Безопасность · Доверие
Спроектирован для локального развёртывания. Ваши данные никогда не покидают вашу инфраструктуру.
Olivares AI управляет доступом к AI-агентам в вашей инфраструктуре, поэтому спроектирован с приоритизацией безопасности. Он работает внутри вашей собственной инфраструктуры, наблюдает только на чтение и фиксирует карту доступа — а не данные, которые через неё проходят. На этой странице мы честно показываем, как это доказываем.
Обращение с данными
Чего мы касаемся и что никогда не покидает периметр
Самая надёжная гарантия конфиденциальности — архитектурная, а не сертификат: поскольку Olivares AI развёртывается локально, чувствительные данные остаются в вашем периметре, и мы их никогда не видим.
Работает в вашей инфраструктуре
Развёртывается локально на ваших собственных хостах, кластерах или облаках — сам control plane может работать полностью изолированно (air-gapped), фиксируя карту доступа без какой-либо передачи ваших данных вовне. Агенты, которыми вы управляете, по-прежнему обращаются к API, которые вызывают, например к размещённому провайдеру моделей; полностью офлайн работают только модели, которые можно развернуть локально. Локальное развёртывание означает, что ваши данные не покидают вашу среду.
Точки доступа, а не содержимое
Он фиксирует отношения доступа — какой агент к какому ресурсу может обратиться, на чтение или на чтение/запись — а не тела запросов, содержимое или секреты, которые через них проходят. То, что мы не храним, не может утечь.
Секреты и персональные данные маскируются
Входные данные, которые могут содержать секреты или персональную информацию, маскируются и проверяются на наличие секретов до того, как что-либо будет записано. Более подробный сбор — это то, что оператор должен осознанно включить сам.
Наблюдение только на чтение
Коллектор наблюдает; он никогда не пишет в ваши базы данных и никогда не изменяет ваши хосты. Он считывает идентификаторы, такие как имя роли или приложения, — а не значения учётных данных. Это не перехватчик данных.
Никакой отправки телеметрии
Безопасность по умолчанию означает отсутствие phone-home: телеметрия вендора отключена, пока вы явно её не включите. Ничего о вашей инфраструктуре нам не отправляется.
Хранением управляете вы
Срок хранения и очистка настраиваются, а в изолированных (air-gapped) развёртываниях ничего не покидает периметр, и всё.
Раскрытие уязвимостей
Сообщить о проблеме безопасности
Мы приветствуем скоординированное раскрытие и действуем добросовестно с исследователями, которые поступают так же. Находки в самой модели безопасности приветствуются особо.
Сообщайте конфиденциально на
security@olivares.aiПожалуйста, не открывайте публичный issue, pull request или обсуждение по предполагаемой уязвимости. PGP доступен по запросу до того, как вы отправите подробности.
Чего ожидать
- Подтверждение получения в течение 3 рабочих дней
- Первичная оценка в течение 10 рабочих дней
- Скоординированное раскрытие до 90 дней, раньше, если выходит исправление
Пожалуйста, не присылайте
Никаких реальных секретов, учётных данных или токенов (замаскируйте их), никаких персональных данных клиентов или третьих лиц и дампов из продакшена, никакой реальной эксплуатации систем, которые вам не принадлежат. Описывайте чувствительные последствия, а не прикладывайте их — мы организуем защищённый канал.
Olivares AI находится на стадии до релиза. Поддерживаемых помеченных версий пока нет; исправления безопасности применяются только к ветке main.
Субпроцессоры
Кто ещё обрабатывает данные
Этот сайт не использует субпроцессоры аналитики, рекламы или отслеживания. Это статический сайт с локально размещёнными шрифтами, строгой same-origin Content-Security-Policy и без cookie. Он отдаётся через сеть доставки контента, которая обрабатывает только метаданные соединения, необходимые для доставки страницы, — при просмотре мы не собираем никаких персональных данных.
Что касается самого продукта: поскольку Olivares AI развёртывается локально, в вашей собственной инфраструктуре, для ваших данных нет субпроцессора на стороне вендора. Они остаются в вашем периметре, и мы их не видим. Любое будущее управляемое предложение опубликует собственный список субпроцессоров; сегодня такого предложения нет.
Обработка данных
Соглашение об обработке данных (статья 28 GDPR)
Соглашение об обработке данных доступно по запросу для корпоративных закупок. Поскольку Olivares AI развёртывается локально, в большинстве развёртываний вы остаётесь контролёром и обработчиком собственных данных в рамках своей инфраструктуры; соглашение об обработке данных тем не менее может быть заключено, чтобы формализовать ответственность в коммерческих отношениях.
Позиция по соответствию
Честно о том, где мы находимся
Olivares AI находится на стадии до релиза и не сертифицирован по SOC 2, ISO/IEC 27001, Регламенту ЕС об искусственном интеллекте (EU AI Act) или любой другой системе требований, и никакой аудит не ведётся. Мы проектируем продукт так, чтобы он соответствовал тем механизмам контроля, которые проверяют эти системы, — журналирование аудита, контроль доступа, целостность, шифрование и управление изменениями, — чтобы он был готов к аудиту, когда придёт время. Формальная сертификация (например, SOC 2 Type 2) — это более поздний шаг, который архитектура заложена обеспечивать; она не блокирует первый релиз.
Системы требований, на которые мы ориентируемся при проектировании
-
SOC 2 / ISO 27001
Цели контроля, на которые мы ориентируемся при проектировании, — не сертифицировано, в плане развития.
-
EU AI Act
Спроектирован с расчётом на его требования к контролю и документированию.
-
CSA MAESTRO
Методология моделирования угроз, с которой мы сопоставляемся, — не сертифицируемый стандарт.
-
OWASP agentic threats
Сопоставлено с перечнем агентных угроз и мер по их снижению.
-
Рекомендации CISA / NIST
Рекомендации, а не сертифицируемый стандарт, — ориентир при проектировании, без заявления о соответствии.
Там, где мы описываем соответствие внешним системам требований, это техническое сопоставление, а не сертификация — а для ещё не финализированных стандартов это сигнал об ориентире при проектировании без заявления о соответствии.
Целостность сборки
- Релизы криптографически подписаны, поставляются со спецификацией состава ПО (SBOM) и несут сведения о происхождении сборки.
- Единый, безопасный по памяти статический бинарный файл в минимальных, усиленных образах контейнеров.
- Минимальные, зафиксированные зависимости — без скриптов установки, выполняющих непроверенный код.
- Сканирование зависимостей и секретов проверяет каждое изменение в CI.
Эти гарантии вступают в силу с первым помеченным релизом; сегодня проект на стадии pre-alpha.
Целевые сроки устранения
- Критический 7 дней
- Высокий 14 дней
- Средний 30 дней
- Низкий следующий плановый релиз
Наш заявленный темп устранения, действующий с первого помеченного релиза. Активно эксплуатируемые уязвимости рассматриваются как критические.
Вопросы доверия
Куда уходят мои данные?
В локально развёртываемой редакции ваши данные остаются в пределах вашей собственной инфраструктуры; Olivares AI их не получает. Продукт фиксирует карту доступа — а не содержимое, секреты или персональные данные, которые через неё проходят.
Вы сертифицированы по SOC 2 или ISO 27001?
Пока нет. Продукт спроектирован так, чтобы соответствовать целям контроля SOC 2 и ISO 27001 и быть готовым к аудиту, но формальная сертификация находится в плане развития и пока не получена. Мы не будем заявлять о сертификации, которой у нас нет.
Как сообщить об уязвимости безопасности?
Сообщите конфиденциально на security@olivares.ai — пожалуйста, не открывайте публичный issue. Наша полная политика — в SECURITY.md, на который ссылается /.well-known/security.txt (RFC 9116). Мы подтверждаем получение в течение трёх рабочих дней.
Предлагаете ли вы соглашение об обработке данных?
Да, соглашение об обработке данных по статье 28 GDPR доступно по запросу для корпоративных закупок. Свяжитесь с нами по адресу enterprise@olivares.ai.
Вопросы от вашей команды по безопасности или закупкам?
Сообщите об уязвимости нашему контакту по безопасности или свяжитесь с нами по вопросам закупок, соглашения об обработке данных или аудита безопасности.