Це Повідомлення про Конфіденційність застосовується до обробки персональної інформації компанією Gnomi App Corp (GNOMI), включаючи нашу мобільну програму, наш веб-сайт за адресою gnomi.com та наші інші онлайн або офлайн пропозиції (разом — Сервіси).

1. Оновлення цього Повідомлення про конфіденційність

Ми можемо час від часу оновлювати це Повідомлення про конфіденційність. Якщо ми це зробимо, ми повідомимо вас, розмістивши оновлене Повідомлення про конфіденційність на нашому веб-сайті, і/або ми також можемо надсилати інші повідомлення.

2. Особиста інформація, яку ми збираємо

Ми збираємо особисту інформацію, яку ви надаєте нам, особисту інформацію, яку ми збираємо автоматично, коли ви користуєтесь Послугами, та особисту інформацію з джерел третіх сторін.

A. Особиста інформація, яку ви надаєте нам безпосередньо

• Інформація облікового запису: Ім'я користувача, електронна адреса, пароль, країна розташування та інша інформація, яку ви зберігаєте у своєму обліковому записі
• Інформація профілю: Ім'я, посада, біографія, пов'язані облікові записи соціальних мереж, стать і дата народження (приватна)
• Інтерактивні функції: Контент, який ви надсилаєте через повідомлення, коментарі та функції соціальних мереж
• Покупки: Платіжна інформація для передплати GNOMI Premium
• Комунікації: Інформація, яку ви надсилаєте нам електронною поштою або через чат
• Опитування: Інформація з опитувань, у яких ви берете участь
• Конкурси: Інформація з розіграшів або конкурсів
• Заходи: Інформація з конференцій та торгових виставок
• Заявки на роботу: Контактна інформація та резюме, якщо ви подаєте заявку на роботу

B. Особиста інформація, що збирається автоматично

• Інформація про пристрій: IP-адреса, налаштування користувача, ідентифікатори cookie, інформація про браузер, інформація про місцезнаходження
• Інформація про використання: Відвідані сторінки, пошукові запити, взаємодія з контентом, частота та тривалість активності
• Файли cookie та технології: Файли cookie, піксельні теги та веб-маяки для збору інформації про ваше використання Послуг

C. Особиста інформація, зібрана від третіх сторін

Ми можемо збирати особисту інформацію від сторонніх сервісів, коли ви підключаєте GNOMI до акаунтів соціальних мереж (Reddit, LinkedIn, Meta, X) або використовуєте сторонні сервіси для входу.

3. Як ми використовуємо особисту інформацію

A. Надання Послуг

• Управління вашою інформацією та надання доступу до функцій
• Підтримка клієнтів та комунікації
• Обробка платежів
• Обробка заявок на роботу

B. Покращення Послуг та Розробка Нових Продуктів

• Навчання технологій штучного інтелекту та машинного навчання
• Вдосконалення та покращення Послуг

C. Адміністративні Цілі

• Безпека та запобігання шахрайству
• Аналітика та вимірювання залученості
• Контроль якості та безпека
• Дотримання законодавства

D. Маркетинг

Ми можемо використовувати вашу особисту інформацію для надсилання вам маркетингових повідомлень та пропозицій через електронні розсилки, як це дозволено чинним законодавством.

F. Автоматизоване Прийняття Рішень

Ми можемо здійснювати автоматизоване прийняття рішень, включаючи профілювання, для надання персоналізованого контенту на основі вашої взаємодії з Послугами.

4. Як Ми Розкриваємо Особисту Інформацію

A. Розкриття інформації для Надання Послуг

• Постачальники послуг: Послуги ШІ/МН, хостинг, обслуговування клієнтів, аналітика, маркетинг, ІТ-підтримка
• Інші користувачі: Інформація, якою ви вирішуєте поділитися з іншими користувачами GNOMI
• Сторонні сервіси: Сервіси, з якими ви з'єднуєтесь або взаємодієте
• Бізнес-партнери: Партнери, з якими ми співпрацюємо для надання послуг
• Афілійовані особи: Наші корпоративні афілійовані особи
• Рекламні партнери: Для безкоштовних користувачів ми можемо ділитися інформацією з рекламними партнерами для цільової реклами

B. Розкриття інформації для захисту нас або інших осіб

Ми можемо розкривати інформацію для виконання юридичних запитів, захисту прав і безпеки, забезпечення дотримання політик або сприяння розслідуванням.

C. Бізнес-операції

Ваша інформація може бути розкрита у зв'язку зі злиттям, поглинанням або іншими корпоративними операціями.

5. Ваші права та вибір щодо конфіденційності

Ваші варіанти щодо конфіденційності

• Електронні листи: Відписатися, використовуючи посилання в електронних листах
• Текстові повідомлення: Відповісти "STOP", щоб відмовитися
• Мобільні пристрої: Налаштуйте параметри push-сповіщень та геолокації
• Файли cookie: Налаштуйте параметри браузера (примітка: може вплинути на функціональність)
• Do Not Track: Ми не реагуємо на сигнали DNT

Ваші права на конфіденційність

Ви можете мати право:

• Підтвердити, чи обробляємо ми вашу особисту інформацію
• Запитати доступ до вашої особистої інформації або її перенесення
• Запитати виправлення вашої особистої інформації
• Запитати видалення вашої особистої інформації
• Запитати обмеження обробки або заперечити проти обробки
• Відмовитися від цільової реклами, продажу або профілювання
• Відкликати згоду

6. Міжнародна передача особистої інформації

Особиста інформація може передаватися, оброблятися та зберігатися будь-де у світі, включаючи країни з різними законами про захист даних. Для передачі з ЄС/Великобританії ми можемо використовувати Стандартні договірні положення ЄС як гарантії.

7. Зберігання особистої інформації

Ми зберігаємо особисту інформацію доти, доки ви користуєтеся Послугами, або наскільки це необхідно для досягнення цілей, надання Послуг, вирішення спорів та дотримання юридичних зобов'язань.

8. Додаткове повідомлення для GDPR ЄС/Великобританії

Цей розділ застосовується до персональних даних, що підпадають під дію GDPR ЄС або Великобританії. У деяких випадках надання персональних даних може вимагатися законом або договором. Ми повідомимо вас про наслідки, якщо ви вирішите не надавати необхідну інформацію.

9. Персональна інформація дітей

Послуги не призначені для дітей до 16 років, і ми свідомо не збираємо персональну інформацію від дітей. Якщо ви вважаєте, що ваша дитина завантажила інформацію з порушенням чинного законодавства, будь ласка, зв'яжіться з нами.

10. Повідомлення про конфіденційність акцій

GNOMI App Corp. ("Спонсор") збирає та обробляє персональну інформацію, надану учасниками, включаючи ім'я, електронну адресу, країну або штат проживання, та інформацію, необхідну для перевірки відповідності вимогам та доставки призів. Ця інформація використовується виключно для адміністрування акції, запобігання шахрайству, перевірки відповідності вимогам та видачі призів.

Для учасників, які знаходяться в Європейській економічній зоні або Великобританії, Спонсор обробляє персональні дані на підставі виконання договору (адміністрування акції) та законних інтересів Спонсора в управлінні та забезпеченні акції. Якщо учасники вирішують отримувати маркетингові повідомлення, обробка базується на згоді. Участь в акції не обумовлена наданням згоди на маркетингові комунікації.

Спонсор може використовувати постачальників послуг для допомоги в адмініструванні акції, комунікаціях, аналітиці та видачі призів. Персональні дані можуть передаватися та оброблятися в Сполучених Штатах або інших країнах, де працюють Спонсор або його постачальники послуг, з урахуванням відповідних правових гарантій, де це необхідно.

Персональні дані зберігаються до дванадцяти (12) місяців після закінчення акції, а потім видаляються або анонімізуються, якщо більш тривале зберігання не вимагається для юридичних або регуляторних цілей. Акція відкрита лише для осіб, яким виповнилося щонайменше 18 років або які досягли повноліття у своїй юрисдикції.

Залежно від чинного законодавства, учасники можуть мати право запитувати доступ до своїх персональних даних, їх виправлення або видалення, обмеження або заперечення проти обробки, або запитувати перенесення даних. Учасники в ЄЕЗ або Великобританії також можуть подати скаргу до свого місцевого органу захисту даних. Резиденти США можуть мати додаткові права на конфіденційність відповідно до застосовних законів штату.

Запити щодо персональних даних можна надсилати на адресу: privacy@gnomi.com

11. Політика Зберігання та Видалення Даних

Документація щодо Дотримання GDPR та Застосовних Законів про Конфіденційність

2. Заява про Дотримання GDPR та Застосовних Законів про Конфіденційність

GNOMI підтримує цю визначену та застосовувану Політику Зберігання та Видалення Даних для підтримки дотримання застосовних законів про конфіденційність даних та захист даних, включаючи Загальний Регламент Захисту Даних (GDPR), де GDPR застосовується до діяльності GNOMI з обробки даних. Ця політика розроблена для операціоналізації принципів зберігання та видалення, узгоджених з GDPR, включаючи обмеження зберігання, мінімізацію даних, обмеження цілей, цілісність та конфіденційність, підзвітність та законну обробку запитів суб'єктів даних на видалення та обмеження.

Засоби контролю зберігання та видалення GNOMI призначені для забезпечення того, щоб Персональні Дані не зберігалися довше, ніж це необхідно для цілей, для яких вони збираються або іншим чином законно обробляються, якщо тільки продовження зберігання не вимагається для юридичних, регуляторних, договірних, безпекових цілей, запобігання шахрайству, бухгалтерського обліку, аудиту, вирішення спорів або законних бізнес-цілей.

Коли GNOMI обробляє авторизовану користувачем інформацію про фінансовий рахунок або портфель через Plaid або подібних постачальників, GNOMI застосовує засоби контролю зберігання та видалення, розроблені для обмеження зберігання даних фінансової інтеграції до періоду, необхідного для надання авторизованої функціональності, підтримки безпеки, виконання договірних зобов'язань, запобігання шахрайству та дотримання застосовного законодавства.

3. Сфера Застосування

Ця політика застосовується до всіх даних, зібраних, оброблених, збережених, переданих або підтримуваних GNOMI або сторонніми постачальниками послуг, що діють від імені GNOMI. Це включає виробничі системи, хмарні сервіси, бази даних додатків, системи облікових записів користувачів, системи фінансової інтеграції, системи аналітики портфелів, системи фінансової аналітики, згенерованої штучним інтелектом, системи фінансового аналізу, інтеграції Plaid, інтеграції брокерських рахунків, банківські інтеграції, журнали безпеки, аналітичні середовища, інструменти підтримки клієнтів, платформи постачальників, корпоративні записи, резервні копії та системи аварійного відновлення.

Ця політика застосовується до працівників GNOMI, підрядників, консультантів, постачальників послуг та іншого авторизованого персоналу, який створює, отримує доступ, керує, зберігає, обробляє, передає, зберігає, видаляє або утилізує дані від імені GNOMI.

4. Положення Політики

GNOMI зберігає дані лише стільки часу, скільки необхідно для надання та покращення своїх послуг, підтримки авторизованої функціональності користувачів, підтримки безпеки, виконання договірних та юридичних зобов'язань, ведення бізнес-операцій та захисту GNOMI, її партнерів та її користувачів. Коли дані більше не потрібні, GNOMI видаляє, анонімізує, агрегує або безпечно утилізує їх, використовуючи відповідні адміністративні, технічні та процедурні засоби контролю.

Періоди зберігання базуються на типі даних, меті обробки, відносинах з користувачем, правовій основі, бізнес-потребах, договірних зобов'язаннях, регуляторних вимогах та вимогах безпеки. GNOMI періодично переглядає практики зберігання та видалення, щоб підтвердити, що вони залишаються відповідними для її бізнесу, продуктів, систем, постачальників та застосовних зобов'язань щодо конфіденційності.

GNOMI зберігає авторизовані користувачем дані фінансової інтеграції лише стільки часу, скільки необхідно для надання авторизованої функціональності фінансової аналітики, запитаної користувачем, включаючи аналіз портфеля, аналіз диверсифікації, генерацію настроїв портфеля, фінансові інсайти, згенеровані штучним інтелектом, запобігання шахрайству та підтримку інтеграції.

5. Принципи Зберігання, Узгоджені з GDPR

• Обмеження зберігання: GNOMI зберігає Персональні Дані лише протягом періоду, необхідного для відповідної мети обробки, якщо тільки більш тривале зберігання не виправдане законом, договором, безпекою, вирішенням спорів, аудитом, бухгалтерським обліком або вимогами дотримання.
• Мінімізація даних: GNOMI обмежує збережені дані тим, що є розумно необхідним для відповідної бізнес-мети, продуктової, безпекової, юридичної мети або мети дотримання вимог.
• Обмеження цілей: GNOMI оцінює зберігання на основі мети, для якої дані були зібрані або іншим чином законно оброблені.
• Цілісність та конфіденційність: GNOMI захищає збережені дані за допомогою відповідних засобів контролю доступу, дозволів з найменшими привілеями, моніторингу та практик безпечної обробки.
• Підзвітність: GNOMI підтримує відповідальність за володіння, перегляд та виконання рішень щодо зберігання та видалення.
• Права суб'єктів даних: GNOMI обробляє застосовні запити на видалення, виправлення, обмеження та заперечення відповідно до застосовного законодавства про конфіденційність та будь-яких законних винятків.
• Обмеження авторизації користувача: Дані фінансової інтеграції зберігаються та обробляються лише протягом тривалості та для цілей, авторизованих користувачем та підтриманих застосовними законними підставами обробки.

6. Класифікація Даних

GNOMI класифікує дані на основі чутливості, мети обробки, застосовних зобов'язань та операційного використання. Засоби контролю зберігання та видалення застосовуються відповідно до характеру даних та систем, де вони знаходяться.

• Дані клієнтів та користувачів: інформація, пов'язана з обліковим записом, інформація профілю користувача, налаштування, дані про використання продукту, комунікації з підтримкою та записи, пов'язані з обслуговуванням.
• Дані фінансових з'єднань: авторизовані користувачем дані брокерського рахунку, дані банківських відносин, портфельні активи, метадані транзакцій, метадані інвестиційних рахунків, баланси, ідентифікатори фінансових установ, облікові дані або токени фінансової інтеграції, згенеровані штучним інтелектом фінансові аналітичні дані, результати аналітики портфеля та пов'язана інформація, оброблена через Plaid або подібних постачальників фінансової інтеграції.
• Дані фінансової аналітики, згенеровані штучним інтелектом: аналіз настроїв портфеля, аналіз диверсифікації, фінансові зведення, результати роботи штучного інтелекту на рівні облікового запису та пов'язана фінансова аналітика, специфічна для користувача, згенерована з авторизованих фінансових інтеграцій.
• Журнали безпеки та операційної діяльності: записи автентифікації, журнали доступу, журнали аудиту, дані моніторингу, журнали системної активності та записи реагування на інциденти.
• Бізнес та адміністративні дані: контракти, записи постачальників, записи виставлення рахунків, корпоративні записи, юридичні записи, податкові записи та внутрішня операційна документація.
• Агреговані, анонімізовані або деідентифіковані дані: аналітика, дані для покращення продукту та звітні дані, які не можуть бути обґрунтовано пов'язані з ідентифікованою особою.

7. Графік Зберігання

GNOMI застосовує періоди зберігання відповідно до категорій, наведених нижче. Конкретні періоди можуть бути скориговані, якщо це вимагається законом, договором, потребами безпеки, вимогами технічної системи або затвердженою бізнес-необхідністю. Якщо конкретний період зберігання не вимагається законом, GNOMI зберігає дані лише стільки, скільки необхідно для відповідної мети, а потім видаляє, анонімізує або безпечно утилізує їх.

Категорія Даних	Основна Мета	Стандарт Зберігання	Метод Видалення
Дані облікового запису та профілю користувача	Функціонування облікового запису, автентифікація, підтримка користувачів, надання послуг	Зберігаються протягом активності облікового запису та протягом обмеженого періоду після закриття, якщо це необхідно для безпеки, запобігання шахрайству, юридичних, аудиторських цілей або цілей підтримки.	Видалення, анонімізація або безпечне очищення з активних систем.
Дані фінансової інтеграції, авторизовані користувачем	Надання авторизованих функцій фінансової аналітики, функціональності на запит користувача, підтримка інтеграції та безпека	Зберігаються лише доки користувач підтримує авторизоване фінансове з'єднання або доки це необхідно для надання авторизованої функціональності фінансової аналітики, підтримки безпеки, запобігання шахрайству, підтримки законної бізнес-діяльності, виконання договірних зобов'язань або задоволення юридичних та регуляторних вимог. Відкликані, від'єднані, прострочені або неактивні інтеграції видаляються, деактивуються, анонімізуються або токени відкликаються відповідно до операційних та юридичних вимог.	Видалення з активних систем, безпечне відкликання токенів, анонімізація, обмежене архівне зберігання там, де це юридично необхідно, або безпечне знищення.
Фінансові аналітичні дані та аналітика портфеля, згенеровані ШІ	Аналітика портфеля, аналіз диверсифікації, аналіз настроїв, функціональність ШІ-чату, аналітика на запит користувача	Зберігаються доки пов'язані облікові записи користувачів залишаються активними та функціональність залишається увімкненою, з урахуванням запитів на видалення, вимог безпеки, юридичних зобов'язань та операційної необхідності	Видалення, анонімізація, агрегація або безпечне знищення
Записи підтримки та комунікацій	Підтримка клієнтів, вирішення проблем, забезпечення якості та дотримання вимог	Зберігаються за потреби для вирішення запитів, ведення сервісних записів та підтримки бізнесових або юридичних вимог.	Видалення або безпечне знищення архіву після закінчення терміну.
Журнали безпеки, доступу та аудиту	Моніторинг безпеки, запобігання шахрайству, виявлення інцидентів, перевірка доступу, аудит та цілісність системи	Зберігаються протягом періоду, відповідного меті безпеки, системним вимогам та юридичним або договірним зобов'язанням.	Заплановане закінчення терміну, безпечне очищення або обмежене знищення архіву.
Записи виставлення рахунків, податкові, корпоративні та юридичні записи	Бухгалтерський облік, оподаткування, корпоративне управління, аудит, адміністрування договорів та юридична відповідність	Зберігаються протягом періоду, необхідного згідно з чинним законодавством, аудиторськими стандартами, договором або вимогами корпоративного управління.	Безпечне знищення після закінчення юридичної або бізнесової потреби.
Агреговані, анонімізовані або деідентифіковані дані	Аналітика, вдосконалення продукту, дослідження, звітність та бізнес-аналітика	Можуть зберігатися протягом тривалішого періоду, якщо дані не є обґрунтовано ідентифікованими та знаходяться поза сферою дії Персональних Даних згідно з чинним законодавством.	Постійне використання, подальша агрегація або знищення, коли більше не потрібні.
Резервні копії та дані аварійного відновлення	Безперервність бізнесу, відновлення безпеки та відновлення системи	Зберігаються відповідно до графіків життєвого циклу резервного копіювання та перезаписуються або очищаються через нормальну ротацію резервних копій, якщо не підлягають юридичному блокуванню.	Запланований перезапис, закінчення терміну або безпечне знищення.

8. Процедури Видалення Даних та Безпечної Утилізації

GNOMI забезпечує видалення та утилізацію даних через адміністративні, технічні та процедурні засоби контролю. Методи утилізації обираються на основі типу даних, системи, чутливості, вимог до зберігання та технічної можливості.

• Видалення або очищення з активних виробничих систем, коли дані більше не потрібні.
• Анонімізація або агрегування, коли GNOMI потрібно зберегти аналітику або інформацію про продукт без збереження обґрунтовано ідентифікованих Персональних Даних.
• Обмеження або деактивація даних, коли видалення тимчасово обмежене юридичним блокуванням, безпекою, аудитом, обліком, вирішенням спорів або технічними обмеженнями.
• Безпечна утилізація записів та експортів з використанням затверджених процесів видалення, знищення або відкликання доступу.
• Перевірка систем та постачальників для підтвердження того, що зобов'язання щодо зберігання та утилізації операціоналізовані там, де дані обробляються від імені GNOMI.
• Відкликання та видалення токенів доступу Plaid, облікових даних OAuth, облікових даних API та пов'язаних секретів інтеграції, коли інтеграції відключені, прострочені або більше не потрібні.
• Видалення або анонімізація згенерованих AI фінансових аналітичних даних, коли пов'язані базові фінансові інтеграції відкликані або видалені, якщо інше зберігання не вимагається.

9. Запити Суб'єктів Даних за GDPR та Закриття Облікового Запису

Коли застосовується GDPR або інше застосовне законодавство про конфіденційність, GNOMI обробляє запити суб'єктів даних, що стосуються доступу, виправлення, видалення, обмеження, заперечення та переносимості відповідно до застосовних юридичних вимог та законних винятків. GNOMI оцінює запити на основі особи заявника, характеру даних, застосовної правової підстави, системних вимог та будь-якого законного зобов'язання зберігати дані.

Після підтвердженого закриття облікового запису або підтвердженого запиту на видалення, GNOMI видаляє, анонімізує або обмежує застосовні Персональні Дані з активних систем, якщо зберігання не вимагається або не дозволяється для юридичних, регуляторних, договірних, безпекових, протидії шахрайству, облікових, аудиторських, вирішення спорів або законних бізнес-цілей. Коли дані не можуть бути негайно видалені з резервних копій, вони захищені від звичайного використання та видаляються через застосовний життєвий цикл резервного копіювання.

Коли це технічно можливо та юридично дозволено, GNOMI обробляє підтверджені запити на відключення фінансових інтеграцій, відкликання токенів фінансового доступу, видалення пов'язаних даних аналітики портфеля та видалення згенерованих AI фінансових аналітичних даних, пов'язаних з авторизованими користувачем фінансовими інтеграціями.

10. Юридичні Блокування та Винятки Зберігання

GNOMI може призупинити звичайні графіки зберігання або видалення, коли дані підлягають юридичному блокуванню, спору, розслідуванню, регуляторному запиту, аудиторській вимозі, інциденту безпеки, договірному зобов'язанню, обліковому зобов'язанню або іншій законній бізнес-вимозі. Дані, що підлягають юридичному блокуванню або затвердженому винятку, зберігаються лише протягом часу дії винятку, а потім повертаються до застосовного процесу зберігання та утилізації. Безпека, протидія шахрайству, протидія зловживанням, вирішення спорів, аудит, регуляторний огляд або інші законні зобов'язання щодо дотримання вимог можуть вимагати обмеженого продовженого зберігання записів фінансової інтеграції або пов'язаних з безпекою фінансових метаданих.

11. Постачальники, Обробники та Сторонні Системи

Коли GNOMI використовує сторонніх постачальників послуг для зберігання або обробки даних, GNOMI вимагає належного поводження зі зберіганням та утилізацією через перевірку постачальників, договірні зобов'язання, де це застосовно, та операційні засоби контролю. Для постачальників, що діють як обробники або постачальники послуг, GNOMI очікує, що зобов'язання щодо зберігання, видалення, конфіденційності, безпеки та допомоги будуть врегульовані в застосовних угодах, умовах обробки даних або засобах контролю постачальників.

GNOMI перевіряє практики обробки даних постачальників відповідно до характеру послуги, чутливості даних та застосовних вимог конфіденційності та безпеки. Коли GNOMI отримує підтверджений запит на видалення, що застосовується до даних, які зберігаються постачальником або обробником, GNOMI вживає розумних заходів для передачі або виконання запиту на видалення, обмеження або анонімізацію через застосовний робочий процес постачальника, з урахуванням законних винятків.

GNOMI оцінює Plaid та інших постачальників фінансової інтеграції на предмет належних договірних, конфіденційних, безпекових, зберігання, видалення, конфіденційності та регуляторних засобів контролю дотримання вимог.

Де це вимагається, GNOMI впроваджує відповідні сумісні з GDPR гарантії передачі даних для транскордонної обробки, що включає дані фінансової інтеграції.

12. Резервні Копії та Відновлення після Катастроф

Дані, що містяться в резервних копіях або системах відновлення після катастроф, можуть зберігатися протягом обмеженого періоду після видалення з активних виробничих систем. Дані резервних копій захищені від несанкціонованого доступу та підлягають засобам контролю життєвого циклу, графікам зберігання та запланованому перезапису або видаленню. GNOMI не використовує дані резервних копій для звичайної бізнес-обробки після застосовного запиту на видалення, за винятком випадків, коли відновлення вимагається для безпеки, відновлення після катастроф, юридичної або операційної необхідності. Дані фінансової інтеграції та згенеровані AI фінансові аналітичні дані, що зберігаються в системах резервного копіювання, залишаються предметом обмежень доступу, засобів контролю шифрування, управління життєвим циклом та процедур безпечного перезапису.

13. Виконання та Відповідальність

Керівництво GNOMI, персонал безпеки, інженерії, продукту, операцій та дотримання вимог несуть відповідальність за застосування цієї політики в межах своїх сфер відповідальності. Співробітники та підрядники повинні дотримуватися затверджених процедур зберігання, видалення, контролю доступу та утилізації. Несанкціоноване зберігання, експорт, копіювання або утилізація даних поза затвердженими процесами заборонені.

14. Періодичний Перегляд

Ця політика переглядається принаймні щорічно та при суттєвих змінах продуктів GNOMI, систем, постачальників, діяльності з обробки даних, юридичних вимог, договірних зобов'язань або стану безпеки. Перегляди призначені для підтвердження того, що стандарти зберігання, процедури утилізації, практики, узгоджені з GDPR, засоби контролю постачальників та операційне виконання залишаються належними та ефективними. Перегляди повинні враховувати нові функції фінансової інтеграції, функціональність AI фінансового аналізу, системи аналітики портфеля, зміни в інтеграціях Plaid та зміни зобов'язань щодо конфіденційності або фінансових даних.

15. Підтвердження Дотримання Вимог

GNOMI підтримує цю політику як активну документацію компанії щодо зберігання, видалення та утилізації даних. Ця політика розроблена для підтримки дотримання застосовних законів про конфіденційність даних, включаючи GDPR, де це застосовно, та для забезпечення визначеної та виконуваної структури того, як GNOMI зберігає, видаляє, анонімізує та утилізує дані.

16. Затвердження

Затверджено керівництвом GNOMI як активна політика компанії щодо Зберігання та Утилізації Даних, включаючи практики зберігання та видалення, узгоджені з GDPR.

12. Політика Інформаційної Безпеки

Включаючи GDPR та Контролі Застосовного Законодавства про Конфіденційність

2. Сфера Застосування

Ця політика застосовується до всіх працівників GNOMI, засновників, посадових осіб, підрядників, консультантів, постачальників послуг, постачальників, систем, додатків, хмарних середовищ, баз даних, репозиторіїв вихідного коду, виробничих активів, корпоративних пристроїв, даних користувачів, даних партнерів та будь-яких інших інформаційних активів, що використовуються для надання продуктів та послуг GNOMI.

Ця політика застосовується до корпоративних, клієнтських, користувацьких, фінансових, технічних, операційних, автентифікаційних, API та керованих постачальниками даних, включаючи авторизовані користувачем дані брокерських рахунків, дані банківських відносин, портфельні активи, метадані транзакцій, токени фінансової інтеграції, аналіз портфелів, згенерований штучним інтелектом, та результати фінансової аналітики, включаючи Персональні Дані, конфіденційні дані та регульовані дані, що обробляються GNOMI або від імені GNOMI.

3. Юридична, Регуляторна та Конфіденційна Відповідність

GNOMI розробляє та здійснює свою програму безпеки для підтримки відповідності всім застосовним законам, правилам, нормативним актам та договірним вимогам щодо інформаційної безпеки та конфіденційності, що стосуються її діяльності, включаючи, де це застосовно:

• Загальний Регламент Захисту Даних (GDPR) та застосовні вимоги щодо захисту даних ЄС/ЄЕЗ;
• Вимоги UK GDPR та Закону про Захист Даних, де це застосовно;
• Закони штатів США про конфіденційність та безпеку, включаючи CCPA/CPRA та Закон SHIELD штату Нью-Йорк, де це застосовно;
• Вимоги GLBA та Правила Захисту FTC в тій мірі, в якій GNOMI обробляє дані, що підпадають під ці зобов'язання;
• Договірні зобов'язання партнерів щодо безпеки, включаючи захист даних, конфіденційність, контроль доступу, повідомлення про інциденти та вимоги до безпеки постачальників;
• Застосовні вимоги щодо повідомлення про порушення, мінімізації даних, зберігання, видалення та прав користувачів;
• Договірні зобов'язання Plaid щодо безпеки та обробки даних, що застосовуються до середовищ фінансової інтеграції;
• Застосовні зобов'язання щодо конфіденційності фінансових даних, захисту та захисту прав споживачів, що стосуються авторизованих користувачем фінансових інтеграцій.

Якщо закони, договори або вимоги партнерів встановлюють більш суворі зобов'язання, ніж ця політика, застосовується більш суворий стандарт. GNOMI періодично переглядає цю політику, щоб забезпечити її відповідність застосовним юридичним, регуляторним, партнерським та вимогам безпеки.

4. Вимоги GDPR та Конфіденційності за Дизайном

GNOMI застосовує принципи конфіденційності за дизайном та безпеки за дизайном до систем та процесів, що включають Персональні Дані. Якщо застосовується GDPR, контролі безпеки та конфіденційності GNOMI розроблені для підтримки наступних принципів:

• Законність, справедливість та прозорість у діяльності з обробки даних;
• Обмеження цілей та використання даних лише для законних бізнес-цілей, продуктових, юридичних, безпекових або авторизованих користувачем цілей;
• Мінімізація даних та збір лише даних, розумно необхідних для зазначеної мети;
• Точність та відповідні процеси виправлення або видалення;
• Обмеження зберігання через визначені стандарти зберігання та видалення;
• Цілісність та конфіденційність через відповідні технічні та організаційні заходи;
• Підзвітність через документування, відповідальність, перегляд та забезпечення виконання контролів конфіденційності та безпеки.
• Обробка авторизованих користувачем фінансових даних повинна бути обмежена обсягом згоди, договірної необхідності або іншої законної підстави, застосовної до запитуваної функціональності.
• Функції фінансової аналітики та функціональність аналізу портфелів, згенерованого штучним інтелектом, повинні включати мінімізацію даних, доступ з найменшими привілеями, безпечну обробку та відповідні контролі прозорості для користувачів.

GNOMI підтримує процеси реалізації прав суб'єктів даних, включаючи доступ, виправлення, видалення, обмеження, переносимість та заперечення, де це застосовно. Запити оцінюються відповідно до застосовного законодавства та внутрішніх вимог GNOMI щодо конфіденційності, безпеки, зберігання та юридичного утримання.

5. Управління Безпекою та Підзвітність

• Виконавче керівництво несе відповідальність за забезпечення того, щоб GNOMI підтримувала програму інформаційної безпеки, відповідну розміру компанії, профілю ризиків, продуктів, даних та зобов'язань перед партнерами.
• Обов'язки щодо безпеки розподіляються між зацікавленими сторонами в інженерії, продукті, операціях, юридичному відділі та виконавчому керівництві відповідно до потреб.
• Вимоги безпеки включаються в розробку продуктів, вибір постачальників, управління доступом, реагування на інциденти, обробку даних та прийняття операційних рішень.
• GNOMI підтримує внутрішні процедури та допоміжні засоби контролю для впровадження цієї політики, включаючи контроль доступу, зберігання даних, реагування на інциденти, управління постачальниками та практики безпечної розробки.

6. Управління Ризиками

GNOMI ідентифікує, оцінює, пом'якшує та моніторить ризики інформаційної безпеки, які можуть вплинути на конфіденційність, цілісність, доступність, приватність або відповідність законодавству. Перегляд ризиків може включати архітектуру системи, потоки даних, залежності від постачальників, засоби контролю автентифікації, привілеї доступу, виробничі середовища, нові функції продукту, інтеграції третіх сторін та історію інцидентів.

Суттєві ризики ескалуються до відповідного керівництва для усунення, прийняття, передачі або додаткових засобів контролю. Рішення щодо обробки ризиків повинні враховувати законодавчі вимоги, зобов'язання перед партнерами, вплив на користувачів, вплив на безпеку та безперервність бізнесу.

Оцінки ризиків повинні враховувати фінансові інтеграції, залежності від Plaid, функціональність фінансового аналізу, згенерованого AI, системи аналітики портфелів, засоби контролю доступу до фінансових даних, результати моделей та потоки фінансових даних третіх сторін.

7. Класифікація та Обробка Даних

GNOMI класифікує та захищає дані відповідно до чутливості, бізнес-цінності, юридичних зобов'язань та ризику. Категорії даних можуть включати публічні, внутрішні, конфіденційні, чутливі, персональні, фінансові, автентифікаційні дані, вихідний код, дані безпеки та партнерські дані.

• Чутливі та Персональні Дані повинні бути доступні лише уповноваженому персоналу з законною діловою потребою.
• Дані повинні зберігатися, передаватися та оброблятися з використанням затверджених систем та відповідних засобів захисту.
• Секрети, облікові дані, токени, API ключі, приватні ключі та сертифікати не повинні зберігатися в незахищених репозиторіях, незахищених документах, повідомленнях чату або неавторизованих системах.
• Виробничі дані не можуть копіюватися в невиробничі середовища, якщо це не схвалено та належним чином захищено, мінімізовано, анонімізовано або псевдонімізовано, де це можливо.
• Обробка даних повинна відповідати вимогам GNOMI щодо зберігання, видалення, утилізації та приватності.
• Авторизовані користувачем дані брокерського рахунку, банківська інформація, портфельні активи, метадані транзакцій, фінансові аналітичні дані, згенеровані AI, та результати аналізу настроїв портфеля повинні класифікуватися як Чутливі Дані.
• Дані фінансової інтеграції можуть оброблятися лише через затверджені системи та авторизовані робочі процеси.
• Виробничі дані фінансової інтеграції не можуть копіюватися в середовища розробки або тестування, якщо вони не мінімізовані, анонімізовані, псевдонімізовані або іншим чином належним чином захищені.

8. Управління Ідентифікацією та Доступом

GNOMI застосовує засоби контролю доступу, призначені для обмеження доступу до виробничих активів, хмарних ресурсів, адміністративних інструментів, систем, репозиторіїв вихідного коду та Чутливих Даних. Доступ надається на основі ролі, ділової потреби, принципу найменших привілеїв та вимог щодо схвалення.

• Контроль доступу на основі ролей (RBAC) використовується там, де це підтримується системами та додатками.
• Привілейований та адміністративний доступ обмежується уповноваженим персоналом та періодично переглядається.
• Централізовані рішення для управління ідентифікацією та доступом використовуються там, де це доцільно, для управління автентифікацією та авторизацією користувачів.
• Багатофакторна автентифікація вимагається для привілейованих облікових записів та критичних систем, де це підтримується.
• Перегляди та аудити доступу проводяться періодично для підтвердження того, що доступ залишається відповідним.
• Доступ змінюється або скасовується, коли персонал змінює ролі, передає обов'язки або припиняє свої відносини з GNOMI.
• Нелюдська автентифікація, включаючи сервісні облікові записи, OAuth токени, API облікові дані та TLS сертифікати, повинна бути схвалена, безпечно збережена, обмежена мінімально необхідними привілеями та ротована або скасована, коли більше не потрібна.
• Доступ до систем фінансової інтеграції, адміністративних середовищ Plaid, систем фінансової аналітики AI та наборів фінансових даних користувачів повинен бути обмежений уповноваженим персоналом з законною операційною, безпековою, комплаєнс або підтримуючою потребою.
• Адміністративний доступ до систем, здатних отримувати або аналізувати авторизовані користувачем дані фінансового рахунку, вимагає багатофакторної автентифікації, де це підтримується.

9. Безпека Виробничих Активів

• Виробничі середовища повинні бути захищені за допомогою контролю доступу, журналювання, моніторингу, безпечної конфігурації та практик управління змінами.
• Доступ до виробничого середовища обмежений для персоналу з затвердженою операційною або інженерною потребою.
• Зміни у виробничих системах повинні відповідати належним практикам перевірки, тестування, затвердження та розгортання на основі ризику та терміновості.
• Конфіденційні виробничі дані не повинні експортуватися, завантажуватися або передаватися, якщо це не авторизовано для законної бізнес, юридичної, безпекової або операційної мети.
• Екстрений доступ до виробничого середовища повинен бути обмеженим, зареєстрованим та переглянутим після використання.
• Системи, що обробляють дані фінансової інтеграції, авторизовані користувачем, повинні впроваджувати відповідні засоби контролю журналювання, моніторингу, шифрування, обмеження доступу та безпечної конфігурації.
• Доступ до фінансових аналітичних даних, згенерованих штучним інтелектом, та результатів аналітики портфеля повинен бути обмежений відповідно до конфіденційності пов'язаних фінансових даних користувача.

10. Шифрування, Секрети та Управління Ключами

GNOMI використовує відповідні технічні засоби захисту для захисту конфіденційних даних, облікових даних та комунікацій. Шифрування повинно використовуватися для конфіденційних даних під час передачі та застосовуватися до конфіденційних даних у стані спокою, де це підтримується та доцільно. Секрети, токени, сертифікати, ключі та облікові дані повинні зберігатися в затверджених безпечних системах та захищатися від несанкціонованого використання або розголошення.

Ключі та облікові дані повинні ротуватися, вимикатися або відкликатися у разі компрометації, коли вони більше не потрібні, або коли змінюється доступ персоналу чи постачальника. Облікові дані не повинні спільно використовуватися між користувачами, за винятком випадків, коли використовуються затверджені засоби контролю сервісних облікових записів.

Облікові дані API Plaid, токени фінансової інтеграції, облікові дані OAuth, секрети webhook, токени оновлення та пов'язані секрети фінансової інтеграції повинні бути зашифровані, безпечно збережені та захищені від несанкціонованого доступу.

11. Журналювання, Моніторинг та Перевірка Безпеки

GNOMI підтримує практики журналювання та моніторингу, відповідні до своїх систем та профілю ризику. Журнали можуть включати події автентифікації, адміністративну діяльність, події додатків, системну активність, виробничі зміни, зміни доступу та помилки або сповіщення, що стосуються безпеки.

• Журнали переглядаються за потреби для розслідування подій безпеки, операційних проблем, аномалій доступу та інцидентів.
• Події, що стосуються безпеки, ескалуються відповідальному персоналу для розслідування та усунення.
• Засоби контролю моніторингу та сповіщення оновлюються в міру розвитку систем, постачальників та бізнес-ризиків.
• Журнали, що містять Персональні Дані або конфіденційну інформацію, повинні захищатися та зберігатися відповідно до зобов'язань GNOMI щодо зберігання та конфіденційності.
• Моніторинг безпеки повинен включати діяльність фінансової інтеграції, події інтеграції Plaid, події управління токенами, привілейований доступ до фінансових наборів даних та аномальні шаблони доступу, що стосуються фінансової інформації користувача.

12. Безпечна Розробка та Управління Змінами

GNOMI інтегрує безпеку в розробку програмного забезпечення та постачання продукту. Вимоги безпеки враховуються під час проектування, розробки, тестування, розгортання та обслуговування систем GNOMI.

• Зміни коду повинні переглядатися перед розгортанням у виробничому середовищі, де це доцільно.
• Зміни, що впливають на безпеку, повинні оцінюватися на предмет ризику, включаючи зміни, що стосуються автентифікації, авторизації, потоків даних, API, інтеграцій, виробничої інфраструктури або конфіденційних даних.
• Залежності, бібліотеки та сторонні компоненти повинні переглядатися та оновлюватися відповідним чином для зменшення відомих вразливостей.
• Вразливості, виявлені через внутрішню перевірку, звіти третіх сторін, моніторинг або повідомлення постачальників, повинні сортуватися та усуватися на основі серйозності та впливу на бізнес.
• Зміни, що впливають на безпеку та стосуються фінансових інтеграцій, API Plaid, аналітики портфеля, згенерованої штучним інтелектом, функціональності фінансового аналізу або потоків фінансових даних користувача, повинні проходити відповідну перевірку безпеки та конфіденційності перед розгортанням.

13. Безпека Постачальників та Третіх Сторін

GNOMI оцінює сторонніх постачальників, обробників, субобробників та партнерів з інтеграції на основі типу оброблюваних даних, наданих послуг, операційної залежності, стану безпеки, юридичних зобов'язань та договірних вимог.

• Постачальники, які обробляють конфіденційні, персональні, фінансові дані або дані користувачів, повинні бути перевірені на наявність відповідних заходів безпеки та конфіденційності.
• Договори повинні включати зобов'язання щодо конфіденційності, захисту даних, безпеки, контролю доступу, повідомлення про інциденти, зберігання, видалення та субобробників, де це доречно.
• Доступ постачальників до систем або даних GNOMI повинен бути обмежений авторизованим використанням і відкликаний, коли більше не потрібен.
• GNOMI моніторить суттєві ризики постачальників і може запитувати документацію з безпеки, підтвердження або докази відповідності від постачальників, коли це доречно.
• Постачальники фінансової інтеграції, включаючи Plaid та пов'язаних субобробників, повинні бути оцінені щодо стану безпеки, засобів контролю захисту даних, відповідності регуляторним вимогам та договірних зобов'язань щодо конфіденційності.
• Транскордонні передачі, що включають дані фінансової інтеграції ЄС або Великобританії, повинні використовувати відповідні законні механізми передачі, де це вимагається.

14. Реагування на Інциденти та Повідомлення про Порушення

GNOMI підтримує процедури реагування на інциденти для виявлення, розслідування, локалізації, усунення, документування та повідомлення про інциденти безпеки. Інциденти безпеки можуть включати несанкціонований доступ, розкриття даних, компрометацію облікових даних, компрометацію системи, втрату даних, шкідливе програмне забезпечення, порушення обслуговування або підозру на порушення конфіденційності, цілісності чи доступності.

• Інциденти повинні бути оперативно ескальовані відповідним внутрішнім зацікавленим сторонам.
• GNOMI оцінить характер, обсяг, уражені системи, уражені дані, вплив на користувачів, вплив на партнерів, юридичні зобов'язання та заходи з усунення.
• Повідомлення користувачам, регуляторам, партнерам, постачальникам або іншим сторонам буде здійснено, коли це вимагається чинним законодавством, договором або рішенням GNOMI щодо реагування на інциденти.
• Уроки, отримані з інцидентів, можуть бути використані для покращення засобів контролю, процедур, навчання, моніторингу та нагляду за постачальниками.
• Інциденти, що стосуються систем фінансової інтеграції, облікових даних Plaid, брокерської або банківської інформації, систем аналітики портфелів або результатів фінансової аналітики, згенерованих ШІ, повинні мати пріоритет для розслідування та локалізації.

15. Зберігання Даних, Утилізація та Юридичне Утримання

GNOMI зберігає інформацію лише стільки, скільки це обґрунтовано необхідно для мети, для якої вона була зібрана або оброблена, включаючи надання продукту, управління обліковими записами користувачів, безпеку, запобігання шахрайству, аналітику, дотримання законодавства, фінансові записи, договірні зобов'язання, вирішення спорів та законні бізнес-операції.

• Персональні Дані повинні бути видалені, анонімізовані або безпечно утилізовані, коли більше не потрібні, з урахуванням юридичних, регуляторних, договірних, безпекових або законних бізнес-потреб зберігання.
• Запити на видалення користувачів та закриття облікових записів обробляються відповідно до чинних законів про конфіденційність та вимог GNOMI щодо зберігання.
• Резервні копії та журнали зберігаються та утилізуються відповідно до визначених практик життєвого циклу і можуть підлягати відкладеному видаленню через технічні, безпекові або юридичні вимоги.
• Юридичні утримання можуть призупинити видалення або утилізацію, коли необхідно зберегти інформацію для юридичних, регуляторних, аудиторських, слідчих цілей або цілей вирішення спорів.
• Дані фінансової інтеграції та фінансові аналітичні дані, згенеровані ШІ, повинні бути видалені, анонімізовані, обмежені або токени відкликані, коли більше не потрібні для авторизованої функціональності, з урахуванням законних вимог зберігання.

16. Безпека Персоналу та Навчання

Персонал GNOMI та підрядники з доступом до корпоративних систем, виробничих активів або конфіденційних даних повинні дотримуватися цієї політики та застосовних процедур безпеки. Очікується, що персонал захищатиме облікові дані, використовуватиме затверджені системи, повідомлятиме про підозрілі інциденти безпеки та обробляти дані відповідно до класифікації та вимог необхідності знати.

Обізнаність щодо безпеки та конфіденційності може надаватися через адаптацію, рольові інструкції, внутрішні комунікації та постійні оновлення в міру розвитку продуктів GNOMI, ризиків та зобов'язань щодо відповідності.

Персонал з доступом до систем фінансової інтеграції або авторизованих користувачем фінансових даних може отримувати додаткові інструкції щодо обробки фінансових даних, зобов'язань щодо конфіденційності, безпечної обробки, запобігання фішингу, безпеки токенів та процедур ескалації інцидентів.

17. Безперервність Бізнесу та Доступність

GNOMI підтримує обґрунтовані заходи для підтримки безперервності та доступності критичних сервісів. Засоби контролю можуть включати стійкість хмари, резервні копії, моніторинг, ескалацію інцидентів, перегляд залежності від постачальників, планування аварійного відновлення та процедури операційного реагування на основі критичності системи та ризику. Планування безперервності бізнесу повинно враховувати залежності від Plaid та інших постачальників фінансової інтеграції, включаючи ризики доступності, збої постачальників, відмови токенів та порушення сервісів фінансової інтеграції.

18. Винятки

Будь-який виняток з цієї політики повинен бути затверджений відповідним керівництвом GNOMI на основі бізнес-потреби, ризику, компенсаційних засобів контролю, тривалості та юридичних або договірних вимог. Винятки повинні бути задокументовані, де це доречно, та періодично переглядатися до усунення або формального прийняття.

19. Виконання

Недотримання цієї політики може призвести до відкликання доступу, вимог щодо усунення, дій щодо постачальника, дисциплінарних заходів, розірвання договору або інших заходів, відповідних характеру та серйозності порушення. GNOMI може розслідувати підозрювані порушення та вживати коригувальних заходів для захисту корпоративних систем, користувачів, партнерів та даних.