StellarBase
Dokumentace Bezpečnost a compliance GDPR a compliance
Bezpečnost a compliance

GDPR a compliance

Jak StellarBase splňuje regulatorní rámce — co je vestavěné, co konfigurujete a jaká dokumentace je k dispozici pro vaše auditory.

Soulad s GDPR

Právní základ

StellarBase je data processor. Vy — zákazník — jste data controller. Naše DPA (Data Processing Agreement) tenhle vztah dokumentuje a je součástí každého kontraktu.

Mapování principů

PrincipJak ho StellarBase podporuje
Zákonnost, korektnost, transparentnostDPA, zdokumentované účely zpracování
Účelové omezeníPer-Base data scopes; žádné cross-Base zpracování bez explicitní konfigurace
Minimalizace datKnowledge base je sémantická vrstva, ne kopie — minimalizuje duplikaci dat
PřesnostKontinuální sync ze zdrojů znamená, že se nehromadí zastaralé kopie
Omezení uloženíKonfigurovatelná retence per Base; auto-mazání dat po retenci
Integrita a důvěrnostViz Šifrování
OdpovědnostNezměnitelný audit log každé akce

Práva subjektu

Nástroje pro plnění žádostí subjektu údajů:

  • Přístup (čl. 15) — vyhledávání napříč knowledge base podle identifikátoru subjektu; export výsledků
  • Oprava (čl. 16) — opravit zdrojové dokumenty; změny se propagují přes konektor sync
  • Výmaz (čl. 17) — odstranit z knowledge base, indexů a vektorů; audit log odstranění zachován kvůli compliance
  • Omezení (čl. 18) — tag-based access control dočasně blokuje zpracování
  • Přenositelnost (čl. 20) — export ve standardním formátu všech dat o subjektu
  • Námitka (čl. 21) — per-agent, per-workflow zákazy zpracování

DPO a ROPA

Admin UI generuje draft Záznamu o činnostech zpracování (ROPA) pro váš Base. Přizpůsobíte ho formátu vašeho právníka, ale data flow jsou zachycené.

DPIA

Poskytujeme DPIA šablony pro běžné workflows (customer-support bot, document review, research corpus). Jsou to startovní body — váš DPO posouzení stejně provádí.

EU Data Act

Klíčové povinnosti a jak je plníme:

  • Přenositelnost dat — každý Base exportovatelný ve standardních formátech. Viz Nasazení pro detaily „zero lock-in”.
  • Změna provideru — 30denní přechodné období vestavěné, technická migrační podpora zahrnutá
  • Nediskriminační přístup — žádné vendor-lock smluvní klauzule

DORA (pro finanční zákazníky)

Digital Operational Resilience Act platí pro EU finanční subjekty. StellarBase podporuje:

  • Zdokumentovaný framework řízení ICT rizik (poskytujeme náš)
  • Testing a odolnost (zprávy z pen-testů, výsledky DR testů k dispozici)
  • Řízení rizik třetích stran (jsme „ICT third-party provider”; DORA-compliant smluvní šablony zahrnuté)
  • Hlášení incidentů (oznámení breach v DORA požadovaných oknech)
  • Koncentrační riziko (self-hosted varianta dostupná, pokud potřebujete snížit cloud koncentraci)

NIS2 (pro essential / important subjekty)

Požadavky operační bezpečnosti sladěné. Air-gapped nasazení splňují nejpřísnější NIS2 kategorie.

ISO 27001

🛠 Připravené v Q2 2026. Certifikace probíhá.

Rozsah certifikace zahrnuje:

  • StellarCloud managed inference platforma
  • StellarBase managed cloud
  • StellarGate managed privacy proxy
  • Podpůrná infrastruktura (deployments, monitoring, incident response)

Statement of Applicability na vyžádání (pod NDA); certifikát bude následovat po dokončení.

SOC 2 Type II

Probíhá. Cíl dokončení Q2 2026. Průběžné zprávy (Type I + „readiness”) k dispozici teď.

Datová rezidence

MožnostKde data žijí
Managed EU cloudFrankfurt, Amsterdam nebo Praha (EU; region přiřazujeme my)
Private managedVáš AWS / Azure / GCP tenant, region dle vaší volby
Self-hostedVaše datové centrum, kdekoli je
Air-gappedTotéž, s nulovým egressem

Žádný transatlantický přenos dat, pokud explicitně nezvolíte jinak.

Zdroje

Pro vašeho CISO / DPO / auditora, na vyžádání pod NDA:

  • Dokument bezpečnostní architektury
  • Zprávy z penetračních testů (poslední + historické)
  • DPA šablona
  • Standard Contractual Clauses (pro non-EU transfery)
  • ISO 27001 Statement of Applicability (certifikát po dokončení)
  • SOC 2 průběžné zprávy (Type I, readiness)
  • DPIA šablony
  • ROPA příklady
  • Playbooky pro incident response

Související