Plans prenant en charge l’utilisation des fonctionnalités d’IA
| Professional | Business | Enterprise |
|---|---|---|
Chez Document360, nous nous engageons à faire preuve de transparence avec nos clients concernant nos produits et la façon dont nous utilisons l’IA pour améliorer votre expérience. Voici un aperçu complet des fonctionnalités d’Eddy AI, mettant en évidence nos mesures de sécurité robustes et nos pratiques en matière de confidentialité
Conformité
Eddy AI, notre outil avancé alimenté par l’IA, adhère à des normes de conformité strictes telles que :
RGPD : Nous adhérons au Règlement général sur la protection des données, garantissant une protection solide des données et de la confidentialité pour tous les individus de l’Union européenne.
SOC 2 Type 2 : Nos pratiques s’alignent sur les exigences de la norme SOC 2 Type 2 et de la loi européenne sur l’IA, ce qui démontre notre engagement en matière de sécurité, de disponibilité et de confidentialité.
Sous-traitants ultérieurs
Pour fournir un service de haute qualité, Eddy AI s’appuie sur un réseau de sous-traitants de confiance. Il s’agit notamment de :
MongoDB : Utilisé comme base de données vectorielle.
OpenAI : Fournit des capacités d’IA, en utilisant leurs modèles avancés.
Azure : Notre fournisseur de cloud garantit une infrastructure évolutive et fiable.
Stripe : Facilite le traitement sécurisé des paiements.
Segment : utilisé pour l’analyse des produits afin d’améliorer l’expérience utilisateur.
Mixpanel : Permet des analyses avancées.
Sécurité et confidentialité des données
Nous prenons au sérieux les faits, la sécurité et la confidentialité. Tous les faits associés à Eddy AI sont stockés et cryptés en toute sécurité. Voici comment nous assurons l’intégrité et la confidentialité de vos informations :
Données au repos : toutes les informations sont chiffrées à l’aide de protocoles de chiffrement standard.
Données en transit : Les données transmises entre votre outil et nos serveurs sont cryptées pour vous protéger contre l’interception et la falsification.
Eddy AI est conçu pour fournir des performances globales stables et fiables, même en cas d’utilisation élevée. Document360 fournit également un plan de réponse aux incidents d’IA.
Ressources
1. Politique de cryptographie
Objectif : La politique vise à assurer l’utilisation appropriée et efficace de la cryptographie afin de protéger la confidentialité, l’authenticité et l’intégrité de l’information.
Champ d’application : La politique s’applique à tous les systèmes d’information développés et/ou contrôlés par Document360 qui stockent ou transmettent des données confidentielles.
Propriétaire de la politique : Le PDG est responsable de la politique.
Date d’entrée en vigueur : La politique entre en vigueur le 1er mars 2024.
Évaluation des risques : Document360 évalue les risques et met en œuvre des contrôles cryptographiques pour les atténuer le cas échéant.
Normes de cryptage : Une cryptographie forte avec des processus et des procédures de gestion des clés associés doit être mise en œuvre et documentée conformément aux normes de l’industrie, y compris NIST SP 800-57. Nous avons une mise en œuvre partielle du cadre de gestion des risques d’IA du NIST.
Gestion des clés : l’accès aux clés et aux secrets est étroitement contrôlé et il existe des recommandations spécifiques pour l’utilisation des clés cryptographiques, notamment les types de clés, les algorithmes et les longueurs de clé pour divers domaines tels que les certificats Web, les chiffrements Web et le stockage des points de terminaison.
Exceptions : Les demandes d’exceptions à la politique doivent être soumises à l’approbation du directeur général des élections et doivent être documentées.
Violations et application de la loi : Les violations connues doivent être signalées au PDG et peuvent entraîner des mesures disciplinaires, y compris le licenciement.
Données au repos : Les données confidentielles au repos doivent être chiffrées à l’aide d’un chiffrement symétrique avec AES-256 bits pendant une période maximale de 1 an.
Mots de passe : les mots de passe doivent être hachés à l’aide de fonctions de hachage unidirectionnelles telles que Bcrypt, PBKDF2, scrypt ou Argon2, avec une clé de 256 bits et un étirement de 10 Ko, y compris un sel et un poivre cryptographiques uniques.
2. Plan d’intervention en cas d’incident
Objectif et portée : Le document vise à fournir un plan de gestion des incidents et des événements de sécurité de l’information, couvrant tous les événements de ce type au sein de l’entreprise.
Définitions : Il clarifie la différence entre un événement de sécurité (un événement observable pertinent pour la sécurité des données) et un incident de sécurité (un événement qui entraîne une perte ou un dommage à la sécurité des données).
Signalement et documentation : Les employés sont tenus de signaler immédiatement tout incident soupçonné en utilisant des canaux de communication spécifiques, et tous les incidents doivent être documentés.
Niveaux de gravité : les incidents sont classés en niveaux de gravité S1 (critique), S2 (élevé) et S3/S4 (moyen/faible), avec des directives claires pour l’escalade et la réponse.
Équipe d’intervention en cas d’incident : les responsables de l’ingénierie dirigent l’effort d’intervention en cas d’incident, avec une « salle de crise » désignée pour une réponse centralisée. Des réunions régulières sont organisées pour mettre à jour le ticket d’incident, documenter les indicateurs de compromission et effectuer d’autres activités d’intervention.
Analyse des causes profondes : Pour les incidents critiques, une analyse des causes profondes est effectuée, documentée et examinée par le directeur de l’ingénierie, qui décide de la nécessité d’une réunion post-mortem.
Processus d’intervention : Le processus d’intervention comprend le triage, l’enquête, le confinement, l’éradication, le rétablissement et le durcissement, en mettant l’accent sur les leçons apprises et les améliorations à long terme.
Sécurité physique : Le document traite de la sécurité physique des systèmes touchés, y compris les procédures d’isolement et de sauvegarde.
Détermination et signalement des violations : Seul le Product Owner peut déterminer si un incident constitue une violation. La société doit informer rapidement toutes les parties concernées conformément aux politiques et aux exigences réglementaires.
Communications externes : L’entreprise coopère avec les clients, les contrôleurs de données et les autorités si nécessaire, le personnel juridique et exécutif déterminant l’approche.
Rôles et responsabilités : Le document décrit les responsabilités particulières des intervenants en cas d’incident.
Considérations particulières : cela inclut la gestion des problèmes internes, des communications compromises et des compromissions de comptes root.
État et résumé de l’incident : Un modèle détaillé est fourni pour documenter les détails de l’incident, y compris la date, l’heure, le lieu, le personnel impliqué, le type d’information impliquée, les indicateurs de compromission, la cause profonde et les actions prises.
Propriétaire de la police et date d’entrée en vigueur : Le Product Owner est le propriétaire de la police, et le plan entre en vigueur le 1er mars 2024.
3. Politique sur les rôles et responsabilités en matière de sécurité de l’information
Objectif : Établir clairement les rôles et les responsabilités en matière de protection des systèmes d’information électroniques et de l’équipement connexe.
Propriétaire de la police et date d’entrée en vigueur : Le chef de la direction est le propriétaire de la police, et le régime entre en vigueur le 1er mars 2024.
Applicabilité
S’applique à l’ensemble de l’infrastructure Document360, aux segments de réseau, aux systèmes, aux employés et aux sous-traitants impliqués dans les fonctions de sécurité et informatiques.
Audience
Tous les employés et sous-traitants impliqués dans le programme de sécurité de l’information.
Comprend les partenaires, les sociétés affiliées, les employés temporaires, les stagiaires, les invités et les bénévoles.
Rôles et responsabilités
Direction exécutive :
Approuver les dépenses en capital pour les programmes de sécurité.
Superviser l’exécution et la communication de la sécurité de l’information et de la gestion des risques liés à la vie privée.
Assurer la conformité aux lois et aux normes (par exemple, RGPD, CCPA, SOC 2, ISO 27001).
Examiner les contrats de services des fournisseurs et superviser la gestion des risques liés aux tiers.
Directeur de l’ingénierie :
Supervise la sécurité de l’information dans le développement de logiciels.
Mettre en œuvre et surveiller les contrôles de sécurité pour les processus de développement et de TI.
Effectuer des évaluations des risques informatiques et communiquer les risques à la direction.
Vice-président du support client :
Gère les outils et les processus de sécurité de l’information dans les environnements des clients.
Garantit le respect des politiques de conservation et de suppression des données.
Propriétaires du système :
Maintenir la confidentialité, l’intégrité et la disponibilité des systèmes d’information.
Approuver les demandes d’accès et de modification de leurs systèmes.
Salariés, sous-traitants, intérimaires :
Agir de manière responsable pour protéger la santé, la sécurité et les ressources d’information.
Déterminer les domaines où les pratiques de gestion des risques pourraient être améliorées.
Signalez les incidents et respectez les politiques de l’entreprise.
Directeur des ressources humaines
S’assurer que les employés et les entrepreneurs sont qualifiés et compétents.
Supervise la vérification des antécédents, la présentation des politiques et le respect du Code de conduite.
Évalue le rendement des employés et offre une formation en matière de sécurité.
Conformité aux politiques
Conformité mesurée par le biais de rapports, d’audits et de commentaires.
Les exceptions doivent être approuvées au préalable par le chef de la direction.
Le non-respect de la loi peut entraîner des mesures disciplinaires, y compris le licenciement.
Contrôle des documents
Version : 1.0
Date : 3 février 2024
4. Sécuriser la politique de développement
Propriétaire de la police et date d’entrée en vigueur : Le chef de la direction est le propriétaire de la police, et le régime entre en vigueur le 1er mars 2024.
But: S’assurer que la sécurité de l’information est conçue et mise en œuvre dans le cycle de développement des applications et des systèmes d’information.
Portée: S’applique à toutes les applications et à tous les systèmes d’information Document360 qui sont critiques pour l’entreprise et/ou qui traitent, stockent ou transmettent des données confidentielles.
Principes de sécurité dès la conception :
Minimisez la surface d’attaque.
Établissez des paramètres par défaut sécurisés.
Appliquer le principe du moindre privilège.
Mettez en œuvre une défense en profondeur.
Échouez en toute sécurité.
Évitez la sécurité par l’obscurité.
Gardez la sécurité simple.
Principes de confidentialité dès la conception :
Approche proactive et préventive.
La confidentialité comme paramètre par défaut.
L’intimité intégrée dans la conception.
Fonctionnalité complète sans compromettre la confidentialité.
Sécurité de bout en bout.
Protection tout au long du cycle de vie.
Environnement de développement : Ségrégation logique ou physique des environnements : Production, Test/Staging, Développement.
Tests d’acceptation du système : Établir des programmes et des critères d’essais d’acceptation pour les nouveaux systèmes d’information, les mises à niveau et les nouvelles versions. Remplissez une liste de contrôle de mise en production avant de déployer le code.
Protection des données de test : Les données de test doivent être sélectionnées avec soin, protégées et contrôlées. Les données confidentielles des clients doivent être protégées et ne doivent pas être utilisées pour des tests sans autorisation explicite.
Procédures de contrôle des modifications : Assurez-vous que le développement, les tests et le déploiement des modifications ne sont pas effectués par une seule personne sans approbation et surveillance.
Contrôle de la version du logiciel : Tous les logiciels sont contrôlés par leur version, avec un accès restreint en fonction du rôle.
Conformité à la politique : Mesuré par le biais de rapports, d’audits et de commentaires. Le non-respect de la loi peut entraîner des mesures disciplinaires pouvant aller jusqu’au licenciement.
5. Politique relative au code de conduite
Propriétaire de la politique : Le PDG est responsable de la politique.
Date d’entrée en vigueur : La politique entre en vigueur le 1er mars 2024.
Objectif : La politique vise à établir et à maintenir un environnement sûr et inclusif pour tous les membres du personnel.
Portée : Cette politique s’applique à tous les membres du personnel dans tous les milieux professionnels de l’organisation.
Culture : La culture organisationnelle promue par cette politique met l’accent sur le respect, la collaboration et la considération entre tous les employés.
Comportement attendu : Les membres du personnel doivent participer activement à la création d’un environnement de travail respectueux et collaboratif.
Comportement inacceptable : Toute forme de harcèlement, de violence, de discrimination ou de comportement inapproprié est strictement interdite.
Politique en matière d’armes : La politique interdit la possession d’armes dans les locaux de l’entreprise, avec des conséquences strictes en cas d’infraction.
Conséquences : Le non-respect de la présente politique entraînera des mesures correctives immédiates, y compris des mesures disciplinaires et l’obligation de signaler les infractions.
Responsabilité : Le chef de la direction a la responsabilité de s’assurer que tous les membres du personnel adhèrent et respectent les principes décrits dans la présente politique.
6. Politique de contrôle d’accès
Propriétaire de la politique : Le PDG est responsable de la politique.
Date d’entrée en vigueur : La politique entre en vigueur le 1er mars 2024.
But: L’objectif de cette politique est de restreindre l’accès à l’information et aux systèmes aux personnes autorisées, conformément aux objectifs opérationnels.
Portée: Cette politique s’applique à tous les systèmes exploités par Document360 qui traitent des données confidentielles pour les employés et les parties externes ayant accès au réseau.
Résumé du contrôle d’accès et de la gestion des utilisateurs :
Identification des utilisateurs : Les privilèges d’accès sont attribués en fonction des rôles et des compétences spécifiques requis pour effectuer des tâches.
Maintien de l’autorisation : Toutes les attributions d’accès privilégié sont documentées et tenues à jour afin d’assurer la reddition de comptes.
Application des mesures de sécurité : L’authentification multifacteur (MFA) est obligatoire pour l’accès privilégié afin d’améliorer la sécurité. Les identifiants administratifs génériques sont interdits afin d’empêcher toute utilisation non autorisée.
Adoption des protocoles : Des autorisations d’accès limitées dans le temps sont accordées pour limiter l’exposition et réduire les risques de sécurité.
Journalisation et audit : Toutes les connexions et activités privilégiées sont enregistrées et auditées afin de détecter tout accès non autorisé ou toute utilisation abusive.
Avis des utilisateurs : Des examens réguliers permettent de s’assurer que des identités distinctes et appropriées sont conservées pour les personnes disposant d’un accès privilégié.
Politique de contrôle d’accès : L’accès est limité aux seules parties autorisées, ce qui garantit la protection des informations.
Gestion des mots de passe : des procédures de connexion sécurisées et des politiques de mot de passe sont mises en œuvre pour se protéger contre les accès non autorisés.
Provisionnement de l’accès des utilisateurs : Les autorisations d’accès sont accordées en fonction des exigences commerciales documentées et des besoins validés.
Violations et application de la loi : Les violations de cette politique sont signalées et soumises à des mesures d’application de la loi pour maintenir la conformité et la sécurité.
7. Politique de gestion des données
Propriétaire de la politique : Le PDG est responsable de la politique.
Date d’entrée en vigueur : La politique entre en vigueur le 1er mars 2024.
But: S’assurer que les renseignements sont classifiés, protégés, conservés et éliminés en toute sécurité en fonction de leur importance pour l’organisation.
Portée: S’applique à toutes les données, informations et systèmes d’information de Document360.
Classification des données : Confidentiel : données hautement sensibles nécessitant les niveaux de protection les plus élevés. Il s’agit par exemple des données clients, des informations personnelles, des données financières de l’entreprise, des plans stratégiques et des rapports techniques.
Restreint: Informations exclusives nécessitant une protection complète. Classification par défaut pour toutes les informations sur l’entreprise, sauf indication contraire. Il s’agit par exemple de politiques internes, de documents juridiques, de contrats et d’e-mails.
Public: Informations destinées à la consommation publique et pouvant être diffusées librement. Il s’agit par exemple de supports marketing et de descriptions de produits.
Traitement des données :
Données confidentielles :
Accès restreint à des employés ou à des services spécifiques.
Doit être chiffré au repos et en transit.
Ne doit pas être stocké sur des appareils personnels ou des supports amovibles.
Nécessite un stockage et une élimination sécurisés.
Données restreintes :
Accès limité aux utilisateurs ayant besoin d’en connaître.
Nécessite l’approbation de la direction pour un transfert externe.
L’entreposage et l’élimination sécurisés sont obligatoires.
Données publiques : Aucune protection spéciale ou contrôle de manipulation n’est nécessaire.
Conservation et élimination des données :
Les données sont conservées aussi longtemps que nécessaire pour répondre aux besoins commerciaux, réglementaires ou contractuels.
Les données confidentielles et restreintes sont supprimées en toute sécurité lorsqu’elles ne sont plus nécessaires.
Les PII sont supprimées ou anonymisées lorsqu’elles ne sont plus nécessaires à des fins commerciales.
Examen annuel des données : La direction examine chaque année les exigences en matière de conservation des données pour s’assurer qu’elles sont conformes à la politique.
Exigences légales : Les données associées aux mises en suspension légales ou aux poursuites sont exemptées des exigences de politique standard et conservées conformément aux stipulations du conseiller juridique.
Conformité à la politique : Conformité mesurée à l’aide de rapports et d’audits d’outils métiers.
Exceptions: Toute exception à la politique nécessite l’approbation du chef de la direction.
Violations et application de la loi : Les violations connues de la politique doivent être signalées au PDG et peuvent entraîner des mesures disciplinaires, y compris le licenciement.
8. Politique de sécurité des opérations
Propriétaire de la politique : Le PDG est responsable de la politique.
Date d’entrée en vigueur : La politique entre en vigueur le 1er mars 2024.
Objet et portée :
Assurer le fonctionnement sécuritaire des systèmes et des installations de traitement de l’information.
S’applique à tous les systèmes d’information critiques de Document360 et aux entités tierces disposant d’un accès au réseau.
Procédures d’exploitation documentées :
Les procédures techniques et administratives doivent être documentées et accessibles aux utilisateurs concernés.
Gestion du changement :
Les modifications importantes doivent être documentées, testées, examinées et approuvées avant d’être déployées.
Les modifications urgentes nécessitent un examen et une autorisation rétroactifs.
Gestion de la capacité :
Surveillez et ajustez les ressources de traitement et le stockage système pour répondre aux exigences de performance.
Inclure la capacité des ressources humaines dans la planification et les évaluations annuelles des risques.
Prévention des fuites de données :
Identifier et classifier l’information conformément à la politique de gestion des données.
Formez les utilisateurs à la manipulation correcte des informations sensibles.
Utilisez des outils de prévention des pertes de données (DLP) basés sur l’évaluation des risques.
Filtrage Web :
Mettez en place le blocage DNS et IP pour restreindre l’accès aux sites Web à risque.
Bloquez les sites Web au contenu malveillant ou les serveurs de commande et de contrôle, sauf si cela est nécessaire pour l’entreprise.
Séparation des environnements :
Séparez strictement les environnements de développement, de préparation et de production.
N’utilisez pas les données confidentielles des clients de production dans des environnements de développement ou de test sans autorisation.
Configuration des systèmes et du réseau :
Respectez les normes de configuration et de renforcement pour maintenir la sécurité du système et du réseau.
Examinez chaque année les règles de configuration de l’accès au réseau de production.
Protection contre les logiciels malveillants :
Mettez en œuvre des contrôles de détection, de prévention et de récupération des logiciels malveillants.
Utilisez un logiciel anti-malware et de détection des menaces sur tous les terminaux et e-mails de l’entreprise.
Sauvegarde des informations : Concevoir et mettre en œuvre des processus de sauvegarde des systèmes et des données, en assurant la récupération des données des clients conformément aux SLA.
Journalisation et surveillance : Mettez en œuvre la journalisation et la surveillance pour détecter et répondre aux incidents de sécurité.
Contrôle des logiciels opérationnels : Gérer l’installation et l’utilisation des logiciels opérationnels selon les règles établies.
Renseignements sur les menaces : Collectez et analysez les menaces de sécurité de l’information pour produire des renseignements exploitables.
Gestion des vulnérabilités techniques : Identifier, évaluer et traiter les vulnérabilités techniques en temps opportun.
Restrictions relatives à l’installation du logiciel : Établissez des règles d’installation de logiciels pour garantir la sécurité et la conformité.
Considérations relatives à l’audit des systèmes d’information : Planifiez et convenez des exigences d’audit afin de minimiser les interruptions des processus métier.
Évaluation et exigences de sécurité des systèmes : Inclure des exigences de sécurité dans l’acquisition ou les modifications importantes apportées aux systèmes.
Masquage des données : Mettez en œuvre des techniques de masquage des données pour protéger les informations personnelles et les données sensibles en fonction de l’évaluation des risques.
9. Politique de conservation des données
Propriétaire de la politique : Le PDG est responsable de la politique de conservation des données.
Date d’entrée en vigueur : La politique entre en vigueur le 1er mars 2024.
Objectif : Cette politique décrit la manière dont les données sont stockées, analysées et supprimées dans Document360, garantissant ainsi la transparence et le contrôle de l’utilisateur sur les informations conservées.
Champ d’application : Cette politique s’applique à tous les clients utilisant Document360, y compris les projets de base de connaissances publics et privés.
Collecte des données :
Pour les sites publics : aucune donnée au niveau de l’utilisateur n’est collectée.
Pour les projets privés : Nous collectons des données au niveau de l’utilisateur, y compris l’identité de l’utilisateur qui soumet une invite, les horodatages et d’autres informations sur l’utilisateur disponibles dans Document360.
Utilisation des données : Document360 stocke toutes les invites/questions saisies dans le chatbot Eddy AI pour effectuer les analyses suivantes :
Analyse thématique : Regroupement de questions/invites à l’aide d’algorithmes internes et d’API OpenAI.
Analyse des citations : Identifier les articles les plus cités.
Métriques : Affichage des métriques de profondeur et suivi des réponses aux questions par rapport aux questions sans réponse.
Personnalisation : Cette politique n’est pas personnalisable par le client, mais les clients ont le droit de demander la suppression de leurs données à tout moment pendant la durée du contrat.
Conservation et suppression des données :
Toutes les données collectées sont conservées au sein de votre projet Document360.
Les données sont définitivement supprimées lorsque le projet de base de connaissances est supprimé.
Vous pouvez demander la suppression de ces données à tout moment au cours de votre contrat avec Document360.
Responsabilité : Le chef de la direction est responsable de la mise en œuvre et de la conformité de cette politique dans tous les comptes et projets des clients.
Confidentialité des données
Nous privilégions votre vie privée et nous nous accrochons à des informations strictes concernant les pratiques :
Conformité à la confidentialité des données : Nous avons signé un accord de traitement des données (DPA) avec OpenAI, décrivant notre engagement en faveur de la confidentialité et de la protection des données. Pour plus de détails, reportez-vous à DPA avec OpenAI.
Nous utilisons les modèles ChatGPT 3.5 et GPT-4 d’OpenAI pour alimenter Eddy AI, garantissant ainsi des performances et des capacités de pointe.
Cette fonctionnalité adhère aux politiques de confidentialité d’OpenAI en utilisant une forme d’intégration OpenAI.
Nous envoyons des données à OpenAI via leurs API. Un extrait de la politique indique : « OpenAI n’utilisera pas les données soumises par les clients via notre API pour former des modèles OpenAI ou améliorer les offres de services d’OpenAI. » Toutes les données envoyées via l’API à OpenAI seront conservées à des fins d’analyse pendant un maximum de 30 jours, après quoi elles seront supprimées.
NOTE
Lire l’intégralité de la OpenAI API data usage policies.
Si vous avez des questions concernant la politique de données de Document360, veuillez lire notre Privacy policy.
Foire aux questions
Document360 implique-t-il des fonctionnalités d’IA générative ou de modèle de langage à grande échelle (LLM) ?
Oui, Eddy AI, une fonctionnalité de Document360, utilise des LLM tiers tels que OpenAI, les API Anthropic et l’IA générative pour améliorer l’expérience utilisateur. Il s’appuie sur des modèles de langage avancés pour fournir une assistance intelligente et générer du contenu.
Pouvons-nous choisir de ne pas former d’IA/LLM tiers sur nos données ?
Oui, les données client ne sont pas utilisées pour entraîner des modèles d’IA/LLM. Eddy AI utilise la technologie d’OpenAI, mais conformément à la politique de confidentialité d’OpenAI et à notre accord avec eux, les données envoyées via leur système ne sont pas utilisées pour l’entraînement de l’IA.
Nous envoyons des données à OpenAI via leur API. Comme indiqué dans leur politique : « OpenAI n’utilisera pas les données soumises par les clients via notre API pour former des modèles OpenAI ou améliorer les offres de services d’OpenAI. » Cependant, OpenAI peut conserver les données jusqu’à 30 jours à des fins d’analyse et de conformité, après quoi elles sont définitivement supprimées.
Eddy AI est-il construit sur la même infrastructure que Document360 ?
Oui, Eddy AI fonctionne sur la même infrastructure sécurisée et fiable que Document360. Cela garantit des performances constantes et le respect de nos normes.
Dans quels pays et régions ces technologies/plateformes/modèles d’IA sont-ils hébergés ?
Les technologies/plateformes/modèles d’IA sont hébergés dans la région de l’Union européenne (UE).
Comment Document360 s’assure-t-il que mes données ne sont pas consultées ou divulguées à d’autres clients ? Quelle assurance de sécurité est approuvée ?
Document360 est conforme à la norme SOC II et adhère aux meilleures pratiques d’ingénierie standard de l’industrie pour garantir l’isolation et la protection des données. Des mesures de sécurité robustes sont mises en œuvre pour empêcher tout accès non autorisé, garantissant ainsi que vos données restent sécurisées et inaccessibles aux autres clients. Pour plus de détails, consultez nos pratiques en matière de sécurité.
Comment Document360 s’assure-t-il que les données clients non ciblées ne sont pas ingérées ?
Document360 respecte strictement le RGPD et la loi européenne sur l’IA. Nos processus internes et nos pratiques de traitement des données sont conçus pour s’aligner sur toutes les exigences légales et de conformité pertinentes, en veillant à ce que seuls les éléments de données prévus et autorisés soient traités. Les données client non ciblées sont explicitement exclues de l’ingestion.
Qu’est-ce que le SLA de disponibilité et est-il pris en charge par tous les sous-traitants et tiers ?
Document360 maintient un SLA de disponibilité de 99,99 %, qui est entièrement pris en charge par tous les sous-traitants ultérieurs concernés et les fournisseurs de services tiers impliqués dans la fourniture de nos services.
Quels sont les contrôles mis en place pour détecter et prévenir les erreurs ?
Nous enregistrons tous les résultats et réponses générés par Eddy AI. De plus, nous sommes en train d’intégrer des outils d’observabilité LLM pour améliorer les capacités de surveillance et de prévention des erreurs.
Quelle est la marge d’erreur attendue pour les réponses d’Eddy AI ? Comment le respect de la marge d’erreur autorisée est-il surveillé et mesuré ?
D’après nos tests internes, Eddy AI démontre un taux de précision de 96 à 98 % lorsqu’il répond aux requêtes des utilisateurs. Nous intégrons activement les outils d’observabilité LLM et utilisons des cadres d’évaluation tels que OpenAI Evals, RAGAS et les métriques GeneralQA pour évaluer les performances et la précision par rapport à des points de référence définis.
Le produit a-t-il été évalué pour détecter les préjugés, la toxicité ou le contenu préjudiciable tel que les menaces, les blasphèmes ou la polarité politique ?
Oui, nous utilisons les API de modération OpenAI pour évaluer les réponses à la recherche de contenu préjudiciable. Si une réponse est signalée, Eddy AI évitera de générer la réponse.
Comment le risque d’hallucination de l’IA est-il géré dans Eddy AI ?
Document360 dispose d’une stratégie d’atténuation des risques liés à l’IA. Eddy AI est strictement limité au contenu de votre base de connaissances. Les invites de notre système guident l’IA pour éviter de générer des réponses non étayées ou préparées. Si Eddy AI n’est pas sûr ou ne peut pas citer une source fiable, il répondra par « Je ne sais pas ».
Les décisions de l’IA sont-elles explicables et y a-t-il une surveillance humaine dans le processus ?
Oui, toutes les réponses générées par l’IA d’Eddy AI incluent des citations en ligne, ce qui permet aux utilisateurs finaux de voir clairement la source de l’information et de comprendre comment la réponse est générée. De plus, nous suivons une approche humaine dans le cadre de notre gouvernance de l’IA. Bien qu’Eddy AI puisse aider à formuler des recommandations, les décisions finales sont laissées aux humains, ce qui garantit la surveillance et la responsabilité.