25 procurement вопросов для AI chatbot vendors

В каких регионах клиентские данные хранятся at rest?

SLAtech: Microsoft Azure West Europe (primary) и North Europe (failover). EU-only по умолчанию. Single-tenant Enterprise deployments могут быть pinned к одному региону.

Какие sub-processors обрабатывают клиентские данные и где?

SLAtech: OpenAI (США, LLM inference), Cohere (Канада, опциональный re-ranking), Sentry (США, ошибки), Cloudflare (глобальный edge, WAF / CDN), SendGrid (США, transactional email). Полный список на /ru/sub-processors/ — обновляется в течение 14 дней с изменения.

Какие standard contractual clauses регулируют transfers за пределы EEA?

SLAtech: SCC 2021/914 — текущий European Commission template. Transfer-impact assessment доступен по запросу.

Можно ли pin'ить data residency к одному региону?

SLAtech: Да — Enterprise tier предлагает single-tenant deployment, pinned к одному Azure региону. Multi-tenant tiers (Starter / Pro) auto-failover внутри EU.

Хранятся ли backups в том же регионе, что и primary data?

SLAtech: Да. Daily backups с 35-day retention; point-in-time recovery в течение последних 24 часов. Регион backup совпадает с primary, если клиент не pin'ит иначе.

Соответствует ли vendor SOC 2?

SLAtech: Type I report планируется на Q3 2026; Type II — Q2 2027. Операционные controls на /ru/security/ независимо аудируемы по запросу.

Сертифицирован ли vendor ISO 27001?

SLAtech: Сертификация планируется на Q4 2026. Scope ISMS = production infrastructure + customer-data processing systems.

Является ли vendor HIPAA BAA-eligible?

SLAtech: Да — на Enterprise tier с single-tenant deployment. Стандартный BAA template доступен через [email protected].

Vendor GDPR-compliant и подпишет DPA?

SLAtech: Да — DPA подписывается при регистрации Enterprise; стандартный DPA template доступен для review.

Как управляется PCI-DSS scope vendor'а?

SLAtech: SLAtech не хранит, не обрабатывает и не передаёт cardholder data — платежи обрабатываются Paddle / RewirePay (PCI-DSS Level 1 providers). SAQ-A применим.

Опишите encryption at rest и in transit.

SLAtech: AES-256-GCM at rest, TLS 1.2+ in transit с HSTS preload. Key rotation — ежегодно + при кадровых изменениях.

Опишите identity, authentication и authorization controls.

SLAtech: Argon2id password hashing, per-tenant password policy, RBAC, audit log админ-действий. SAML SSO — Enterprise tier (Okta, OneLogin, Azure AD, Google Workspace).

Опишите vulnerability management program.

SLAtech: Dependabot dependency updates в production, GitHub CodeQL static analysis на каждом PR, ежегодный external pen test (следующий Q4 2026), coordinated vulnerability disclosure policy.

Как detect'ятся и notify'ятся security incidents?

SLAtech: Sentry на каждом backend сервисе с PII scrubbing, synthetic transaction monitoring c 5-минутной cadence, real-time status page на status.slatech.ai. Incident-notification SLA: в течение 24 часов для significant incidents (NIS2 alignment).

Какая модель ценообразования?

SLAtech: Flat-tier pricing: Starter €39/мес, Pro €89/мес, Scale €199/мес, Enterprise custom. Conversation count — unlimited в разумных пределах. Никаких per-resolution или per-message billings.

Доступен ли 14-дневный free trial?

SLAtech: Да — без credit card. Trial конвертируется в Starter / Pro / Scale по выбору покупателя.

Что включено в стандартный MSA?

SLAtech: GDPR-compliant DPA, sub-processor list, SCC 2021/914 references, 99.9% uptime SLA с service credits на Enterprise tier.

Какая termination и data-export policy?

SLAtech: Termination для удобства с 30-дневным notice. При termination клиентские данные exportable в течение 90 дней (Markdown / JSON knowledge content + JSONL conversation history). Затем permanently deleted.

Типичное time-to-first-widget-live?

SLAtech: 10-30 минут self-service для web widget. WhatsApp Business + Telegram добавляют ещё 20 минут. Implementation-consultant engagement не требуется.

Какие интеграции поставляются из коробки?

SLAtech: Telegram, WhatsApp Business (Cloud API), Shopify, Google Calendar, Zapier, generic JSON-POST webhook (для in-house CRMs). HubSpot, Salesforce и Pipedrive — first-class на Pro tier.

Какие knowledge форматы поддерживаются для ingest?

SLAtech: PDF, DOCX, plain text, Markdown, scraped web pages, FAQ-pair upload, manual article authoring. Chunking + embedding — Worker job; reconciliation — nightly.

Revenue runway / financial transparency vendor'а?

SLAtech: Privately-held; founder-led. Customer-data export-rights переживают vendor solvency events согласно continuity clause в MSA.

Какая disaster-recovery posture?

SLAtech: RTO 4 часа, RPO 1 час. Daily backups с 35-day retention; multi-region failover внутри EU. DR runbook тестируется quarterly.

Как управляется concentration risk на LLM providers?

SLAtech: Multi-provider abstraction layer — OpenAI primary, Anthropic / Cohere доступны на Enterprise tier для failover или per-tenant pin. Provider switching не требует customer-side migration.

Как detect'ятся eval / quality regressions?

SLAtech: Per-vertical eval harness работает nightly против sealed 200-question test set. Score regressions ≥3 points триггерят manual triage. Публичный scoreboard на /ru/eval/.