Šis Privatumo Pranešimas taikomas asmens duomenų tvarkymui, kurį vykdo Gnomi App Corp (GNOMI), įskaitant mūsų mobiliąją programėlę, mūsų svetainę adresu gnomi.com ir kitus mūsų internetinius ar ne internetinius pasiūlymus (bendrai – Paslaugos).

1. Šio privatumo pranešimo atnaujinimai

Mes galime kartais atnaujinti šį privatumo pranešimą. Jei tai padarysime, mes jus informuosime paskelbdami atnaujintą privatumo pranešimą mūsų interneto svetainėje ir/arba galime išsiųsti kitus pranešimus.

2. Asmens informacija, kurią renkame

Mes renkame asmens informaciją, kurią jūs mums pateikiate, asmens informaciją, kurią renkame automatiškai, kai naudojatės paslaugomis, ir asmens informaciją iš trečiųjų šalių šaltinių.

A. Asmens informacija, kurią tiesiogiai mums pateikiate

• Paskyros informacija: Vartotojo vardas, el. pašto adresas, slaptažodis, šalis, kurioje esate, ir kita informacija, kurią saugote savo paskyroje
• Profilio informacija: Vardas, pareigos, biografija, susietos socialinės žiniasklaidos paskyros, lytis ir gimimo data (privati)
• Interaktyvios funkcijos: Turinys, kurį pateikiate per žinutes, komentarus ir socialinės žiniasklaidos funkcijas
• Pirkiniai: Mokėjimo informacija GNOMI Premium prenumeratoms
• Komunikacija: Informacija, kurią siunčiate mums el. paštu ar pokalbių įrankiu
• Apklausos: Informacija iš apklausų, kuriose dalyvaujate
• Konkursai: Informacija iš loterijos ar konkursų
• Renginiai: Informacija iš konferencijų ir parodų
• Darbo paraiškos: Kontaktinė informacija ir CV, jei kreipiatės dėl darbo

B. Automatiškai renkama asmeninė informacija

• Įrenginio informacija: IP adresas, naudotojo nustatymai, slapukų identifikatoriai, naršyklės informacija, vietos informacija
• Naudojimo informacija: Lankyti puslapiai, paieškos terminai, sąveika su turiniu, veiklos dažnumas ir trukmė
• Slapukai ir technologijos: Slapukai, pikselių žymos ir interneto švyturiai, skirti rinkti informaciją apie jūsų naudojimąsi Paslaugomis

C. Asmeninė informacija, renkama iš trečiųjų šalių

Mes galime rinkti asmeninę informaciją iš trečiųjų šalių paslaugų, kai sujungiate GNOMI su socialinės žiniasklaidos paskyromis (Reddit, LinkedIn, Meta, X) arba naudojate trečiųjų šalių prisijungimo paslaugas.

3. Kaip mes naudojame asmeninę informaciją

A. Teikti Paslaugas

• Jūsų informacijos valdymas ir prieigos prie funkcijų suteikimas
• Klientų aptarnavimas ir komunikacija
• Mokėjimų apdorojimas
• Darbo paraiškų tvarkymas

B. Paslaugų tobulinimas ir naujų produktų kūrimas

• DI ir mašininio mokymosi technologijų mokymas
• Paslaugų gerinimas ir tobulinimas

C. Administraciniai tikslai

• Saugumas ir sukčiavimo prevencija
• Analitika ir įsitraukimo matavimas
• Kokybės kontrolė ir sauga
• Teisinis atitikimas

D. Rinkodara

Mes galime naudoti jūsų asmens informaciją rinkodaros pranešimams ir pasiūlymams teikti per el. pašto kampanijas, kaip leidžiama pagal galiojančius įstatymus.

F. Automatizuotas sprendimų priėmimas

Mes galime vykdyti automatizuotą sprendimų priėmimą, įskaitant profiliavimą, kad pateiktume pritaikytą turinį, remiantis jūsų sąveika su Paslaugomis.

4. Kaip mes atskleidžiame asmens informaciją

A. Informacijos atskleidimas teikiant Paslaugas

• Paslaugų teikėjai: DI/ML paslaugos, priegloba, klientų aptarnavimas, analitika, rinkodara, IT palaikymas
• Kiti naudotojai: Informacija, kurią pasirenkate dalintis su kitais GNOMI naudotojais
• Trečiųjų šalių paslaugos: Paslaugos, su kuriomis jungiatės ar sąveikaujate
• Verslo partneriai: Partneriai, su kuriais dirbame teikdami paslaugas
• Filialai: Mūsų korporatyviniai filialai
• Reklamos partneriai: Nemokamų paslaugų naudotojams galime dalintis informacija su reklamos partneriais tikslinei reklamai

B. Informacijos atskleidimas mūsų ar kitų apsaugai

Mes galime atskleisti informaciją, kad įvykdytume teisinius reikalavimus, apsaugotume teises ir saugumą, užtikrintume politikų laikymąsi arba padėtume tyrimuose.

C. Verslo sandoriai

Jūsų informacija gali būti atskleista susijungimų, įsigijimų ar kitų korporatyvinių sandorių metu.

5. Jūsų privatumo pasirinkimai ir teisės

Jūsų privatumo pasirinkimai

• El. pašto pranešimai: Atsisakykite prenumeratos naudodami nuorodas el. laiškuose
• Tekstinės žinutės: Atsakykite „STOP", kad atsisakytumėte
• Mobilieji įrenginiai: Koreguokite pranešimų siuntimo ir vietos nustatymus
• Slapukai: Koreguokite naršyklės nuostatas (pastaba: gali paveikti funkcionalumą)
• Nesekti: Mes nereaguojame į DNT signalus

Jūsų privatumo teisės

Jūs galite turėti teisę:

• Patvirtinti, ar mes tvarkome jūsų asmens duomenis
• Prašyti prieigos prie jūsų asmens duomenų arba jų perkeliamumo
• Prašyti ištaisyti jūsų asmens duomenis
• Prašyti ištrinti jūsų asmens duomenis
• Prašyti apriboti tvarkymą arba jam prieštarauti
• Atsisakyti tikslinės reklamos, pardavimų ar profiliavimo
• Atšaukti sutikimą

6. Tarptautinis asmens duomenų perdavimas

Asmens duomenys gali būti perduodami, tvarkomi ir saugomi bet kurioje pasaulio vietoje, įskaitant šalis, kuriose galioja skirtingi duomenų apsaugos įstatymai. Perduodant duomenis iš ES/JK, mes galime naudoti ES standartines sutarčių sąlygas kaip apsaugos priemones.

7. Asmens duomenų saugojimas

Mes saugome asmens duomenis tol, kol jūs naudojatės Paslaugomis, arba tiek, kiek būtina tikslams įgyvendinti, teikti Paslaugas, spręsti ginčus ir laikytis teisinių įsipareigojimų.

8. Papildomas pranešimas dėl ES/JK BDAR

Šis skyrius taikomas asmens informacijai, kuriai taikomas ES ar JK BDAR. Kai kuriais atvejais asmens informacijos pateikimas gali būti reikalaujamas pagal įstatymą ar sutartį. Mes informuosime jus apie pasekmes, jei nuspręsite nepateikti reikalaujamos informacijos.

9. Vaikų asmens informacija

Paslaugos nėra skirtos vaikams iki 16 metų, ir mes sąmoningai nerenkame asmens informacijos iš vaikų. Jei manote, kad jūsų vaikas įkėlė informaciją pažeisdamas taikomus įstatymus, prašome susisiekti su mumis.

10. Akcijos privatumo pranešimas

GNOMI App Corp. („Rėmėjas") renka ir tvarko dalyvių pateiktą asmens informaciją, įskaitant vardą, el. pašto adresą, šalį ar gyvenamąją vietą, ir informaciją, reikalingą patikrinti tinkamumą ir pristatyti prizus. Ši informacija naudojama tik akcijos administravimui, sukčiavimo prevencijai, tinkamumo patikrinimui ir prizų įteikimui.

Dalyviams, esantiems Europos ekonominėje erdvėje arba Jungtinėje Karalystėje, Rėmėjas tvarko asmens duomenis remdamasis sutarties vykdymu (akcijos administravimu) ir Rėmėjo teisėtais interesais vykdyti ir užtikrinti akciją. Jei dalyviai nusprendžia gauti rinkodaros pranešimus, tvarkymas grindžiamas sutikimu. Dalyvavimas akcijoje nėra sąlygojamas rinkodaros sutikimo pateikimu.

Rėmėjas gali naudotis paslaugų teikėjų pagalba akcijos administravimui, komunikacijai, analizei ir prizų įteikimui. Asmens duomenys gali būti perduodami ir tvarkomi Jungtinėse Amerikos Valstijose ar kitose šalyse, kuriose veikia Rėmėjas ar jo paslaugų teikėjai, taikant atitinkamas teisines apsaugos priemones, kai to reikalaujama.

Asmens duomenys saugomi iki dvylikos (12) mėnesių po akcijos pabaigos, o paskui ištrinami arba nuasmeninami, nebent ilgesnis saugojimas būtų reikalingas teisiniais ar reguliavimo tikslais. Akcija atvira tik asmenims, kurie yra bent 18 metų amžiaus arba pilnamečiai pagal jų jurisdikciją.

Priklausomai nuo taikomų įstatymų, dalyviai gali turėti teisę prašyti prieigos prie savo asmens duomenų, jų ištaisymo ar ištrynimo, apriboti ar prieštarauti duomenų tvarkymui arba prašyti duomenų perkeliamumo. Dalyviai EEE ar JK taip pat gali pateikti skundą savo vietinei duomenų apsaugos institucijai. JAV gyventojai gali turėti papildomų privatumo teisių pagal taikomus valstijų įstatymus.

Prašymai dėl asmens duomenų gali būti pateikiami: privacy@gnomi.com

11. Duomenų saugojimo ir šalinimo politika

BDAR ir taikomų privatumo įstatymų atitikties dokumentacija

2. BDAR ir taikomų privatumo įstatymų atitikties pareiškimas

GNOMI palaiko šią apibrėžtą ir įgyvendinamą duomenų saugojimo ir šalinimo politiką, kad palaikytų atitiktį taikomiems duomenų privatumo ir duomenų apsaugos įstatymams, įskaitant Bendrąjį duomenų apsaugos reglamentą (BDAR), kai BDAR taikomas GNOMI duomenų tvarkymo veiklai. Ši politika sukurta siekiant įgyvendinti su BDAR suderintus saugojimo ir šalinimo principus, įskaitant saugojimo apribojimą, duomenų minimizavimą, tikslo apribojimą, vientisumą ir konfidencialumą, atskaitomybę ir teisėtą duomenų subjektų ištrynimo ir apribojimo užklausų tvarkymą.

GNOMI saugojimo ir šalinimo kontrolė skirta užtikrinti, kad asmens duomenys nebūtų saugomi ilgiau nei būtina tikslams, kuriems jie renkami arba kitaip teisėtai tvarkomi, nebent tolesnio saugojimo reikalauja teisiniai, reguliavimo, sutartiniai, saugumo, sukčiavimo prevencijos, apskaitos, audito, ginčų sprendimo ar teisėti verslo tikslai.

Kai GNOMI tvarko naudotojo įgaliotą finansinės sąskaitos ar portfelio informaciją per Plaid ar panašius teikėjus, GNOMI taiko saugojimo ir šalinimo kontrolę, skirtą apriboti finansinės integracijos duomenų saugojimą laikotarpiui, būtinam įgaliotai funkcionalumui teikti, saugumui palaikyti, sutartinėms prievolėms įvykdyti, sukčiavimui užkirsti kelią ir taikomiems įstatymams laikytis.

3. Taikymo sritis

Ši politika taikoma visiems duomenims, kuriuos GNOMI arba trečiųjų šalių paslaugų teikėjai, veikiantys GNOMI vardu, renka, tvarko, saugo, perduoda ar prižiūri. Tai apima gamybines sistemas, debesijos paslaugas, programų duomenų bazes, naudotojų paskyrų sistemas, finansinės integracijos sistemas, portfelio analitikos sistemas, dirbtinio intelekto generuojamos finansinės informacijos sistemas, finansinės analizės sistemas, Plaid integracijas, brokerių paskyrų integracijas, bankininkystės integracijas, saugumo žurnalus, analitikos aplinkas, klientų palaikymo įrankius, tiekėjų platformas, įmonės įrašus, atsargines kopijas ir avarinės atkūrimo sistemas.

Ši politika taikoma GNOMI darbuotojams, rangovams, konsultantams, paslaugų teikėjams ir kitiems įgaliotiems asmenims, kurie GNOMI vardu kuria, pasiekia, valdo, saugo, tvarko, perduoda, išsaugo, ištrina ar šalina duomenis.

4. Politikos pareiškimas

GNOMI saugo duomenis tik tiek, kiek būtina savo paslaugoms teikti ir tobulinti, palaikyti įgaliotą naudotojo funkcionalumą, užtikrinti saugumą, įvykdyti sutartines ir teisines prievoles, vykdyti verslo operacijas ir apsaugoti GNOMI, jos partnerius ir naudotojus. Kai duomenų nebereikia, GNOMI juos ištrina, anonimizuoja, agreguoja arba saugiai šalina naudodama tinkamą administracinę, techninę ir procedūrinę kontrolę.

Saugojimo laikotarpiai pagrįsti duomenų tipu, tvarkymo tikslu, naudotojo santykiais, teisiniu pagrindu, verslo poreikiu, sutartinėmis prievolėmis, reguliavimo reikalavimais ir saugumo reikalavimais. GNOMI periodiškai peržiūri saugojimo ir šalinimo praktiką, kad patvirtintų, jog ji išlieka tinkama jos verslui, produktams, sistemoms, tiekėjams ir taikomiems privatumo įsipareigojimams.

GNOMI saugo naudotojo įgaliotus finansinės integracijos duomenis tik tiek, kiek būtina naudotojo prašomam įgaliotam finansinės informacijos funkcionalumui teikti, įskaitant portfelio analizę, diversifikacijos analizę, portfelio nuotaikų generavimą, dirbtinio intelekto generuojamas finansines įžvalgas, sukčiavimo prevenciją ir integracijos palaikymą.

5. Su BDAR suderinti saugojimo principai

• Saugojimo apribojimas: GNOMI saugo asmens duomenis tik laikotarpį, būtiną atitinkamam tvarkymo tikslui, nebent ilgesnis saugojimas pagrįstas įstatymu, sutartimi, saugumu, ginčų sprendimu, auditu, apskaita ar atitikties reikalavimais.
• Duomenų minimizavimas: GNOMI apriboja saugomus duomenis iki to, kas pagrįstai būtina atitinkamam verslo, produkto, saugumo, teisiniam ar atitikties tikslui.
• Tikslo apribojimas: GNOMI vertina saugojimą pagal tikslą, kuriam duomenys buvo surinkti arba kitaip teisėtai tvarkomi.
• Vientisumas ir konfidencialumas: GNOMI apsaugo saugomus duomenis tinkama prieigos kontrole, mažiausių privilegijų leidimais, stebėsena ir saugaus tvarkymo praktika.
• Atskaitomybė: GNOMI palaiko nuosavybės, peržiūros ir vykdymo atsakomybę už saugojimo ir šalinimo sprendimus.
• Duomenų subjekto teisės: GNOMI tvarko taikomas ištrynimo, taisymo, apribojimo ir prieštaravimo užklausas pagal taikomą privatumo įstatymą ir bet kokias teisėtas išimtis.
• Naudotojo įgaliojimo apribojimas: Finansinės integracijos duomenys saugomi ir tvarkomi tik tokiam laikotarpiui ir tikslams, kuriuos įgaliojo naudotojas ir kuriuos palaiko taikomi teisėti tvarkymo pagrindai.

6. Duomenų klasifikavimas

GNOMI klasifikuoja duomenis pagal jautrumą, tvarkymo tikslą, taikomas prievoles ir operacinį naudojimą. Saugojimo ir šalinimo kontrolė taikoma pagal duomenų pobūdį ir sistemas, kuriose jie yra.

• Kliento ir naudotojo duomenys: su paskyra susijusi informacija, naudotojo profilio informacija, nuostatos, produkto naudojimo duomenys, palaikymo komunikacijos ir su paslaugomis susiję įrašai.
• Finansinio ryšio duomenys: naudotojo autorizuoti brokerio paskyros duomenys, bankinių santykių duomenys, portfelio turtas, sandorių metaduomenys, investicinės paskyros metaduomenys, likučiai, finansinių institucijų identifikatoriai, finansinės integracijos prisijungimo duomenys ar žetonai, dirbtinio intelekto sugeneruotos finansinės įžvalgos, portfelio analitikos rezultatai ir susijusi informacija, apdorota per Plaid ar panašius finansinės integracijos teikėjus.
• Dirbtinio intelekto sugeneruotos finansinės informacijos duomenys: portfelio nuotaikų analizė, diversifikacijos analizė, finansinės suvestinės, paskyros lygio dirbtinio intelekto rezultatai ir susijusi naudotojui specifinė finansinė informacija, sugeneruota iš autorizuotų finansinių integracijų.
• Saugumo ir operaciniai žurnalai: autentifikavimo įrašai, prieigos žurnalai, audito žurnalai, stebėjimo duomenys, sistemos veiklos žurnalai ir incidentų reagavimo įrašai.
• Verslo ir administraciniai duomenys: sutartys, tiekėjų įrašai, atsiskaitymo įrašai, įmonės įrašai, teisiniai įrašai, mokesčių įrašai ir vidinė operacinė dokumentacija.
• Apibendrinti, anonimiški ar nuasmeninti duomenys: analitika, produkto tobulinimo duomenys ir ataskaitų duomenys, kurie nėra pagrįstai susieti su identifikuojamu asmeniu.

7. Saugojimo grafikas

GNOMI taiko saugojimo terminus pagal toliau nurodytas kategorijas. Konkretūs terminai gali būti koreguojami, kai to reikalauja įstatymai, sutartis, saugumo poreikis, techninės sistemos reikalavimai ar patvirtintas verslo būtinumas. Kai konkretus saugojimo terminas nėra teisiškai reikalaujamas, GNOMI saugo duomenis tik tiek, kiek reikia taikytiniam tikslui, o tada juos ištrina, anonimizuoja ar saugiai sunaikina.

Duomenų kategorija	Pagrindinis tikslas	Saugojimo standartas	Šalinimo metodas
Paskyros ir naudotojo profilio duomenys	Paskyros valdymas, autentifikavimas, naudotojo palaikymas, paslaugų teikimas	Saugoma, kol paskyra yra aktyvi, ir ribotą laikotarpį po uždarymo, jei reikalinga saugumo, sukčiavimo prevencijos, teisiniais, audito ar palaikymo tikslais.	Ištrynimas, anoniminimas arba saugus pašalinimas iš aktyvių sistemų.
Naudotojo įgalioti finansinės integracijos duomenys	Įgaliotų finansinės analizės funkcijų teikimas, naudotojo prašomos funkcijos, integracijos palaikymas ir saugumas	Saugoma tik tol, kol naudotojas palaiko įgaliotą finansinį ryšį arba kol būtina teikti įgaliotas finansinės analizės funkcijas, užtikrinti saugumą, užkirsti kelią sukčiavimui, palaikyti teisėtą verslo veiklą, vykdyti sutartinius įsipareigojimus arba atitikti teisinius ir reguliavimo reikalavimus. Atšauktos, atjungtos, pasibaigusios arba neaktyvios integracijos ištrinamos, deaktyvuojamos, anoniminamos arba jų prieigos raktai (token) atšaukiami pagal veiklos ir teisinius reikalavimus.	Ištrynimas iš aktyvių sistemų, saugus prieigos raktų (token) atšaukimas, anoniminimas, ribotas archyvinis saugojimas, kai to reikalauja įstatymai, arba saugus šalinimas.
Dirbtinio intelekto sukurtos finansinės įžvalgos ir portfelio analitika	Portfelio analizė, diversifikacijos analizė, nuotaikų analizė, dirbtinio intelekto pokalbių funkcija, naudotojo prašoma analitika	Saugoma, kol susijusios naudotojų paskyros lieka aktyvios ir funkcionalumas išlieka įjungtas, atsižvelgiant į ištrynimo prašymus, saugumo reikalavimus, teisinius įsipareigojimus ir veiklos būtinybę	Ištrynimas, anoniminimas, agregavimas arba saugus šalinimas
Palaikymo ir komunikacijos įrašai	Klientų palaikymas, problemų sprendimas, kokybės užtikrinimas ir atitikties užtikrinimas	Saugoma tiek, kiek reikia prašymams išspręsti, paslaugų įrašams tvarkyti ir verslo ar teisiniams reikalavimams palaikyti.	Ištrynimas arba saugus archyvo šalinimas pasibaigus galiojimui.
Saugumo, prieigos ir audito žurnalai	Saugumo stebėjimas, sukčiavimo prevencija, incidentų aptikimas, prieigos peržiūra, auditas ir sistemos vientisumas	Saugoma laikotarpį, atitinkantį saugumo tikslą, sistemos reikalavimus ir teisinius ar sutartinius įsipareigojimus.	Suplanuotas galiojimo pabaigimas, saugus pašalinimas arba ribotas archyvo šalinimas.
Atsiskaitymo, mokesčių, įmonės ir teisiniai įrašai	Apskaita, mokesčiai, įmonės valdymas, auditas, sutarčių administravimas ir teisinis atitikimas	Saugoma laikotarpį, kurį reikalauja taikomi įstatymai, audito standartai, sutartys ar įmonės valdymo reikalavimai.	Saugus šalinimas pasibaigus teisiniam ar verslo poreikiui.
Agreguoti, anoniminiai arba deidentifikuoti duomenys	Analitika, produkto tobulinimas, tyrimai, ataskaitų teikimas ir verslo analizė	Gali būti saugoma ilgesnius laikotarpius, kai duomenys nėra pagrįstai identifikuojami ir nepatenka į asmens duomenų taikymo sritį pagal taikomą teisę.	Nuolatinis naudojimas, tolimesnis agregavimas arba šalinimas, kai nebereikalinga.
Atsarginės kopijos ir avarinės atkūrimo duomenys	Verslo tęstinumas, saugumo atkūrimas ir sistemos atkūrimas	Saugoma pagal atsarginių kopijų gyvavimo ciklo grafikus ir perrašoma arba pašalinama įprastos atsarginių kopijų rotacijos metu, nebent taikomas teisinis sulaikymas.	Suplanuotas perrašymas, galiojimo pabaigimas arba saugus sunaikinimas.

8. Duomenų Ištrynimo ir Saugaus Šalinimo Procedūros

GNOMI įgyvendina duomenų ištrynimą ir šalinimą per administracines, technines ir procedūrines priemones. Šalinimo metodai pasirenkami atsižvelgiant į duomenų tipą, sistemą, jautrumą, saugojimo reikalavimus ir techninį įgyvendinamumą.

• Ištrynimas arba pašalinimas iš aktyvių gamybinių sistemų, kai duomenys nebereikalingi.
• Anonimizavimas arba agregavimas, kai GNOMI reikia išsaugoti analitikos ar produkto įžvalgas neišlaikant pagrįstai identifikuojamų asmens duomenų.
• Duomenų apribojimas arba deaktyvavimas, kai ištrynimas laikinai apribotas dėl teisinio sulaikymo, saugumo, audito, apskaitos, ginčų sprendimo ar techninių apribojimų.
• Saugus įrašų ir eksportų šalinimas naudojant patvirtintus ištrynimo, sunaikinimo ar prieigos panaikinimo procesus.
• Sistemų ir tiekėjų peržiūra siekiant patvirtinti, kad saugojimo ir šalinimo įsipareigojimai yra įgyvendinami ten, kur duomenys apdorojami GNOMI vardu.
• Plaid prieigos žetonų, OAuth kredencialų, API kredencialų ir susijusių integracijos slaptažodžių panaikinimas ir ištrynimas, kai integracijos atjungiamos, baigiasi jų galiojimas arba jos nebereikalingos.
• AI sugeneruotų finansinių įžvalgų ištrynimas arba anonimizavimas, kai susijusios pagrindinės finansinės integracijos panaikinamos arba ištrinamos, nebent saugojimas kitaip reikalingas.

9. BDAR Duomenų Subjektų Užklausos ir Paskyros Uždarymas

Kai taikomas BDAR arba kitas taikomas privatumo įstatymas, GNOMI apdoroja duomenų subjektų užklausas, susijusias su prieiga, taisymu, ištrinimu, apribojimu, prieštaravimu ir perkeliamumu pagal taikomus teisinius reikalavimus ir teisėtas išimtis. GNOMI vertina užklausas atsižvelgdama į užklausą teikiančio asmens tapatybę, duomenų pobūdį, taikomą teisinį pagrindą, sistemos reikalavimus ir bet kokį teisėtą įsipareigojimą saugoti duomenis.

Patvirtinus paskyros uždarymą arba patvirtinus ištrynimo užklausą, GNOMI ištrina, anonimizuoja arba apriboja taikomus asmens duomenis iš aktyvių sistemų, nebent saugojimas reikalingas arba leidžiamas teisiniais, reguliavimo, sutartiniais, saugumo, sukčiavimo prevencijos, apskaitos, audito, ginčų sprendimo ar teisėtais verslo tikslais. Kai duomenų negalima nedelsiant ištrinti iš atsarginių kopijų, jie apsaugomi nuo įprasto naudojimo ir pašalinami per taikomą atsarginių kopijų gyvavimo ciklą.

Kai tai techniškai įmanoma ir teisiškai leidžiama, GNOMI apdoroja patvirtintas užklausas atjungti finansines integracijas, panaikinti finansinės prieigos žetonus, ištrinti susijusius portfelio analitikos duomenis ir pašalinti AI sugeneruotas finansines įžvalgas, susijusias su vartotojo autorizuotomis finansinėmis integracijomis.

10. Teisiniai Sulaikymai ir Saugojimo Išimtys

GNOMI gali sustabdyti įprastus saugojimo ar ištrynimo grafikus, kai duomenys yra teisinio sulaikymo, ginčo, tyrimo, reguliavimo užklausos, audito reikalavimo, saugumo incidento, sutartinio įsipareigojimo, apskaitos įsipareigojimo ar kito teisėto verslo reikalavimo objektas. Duomenys, kuriems taikomas teisinis sulaikymas arba patvirtinta išimtis, saugomi tik tol, kol taikoma išimtis, o tada grąžinami į taikomą saugojimo ir šalinimo procesą. Saugumo, sukčiavimo prevencijos, piktnaudžiavimo prevencijos, ginčų sprendimo, audito, reguliavimo peržiūros ar kiti teisėti atitikties įsipareigojimai gali reikalauti riboto tolesnio finansinių integracijos įrašų ar su saugumu susijusių finansinių metaduomenų saugojimo.

11. Tiekėjai, Tvarkytojai ir Trečiųjų Šalių Sistemos

Kai GNOMI naudoja trečiųjų šalių paslaugų teikėjus duomenims saugoti ar apdoroti, GNOMI reikalauja tinkamo saugojimo ir šalinimo tvarkymo per tiekėjų peržiūrą, sutartinius įsipareigojimus, kai taikoma, ir operacines priemones. Tvarkytojams ar paslaugų teikėjams GNOMI tikisi, kad saugojimo, ištrynimo, konfidencialumo, saugumo ir pagalbos įsipareigojimai bus sprendžiami taikytinose sutartyse, duomenų tvarkymo sąlygose ar tiekėjų kontrolėse.

GNOMI peržiūri tiekėjų duomenų tvarkymo praktiką atsižvelgdama į paslaugos pobūdį, duomenų jautrumą ir taikomus privatumo bei saugumo reikalavimus. Kai GNOMI gauna patvirtintą ištrynimo užklausą, kuri taikoma tiekėjo ar tvarkytojo saugomiems duomenims, GNOMI imasi pagrįstų veiksmų perduoti ar įvykdyti ištrynimo, apribojimo ar anonimizavimo užklausą per taikomą tiekėjo darbo eigą, atsižvelgiant į teisėtas išimtis.

GNOMI vertina Plaid ir kitus finansinių integracijų teikėjus dėl tinkamų sutartinių, privatumo, saugumo, saugojimo, ištrynimo, konfidencialumo ir reguliavimo atitikties priemonių.

Kai reikalaujama, GNOMI įgyvendina tinkamas su BDAR suderintas duomenų perdavimo apsaugos priemones tarpvalstybiniam tvarkymui, susijusiam su finansinių integracijų duomenimis.

12. Atsarginės Kopijos ir Avarinė Atkūrimas

Duomenys, esantys atsarginėse kopijose ar avarinės atkūrimo sistemose, gali išlikti ribotą laikotarpį po ištrynimo iš aktyvių gamybinių sistemų. Atsarginių kopijų duomenys apsaugoti nuo neteisėtos prieigos ir jiems taikomos gyvavimo ciklo kontrolės, saugojimo grafikai ir suplanuotas perrašymas ar ištrynimas. GNOMI nenaudoja atsarginių kopijų duomenų įprastam verslo tvarkymui po taikomos ištrynimo užklausos, išskyrus atvejus, kai atkūrimas reikalingas saugumo, avarinės atkūrimo, teisiniams ar operaciniams būtinumams. Finansinių integracijų duomenys ir AI sugeneruotos finansinės įžvalgos, saugomos atsarginių kopijų sistemose, lieka prieigos apribojimų, šifravimo kontrolės, gyvavimo ciklo valdymo ir saugaus perrašymo procedūrų objektas.

13. Įgyvendinimas ir Atsakomybės

GNOMI vadovybė, saugumo, inžinerijos, produkto, operacijų ir atitikties personalas yra atsakingas už šios politikos taikymą savo atsakomybės srityse. Darbuotojai ir rangovai privalo laikytis patvirtintų saugojimo, ištrynimo, prieigos kontrolės ir šalinimo procedūrų. Neleistinas duomenų saugojimas, eksportavimas, kopijavimas ar šalinimas už patvirtintų procesų ribų yra draudžiamas.

14. Periodinis Peržiūrėjimas

Ši politika peržiūrima bent kartą per metus ir esant esminių pakeitimų GNOMI produktuose, sistemose, tiekėjuose, duomenų tvarkymo veikloje, teisiniuose reikalavimuose, sutartiniuose įsipareigojimuose ar saugumo būsenoje. Peržiūros skirtos patvirtinti, kad saugojimo standartai, šalinimo procedūros, su BDAR suderintos praktikos, tiekėjų kontrolės ir operacinis įgyvendinimas išlieka tinkami ir veiksmingi. Peržiūrose turi būti atsižvelgiama į naujas finansinių integracijų funkcijas, AI finansinės analizės funkcionalumą, portfelio analitikos sistemas, Plaid integracijų pakeitimus ir kintančius privatumo ar finansinių duomenų įsipareigojimus.

15. Atitikties Patvirtinimas

GNOMI palaiko šią politiką kaip aktyvią įmonės dokumentaciją duomenų saugojimui, ištrynimui ir šalinimui. Ši politika sukurta siekiant palaikyti atitiktį taikomiems duomenų privatumo įstatymams, įskaitant BDAR, kai taikoma, ir suteikti apibrėžtą ir įgyvendinamą sistemą, kaip GNOMI saugo, ištrina, anonimizuoja ir šalina duomenis.

16. Patvirtinimas

Patvirtinta GNOMI vadovybės kaip aktyvi įmonės politika Duomenų Saugojimui ir Šalinimui, įskaitant su BDAR suderintas saugojimo ir ištrynimo praktikas.

12. Informacijos saugumo politika

Įskaitant BDAR ir taikomas privatumo teisės kontrolės priemones

2. Taikymo sritis

Ši politika taikoma visiems GNOMI darbuotojams, įkūrėjams, pareigūnams, rangovams, konsultantams, paslaugų teikėjams, tiekėjams, sistemoms, programoms, debesijos aplinkoms, duomenų bazėms, šaltinio kodo saugykloms, gamybos turto objektams, įmonės įrenginiams, vartotojų duomenims, partnerių duomenims ir bet kokiam kitam informacijos turtui, naudojamam GNOMI produktams ir paslaugoms teikti.

Ši politika taikoma įmonės, kliento, vartotojo, finansiniams, techniniams, operaciniams, autentifikavimo, API ir tiekėjų valdomų duomenų, įskaitant vartotojo įgaliotus brokerių sąskaitų duomenis, bankinių santykių duomenis, portfelio turto duomenis, sandorių metaduomenis, finansinės integracijos prieigos raktus, dirbtinio intelekto generuojamą portfelio analizę ir finansinės informacijos rezultatus, įskaitant asmens duomenis, jautrius duomenis ir reguliuojamus duomenis, apdorojamus GNOMI arba GNOMI vardu.

3. Teisinis, reguliavimo ir privatumo atitikties užtikrinimas

GNOMI projektuoja ir valdo savo saugumo programą, kad palaikytų atitiktį visiems taikomiems informacijos saugumo ir privatumo įstatymams, taisyklėms, reglamentams ir sutartiniams reikalavimams, susijusiems su jos veikla, įskaitant, kai taikoma:

• Bendrąjį duomenų apsaugos reglamentą (BDAR) ir taikomas ES/EEE duomenų apsaugos reikalavimus;
• JK BDAR ir Duomenų apsaugos įstatymo reikalavimus, kai taikoma;
• JAV valstijų privatumo ir saugumo įstatymus, įskaitant CCPA/CPRA ir Niujorko SHIELD aktą, kai taikoma;
• GLBA ir FTC apsaugos taisyklių reikalavimus tiek, kiek GNOMI apdoroja duomenis, kuriems taikomi tie įsipareigojimai;
• Sutartinius partnerių saugumo įsipareigojimus, įskaitant duomenų apsaugą, konfidencialumą, prieigos kontrolę, incidentų pranešimą ir tiekėjų saugumo reikalavimus;
• Taikomas pažeidimų pranešimo, duomenų minimizavimo, saugojimo, ištrynimo ir vartotojų teisių reikalavimus;
• Plaid sutartinius saugumo ir duomenų tvarkymo įsipareigojimus, taikomus finansinės integracijos aplinkoms;
• Taikomas finansinių duomenų privatumo, apsaugos ir vartotojų apsaugos pareigas, susijusias su vartotojo įgaliotomis finansinėmis integracijomis.

Kai įstatymai, sutartys ar partnerių reikalavimai nustato griežtesnius įsipareigojimus nei ši politika, taikomas griežtesnis standartas. GNOMI periodiškai peržiūri šią politiką, kad užtikrintų jos atitiktį taikomiems teisiniams, reguliavimo, partnerių ir saugumo reikalavimams.

4. BDAR ir privatumo pagal dizainą reikalavimai

GNOMI taiko privatumo pagal dizainą ir saugumo pagal dizainą principus sistemoms ir procesams, kuriuose dalyvauja asmens duomenys. Kai taikomas BDAR, GNOMI saugumo ir privatumo kontrolės priemonės yra sukurtos taip, kad palaikytų šiuos principus:

• Teisėtumas, sąžiningumas ir skaidrumas duomenų tvarkymo veikloje;
• Tikslo apribojimas ir duomenų naudojimas tik teisėtiems verslo, produkto, teisiniams, saugumo ar vartotojo įgaliotiems tikslams;
• Duomenų minimizavimas ir tik protingai būtinų duomenų rinkimas nurodytam tikslui;
• Tikslumas ir tinkamas taisymo ar ištrynimo procesai;
• Saugojimo apribojimas per apibrėžtus saugojimo ir ištrynimo standartus;
• Vientisumas ir konfidencialumas per tinkamas technines ir organizacines priemones;
• Atskaitomybė per privatumo ir saugumo kontrolės priemonių dokumentavimą, nuosavybę, peržiūrą ir vykdymą.
• Vartotojo įgaliotų finansinių duomenų tvarkymas turi būti apribotas sutikimo apimtimi, sutartine būtinybe ar kitu teisėtu pagrindu, taikomu prašomai funkcionalumui.
• Finansinės informacijos funkcijos ir dirbtinio intelekto generuojamos portfelio analizės funkcionalumas turi apimti duomenų minimizavimą, mažiausių privilegijų prieigą, saugų apdorojimą ir tinkamas vartotojų skaidrumo kontrolės priemones.

GNOMI palaiko duomenų subjektų teisių procesus, įskaitant prieigą, taisymą, ištrynimą, apribojimą, perkeliamumą ir prieštaravimą, kai taikoma. Prašymai vertinami pagal taikomą įstatymą ir GNOMI vidaus privatumo, saugumo, saugojimo ir teisinio sulaikymo reikalavimus.

5. Saugumo valdymas ir atskaitomybė

• Vykdomoji vadovybė yra atsakinga už tai, kad GNOMI palaikytų informacijos saugumo programą, atitinkančią įmonės dydį, rizikos profilį, produktus, duomenis ir partnerių įsipareigojimus.
• Saugumo atsakomybės priskiriamos inžinerijos, produktų, operacijų, teisinių ir vykdomųjų suinteresuotųjų šalių atstovams, kai tai tinkama.
• Saugumo reikalavimai įtraukiami į produktų kūrimą, tiekėjų atranką, prieigos valdymą, incidentų reagavimą, duomenų tvarkymą ir operacinių sprendimų priėmimą.
• GNOMI palaiko vidines procedūras ir palaikančias priemones šios politikos įgyvendinimui, įskaitant prieigos kontrolę, duomenų saugojimą, incidentų reagavimą, tiekėjų valdymą ir saugaus kūrimo praktikas.

6. Rizikos valdymas

GNOMI identifikuoja, vertina, mažina ir stebi informacijos saugumo rizikas, kurios gali turėti įtakos konfidencialumui, vientisumui, prieinamumui, privatumui ar teisės aktų laikymui. Rizikos peržiūra gali apimti sistemos architektūrą, duomenų srautus, priklausomybę nuo tiekėjų, autentifikavimo kontrolę, prieigos privilegijas, gamybines aplinkas, naujas produktų funkcijas, trečiųjų šalių integraciją ir incidentų istoriją.

Esminės rizikos perduodamos atitinkamai vadovybei šalinimui, priėmimui, perkėlimui ar papildomoms priemonėms. Rizikos valdymo sprendimai turi atsižvelgti į teisinius reikalavimus, partnerių įsipareigojimus, poveikį naudotojams, poveikį saugumui ir verslo tęstinumui.

Rizikos vertinimai turi atsižvelgti į finansines integraciją, Plaid priklausomybes, dirbtinio intelekto generuojamos finansinės analizės funkcionalumą, portfelio analitikos sistemas, finansinių duomenų prieigos kontrolę, modelių rezultatus ir trečiųjų šalių finansinių duomenų srautus.

7. Duomenų klasifikavimas ir tvarkymas

GNOMI klasifikuoja ir saugo duomenis pagal jautrumą, verslo vertę, teisinius įsipareigojimus ir riziką. Duomenų kategorijos gali apimti viešus, vidinius, konfidencialius, jautrius, asmeninius, finansinius, autentifikavimo, šaltinio kodo, saugumo ir partnerių duomenis.

• Jautrūs ir asmeniniai duomenys turi būti pasiekiami tik įgaliotiems darbuotojams, turintiems teisėtą verslo poreikį.
• Duomenys turi būti saugomi, perduodami ir apdorojami naudojant patvirtintas sistemas ir tinkamas apsaugos priemones.
• Paslapčių, kredencialų, žetonų, API raktų, privačių raktų ir sertifikatų negalima saugoti paprastojo teksto saugyklose, neapsaugotose dokumentuose, pokalbių žinutėse ar nepatvirtintose sistemose.
• Gamybiniai duomenys negali būti kopijuojami į negamybines aplinkas, nebent tai patvirtinta ir tinkamai apsaugota, sumažinta, anoniminė ar pseudoniminė, kai tai įmanoma.
• Duomenų tvarkymas turi atitikti GNOMI saugojimo, ištrynimo, šalinimo ir privatumo reikalavimus.
• Naudotojo įgalioti brokerių sąskaitų duomenys, bankinė informacija, portfelio turtas, sandorių metaduomenys, dirbtinio intelekto generuojamos finansinės įžvalgos ir portfelio nuotaikų rezultatai turi būti klasifikuojami kaip jautrūs duomenys.
• Finansinės integracijos duomenys gali būti apdorojami tik per patvirtintas sistemas ir įgaliotus darbo procesus.
• Gamybiniai finansinės integracijos duomenys negali būti kopijuojami į kūrimo ar testavimo aplinkas, nebent sumažinti, anoniminiai, pseudoniminiai ar kitaip tinkamai apsaugoti.

8. Tapatybės ir prieigos valdymas

GNOMI taiko prieigos kontrolę, skirtą apriboti prieigą prie gamybinių išteklių, debesijos išteklių, administravimo įrankių, sistemų, šaltinio kodo saugyklų ir jautrių duomenų. Prieiga suteikiama pagal vaidmenį, verslo poreikį, mažiausių privilegijų principą ir patvirtinimo reikalavimus.

• Vaidmenimis pagrįsta prieigos kontrolė (RBAC) naudojama ten, kur ją palaiko sistemos ir programos.
• Privilegijuota ir administracinė prieiga apribota įgaliotiems darbuotojams ir periodiškai peržiūrima.
• Centralizuotos tapatybės ir prieigos valdymo sprendimai naudojami, kai tai tinkama, naudotojų autentifikavimui ir autorizavimui valdyti.
• Daugiafaktoris autentifikavimas reikalingas privilegijuotoms paskyroms ir kritinėms sistemoms, kai tai palaikoma.
• Prieigos peržiūros ir auditai atliekami periodiškai, siekiant patvirtinti, kad prieiga išlieka tinkama.
• Prieiga keičiama ar panaikinama, kai darbuotojai keičia vaidmenis, perduoda atsakomybes ar nutraukia santykius su GNOMI.
• Ne žmogaus autentifikavimas, įskaitant paslaugų paskyras, OAuth žetonus, API kredencialus ir TLS sertifikatus, turi būti patvirtintas, saugiai saugomas, apribotas iki minimalių reikalingų privilegijų ir keičiamas ar panaikinamas, kai nebereikalingas.
• Prieiga prie finansinės integracijos sistemų, Plaid administravimo aplinkų, dirbtinio intelekto finansinės analizės sistemų ir naudotojų finansinių duomenų rinkinių turi būti apribota įgaliotiems darbuotojams, turintiems teisėtą operacinį, saugumo, atitikties ar palaikymo poreikį.
• Administracinė prieiga prie sistemų, galinčių gauti ar analizuoti naudotojo įgaliotus finansinės sąskaitos duomenis, reikalauja daugiafaktorio autentifikavimo, kai tai palaikoma.

9. Gamybinių išteklių saugumas

• Gamybinės aplinkos turi būti apsaugotos naudojant prieigos kontrolę, registravimą, stebėseną, saugią konfigūraciją ir pakeitimų valdymo praktikas.
• Prieiga prie gamybinės aplinkos yra ribojama darbuotojams, turintiems patvirtintą operacinį arba inžinerinį poreikį.
• Pakeitimai gamybinėse sistemose turi atitikti tinkamas peržiūros, testavimo, patvirtinimo ir diegimo praktikas, pagrįstas rizika ir skubumu.
• Jautrūs gamybiniai duomenys neturėtų būti eksportuojami, atsiunčiami ar perduodami, nebent tai leista teisėtu verslo, teisiniu, saugumo ar operaciniu tikslu.
• Skubi prieiga prie gamybinės aplinkos turi būti ribojama, registruojama ir peržiūrima po naudojimo.
• Sistemos, apdorojančios naudotojo autorizuotus finansinės integracijos duomenis, turi įgyvendinti tinkamus registravimo, stebėsenos, šifravimo, prieigos apribojimo ir saugios konfigūracijos kontrolės mechanizmus.
• Prieiga prie dirbtinio intelekto generuojamų finansinių įžvalgų ir portfelio analitikos rezultatų turi būti ribojama atsižvelgiant į susijusių naudotojo finansinių duomenų jautrumą.

10. Šifravimas, slaptažodžiai ir raktų valdymas

GNOMI naudoja tinkamas technines apsaugos priemones jautriems duomenims, prisijungimo duomenims ir ryšiams apsaugoti. Šifravimas turi būti naudojamas jautriems perduodamiems duomenims ir taikomas jautriems saugomiems duomenims, kai tai palaikoma ir tinkama. Slaptažodžiai, prieigos raktai, sertifikatai, raktai ir prisijungimo duomenys turi būti saugomi patvirtintose saugiose sistemose ir apsaugoti nuo neteisėto naudojimo ar atskleidimo.

Raktai ir prisijungimo duomenys turi būti keičiami, išjungiami arba atšaukiami, kai jie pažeidžiami, nebereikalingi arba kai keičiasi darbuotojų ar tiekėjų prieiga. Prisijungimo duomenys neturi būti dalijami tarp naudotojų, išskyrus atvejus, kai naudojama patvirtinta paslaugų paskyrų kontrolė.

Plaid API prisijungimo duomenys, finansinės integracijos prieigos raktai, OAuth prisijungimo duomenys, webhook slaptažodžiai, atnaujinimo prieigos raktai ir kiti su finansine integracija susiję slaptažodžiai turi būti užšifruoti, saugiai saugomi ir apsaugoti nuo neteisėtos prieigos.

11. Registravimas, stebėsena ir saugumo peržiūra

GNOMI palaiko registravimo ir stebėsenos praktikas, atitinkančias jos sistemas ir rizikos profilį. Žurnalai gali apimti autentifikavimo įvykius, administracinę veiklą, programų įvykius, sistemos veiklą, gamybinius pakeitimus, prieigos pakeitimus ir su saugumu susijusias klaidas ar įspėjimus.

• Žurnalai peržiūrimi pagal poreikį, siekiant ištirti saugumo įvykius, operacines problemas, prieigos anomalijas ir incidentus.
• Su saugumu susiję įvykiai eskaluojami atsakingiems darbuotojams tyrimui ir problemų sprendimui.
• Stebėsenos ir įspėjimų kontrolės mechanizmai atnaujinami, kai keičiasi sistemos, tiekėjai ir verslo rizikos.
• Žurnalai, kuriuose yra asmens duomenų ar jautrios informacijos, turi būti apsaugoti ir saugomi laikantis GNOMI saugojimo ir privatumo įsipareigojimų.
• Saugumo stebėsena turėtų apimti finansinės integracijos veiklą, Plaid integracijos įvykius, prieigos raktų valdymo įvykius, privilegijuotą prieigą prie finansinių duomenų rinkinių ir anomalias prieigos schemas, susijusias su naudotojo finansine informacija.

12. Saugus kūrimas ir pakeitimų valdymas

GNOMI integruoja saugumą į programinės įrangos kūrimą ir produkto pristatymą. Saugumo reikalavimai yra atsižvelgiami projektuojant, kuriant, testuojant, diegiant ir prižiūrint GNOMI sistemas.

• Kodo pakeitimai turėtų būti peržiūrimi prieš diegimą gamybinėje aplinkoje, kai tai tinkama.
• Pakeitimai, turintys įtakos saugumui, turi būti įvertinti rizikos požiūriu, įskaitant pakeitimus, susijusius su autentifikavimu, autorizavimu, duomenų srautais, API, integracijomis, gamybine infrastruktūra ar jautriais duomenimis.
• Priklausomybės, bibliotekos ir trečiųjų šalių komponentai turėtų būti peržiūrimi ir atnaujinami, kai tai tinkama, siekiant sumažinti žinomas pažeidžiamybes.
• Pažeidžiamybės, nustatytos atliekant vidinę peržiūrą, trečiųjų šalių pranešimus, stebėseną ar tiekėjų pranešimus, turi būti rūšiuojamos pagal prioritetus ir šalinamos atsižvelgiant į rimtumą ir poveikį verslui.
• Pakeitimai, turintys įtakos saugumui ir susiję su finansinėmis integracijomis, Plaid API, dirbtinio intelekto generuojama portfelio analitika, finansinės analizės funkcionalumu ar naudotojo finansinių duomenų srautais, turi būti tinkamai peržiūrėti saugumo ir privatumo požiūriu prieš diegimą.

13. Tiekėjų ir trečiųjų šalių saugumas

GNOMI vertina trečiųjų šalių tiekėjus, duomenų tvarkymo įgaliotus asmenis, subduomenų tvarkymo įgaliotus asmenis ir integracijos partnerius atsižvelgdama į tvarkomų duomenų tipą, teikiamas paslaugas, operacinę priklausomybę, saugumo būklę, teisinius įsipareigojimus ir sutartinius reikalavimus.

• Tiekėjai, tvarkantys jautrius, asmeninius, finansinius ar naudotojų duomenis, turi būti peržiūrėti dėl tinkamų saugumo ir privatumo apsaugos priemonių.
• Sutartys turėtų apimti konfidencialumo, duomenų apsaugos, saugumo, prieigos kontrolės, incidentų pranešimo, saugojimo, ištrynimo ir subrangovų įsipareigojimus, kai tai tinkama.
• Tiekėjų prieiga prie GNOMI sistemų ar duomenų turi būti apribota iki įgalioto naudojimo ir panaikinta, kai jos nebereikia.
• GNOMI stebi esminę tiekėjų riziką ir gali prašyti saugumo dokumentacijos, patvirtinimų ar atitikties įrodymų iš tiekėjų, kai tai tinkama.
• Finansinės integracijos paslaugų teikėjai, įskaitant Plaid ir susijusius subrangovus, turi būti vertinami dėl saugumo pozicijos, duomenų apsaugos kontrolės, atitikties reguliavimo reikalavimams ir sutartinių privatumo įsipareigojimų.
• Tarpvalstybiniai perdavimai, susiję su ES ar JK finansinės integracijos duomenimis, turi naudoti atitinkamus teisėtus perdavimo mechanizmus, kai to reikalaujama.

14. Reagavimas į incidentus ir pranešimas apie pažeidimus

GNOMI palaiko incidentų reagavimo procedūras, skirtas identifikuoti, tirti, lokalizuoti, pašalinti, dokumentuoti ir pranešti apie saugumo incidentus. Saugumo incidentai gali apimti neteisėtą prieigą, duomenų atskleidimą, prisijungimo duomenų kompromitavimą, sistemos kompromitavimą, duomenų praradimą, kenkėjišką programinę įrangą, paslaugų sutrikimą ar įtariamą konfidencialumo, vientisumo ar prieinamumo pažeidimą.

• Incidentai turi būti nedelsiant perduoti atitinkamiems vidiniams suinteresuotiesiems subjektams.
• GNOMI įvertins pobūdį, apimtį, paveiktas sistemas, paveiktus duomenis, poveikį naudotojams, poveikį partneriams, teisinius įsipareigojimus ir pašalinimo priemones.
• Pranešimas naudotojams, reguliuotojams, partneriams, tiekėjams ar kitoms šalims bus pateiktas, kai to reikalauja taikomi teisės aktai, sutartis ar GNOMI incidentų reagavimo sprendimas.
• Iš incidentų išmoktos pamokos gali būti naudojamos kontrolės, procedūrų, mokymo, stebėjimo ir tiekėjų priežiūros gerinimui.
• Incidentai, susiję su finansinės integracijos sistemomis, Plaid prisijungimo duomenimis, brokerių ar bankininkystės informacija, portfelio analitikos sistemomis ar dirbtinio intelekto generuojamais finansinės žvalgybos rezultatais, turi būti prioritetizuoti tyrimui ir lokalizavimui.

15. Duomenų saugojimas, šalinimas ir teisinis sulaikymas

GNOMI saugo informaciją tik tiek laiko, kiek pagrįstai būtina tikslui, kuriam ji buvo surinkta ar tvarkoma, įskaitant produkto pristatymą, naudotojų paskyrų valdymą, saugumą, sukčiavimo prevenciją, analitiką, teisės aktų laikymąsi, finansinius įrašus, sutartinius įsipareigojimus, ginčų sprendimą ir teisėtą verslo veiklą.

• Asmens duomenys turi būti ištrinti, anonimiziuoti ar saugiai sunaikinti, kai jų nebereikia, atsižvelgiant į teisinius, reguliavimo, sutartinius, saugumo ar teisėtus verslo saugojimo poreikius.
• Naudotojų ištrynimo ir paskyros uždaryimo prašymai tvarkomi pagal taikytinus privatumo įstatymus ir GNOMI saugojimo reikalavimus.
• Atsarginės kopijos ir žurnalai saugomi ir šalinami pagal apibrėžtas gyvavimo ciklo praktikas ir gali būti atidėto ištrynimo objektas dėl techninių, saugumo ar teisinių reikalavimų.
• Teisiniai sulaikymai gali sustabdyti ištrynimą ar šalinimą, kai būtina išsaugoti informaciją teisiniams, reguliavimo, audito, tyrimo ar ginčų tikslams.
• Finansinės integracijos duomenys ir dirbtinio intelekto generuojamos finansinės įžvalgos turi būti ištrinti, anonimiziuoti, apriboti ar atšaukti prieigos raktai, kai jų nebereikia įgaliotai funkcionalumui, atsižvelgiant į teisėtus saugojimo reikalavimus.

16. Personalo saugumas ir mokymas

GNOMI personalas ir rangovai, turintys prieigą prie įmonės sistemų, gamybinių išteklių ar jautrių duomenų, turi laikytis šios politikos ir taikomų saugumo procedūrų. Tikimasi, kad personalas apsaugos prisijungimo duomenis, naudos patvirtintas sistemas, praneš apie įtariamus saugumo incidentus ir tvarkys duomenis pagal klasifikaciją ir būtinumo žinoti reikalavimus.

Saugumo ir privatumo supratimas gali būti teikiamas per įdarbinimą, su vaidmeniu susijusias gaires, vidinius pranešimus ir nuolatinius atnaujinimus, kai keičiasi GNOMI produktai, rizikos ir atitikties įsipareigojimai.

Personalas, turintis prieigą prie finansinės integracijos sistemų ar naudotojų įgaliotų finansinių duomenų, gali gauti papildomas gaires dėl finansinių duomenų tvarkymo, privatumo įsipareigojimų, saugaus apdorojimo, apsaugos nuo sukčiavimo elektroniniais laiškais, prieigos raktų saugumo ir incidentų perdavimo procedūrų.

17. Verslo tęstinumas ir prieinamumas

GNOMI palaiko pagrįstas priemones, skirtas palaikyti kritinių paslaugų tęstinumą ir prieinamumą. Kontrolė gali apimti debesijos atsparumą, atsargines kopijas, stebėjimą, incidentų perdavimą, tiekėjų priklausomybės peržiūrą, avarinės atkūrimo planavimą ir operacinių reagavimo procedūras, pagrįstas sistemos kritiškumu ir rizika. Verslo tęstinumo planavimas turėtų atsižvelgti į priklausomybę nuo Plaid ir kitų finansinės integracijos paslaugų teikėjų, įskaitant prieinamumo rizikas, tiekėjų sutrikimus, prieigos raktų gedimus ir finansinės integracijos paslaugų sutrikimus.

18. Išimtys

Bet kokią išimtį iš šios politikos turi patvirtinti atitinkama GNOMI vadovybė, atsižvelgiant į verslo poreikį, riziką, kompensuojančią kontrolę, trukmę ir teisinius ar sutartinius reikalavimus. Išimtys turi būti dokumentuojamos, kai tai tinkama, ir periodiškai peržiūrimos, kol bus pašalintos ar oficialiai priimtos.

19. Vykdymas

Nesilaikymas šios politikos gali lemti prieigos panaikinimą, pašalinimo reikalavimus, veiksmus tiekėjo atžvilgiu, drausmines priemones, sutarties nutraukimą ar kitas priemones, atitinkančias pažeidimo pobūdį ir sunkumą. GNOMI gali tirti įtariamus pažeidimus ir imtis taisomųjų veiksmų įmonės sistemų, naudotojų, partnerių ir duomenų apsaugai.