Zorge LabZorge Lab
Security

Compliance — детали

Что увидит ваша security-команда.

Одна страница, которую можно отправить security, legal или procurement. Реестр evidence, список субпроцессоров и что мы готовы подписать сегодня.

Реестр evidence

Что мы передаём аудитору или security-review

Эти артефакты существуют сегодня. По запросу делимся под NDA.

Диаграммы архитектуры

Cross-repo архитектура и per-service диаграммы для центрального, on-prem и kiosk развёртывания. Обновляются с каждым релизом.

Схема audit log

Схема таблицы и таксономия событий для audit log. Каждое административное действие, регистрация воркера и аттестация сессии имеют определённую строку.

CA и mTLS-политика

Дизайн внутреннего CA, выпуск и ротация сертификатов, политика cipher suite для mTLS, обработка отзыва.

Протокол GPG-бандлов

Формат credential-бандла, параметры шифрования, цепочка хранения ключей и runtime-расшифровка в tmpfs.

Документы политик

Information security policy, политика контроля доступа, runbook incident response, процесс vulnerability management и шаблон DPA — поддерживаются активно.

Субпроцессоры

Кто обрабатывает данные от нашего имени

Актуально на дату ниже. Субпроцессоры меняются редко; при изменении клиенты уведомляются до того, как изменение вступает в силу.

  • Google Cloud Platform
    Compute, storage, сеть
    EU / US (выбор клиента)
    Подписан
  • Runpod
    GPU-пул (опционально)
    Multi-region
    Подписан
  • Vast.ai
    GPU-пул (опционально)
    Multi-region
    Подписан
  • Google reCAPTCHA
    Bot mitigation на lead-формах
    Global
    Стандарт
  • OpenAI (opt-in)
    LLM-инференс при выборе клиентом
    US
    По запросу
  • Anthropic (opt-in)
    LLM-инференс при выборе клиентом
    US
    По запросу

Список актуален на май 2026. Опциональные LLM-провайдеры (OpenAI, Anthropic, Google, Mistral) обрабатывают данные только если клиент их включает; центральная платформа не вызывает их по умолчанию.

Процесс review

Что мы можем сделать на этой неделе

Быстро двигаемся по security-ревью. Если у вашей команды есть procurement-чеклист — пришлите, ответим со статусом, evidence и открытыми gap'ами.

  • Architecture review-звонок с engineering lead
  • Подписанный DPA, список субпроцессоров и пакет политик
  • Walkthrough audit log и модели on-prem изоляции

Что мы можем сделать на этой неделе

Быстро двигаемся по security-ревью. Если у вашей команды есть procurement-чеклист — пришлите, ответим со статусом, evidence и открытыми gap'ами.

Compliance — детали — AIvatars