Безопасность и комплаенс

Как мы защищаем ваши данные — и какие договоры подписываем.

SIPmind обрабатывает звонки, сообщения и записи ваших клиентов. Мы относимся к этим данным как к вашим, а не нашим. Здесь описано, как именно они защищены, где могут храниться, и какие договоры это фиксируют. Мы намеренно держим формулировки точными — описываем то, что реально делаем, и честно говорим, где возможность настраивается под конкретный проект, а не включена по умолчанию.

SIPmind разработан и управляется компанией Techdab LLC (США). Доступен напрямую или через сертифицированных локальных партнёров и интеграторов, которые берут на себя оплату, развёртывание и специфические требования комплаенса в вашем регионе.

Данные остаются вашими
Статус обработчика · DPA с каждым клиентом
Вы выбираете, где они живут
Хостинг в вашем регионе или полностью self-hosted
Готовность к медицине
Подписываем BAA до того, как пойдёт PHI

Данные — ваши, мы — ваш обработчик

Вы остаётесь владельцем и оператором своих данных. SIPmind обрабатывает их только по вашей инструкции, для работы вашего сервиса — никогда в собственных целях и никогда для обучения чужих моделей. С каждым клиентом мы подписываем договор-поручение на обработку (DPA), который это фиксирует, включая перечень субобработчиков, обязанности по безопасности и условия удаления данных. Мы не продаём ваши данные.

Шифрование

Все данные шифруются при передаче (TLS 1.2+) и при хранении. API-ключи и учётные данные хранятся только на сервере, никогда не отдаются в браузер и не возвращаются нашими API, а в интерфейсе показываются замаскированными.

Жёсткая изоляция тенантов

Данные каждого аккаунта ограничены своим тенантом в коде приложения на каждом запросе — один клиент не может прочитать, изменить или даже увидеть данные другого. Row-level security включён на уровне БД как дополнительный backstop.

Контроль доступа и аудит

Ролевой доступ (администратор и оператор) по принципу наименьших привилегий: операторы видят разговоры и лиды, но не настройки, ключи или биллинг. Чувствительные действия журналируются, а доступ устройств (мобильное приложение / софтфон) отзывается мгновенно.

Вы выбираете, где живут данные

Здесь SIPmind идёт дальше типового облака. Вы можете:

Мы адаптируемся под ваши локальные требования к защите данных, локализуем хранение там, где это требует ваша юрисдикция, и подписываем те договоры, которые ожидает ваш регулятор. Для данных, которые всё же пересекают границу (например, к ИИ-обработчику), мы делаем это только на законном основании, которое контролируете вы, и называем каждого получателя в вашем DPA.

Медицина: готовность к HIPAA (HIPAA-ready)

Для медицинских клиентов «HIPAA-ready» — конкретное обязательство, а не слоган. При подключении мы настраиваем вашу среду так, чтобы она отвечала административным, физическим и техническим safeguards, которые требует HIPAA, подписываем Business Associate Agreement (BAA) и ставим эту защиту до того, как пойдёт любой PHI (защищённая медицинская информация). Сервис построен на HIPAA-eligible инфраструктуре.

Мы намеренно точны в словах — никакой «сертификации» HIPAA не существует, поэтому мы её не имитируем — но суть реальна и настраивается под каждую практику: подписанный BAA, среда, сконфигурированная под требуемые safeguards, и чёткое разделение ответственности. В момент, когда приходит медицинский клиент, мы делаем именно так.

Прозрачные субобработчики

Мы используем небольшой, проверенный набор субобработчиков для ИИ-обработки, базы данных и хостинга. Актуальный список и меры защиты каждого названы в вашем DPA и доступны по запросу. Перед добавлением нового субобработчика, который работает с вашими данными, мы уведомляем вас.

Хранение и удаление — под вашим контролем

Вы решаете, как долго хранятся данные. У записей звонков, вложений и записей в CRM настраиваемый срок хранения с автоматическим удалением, а хранение чувствительных вложений можно отключить полностью. Удаление и экспорт по запросу — часть наших стандартных условий.

Реагирование на инциденты

У нас есть документированный процесс обнаружения и реагирования на инциденты, и мы непрерывно мониторим системы. Если инцидент затрагивает ваши данные, мы оперативно уведомляем вас с фактами, нужными для выполнения ваших обязательств перед клиентами и регулятором.

Спроектировано под ведущие фреймворки

Наши меры безопасности спроектированы под цели SOC 2 и ISO 27001, а для медицины — HIPAA. Формальную независимую аттестацию мы получаем по мере того, как этого требуют enterprise-сделки. Если у вас есть security-анкета или нужна привязка к конкретным контролям — присылайте, отвечаем напрямую.

Какие договоры мы подписываем

Доверие должно быть на бумаге, а не только на странице. С каждым клиентом мы оформляем:

Частые вопросы

Где живут наши данные?

По умолчанию наша база данных — в ЕС. Если ваша юрисдикция требует первичную базу в стране, мы разворачиваем выделенную базу в вашем регионе в рамках проекта, а телефония может работать на вашей инфраструктуре. ИИ-обработчик (OpenAI) — в США: этот шаг всегда трансграничный, на законном основании, которое контролируете вы, и назван в DPA.

Что с ИИ-обработкой в другой стране?

В ИИ-обработчик уходит только текст разговора, нужный для ответа, на законном основании, которое контролируете вы (согласие ваших клиентов — формулировки даём мы). Чувствительные записи — например, медицинские результаты — остаются в вашей системе; мы их не обрабатываем. Каждый получатель назван в вашем DPA.

Что будет при утечке?

Шифрование, жёсткая изоляция тенантов, ролевой доступ, журналирование и настраиваемые срок хранения и удаление, плюс документированный процесс реагирования — мы оперативно уведомляем вас, чтобы вы успели выполнить свои обязательства.

Как у вас с HIPAA?

Мы HIPAA-ready: когда подключается медицинский клиент, мы настраиваем среду под safeguards, которые требует HIPAA, и подписываем BAA до того, как пойдёт любой PHI. Мы не заявляем несуществующий сертификат.

Есть SOC 2 или ISO 27001?

Наши контроли спроектированы под их цели; формальную независимую аттестацию получаем по мере того, как этого требуют enterprise-сделки — а пока заполним вашу security-анкету напрямую.

Используете наши данные для обучения ИИ?

Нет. Обрабатываем ваши данные только для работы вашего сервиса — никогда для обучения чужих моделей — и никогда не продаём их.

Можно платить в локальной валюте или не картой?

Да. Можно платить напрямую картой, или через сертифицированного локального партнёра, который выставляет счёт в вашем регионе и берёт на себя настройку — удобно там, где международная карта не вариант. Для специфических требований по закупкам, договорам или on-premise мы также работаем с вами напрямую.

Связаться

Security-анкета, DPA, BAA или копия нашего обзора безопасности — пришлём быстро. Пишите на hello@sipmind.net.