR portal в админ-платформе, список sub-processors на /ru/sub-processors/, SCC 2021/914 для transfers за пределы EEA.
HIPAA
Health Insurance Portability and Accountability Act (США, 1996). Регулирует обращение с protected health information (PHI) covered entities и их business associates. Требует административные, физические и технические защитные меры: access control, audit trails, шифрование at rest и in transit, уведомление о breach в течение 60 дней.
SLAtech: SLAtech Medical — BAA-eligible на Enterprise tier с опцией single-tenant deployment. Multi-tenant tiers (Starter/Pro) не покрыты BAA — подходят для non-PHI workloads (intake до сбора clinical context).
ISO 27001
Международный стандарт для Information Security Management System (ISMS). Annex A перечисляет 93 controls в organisational, people, physical и technological доменах. Сертификация включает Stage 1 documentation audit + Stage 2 controls audit + ежегодные surveillance audits. Часто паруется с ISO 27017 (cloud-specific) и ISO 27018 (PII в облаке).
SLAtech: Сертификация ISO 27001 планируется на Q4 2026. Scope ISMS = production infrastructure + customer-data processing systems. Statement of Applicability (SoA) доступен Enterprise buyers под NDA.
NIS2
Network and Information Security Directive 2 (EU 2022/2555). Расширяет cybersecurity обязательства до broader set "essential" и "important" entities, включая digital infrastructure и managed services. Дедлайн member-state transposition был октябрь 2024; enforcement ramping в 2026.
SLAtech: SLAtech классифицирована как managed service provider под NIS2 для нескольких Enterprise клиентов. Incident-notification SLA (в течение 24 часов для significant incidents) отражено в стандартном MSA. NIS2 risk-management документация доступна designated essential-entity клиентам.
PCI-DSS
Payment Card Industry Data Security Standard. Обязателен для любой организации, хранящей, обрабатывающей или передающей cardholder data. PCI-DSS 4.0 (вступил в силу март 2025) вводит customised подход для compensating controls. SAQ-A применим к merchants, полностью аутсорсящим card handling PCI-compliant processor'у.
SLAtech: SLAtech не хранит, не обрабатывает и не передаёт cardholder data — платежи обрабатываются исключительно Paddle / RewirePay (PCI-DSS Level 1 service providers). SAQ-A применим; SLAtech работает как merchant, не как PCI entity.
PHI (Protected Health Information)
Любая идентифицируемая health information, удерживаемая или передаваемая HIPAA covered entity или business associate. Включает 18 конкретных identifiers — имя, адрес, дата рождения, medical record number, биометрические identifiers, фото лица и др. PHI redaction — типичный compliance паттерн для AI workloads, должных работать на multi-tenant инфраструктуре.
SLAtech: SLAtech Medical поставляет ingest-time PHI redactor, маскирующий national IDs, EU phone formats и medical record numbers до любого LLM вызова. Redactor работает в EU инфраструктуре; sub-processors (OpenAI, Cohere) никогда не видят сырой PHI.
SCC (Standard Contractual Clauses)
Предварительно одобренный контрактный template, опубликованный European Commission, для transfer personal data из EEA в третьи страны без adequacy decision. Текущая версия — 2021/914 (вступила в силу в июне 2021), заменяет ранние clauses 2010/87. Решение Schrems II (CJEU C-311/18) требует supplementary transfer-impact assessments вместе с SCCs.
SLAtech: Каждый transfer sub-processor SLAtech за пределы EEA (OpenAI США, Cohere Канада, Sentry США) управляется SCC 2021/914 с transfer-impact assessment, доступным по запросу.
SOC 2
Service Organization Control 2 — AICPA audit framework, оценивающий controls service organisation против пяти trust services criteria: security, availability, processing integrity, confidentiality и privacy. Type I = controls спроектированы appropriately в точке времени; Type II = controls работают эффективно в течение 6-12 месяцев.
SLAtech: Type I report планируется на Q3 2026; Type II — Q2 2027. До тех пор операционные controls на /ru/security/ независимо аудируемы по запросу. Клиенты могут запросить Trust Service Criteria mapping как pre-audit gap-analysis артефакт.
UPL (Unauthorized Practice of Law)
Common-law и statutory ограничение, лимитирующее практику права licensed attorneys. Определено по-разному в разных jurisdictions, но обычно включает legal advice, drafting legal documents и representing parties в proceedings. AI chatbots в legal vertical имеют острую UPL exposure, если отвечают на substantive legal questions без attorney review.
SLAtech: SLAtech Legal поставляет UPL safeguard, маршрутизирующий каждый substantive legal вопрос к "attorney will follow up" вместо ответа бота. Bot обрабатывает intake, qualifying questions и appointment scheduling — но никогда не legal positions.
ePHI (Electronic PHI)
PHI в электронной форме — то, что Security Rule HIPAA фактически регулирует. Security Rule требует технические защитные меры (access control, audit controls, integrity controls, transmission security) специфически для ePHI. Бумажный PHI попадает только под Privacy Rule.
SLAtech: Все health-context данные, обрабатываемые SLAtech — это ePHI по определению. AES-256-GCM at rest, TLS 1.2+ in transit, audit log админ-действий, RBAC — все базовые controls внедрены.
