Bezpečnosť a súlad
Postavené pre citlivé právne dokumenty
CODEXIS AI spracúva citlivé právne dokumenty pre advokátske kancelárie, korporácie a verejnú správu. Bezpečnosť nie je funkcia — je základom celej platformy. Táto stránka zhŕňa, ako chránime vaše dáta, akými štandardmi sa riadime a — s príchodom CODEXIS AI Agent — z akých modelov nasadenia si môžete vybrať podľa svojej politiky riadenia rizík.
Záruky
Čo garantujeme bez ohľadu na model nasadenia
Tieto záruky platia pre každého zákazníka CODEXIS AI a pre každý variant nasadenia.
Vaše dáta netrénujú modely
Prompty ani analyzované dokumenty sa nepoužívajú na tréning — ani u ATLAS GROUP, ani u OpenAI. Zmluvne zakotvené v DPA podľa čl. 28 GDPR.
Žiadny prístup iným zákazníkom
Logická izolácia per tenant v SaaS. V on-prem nasadení ste tenantom sami.
Vlastníctvo zostáva vám
Vstupy, výstupy aj analyzované dokumenty patria zákazníkovi. Bez výnimky.
Voliteľné E2E šifrovanie (vo vývoji)
Pripravujeme režim, v ktorom šifrovací kľúč pozná iba používateľ. Po definovanej dobe neaktivity sa používateľské dáta zašifrujú a bez kľúča k nim nemá prístup nikto, ani ATLAS GROUP.
Zero data retention u OpenAI
S OpenAI máme zmluvne dohodnuté Zero Data Retention — API požiadavky ani odpovede sa neukladajú (nulová retencia).
EU data residency u OpenAI (voliteľná)
Voliteľne zapnete pri modeloch OpenAI spracovanie AI dotazov v rámci Európskej únie. Požiadavky aj odpovede potom zostávajú v EÚ a neputujú do USA. Prepínate sami v nastavení („Spracovanie dát").
Šifrovanie v pokoji aj prenose
AES-256 pre dáta v pokoji, TLS 1.2+ pre všetku komunikáciu.
GDPR a DPA
Vzorová Data Processing Agreement podľa čl. 28 GDPR k dispozícii, kedykoľvek ju potrebujete.
Modely nasadenia
Tri modely podľa vašej politiky riadenia rizík
CODEXIS AI Agent možno prevádzkovať v troch základných modeloch. Pre každý platia rovnaké základné záruky, líšia sa v tom, kde leží infraštruktúra a kto za čo zodpovedá.
Cloud (SaaS)
Pre väčšinu kancelárií a firiem
Prevádzkované v EHP (Ostrava + AWS Frankfurt). ATLAS GROUP spravuje všetko — od patchov po DR. Rýchly štart bez vlastnej infraštruktúry.
Privátny cloud
Pre regulované subjekty a dátovú lokalitu
Dedikovaná inštancia v zákazníkom určenej lokalite, stále spravovaná ATLAS GROUP. Vhodné pre regulované subjekty a klientov, ktorí potrebujú definovať dátovú lokalitu.
On-premise
Pre regulované subjekty a dátovú lokalitu
Aplikačnú vrstvu aj primárne dáta možno nasadiť vo vašom dátovom centre alebo vo vašom cloude, kdekoľvek podľa vašej voľby. Vhodné pre regulované subjekty a klientov, ktorí potrebujú definovať dátovú lokalitu. Potrebujeme Kubernetes a niekoľko ďalších štandardných komponentov; detailný deployment popis dodávame pod NDA. AI inferencia (LLM) ide cez OpenAI API za rovnakých podmienok ako v SaaS.
Porovnanie modelov
| Aspekt | Cloud (SaaS) | Privátny cloud | On-premise |
|---|---|---|---|
| Prevádzkovateľ infraštruktúry | ATLAS GROUP | ATLAS GROUP (dedikovaná inštancia) | Zákazník alebo jeho cloudový poskytovateľ |
| Lokalita aplikačných dát | EHP — Ostrava (CZ) + AWS Frankfurt (DE) | EHP — podľa voľby | Dátové centrum zákazníka alebo zákazníkom zvolený cloud, kdekoľvek podľa voľby |
| Tenant izolácia | Logická per tenant / license ID | Dedikovaná inštancia | Jediný tenant |
| LLM (AI) provider | OpenAI API spravovaná ATLAS GROUP | OpenAI API spravovaná ATLAS GROUP | OpenAI API spravovaná ATLAS GROUP |
| EU data residency (OpenAI) | Voliteľná (opt-in) — spracovanie AI dotazov v EÚ | Voliteľná (opt-in) — spracovanie AI dotazov v EÚ | Voliteľná (opt-in) — spracovanie AI dotazov v EÚ |
| Zero Data Retention (OpenAI) | Dohodnuté — nulová retencia (DPA) | Dohodnuté — nulová retencia (DPA) | Dohodnuté — nulová retencia (DPA) |
| OpenAI BYOK | Možné na základe individuálnej obchodnej ponuky | Možné na základe individuálnej obchodnej ponuky | Možné na základe individuálnej obchodnej ponuky |
| Technické predpoklady | Bez vlastnej infraštruktúry | Podľa dohody o dedikovanej inštancii | Kubernetes + ďalšie štandardné komponenty; detailný deployment pod NDA |
| Aktualizácie | ATLAS GROUP spravuje | ATLAS GROUP spravuje | ATLAS GROUP dodáva, zákazník aplikuje |
| Rola podľa GDPR | Spracovateľ (čl. 28) | Spracovateľ (čl. 28) | Spracovateľ pre AI cestu |
| Vhodné pre | Väčšina kancelárií a firiem | Regulované subjekty a klienti s požiadavkou na definovanú dátovú lokalitu | Regulované subjekty a klienti s požiadavkou na definovanú dátovú lokalitu vo vlastnom DC alebo cloude |
Aj v on-prem nasadení je AI inferencia (LLM) realizovaná cez OpenAI API. Aplikačná vrstva a primárne úložisko dát bežia vo vami určenom prostredí: vo vašom dátovom centre alebo vo vašom cloude, kdekoľvek podľa vašej architektúry a bezpečnostných pravidiel. Z technického pohľadu potrebujeme Kubernetes a niekoľko bežných infraštruktúrnych komponentov; konkrétny deployment popis odovzdávame pod NDA. Jednotlivé AI dotazy (prompt + relevantný kontext) sú stále odosielané na OpenAI v rámci rovnakých zmluvných záruk ako v SaaS (DPA podľa čl. 28 GDPR, dohodnuté Zero Data Retention — požiadavky ani odpovede sa neukladajú, žiadny tréning). Voliteľne možno zapnúť EU data residency (nastavenie „Spracovanie dát"), keď sa AI dotazy spracujú v EÚ a neopustia ju. Vo všetkých modeloch nasadenia možno na základe individuálnej obchodnej ponuky riešiť aj režim OpenAI Bring Your Own Key (BYOK). On-prem v CODEXIS AI Agent teda neznamená „air-gapped“; znamená rezidenciu aplikácie a uložených dát u zákazníka.
Shared responsibility
Kto za čo zodpovedá
Rozdelenie zodpovedností medzi ATLAS GROUP a zákazníkom podľa zvoleného modelu nasadenia.
| Oblasť | Cloud SaaS | On-premise |
|---|---|---|
| Fyzická bezpečnosť DC | ATLAS GROUP / AWS | Zákazník |
| Šifrovanie v pokoji / prenose | ATLAS GROUP (in-built) | ATLAS GROUP dodáva, zákazník prevádzkuje |
| Patch management infraštruktúry | ATLAS GROUP | Zákazník |
| Patch management aplikácie | ATLAS GROUP | ATLAS GROUP dodáva, zákazník aplikuje |
| Správa identít a SSO | Zákazník (cez IdP) | Zákazník |
| Klasifikácia a retencia dát | Zákazník | Zákazník |
| Zálohy a DR | ATLAS GROUP | Zákazník |
| Bezpečnostný monitoring | ATLAS GROUP | Zákazník (s podporou ATLAS GROUP) |
| Incident response pri softvéri | ATLAS GROUP | ATLAS GROUP (pre SW chyby) + zákazník (prevádzka) |
Certifikácie
Medzinárodné štandardy a regulačný súlad
CODEXIS AI vyvíja a prevádzkuje ATLAS consulting spol. s r.o., spoločnosť zo skupiny ATLAS GROUP — navonok vystupujeme pod značkou ATLAS GROUP, zatiaľ čo zmluvné dokumenty (DPA, NDA) uzatvára ATLAS consulting spol. s r.o. Táto spoločnosť prevádzkuje certifikovaný systém riadenia informačnej bezpečnosti (ISMS). Certifikáty a auditné reporty poskytujeme pod NDA na vyžiadanie.
| Certifikácia | Čo pokrýva | Platí pre |
|---|---|---|
| ISO/IEC 27001 | ISMS — riadenie bezpečnosti informácií | Vývoj CODEXIS AI a všetky modely nasadenia |
| ISO/IEC 27017 | Bezpečnostné kontroly pre cloudové služby | Cloud SaaS a privátny cloud prevádzkovaný ATLAS GROUP |
| ISO/IEC 27018 | Ochrana osobných údajov (PII) v cloude | Cloud SaaS a privátny cloud prevádzkovaný ATLAS GROUP |
| GDPR | Nariadenie EÚ 2016/679 | Všetky modely (s upraveným rozdelením rolí pre on-prem) |
| DORA | Digital Operational Resilience Act | Relevantné pre klientov z finančného sektora |
Deväť pilierov
Deväť pilierov bezpečnosti
Kontroly platia naprieč modelmi nasadenia — sú vlastnosťou softvéru a procesov, nie hostingu. Štruktúrované podľa ISO 27001 Annex A.
- 01
Správa prístupov a identity
- SSO cez SAML 2.0 a OAuth 2.0
- Integrácia s Microsoft Entra ID / Azure AD
- MFA vynútené na úrovni IdP zákazníka
- Princíp least privilege a separation of duties
- Auditný log všetkých prístupov a zmien rolí
- Pravidelný entitlement review
- 02
Šifrovanie
- TLS 1.2+ pre všetok prenos dát
- AES-256 pre dáta v pokoji
- Šifrované zálohy
- Centralizovaná správa kryptografických kľúčov
- Hashovanie hesiel (bcrypt / PBKDF2)
- HSTS a secure cookies
- 03
Bezpečný vývoj (SDLC)
- OWASP Top 10 v code review
- SAST analýza zdrojového kódu
- Software Bill of Materials (SBOM)
- Oddelené dev / test / prod prostredia
- Version control (git) a code signing
- Žiadne hard-coded secrets
- 04
Zraniteľnosti a patching
- Weekly vulnerability scan (interný aj externý)
- Ročný penetračný test a po každej významnej zmene
- Critical / High patche podľa CVSS a expozície
- Risk score: CVSS + KEV + expozícia + kritickosť
- Centralizované sledovanie remediácie
- V on-prem: ATLAS GROUP dodáva patche, zákazník aplikuje podľa SLA
- 05
Logovanie a monitoring
- Logovanie prístupov, autentizácie, AI operácií
- V SaaS: centralizovaný log host spravovaný ATLAS GROUP
- V on-prem: logy zostávajú u zákazníka, export do SIEM
- Tamper-proof logy s integritou
- Retencia min. 6 mesiacov (osobné dáta 3 roky)
- NTP synchronizácia UTC
- 06
Incident management
- Definovaný proces detekcie, reakcie a notifikácie
- Bezpečnostná rada ATLAS GROUP ako eskalačný orgán
- Zmluvná notifikácia zákazníka podľa DPA
- Post-mortem a root cause analysis
- Súlad s GDPR čl. 33 (72h notifikácia v SaaS)
- 07
Kontinuita a Disaster Recovery
- V SaaS: geograficky oddelené DR (Ostrava + Frankfurt)
- Pravidelne testované, ATLAS GROUP spravuje zálohy
- V on-prem: ATLAS GROUP poskytuje odporúčanú BC / DR architektúru
- Business Impact Analysis pre každé kritické aktívum
- BC plány s definovanými rolami
- SLA s definovanou dostupnosťou
- 08
Data governance
- Tenant izolácia per license ID (v SaaS)
- Šifrované zálohy
- Bezpečné zmazanie po ukončení zmluvy
- Export používateľských dát na vyžiadanie
- Dotknutá osoba podľa GDPR plne podporovaná
- Granulárne prístupové práva na úrovni dokumentu, modulu aj agendy
- 09
AI governance
- Žiadny tréning na vašich dátach (zmluvne)
- Granulárna deaktivácia AI per agenda
- AI rešpektuje aplikačné oprávnenia používateľa
- Logovanie všetkých AI operácií
- DPA s OpenAI podľa čl. 28 GDPR — platí vo všetkých modeloch nasadenia
- Vlastníctvo vstupov aj výstupov zostáva klientovi
AI a vaše dáta
Štyri princípy práce AI s vašimi dátami
Tieto princípy platia naprieč všetkými modelmi nasadenia.
- 01
Vaše dáta netrénujú žiadny model
Prompty ani obsah analyzovaných dokumentov nie sú používané na tréning ani vylepšovanie AI modelov — ani u ATLAS GROUP, ani u OpenAI. Zmluvne zakotvené v DPA podľa čl. 28 GDPR a platí naprieč všetkými modelmi nasadenia.
- 02
Zero data retention u OpenAI
S OpenAI máme zmluvne dohodnuté Zero Data Retention (ZDR) — API požiadavky ani odpovede sa neukladajú. (Bez ZDR by OpenAI štandardne dáta dočasne uchovávalo najviac 30 dní výhradne na detekciu zneužitia; vďaka ZDR k tomu nedochádza.)
- 03
Voliteľná EU data residency u OpenAI
AI dotazy štandardne spracúva OpenAI v USA (transfer podľa SCC). Pri modeloch OpenAI si voliteľne v nastavení („Spracovanie dát") zapnete EU data residency — požiadavky aj odpovede potom bežia v európskom regióne a neopúšťajú EÚ. Voľbu kedykoľvek zapnete aj vypnete.
- 04
Vy rozhodujete, čo AI vidí
AI funkcie sú samostatné moduly. Možno ich úplne deaktivovať, povoliť iba pre definované agendy, alebo granulárne riadiť prístup ku konkrétnym zdrojom. AI operácie vždy rešpektujú prístupové práva používateľa.
- 05
Vlastníctvo zostáva vám
Vstupy sú vlastníctvom zákazníka, výstupy možno voľne použiť na interné účely. AI modely zostávajú vlastníctvom poskytovateľa (OpenAI). Poskytovateľ CODEXIS AI nepredáva používateľské dáta tretím stranám.
Subprocesori
Transparentný zoznam subprocesorov
Subprocesori, ktorí sa podieľajú na behu CODEXIS AI. Zoznam sa mení podľa modelu nasadenia — v on-prem variante AWS z hlavnej dátovej cesty odpadá.
V Cloud (SaaS) a privátnom cloude
| Subprocesor | Účel | Lokalita | Zmluvné záruky |
|---|---|---|---|
| ATLAS consulting spol. s r.o. | Hlavný prevádzkovateľ · aplikačná vrstva · databáza | Ostrava, ČR · EHP | ISO 27001 / 27017 / 27018 · DPA · NDA |
| Amazon Web Services (AWS) | Cloud / objektové úložisko · zálohy | Frankfurt, DE · EHP (eu-central-1) | DPA · SCC · ISO 27001 · šifrovanie at-rest |
| OpenAI, L.L.C. | AI inferencia (LLM) — iba požiadavka / odpoveď | USA · transfer podľa SCC — voliteľne EU data residency (spracovanie v EÚ) | DPA čl. 28 GDPR · dohodnuté Zero Data Retention (nulová retencia) · žiadny tréning · SOC 2 Type II |
V on-premise nasadení (CODEXIS AI Agent)
V on-prem variante odpadá AWS z hlavnej dátovej cesty — aplikačná vrstva a primárne úložisko bežia vo vašej infraštruktúre. OpenAI však v ceste zostáva, pretože AI inferencia je realizovaná rovnako ako v SaaS — voliteľne možno aj tu zapnúť EU data residency (spracovanie AI dotazov v EÚ).
| Subprocesor | Účel v on-prem | Lokalita | Zmluvné záruky |
|---|---|---|---|
| ATLAS consulting spol. s r.o. | Dodávateľ softvéru · update kanál · vzdialená podpora · mediácia OpenAI integrácie | Ostrava, ČR · EHP | ISO 27001 · zúžená DPA · NDA |
| OpenAI, L.L.C. | AI inferencia (LLM) — iba požiadavka / odpoveď | USA · transfer podľa SCC — voliteľne EU data residency (spracovanie v EÚ) | DPA čl. 28 GDPR · dohodnuté Zero Data Retention (nulová retencia) · žiadny tréning · SOC 2 Type II |
Časté otázky
Otázky bezpečnostných audítorov a CIO
Čo sa nás pýtajú pri vendor security review — od ochrany dát po notifikáciu incidentov a odinštaláciu.
Používate naše prompty alebo dokumenty na tréning AI modelov?
Nie. Dáta vložené používateľmi (prompty) ani obsah analyzovaných dokumentov nie sú využívané na tréning ani vylepšovanie AI modelov — ani u ATLAS GROUP, ani u poskytovateľov LLM. V SaaS variante je to zmluvne zakotvené v DPA s OpenAI podľa čl. 28 GDPR. V on-prem variante platí rovnaký princíp.
Kde fyzicky ležia naše dáta?
Záleží na zvolenom modeli nasadenia a AI dotazy prechádzajú cez OpenAI: Cloud SaaS — aplikačné dáta v EHP (Ostrava + AWS Frankfurt), AI dotaz cez OpenAI API (štandardne USA, transfer podľa SCC). Privátny cloud — aplikačné dáta podľa dohody, typicky v EHP. On-premise — aplikačné dáta vo vašej infraštruktúre, AI dotaz cez OpenAI. Vo všetkých modeloch možno voliteľne zapnúť EU data residency (nastavenie „Spracovanie dát"), keď sa AI dotazy spracujú v EÚ a neopustia ju.
V čom je on-prem nasadenie (CODEXIS AI Agent) iné než cloud?
On-prem rieši rezidenciu aplikačnej vrstvy a uložených dát vo vašej infraštruktúre — databáza, objektové úložisko, dokumenty a zálohy bežia na vašich serveroch. Prevádzku, dostupnosť, kapacity, fyzickú bezpečnosť a patch management infraštruktúry zabezpečujete vy. Čo on-prem nerieši: AI inferencia ide aj tak cez OpenAI API — štandardne v USA (transfer podľa SCC), voliteľne možno zapnúť EU data residency (spracovanie v EÚ). Ak potrebujete absolútny air-gapped režim bez akejkoľvek odchádzajúcej prevádzky, CODEXIS AI Agent to dnes neponúka.
Ako je zabezpečená izolácia medzi zákazníkmi (multi-tenancy)?
V SaaS: logická segregácia podľa tenant / license ID. Aplikačná logika overuje oprávnenia pri každom dotaze — žiadny používateľ jedného tenanta nemôže pristúpiť k dátam iného. PostgreSQL aj objektové úložisko sú štruktúrované tenant-aware. V privátnom cloude / on-prem ste tenantom sami, izolácia je inherentná povahe nasadenia.
Podporujete SSO a MFA?
Áno vo všetkých modeloch. CODEXIS AI podporuje SAML 2.0 pre federovanú autentizáciu, OAuth 2.0 / OpenID Connect, Microsoft Entra ID (predtým Azure AD), MFA vynútené na úrovni vášho identity providera. Heslá používateľov nikdy neopúšťajú identity provider zákazníka.
Ako často vykonávate penetračné testy a vulnerability scany?
Vulnerability scan: týždenne, interný aj externý. Penetračný test: minimálne ročne a po každej významnej zmene architektúry. Pred go-live: plný vulnerability scan bez otvorenej Critical / High zraniteľnosti. Critical patche: v SaaS deploy do 7 dní (internet-facing) / 30 dní (interné); v on-prem podľa dohodnutého SLA. Súhrn pen-testov poskytujeme pod NDA.
Čo sa stane s našimi dátami po ukončení zmluvy?
V SaaS: pred ukončením vám umožníme export všetkých zákazníckych dát. Po ukončení sú dáta odstránené z produkcie; zálohy sú rotované a zmazané podľa retenčnej politiky. Na vyžiadanie poskytneme potvrdenie o deštrukcii dát. V on-prem: dáta zostávajú u vás. Pri ukončení licencie dohodneme migráciu alebo odinštaláciu.
Aká je vaša notifikačná lehota pri bezpečnostnom incidente?
V SaaS modeloch v súlade s GDPR čl. 33 a DPA notifikujeme zákazníka bez zbytočného odkladu, najneskôr do 72 hodín od potvrdenia incidentu ohrozujúceho osobné dáta. V on-prem modeloch ATLAS GROUP notifikuje zákazníkov o bezpečnostných zraniteľnostiach objavených v dodávanom softvéri — incident response za prevádzku je v rukách zákazníka.
Ako dlho uchovávate logy a kto k nim má prístup?
Štandardné logy: minimálne 6 mesiacov alebo podľa požiadavky zákazníka. Logy so spracovaním osobných dát: 3 roky (alebo podľa dohody). Prístup: iba poverení pracovníci na základe need-to-know. V on-prem: logy zostávajú u vás, exportovateľné do vášho SIEM (Splunk, Elastic, Sentinel a pod.).
Kedy si vybrať ktorý model nasadenia?
Cloud (SaaS) — väčšina advokátskych kancelárií a firiem. Rýchly štart, žiadna interná infraštruktúra, ATLAS GROUP spravuje všetko. Privátny cloud — regulované subjekty (banky, poisťovne, zdravotníctvo). Dedikovaná inštancia, ale stále spravovaná ATLAS GROUP. On-premise — zákazníci s internou politikou alebo regulačnou požiadavkou na rezidenciu aplikácie a uložených dát vo vlastnej infraštruktúre. AI cesta aj tak prechádza cez OpenAI; vo všetkých modeloch možno voliteľne zapnúť EU data residency.
Dokumenty na vyžiadanie
Pod NDA, do dvoch pracovných dní
Pre vendor security review pripravíme nižšie uvedené dokumenty. Žiadosť pošlite na klientske.centrum@atlasgroup.cz.
- ISO / IEC 27001 certifikát
- ISO / IEC 27017 certifikát
- ISO / IEC 27018 certifikát
- DPA — Data Processing Agreement (vzor, čl. 28 GDPR)
- NDA — vzor pre vendor review
- Penetračný test — súhrn (posledný rok)
- BC / DR plán — súhrn (BIA, RTO / RPO)
- Zoznam subprocesorov — aktualizované štvrťročne
- Shared responsibility matrix — pre jednotlivé modely nasadenia