Настоящее Уведомление о Конфиденциальности применяется к обработке персональной информации компанией Gnomi App Corp (GNOMI), включая обработку в нашем мобильном приложении, на нашем веб-сайте gnomi.com и в наших других онлайн или офлайн предложениях (совместно именуемых Сервисы).

1. Обновления данного Уведомления о конфиденциальности

Мы можем время от времени обновлять это Уведомление о конфиденциальности. Если мы это сделаем, мы сообщим вам, разместив обновленное Уведомление о конфиденциальности на нашем веб-сайте, и/или мы также можем отправить другие уведомления.

2. Персональная информация, которую мы собираем

Мы собираем персональную информацию, которую вы предоставляете нам, персональную информацию, которую мы собираем автоматически, когда вы используете Услуги, и персональную информацию из сторонних источников.

A. Персональная информация, которую вы предоставляете нам напрямую

• Информация об аккаунте: Имя пользователя, адрес электронной почты, пароль, страна местонахождения и другая информация, которую вы храните в своем аккаунте
• Информация профиля: Имя, должность, биография, связанные аккаунты в социальных сетях, пол и дата рождения (личная)
• Интерактивные функции: Контент, который вы отправляете через сообщения, комментарии и функции социальных сетей
• Покупки: Платежная информация для подписок GNOMI Premium
• Коммуникации: Информация, которую вы отправляете нам по электронной почте или через чат
• Опросы: Информация из опросов, в которых вы участвуете
• Конкурсы: Информация из розыгрышей или конкурсов
• Мероприятия: Информация с конференций и торговых выставок
• Заявления о приеме на работу: Контактная информация и резюме, если вы подаете заявление о приеме на работу

B. Персональные данные, собираемые автоматически

• Информация об устройстве: IP-адрес, пользовательские настройки, идентификаторы cookie, информация о браузере, информация о местоположении
• Информация об использовании: Посещенные страницы, поисковые запросы, взаимодействие с контентом, частота и продолжительность активности
• Файлы cookie и технологии: Файлы cookie, пиксельные теги и веб-маяки для сбора информации о вашем использовании Услуг

C. Персональные данные, полученные от третьих лиц

Мы можем собирать персональные данные из сторонних сервисов, когда вы подключаете GNOMI к аккаунтам в социальных сетях (Reddit, LinkedIn, Meta, X) или используете сторонние сервисы для входа.

3. Как мы используем персональные данные

A. Предоставление Услуг

• Управление вашей информацией и предоставление доступа к функциям
• Поддержка клиентов и коммуникации
• Обработка платежей
• Обработка заявлений о приеме на работу

B. Улучшение Услуг и Разработка Новых Продуктов

• Обучение технологий искусственного интеллекта и машинного обучения
• Совершенствование и улучшение Услуг

C. Административные Цели

• Безопасность и предотвращение мошенничества
• Аналитика и измерение вовлеченности
• Контроль качества и безопасность
• Соблюдение законодательства

D. Маркетинг

Мы можем использовать вашу личную информацию для предоставления вам маркетинговых сообщений и предложений посредством email-кампаний, в соответствии с применимым законодательством.

F. Автоматизированное Принятие Решений

Мы можем осуществлять автоматизированное принятие решений, включая профилирование, для предоставления персонализированного контента на основе ваших взаимодействий с Услугами.

4. Как Мы Раскрываем Личную Информацию

A. Раскрытие информации для Предоставления Услуг

• Поставщики услуг: Сервисы ИИ/МО, хостинг, обслуживание клиентов, аналитика, маркетинг, ИТ-поддержка
• Другие пользователи: Информация, которую вы решаете поделиться с другими пользователями GNOMI
• Сторонние сервисы: Сервисы, с которыми вы соединяетесь или взаимодействуете
• Деловые партнеры: Партнеры, с которыми мы работаем для предоставления услуг
• Аффилированные лица: Наши корпоративные аффилированные лица
• Рекламные партнеры: Для бесплатных пользователей мы можем делиться информацией с рекламными партнерами для целевой рекламы

B. Раскрытие информации для защиты нас или других лиц

Мы можем раскрывать информацию для соблюдения юридических требований, защиты прав и безопасности, обеспечения соблюдения политик или содействия расследованиям.

C. Деловые операции

Ваша информация может быть раскрыта в связи со слияниями, поглощениями или другими корпоративными операциями.

5. Ваши права и возможности в отношении конфиденциальности

Ваши возможности в отношении конфиденциальности

• Электронные сообщения: Отписаться, используя ссылки в электронных письмах
• Текстовые сообщения: Ответьте "STOP", чтобы отказаться
• Мобильные устройства: Настройте параметры push-уведомлений и определения местоположения
• Файлы cookie: Настройте параметры браузера (примечание: может повлиять на функциональность)
• Do Not Track: Мы не реагируем на сигналы DNT

Ваши права на конфиденциальность

Вы можете иметь право:

• Подтвердить, обрабатываем ли мы вашу личную информацию
• Запросить доступ к вашей личной информации или её переносимость
• Запросить исправление вашей личной информации
• Запросить удаление вашей личной информации
• Запросить ограничение обработки или возразить против обработки
• Отказаться от целевой рекламы, продаж или профилирования
• Отозвать согласие

6. Международная передача личной информации

Личная информация может передаваться, обрабатываться и храниться в любой точке мира, включая страны с различными законами о защите данных. Для передачи из ЕС/Великобритании мы можем использовать Стандартные договорные условия ЕС в качестве гарантий.

7. Хранение личной информации

Мы храним личную информацию до тех пор, пока вы пользуетесь Услугами, или насколько это необходимо для достижения целей, предоставления Услуг, разрешения споров и соблюдения юридических обязательств.

8. Дополнительное уведомление для GDPR ЕС/Великобритании

Этот раздел применяется к персональным данным, подпадающим под действие GDPR ЕС или Великобритании. В некоторых случаях предоставление персональных данных может требоваться по закону или договору. Мы проинформируем вас о последствиях, если вы решите не предоставлять требуемую информацию.

9. Персональные данные детей

Услуги не предназначены для детей младше 16 лет, и мы не собираем преднамеренно персональные данные детей. Если вы считаете, что ваш ребенок загрузил информацию в нарушение применимого законодательства, пожалуйста, свяжитесь с нами.

10. Уведомление о конфиденциальности при проведении акций

GNOMI App Corp. («Спонсор») собирает и обрабатывает персональные данные, предоставленные участниками, включая имя, адрес электронной почты, страну или штат проживания, а также информацию, необходимую для проверки соответствия требованиям и вручения призов. Эта информация используется исключительно для администрирования акции, предотвращения мошенничества, проверки соответствия требованиям и вручения призов.

Для участников, находящихся в Европейской экономической зоне или Великобритании, Спонсор обрабатывает персональные данные на основании исполнения договора (администрирование акции) и законных интересов Спонсора в проведении и обеспечении безопасности акции. Если участники решают получать маркетинговые сообщения, обработка основывается на согласии. Участие в акции не обусловлено предоставлением согласия на маркетинговые коммуникации.

Спонсор может использовать поставщиков услуг для помощи в администрировании акции, коммуникациях, аналитике и вручении призов. Персональные данные могут передаваться и обрабатываться в Соединенных Штатах или других странах, где работают Спонсор или его поставщики услуг, с соблюдением соответствующих правовых гарантий, где это требуется.

Персональные данные хранятся до двенадцати (12) месяцев после окончания акции, а затем удаляются или анонимизируются, если более длительное хранение не требуется в юридических или нормативных целях. Акция открыта только для лиц, достигших 18 лет или возраста совершеннолетия в своей юрисдикции.

В зависимости от применимого законодательства, участники могут иметь право запрашивать доступ к своим персональным данным, их исправление или удаление, ограничение или возражение против обработки, или запрос на переносимость данных. Участники в ЕЭЗ или Великобритании также могут подать жалобу в местный орган по защите данных. Жители США могут иметь дополнительные права на конфиденциальность в соответствии с применимыми законами штата.

Запросы относительно персональных данных можно направлять по адресу: privacy@gnomi.com

11. Политика Хранения и Уничтожения Данных

Документация по Соблюдению GDPR и Применимого Законодательства о Конфиденциальности

2. Заявление о Соблюдении GDPR и Применимого Законодательства о Конфиденциальности

GNOMI поддерживает настоящую определенную и применяемую Политику Хранения и Уничтожения Данных для обеспечения соблюдения применимых законов о конфиденциальности данных и защите данных, включая Общий Регламент по Защите Данных (GDPR), когда GDPR применяется к деятельности GNOMI по обработке данных. Настоящая политика разработана для операционализации принципов хранения и уничтожения, согласованных с GDPR, включая ограничение хранения, минимизацию данных, ограничение целей, целостность и конфиденциальность, подотчетность и законную обработку запросов субъектов данных на удаление и ограничение.

Меры контроля хранения и уничтожения GNOMI предназначены для обеспечения того, чтобы Персональные Данные не хранились дольше, чем это необходимо для целей, для которых они собираются или иным образом законно обрабатываются, если только продолжение хранения не требуется для юридических, регуляторных, договорных целей, целей безопасности, предотвращения мошенничества, бухгалтерского учета, аудита, разрешения споров или законных деловых целей.

Когда GNOMI обрабатывает авторизованную пользователем информацию о финансовых счетах или портфелях через Plaid или аналогичных поставщиков, GNOMI применяет меры контроля хранения и уничтожения, разработанные для ограничения хранения данных финансовой интеграции периодом, необходимым для предоставления авторизованной функциональности, поддержания безопасности, выполнения договорных обязательств, предотвращения мошенничества и соблюдения применимого законодательства.

3. Область Применения

Настоящая политика применяется ко всем данным, собираемым, обрабатываемым, хранимым, передаваемым или поддерживаемым GNOMI или сторонними поставщиками услуг, действующими от имени GNOMI. Это включает производственные системы, облачные сервисы, базы данных приложений, системы учетных записей пользователей, системы финансовой интеграции, системы аналитики портфелей, системы финансовой аналитики, генерируемой искусственным интеллектом, системы финансового анализа, интеграции Plaid, интеграции брокерских счетов, банковские интеграции, журналы безопасности, аналитические среды, инструменты поддержки клиентов, платформы поставщиков, корпоративные записи, резервные копии и системы аварийного восстановления.

Настоящая политика применяется к сотрудникам GNOMI, подрядчикам, консультантам, поставщикам услуг и другому уполномоченному персоналу, который создает, получает доступ, управляет, хранит, обрабатывает, передает, сохраняет, удаляет или уничтожает данные от имени GNOMI.

4. Положение Политики

GNOMI хранит данные только в течение времени, необходимого для предоставления и улучшения своих услуг, поддержки авторизованной функциональности пользователей, поддержания безопасности, выполнения договорных и юридических обязательств, ведения деловых операций и защиты GNOMI, его партнеров и пользователей. Когда данные больше не требуются, GNOMI удаляет, анонимизирует, агрегирует или безопасно уничтожает их с использованием соответствующих административных, технических и процедурных мер контроля.

Сроки хранения основаны на типе данных, цели обработки, отношениях с пользователем, правовом основании, деловой необходимости, договорных обязательствах, регуляторных требованиях и требованиях безопасности. GNOMI периодически пересматривает практики хранения и уничтожения для подтверждения того, что они остаются соответствующими его бизнесу, продуктам, системам, поставщикам и применимым обязательствам по конфиденциальности.

GNOMI хранит авторизованные пользователем данные финансовой интеграции только в течение времени, необходимого для предоставления авторизованной функциональности финансовой аналитики, запрошенной пользователем, включая анализ портфеля, анализ диверсификации, генерацию настроений портфеля, финансовые аналитические данные, генерируемые искусственным интеллектом, предотвращение мошенничества и поддержку интеграции.

5. Принципы Хранения, Согласованные с GDPR

• Ограничение хранения: GNOMI хранит Персональные Данные только в течение периода, необходимого для соответствующей цели обработки, если только более длительное хранение не оправдано законом, договором, безопасностью, разрешением споров, аудитом, бухгалтерским учетом или требованиями соблюдения.
• Минимизация данных: GNOMI ограничивает хранимые данные тем, что разумно необходимо для соответствующей деловой, продуктовой цели, цели безопасности, юридической цели или цели соблюдения требований.
• Ограничение целей: GNOMI оценивает хранение на основе цели, для которой данные были собраны или иным образом законно обработаны.
• Целостность и конфиденциальность: GNOMI защищает хранимые данные с помощью соответствующих мер контроля доступа, разрешений с минимальными привилегиями, мониторинга и практик безопасной обработки.
• Подотчетность: GNOMI поддерживает ответственность за владение, проверку и обеспечение соблюдения решений о хранении и уничтожении.
• Права субъектов данных: GNOMI обрабатывает применимые запросы на удаление, исправление, ограничение и возражение в соответствии с применимым законодательством о конфиденциальности и любыми законными исключениями.
• Ограничение авторизации пользователя: Данные финансовой интеграции хранятся и обрабатываются только в течение срока и для целей, авторизованных пользователем и поддерживаемых применимыми законными основаниями обработки.

6. Классификация Данных

GNOMI классифицирует данные на основе конфиденциальности, цели обработки, применимых обязательств и операционного использования. Меры контроля хранения и уничтожения применяются в соответствии с характером данных и системами, в которых они находятся.

• Данные клиентов и пользователей: информация, связанная с учетной записью, информация профиля пользователя, предпочтения, данные об использовании продукта, коммуникации службы поддержки и записи, связанные с обслуживанием.
• Данные финансовых подключений: данные брокерских счетов, авторизованные пользователем, данные банковских отношений, портфельные активы, метаданные транзакций, метаданные инвестиционных счетов, балансы, идентификаторы финансовых учреждений, учетные данные или токены финансовой интеграции, финансовые аналитические данные, созданные с помощью ИИ, результаты портфельной аналитики и связанная информация, обрабатываемая через Plaid или аналогичных поставщиков финансовой интеграции.
• Данные финансовой аналитики, созданные с помощью ИИ: анализ настроений портфеля, анализ диверсификации, финансовые сводки, результаты работы ИИ на уровне счетов и связанная финансовая аналитика для конкретных пользователей, созданная на основе авторизованных финансовых интеграций.
• Журналы безопасности и операционные журналы: записи аутентификации, журналы доступа, журналы аудита, данные мониторинга, журналы системной активности и записи реагирования на инциденты.
• Деловые и административные данные: контракты, записи о поставщиках, записи о выставлении счетов, корпоративные записи, юридические записи, налоговые записи и внутренняя операционная документация.
• Агрегированные, анонимизированные или обезличенные данные: аналитика, данные для улучшения продукта и данные отчетности, которые не могут быть разумно связаны с идентифицируемым лицом.

7. График Хранения

GNOMI применяет сроки хранения в соответствии с категориями, указанными ниже. Конкретные сроки могут быть скорректированы в случаях, когда это требуется законом, договором, потребностями безопасности, требованиями технической системы или утвержденной деловой необходимостью. Если конкретный срок хранения не требуется по закону, GNOMI хранит данные только в течение времени, необходимого для соответствующей цели, а затем удаляет, анонимизирует или безопасно уничтожает их.

Категория Данных	Основная Цель	Стандарт Хранения	Метод Уничтожения
Данные учетной записи и профиля пользователя	Работа учетной записи, аутентификация, поддержка пользователей, предоставление услуг	Хранятся в течение активности учетной записи и в течение ограниченного периода после закрытия по мере необходимости для целей безопасности, предотвращения мошенничества, юридических, аудиторских целей или целей поддержки.	Удаление, анонимизация или безопасная очистка из активных систем.
Данные финансовой интеграции, авторизованные пользователем	Предоставление авторизованных функций финансовой аналитики, запрашиваемого пользователем функционала, поддержки интеграции и безопасности	Хранятся только в течение того времени, пока пользователь поддерживает авторизованное финансовое соединение или пока это необходимо для предоставления авторизованного функционала финансовой аналитики, обеспечения безопасности, предотвращения мошенничества, поддержки законных бизнес-операций, выполнения договорных обязательств или соблюдения юридических и нормативных требований. Отозванные, отключенные, истекшие или неактивные интеграции удаляются, деактивируются, анонимизируются или токены отзываются в соответствии с операционными и юридическими требованиями.	Удаление из активных систем, безопасный отзыв токенов, анонимизация, ограниченное архивное хранение в случаях, предусмотренных законом, или безопасное уничтожение.
Финансовые аналитические данные и аналитика портфеля, созданные ИИ	Аналитика портфеля, анализ диверсификации, анализ настроений, функционал ИИ-чата, запрашиваемая пользователем аналитика	Хранятся в течение активности связанных учетных записей пользователей и включенности функционала, с учетом запросов на удаление, требований безопасности, юридических обязательств и операционной необходимости	Удаление, анонимизация, агрегирование или безопасное уничтожение
Записи поддержки и коммуникаций	Поддержка клиентов, решение проблем, обеспечение качества и соблюдение требований	Хранятся по мере необходимости для разрешения запросов, ведения записей об обслуживании и поддержки бизнес-требований или юридических требований.	Удаление или безопасное уничтожение архива по истечении срока.
Журналы безопасности, доступа и аудита	Мониторинг безопасности, предотвращение мошенничества, обнаружение инцидентов, проверка доступа, аудит и целостность системы	Хранятся в течение периода, соответствующего целям безопасности, требованиям системы и юридическим или договорным обязательствам.	Запланированное истечение срока, безопасная очистка или ограниченное уничтожение архива.
Бухгалтерские, налоговые, корпоративные и юридические записи	Бухгалтерский учет, налогообложение, корпоративное управление, аудит, администрирование договоров и соблюдение законодательства	Хранятся в течение периода, требуемого применимым законодательством, аудиторскими стандартами, договором или требованиями корпоративного управления.	Безопасное уничтожение по истечении юридической или бизнес-необходимости.
Агрегированные, анонимизированные или деидентифицированные данные	Аналитика, улучшение продукта, исследования, отчетность и бизнес-аналитика	Могут храниться в течение более длительных периодов, если данные не могут быть разумно идентифицированы и находятся вне сферы применения Персональных Данных в соответствии с применимым законодательством.	Постоянное использование, дальнейшее агрегирование или уничтожение, когда больше не требуется.
Резервные копии и данные аварийного восстановления	Непрерывность бизнеса, восстановление безопасности и восстановление системы	Хранятся в соответствии с графиками жизненного цикла резервного копирования и перезаписываются или очищаются в рамках обычной ротации резервных копий, если не подпадают под юридическое удержание.	Запланированная перезапись, истечение срока или безопасное уничтожение.

8. Процедуры Удаления Данных и Безопасной Утилизации

GNOMI обеспечивает удаление и утилизацию данных посредством административных, технических и процедурных мер контроля. Методы утилизации выбираются на основе типа данных, системы, конфиденциальности, требований к хранению и технической осуществимости.

• Удаление или очистка из активных производственных систем, когда данные больше не требуются.
• Анонимизация или агрегирование, когда GNOMI необходимо сохранить аналитику или информацию о продукте без сохранения разумно идентифицируемых Персональных Данных.
• Ограничение или деактивация данных, когда удаление временно ограничено юридическим удержанием, безопасностью, аудитом, бухгалтерским учетом, разрешением споров или техническими ограничениями.
• Безопасная утилизация записей и экспортов с использованием утвержденных процессов удаления, уничтожения или отзыва доступа.
• Проверка систем и поставщиков для подтверждения того, что обязательства по хранению и утилизации операционализированы там, где данные обрабатываются от имени GNOMI.
• Отзыв и удаление токенов доступа Plaid, учетных данных OAuth, учетных данных API и связанных секретов интеграции, когда интеграции отключены, истекли или больше не требуются.
• Удаление или анонимизация финансовых аналитических данных, созданных ИИ, когда связанные базовые финансовые интеграции отозваны или удалены, если иное хранение не требуется.

9. Запросы Субъектов Данных по GDPR и Закрытие Аккаунта

Когда применяется GDPR или другое применимое законодательство о конфиденциальности, GNOMI обрабатывает запросы субъектов данных, касающиеся доступа, исправления, удаления, ограничения, возражения и переносимости в соответствии с применимыми юридическими требованиями и законными исключениями. GNOMI оценивает запросы на основе личности запрашивающего, характера данных, применимого правового основания, системных требований и любого законного обязательства по хранению данных.

После подтвержденного закрытия аккаунта или подтвержденного запроса на удаление GNOMI удаляет, анонимизирует или ограничивает применимые Персональные Данные из активных систем, если хранение не требуется или не разрешено для юридических, регуляторных, договорных, безопасности, предотвращения мошенничества, бухгалтерского учета, аудита, разрешения споров или законных деловых целей. Когда данные не могут быть немедленно удалены из резервных копий, они защищены от обычного использования и удаляются в рамках применимого жизненного цикла резервного копирования.

Когда это технически осуществимо и юридически разрешено, GNOMI обрабатывает подтвержденные запросы на отключение финансовых интеграций, отзыв токенов финансового доступа, удаление связанных данных аналитики портфеля и удаление финансовых аналитических данных, созданных ИИ, связанных с авторизованными пользователем финансовыми интеграциями.

10. Юридические Удержания и Исключения из Хранения

GNOMI может приостановить обычные графики хранения или удаления, когда данные подлежат юридическому удержанию, спору, расследованию, регуляторному запросу, требованию аудита, инциденту безопасности, договорному обязательству, бухгалтерскому обязательству или другому законному деловому требованию. Данные, подлежащие юридическому удержанию или утвержденному исключению, хранятся только до тех пор, пока применяется исключение, а затем возвращаются к применимому процессу хранения и утилизации. Безопасность, предотвращение мошенничества, противодействие злоупотреблениям, разрешение споров, аудит, регуляторная проверка или другие законные обязательства по соблюдению требований могут требовать ограниченного продолжения хранения записей финансовой интеграции или связанных с безопасностью финансовых метаданных.

11. Поставщики, Обработчики и Сторонние Системы

Когда GNOMI использует сторонних поставщиков услуг для хранения или обработки данных, GNOMI требует надлежащего обращения с хранением и утилизацией посредством проверки поставщиков, договорных обязательств, где применимо, и операционных мер контроля. Для поставщиков, действующих в качестве обработчиков или поставщиков услуг, GNOMI ожидает, что обязательства по хранению, удалению, конфиденциальности, безопасности и содействию будут рассмотрены в применимых соглашениях, условиях обработки данных или мерах контроля поставщиков.

GNOMI проверяет практики обработки данных поставщиками в соответствии с характером услуги, конфиденциальностью данных и применимыми требованиями конфиденциальности и безопасности. Когда GNOMI получает подтвержденный запрос на удаление, который применяется к данным, хранящимся у поставщика или обработчика, GNOMI предпринимает разумные шаги для передачи или выполнения запроса на удаление, ограничение или анонимизацию через применимый рабочий процесс поставщика, с учетом законных исключений.

GNOMI оценивает Plaid и других поставщиков финансовой интеграции на предмет надлежащих договорных, конфиденциальности, безопасности, хранения, удаления, конфиденциальности и регуляторных мер контроля соответствия.

Когда требуется, GNOMI внедряет соответствующие меры защиты передачи данных, совместимые с GDPR, для трансграничной обработки, включающей данные финансовой интеграции.

12. Резервные Копии и Аварийное Восстановление

Данные, содержащиеся в резервных копиях или системах аварийного восстановления, могут сохраняться в течение ограниченного периода после удаления из активных производственных систем. Данные резервных копий защищены от несанкционированного доступа и подлежат мерам контроля жизненного цикла, графикам хранения и запланированной перезаписи или удалению. GNOMI не использует данные резервных копий для обычной деловой обработки после применимого запроса на удаление, за исключением случаев, когда восстановление требуется для безопасности, аварийного восстановления, юридической или операционной необходимости. Данные финансовой интеграции и финансовые аналитические данные, созданные ИИ, хранящиеся в системах резервного копирования, остаются подлежащими ограничениям доступа, мерам контроля шифрования, управлению жизненным циклом и процедурам безопасной перезаписи.

13. Исполнение и Ответственность

Руководство GNOMI, персонал по безопасности, инженерии, продукту, операциям и соблюдению требований несут ответственность за применение этой политики в рамках своих областей ответственности. Сотрудники и подрядчики должны следовать утвержденным процедурам хранения, удаления, контроля доступа и утилизации. Несанкционированное хранение, экспорт, копирование или утилизация данных вне утвержденных процессов запрещены.

14. Периодический Пересмотр

Эта политика пересматривается не реже одного раза в год и при существенных изменениях в продуктах GNOMI, системах, поставщиках, деятельности по обработке данных, юридических требованиях, договорных обязательствах или состоянии безопасности. Пересмотры предназначены для подтверждения того, что стандарты хранения, процедуры утилизации, практики, согласованные с GDPR, меры контроля поставщиков и операционное исполнение остаются надлежащими и эффективными. Пересмотры должны учитывать новые функции финансовой интеграции, функциональность финансового анализа ИИ, системы аналитики портфеля, изменения в интеграциях Plaid и развивающиеся обязательства по конфиденциальности или финансовым данным.

15. Подтверждение Соответствия

GNOMI поддерживает эту политику в качестве активной документации компании по хранению, удалению и утилизации данных. Эта политика разработана для поддержки соответствия применимым законам о конфиденциальности данных, включая GDPR, где применимо, и для предоставления определенной и исполнимой структуры того, как GNOMI хранит, удаляет, анонимизирует и утилизирует данные.

16. Утверждение

Утверждено руководством GNOMI в качестве активной политики компании по Хранению и Утилизации Данных, включая практики хранения и удаления, согласованные с GDPR.

12. Политика Информационной Безопасности

Включая Меры Контроля GDPR и Применимого Законодательства о Конфиденциальности

2. Сфера Применения

Настоящая политика применяется ко всем сотрудникам GNOMI, учредителям, должностным лицам, подрядчикам, консультантам, поставщикам услуг, поставщикам, системам, приложениям, облачным средам, базам данных, репозиториям исходного кода, производственным активам, корпоративным устройствам, пользовательским данным, партнерским данным и любым другим информационным активам, используемым для предоставления продуктов и услуг GNOMI.

Настоящая политика применяется к корпоративным, клиентским, пользовательским, финансовым, техническим, операционным данным, данным аутентификации, API и данным, управляемым поставщиками, включая данные брокерских счетов, авторизованные пользователями, данные банковских отношений, портфельные активы, метаданные транзакций, токены финансовой интеграции, анализ портфелей, генерируемый с помощью ИИ, и результаты финансовой аналитики, включая Персональные Данные, конфиденциальные данные и регулируемые данные, обрабатываемые GNOMI или от имени GNOMI.

3. Соблюдение Правовых, Нормативных Требований и Требований Конфиденциальности

GNOMI разрабатывает и осуществляет свою программу безопасности для обеспечения соблюдения всех применимых законов, правил, нормативных актов и договорных требований в области информационной безопасности и конфиденциальности, относящихся к её деятельности, включая, где применимо:

• Общий Регламент по Защите Данных (GDPR) и применимые требования ЕС/ЕЭЗ по защите данных;
• Требования UK GDPR и Закона о Защите Данных, где применимо;
• Законы США о конфиденциальности и безопасности на уровне штатов, включая CCPA/CPRA и Закон SHIELD штата Нью-Йорк, где применимо;
• Требования GLBA и Правила Защиты FTC в той мере, в какой GNOMI обрабатывает данные, подпадающие под действие этих обязательств;
• Договорные обязательства партнеров в области безопасности, включая защиту данных, конфиденциальность, контроль доступа, уведомление об инцидентах и требования к безопасности поставщиков;
• Применимые требования к уведомлению о нарушениях, минимизации данных, хранению, удалению и правам пользователей;
• Договорные обязательства Plaid в области безопасности и обработки данных, применимые к средам финансовой интеграции;
• Применимые обязательства по конфиденциальности финансовых данных, защите и защите прав потребителей, относящиеся к финансовым интеграциям, авторизованным пользователями.

Если законы, договоры или требования партнеров налагают более строгие обязательства, чем настоящая политика, применяется более строгий стандарт. GNOMI периодически пересматривает настоящую политику для обеспечения её соответствия применимым правовым, нормативным, партнерским требованиям и требованиям безопасности.

4. Требования GDPR и Конфиденциальности-по-Дизайну

GNOMI применяет принципы конфиденциальности-по-дизайну и безопасности-по-дизайну к системам и процессам, связанным с Персональными Данными. Если применяется GDPR, меры контроля безопасности и конфиденциальности GNOMI разработаны для поддержки следующих принципов:

• Законность, справедливость и прозрачность в деятельности по обработке данных;
• Ограничение цели и использование данных только для законных деловых, продуктовых, правовых целей, целей безопасности или целей, авторизованных пользователями;
• Минимизация данных и сбор только данных, разумно необходимых для заявленной цели;
• Точность и соответствующие процессы исправления или удаления;
• Ограничение хранения посредством определенных стандартов хранения и удаления;
• Целостность и конфиденциальность посредством соответствующих технических и организационных мер;
• Подотчетность посредством документирования, ответственности, проверки и обеспечения соблюдения мер контроля конфиденциальности и безопасности.
• Обработка финансовых данных, авторизованных пользователями, должна быть ограничена объемом согласия, договорной необходимости или другого законного основания, применимого к запрашиваемой функциональности.
• Функции финансовой аналитики и функциональность анализа портфелей, генерируемого с помощью ИИ, должны включать минимизацию данных, доступ с минимальными привилегиями, безопасную обработку и соответствующие меры контроля прозрачности для пользователей.

GNOMI поддерживает процессы реализации прав субъектов данных, включая доступ, исправление, удаление, ограничение, переносимость и возражение, где применимо. Запросы оцениваются в соответствии с применимым законодательством и внутренними требованиями GNOMI в области конфиденциальности, безопасности, хранения и правового удержания.

5. Управление Безопасностью и Подотчетность

• Исполнительное руководство несет ответственность за обеспечение того, чтобы GNOMI поддерживала программу информационной безопасности, соответствующую размеру компании, профилю рисков, продуктам, данным и обязательствам перед партнерами.
• Обязанности по безопасности распределяются между заинтересованными сторонами в области инженерии, продуктов, операций, юридических вопросов и руководства по мере необходимости.
• Требования безопасности включаются в разработку продуктов, выбор поставщиков, управление доступом, реагирование на инциденты, обработку данных и принятие операционных решений.
• GNOMI поддерживает внутренние процедуры и вспомогательные средства контроля для реализации данной политики, включая контроль доступа, хранение данных, реагирование на инциденты, управление поставщиками и практики безопасной разработки.

6. Управление Рисками

GNOMI выявляет, оценивает, снижает и контролирует риски информационной безопасности, которые могут повлиять на конфиденциальность, целостность, доступность, приватность или соблюдение законодательства. Проверка рисков может включать архитектуру системы, потоки данных, зависимости от поставщиков, средства контроля аутентификации, привилегии доступа, производственные среды, новые функции продуктов, интеграции третьих сторон и историю инцидентов.

Существенные риски передаются соответствующему руководству для устранения, принятия, передачи или применения дополнительных средств контроля. Решения по обработке рисков должны учитывать юридические требования, обязательства перед партнерами, влияние на пользователей, влияние на безопасность и непрерывность бизнеса.

Оценка рисков должна учитывать финансовые интеграции, зависимости от Plaid, функциональность финансового анализа, генерируемого AI, системы аналитики портфелей, средства контроля доступа к финансовым данным, выходные данные моделей и потоки финансовых данных третьих сторон.

7. Классификация и Обработка Данных

GNOMI классифицирует и защищает данные в соответствии с чувствительностью, бизнес-ценностью, юридическими обязательствами и рисками. Категории данных могут включать публичные, внутренние, конфиденциальные, чувствительные, персональные, финансовые, аутентификационные данные, исходный код, данные безопасности и партнерские данные.

• Доступ к Чувствительным и Персональным Данным должен осуществляться только уполномоченным персоналом с законной деловой необходимостью.
• Данные должны храниться, передаваться и обрабатываться с использованием утвержденных систем и соответствующих мер защиты.
• Секреты, учетные данные, токены, API-ключи, закрытые ключи и сертификаты не должны храниться в репозиториях с открытым текстом, незащищенных документах, сообщениях чата или неавторизованных системах.
• Производственные данные не могут копироваться в непроизводственные среды, если это не одобрено и надлежащим образом защищено, минимизировано, анонимизировано или псевдонимизировано, где это возможно.
• Обработка данных должна соответствовать требованиям GNOMI по хранению, удалению, утилизации и конфиденциальности.
• Данные брокерских счетов, авторизованные пользователем, банковская информация, портфельные активы, метаданные транзакций, финансовые аналитические данные, генерируемые AI, и выходные данные настроений портфеля должны классифицироваться как Чувствительные Данные.
• Данные финансовой интеграции могут обрабатываться только через утвержденные системы и авторизованные рабочие процессы.
• Производственные данные финансовой интеграции не могут копироваться в среды разработки или тестирования, если они не минимизированы, анонимизированы, псевдонимизированы или иным образом надлежащим образом защищены.

8. Управление Идентификацией и Доступом

GNOMI применяет средства контроля доступа, предназначенные для ограничения доступа к производственным активам, облачным ресурсам, административным инструментам, системам, репозиториям исходного кода и чувствительным данным. Доступ предоставляется на основе роли, деловой необходимости, принципа минимальных привилегий и требований к утверждению.

• Ролевой контроль доступа (RBAC) используется там, где это поддерживается системами и приложениями.
• Привилегированный и административный доступ ограничен уполномоченным персоналом и периодически проверяется.
• Централизованные решения по управлению идентификацией и доступом используются там, где это целесообразно, для управления аутентификацией и авторизацией пользователей.
• Многофакторная аутентификация требуется для привилегированных учетных записей и критически важных систем, где это поддерживается.
• Проверки и аудиты доступа проводятся периодически для подтверждения того, что доступ остается надлежащим.
• Доступ изменяется или отзывается, когда персонал меняет роли, передает обязанности или прекращает свои отношения с GNOMI.
• Нечеловеческая аутентификация, включая служебные учетные записи, OAuth-токены, учетные данные API и TLS-сертификаты, должна быть одобрена, безопасно храниться, ограничена минимально необходимыми привилегиями и ротирована или отозвана, когда больше не требуется.
• Доступ к системам финансовой интеграции, административным средам Plaid, системам финансовой аналитики AI и наборам финансовых данных пользователей должен быть ограничен уполномоченным персоналом с законной операционной, безопасностной, комплаенс или поддерживающей необходимостью.
• Административный доступ к системам, способным извлекать или анализировать данные финансовых счетов, авторизованные пользователем, требует многофакторной аутентификации, где это поддерживается.

9. Безопасность Производственных Активов

• Производственные среды должны быть защищены посредством контроля доступа, журналирования, мониторинга, безопасной конфигурации и практик управления изменениями.
• Доступ к производственной среде ограничен персоналом с утвержденной операционной или инженерной необходимостью.
• Изменения в производственных системах должны следовать соответствующим практикам проверки, тестирования, утверждения и развертывания на основе риска и срочности.
• Конфиденциальные производственные данные не должны экспортироваться, загружаться или передаваться, если это не авторизовано для законной деловой, юридической, связанной с безопасностью или операционной цели.
• Экстренный доступ к производственной среде должен быть ограничен, зарегистрирован в журнале и проверен после использования.
• Системы, обрабатывающие данные финансовой интеграции, авторизованные пользователем, должны реализовывать соответствующие средства контроля журналирования, мониторинга, шифрования, ограничения доступа и безопасной конфигурации.
• Доступ к финансовым аналитическим данным, сгенерированным ИИ, и результатам портфельной аналитики должен быть ограничен в соответствии с конфиденциальностью связанных финансовых данных пользователя.

10. Шифрование, Секреты и Управление Ключами

GNOMI использует соответствующие технические меры защиты для защиты конфиденциальных данных, учетных данных и коммуникаций. Шифрование должно использоваться для конфиденциальных данных при передаче и применяться к конфиденциальным данным в состоянии покоя, где это поддерживается и целесообразно. Секреты, токены, сертификаты, ключи и учетные данные должны храниться в утвержденных защищенных системах и защищаться от несанкционированного использования или раскрытия.

Ключи и учетные данные должны ротироваться, отключаться или отзываться при компрометации, когда они больше не нужны или когда изменяется доступ персонала или поставщика. Учетные данные не должны использоваться совместно между пользователями, за исключением случаев, когда используются утвержденные средства контроля служебных учетных записей.

Учетные данные Plaid API, токены финансовой интеграции, учетные данные OAuth, секреты webhook, токены обновления и связанные секреты финансовой интеграции должны быть зашифрованы, безопасно храниться и защищены от несанкционированного доступа.

11. Журналирование, Мониторинг и Проверка Безопасности

GNOMI поддерживает практики журналирования и мониторинга, соответствующие его системам и профилю риска. Журналы могут включать события аутентификации, административную деятельность, события приложений, системную активность, производственные изменения, изменения доступа и связанные с безопасностью ошибки или оповещения.

• Журналы проверяются по мере необходимости для расследования событий безопасности, операционных проблем, аномалий доступа и инцидентов.
• События, связанные с безопасностью, эскалируются ответственному персоналу для расследования и устранения.
• Средства контроля мониторинга и оповещения обновляются по мере развития систем, поставщиков и бизнес-рисков.
• Журналы, содержащие Персональные Данные или конфиденциальную информацию, должны быть защищены и храниться в соответствии с обязательствами GNOMI по хранению и конфиденциальности.
• Мониторинг безопасности должен включать активность финансовой интеграции, события интеграции Plaid, события управления токенами, привилегированный доступ к финансовым наборам данных и аномальные шаблоны доступа, связанные с финансовой информацией пользователя.

12. Безопасная Разработка и Управление Изменениями

GNOMI включает безопасность в разработку программного обеспечения и поставку продуктов. Требования безопасности учитываются на этапах проектирования, разработки, тестирования, развертывания и обслуживания систем GNOMI.

• Изменения кода должны проверяться перед развертыванием в производственную среду, где это целесообразно.
• Изменения, влияющие на безопасность, должны оцениваться на предмет риска, включая изменения, касающиеся аутентификации, авторизации, потоков данных, API, интеграций, производственной инфраструктуры или конфиденциальных данных.
• Зависимости, библиотеки и сторонние компоненты должны проверяться и обновляться надлежащим образом для снижения известных уязвимостей.
• Уязвимости, выявленные в ходе внутренней проверки, отчетов третьих сторон, мониторинга или уведомлений поставщиков, должны быть классифицированы и устранены на основе серьезности и влияния на бизнес.
• Изменения, влияющие на безопасность и касающиеся финансовых интеграций, Plaid API, портфельной аналитики, сгенерированной ИИ, функциональности финансового анализа или потоков финансовых данных пользователя, должны пройти соответствующую проверку безопасности и конфиденциальности перед развертыванием.

13. Безопасность Поставщиков и Третьих Сторон

GNOMI оценивает сторонних поставщиков, обработчиков, субобработчиков и партнеров по интеграции на основе типа обрабатываемых данных, предоставляемых услуг, операционной зависимости, состояния безопасности, юридических обязательств и договорных требований.

• Поставщики, обрабатывающие конфиденциальные, персональные, финансовые данные или данные пользователей, должны проверяться на наличие надлежащих мер безопасности и защиты конфиденциальности.
• Договоры должны включать обязательства по конфиденциальности, защите данных, безопасности, контролю доступа, уведомлению об инцидентах, хранению, удалению и субобработчикам, где это уместно.
• Доступ поставщиков к системам или данным GNOMI должен быть ограничен авторизованным использованием и отозван, когда он больше не требуется.
• GNOMI отслеживает существенные риски поставщиков и может запрашивать документацию по безопасности, подтверждения или доказательства соответствия от поставщиков, когда это уместно.
• Поставщики финансовой интеграции, включая Plaid и связанных субобработчиков, должны оцениваться на предмет состояния безопасности, средств защиты данных, соответствия нормативным требованиям и договорных обязательств по конфиденциальности.
• Трансграничные передачи, связанные с данными финансовой интеграции ЕС или Великобритании, должны использовать соответствующие законные механизмы передачи, где это требуется.

14. Реагирование на Инциденты и Уведомление о Нарушениях

GNOMI поддерживает процедуры реагирования на инциденты для выявления, расследования, сдерживания, устранения, документирования и информирования об инцидентах безопасности. Инциденты безопасности могут включать несанкционированный доступ, раскрытие данных, компрометацию учетных данных, компрометацию системы, потерю данных, вредоносное ПО, нарушение обслуживания или подозрение на нарушение конфиденциальности, целостности или доступности.

• Инциденты должны быть незамедлительно эскалированы соответствующим внутренним заинтересованным сторонам.
• GNOMI будет оценивать характер, масштаб, затронутые системы, затронутые данные, влияние на пользователей, влияние на партнеров, юридические обязательства и меры по устранению.
• Уведомление пользователей, регуляторов, партнеров, поставщиков или других сторон будет осуществляться, когда это требуется применимым законодательством, договором или решением GNOMI о реагировании на инциденты.
• Извлеченные уроки из инцидентов могут использоваться для улучшения средств контроля, процедур, обучения, мониторинга и надзора за поставщиками.
• Инциденты, связанные с системами финансовой интеграции, учетными данными Plaid, брокерской или банковской информацией, системами аналитики портфелей или выходными данными финансовой аналитики, созданными ИИ, должны быть приоритетными для расследования и сдерживания.

15. Хранение Данных, Утилизация и Юридическое Удержание

GNOMI хранит информацию только в течение разумно необходимого времени для цели, для которой она была собрана или обработана, включая предоставление продукта, управление учетными записями пользователей, безопасность, предотвращение мошенничества, аналитику, соблюдение законодательства, финансовые записи, договорные обязательства, разрешение споров и законные бизнес-операции.

• Персональные Данные должны быть удалены, анонимизированы или безопасно утилизированы, когда они больше не требуются, с учетом юридических, нормативных, договорных, связанных с безопасностью или законных бизнес-потребностей в хранении.
• Запросы на удаление пользователей и закрытие учетных записей обрабатываются в соответствии с применимыми законами о конфиденциальности и требованиями GNOMI к хранению.
• Резервные копии и журналы хранятся и утилизируются в соответствии с определенными практиками жизненного цикла и могут подлежать отложенному удалению из-за технических, связанных с безопасностью или юридических требований.
• Юридические удержания могут приостанавливать удаление или утилизацию, когда необходимо сохранить информацию для юридических, нормативных, аудиторских, следственных целей или целей разрешения споров.
• Данные финансовой интеграции и финансовые аналитические данные, созданные ИИ, должны быть удалены, анонимизированы, ограничены или токен должен быть отозван, когда они больше не требуются для авторизованной функциональности, с учетом законных требований к хранению.

16. Безопасность Персонала и Обучение

Персонал GNOMI и подрядчики с доступом к корпоративным системам, производственным активам или конфиденциальным данным должны следовать настоящей политике и применимым процедурам безопасности. Ожидается, что персонал будет защищать учетные данные, использовать утвержденные системы, сообщать о подозрительных инцидентах безопасности и обрабатывать данные в соответствии с классификацией и требованиями необходимости знать.

Повышение осведомленности о безопасности и конфиденциальности может осуществляться через адаптацию, руководство для конкретных ролей, внутренние коммуникации и текущие обновления по мере развития продуктов GNOMI, рисков и обязательств по соблюдению требований.

Персонал с доступом к системам финансовой интеграции или авторизованным пользователем финансовым данным может получать дополнительные рекомендации относительно обработки финансовых данных, обязательств по конфиденциальности, безопасной обработки, предотвращения фишинга, безопасности токенов и процедур эскалации инцидентов.

17. Непрерывность Бизнеса и Доступность

GNOMI поддерживает разумные меры для обеспечения непрерывности и доступности критически важных сервисов. Средства контроля могут включать облачную устойчивость, резервное копирование, мониторинг, эскалацию инцидентов, проверку зависимости от поставщиков, планирование аварийного восстановления и процедуры операционного реагирования на основе критичности системы и риска. Планирование непрерывности бизнеса должно учитывать зависимости от Plaid и других поставщиков финансовой интеграции, включая риски доступности, сбои поставщиков, сбои токенов и нарушения сервиса финансовой интеграции.

18. Исключения

Любое исключение из настоящей политики должно быть одобрено соответствующим руководством GNOMI на основе бизнес-потребности, риска, компенсирующих средств контроля, продолжительности и юридических или договорных требований. Исключения должны быть документированы, где это уместно, и периодически пересматриваться до устранения или формального принятия.

19. Применение

Несоблюдение настоящей политики может привести к отзыву доступа, требованиям по устранению, действиям в отношении поставщика, дисциплинарным мерам, расторжению договора или другим мерам, соответствующим характеру и серьезности нарушения. GNOMI может расследовать подозреваемые нарушения и принимать корректирующие меры для защиты корпоративных систем, пользователей, партнеров и данных.