Wszystko, o co pyta dział zakupów. Zanim zapyta.
Zobowiązania Grasperly w zakresie rezydencji danych, braku treningu modeli na danych klienta, Zero Data Retention u pod-procesorów LLM oraz cała umowna konstrukcja, która to wszystko podpiera — opublikowane w całości, audytowalne przed podpisem, aktualizowane na bieżąco.
Czego bronimy na piśmie
- Dane wyłącznie w UE. Dane klienta składowane i przetwarzane wyłącznie w regionach Frankfurt (eu-central-1) i Warszawa (eu-central-2). Brak transferów poza EOG w wariancie standardowym.
- Brak treningu na danych klienta. Grasperly nie wykorzysta — i nie zezwoli żadnemu pod-procesorowi na wykorzystanie — danych klienta do trenowania, dostrajania, ewaluacji ani ulepszania modeli AI. Zapisane w Regulaminie i DPA.
- Zero Data Retention u dostawców modeli. Wszyscy pod-procesorzy LLM działają w ramach kontraktowego ZDR: prompty i odpowiedzi są przetwarzane w locie i nie są zachowywane ani logowane do przeglądu przez człowieka poza czas niezbędny do zwrócenia odpowiedzi.
- Szyfrowanie wszędzie. TLS 1.3 w tranzycie. AES-256 w spoczynku. Klucze zarządzane przez klienta w wariancie Enterprise.
- Klient jest właścicielem danych klienta. Wszystkie prawa do danych klienta pozostają przy kliencie. Po zakończeniu umowy zwracamy je lub usuwamy w terminie 30 dni — według wyboru klienta.
Konstrukcja umowna
Bezpieczeństwo
Sześć zobowiązań powiązanych z klauzulami DPA, pięciu pod-procesorów przetwarzających dane klienta, nasz framework kontrolny i postawa wobec unijnego AI Act.
Czytaj stronę bezpieczeństwa →Umowa powierzenia (DPA)
Umowa zgodna z art. 28 RODO, ze wzmocnioną klauzulą braku treningu, 30-dniowym powiadomieniem o pod-procesorach, 36-godzinnym oknem zgłoszenia naruszenia i środkami technicznymi i organizacyjnymi zgodnymi z ISO 27001:2022.
Czytaj DPA →Pod-procesorzy
Strony trzecie mające styczność z danymi klienta — gdzie je hostują, co robią i jak subskrybować zmiany, z 30-dniowym wyprzedzeniem przed każdą zmianą.
Zobacz pod-procesorów →Polityka prywatności
Jak postępujemy z danymi osobowymi odwiedzających serwis, kandydatów do pracy, prospektów i osób kontaktowych klientów. Dane klienta przekazane Platformie podlegają osobnej regulacji DPA.
Czytaj politykę prywatności →Regulamin
Warunki ogólne dostępu do Platformy: licencja, własność danych klienta, zastrzeżenie co do wyników AI, zobowiązanie braku treningu, odpowiedzialność oraz prawo polskie i sąd właściwy w Warszawie.
Czytaj regulamin →Zasady dopuszczalnego użycia
Co wolno, a czego nie wolno robić z Platformą — w tym ograniczenia specyficzne dla AI dostosowane do unijnego AI Act oraz polskich zasad korporacji prawniczych.
Czytaj AUP →Uczciwie o tym, gdzie jesteśmy.
Nie posiadamy jeszcze certyfikatów ISO 27001, SOC 2 ani ISO 42001. Działamy zgodnie z ich frameworkami kontrolnymi już dziś i opublikowaliśmy harmonogram, według którego będziemy oceniani. Klienci mogą uzyskać aktualną matrycę kontroli i przykłady ścieżek audytowych po podpisaniu NDA.
Znalazłeś podatność?
Pisz na security@grasperly.com. Przyjmujemy zgłoszenia po angielsku i polsku. Badania prowadzone w dobrej wierze, w zakresie opisanym w naszym security.txt, są mile widziane i nie staną się podstawą żadnych działań prawnych przeciwko badaczowi.
Audyt przed podpisem.
Wysyłamy paczkę z gotowym wzorem DPA, aktualną matrycą kontroli, listą pod-procesorów, diagramem sieci i najnowszymi notatkami z przeglądu wewnętrznego. Dostępna dla kwalifikowanych potencjalnych klientów po podpisaniu wzajemnego NDA.