Bezbednost
Bezbednost koju možete revidirati, a ne pridevi
Suverenost na prvom mestu — gde vaši podaci žive, ko može da im pristupi i dokazi koje vaš tim za reviziju zaista proverava iza svake TechRevati implementacije.
Ova stranica je napisana za recenzenta, a ne za slučajnog posetioca. Bezbednost počinje jednostavnim pitanjem: gde vaši podaci žive i ko može da ih dotakne. Vodimo tim odgovorom, a zatim se spuštamo kroz svaku kontrolu koju bezbednosna procena regulisanog kupca, upitnik o riziku dobavljača ili mapiranje na EU AI Act / DORA / GDPR zaista proverava. Svaka tvrdnja u nastavku mapira se na mehanizam koji možemo da demonstriramo vašem revizoru — polisu baze podataka, korak redakcije, log samo za dodavanje, topologiju implementacije — i ništa više. Implementiramo EU-suvereno ili potpuno izolovano (air-gapped) na Mistral AI plus Qdrant, tako da vaši dokumenti i promptovi ne moraju da napuste jurisdikciju — ili vašu zgradu — da bi veštačka inteligencija radila. Tamo gde sertifikat još nije stečen ili garancija nije apsolutna, kažemo to jasno: opisujemo šta je sprovedeno, šta je svojstvo dizajna, a šta je na mapi puta, ali još nije stečeno. Radije bismo izgubili posao na iskrenom „još ne" nego ga dobili na tvrdnji koju bi vaša procena kasnije razotkrila. Ova stranica je inženjering, a ne pravni savet — opis kako vam pomažemo da ispunite i pripremite se za EU AI Act, DORA i GDPR, utemeljen u onome što isporučujemo.
Podaci ostaju tamo gde ih stavite — EU-suvereno ili izolovano (air-gapped)
Vi birate granicu implementacije, a veštačka inteligencija radi tamo gde vaši podaci već žive. EU-suvereni put pokreće inferencu na Mistral AI i vektorsku pretragu na Qdrant sa rezidentnošću podataka u EU, tako da nema obaveznog prenosa podataka u SAD i nema izloženosti CLOUD Act po dizajnu. Za najjaču uverljivost implementiramo single-tenant na vašoj sopstvenoj infrastrukturi, on-premise ili potpuno izolovano (air-gapped) — vaši dokumenti i promptovi nikada ne napuštaju vaše okruženje. Tamo gde se koristi američki model, to je eksplicitan, opt-in izbor koji vi kontrolišete, nikada podrazumevana postavka.
Izolacija zakupaca sprovedena u bazi podataka, precizno opisana
Izolacija se gura naniže u mašine za podatke, a ne ostavlja aplikativnom kodu. PostgreSQL Row-Level Security filtrira svaki upit po zakupcu na sloju baze podataka, a svaki zakupac dobija sopstvenu Qdrant vektorsku kolekciju tako da pogrešno konfigurisan upit ne prelazi granicu kolekcije. Ovo je fail-closed model — ali ne tvrdimo da zakupac nikada ne može doći do podataka drugog zakupca; nijedan iskren dobavljač to ne bi trebalo da tvrdi. Za najjaču uverljivost izolacije, izaberite single-tenant ili potpuno izolovanu (air-gapped) implementaciju, gde je razdvajanje fizičko, a ne samo sprovedeno u softveru, i mi tačno dokumentujemo na kom modelu je vaša implementacija.
PII redigovan pre nego što model vidi vaše podatke
Osetljiva polja se redaguju na ulaznoj granici, pre nego što model uopšte obradi zahtev, tako da lični podaci ne stižu do sloja inference u čitljivom obliku. Ovo drži prepoznatljive informacije van inference i van kontekstnog prozora, unapređujući vašu poziciju minimizacije podataka i sužavajući koje lične podatke GDPR uopšte obuhvata na granici, a ne prepuštajući to promptu. Vašem recenzentu možemo pokazati korak redakcije u putanji zahteva i šta uklanja.
Firewall protiv prompt-injection napada i denial-of-wallet ograničenja
Svaki ulaz prolazi kroz firewall protiv prompt-injection napada koji pregleda instrukcije koje pokušavaju da nadjačaju ponašanje sistema ili da eksfiltriraju kontekst pre nego što dođe do modela. Ograničenja potrošnje i brzine po zakupcu ograničavaju potrošnju tokena, tako da zlonamerno ili odbeglo radno opterećenje ne može tiho da potroši vaš budžet ili vaš kapacitet inference, niti da preraste u incident iscrpljivanja resursa. Oboje su kontrole koje se mogu pregledati, a ne izjave o politici.
Nepromenljiv, samo-za-dodavanje, u bazi sproveden revizorski trag
Svaki zahtev, preuzimanje i odgovor se upisuje u nepromenljiv, samo-za-dodavanje, revizorski trag po zakupcu sproveden na sloju baze podataka. Beleži ko je šta pitao, koji kontekst je preuzet i šta je sistem vratio — zapis koji vaš procenitelj traži. Dokazi su strukturirani tako da se mogu mapirati na SOC 2, ISO 27001 i EU AI Act revizije, uključujući logovanje i sledljivost koje AI Act očekuje od korisnika (deployers) po Article 26.
Utemeljen, zatvoreno-kontekstni RAG sa predajom čoveku
Odgovori se generišu samo iz vaših preuzetih dokumenata u zatvorenom kontekstu, sa citatima ka izvoru — a ne iz otvorenog prisećanja modela — što sužava halucinacije i drži svaki odgovor sledljivim. Kada je pouzdanost niska ili pitanje izlazi van utemeljenog konteksta, sistem predaje čoveku umesto da izmišlja odgovor. Ta granica je konfigurabilna i logovana, tako da je ljudski nadzor kontrola koju možete dokazati, a ne pretpostavka — što je ono što obaveze nadzora zaista zahtevaju.
Sertifikati, izrečeni iskreno
Naše kontrole su mapirane na SOC 2 i ISO 27001 dokaze, a atestacija je na našoj mapi puta — još nije stečena, i nećemo tvrditi da imamo sertifikat koji nemamo. Za zdravstvo opisujemo implementaciju kao HIPAA-ready arhitekturu, što znači da su kontrole za rukovanje PHI podacima na mestu, a ne da sertifikat postoji. Ako vaš upitnik traži sertifikat koji ne možemo da priložimo, dobijate direktan odgovor i mapu kontrola-ka-dokazima koja stoji iza njega.
Regulativa uokvirena kao inženjering — sa dokazima upakovanim za vašu procenu
Pomažemo vam da ispunite i pripremite se za EU AI Act (Regulation (EU) 2024/1689), DORA (Regulation (EU) 2022/2554) i GDPR kroz konkretnu isporuku: mapiranje nivoa rizika i pružalac-naspram-korisnika (provider-vs-deployer), kuke za logovanje i ljudski nadzor, ROPA i DSAR artefakte, i smanjen rizik kritičnog pružaoca i koncentracije oko američkog clouda. Isporuka pilota je paket za reviziju, a ne demo — nezavisni bezbednosni izveštaj plus generisani dokazi za stvarni slučaj upotrebe. Ovo je inženjerska podrška vašem radu na usklađenosti uz vašeg sopstvenog pravnog savetnika, a ne pravni savet niti garancija usklađenosti.
FAQ
Gde naši podaci zapravo žive i da li išta od toga stiže do američkog pružaoca?
Tamo gde vi odlučite, i ne mora da stigne do američkog pružaoca. EU-suvereni put drži podatke u EU sa inferencom na Mistral AI i vektorskom pretragom na Qdrant, self-hosted, on-premise ili izolovano (air-gapped) — bez obaveznog prenosa podataka u SAD i bez izloženosti CLOUD Act po dizajnu. Za najjaču uverljivost implementiramo single-tenant na vašoj sopstvenoj infrastrukturi ili potpuno izolovano (air-gapped), u kom slučaju vaši dokumenti i promptovi uopšte nikada ne napuštaju vaše okruženje. Tamo gde se koristi američki model, to je eksplicitan, opt-in izbor koji vi kontrolišete, nikada podrazumevana postavka.
Da li posedujete SOC 2 ili ISO 27001 sertifikat?
Još ne, i nećemo tvrditi drugačije. Naše kontrole su mapirane na SOC 2 i ISO 27001 dokaze, a atestacija je na našoj mapi puta, ali trenutno nije stečena — ne tvrdimo da imamo sertifikate koje nemamo. Ono što možemo da pružimo danas je mapiranje kontrola-ka-dokazima, nepromenljiv revizorski trag po zakupcu strukturiran za te okvire i, tokom pilota, nezavisnu bezbednosnu reviziju implementacije. Za zdravstvo opisujemo implementaciju kao HIPAA-ready arhitekturu, a ne kao HIPAA-sertifikovanu.
Možete li garantovati da jedan zakupac nikada ne može doći do podataka drugog zakupca?
Ne koristimo reč garancija za apsolute. Multi-tenant implementacije sprovode izolaciju u bazi podataka pomoću PostgreSQL Row-Level Security i daju svakom zakupcu sopstvenu Qdrant vektorsku kolekciju, stvarajući fail-closed model u kojem mašine za podatke filtriraju zapise između zakupaca na granici upita. Međutim, ovo ne plasiramo kao apsolutnu garanciju. Za najjaču uverljivost implementiramo single-tenant, ili potpuno izolovano (air-gapped) bez ikakve deljene infrastrukture, gde je razdvajanje fizičko, a ne samo sprovedeno u softveru — i precizno dokumentujemo koji model vaša implementacija koristi.
Kako nam ovo pomaže da ispunimo EU AI Act, DORA i GDPR?
Kroz inženjering, a ne pravni savet. Pomažemo vam da mapirate slučajeve upotrebe na nivoe rizika AI Act i dužnosti pružalac-naspram-korisnika (provider-vs-deployer), da proizvedete logovanje i ljudski nadzor koje Act očekuje od korisnika (deployers) (uključujući Article 26), da generišete ROPA i DSAR artefakte i sprovedete rezidentnost podataka i redakciju za GDPR, i da smanjite rizik kritičnog pružaoca i koncentracije oko američkog clouda koji DORA ispituje za finansijske subjekte. Ovako pripremamo vašu implementaciju da ispuni zahteve uz vašeg sopstvenog pravnog savetnika; to nije pravni savet niti garancija usklađenosti.
Šta naša bezbednosna revizija dobija da vidi pre nego što se obavežemo?
Radnu implementaciju unutar vašeg sopstvenog okruženja i dokaze da je proverite red po red. Naš Sovereign RAG Pilot traje fiksnih 6–8 nedelja, single-tenant, pod NDA, na vašoj infrastrukturi ili EU-suverenom cloudu, povezujući jedan stvarni slučaj upotrebe. Uključuje nezavisnu bezbednosnu reviziju, paket dokaza za EU AI Act i GDPR (ROPA / DSAR) i pristup nepromenljivom revizorskom tragu — tako da vaš tim za reviziju ocenjuje stvarne dokaze, a ne slajdove, pre nego što postoji ikakva šira obaveza.
Donesite nam projekat kojem je vaš tim za usklađenost rekao ne
Najbrži način da prođete bezbednosnu reviziju je da pokrenete sistem tamo gde vaši podaci ostaju. Pokrenite Sovereign RAG Pilot — fiksnih 6–8 nedelja, single-tenant, pod NDA, implementiran unutar vaših zidova na EU-suverenom ili izolovanom (air-gapped) steku — a mi vašem timu za reviziju predajemo nezavisni bezbednosni izveštaj, paket dokaza za EU AI Act i GDPR (ROPA / DSAR) i revizorski trag: dokaz koji vaša procena može proveriti red po red, a ne slajdove. Pokrenite pilot ili nam prvo pišite na hello@techrevati.com.
Pokreni pilot