Security and Privacy Q&A
Статья представляет собой раздел вопросов и ответов о безопасности и конфиденциальности сервиса Lavender. Компания подтверждает наличие Trust Center, сертификацию SOC 2 Type II (получена в ноябре 2023 года) и описывает свою политику конфиденциальности. Lavender не хранит письма, пароли и платёжные данные пользователей — все платежи обрабатываются через Stripe, а вход осуществляется через OAuth от Google и Microsoft. Данные могут использоваться для обучения AI-моделей, но только после деперсонализации и удаления PII. Резервные копии хранятся 30 дней по скользящему графику, а пользователи могут полностью удалить свои данные через DSAR или кнопку удаления в дашборде.
Вопросы и ответы о безопасности и конфиденциальности
Мы хотим быть прозрачными в том, как мы используем и обрабатываем ваши данные. Мы понимаем, что почтовый ящик — это очень личное и приватное пространство, и не относимся легкомысленно к тому, что вы предоставляете нам доступ.
Есть ли у вас Trust Center?
Да, есть! Вы можете получить доступ к нашему Trust Center по этой ссылке.
Вот что вы там найдёте:
Отчёты об аудите SOC 2Отчёты о пентестахСписок субпроцессорови многое другое!
Какова ваша Политика конфиденциальности?
Вы можете прочитать всё о нашей Политике конфиденциальности здесь: Политика конфиденциальности Lavender
Кратко
Мы не храним ваши письма.Мы не храним ваши платёжные данные.Мы не храним ваш пароль.Мы всё шифруем.Мы не читаем ваши письма.Вы можете удалить свои данные.
Больше информации можно найти здесь: https://www.lavender.ai/privacy
Сертифицирован ли Lavender по SOC 2 Type II?
Да! Lavender получил сертификацию SOC 2 Type II в ноябре 2023 года.
Что такое SOC 2?
SOC 2 расшифровывается как Service Organization Control 2.
Это набор стандартных правил и рекомендаций для обеспечения безопасности компаний.
Какие существуют два типа аудита SOC 2?
SOC 2 Type I: этот отчёт подтверждает, что у компании есть необходимые меры безопасности. Он не говорит о том, действительно ли компания их соблюдает.
SOC 2 Type II: этот отчёт подтверждает, что у компании есть необходимые меры безопасности и что она их соблюдает. Это проверяется независимым аудитором.
Почему расширение для Chrome собирает данные для аутентификации и платёжную информацию?
Аккаунты Lavender создаются и используются для входа через OAuth — это вход в один клик для Google и Microsoft. Это означает, что мы никогда не видим и не сохраняем ваши пароли.
Платёжная информация собирается для обработки подписок и не требуется для начала 7-дневной бесплатной пробной версии Lavender. Мы не храним ваши платёжные данные; все платежи безопасно обрабатываются через Stripe — лидера отрасли в области обработки платежей для ПО, поэтому мы никогда не видим, не трогаем и не храним данные вашей кредитной карты. На странице нашей Политики конфиденциальности вы можете подробнее прочитать о соблюдении нами Google API Services User Data Policy, включая требования Limited Use.
Будете ли вы использовать мои данные для обучения AI-моделей Lavender?
Мы можем использовать данные для обучения AI-моделей; в наших TOS есть соответствующие положения.
Однако мы не используем письма или данные в исходном, необработанном виде. Мы деперсонализируем данные и удаляем все следы PII перед тем, как сохранить их или использовать для дообучения моделей.
Как долго вы храните данные?
Данные хранятся до тех пор, пока аккаунт не будет полностью удалён из нашей системы в рамках DSAR или когда пользователь нажимает кнопку удаления в дашборде.
Резервные копии хранятся в течение 30 дней по скользящему графику.
Может ли человек (сотрудники или третьи лица) просматривать мои данные?
Люди могут читать деперсонализированные данные, но доступ ограничен инженерами, которым необходим доступ к продакшену, или специалистами поддержки, которым это требуется для выполнения их обязанностей.
Мы не передаём эти данные третьим лицам и не позволяем третьим лицам читать их напрямую из нашей базы данных. Пользователи могут полностью отказаться от этого, если пожелают. Мы делаем такое исключение, когда нас об этом специально просят.
Об авторе