Page de confiance Eddy AI

Objectif : La politique vise à garantir une utilisation correcte et efficace de la cryptographie afin de protéger la confidentialité, l'authenticité et l'intégrité des informations.

Portée : La politique s'applique à tous les systèmes d'information développés et/ou contrôlés par Document360 qui stockent ou transmettent des données confidentielles.

Titulaire de la police : Le PDG est responsable de la police.

Date d'entrée en vigueur : La police entre en vigueur le 1er mars 2024.

Évaluation des risques : Document360 évalue les risques et met en œuvre des contrôles cryptographiques pour les atténuer lorsque cela est approprié.

Normes de chiffrement : Une cryptographie robuste avec des processus et procédures associés à la gestion des clés doit être mise en œuvre et documentée conformément aux normes industrielles, y compris le NIST SP 800-57.

Gestion des clés : L'accès aux clés et secrets est strictement contrôlé, et il existe des recommandations spécifiques pour l'utilisation des clés cryptographiques, notamment les types de clés, les algorithmes et les longueurs de clés pour divers domaines tels que les certificats web, les chiffres web et le stockage des points de terminaison.

Exceptions : Les demandes d'exception à la politique doivent être soumises au PDG pour approbation et doivent être documentées.

Infractions et application de la loi : Les infractions connues doivent être signalées au PDG et peuvent entraîner des mesures disciplinaires, y compris un licenciement d'emploi.

Données au repos : Les données confidentielles au repos doivent être chiffrées en utilisant un chiffrement symétrique avec un bit AES-256 pour une période maximale d'un an.

Mots de passe : Les mots de passe doivent être hachés en utilisant des fonctions de hachage unidirectionnelles telles que Bcrypt, PBKDF2, scrypt ou Argon2, avec une clé de 256 bits et un déploiement de 10K, incluant un sel et un poivre cryptographique unique.

Chiffrement des bases de données vectorielles : Les inclusions de texte stockées dans MongoDB doivent utiliser un chiffrement au niveau champ pour les vecteurs contenant le contenu client.

Chiffrement par prompt et réponse :

• Toutes les invites utilisateur doivent être chiffrées avant le stockage.

• Les réponses de l'IA doivent être chiffrées à la fois en transit et au repos.

Données tierces en transit :

• TLS 1.3 est requis pour tous les appels API OpenAI.

• L'épinglage des certificats doit être appliqué pour les terminaux OpenAI.

• L'authentification TLS mutuelle est requise pour les déploiements à haute sensibilité.

Objectif et portée : Le document vise à fournir un plan pour gérer les incidents et événements liés à la sécurité de l'information, couvrant tous ces incidents au sein de l'entreprise.

Définitions : Il clarifie la différence entre un événement de sécurité (un événement observable pertinent pour la sécurité des données) et un incident de sécurité (un événement qui entraîne une perte ou un dommage à la sécurité des données).

Déclaration et documentation : Les employés sont invités à signaler immédiatement tout incident suspect via des canaux de communication spécifiques, et tous les incidents doivent être documentés.

Niveaux de gravité : Les incidents sont classés en niveaux S1 (critique), S2 (élevé) et S3/S4 (moyen/faible), avec des directives claires pour l'escalade et la réponse.

Équipe d'intervention en cas d'incident : Les responsables ingénieurs dirigent l'effort de réponse aux incidents, avec une « salle de guerre » désignée pour une intervention centralisée. Des réunions régulières sont organisées pour mettre à jour le ticket d'incident, documenter les indicateurs de compromission et mener d'autres activités de réponse.

Analyse de la cause profonde : Pour les incidents critiques, une analyse de la cause profonde est réalisée, documentée et examinée par le Directeur de l'Ingénierie, qui décide de la nécessité d'une réunion post-mortem.

Processus de réponse : Le processus de réponse comprend le triage, l'enquête, le confinement, l'éradication, la récupération et le durcissement de la réponse, avec un accent sur les leçons tirées et les améliorations à long terme.

Sécurité physique : Le document traite de la sécurité physique des systèmes affectés, y compris les procédures d'isolement et de secours.

Détermination de la violation et signalement : Seul le Product Owner peut déterminer si un incident constitue une violation. L'entreprise doit informer rapidement toutes les parties concernées conformément aux politiques et exigences réglementaires.

Communications externes : L'entreprise coopère avec les clients, les responsables de traitement des données et les autorités selon les besoins, les équipes juridiques et exécutives déterminant l'approche.

Rôles et responsabilités : Le document décrit les responsabilités spécifiques des intervenants en cas d'incident.

Considérations particulières : Cela inclut la gestion des problèmes internes, des communications compromises et des compromis des comptes root.

Statut et résumé de l'incident : Un modèle détaillé est fourni pour documenter les détails de l'incident, y compris la date, l'heure, le lieu, le personnel impliqué, le type d'informations concernées, les indicateurs de compromission, la cause profonde et les actions prises.

Titulaire de la police et date d'entrée en vigueur : Le Product Owner est le titulaire de la police, et le régime entre en vigueur le 1er mars 2024.

Catégories d'incidents spécifiques à l'IA :

S1 - Incidents critiques liés à l'IA

• Biais systématique affectant les groupes protégés.

• Jailbreak réussi en production ayant touché plus de 100 utilisateurs.

• Les informations personnelles exposées grâce à des réponses générées par l'IA.

• Taux d'hallucinations soutenues dépassant 5 % pendant une heure ou plus.

S2 – Incidents élevés d'IA

• Contournement de l'API de modération détecté.

• Attaque par injection prompte touchant moins de 100 utilisateurs.

• La dérive du modèle entraîne une dégradation de la précision de plus de 10 %.

• Taux d'échec des contraventions dépassant 15 %.

S3 – Incidents d'IA moyens

• Un seul cas de réponse IA non sourcée.

• Tentative d'évasion à la DAN qui a été bloquée avec succès.

• Latence de réponse anormale dépassant 10 secondes.

Objectif : Définir clairement des rôles et responsabilités pour la protection des systèmes d'information électroniques et des équipements associés.

Titulaire de la police et date d'entrée en vigueur : Le PDG est le titulaire de la police, et le régime entre en vigueur le 1er mars 2024.

Applicabilité

• S'applique à toute l'infrastructure Document360, segments réseau, systèmes, employés et sous-traitants impliqués dans les fonctions de sécurité et informatiques.

Public

• Tous les employés et contractuels impliqués dans le programme de sécurité de l'information.

• Comprend des partenaires, affiliés, employés temporaires, stagiaires, invités et bénévoles.

Rôles et responsabilités

1. Direction exécutive :

• Approuve les dépenses d'investissement pour les programmes de sécurité.

• Supervise l'exécution et la communication de la sécurité de l'information et de la gestion des risques liés à la vie privée.

• Assure la conformité aux lois et normes (par exemple, RGPD, CCPA, SOC 2, ISO 27001).

• Examine les contrats de service des fournisseurs et supervise la gestion des risques tiers.

2. Directeur de l'ingénierie :

• Supervise la sécurité de l'information dans le développement logiciel.

• Met en œuvre et surveille les contrôles de sécurité pour les processus de développement et informatiques.

• Réalise des évaluations des risques informatiques et communique les risques à la direction.

3. Vice-président du support client :

• Gère les outils et processus de sécurité de l'information dans les environnements clients.

• Assure le respect des politiques de conservation et de suppression des données.

4. Propriétaires du système :

• Maintenir la confidentialité, l'intégrité et la disponibilité des systèmes d'information.

• Approuvez les demandes d'accès et de modification pour leurs systèmes.

5. Employés, Entrepreneurs, Travailleurs Temporaires :

• Agissez de manière responsable pour protéger la santé, la sécurité et les ressources d'information.

• Identifier des domaines à améliorer les pratiques de gestion des risques.

• Signalez les incidents et respectez les politiques de l'entreprise.

6. Directeur des ressources humaines

• Garantit que les employés et les entrepreneurs sont qualifiés et compétents.

• Supervise les vérifications des antécédents, la présentation des politiques et le respect du Code de conduite.

• Évalue la performance des employés et propose des formations à la sécurité.

Conformité aux politiques

• La conformité est mesurée à travers des rapports, des audits et des retours.

• Les exceptions doivent être préapprouvées par le PDG.

• Le non-respect peut entraîner des sanctions disciplinaires, y compris un licenciement.

Contrôle des documents

• Version : 1.0

• Date : 3 février 2024

Titulaire de la police et date d'entrée en vigueur : Le PDG est le titulaire de la police, et le régime entre en vigueur le 1er mars 2024.

Objectif : Garantir que la sécurité de l'information soit conçue et mise en œuvre tout au long du cycle de développement des applications et des systèmes d'information.

Portée : S'applique à toutes les applications et systèmes d'information Document360 qui sont critiques pour l'entreprise et/ou traitent, stockent ou transmettent des données confidentielles.

Principes de sécurité dès la conception :

• Minimisez la surface d'attaque.

• Établissez des défauts sécurisés.

• Appliquez le principe du moindre privilège.

• Mettre en place la défense en profondeur.

• Échouez en toute sécurité.

• Évitez la sécurité par l'obscurité.

• Gardez la sécurité simple.

Principes de confidentialité dès la conception :

• Approche proactive et préventive.

• La confidentialité est le réglage par défaut.

• La confidentialité intégrée dans la conception.

• Fonctionnalités complètes sans compromettre la vie privée.

• Sécurité de bout en bout.

• Protection complète du cycle de vie.

Environnement de développement : Ségrégation logique ou physique des environnements : Production, Test/Staging, Développement.

Tests d'acceptation système : Établir des programmes et critères d'acceptation pour les nouveaux systèmes d'information, les mises à jour et les nouvelles versions. Remplissez une liste de contrôle de publication avant de déployer le code.

Protection des données de test : Les données de test doivent être sélectionnées avec soin, protégées et contrôlées. Les données confidentielles des clients doivent être protégées et ne pas être utilisées pour des tests sans autorisation explicite.

Procédures de contrôle des changements : Veillez à ce que le développement, les tests et le déploiement des changements ne soient pas réalisés par une seule personne sans approbation et supervision.

Contrôle de version logicielle : Tous les logiciels sont soumis à contrôle de version, avec un accès restreint selon le rôle.

Conformité aux politiques : Mesuré à travers des rapports, des audits et des retours. Le non-respect peut entraîner des sanctions disciplinaires, pouvant y compris le licenciement.

Titulaire de la police : Le PDG est responsable de la police.

Date d'entrée en vigueur : La police entre en vigueur le 1er mars 2024.

Objectif : La politique vise à établir et maintenir un environnement sûr et inclusif pour tous les membres du personnel.

Portée : Cette politique s'applique à tous les membres du personnel, dans tous les milieux professionnels de l'organisation.

Culture : La culture organisationnelle promue par cette politique met l'accent sur le respect, la collaboration et la considération entre tous les employés.

Comportement attendu : Les membres du personnel sont censés participer activement à la création d'un environnement de travail respectueux et collaboratif.

Comportement inacceptable : Toute forme de harcèlement, de violence, de discrimination ou de conduite inappropriée est strictement interdite.

Politique sur les armes : La politique interdit la possession d'armes sur les locaux de l'entreprise, avec des conséquences strictes en cas de violation.

Conséquences : Le non-respect de cette politique entraînera des mesures correctives immédiates, y compris des mesures disciplinaires et l'obligation de signaler les infractions.

Responsabilité : Le PDG est chargé de veiller à ce que tous les membres du personnel respectent et respectent les principes énoncés dans cette politique.

Titulaire de la police : Le PDG est responsable de la police.

Date d'entrée en vigueur : La police entre en vigueur le 1er mars 2024.

Objectif : Le but de cette politique est de restreindre l'accès à l'information et aux systèmes aux personnes autorisées conformément aux objectifs commerciaux.

Portée : Cette politique s'applique à tous les systèmes exploités par Document360 qui traitent des données confidentielles pour les employés et les parties externes ayant accès au réseau.

Résumé du contrôle d'accès et de la gestion des utilisateurs :

Identifier les utilisateurs : Les privilèges d'accès sont attribués en fonction des rôles et compétences spécifiques requises pour effectuer des tâches.

Maintien de l'autorisation : Toutes les allocations d'accès privilégié sont documentées et maintenues afin d'assurer la responsabilité.

Application des mesures de sécurité : L'authentification multifacteur (MFA) est obligatoire pour l'accès privilégié afin d'améliorer la sécurité. Les identifiants administratifs génériques sont interdits pour éviter toute utilisation non autorisée.

Adoption des protocoles : Des autorisations d'accès limitées dans le temps sont accordées pour limiter l'exposition et réduire les risques de sécurité.

Journal et audit : Toutes les connexions et activités privilégiées sont enregistrées et auditées pour surveiller tout accès ou mauvaise utilisation non autorisée.

Avis sur l'accès utilisateur : Des examens réguliers garantissent que des identités distinctes et appropriées sont maintenues pour les personnes ayant un accès privilégié.

Politique de contrôle d'accès : L'accès est réservé uniquement aux parties autorisées, garantissant ainsi la protection des informations.

Gestion des mots de passe : Des procédures de connexion sécurisées et des politiques de mots de passe sont mises en place pour protéger contre les accès non autorisés.

Provisionnement d'accès utilisateur : Les autorisations d'accès sont accordées en fonction des exigences métier documentées et des besoins validés.

Infractions et application de la loi : Les violations de cette politique sont signalées et soumises à des mesures d'application pour maintenir la conformité et la sécurité.

Titulaire de la police : Le PDG est responsable de la police.

Date d'entrée en vigueur : La police entre en vigueur le 1er mars 2024.

Objectif : Garantir que les informations sont classifiées, protégées, conservées et éliminées en toute sécurité en fonction de leur importance pour l'organisation.

Portée : S'applique à tous les systèmes de données, d'information et d'information de Document360.

Classification des données : Confidentiel : Données hautement sensibles nécessitant les niveaux de protection les plus élevés. Parmi les exemples, on trouve les données clients, les PII, les états financiers de l'entreprise, les plans stratégiques et les rapports techniques.

Restreints : Informations propriétaires nécessitant une protection complète. Classification par défaut pour toutes les informations de l'entreprise sauf indication contraire. Parmi les exemples, on trouve les politiques internes, les documents juridiques, les contrats et les courriels.

Public : Des informations destinées à la consommation publique et pouvant être distribuées librement. Des exemples incluent les supports marketing et les descriptions de produits.

Gestion des données :

Données confidentielles :

• Accès restreint à certains employés ou départements.

• Doit être chiffré au repos et en transit.

• Il ne faut pas les stocker sur des appareils personnels ou des supports amovibles.

• Nécessite un stockage et une élimination sécurisés.

Données restreintes :

• Accès restreint aux utilisateurs nécessitant de savoir.

• Cela nécessite l'approbation de la direction pour un transfert externe.

• Le stockage et l'élimination sécurisés sont obligatoires.

Données publiques : Aucune protection ou contrôle de conduite spécial n'est nécessaire.

Conservation et élimination des données :

• Les données conservées aussi longtemps que nécessaire pour les exigences commerciales, réglementaires ou contractuelles.

• Les données confidentielles et restreintes sont supprimées de manière sécurisée lorsqu'elles ne sont plus nécessaires.

• Les informations personnelles supprimées ou désidentifiées lorsqu'elles ne sont plus nécessaires à des fins professionnelles.

Revue annuelle des données : La direction examine chaque année les exigences de conservation des données afin de garantir le respect de la politique.

Exigences légales : Les données associées aux détentions juridiques ou aux poursuites judiciaires sont exemptées des exigences standard de la politique et conservées conformément aux dispositions du conseiller juridique.

Conformité aux politiques : La conformité est mesurée à travers des rapports et audits d'outils métier.

Exceptions : Toute exception à la politique nécessite l'approbation du PDG.

Infractions et application de la loi : Les violations connues des politiques doivent être signalées au PDG et peuvent entraîner des sanctions disciplinaires, y compris un licenciement.

Titulaire de la police : Le PDG est responsable de la police.

Date d'entrée en vigueur : La police entre en vigueur le 1er mars 2024.

Objectif et portée :

• Assurer le fonctionnement sécurisé des systèmes et installations de traitement de l'information.

• S'applique à tous les systèmes d'information critiques Document360 et aux entités tierces disposant d'un accès réseau.

Procédures d'exploitation documentées :

Les procédures techniques et administratives doivent être documentées et accessibles aux utilisateurs concernés.

Gestion du changement :

• Les changements importants doivent être documentés, testés, examinés et approuvés avant leur déploiement.

• Les changements d'urgence nécessitent un examen rétroactif et une autorisation.

Gestion des capacités :

• Surveillez et ajustez les ressources de traitement et le stockage du système pour répondre aux exigences de performance.

• Inclure la capacité des ressources humaines dans la planification et les évaluations annuelles des risques.

Prévention des fuites de données :

• Identifier et classifier les informations conformément à la politique de gestion des données.

• Former les utilisateurs à la gestion appropriée des informations sensibles.

• Utilisez des outils de prévention de la perte de données (DLP) basés sur l'évaluation des risques.

Filtrage Web :

• Implémentez le DNS et le blocage IP pour restreindre l'accès aux sites web risqués.

• Bloquez les sites web contenant du contenu malveillant ou les serveurs de commande et de contrôle, sauf si cela est nécessaire pour l'entreprise.

Séparation des environnements :

• Séparer strictement les environnements de développement, de mise en scène et de production.

• N'utilisez pas de données confidentielles de clients en production dans des environnements de développement ou de test sans approbation.

Systèmes et configuration réseau :

• Suivez les normes de configuration et de renforcement pour maintenir la sécurité du système et du réseau.

• Révisez chaque année les règles de configuration d'accès réseau en production.

Protection contre les logiciels malveillants :

• Mettez en place des contrôles de détection, de prévention et de récupération contre les malwares.

• Utilisez des logiciels anti-malware et de détection des menaces sur tous les points d'accès et emails de l'entreprise.

Sauvegarde des informations : Concevoir et mettre en œuvre des processus de sauvegarde pour les systèmes et les données, en garantissant la récupération des données clients selon les SLA.

Journalisation et suivi : Mettez en place la journalisation et la surveillance pour détecter et répondre aux incidents de sécurité.

Contrôle des logiciels opérationnels : Gérer l'installation et l'utilisation des logiciels opérationnels selon les règles établies.

Renseignement sur les menaces : Collecter et analyser les menaces à la sécurité de l'information afin de produire des renseignements exploitables.

Gestion des vulnérabilités techniques : Identifiez, évaluez et traitez les vulnérabilités techniques en temps opportun.

Restrictions sur l'installation des logiciels : Établir des règles pour l'installation des logiciels afin d'assurer la sécurité et la conformité.

Considérations concernant l'audit des systèmes d'information : Planifiez et convenez des exigences d'audit afin de minimiser les perturbations des processus métier.

Évaluation et exigences de la sécurité des systèmes : Inclure les exigences de sécurité lors de l'acquisition ou des modifications significatives des systèmes.

Masquage des données : Mettre en œuvre des techniques de masquage des données pour protéger les informations personnelles personnelles et les données sensibles basées sur l'évaluation des risques.

Titulaire de la police : Le PDG est responsable de la politique de conservation des données.

Date d'entrée en vigueur : La police entre en vigueur le 1er mars 2024.

Objectif : Cette politique décrit comment les données sont stockées, analysées et supprimées dans Document360, garantissant la transparence et le contrôle de l'utilisateur sur les informations conservées.

Portée : Cette politique s'applique à tous les clients utilisant Document360, y compris les projets de base de connaissances publiques et privées.

Collecte de données :

• Pour les sites publics : aucune donnée au niveau utilisateur n'est collectée.

• Pour les projets privés : Nous collectons des données au niveau utilisateur, y compris l'identité de l'utilisateur soumettant une invite, les horodatages et d'autres informations utilisateur disponibles dans Document360.

Utilisation des données : Document360 stocke toutes les invites/questions saisies dans le chatbot IA Eddy pour effectuer les analyses suivantes :

• Analyse thématique : Regroupement des questions/prompts à l'aide d'algorithmes internes et d'API OpenAI.

• Analyse des citations : Identifier les articles les plus cités.

• Indicateurs : Affichage des métriques de profondeur et suivi des réponses par rapport aux questions sans réponse.

Personnalisation : Cette politique n'est pas personnalisable par le client, mais les clients ont le droit de demander la suppression de leurs données à tout moment pendant la période du contrat.

Conservation et suppression des données :

• Toutes les données collectées sont conservées dans votre projet Document360.

• Les données sont définitivement supprimées lorsque le projet de la base de connaissances est supprimé.

• Vous pouvez demander la suppression de ces données à tout moment durant votre contrat avec Document360.

Responsabilité : Le PDG est chargé de veiller à la mise en œuvre et au respect de cette politique sur tous les comptes clients et projets.

Propriétaire de la police : Directeur principal – Data Science.

Date d'entrée en vigueur : La politique entre en vigueur le 1er janvier 2025.

Objectif : Établir une approche systématique pour identifier, évaluer, prioriser et gérer les risques associés à Eddy AI tout au long de son cycle de vie.

Éléments clés :

• Évaluation initiale de l'impact de l'IA : Une évaluation préalable au développement doit être réalisée avant toute activité de développement, couvrant les cas d'utilisation prévus, les préjudices potentiels, la probabilité et l'impact du risque, l'identification des parties prenantes et les stratégies d'atténuation.

• Surveillance continue des risques : Les risques sont examinés trimestriellement, avec des évaluations complètes effectuées chaque année.

• Seuils de tolérance au risque : Les risques sont classés en quatre catégories : risques inacceptables (déploiement interdit), risques élevés (contrôles renforcés requis), risques moyens (contrôles standards appliqués) et risques faibles (surveillance uniquement).

• Registre des risques : Une documentation centralisée de tous les risques identifiés, mesures d'atténuation, risques résiduels et propriété désignée.

Propriétaire de la police : Directeur principal – Data Science

Date d'entrée en vigueur : La politique entre en vigueur le 1er janvier 2025.

Objectif : Identifier, mesurer, atténuer et surveiller continuellement les biais au sein des systèmes d'IA Eddy, garantissant un traitement juste et équitable pour tous les groupes d'utilisateurs et types de contenu.

Catégories de biais :

• Biais systémique : Un biais provenant de grands modèles de langage (LLM) tiers.

• Biais computationnel/statistique : Biais découlant des choix de conception algorithmique, des méthodes d'échantillonnage de données ou des propriétés mathématiques des modèles sous-jacents.

• Biais humain-cognitif : Un biais introduit par des hypothèses, des perceptions et des processus décisionnels humains.

Exigences pour les tests de biais :

Pré-déploiement

• Analyse de la représentativité du contenu : Analysez la base de connaissances pour évaluer l'équilibre, la profondeur et la diversité des points de vue des sujets.

• Test de stéréotypes : Testez le système en utilisant des requêtes liées aux caractéristiques protégées et vérifiez que l'IA refuse systématiquement de renforcer les stéréotypes.

• Équité linguistique : Pour les bases de connaissances multilingues, mesurez et comparez la qualité des réponses entre toutes les langues prises en charge.

Surveillance post-déploiement

• Mensuellement : Réalisez une analyse des questions sans réponse segmentée par sujet ou groupe d'utilisateurs.

• Trimestriel : Effectuez un audit complet de biais en utilisant un corpus de tests mis à jour pour évaluer.

• Chaque année : Faites appel à un auditeur externe pour réaliser un examen indépendant des biais et publier un rapport de transparence.