ProyectaSecurity

Security

Last Updated: May 21, 2026

Перекладено для вашої зручності. У разі будь-якого конфлікту між цією версією та англійською версією, англійська версія має переважну силу.

Proyecta — це платформа, через яку ваш вихідний код, запити та проєктні дані проходять через системи ШІ та ізольовані середовища виконання. Захист цих даних є основоположним принципом того, як ми створюємо Сервіси. Ця сторінка підсумовує наші практики безпеки простою мовою; вона доповнює нашу Політику конфіденційності, Умови використання та перелік Субпроцесорів.

З питань безпеки, корпоративних перевірок безпеки або для повідомлення про вразливість звертайтеся на security@proyecta.dev.

1. Інфраструктура та хостинг

Сервіси працюють на Google Cloud Platform — Kubernetes-нативній інфраструктурі, що експлуатується в усталених хмарних регіонах. Перед нашими публічними точками доступу розташовано Cloudflare, який забезпечує доставку контенту, захист від DDoS-атак та брандмауер веб-застосунків.

Ми не керуємо власними центрами обробки даних. Наші хмарні постачальники підтримують власні незалежні сертифікати безпеки інфраструктури, а актуальний перелік постачальників, які обробляють дані від нашого імені, опубліковано на нашій сторінці Субпроцесорів.

2. Шифрування

  • При передачі: Весь трафік між вами та Сервісами шифрується з використанням TLS 1.2 або вище.
  • При зберіганні: Контент клієнтів, дані облікового запису та резервні копії шифруються при зберіганні.
  • Секрети: Облікові дані та інтеграційні токени зберігаються в зашифрованому вигляді й ніколи не розкриваються у клієнтському коді чи журналах.

3. Контроль доступу

  • Рольовий контроль доступу. Доступ до виробничих систем і даних клієнтів обмежено уповноваженим персоналом Proyecta за принципом найменших привілеїв.
  • Ведення журналів аудиту. Адміністративні дії та операції доступу до даних реєструються для забезпечення підзвітності.
  • Обмежені облікові дані. Облікові дані сервісів та інтеграцій обмежено мінімальними правами, необхідними для їх функціонування.
  • Зобов'язання щодо конфіденційності. Персонал, який має доступ до Контенту, пов'язаний зобов'язаннями про конфіденційність і проходить навчання з питань безпеки.

Як описано в нашій Політиці конфіденційності, уповноважений персонал отримує доступ до Контенту лише в межах, необхідних для надання підтримки, усунення несправностей, підтримання надійності або дотримання юридичних зобов'язань.

4. Поводження з вашим кодом та даними ШІ

Це питання, яке хвилює клієнтів найбільше, тому формулюємо його прямо:

  • Ми не навчаємо моделі ШІ на вашому Контенті. Ми не використовуємо ваш код, запити чи дані для навчання або тонкого налаштування наших моделей ШІ й не надсилаємо ваш Контент постачальникам ШІ з метою навчання їхніх моделей.
  • Контент обробляється, щоб служити вам, а не щоб видобувати з нього інформацію. Ваш Контент обробляється виключно для надання відповідей у межах ваших власних сеансів.
  • Сторонні постачальники ШІ обробляють вхідні дані тимчасово. Для генерації відповідей вхідні дані надсилаються постачальникам моделей ШІ (Anthropic, OpenAI, Google) через їхні API. Ми використовуємо рівні API, які відповідно до чинних умов API цих постачальників не використовуються для навчання їхніх моделей на вхідних даних клієнтів. Ми не контролюємо цих постачальників, і поводження з даними з їхнього боку регулюється їхніми власними умовами, які вам слід переглянути самостійно (див. Умови §10.2).
  • Виключно агрегована аналітика. Будь-яка аналітика, яку ми отримуємо для покращення Сервісів, використовує агреговані, деідентифіковані дані, які неможливо використати для вашої ідентифікації або відновлення вашого Контенту.

5. Ізоляція середовища виконання

Код, згенерований і виконуваний Сервісами, працює в ізольованих середовищах виконання — виділених, ізольованих у пісочниці подах Kubernetes, що надаються для кожного робочого навантаження. Середовища виконання ізольовані одне від одного й демонтуються відповідно до їхнього графіка життєвого циклу, що обмежує радіус впливу будь-якого окремого виконання.

6. Управління вразливостями

  • Ми періодично проводимо оцінки вразливостей і тестування безпеки Сервісів.
  • Ми відстежуємо наші програмні залежності щодо відомих вразливостей та застосовуємо оновлення на основі пріоритезації ризиків.
  • Відповідальне розкриття інформації. Якщо ви вважаєте, що виявили вразливість безпеки, повідомте про неї на security@proyecta.dev. Ми підтвердимо отримання вашого звіту, оперативно проведемо розслідування й інформуватимемо вас про хід справ. Будь ласка, надайте нам розумну можливість усунути вразливість до будь-якого публічного розкриття.

7. Зберігання та видалення даних

Ми зберігаємо інформацію лише стільки часу, скільки необхідно для надання Сервісів та виконання юридичних зобов'язань. Історія розмов, включно з запитами та згенерованими результатами, зберігається до моменту її видалення вами або припинення дії облікового запису. Після припинення дії облікового запису у вас є 30-денне вікно для експорту даних, після чого вони видаляються відповідно до нашого графіка зберігання. Повні відомості наведено в Політиці конфіденційності §4.

8. Реагування на інциденти

Ми підтримуємо процес реагування на інциденти для подій безпеки. У разі порушення, що зачіпає ваші персональні дані, ми повідомимо постраждалих клієнтів протягом 72 годин з моменту виявлення, коли це можливо, або раніше, якщо цього вимагає чинне законодавство, із зазначенням характеру інциденту, зачеплених даних та рекомендованих дій.

9. Субпроцесори

Ми використовуємо ретельно відібраний набір сторонніх постачальників послуг для надання Сервісів. Кожен з них зобов'язаний за договором захищати дані, які він обробляє від нашого імені. Повний, актуальний перелік — із зазначенням мети кожного постачальника, даних, які він обробляє, та його місцезнаходження — опубліковано на нашій сторінці Субпроцесорів, де описано, як ми повідомляємо про зміни.

10. Відповідність та перевірки безпеки

  • Угода про обробку даних. Клієнти, які діють як розпорядник даних, можуть запитати DPA, яка доповнює нашу Політику конфіденційності додатковими зобов'язаннями щодо захисту даних. Зверніться на legal@proyecta.dev.
  • Анкети з безпеки. Ми із задоволенням заповнюємо анкети з безпеки постачальників та підтримуємо корпоративні перевірки безпеки — звертайтеся на security@proyecta.dev.
  • Прозорість щодо субпроцесорів. Наш перелік субпроцесорів є публічним і підтримується в актуальному стані.

У міру зростання Proyecta ми продовжуємо розширювати нашу формальну програму безпеки та відповідності. Щоб дізнатися поточний статус будь-якої конкретної сертифікації чи атестації, будь ласка, зверніться до нас, і ми поділимося тим, на якому етапі ми перебуваємо.

11. Контакти

Related Documents

Questions?

Contact Legal

Reach us at legal@proyecta.dev for any inquiries.