Przejdź do treści

Bezpieczeństwo · Zaufanie

Samodzielnie hostowany z założenia. Państwa dane nigdy nie opuszczają Państwa infrastruktury.

Olivares AI zarządza dostępem do agentów AI działających w Państwa infrastrukturze, dlatego od podstaw projektowano go z myślą o bezpieczeństwie. Działa wewnątrz Państwa własnej infrastruktury, obserwuje w trybie tylko do odczytu i rejestruje mapę dostępu — a nie dane, które przez nią przepływają. Ta strona uczciwie dowodzi, że tak właśnie jest.

Postępowanie z danymi

Czego dotykamy i co nigdy nie opuszcza środowiska

Najsilniejsza gwarancja prywatności jest architektoniczna, a nie certyfikatowa: ponieważ Olivares AI jest hostowany samodzielnie, dane wrażliwe pozostają w obrębie Państwa perymetru, a my nigdy ich nie widzimy.

Działa w Państwa infrastrukturze

Hostowany samodzielnie na Państwa własnych hostach, klastrach lub chmurach — sama warstwa sterowania może działać w pełni air-gapped, rejestrując swoją mapę dostępu bez wycieku Państwa danych na zewnątrz. Agenci, którymi Państwo zarządzają, nadal łączą się z wywoływanymi przez siebie API, takimi jak hostowany dostawca modeli; w pełni offline działają jedynie modele możliwe do samodzielnego hostowania. Hostowanie samodzielne oznacza, że Państwa dane nie opuszczają Państwa środowiska.

Krawędzie, nie ładunki

Rejestruje relacje dostępu — który agent może sięgnąć po który zasób oraz czy ma uprawnienia tylko do odczytu, czy do odczytu i zapisu — a nie treści zapytań, ładunki czy sekrety, które przez nie przepływają. Czego nie przechowujemy, tego nie możemy ujawnić.

Sekrety i dane osobowe zredagowane

Dane wejściowe, które mogą zawierać sekrety lub dane osobowe, są redagowane i skanowane pod kątem sekretów, zanim cokolwiek zostanie zapisane. Większa szczegółowość to coś, na co operator musi świadomie wyrazić zgodę.

Obserwacja tylko do odczytu

Kolektor obserwuje; nigdy nie zapisuje danych do Państwa baz danych i nigdy nie modyfikuje Państwa hostów. Odczytuje tożsamości, takie jak nazwa roli lub aplikacji — a nie wartości poświadczeń. To nie jest narzędzie do podsłuchiwania danych.

Brak telemetrii do producenta

Bezpieczny domyślnie oznacza brak „dzwonienia do domu”: telemetria dostawcy jest wyłączona, dopóki sami jej Państwo nie włączą. Nic na temat Państwa środowiska nie jest do nas wysyłane.

Państwo kontrolują retencję

Retencja i usuwanie danych są konfigurowalne, a we wdrożeniach air-gapped nic nigdy nie opuszcza środowiska, i koniec.

Zgłaszanie podatności

Zgłoś problem z bezpieczeństwem

Z zadowoleniem przyjmujemy skoordynowane zgłaszanie podatności i działamy w dobrej wierze wobec badaczy, którzy postępują tak samo. Szczególnie mile widziane są ustalenia dotyczące samego modelu bezpieczeństwa.

Zgłoś prywatnie na

security@olivares.ai

Prosimy nie otwierać publicznego zgłoszenia, pull requestu (żądania pobrania) ani dyskusji w sprawie podejrzewanej podatności. Na życzenie udostępniamy PGP, zanim prześlą Państwo szczegóły.

Pełna polityka Polityka zgłaszania podatności (SECURITY.md) Kontakt w formie odczytywalnej maszynowo /.well-known/security.txt (RFC 9116)

Czego można się spodziewać

  • Potwierdzenie odbioru w ciągu 3 dni roboczych
  • Wstępna ocena w ciągu 10 dni roboczych
  • Skoordynowane ujawnienie do 90 dni, wcześniej jeśli poprawka zostanie wdrożona

Prosimy nie przesyłać

Żadnych prawdziwych sekretów, poświadczeń ani tokenów (prosimy je zredagować), żadnych danych osobowych klientów lub osób trzecich ani zrzutów produkcyjnych, ani żadnej aktywnej eksploatacji systemów, których nie są Państwo właścicielami. Prosimy opisać wrażliwy wpływ zamiast go załączać — zorganizujemy bezpieczny kanał.

Olivares AI jest na etapie przedpremierowym. Nie istnieją jeszcze wspierane wersje oznaczone tagami; poprawki bezpieczeństwa są stosowane wyłącznie w gałęzi main.

Podprocesorzy

Kto jeszcze przetwarza dane

Ta witryna nie korzysta z żadnych podprocesorów analitycznych, reklamowych ani śledzących. Jest to statyczna strona z samodzielnie hostowanymi czcionkami, ścisłą polityką Content-Security-Policy w obrębie tej samej domeny (same-origin) i bez plików cookie. Jest serwowana przez sieć dostarczania treści (CDN), która obsługuje wyłącznie metadane połączenia niezbędne do dostarczenia strony — podczas przeglądania nie zbieramy żadnych danych osobowych.

Co do samego produktu: ponieważ Olivares AI jest hostowany samodzielnie w Państwa własnej infrastrukturze, po stronie dostawcy nie ma żadnego podprocesora Państwa danych. Pozostają one w obrębie Państwa perymetru i my ich nie widzimy. Ewentualna przyszła oferta zarządzana publikowałaby własną listę podprocesorów; obecnie żadna nie jest oferowana.

Przetwarzanie danych

Umowa powierzenia przetwarzania danych (art. 28 RODO)

Umowa powierzenia przetwarzania danych jest dostępna na życzenie na potrzeby zakupów korporacyjnych. Ponieważ Olivares AI jest hostowany samodzielnie, w większości wdrożeń pozostają Państwo administratorem i podmiotem przetwarzającym własne dane w obrębie własnej infrastruktury; umowę powierzenia można jednak zawrzeć, aby sformalizować obowiązki w ramach relacji handlowej.

Poproś o umowę powierzenia

Postawa wobec zgodności

Uczciwie o tym, na jakim jesteśmy etapie

Olivares AI jest na etapie przedpremierowym i nie posiada certyfikatów SOC 2, ISO/IEC 27001, unijnego aktu o sztucznej inteligencji (EU AI Act) ani żadnego innego standardu, a żaden audyt nie jest w toku. Projektujemy produkt tak, aby odpowiadał kontrolom badanym przez te standardy — rejestrowaniu w dzienniku audytu, kontroli dostępu, integralności, szyfrowaniu i zarządzaniu zmianami — aby był gotowy do audytu, gdy nadejdzie odpowiedni moment. Formalna certyfikacja (na przykład SOC 2 Type 2) to późniejszy krok, który architektura ma umożliwiać; nie warunkuje ona pierwszego wydania.

Standardy, do których projektujemy

  • SOC 2 / ISO 27001

    Cele kontrolne, do których projektujemy — niecertyfikowane, w planie rozwoju.

  • EU AI Act

    Zaprojektowany tak, aby wspierać oczekiwania w zakresie kontroli i dokumentacji.

  • CSA MAESTRO

    Metodyka modelowania zagrożeń, do której się odnosimy — nie jest to standard podlegający certyfikacji.

  • Zagrożenia agentowe OWASP

    Zmapowane na liście zagrożeń agentowych i sposobów ich łagodzenia.

  • Wytyczne CISA / NIST

    Wytyczne, a nie standard podlegający certyfikacji — projektowanie w ich kierunku, bez deklaracji zgodności.

Tam, gdzie opisujemy zgodność z zewnętrznymi standardami, jest to mapowanie techniczne, a nie certyfikacja — a w przypadku standardów, które nie są jeszcze ostateczne, jest to sygnał projektowania w ich kierunku, bez deklaracji zgodności.

Integralność kompilacji

  • Wydania są kryptograficznie podpisane, dostarczane z wykazem składników oprogramowania (SBOM) i opatrzone informacją o pochodzeniu kompilacji (build provenance).
  • Pojedynczy, bezpieczny pamięciowo statyczny plik binarny w minimalnych, utwardzonych obrazach kontenerów.
  • Minimalne, przypięte zależności — żadnych skryptów instalacyjnych uruchamiających niezweryfikowany kod.
  • Skanowanie zależności i sekretów blokuje każdą zmianę w CI.

Te gwarancje wchodzą w życie z chwilą pierwszego wydania oznaczonego tagiem; obecnie projekt jest na etapie pre-alpha.

Cele naprawcze

  • Krytyczna 7 dni
  • Wysoka 14 dni
  • Średnia 30 dni
  • Niska następne zaplanowane wydanie

Nasz zadeklarowany rytm naprawiania, obowiązujący od pierwszego wydania oznaczonego tagiem. Aktywnie wykorzystywane podatności są traktowane jako krytyczne.

Pytania o zaufanie

Dokąd trafiają moje dane?

W edycji hostowanej samodzielnie Państwa dane pozostają w obrębie Państwa własnej infrastruktury; Olivares AI ich nie otrzymuje. Produkt rejestruje mapę dostępu — a nie ładunki, sekrety czy dane osobowe, które przez nią przepływają.

Czy posiadają Państwo certyfikat SOC 2 lub ISO 27001?

Jeszcze nie. Produkt zaprojektowano tak, aby odpowiadał celom kontrolnym SOC 2 i ISO 27001, dzięki czemu jest gotowy do audytu, ale formalna certyfikacja jest w planie rozwoju i nie została jeszcze uzyskana. Nie będziemy deklarować certyfikatu, którego nie posiadamy.

Jak zgłosić podatność bezpieczeństwa?

Prosimy o prywatną wiadomość e-mail na security@olivares.ai — prosimy nie otwierać publicznego zgłoszenia. Nasza pełna polityka znajduje się w pliku SECURITY.md, do którego prowadzi odnośnik z /.well-known/security.txt (RFC 9116). Potwierdzamy odbiór w ciągu trzech dni roboczych.

Czy oferują Państwo umowę powierzenia przetwarzania danych?

Tak, umowa powierzenia przetwarzania danych zgodna z art. 28 RODO jest dostępna na życzenie na potrzeby zakupów korporacyjnych. Prosimy o kontakt: enterprise@olivares.ai.

Pytania od Państwa zespołu ds. bezpieczeństwa lub zakupów?

Zgłoś podatność do naszego kontaktu ds. bezpieczeństwa lub skontaktuj się w sprawie zakupów, umowy powierzenia przetwarzania danych albo przeglądu bezpieczeństwa.

Zgłoś podatność Skontaktuj się z działem zakupów