Pre-filled procurement security ответы

Что audited и retained?

Все admin actions (login, role change, data export, configuration change) audit-logged с timestamp, actor, action, target. Logs retained 13 месяцев. Per-tenant audit log exportable на Enterprise tier.

→ Evidence: /ru/security/

Какие authentication механизмы поддерживаются?

Argon2id password hashing с per-tenant password policy. SAML SSO в Enterprise tier (Okta, OneLogin, Azure AD, Google Workspace). SCIM provisioning roadmapped Q1 2027. 2FA / TOTP supported across все tiers.

→ Evidence: /ru/security/

Опишите access controls.

Role-based access control (RBAC) per tenant. Repository pattern enforces ClientId partition key на compile time через static analyzer rule (SLATECH001). Cross-tenant data access — structural невозможность, не runtime check.

→ Evidence: /ru/architecture/#multi-tenant-data-isolation

Какие backup и DR capabilities?

Azure SQL daily backups с 35-day retention. Point-in-time recovery в течение последних 24 часов. Qdrant snapshot к Azure Storage nightly. Multi-region failover внутри EU (West Europe ↔ North Europe). RTO 4 часа, RPO 1 час. DR runbook тестируется quarterly с simulated region failure.

→ Evidence: /ru/architecture/#disaster-recovery-posture

Какие compliance frameworks SLAtech meets?

GDPR-compliant by default. HIPAA BAA-eligible на Enterprise tier (single-tenant). SOC 2 Type I report Q3 2026 target; Type II Q2 2027. ISO 27001 certification Q4 2026 target. PCI-DSS — SAQ-A применим (нет cardholder data stored).

→ Evidence: /ru/compliance/

Какие contract artefacts доступны?

DPA, BAA, sub-processor list, SCC 2021/914 transfer-impact assessment, SoA gap-analysis mapping, vendor questionnaire (pre-filled). Все доступно on request к [email protected]. Enterprise tier MSA customisable.

→ Evidence: /ru/rfp-template/

Может ли data residency быть pinned к specific region?

Multi-tenant tiers (Starter / Pro / Scale): EU-only by default; auto-failover внутри EU. Enterprise tier: pin к specific Azure region (West Europe или North Europe). Нет data leaves chosen region без explicit customer consent.

→ Evidence: /ru/architecture/

Как GDPR Articles 15-22 (DSR) honoured?

DSR portal в admin platform. Right of access (Article 15) — full data export в Markdown / JSON / PDF. Right к rectification (Article 16). Right к erasure (Article 17) — permanent deletion в течение 30 дней. Right к portability (Article 20) — exports в machine-readable format. Right к object (Article 21) — opt-out controls per data category.

→ Evidence: /ru/compliance/

Как data-at-rest зашифрованы?

AES-256-GCM at rest на всех storage layers (SQL Server tables, Qdrant collections, Azure Blob document storage). Encryption keys managed Azure Key Vault с annual rotation + rotation при кадровых изменениях.

→ Evidence: /ru/security/

Как data-in-transit зашифрованы?

TLS 1.2+ enforced на каждой endpoint; HSTS preload set. SSL Labs A+ rating. Internal service-to-service communication также TLS-encrypted.

→ Evidence: /ru/security/

Какая incident response procedure?

6-step procedure: detection (Sentry / synthetic) → triage (status page в течение 10 мин) → mitigation (runbook applied) → resolution → public post-mortem в течение 5 business days → customer follow-up с service credit. 24-hour customer notification SLA для significant incidents (NIS2 alignment).

→ Evidence: /ru/uptime/

Используются ли клиентские данные для train AI моделей?

Нет. Клиентские данные исключены из model-training pipeline by contract и by technical isolation. Sub-processor agreements (OpenAI, Cohere) explicitly exclude клиентские данные from их training data.

→ Evidence: /ru/ethics/

Как sensitive personal data handled?

SLAtech Medical и Legal ship ingest-time redactor, который masks Israeli national IDs, EU phone formats, medical record numbers и similar tokens до любого LLM call. Redactor работает в EU infrastructure; sub-processors (OpenAI, Cohere) никогда не видят raw PHI / PII.

→ Evidence: /ru/compliance/#phi-protected-health-information

Какие sub-processors обрабатывают клиентские данные?

OpenAI (США, LLM inference), Cohere (Канада, опциональный re-ranking), Sentry (США, errors), Cloudflare (global edge, WAF / CDN), SendGrid (США, email). Все transfers управляются SCC 2021/914. Полный list поддерживается current в течение 14 дней с изменения.

→ Evidence: /ru/sub-processors/

Что происходит с клиентскими данными на contract termination?

30-day notice для termination of convenience. На termination клиентские данные exportable в течение 90 дней (Markdown / JSON knowledge content + JSONL conversation history). После 90 дней все клиентские данные permanently deleted с production и backups в течение 35 дополнительных дней.

→ Evidence: /ru/rfp-template/

Могут ли клиенты veto sub-processor changes?

Клиенты получают 30-day notice до добавления new sub-processor. Enterprise tier клиенты могут veto sub-processor (с migration к non-veto path или contract exit). Multi-tenant tiers (Starter / Pro / Scale): notice но no veto.

→ Evidence: /ru/sub-processors/

Опишите vulnerability management program.

Dependabot automated dependency updates на production branch. GitHub CodeQL static analysis на каждом PR. Ежегодный external penetration test (next Q4 2026). Coordinated vulnerability disclosure policy.

→ Evidence: /ru/security/

Где хостятся клиентские данные?

Microsoft Azure West Europe (primary) и North Europe (failover). EU-only by default; нет negotiation в signup. Enterprise tier предлагает single-tenant deployment, pinned к chosen Azure region.

→ Evidence: /ru/architecture/#deployment-topology