Plannen ter ondersteuning van het gebruik van AI-functies
| Professional | Business | Enterprise |
|---|---|---|
Bij Document360 zetten we ons in voor transparantie met onze klanten over onze producten en hoe we AI gebruiken om uw ervaring te verbeteren. Hier is een uitgebreid overzicht van de functionaliteit van Eddy AI, met nadruk op onze robuuste beveiligingsmaatregelen en privacypraktijk
Naleving
Eddy AI, onze geavanceerde AI-tool, houdt zich aan strikte nalevingsnormen, zoals:
AVG: We houden ons aan de Algemene Verordening Gegevensbescherming en zorgen voor robuuste gegevensbescherming en privacy voor alle personen in de Europese Unie.
SOC 2 Type 2: Onze praktijken zijn in overeenstemming met de vereisten van SOC 2 Type 2 en de EU AI Act, wat onze toewijding aan beveiliging, beschikbaarheid en vertrouwelijkheid aantoont.
Subverwerkers
Om een hoogwaardige service te leveren, maakt Eddy AI gebruik van een netwerk van vertrouwde subprocessors. Waaronder:
MongoDB: Gebruikt als onze vectordatabase.
OpenAI: Biedt AI-mogelijkheden, gebruikmakend van hun geavanceerde modellen.
Azure: Onze cloudprovider zorgt voor een schaalbare en betrouwbare infrastructuur.
Stripe: Vergemakkelijkt veilige betalingsverwerking.
Segment: Gebruikt voor productanalyse om de gebruikerservaring te verbeteren.
Mixpanel: Maakt geavanceerde analyses mogelijk.
Gegevensbeveiliging en privacy
We nemen feiten, veiligheid en privacy serieus. Alle feiten die verband houden met Eddy AI worden veilig opgeslagen en versleuteld. Zo waarborgen we de integriteit en vertrouwelijkheid van uw gegevens:
Gegevens in rust: Alle informatie wordt versleuteld met behulp van industriestandaard versleutelingsprotocollen.
Gegevens tijdens de overdracht: Gegevens die tussen uw tool en onze servers worden verzonden, worden versleuteld om u te beschermen tegen onderschepping en manipulatie.
Eddy AI is ontworpen om stabiele en betrouwbare algehele prestaties te leveren, zelfs bij hoge bezetting. Document360 biedt ook een AI-incidentresponsplan.
Weg
1. Cryptografie beleid
Doel: Het beleid is gericht op het waarborgen van het juiste en effectieve gebruik van cryptografie om de vertrouwelijkheid, authenticiteit en integriteit van informatie te beschermen.
Toepassingsgebied: Het beleid is van toepassing op alle door Document360 ontwikkelde en/of gecontroleerde informatiesystemen die vertrouwelijke gegevens opslaan of verzenden.
Beleidseigenaar: De CEO is verantwoordelijk voor het beleid.
Ingangsdatum: Het beleid wordt van kracht op 1 maart 2024.
Risico-evaluatie: Document360 evalueert risico's en implementeert cryptografische controles om ze waar nodig te beperken.
Versleutelingsstandaarden: Sterke cryptografie met bijbehorende sleutelbeheerprocessen en -procedures moet worden geĆÆmplementeerd en gedocumenteerd in overeenstemming met industriestandaarden, waaronder NIST SP 800-57. We hebben een gedeeltelijke implementatie van het NIST AI Risk Management Framework.
Sleutelbeheer: de toegang tot sleutels en geheimen wordt streng gecontroleerd en er zijn specifieke aanbevelingen voor het gebruik van cryptografische sleutels, waaronder sleuteltypen, algoritmen en sleutellengtes voor verschillende domeinen, zoals webcertificaten, webversleutelingen en eindpuntopslag.
Uitzonderingen: Verzoeken om uitzonderingen op het beleid moeten ter goedkeuring worden voorgelegd aan de CEO en moeten worden gedocumenteerd.
Overtredingen en handhaving: Bekende overtredingen moeten worden gemeld aan de CEO en kunnen leiden tot disciplinaire maatregelen, waaronder beƫindiging van het dienstverband.
Gegevens in rust: Vertrouwelijke gegevens in rust moeten worden versleuteld met behulp van symmetrische versleuteling met AES-256 bit voor een periode van maximaal 1 jaar.
Wachtwoorden: Wachtwoorden moeten worden gehasht met behulp van eenrichtingshashfuncties zoals Bcrypt, PBKDF2, scrypt of Argon2, met een 256-bits sleutel en een 10K stretch, inclusief een uniek cryptografisch zout en peper.
2. Responsplan voor incidenten
Doel en reikwijdte: Het document is bedoeld om een plan te bieden voor het beheer van informatiebeveiligingsincidenten en -gebeurtenissen, dat al dergelijke voorvallen binnen het bedrijf omvat.
Definities: Het verduidelijkt het verschil tussen een beveiligingsgebeurtenis (een waarneembare gebeurtenis die relevant is voor gegevensbeveiliging) en een beveiligingsincident (een gebeurtenis die leidt tot verlies of schade aan de gegevensbeveiliging).
Rapportage en documentatie: Medewerkers krijgen de opdracht om vermoedelijke incidenten onmiddellijk te melden via specifieke communicatiekanalen, en alle incidenten moeten worden gedocumenteerd.
Ernstniveaus: Incidenten worden gecategoriseerd in S1 (Kritiek), S2 (Hoog) en S3/S4 (Gemiddeld/Laag) ernstniveaus, met duidelijke richtlijnen voor escalatie en reactie.
Incident Response Team: Ingenieursmanagers leiden de incidentrespons, met een aangewezen "War Room" voor gecentraliseerde respons. Er worden regelmatig vergaderingen gehouden om het incidentticket bij te werken, indicatoren van compromittering te documenteren en andere responsactiviteiten uit te voeren.
Analyse van de hoofdoorzaak: Voor kritieke incidenten wordt een analyse van de hoofdoorzaak uitgevoerd, gedocumenteerd en beoordeeld door de Director of Engineering, die beslist over de noodzaak van een post-mortem vergadering.
Responsproces: Het responsproces omvat triage, onderzoek, inperking, uitroeiing, herstel en verharding, met een focus op geleerde lessen en verbeteringen op de lange termijn.
Fysieke beveiliging: Het document gaat in op de fysieke beveiliging van getroffen systemen, inclusief isolatie- en back-upprocedures.
Bepaling en rapportage van inbreuken: Alleen de Product Owner kan bepalen of een incident een inbreuk vormt. Het bedrijf zal alle relevante partijen onmiddellijk op de hoogte stellen in overeenstemming met het beleid en de wettelijke vereisten.
Externe communicatie: Het bedrijf werkt waar nodig samen met klanten, gegevensbeheerders en autoriteiten, waarbij juridisch en uitvoerend personeel de aanpak bepaalt.
Rollen en verantwoordelijkheden: Het document schetst de specifieke verantwoordelijkheden van de rollen van incidentresponders.
Speciale overwegingen: Het omvat het afhandelen van interne problemen, gecompromitteerde communicatie en compromissen met root-accounts.
Incidentstatus en samenvatting: Er wordt een gedetailleerd sjabloon verstrekt voor het documenteren van incidentdetails, waaronder datum, tijd, locatie, betrokken personeel, type betrokken informatie, indicatoren van compromittering, hoofdoorzaak en ondernomen acties.
Polisheigenaar en ingangsdatum: De producteigenaar is de polishouder en het plan wordt van kracht op 1 maart 2024.
3. Beleid inzake rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Doelstelling: Duidelijke taken en verantwoordelijkheden vaststellen voor de bescherming van elektronische informatiesystemen en aanverwante apparatuur.
Beleidseigenaar en ingangsdatum: De CEO is de eigenaar van de polis en het plan wordt van kracht op 1 maart 2024.
Toepasselijkheid
Is van toepassing op alle Document360-infrastructuur, netwerksegmenten, systemen, werknemers en contractanten die betrokken zijn bij beveiligings- en IT-functies.
Audiƫntie
Alle medewerkers en contractanten die betrokken zijn bij het Informatiebeveiligingsprogramma.
Omvat partners, gelieerde ondernemingen, tijdelijke werknemers, stagiairs, gasten en vrijwilligers.
Rollen en verantwoordelijkheden
Uitvoerend leiderschap:
Keurt kapitaaluitgaven voor beveiligingsprogramma's goed.
Houdt toezicht op de uitvoering en communicatie van informatiebeveiliging en privacyrisicobeheer.
Zorgt voor naleving van wetten en normen (bijv. GDPR, CCPA, SOC 2, ISO 27001).
Beoordeelt servicecontracten van leveranciers en houdt toezicht op het risicobeheer van derden.
Directeur Engineering:
Houdt toezicht op informatiebeveiliging bij softwareontwikkeling.
Implementeert en bewaakt beveiligingscontroles voor ontwikkelings- en IT-processen.
Voert IT-risicobeoordelingen uit en communiceert risico's naar het leiderschap.
VP van klantenondersteuning:
Beheert informatiebeveiligingstools en -processen in klantomgevingen.
Zorgt voor naleving van het beleid voor het bewaren en verwijderen van gegevens.
Systeemeigenaren:
Behoud de vertrouwelijkheid, integriteit en beschikbaarheid van informatiesystemen.
Goedkeuren van toegangs- en wijzigingsverzoeken voor hun systemen.
Werknemers, opdrachtnemers, uitzendkrachten:
Handel verantwoordelijk om gezondheid, veiligheid en informatiebronnen te beschermen.
Identificeer gebieden voor verbeterde risicobeheerpraktijken.
Meld incidenten en houd u aan het bedrijfsbeleid.
Hoofd People Officer
Zorgt ervoor dat werknemers en aannemers gekwalificeerd en bekwaam zijn.
Houdt toezicht op antecedentenonderzoeken, beleidspresentatie en naleving van de gedragscode.
Evalueert de prestaties van werknemers en biedt beveiligingstraining.
Naleving van het beleid
Naleving gemeten door middel van rapporten, audits en feedback.
Uitzonderingen moeten vooraf worden goedgekeurd door de CEO.
Niet-naleving kan leiden tot disciplinaire maatregelen, waaronder ontslag.
Controle van documenten
Versie: 1.0
Datum: 3 februari 2024
4. Veilig ontwikkelingsbeleid
Beleidseigenaar en ingangsdatum: De CEO is de eigenaar van de polis en het plan wordt van kracht op 1 maart 2024.
Doel: Ervoor zorgen dat informatiebeveiliging wordt ontworpen en geĆÆmplementeerd binnen de ontwikkelingslevenscyclus van applicaties en informatiesystemen.
Draagwijdte: Is van toepassing op alle Document360-applicaties en informatiesystemen die bedrijfskritisch zijn en/of vertrouwelijke gegevens verwerken, opslaan of verzenden.
Secure-by-design-principes:
Minimaliseer het aanvalsoppervlak.
Stel veilige standaardinstellingen in.
Pas het beginsel van de minste bevoegdheden toe.
Implementeer verdediging in de diepte.
Veilig falen.
Vermijd veiligheid door onduidelijkheid.
Houd de beveiliging eenvoudig.
Privacy-by-design-principes:
Proactieve, preventieve aanpak.
Privacy als standaardinstelling.
Privacy ingebed in het ontwerp.
Volledige functionaliteit zonder afbreuk te doen aan de privacy.
End-to-end beveiliging.
Bescherming gedurende de volledige levenscyclus.
Ontwikkelomgeving: Logische of fysieke scheiding van omgevingen: Productie, Test/Staging, Ontwikkeling.
Systeem acceptatie testen: Stel acceptatietestprogramma's en -criteria op voor nieuwe informatiesystemen, upgrades en nieuwe versies. Voltooi een releasechecklist voordat u code implementeert.
Bescherming van testgegevens: Testgegevens moeten zorgvuldig worden geselecteerd, beschermd en gecontroleerd. Vertrouwelijke klantgegevens moeten worden beschermd en mogen niet worden gebruikt voor testen zonder expliciete toestemming.
Procedures voor wijzigingsbeheer: Zorg ervoor dat de ontwikkeling, het testen en de implementatie van wijzigingen niet door Ć©Ć©n persoon worden uitgevoerd zonder goedkeuring en toezicht.
Versiebeheer van software: Alle software wordt beheerd door de versie, waarbij de toegang beperkt is op basis van de rol.
Naleving van het beleid: Gemeten door middel van rapporten, audits en feedback. Niet-naleving kan leiden tot disciplinaire maatregelen, tot en met beƫindiging.
5. Beleid inzake de gedragscode
Beleidseigenaar: De CEO is verantwoordelijk voor het beleid.
Ingangsdatum: Het beleid wordt van kracht op 1 maart 2024.
Doel: Het beleid is gericht op het creƫren en behouden van een veilige en inclusieve omgeving voor alle medewerkers.
Reikwijdte: Dit beleid is van toepassing op alle medewerkers in alle professionele omgevingen binnen de organisatie.
Cultuur: De organisatiecultuur die door dit beleid wordt gepromoot, legt de nadruk op respect, samenwerking en aandacht onder alle werknemers.
Verwacht gedrag: Van medewerkers wordt verwacht dat ze actief deelnemen aan het creƫren van een respectvolle en collaboratieve werkomgeving.
Onaanvaardbaar gedrag: Elke vorm van intimidatie, geweld, discriminatie of ongepast gedrag is ten strengste verboden.
Wapenbeleid: Het beleid verbiedt het bezit van wapens op het terrein van het bedrijf, met strikte gevolgen voor overtredingen.
Gevolgen: Niet-naleving van dit beleid leidt tot onmiddellijke corrigerende maatregelen, waaronder disciplinaire maatregelen en de verplichting om overtredingen te melden.
Verantwoordelijkheid: De CEO heeft de verantwoordelijkheid om ervoor te zorgen dat alle medewerkers zich houden aan de principes die in dit beleid worden uiteengezet.
6. Beleid voor toegangscontrole
Beleidseigenaar: De CEO is verantwoordelijk voor het beleid.
Ingangsdatum: Het beleid wordt van kracht op 1 maart 2024.
Doel: Het doel van dit beleid is om de toegang tot informatie en systemen te beperken tot geautoriseerde personen in overeenstemming met de bedrijfsdoelstellingen.
Draagwijdte: Dit beleid is van toepassing op alle systemen die door Document360 worden beheerd en die omgaan met vertrouwelijke gegevens van medewerkers en externe partijen met netwerktoegang.
Samenvatting van toegangscontrole en gebruikersbeheer:
Gebruikers identificeren: Toegangsrechten worden toegewezen op basis van specifieke functies en competenties die nodig zijn om taken uit te voeren.
Autorisatie behouden: Alle toewijzingen van geprivilegieerde toegang worden gedocumenteerd en bijgehouden om verantwoording af te leggen.
Veiligheidsmaatregelen afdwingen: Multi-factor authenticatie (MFA) is verplicht voor geprivilegieerde toegang om de beveiliging te verbeteren. Algemene beheerders-ID's zijn verboden om ongeoorloofd gebruik te voorkomen.
Protocollen aannemen: Tijdgebonden toegangsrechten worden verleend om blootstelling te beperken en beveiligingsrisico's te verminderen.
Logboekregistratie en controle: Alle bevoegde logins en activiteiten worden geregistreerd en gecontroleerd om te controleren op ongeoorloofde toegang of misbruik.
Beoordelingen van gebruikerstoegang: Regelmatige beoordelingen zorgen ervoor dat duidelijke en geschikte identiteiten worden gehandhaafd voor degenen met bevoorrechte toegang.
Beleid voor toegangscontrole: De toegang is beperkt tot alleen geautoriseerde partijen, zodat de informatie beschermd blijft.
Wachtwoordbeheer: Veilige aanmeldingsprocedures en wachtwoordbeleid zijn geĆÆmplementeerd om te beschermen tegen ongeoorloofde toegang.
Provisioning van gebruikerstoegang: Toegangsrechten worden verleend op basis van gedocumenteerde zakelijke vereisten en gevalideerde behoeften.
Overtredingen en handhaving: Schendingen van dit beleid worden gemeld en zijn onderworpen aan handhavingsmaatregelen om naleving en beveiliging te handhaven.
7. Beleid inzake gegevensbeheer
Beleidseigenaar: De CEO is verantwoordelijk voor het beleid.
Ingangsdatum: Het beleid wordt van kracht op 1 maart 2024.
Doel: Om ervoor te zorgen dat informatie wordt geclassificeerd, beschermd, bewaard en veilig wordt verwijderd op basis van het belang ervan voor de organisatie.
Draagwijdte: Van toepassing op alle gegevens-, informatie- en informatiesystemen van Document360.
Classificatie van gegevens: Vertrouwelijk: zeer gevoelige gegevens waarvoor de hoogste beschermingsniveaus nodig zijn. Voorbeelden zijn klantgegevens, PII, financiƫle gegevens van het bedrijf, strategische plannen en technische rapporten.
Beperkt: Bedrijfseigen informatie die grondige bescherming vereist. Standaardclassificatie voor alle bedrijfsinformatie, tenzij anders vermeld. Voorbeelden zijn intern beleid, juridische documenten, contracten en e-mails.
Publiek: Informatie die bedoeld is voor openbare consumptie en vrij kan worden verspreid. Denk hierbij aan marketingmateriaal en productbeschrijvingen.
Gegevensverwerking:
Vertrouwelijke gegevens:
Beperkte toegang tot specifieke medewerkers of afdelingen.
Moet in rust en tijdens het transport worden versleuteld.
Mag niet worden opgeslagen op persoonlijke apparaten of verwijderbare media.
Vereist veilige opslag en verwijdering.
Beperkte gegevens:
Toegang beperkt tot gebruikers met een need-to-know-basis.
Vereist goedkeuring van het management voor externe overdracht.
Veilige opslag en afvoer zijn verplicht.
Openbare gegevens: Er zijn geen speciale beschermings- of hanteringscontroles vereist.
Bewaring en verwijdering van gegevens:
Gegevens worden bewaard zolang als nodig is voor zakelijke, regelgevende of contractuele vereisten.
Vertrouwelijke en beperkte gegevens worden veilig verwijderd wanneer ze niet langer nodig zijn.
PII verwijderd of geanonimiseerd wanneer deze niet langer nodig is voor zakelijke doeleinden.
Jaarlijkse gegevensbeoordeling: Het management evalueert jaarlijks de vereisten voor het bewaren van gegevens om ervoor te zorgen dat het beleid wordt nageleefd.
Wettelijke vereisten: Gegevens in verband met juridische bewaarplichten of rechtszaken zijn vrijgesteld van de standaardbeleidsvereisten en worden bewaard volgens de bepalingen van de juridisch adviseur.
Naleving van het beleid: Compliance gemeten door middel van rapporten en audits van bedrijfstools.
Uitzonderingen: Voor eventuele uitzonderingen op het beleid is goedkeuring van de CEO vereist.
Overtredingen en handhaving: Bekende beleidsovertredingen moeten worden gemeld aan de CEO en kunnen leiden tot disciplinaire maatregelen, waaronder beƫindiging van het dienstverband.
8. Operationeel beveiligingsbeleid
Beleidseigenaar: De CEO is verantwoordelijk voor het beleid.
Ingangsdatum: Het beleid wordt van kracht op 1 maart 2024.
Doel en reikwijdte:
Zorgen voor de veilige werking van informatieverwerkingssystemen en -faciliteiten.
Is van toepassing op alle kritieke Document360-informatiesystemen en entiteiten van derden met netwerktoegang.
Gedocumenteerde operationele procedures:
Technische en administratieve procedures moeten worden gedocumenteerd en toegankelijk zijn voor de relevante gebruikers.
Verandermanagement:
Belangrijke wijzigingen moeten worden gedocumenteerd, getest, beoordeeld en goedgekeurd voordat ze worden geĆÆmplementeerd.
Noodwijzigingen vereisen beoordeling en autorisatie met terugwerkende kracht.
Capaciteitsbeheer:
Bewaak en pas verwerkingsbronnen en systeemopslag aan om te voldoen aan prestatie-eisen.
Neem de capaciteit van het personeelsbestand op in de planning en jaarlijkse risicobeoordelingen.
Preventie van gegevenslekken:
Identificeer en classificeer informatie volgens het gegevensbeheerbeleid.
Train gebruikers in het correct omgaan met gevoelige informatie.
Gebruik Data Loss Prevention (DLP)-tools op basis van risicobeoordeling.
Web filteren:
Implementeer DNS- en IP-blokkering om de toegang tot risicovolle websites te beperken.
Blokkeer websites met schadelijke inhoud of command and control-servers, tenzij dit nodig is voor bedrijven.
Scheiding van omgevingen:
Onderscheid ontwikkelings-, staging- en productieomgevingen strikt.
Gebruik geen vertrouwelijke productieklantgegevens in ontwikkel- of testomgevingen zonder toestemming.
Systemen en netwerkconfiguratie:
Volg configuratie- en verhardingsstandaarden om de systeem- en netwerkbeveiliging te behouden.
Controleer de configuratieregels voor toegang tot het productienetwerk jaarlijks.
Bescherming tegen malware:
Implementeer detectie-, preventie- en herstelcontroles voor malware.
Gebruik anti-malware en software voor het detecteren van bedreigingen op alle eindpunten en e-mails van het bedrijf.
Back-up van informatie: Ontwerp en implementeer back-upprocessen voor systemen en gegevens, zodat klantgegevens kunnen worden hersteld volgens SLA's.
Logboekregistratie en monitoring: Implementeer logging en monitoring om beveiligingsincidenten te detecteren en erop te reageren.
Controle van operationele software: Beheer de installatie en het gebruik van operationele software volgens vastgestelde regels.
Informatie over bedreigingen: Verzamel en analyseer bedreigingen voor informatiebeveiliging om bruikbare informatie te produceren.
Technisch beheer van kwetsbaarheden: Identificeer, beoordeel en verhelp technische kwetsbaarheden tijdig.
Beperkingen op software-installatie: Stel regels op voor software-installatie om beveiliging en naleving te garanderen.
Overwegingen bij het auditen van informatiesystemen: Plan en spreek auditvereisten af om verstoringen van bedrijfsprocessen tot een minimum te beperken.
Beoordeling en vereisten van systeembeveiliging: Neem beveiligingsvereisten op bij de aanschaf of belangrijke wijzigingen in systemen.
Maskeren van gegevens: Implementeer technieken voor gegevensmaskering om PII en gevoelige gegevens te beschermen op basis van risicobeoordeling.
9. Beleid inzake gegevensbewaring
Beleidseigenaar: De CEO is verantwoordelijk voor het beleid inzake gegevensbewaring.
Ingangsdatum: Het beleid wordt van kracht op 1 maart 2024.
Doel: Dit beleid beschrijft hoe gegevens worden opgeslagen, geanalyseerd en verwijderd binnen Document360, waardoor transparantie en gebruikerscontrole over de bewaarde informatie worden gegarandeerd.
Reikwijdte: Dit beleid is van toepassing op alle klanten die Document360 gebruiken, inclusief zowel publieke als private kennisbankprojecten.
Gegevensverzameling:
Voor openbare sites: er worden geen gegevens op gebruikersniveau verzameld.
Voor privƩprojecten: We verzamelen gegevens op gebruikersniveau, waaronder de identiteit van de gebruiker die een prompt indient, tijdstempels en andere gebruikersinformatie die beschikbaar is binnen Document360.
Gegevensgebruik: Document360 slaat alle prompts/vragen op die in de Eddy AI-chatbot zijn ingevoerd om de volgende analyses uit te voeren:
Topische analyse: Clustering van vragen/prompts met behulp van interne algoritmen en OpenAI-API's.
Citatieanalyse: het identificeren van de meest geciteerde artikelen.
Statistieken: het weergeven van dieptestatistieken en het bijhouden van beantwoorde versus onbeantwoorde vragen.
Maatwerk: Dit beleid kan niet worden aangepast door de klant, maar klanten hebben het recht om op elk moment tijdens de contractperiode te verzoeken om verwijdering van hun gegevens.
Bewaring en verwijdering van gegevens:
Alle verzamelde gegevens worden bewaard binnen uw Document360-project.
Gegevens worden permanent verwijderd wanneer het kennisbankproject wordt verwijderd.
U kunt op elk moment tijdens uw contract met Document360 verzoeken om verwijdering van deze gegevens.
Verantwoordelijkheid: De CEO is verantwoordelijk voor de implementatie en naleving van dit beleid in alle klantaccounts en projecten.
Gegevensbescherming
We geven prioriteit aan uw privacy en houden vast aan strikte informatie over praktijken:
Naleving van gegevensprivacy: We hebben een gegevensverwerkingsovereenkomst (DPA) getekend met OpenAI, waarin we onze toewijding aan gegevensprivacy en -bescherming uiteenzetten. Raadpleeg DPA met OpenAI voor meer informatie.
We gebruiken OpenAI's ChatGPT 3.5- en GPT-4-modellen om Eddy AI aan te drijven en zorgen voor geavanceerde prestaties en mogelijkheden.
Deze functie houdt zich aan het privacybeleid van OpenAI door gebruik te maken van een vorm van OpenAI-integratie.
We sturen gegevens naar OpenAI via hun API's. In een uittreksel uit het beleid staat: "OpenAI zal geen gegevens gebruiken die door klanten via onze API zijn ingediend om OpenAI-modellen te trainen of het serviceaanbod van OpenAI te verbeteren." Alle gegevens die via de API naar OpenAI worden verzonden, worden maximaal 30 dagen bewaard voor analytische doeleinden, waarna ze worden verwijderd.
NOTITIE
Lees de volledige OpenAI API data usage policies.
Als u vragen heeft over het gegevensbeleid van Document360, lees dan onze Privacy policy.
Veelgestelde vragen
Bevat Document360 functies voor generatieve AI of een groot taalmodel (LLM)?
Ja, Eddy AI, een functie in Document360, maakt gebruik van LLM's van derden, zoals OpenAI, Anthropic API's en generatieve AI om de gebruikerservaring te verbeteren. Het maakt gebruik van geavanceerde taalmodellen om slimme hulp te bieden en inhoud te genereren.
Kunnen we ervoor kiezen om AI/LLM's van derden niet te trainen op onze gegevens?
Ja, klantgegevens worden niet gebruikt om AI/LLM-modellen te trainen. Eddy AI maakt gebruik van de technologie van OpenAI, maar volgens het privacybeleid van OpenAI en onze overeenkomst met hen worden alle gegevens die via hun systeem worden verzonden, niet gebruikt voor AI-training.
We sturen gegevens naar OpenAI via hun API. Zoals vermeld in hun beleid: "OpenAI zal geen gegevens gebruiken die door klanten via onze API zijn ingediend om OpenAI-modellen te trainen of het serviceaanbod van OpenAI te verbeteren." OpenAI kan de gegevens echter maximaal 30 dagen bewaren voor analyse- en nalevingsdoeleinden, waarna ze permanent worden verwijderd.
Is Eddy AI gebouwd op dezelfde infrastructuur als Document360?
Ja, Eddy AI draait op dezelfde veilige en betrouwbare infrastructuur als Document360. Dit zorgt voor consistente prestaties en naleving van onze normen.
In welke landen en regio's worden deze AI-technologieƫn/platforms/-modellen gehost?
De AI-technologieƫn/platforms/-modellen worden gehost in de regio van de Europese Unie (EU).
Hoe zorgt Document360 ervoor dat mijn gegevens niet worden geraadpleegd of gelekt naar andere klanten? Welke beveiligingsgarantie is goedgekeurd?
Document360 voldoet aan SOC II en voldoet aan industriestandaard technische best practices om gegevensisolatie en -bescherming te garanderen. Er worden robuuste beveiligingsmaatregelen geĆÆmplementeerd om ongeoorloofde toegang te voorkomen, zodat uw gegevens veilig en ontoegankelijk blijven voor andere klanten. Raadpleeg onze beveiligingsprocedures voor meer informatie.
Hoe zorgt Document360 ervoor dat niet-gerichte klantgegevens niet worden opgenomen?
Document360 houdt zich strikt aan de AVG en de EU AI Act. Onze interne processen en gegevensverwerkingspraktijken zijn ontworpen om in overeenstemming te zijn met alle relevante wettelijke en nalevingsvereisten, zodat alleen de beoogde en geautoriseerde gegevenselementen worden verwerkt. Niet-gerichte klantgegevens worden uitdrukkelijk uitgesloten van opname.
Wat is de uptime-SLA en wordt deze ondersteund door alle subverwerkers en derden?
Document360 handhaaft een SLA voor een uptime van 99,99%, die volledig wordt ondersteund door alle relevante subverwerkers en externe serviceproviders die betrokken zijn bij het leveren van onze diensten.
Welke maatregelen zijn er om fouten te detecteren en te voorkomen?
We registreren alle outputs en reacties die door Eddy AI worden gegenereerd. Daarnaast zijn we bezig met het integreren van LLM-waarneembaarheidstools om de mogelijkheden voor monitoring en foutpreventie te verbeteren.
Wat is de verwachte foutmarge voor Eddy AI-antwoorden? Hoe wordt de naleving van de toegestane foutenmarge bewaakt en gemeten?
Op basis van onze interne tests toont Eddy AI een nauwkeurigheidspercentage van 96-98% aan bij het beantwoorden van vragen van gebruikers. We integreren actief LLM-waarneembaarheidstools en gebruiken evaluatiekaders zoals OpenAI Evals-, RAGAS- en GeneralQA-metrieken om prestaties en nauwkeurigheid te beoordelen aan de hand van gedefinieerde benchmarks.
Is het product beoordeeld op vooringenomenheid, toxiciteit of schadelijke inhoud zoals bedreigingen, godslastering of politieke polariteit?
Ja, we gebruiken OpenAI Moderatie API's om reacties op schadelijke inhoud te evalueren. Als een reactie wordt gemarkeerd, zal Eddy AI voorkomen dat de reactie wordt gegenereerd.
Hoe wordt het risico op AI-hallucinatie beheerd in Eddy AI?
Document360 heeft een AI-risicobeperkende strategie. Eddy AI is strikt beperkt tot de inhoud van uw kennisbank. Onze systeemprompts begeleiden de AI om te voorkomen dat er niet-ondersteunde of verzonnen antwoorden worden gegenereerd. Als Eddy AI onzeker is of geen betrouwbare bron kan citeren, zal het reageren met "Ik weet het niet".
Zijn AI-beslissingen verklaarbaar en is er menselijk toezicht in het proces?
Ja, alle door AI gegenereerde antwoorden van Eddy AI bevatten inline citaties, waardoor eindgebruikers de bron van de informatie duidelijk kunnen zien en kunnen begrijpen hoe de reactie wordt gegenereerd. Daarnaast volgen we een human-in-the-loop-benadering als onderdeel van onze AI-governance. Hoewel Eddy AI kan helpen met aanbevelingen, worden de uiteindelijke beslissingen aan mensen overgelaten, waardoor toezicht en verantwoording worden gegarandeerd.