Usaldus ja turvalisus SOWA Privacy juures

Lühike ja aus kokkuvõte sellest, kuhu andmed lähevad, mida laiendus näeb ja mida mitte ning kus asuvad usalduse piirid. Tuvastustuuma lähtekood on avatud – iga allolev väide on hoidlas kontrollitav.

Privaatsus arhitektuuri, mitte lubaduste kaudu

Tugevaim garantii on see, mis ei nõua meie usaldamist. SOWA Privacy on ehitatud nii, et teie tundlikud andmed ei jõua füüsiliselt kunagi meieni:

100% kohalik tuvastusIsikuandmed tuvastatakse ja maskeeritakse teie brauseris, enne kui viip saadetakse – pole midagi, mida pealt kuulata.
Viipade andmeid ei hoita meie serveritesMe ei võta vastu, salvesta ega vahenda kunagi teie viipasid, dokumente ega tehisintellekti vastuseid.
Telemeetriat poleLaiendus ei saada andmeid koju – teie viipasid, tuvastusi ega kasutust ei jälgita.
Avatud lähtekoodTuvastusmootor on avalik – auditeeritav rida-realt, teie või kolmanda osapoole poolt.

Andmevoog lühidalt

SOWA Privacy on Chrome'i laiendus. Tee, mille teie tekst läbib toetatud AI-jututoa kasutamisel:

  1. Sisestate teksti jututoa sisestusväljale.Tekst ei lahku brauserist selles etapis.
  2. Laienduse sisuskript loeb sisendi ja käivitab tuvastuse lokaalselt.Regex + lokaalse NER-mudel, mis käivitatakse teie brauseris WebAssembly / WebGPU kaudu.
  3. Tuvastatud üksused asendatakse neutraalsete asendajatega (nt [PERSON_1]).Originaali ja asendaja vaheline vastavustabel salvestatakse teie seadmes chrome.storage.local alla.
  4. Asendajatega päring saadetakse jututoa tavalisele lõpp-punktile.AI-pakkuja näeb ainult anonümiseeritud teksti. SOWA Privacy ei asetse teie ja pakkuja vahel võrgu puhverserverina.
  5. Kui AI vastus saabub, taastab laiendus asendajad teie brauseris lokaalse vastavustabeli abil.Loete vastust pärisnimede ja -andmetega; AI-pakkuja ei näinud neid kunagi.

Business- ja Enterprise-plaanide valikulise auditi logimise puhul räsitakse tegevuskirjed lokaalselt ning edastatakse ainult teie määratud serverisse (teie enda infrastruktuur või meie poolt teile lepingu alusel hallatav rentnik). Neid ei saadeta SOWA kesksesse logiregistrisse.

Brauseri load ja miks igaüht vajatakse

Manifest V3 Chrome’i laienduse load koos põhjendusega iga loa kohta:

Sisuskript deklareerib <all_urls>, et tuvastamine oleks saadaval kõigil AI-jututubade saitidel, mida te kasutate, sealhulgas tulevikus lisatavatel. Load on staatilised, deklareeritud avalikus Manifestis ja vaadeldavad aadressil chrome://extensions/?id=….

Valikuline kliendi hallatav auditilogi

Auditilogi on Business- ja Enterprise-plaanidel valikuline ning jälgib tegevusi, mitte vestluse sisu. Näited kirjetesse sisestatava kohta:

Mida kirje ei sisalda: päringu tekst, AI vastuse tekst, originaalsed tundlikud väärtused ega asendajate vastavustabel.

Kirjed räsitakse lokaalselt enne edastamist teie määratud serverisse. Enterprise-kliendid võivad majutada auditilogi lõpp-punkti oma vastavusperimeetri sees, nii et SOWA Privacy ei puutu andmetee külge.

Teadaolevad piirangud

Eelistame olla täpsed pigem kui enesekindlad. Asjad, mida SOWA Privacy ei tee või ei suuda garanteerida:

Avatud lähtekood ja auditeeritavus

Tuvastustuuma lähtekood on avaldatud aadressil github.com/Sowa-Privacy. Igaüks saab lugeda päringuid töötlevat koodi, kinnitada, et see ei kirjuta kettale peale selgesõnaliselt dokumenteeritud kohalike salvestite, ning kontrollida, et telemeetriat ei koguta. Käsitleme hoidlat selle lehekülje väidete autoriteetse viiteallikana.

Andmekaitse & GDPR

SOWA Privacy on loodud GDPR-iga vastavuses olemiseks, minimeerides seda, mida me töötleme. Kuna tuvastus toimub kohalikult, ei teki teie viipade sisu puhul õigusliku aluse ega piiriülese edastamise küsimusi, mis valitsevad enamiku tehisintellekti tööriistade puhul – see ei lahku kunagi teie seadmest.

Need vähesed andmed, mida me hoiame, on olemas teenuse, mitte toote käitamiseks:

Andmetöötlusleping (DPA) on hangete ja andmekaitsespetsialisti ülevaatuste jaoks saadaval kontaktivormi kaudu. Vaadake ka meie privaatsuspoliitikat.

Alltöötlejad

Kolmandad osapooled, kes töötlevad meie nimel piiratud konto- ja arveldusandmeid. Keegi neist ei saa kunagi teie viipasid, dokumente ega tuvastatud väärtusi.

TeenusepakkujaEesmärkAsjassepuutuvad andmed
SupabaseAutentimine & kontode andmebaasE-post, konto profiil
StripeTellimuste arveldus & maksedArveldusandmed (kaardiandmeid hoiab Stripe, mitte kunagi meie)
VercelVeebisaidi & API majutusTavalised päringulogid
PostHog (EU)Nõusolekupõhine veebisaidi analüütikaAnonüümitud kasutussündmused (ainult nõusolekul)

Täielikku ja ajakohast loendit hoitakse meie DPA-s ning see esitatakse taotluse korral.

Sertifikaadid & kindlustunde teekaart

Meil ei ole praegu ühtegi allolevatest sertifikaatidest ja me ei väida ühtegi neist enne, kui see on ametlikult välja antud. Mille poole me liigume:

Haavatavusest teatamine

Kui usute, et olete leidnud turvaprobleemi, võtke meiega ühendust enne avalikku avaldamist. Püüame kinnitada kahe tööpäeva jooksul ja anda esialgse hinnangu viie päeva jooksul.

E-post: security@sowaprivacy.ai (jälgitav postkast; PGP-võtme avaldamine ootel – lisatakse enne avalikku käivitamist)

Hetkel ei korraldame tasustatud veapreemia programmi. Avaldame soovi korral teatajad väljalaskemärkustes.

Vastavusdokumentatsiooni pakett

Hangete ja andmekaitseametniku ülevaadete jaoks on järgmised dokumendid saadaval taotluse korral kontaktivormi kaudu:

Selle kohta, kus me ametlike sertifikaatidega oleme, vaadake ülalolevat kindlustunde teekaarti.