GDPR a compliance
Jak StellarBase splňuje regulatorní rámce — co je vestavěné, co konfigurujete a jaká dokumentace je k dispozici pro vaše auditory.
Soulad s GDPR
Právní základ
StellarBase je data processor. Vy — zákazník — jste data controller. Naše DPA (Data Processing Agreement) tenhle vztah dokumentuje a je součástí každého kontraktu.
Mapování principů
| Princip | Jak ho StellarBase podporuje |
|---|---|
| Zákonnost, korektnost, transparentnost | DPA, zdokumentované účely zpracování |
| Účelové omezení | Per-Base data scopes; žádné cross-Base zpracování bez explicitní konfigurace |
| Minimalizace dat | Knowledge base je sémantická vrstva, ne kopie — minimalizuje duplikaci dat |
| Přesnost | Kontinuální sync ze zdrojů znamená, že se nehromadí zastaralé kopie |
| Omezení uložení | Konfigurovatelná retence per Base; auto-mazání dat po retenci |
| Integrita a důvěrnost | Viz Šifrování |
| Odpovědnost | Nezměnitelný audit log každé akce |
Práva subjektu
Nástroje pro plnění žádostí subjektu údajů:
- Přístup (čl. 15) — vyhledávání napříč knowledge base podle identifikátoru subjektu; export výsledků
- Oprava (čl. 16) — opravit zdrojové dokumenty; změny se propagují přes konektor sync
- Výmaz (čl. 17) — odstranit z knowledge base, indexů a vektorů; audit log odstranění zachován kvůli compliance
- Omezení (čl. 18) — tag-based access control dočasně blokuje zpracování
- Přenositelnost (čl. 20) — export ve standardním formátu všech dat o subjektu
- Námitka (čl. 21) — per-agent, per-workflow zákazy zpracování
DPO a ROPA
Admin UI generuje draft Záznamu o činnostech zpracování (ROPA) pro váš Base. Přizpůsobíte ho formátu vašeho právníka, ale data flow jsou zachycené.
DPIA
Poskytujeme DPIA šablony pro běžné workflows (customer-support bot, document review, research corpus). Jsou to startovní body — váš DPO posouzení stejně provádí.
EU Data Act
Klíčové povinnosti a jak je plníme:
- Přenositelnost dat — každý Base exportovatelný ve standardních formátech. Viz Nasazení pro detaily „zero lock-in”.
- Změna provideru — 30denní přechodné období vestavěné, technická migrační podpora zahrnutá
- Nediskriminační přístup — žádné vendor-lock smluvní klauzule
DORA (pro finanční zákazníky)
Digital Operational Resilience Act platí pro EU finanční subjekty. StellarBase podporuje:
- Zdokumentovaný framework řízení ICT rizik (poskytujeme náš)
- Testing a odolnost (zprávy z pen-testů, výsledky DR testů k dispozici)
- Řízení rizik třetích stran (jsme „ICT third-party provider”; DORA-compliant smluvní šablony zahrnuté)
- Hlášení incidentů (oznámení breach v DORA požadovaných oknech)
- Koncentrační riziko (self-hosted varianta dostupná, pokud potřebujete snížit cloud koncentraci)
NIS2 (pro essential / important subjekty)
Požadavky operační bezpečnosti sladěné. Air-gapped nasazení splňují nejpřísnější NIS2 kategorie.
ISO 27001
🛠 Připravené v Q2 2026. Certifikace probíhá.
Rozsah certifikace zahrnuje:
- StellarCloud managed inference platforma
- StellarBase managed cloud
- StellarGate managed privacy proxy
- Podpůrná infrastruktura (deployments, monitoring, incident response)
Statement of Applicability na vyžádání (pod NDA); certifikát bude následovat po dokončení.
SOC 2 Type II
Probíhá. Cíl dokončení Q2 2026. Průběžné zprávy (Type I + „readiness”) k dispozici teď.
Datová rezidence
| Možnost | Kde data žijí |
|---|---|
| Managed EU cloud | Frankfurt, Amsterdam nebo Praha (EU; region přiřazujeme my) |
| Private managed | Váš AWS / Azure / GCP tenant, region dle vaší volby |
| Self-hosted | Vaše datové centrum, kdekoli je |
| Air-gapped | Totéž, s nulovým egressem |
Žádný transatlantický přenos dat, pokud explicitně nezvolíte jinak.
Zdroje
Pro vašeho CISO / DPO / auditora, na vyžádání pod NDA:
- Dokument bezpečnostní architektury
- Zprávy z penetračních testů (poslední + historické)
- DPA šablona
- Standard Contractual Clauses (pro non-EU transfery)
- ISO 27001 Statement of Applicability (certifikát po dokončení)
- SOC 2 průběžné zprávy (Type I, readiness)
- DPIA šablony
- ROPA příklady
- Playbooky pro incident response
