Notis Privasi GNOMI
Kemas Kini Terakhir: 22 Mei 2026
Notis Privasi ini terpakai kepada pemprosesan maklumat peribadi oleh Gnomi App Corp (GNOMI) termasuk pada aplikasi mudah alih kami, laman web kami di gnomi.com dan tawaran dalam talian atau luar talian kami yang lain (secara kolektif, Perkhidmatan).
Jadual Kandungan
- 1. Kemas Kini kepada Notis Privasi Ini
- 2. Maklumat Peribadi yang Kami Kumpulkan
- 3. Cara Kami Menggunakan Maklumat Peribadi
- 4. Cara Kami Mendedahkan Maklumat Peribadi
- 5. Pilihan dan Hak Privasi Anda
- 6. Pemindahan Antarabangsa Maklumat Peribadi
- 7. Pengekalan Maklumat Peribadi
- 8. Notis Tambahan untuk EU/UK GDPR
- 9. Maklumat Peribadi Kanak-Kanak
- 10. Notis Privasi Promosi
- 11. Dasar Pengekalan dan Pelupusan Data
- 12. Dasar Keselamatan Maklumat
- 13. Hubungi Kami
1. Kemas Kini kepada Notis Privasi Ini
Kami mungkin mengemaskini Notis Privasi ini dari semasa ke semasa. Jika kami berbuat demikian, kami akan memaklumkan anda dengan menyiarkan Notis Privasi yang dikemas kini di laman web kami, dan/atau kami juga mungkin menghantar komunikasi lain.
2. Maklumat Peribadi Yang Kami Kumpulkan
Kami mengumpulkan maklumat peribadi yang anda berikan kepada kami, maklumat peribadi yang kami kumpulkan secara automatik apabila anda menggunakan Perkhidmatan, dan maklumat peribadi daripada sumber pihak ketiga.
A. Maklumat Peribadi Yang Anda Berikan Kepada Kami Secara Langsung
- Maklumat Akaun: Nama pengguna, alamat e-mel, kata laluan, negara lokasi, dan maklumat lain yang anda simpan dengan akaun anda
- Maklumat Profil: Nama, jawatan, bio, akaun media sosial yang dihubungkan, jantina dan tarikh lahir (peribadi)
- Ciri-ciri Interaktif: Kandungan yang anda hantar melalui pemesejan, komen, dan ciri-ciri media sosial
- Pembelian: Maklumat pembayaran untuk langganan GNOMI Premium
- Komunikasi: Maklumat yang anda hantar kepada kami melalui e-mel atau alat sembang
- Tinjauan: Maklumat daripada tinjauan yang anda sertai
- Peraduan: Maklumat daripada cabutan bertuah atau peraduan
- Acara: Maklumat daripada persidangan dan pameran perdagangan
- Permohonan Pekerjaan: Maklumat hubungan dan CV jika anda memohon pekerjaan
B. Maklumat Peribadi yang Dikumpul Secara Automatik
- Maklumat Peranti: Alamat IP, tetapan pengguna, pengenal pasti kuki, maklumat pelayar, maklumat lokasi
- Maklumat Penggunaan: Halaman yang dilawati, istilah carian, interaksi kandungan, kekerapan dan tempoh aktiviti
- Kuki dan Teknologi: Kuki, tag piksel, dan suar web untuk mengumpul maklumat tentang penggunaan Perkhidmatan anda
C. Maklumat Peribadi yang Dikumpul daripada Pihak Ketiga
Kami mungkin mengumpul maklumat peribadi daripada perkhidmatan pihak ketiga apabila anda menghubungkan GNOMI dengan akaun media sosial (Reddit, LinkedIn, Meta, X) atau menggunakan perkhidmatan log masuk pihak ketiga.
3. Bagaimana Kami Menggunakan Maklumat Peribadi
A. Menyediakan Perkhidmatan
- Menguruskan maklumat anda dan menyediakan akses kepada ciri-ciri
- Sokongan pelanggan dan komunikasi
- Memproses pembayaran
- Memproses permohonan pekerjaan
B. Meningkatkan Perkhidmatan dan Membangunkan Produk Baharu
- Melatih teknologi AI dan pembelajaran mesin
- Memperbaiki dan meningkatkan Perkhidmatan
C. Tujuan Pentadbiran
- Keselamatan dan pencegahan penipuan
- Analitik dan mengukur penglibatan
- Kawalan kualiti dan keselamatan
- Pematuhan undang-undang
D. Pemasaran
Kami mungkin menggunakan maklumat peribadi anda untuk memberikan anda mesej pemasaran dan tawaran melalui kempen e-mel, sebagaimana yang dibenarkan oleh undang-undang yang berkenaan.
E. Meningkatkan Perkhidmatan kami melalui AI
Penting: Kami menggunakan aktiviti penggunaan dan carian anda untuk membantu melatih model AI kami dan pihak ketiga. Jika anda menggunakan ciri Sambungan Sosial kami, kami juga menggunakan maklumat interaksi media sosial anda untuk melatih model AI dan menyediakan cadangan berita yang diperibadikan. Apabila dikongsi dengan model AI pihak ketiga, pembekal mungkin menyimpan maklumat ini. Sila jangan kongsi maklumat sensitif seperti kata laluan atau data kewangan.
F. Membuat Keputusan Secara Automatik
Kami mungkin terlibat dalam membuat keputusan secara automatik, termasuk pemprofilan, untuk menyampaikan kandungan yang disesuaikan berdasarkan interaksi anda dengan Perkhidmatan.
4. Bagaimana Kami Mendedahkan Maklumat Peribadi
A. Pendedahan untuk Menyediakan Perkhidmatan
- Pembekal Perkhidmatan: Perkhidmatan AI/ML, pengehosan, khidmat pelanggan, analitik, pemasaran, sokongan IT
- Pengguna Lain: Maklumat yang anda pilih untuk dikongsi dengan pengguna GNOMI yang lain
- Perkhidmatan Pihak Ketiga: Perkhidmatan yang anda sambungkan atau berinteraksi
- Rakan Perniagaan: Rakan yang kami bekerjasama untuk menyediakan perkhidmatan
- Syarikat Bersekutu: Syarikat korporat bersekutu kami
- Rakan Pengiklanan: Untuk pengguna percuma, kami mungkin berkongsi maklumat dengan rakan pengiklanan untuk pengiklanan bersasar
B. Pendedahan untuk Melindungi Kami atau Orang Lain
Kami mungkin mendedahkan maklumat untuk mematuhi permintaan undang-undang, melindungi hak dan keselamatan, menguatkuasakan dasar, atau membantu dengan penyiasatan.
C. Transaksi Perniagaan
Maklumat anda mungkin didedahkan berkaitan dengan penggabungan, pemerolehan, atau transaksi korporat lain.
5. Pilihan dan Hak Privasi Anda
Pilihan Privasi Anda
- Komunikasi E-mel: Berhenti melanggan menggunakan pautan dalam e-mel
- Mesej Teks: Balas "STOP" untuk memilih keluar
- Peranti Mudah Alih: Laraskan tetapan pemberitahuan push dan lokasi
- Kuki: Laraskan keutamaan pelayar (nota: mungkin menjejaskan fungsi)
- Jangan Jejak: Kami tidak bertindak balas terhadap isyarat DNT
Hak Privasi Anda
Anda mungkin mempunyai hak untuk:
- Mengesahkan sama ada kami memproses maklumat peribadi anda
- Meminta akses kepada atau mudah alih maklumat peribadi anda
- Meminta pembetulan maklumat peribadi anda
- Meminta penghapusan maklumat peribadi anda
- Meminta sekatan atau membantah pemprosesan
- Memilih untuk tidak menerima pengiklanan bertarget, jualan, atau pemprofilan
- Menarik balik persetujuan
6. Pemindahan Antarabangsa Maklumat Peribadi
Maklumat peribadi mungkin dipindahkan, diproses, dan disimpan di mana-mana di dunia, termasuk negara dengan undang-undang perlindungan data yang berbeza. Untuk pemindahan dari EU/UK, kami mungkin menggunakan Klausa Kontrak Standard EU sebagai perlindungan.
7. Pengekalan Maklumat Peribadi
Kami menyimpan maklumat peribadi selagi anda menggunakan Perkhidmatan, atau sebagaimana yang diperlukan untuk memenuhi tujuan, menyediakan Perkhidmatan, menyelesaikan pertikaian, dan mematuhi kewajipan undang-undang.
8. Notis Tambahan untuk GDPR EU/UK
Bahagian ini terpakai kepada maklumat peribadi yang tertakluk kepada GDPR EU atau UK. Dalam beberapa kes, pemberian maklumat peribadi mungkin diperlukan oleh undang-undang atau kontrak. Kami akan memaklumkan anda tentang akibatnya jika anda memilih untuk tidak memberikan maklumat yang diperlukan.
9. Maklumat Peribadi Kanak-kanak
Perkhidmatan ini tidak ditujukan kepada kanak-kanak di bawah 16 tahun, dan kami tidak dengan sengaja mengumpul maklumat peribadi daripada kanak-kanak. Jika anda percaya anak anda telah memuat naik maklumat yang melanggar undang-undang yang berkenaan, sila hubungi kami.
10. Notis Privasi Promosi
GNOMI App Corp. ("Penaja") mengumpul dan memproses maklumat peribadi yang diserahkan oleh peserta, termasuk nama, alamat e-mel, negara atau negeri kediaman, dan maklumat yang diperlukan untuk mengesahkan kelayakan dan menyampaikan hadiah. Maklumat ini digunakan semata-mata untuk mentadbir promosi, mencegah penipuan, mengesahkan kelayakan, dan memenuhi hadiah.
Bagi peserta yang berada di Kawasan Ekonomi Eropah atau United Kingdom, Penaja memproses data peribadi berdasarkan pelaksanaan kontrak (pentadbiran promosi) dan kepentingan sah Penaja dalam mengendalikan dan menjamin promosi. Jika peserta memilih untuk menerima komunikasi pemasaran, pemprosesan adalah berdasarkan persetujuan. Penyertaan dalam promosi tidak bergantung pada pemberian persetujuan pemasaran.
Penaja boleh menggunakan pembekal perkhidmatan untuk membantu dengan pentadbiran promosi, komunikasi, analitik, dan pemenuhan hadiah. Data peribadi mungkin dipindahkan ke dan diproses di Amerika Syarikat atau negara lain di mana Penaja atau pembekal perkhidmatannya beroperasi, tertakluk kepada perlindungan undang-undang yang sesuai di mana diperlukan.
Data peribadi disimpan sehingga dua belas (12) bulan selepas promosi berakhir dan kemudian dipadamkan atau dijadikan tanpa nama melainkan pengekalan yang lebih lama diperlukan untuk tujuan undang-undang atau peraturan. Promosi ini terbuka hanya kepada individu yang berumur sekurang-kurangnya 18 tahun atau umur majoriti di bidang kuasa mereka.
Bergantung pada undang-undang yang berkenaan, peserta mungkin mempunyai hak untuk meminta akses kepada, pembetulan atau penghapusan data peribadi mereka, mengehadkan atau membantah pemprosesan, atau meminta kemudahalihan data. Peserta di EEA atau UK juga boleh membuat aduan kepada pihak berkuasa perlindungan data tempatan mereka. Penduduk A.S. mungkin mempunyai hak privasi tambahan di bawah undang-undang negeri yang berkenaan.
Permintaan mengenai data peribadi boleh dihantar kepada: privacy@gnomi.com
11. Polisi Pengekalan dan Pelupusan Data
Dokumentasi Pematuhan GDPR dan Undang-Undang Privasi yang Berkenaan
1. Tujuan
Polisi Pengekalan dan Pelupusan Data ini mentakrifkan bagaimana GNOMI mengekalkan, melindungi, memadamkan, menamakan semula secara tanpa nama, dan melupuskan secara selamat data syarikat, pelanggan, pengguna, integrasi kewangan, pembrokeran, perbankan, portfolio, transaksi, teknikal, operasi, dan yang diuruskan oleh vendor. Tujuan polisi ini adalah untuk memastikan bahawa data dikekalkan hanya untuk tujuan perniagaan, produk, keselamatan, kontrak, undang-undang, dan pematuhan yang sah dan dipadamkan, dinamakan semula secara tanpa nama, atau dilupuskan secara selamat apabila tidak lagi diperlukan.
2. Pernyataan Pematuhan GDPR dan Undang-Undang Privasi yang Berkenaan
GNOMI mengekalkan Polisi Pengekalan dan Pelupusan Data yang ditakrifkan dan dikuatkuasakan ini untuk menyokong pematuhan dengan undang-undang privasi data dan perlindungan data yang berkenaan, termasuk General Data Protection Regulation (GDPR) di mana GDPR terpakai kepada aktiviti pemprosesan GNOMI. Polisi ini direka untuk mengoperasikan prinsip pengekalan dan pelupusan yang selaras dengan GDPR, termasuk had penyimpanan, pengurangan data, had tujuan, integriti dan kerahsiaan, akauntabiliti, dan pengendalian yang sah terhadap permintaan pemadaman dan sekatan subjek data.
Kawalan pengekalan dan pelupusan GNOMI bertujuan untuk memastikan bahawa Data Peribadi tidak dikekalkan lebih lama daripada yang diperlukan untuk tujuan ia dikumpulkan atau sebaliknya diproses secara sah, melainkan pengekalan berterusan diperlukan untuk tujuan undang-undang, peraturan, kontrak, keselamatan, pencegahan penipuan, perakaunan, audit, penyelesaian pertikaian, atau tujuan perniagaan yang sah.
Di mana GNOMI memproses maklumat akaun kewangan atau portfolio yang dibenarkan oleh pengguna melalui Plaid atau penyedia serupa, GNOMI menggunakan kawalan pengekalan dan pelupusan yang direka untuk mengehadkan pengekalan data integrasi kewangan kepada tempoh yang diperlukan untuk menyediakan fungsi yang dibenarkan, mengekalkan keselamatan, memenuhi obligasi kontrak, mencegah penipuan, dan mematuhi undang-undang yang berkenaan.
3. Skop
Polisi ini terpakai kepada semua data yang dikumpulkan, diproses, disimpan, dihantar, atau diselenggara oleh GNOMI atau oleh penyedia perkhidmatan pihak ketiga yang bertindak bagi pihak GNOMI. Ini termasuk sistem pengeluaran, perkhidmatan awan, pangkalan data aplikasi, sistem akaun pengguna, sistem integrasi kewangan, sistem analitik portfolio, sistem kecerdasan kewangan yang dijana oleh AI, sistem analisis kewangan, integrasi Plaid, integrasi akaun pembrokeran, integrasi perbankan, log keselamatan, persekitaran analitik, alat sokongan pelanggan, platform vendor, rekod korporat, sandaran, dan sistem pemulihan bencana.
Polisi ini terpakai kepada pekerja GNOMI, kontraktor, perunding, penyedia perkhidmatan, dan kakitangan yang diberi kuasa lain yang mencipta, mengakses, mengurus, menyimpan, memproses, menghantar, mengekalkan, memadamkan, atau melupuskan data bagi pihak GNOMI.
4. Pernyataan Polisi
GNOMI mengekalkan data hanya untuk tempoh yang diperlukan untuk menyediakan dan menambah baik perkhidmatannya, menyokong fungsi pengguna yang dibenarkan, mengekalkan keselamatan, memenuhi obligasi kontrak dan undang-undang, menjalankan operasi perniagaan, dan melindungi GNOMI, rakan kongsinya, dan penggunanya. Apabila data tidak lagi diperlukan, GNOMI memadamkan, menamakan semula secara tanpa nama, mengagregat, atau melupuskan secara selamat menggunakan kawalan pentadbiran, teknikal, dan prosedur yang sesuai.
Tempoh pengekalan adalah berdasarkan jenis data, tujuan pemprosesan, hubungan pengguna, asas undang-undang, keperluan perniagaan, obligasi kontrak, keperluan peraturan, dan keperluan keselamatan. GNOMI secara berkala mengkaji semula amalan pengekalan dan pelupusan untuk mengesahkan bahawa ia kekal sesuai untuk perniagaan, produk, sistem, vendor, dan obligasi privasi yang berkenaannya.
GNOMI mengekalkan data integrasi kewangan yang dibenarkan oleh pengguna hanya untuk tempoh yang diperlukan untuk menyediakan fungsi kecerdasan kewangan yang dibenarkan yang diminta oleh pengguna, termasuk analisis portfolio, analisis kepelbagaian, penjanaan sentimen portfolio, pandangan kewangan yang dijana oleh AI, pencegahan penipuan, dan sokongan integrasi.
5. Prinsip Pengekalan yang Selaras dengan GDPR
- Had penyimpanan: GNOMI mengekalkan Data Peribadi hanya untuk tempoh yang diperlukan untuk tujuan pemprosesan yang berkaitan, melainkan pengekalan yang lebih lama diwajarkan oleh undang-undang, kontrak, keselamatan, penyelesaian pertikaian, audit, perakaunan, atau keperluan pematuhan.
- Pengurangan data: GNOMI mengehadkan data yang dikekalkan kepada apa yang diperlukan secara munasabah untuk tujuan perniagaan, produk, keselamatan, undang-undang, atau pematuhan yang berkaitan.
- Had tujuan: GNOMI menilai pengekalan berdasarkan tujuan data dikumpulkan atau sebaliknya diproses secara sah.
- Integriti dan kerahsiaan: GNOMI melindungi data yang dikekalkan dengan kawalan akses yang sesuai, kebenaran keistimewaan paling rendah, pemantauan, dan amalan pengendalian yang selamat.
- Akauntabiliti: GNOMI mengekalkan tanggungjawab pemilikan, semakan, dan penguatkuasaan untuk keputusan pengekalan dan pelupusan.
- Hak subjek data: GNOMI memproses permintaan pemadaman, pembetulan, sekatan, dan bantahan yang berkenaan mengikut undang-undang privasi yang berkenaan dan sebarang pengecualian yang sah.
- Had kebenaran pengguna: Data integrasi kewangan dikekalkan dan diproses hanya untuk tempoh dan tujuan yang dibenarkan oleh pengguna dan disokong oleh asas pemprosesan yang sah yang berkenaan.
6. Klasifikasi Data
GNOMI mengklasifikasikan data berdasarkan kepekaan, tujuan pemprosesan, obligasi yang berkenaan, dan penggunaan operasi. Kawalan pengekalan dan pelupusan digunakan mengikut sifat data dan sistem di mana ia berada.
- Data pelanggan dan pengguna: maklumat berkaitan akaun, maklumat profil pengguna, keutamaan, data penggunaan produk, komunikasi sokongan, dan rekod berkaitan perkhidmatan.
- Data sambungan kewangan: data akaun pembrokeran yang dibenarkan pengguna, data perhubungan perbankan, pegangan portfolio, metadata transaksi, metadata akaun pelaburan, baki, pengecam institusi kewangan, kelayakan atau token integrasi kewangan, pandangan kewangan yang dijana AI, output analitik portfolio, dan maklumat berkaitan yang diproses melalui Plaid atau pembekal integrasi kewangan yang serupa.
- Data kecerdasan kewangan yang dijana AI: analisis sentimen portfolio, analisis kepelbagaian, ringkasan kewangan, output AI peringkat akaun, dan kecerdasan kewangan khusus pengguna yang berkaitan yang dijana daripada integrasi kewangan yang dibenarkan.
- Log keselamatan dan operasi: rekod pengesahan, log capaian, log audit, data pemantauan, log aktiviti sistem, dan rekod tindak balas insiden.
- Data perniagaan dan pentadbiran: kontrak, rekod vendor, rekod pengebilan, rekod korporat, rekod undang-undang, rekod cukai, dan dokumentasi operasi dalaman.
- Data agregat, tanpa nama, atau tidak dikenal pasti: analitik, data penambahbaikan produk, dan data pelaporan yang tidak dikaitkan secara munasabah dengan individu yang boleh dikenal pasti.
7. Jadual Pengekalan
GNOMI menggunakan tempoh pengekalan mengikut kategori di bawah. Tempoh tertentu boleh diselaraskan di mana dikehendaki oleh undang-undang, kontrak, keperluan keselamatan, keperluan sistem teknikal, atau keperluan perniagaan yang diluluskan. Di mana tempoh pengekalan tertentu tidak dikehendaki secara sah, GNOMI mengekalkan data hanya selama yang diperlukan untuk tujuan yang berkenaan dan kemudian memadamkan, menamakan tanpa nama, atau melupuskannya dengan selamat.
| Kategori Data | Tujuan Utama | Piawaian Pengekalan | Kaedah Pelupusan |
|---|---|---|---|
| Data akaun dan profil pengguna | Operasi akaun, pengesahan, sokongan pengguna, penyampaian perkhidmatan | Dikekalkan selagi akaun aktif dan untuk tempoh terhad selepas penutupan mengikut keperluan keselamatan, pencegahan penipuan, undang-undang, audit, atau tujuan sokongan. | Pemadaman, anonimisasi, atau pembersihan selamat daripada sistem aktif. |
| Data integrasi kewangan yang dibenarkan pengguna | Menyediakan ciri risikan kewangan yang dibenarkan, fungsi yang diminta pengguna, sokongan integrasi, dan keselamatan | Dikekalkan hanya selagi pengguna mengekalkan sambungan kewangan yang dibenarkan atau selagi perlu untuk menyediakan fungsi risikan kewangan yang dibenarkan, mengekalkan keselamatan, mencegah penipuan, menyokong operasi perniagaan yang sah, mematuhi obligasi kontrak, atau memenuhi keperluan undang-undang dan peraturan. Integrasi yang dibatalkan, diputuskan sambungan, tamat tempoh, atau tidak aktif akan dipadamkan, dinyahaktifkan, dianonimkan, atau token dibatalkan mengikut keperluan operasi dan undang-undang. | Pemadaman daripada sistem aktif, pembatalan token selamat, anonimisasi, pengekalan arkib terhad di mana dikehendaki oleh undang-undang, atau pelupusan selamat. |
| Cerapan kewangan yang dijana AI dan analitik portfolio | Risikan portfolio, analisis kepelbagaian, analisis sentimen, fungsi sembang AI, analitik yang diminta pengguna | Dikekalkan selagi akaun pengguna berkaitan kekal aktif dan fungsi kekal didayakan, tertakluk kepada permintaan pemadaman, keperluan keselamatan, obligasi undang-undang, dan keperluan operasi | Pemadaman, anonimisasi, pengagregatan, atau pelupusan selamat |
| Rekod sokongan dan komunikasi | Sokongan pelanggan, penyelesaian isu, jaminan kualiti, dan pematuhan | Dikekalkan mengikut keperluan untuk menyelesaikan permintaan, mengekalkan rekod perkhidmatan, dan menyokong keperluan perniagaan atau undang-undang. | Pemadaman atau pelupusan arkib selamat selepas tamat tempoh. |
| Log keselamatan, capaian, dan audit | Pemantauan keselamatan, pencegahan penipuan, pengesanan insiden, semakan capaian, audit, dan integriti sistem | Dikekalkan untuk tempoh yang sesuai dengan tujuan keselamatan, keperluan sistem, dan obligasi undang-undang atau kontrak. | Tamat tempoh berjadual, pembersihan selamat, atau pelupusan arkib terhad. |
| Rekod pengebilan, cukai, korporat, dan undang-undang | Perakaunan, cukai, tadbir urus korporat, audit, pentadbiran kontrak, dan pematuhan undang-undang | Dikekalkan untuk tempoh yang dikehendaki oleh undang-undang terpakai, piawaian audit, kontrak, atau keperluan tadbir urus korporat. | Pelupusan selamat selepas tamat tempoh keperluan undang-undang atau perniagaan. |
| Data agregat, tanpa nama, atau dinyahkenal pasti | Analitik, penambahbaikan produk, penyelidikan, pelaporan, dan risikan perniagaan | Boleh dikekalkan untuk tempoh yang lebih lama di mana data tidak boleh dikenal pasti secara munasabah dan berada di luar skop data peribadi di bawah undang-undang terpakai. | Penggunaan berterusan, pengagregatan lanjut, atau pelupusan apabila tidak lagi diperlukan. |
| Data sandaran dan pemulihan bencana | Kesinambungan perniagaan, pemulihan keselamatan, dan pemulihan sistem | Dikekalkan mengikut jadual kitaran hayat sandaran dan ditulis ganti atau dibersihkan melalui putaran sandaran biasa melainkan tertakluk kepada penahanan undang-undang. | Penulisan ganti berjadual, tamat tempoh, atau pemusnahan selamat. |
8. Prosedur Pemadaman Data dan Pelupusan Selamat
GNOMI menguatkuasakan pemadaman dan pelupusan data melalui kawalan pentadbiran, teknikal, dan prosedur. Kaedah pelupusan dipilih berdasarkan jenis data, sistem, kepekaan, keperluan pengekalan, dan kebolehlaksanaan teknikal.
- Pemadaman atau pembersihan daripada sistem pengeluaran aktif apabila data tidak lagi diperlukan.
- Penganoniman atau pengagregatan di mana GNOMI perlu mengekalkan analitik atau pandangan produk tanpa mengekalkan data peribadi yang boleh dikenal pasti secara munasabah.
- Sekatan atau penyahaktifan data di mana pemadaman dihadkan buat sementara oleh pegangan undang-undang, keselamatan, audit, perakaunan, penyelesaian pertikaian, atau kekangan teknikal.
- Pelupusan selamat rekod dan eksport menggunakan proses pemadaman, pemusnahan, atau pembatalan akses yang diluluskan.
- Semakan sistem dan vendor untuk mengesahkan bahawa obligasi pengekalan dan pelupusan dioperasikan di mana data diproses bagi pihak GNOMI.
- Pembatalan dan pemadaman token akses Plaid, kelayakan OAuth, kelayakan API, dan rahsia integrasi berkaitan apabila integrasi diputuskan sambungan, tamat tempoh, atau tidak lagi diperlukan.
- Pemadaman atau penganoniman pandangan kewangan yang dijana AI di mana integrasi kewangan asas yang berkaitan dibatalkan atau dipadamkan, melainkan pengekalan dikehendaki sebaliknya.
9. Permintaan Subjek Data GDPR dan Penutupan Akaun
Di mana GDPR atau undang-undang privasi lain yang berkenaan terpakai, GNOMI memproses permintaan subjek data berkaitan akses, pembetulan, pemadaman, sekatan, bantahan, dan mudah alih mengikut keperluan undang-undang yang berkenaan dan pengecualian yang sah. GNOMI menilai permintaan berdasarkan identiti peminta, sifat data, asas undang-undang yang berkenaan, keperluan sistem, dan sebarang kewajipan sah untuk mengekalkan data.
Selepas penutupan akaun yang disahkan atau permintaan pemadaman yang disahkan, GNOMI memadamkan, menganonimkan, atau menyekat Data Peribadi yang berkenaan daripada sistem aktif melainkan pengekalan dikehendaki atau dibenarkan untuk tujuan undang-undang, peraturan, kontrak, keselamatan, pencegahan penipuan, perakaunan, audit, penyelesaian pertikaian, atau perniagaan yang sah. Di mana data tidak boleh dipadamkan serta-merta daripada sandaran, ia dilindungi daripada penggunaan biasa dan dialih keluar melalui kitaran hayat sandaran yang berkenaan.
Di mana boleh dilaksanakan secara teknikal dan dibenarkan secara sah, GNOMI memproses permintaan yang disahkan untuk memutuskan sambungan integrasi kewangan, membatalkan token akses kewangan, memadamkan data analitik portfolio berkaitan, dan mengalih keluar pandangan kewangan yang dijana AI yang berkaitan dengan integrasi kewangan yang dibenarkan pengguna.
10. Pegangan Undang-undang dan Pengecualian Pengekalan
GNOMI boleh menggantung jadual pengekalan atau pemadaman biasa apabila data tertakluk kepada pegangan undang-undang, pertikaian, penyiasatan, permintaan peraturan, keperluan audit, insiden keselamatan, kewajipan kontrak, kewajipan perakaunan, atau keperluan perniagaan yang sah lain. Data yang tertakluk kepada pegangan undang-undang atau pengecualian yang diluluskan dikekalkan hanya selama pengecualian itu terpakai dan kemudian dikembalikan kepada proses pengekalan dan pelupusan yang berkenaan. Keselamatan, pencegahan penipuan, anti-penyalahgunaan, penyelesaian pertikaian, audit, semakan peraturan, atau kewajipan pematuhan sah lain mungkin memerlukan pengekalan berterusan terhad bagi rekod integrasi kewangan atau metadata kewangan berkaitan keselamatan.
11. Vendor, Pemproses, dan Sistem Pihak Ketiga
Apabila GNOMI menggunakan penyedia perkhidmatan pihak ketiga untuk menyimpan atau memproses data, GNOMI memerlukan pengendalian pengekalan dan pelupusan yang sesuai melalui semakan vendor, kewajipan kontrak di mana berkenaan, dan kawalan operasi. Untuk penyedia yang bertindak sebagai pemproses atau penyedia perkhidmatan, GNOMI menjangkakan kewajipan pengekalan, pemadaman, kerahsiaan, keselamatan, dan bantuan ditangani dalam perjanjian yang berkenaan, terma pemprosesan data, atau kawalan vendor.
GNOMI menyemak amalan pengendalian data vendor mengikut kesesuaian dengan sifat perkhidmatan, kepekaan data, dan keperluan privasi dan keselamatan yang berkenaan. Di mana GNOMI menerima permintaan pemadaman yang disahkan yang terpakai kepada data yang dipegang oleh vendor atau pemproses, GNOMI mengambil langkah munasabah untuk menyampaikan atau melaksanakan permintaan pemadaman, sekatan, atau penganoniman melalui aliran kerja vendor yang berkenaan, tertakluk kepada pengecualian yang sah.
GNOMI menilai Plaid dan penyedia integrasi kewangan lain untuk kawalan kontrak, privasi, keselamatan, pengekalan, pemadaman, kerahsiaan, dan pematuhan peraturan yang sesuai.
Di mana dikehendaki, GNOMI melaksanakan perlindungan pemindahan data yang mematuhi GDPR yang sesuai untuk pemprosesan merentas sempadan yang melibatkan data integrasi kewangan.
12. Sandaran dan Pemulihan Bencana
Data yang terkandung dalam sandaran atau sistem pemulihan bencana mungkin kekal untuk tempoh terhad selepas pemadaman daripada sistem pengeluaran aktif. Data sandaran dilindungi daripada akses tanpa kebenaran dan tertakluk kepada kawalan kitaran hayat, jadual pengekalan, dan penimpaan atau pemadaman berjadual. GNOMI tidak menggunakan data sandaran untuk pemprosesan perniagaan biasa selepas permintaan pemadaman yang berkenaan, kecuali di mana pemulihan diperlukan untuk keselamatan, pemulihan bencana, undang-undang, atau keperluan operasi. Data integrasi kewangan dan pandangan kewangan yang dijana AI yang dikekalkan dalam sistem sandaran kekal tertakluk kepada sekatan akses, kawalan penyulitan, pengurusan kitaran hayat, dan prosedur penimpaan selamat.
13. Penguatkuasaan dan Tanggungjawab
Pengurusan GNOMI, keselamatan, kejuruteraan, produk, operasi, dan kakitangan pematuhan bertanggungjawab untuk mengaplikasikan dasar ini dalam bidang tanggungjawab mereka. Pekerja dan kontraktor mesti mengikuti prosedur pengekalan, pemadaman, kawalan akses, dan pelupusan yang diluluskan. Pengekalan, eksport, penyalinan, atau pelupusan data tanpa kebenaran di luar proses yang diluluskan adalah dilarang.
14. Semakan Berkala
Dasar ini disemak sekurang-kurangnya setiap tahun dan selepas perubahan material kepada produk, sistem, vendor, aktiviti pemprosesan data, keperluan undang-undang, kewajipan kontrak, atau postur keselamatan GNOMI. Semakan bertujuan untuk mengesahkan bahawa piawaian pengekalan, prosedur pelupusan, amalan selaras GDPR, kawalan vendor, dan penguatkuasaan operasi kekal sesuai dan berkesan. Semakan mesti mempertimbangkan ciri integrasi kewangan baharu, fungsi analisis kewangan AI, sistem analitik portfolio, perubahan kepada integrasi Plaid, dan kewajipan privasi atau data kewangan yang berkembang.
15. Pengesahan Pematuhan
GNOMI mengekalkan dasar ini sebagai dokumentasi syarikat aktif untuk pengekalan, pemadaman, dan pelupusan data. Dasar ini direka untuk menyokong pematuhan dengan undang-undang privasi data yang berkenaan, termasuk GDPR di mana berkenaan, dan untuk menyediakan rangka kerja yang ditakrifkan dan boleh dikuatkuasakan untuk cara GNOMI mengekalkan, memadamkan, menganonimkan, dan melupuskan data.
16. Kelulusan
Diluluskan oleh pengurusan GNOMI sebagai dasar syarikat aktif untuk Pengekalan dan Pelupusan Data, termasuk amalan pengekalan dan pemadaman selaras GDPR.
12. Dasar Keselamatan Maklumat
Termasuk GDPR dan Kawalan Undang-Undang Privasi yang Berkenaan
1. Tujuan
Tujuan Dasar Keselamatan Maklumat ini adalah untuk menentukan keperluan tadbir urus keselamatan GNOMI dan kawalan operasi untuk melindungi aset maklumat daripada capaian tanpa kebenaran, pendedahan, pengubahan, kehilangan, penyalahgunaan, gangguan, atau pemusnahan. Dasar ini menyokong pematuhan GNOMI terhadap kewajipan keselamatan maklumat, privasi, data kewangan, perlindungan pengguna, dan perlindungan data yang berkenaan, termasuk keperluan GDPR di mana berkenaan. Dasar ini juga mentadbir perlindungan maklumat akaun kewangan yang dibenarkan pengguna, integrasi pembrokeran, integrasi perbankan, sistem analitik portfolio, dan cerapan kewangan yang dijana AI yang diproses melalui Plaid atau pembekal integrasi kewangan yang serupa.
2. Skop
Dasar ini terpakai kepada semua pekerja GNOMI, pengasas, pegawai, kontraktor, perunding, pembekal perkhidmatan, vendor, sistem, aplikasi, persekitaran awan, pangkalan data, repositori kod sumber, aset pengeluaran, peranti korporat, data pengguna, data rakan kongsi, dan mana-mana aset maklumat lain yang digunakan untuk menyampaikan produk dan perkhidmatan GNOMI.
Dasar ini terpakai kepada data syarikat, pelanggan, pengguna, kewangan, teknikal, operasi, pengesahan, API, dan yang diuruskan vendor, termasuk data akaun pembrokeran yang dibenarkan pengguna, data hubungan perbankan, pegangan portfolio, metadata transaksi, token integrasi kewangan, analisis portfolio yang dijana AI, dan output kecerdasan kewangan, termasuk data peribadi, data sensitif, dan data terkawal yang diproses oleh atau bagi pihak GNOMI.
3. Pematuhan Undang-Undang, Kawal Selia, dan Privasi
GNOMI mereka bentuk dan mengendalikan program keselamatannya untuk menyokong pematuhan terhadap semua undang-undang, peraturan, regulasi, dan keperluan kontrak keselamatan maklumat dan privasi yang berkenaan dengan operasinya, termasuk, di mana berkenaan:
- General Data Protection Regulation (GDPR) dan keperluan perlindungan data EU/EEA yang berkenaan;
- Keperluan UK GDPR dan Data Protection Act, di mana berkenaan;
- Undang-undang privasi dan keselamatan negeri A.S., termasuk CCPA/CPRA dan New York SHIELD Act, di mana berkenaan;
- Keperluan GLBA dan FTC Safeguards Rule setakat mana GNOMI memproses data yang tertakluk kepada kewajipan tersebut;
- Kewajipan keselamatan rakan kongsi kontrak, termasuk perlindungan data, kerahsiaan, kawalan capaian, pemberitahuan insiden, dan keperluan keselamatan vendor;
- Keperluan pemberitahuan pelanggaran, peminimuman data, pengekalan, pemadaman, dan hak pengguna yang berkenaan;
- Kewajipan keselamatan kontrak Plaid dan pengendalian data yang berkenaan dengan persekitaran integrasi kewangan;
- Kewajipan privasi data kewangan, perlindungan, dan perlindungan pengguna yang berkenaan berkaitan dengan integrasi kewangan yang dibenarkan pengguna.
Di mana undang-undang, kontrak, atau keperluan rakan kongsi mengenakan kewajipan yang lebih ketat daripada dasar ini, piawaian yang lebih ketat terpakai. GNOMI menyemak dasar ini secara berkala untuk memastikan ia kekal selaras dengan keperluan undang-undang, kawal selia, rakan kongsi, dan keselamatan yang berkenaan.
4. Keperluan GDPR dan Privacy-by-Design
GNOMI menggunakan prinsip privacy-by-design dan security-by-design kepada sistem dan proses yang melibatkan data peribadi. Di mana GDPR terpakai, kawalan keselamatan dan privasi GNOMI direka bentuk untuk menyokong prinsip-prinsip berikut:
- Kesahihan, keadilan, dan ketelusan dalam aktiviti pemprosesan data;
- Had tujuan dan penggunaan data hanya untuk tujuan perniagaan, produk, undang-undang, keselamatan, atau yang dibenarkan pengguna yang sah;
- Peminimuman data dan pengumpulan hanya data yang diperlukan secara munasabah untuk tujuan yang dinyatakan;
- Ketepatan dan proses pembetulan atau pemadaman yang sesuai;
- Had penyimpanan melalui piawaian pengekalan dan pemadaman yang ditentukan;
- Integriti dan kerahsiaan melalui langkah teknikal dan organisasi yang sesuai;
- Akauntabiliti melalui dokumentasi, pemilikan, semakan, dan penguatkuasaan kawalan privasi dan keselamatan.
- Pemprosesan data kewangan yang dibenarkan pengguna mesti terhad kepada skop persetujuan, keperluan kontrak, atau asas sah lain yang berkenaan dengan fungsi yang diminta.
- Ciri kecerdasan kewangan dan fungsi analisis portfolio yang dijana AI mesti menggabungkan peminimuman data, capaian keistimewaan paling rendah, pemprosesan selamat, dan kawalan ketelusan pengguna yang sesuai.
GNOMI menyokong proses hak subjek data, termasuk capaian, pembetulan, pemadaman, sekatan, mudah alih, dan bantahan di mana berkenaan. Permintaan dinilai di bawah undang-undang yang berkenaan dan keperluan privasi, keselamatan, pengekalan, dan pegangan undang-undang dalaman GNOMI.
5. Tadbir Urus Keselamatan dan Akauntabiliti
- Pengurusan eksekutif bertanggungjawab untuk memastikan GNOMI mengekalkan program keselamatan maklumat yang sesuai dengan saiz syarikat, profil risiko, produk, data, dan obligasi rakan kongsi.
- Tanggungjawab keselamatan diberikan merentas pihak berkepentingan kejuruteraan, produk, operasi, perundangan, dan eksekutif mengikut kesesuaian.
- Keperluan keselamatan dimasukkan ke dalam pembangunan produk, pemilihan vendor, pengurusan akses, tindak balas insiden, pengendalian data, dan pembuatan keputusan operasi.
- GNOMI mengekalkan prosedur dalaman dan kawalan sokongan untuk melaksanakan polisi ini, termasuk kawalan akses, pengekalan data, tindak balas insiden, pengurusan vendor, dan amalan pembangunan selamat.
6. Pengurusan Risiko
GNOMI mengenal pasti, menilai, mengurangkan, dan memantau risiko keselamatan maklumat yang mungkin menjejaskan kerahsiaan, integriti, ketersediaan, privasi, atau pematuhan undang-undang. Semakan risiko mungkin termasuk seni bina sistem, aliran data, pergantungan vendor, kawalan pengesahan, keistimewaan akses, persekitaran pengeluaran, ciri produk baharu, integrasi pihak ketiga, dan sejarah insiden.
Risiko material dinaikkan kepada pengurusan yang sesuai untuk pemulihan, penerimaan, pemindahan, atau kawalan tambahan. Keputusan rawatan risiko mesti mempertimbangkan keperluan undang-undang, obligasi rakan kongsi, impak pengguna, impak keselamatan, dan kesinambungan perniagaan.
Penilaian risiko mesti mempertimbangkan integrasi kewangan, pergantungan Plaid, fungsi analisis kewangan yang dijana AI, sistem analitik portfolio, kawalan akses data kewangan, output model, dan aliran data kewangan pihak ketiga.
7. Klasifikasi dan Pengendalian Data
GNOMI mengklasifikasikan dan melindungi data mengikut kepekaan, nilai perniagaan, obligasi undang-undang, dan risiko. Kategori data mungkin termasuk data awam, dalaman, sulit, sensitif, peribadi, kewangan, pengesahan, kod sumber, keselamatan, dan rakan kongsi.
- Data Sensitif dan Data Peribadi mesti diakses hanya oleh kakitangan yang diberi kuasa dengan keperluan perniagaan yang sah.
- Data mesti disimpan, dihantar, dan diproses menggunakan sistem yang diluluskan dan perlindungan yang sesuai.
- Rahsia, kelayakan, token, kunci API, kunci peribadi, dan sijil tidak boleh disimpan dalam repositori teks biasa, dokumen tidak selamat, mesej sembang, atau sistem yang tidak dibenarkan.
- Data pengeluaran tidak boleh disalin ke persekitaran bukan pengeluaran melainkan diluluskan dan dilindungi dengan sewajarnya, diminimumkan, dianonimkan, atau dipseudonymkan jika boleh dilaksanakan.
- Pengendalian data mesti selaras dengan keperluan pengekalan, pemadaman, pelupusan, dan privasi GNOMI.
- Data akaun pembrokeran yang dibenarkan pengguna, maklumat perbankan, pegangan portfolio, metadata transaksi, cerapan kewangan yang dijana AI, dan output sentimen portfolio mesti diklasifikasikan sebagai Data Sensitif.
- Data integrasi kewangan hanya boleh diproses melalui sistem yang diluluskan dan aliran kerja yang diberi kuasa.
- Data integrasi kewangan pengeluaran tidak boleh disalin ke dalam persekitaran pembangunan atau ujian melainkan diminimumkan, dianonimkan, dipseudonymkan, atau dilindungi dengan sewajarnya.
8. Pengurusan Identiti dan Akses
GNOMI menguatkuasakan kawalan akses yang direka untuk mengehadkan akses kepada aset pengeluaran, sumber awan, alat pentadbiran, sistem, repositori kod sumber, dan Data Sensitif. Akses diberikan berdasarkan peranan, keperluan perniagaan, keistimewaan paling rendah, dan keperluan kelulusan.
- Kawalan akses berasaskan peranan (RBAC) digunakan di mana disokong oleh sistem dan aplikasi.
- Akses istimewa dan pentadbiran dihadkan kepada kakitangan yang diberi kuasa dan disemak secara berkala.
- Penyelesaian pengurusan identiti dan akses berpusat digunakan di mana sesuai untuk menguruskan pengesahan dan kebenaran pengguna.
- Pengesahan berbilang faktor diperlukan untuk akaun istimewa dan sistem kritikal di mana disokong.
- Semakan akses dan audit dilakukan secara berkala untuk mengesahkan bahawa akses kekal sesuai.
- Akses diubah suai atau dibatalkan apabila kakitangan menukar peranan, memindahkan tanggungjawab, atau menamatkan hubungan mereka dengan GNOMI.
- Pengesahan bukan manusia, termasuk akaun perkhidmatan, token OAuth, kelayakan API, dan sijil TLS, mesti diluluskan, disimpan dengan selamat, dihadkan kepada keistimewaan minimum yang diperlukan, dan diputar atau dibatalkan apabila tidak lagi diperlukan.
- Akses kepada sistem integrasi kewangan, persekitaran pentadbiran Plaid, sistem kecerdasan kewangan AI, dan set data kewangan pengguna mesti dihadkan kepada kakitangan yang diberi kuasa dengan keperluan operasi, keselamatan, pematuhan, atau sokongan yang sah.
- Akses pentadbiran kepada sistem yang berkebolehan mendapatkan atau menganalisis data akaun kewangan yang dibenarkan pengguna memerlukan pengesahan berbilang faktor di mana disokong.
9. Keselamatan Aset Pengeluaran
- Persekitaran pengeluaran mesti dilindungi melalui kawalan akses, pengelogan, pemantauan, konfigurasi selamat, dan amalan pengurusan perubahan.
- Akses pengeluaran adalah terhad kepada kakitangan yang mempunyai keperluan operasi atau kejuruteraan yang diluluskan.
- Perubahan kepada sistem pengeluaran mesti mengikuti amalan semakan, ujian, kelulusan, dan penggunaan yang sesuai berdasarkan risiko dan keperluan mendesak.
- Data pengeluaran sensitif tidak boleh dieksport, dimuat turun, atau dipindahkan melainkan diberi kuasa untuk tujuan perniagaan, undang-undang, keselamatan, atau operasi yang sah.
- Akses pengeluaran kecemasan mesti dihadkan, dilog, dan disemak selepas penggunaan.
- Sistem yang memproses data integrasi kewangan yang dibenarkan pengguna mesti melaksanakan kawalan pengelogan, pemantauan, penyulitan, sekatan akses, dan konfigurasi selamat yang sesuai.
- Akses kepada cerapan kewangan yang dijana AI dan output analitik portfolio mesti dihadkan selaras dengan kepekaan data kewangan pengguna yang berkaitan.
10. Penyulitan, Rahsia, dan Pengurusan Kunci
GNOMI menggunakan perlindungan teknikal yang sesuai untuk melindungi data sensitif, kelayakan, dan komunikasi. Penyulitan mesti digunakan untuk data sensitif dalam transit dan diaplikasikan kepada data sensitif dalam keadaan rehat di mana disokong dan sesuai. Rahsia, token, sijil, kunci, dan kelayakan mesti disimpan dalam sistem selamat yang diluluskan dan dilindungi daripada penggunaan atau pendedahan tanpa kebenaran.
Kunci dan kelayakan mesti diputar, dilumpuhkan, atau dibatalkan apabila terjejas, tidak lagi diperlukan, atau apabila akses kakitangan atau vendor berubah. Kelayakan tidak boleh dikongsi antara pengguna kecuali di mana kawalan akaun perkhidmatan yang diluluskan digunakan.
Kelayakan API Plaid, token integrasi kewangan, kelayakan OAuth, rahsia webhook, token refresh, dan rahsia integrasi kewangan yang berkaitan mesti disulitkan, disimpan dengan selamat, dan dilindungi daripada akses tanpa kebenaran.
11. Pengelogan, Pemantauan, dan Semakan Keselamatan
GNOMI mengekalkan amalan pengelogan dan pemantauan yang sesuai dengan sistem dan profil risikonya. Log mungkin termasuk peristiwa pengesahan, aktiviti pentadbiran, peristiwa aplikasi, aktiviti sistem, perubahan pengeluaran, perubahan akses, dan ralat atau amaran yang berkaitan dengan keselamatan.
- Log disemak mengikut keperluan untuk menyiasat peristiwa keselamatan, isu operasi, anomali akses, dan insiden.
- Peristiwa yang berkaitan dengan keselamatan dinaik taraf kepada kakitangan yang bertanggungjawab untuk penyiasatan dan pemulihan.
- Kawalan pemantauan dan amaran dikemas kini apabila sistem, vendor, dan risiko perniagaan berkembang.
- Log yang mengandungi Data Peribadi atau maklumat sensitif mesti dilindungi dan disimpan selaras dengan kewajipan pengekalan dan privasi GNOMI.
- Pemantauan keselamatan harus merangkumi aktiviti integrasi kewangan, peristiwa integrasi Plaid, peristiwa pengurusan token, akses istimewa kepada set data kewangan, dan corak akses anomali yang melibatkan maklumat kewangan pengguna.
12. Pembangunan Selamat dan Pengurusan Perubahan
GNOMI menggabungkan keselamatan ke dalam pembangunan perisian dan penyampaian produk. Keperluan keselamatan dipertimbangkan semasa reka bentuk, pembangunan, ujian, penggunaan, dan penyelenggaraan sistem GNOMI.
- Perubahan kod harus disemak sebelum penggunaan kepada pengeluaran di mana sesuai.
- Perubahan yang memberi kesan kepada keselamatan mesti dinilai untuk risiko, termasuk perubahan yang melibatkan pengesahan, kebenaran, aliran data, API, integrasi, infrastruktur pengeluaran, atau data sensitif.
- Kebergantungan, perpustakaan, dan komponen pihak ketiga harus disemak dan dikemas kini mengikut kesesuaian untuk mengurangkan kelemahan yang diketahui.
- Kelemahan yang dikenal pasti melalui semakan dalaman, laporan pihak ketiga, pemantauan, atau pemberitahuan vendor mesti ditriage dan dipulihkan berdasarkan keterukan dan kesan perniagaan.
- Perubahan yang memberi kesan kepada keselamatan yang melibatkan integrasi kewangan, API Plaid, analitik portfolio yang dijana AI, fungsi analisis kewangan, atau aliran data kewangan pengguna mesti menjalani semakan keselamatan dan privasi yang sesuai sebelum penggunaan.
13. Keselamatan Vendor dan Pihak Ketiga
GNOMI menilai vendor pihak ketiga, pemproses, subpemproses, dan rakan kongsi integrasi berdasarkan jenis data yang diproses, perkhidmatan yang disediakan, kebergantungan operasi, postur keselamatan, kewajipan undang-undang, dan keperluan kontrak.
- Vendor yang memproses data sensitif, peribadi, kewangan, atau pengguna mesti disemak untuk perlindungan keselamatan dan privasi yang sesuai.
- Kontrak hendaklah merangkumi kewajipan kerahsiaan, perlindungan data, keselamatan, kawalan akses, pemberitahuan insiden, pengekalan, pemadaman, dan subpemproses di mana bersesuaian.
- Akses vendor kepada sistem atau data GNOMI mesti dihadkan kepada penggunaan yang dibenarkan dan dibatalkan apabila tidak lagi diperlukan.
- GNOMI memantau risiko vendor yang material dan boleh meminta dokumentasi keselamatan, pengesahan, atau bukti pematuhan daripada vendor apabila bersesuaian.
- Penyedia integrasi kewangan, termasuk Plaid dan subpemproses berkaitan, mesti dinilai untuk postur keselamatan, kawalan perlindungan data, penjajaran pematuhan peraturan, dan kewajipan privasi kontraktual.
- Pemindahan merentas sempadan yang melibatkan data integrasi kewangan EU atau UK mesti menggunakan mekanisme pemindahan yang sah dan sesuai di mana diperlukan.
14. Tindak Balas Insiden dan Pemberitahuan Pelanggaran
GNOMI mengekalkan prosedur tindak balas insiden untuk mengenal pasti, menyiasat, membendung, memulihkan, mendokumentasikan, dan menyampaikan insiden keselamatan. Insiden keselamatan mungkin termasuk akses tanpa kebenaran, pendedahan data, kompromi kelayakan, kompromi sistem, kehilangan data, perisian hasad, gangguan perkhidmatan, atau disyaki pelanggaran kerahsiaan, integriti, atau ketersediaan.
- Insiden mesti dieskalasi dengan segera kepada pihak berkepentingan dalaman yang sesuai.
- GNOMI akan menilai sifat, skop, sistem yang terjejas, data yang terjejas, kesan pengguna, kesan rakan kongsi, kewajipan undang-undang, dan langkah pemulihan.
- Pemberitahuan kepada pengguna, pengawal selia, rakan kongsi, vendor, atau pihak lain akan dibuat apabila dikehendaki oleh undang-undang yang berkenaan, kontrak, atau penentuan tindak balas insiden GNOMI.
- Pengajaran daripada insiden boleh digunakan untuk meningkatkan kawalan, prosedur, latihan, pemantauan, dan pengawasan vendor.
- Insiden yang melibatkan sistem integrasi kewangan, kelayakan Plaid, maklumat pembrokeran atau perbankan, sistem analitik portfolio, atau output kecerdasan kewangan yang dijana AI mesti diutamakan untuk penyiasatan dan pembendungan.
15. Pengekalan Data, Pelupusan, dan Pegangan Undang-undang
GNOMI mengekalkan maklumat hanya untuk tempoh yang munasabah diperlukan bagi tujuan ia dikumpul atau diproses, termasuk penyampaian produk, pengurusan akaun pengguna, keselamatan, pencegahan penipuan, analitik, pematuhan undang-undang, rekod kewangan, kewajipan kontraktual, penyelesaian pertikaian, dan operasi perniagaan yang sah.
- Data Peribadi mesti dipadamkan, dianonimkan, atau dilupuskan dengan selamat apabila tidak lagi diperlukan, tertakluk kepada keperluan pengekalan undang-undang, peraturan, kontraktual, keselamatan, atau perniagaan yang sah.
- Permintaan pemadaman pengguna dan penutupan akaun dikendalikan mengikut undang-undang privasi yang berkenaan dan keperluan pengekalan GNOMI.
- Sandaran dan log dikekalkan dan dilupuskan mengikut amalan kitaran hayat yang ditetapkan dan mungkin tertakluk kepada pemadaman tertangguh disebabkan keperluan teknikal, keselamatan, atau undang-undang.
- Pegangan undang-undang boleh menggantung pemadaman atau pelupusan apabila perlu untuk memelihara maklumat bagi tujuan undang-undang, peraturan, audit, penyiasatan, atau pertikaian.
- Data integrasi kewangan dan pandangan kewangan yang dijana AI mesti dipadamkan, dianonimkan, dihadkan, atau token-dibatalkan apabila tidak lagi diperlukan untuk fungsi yang dibenarkan, tertakluk kepada keperluan pengekalan yang sah.
16. Keselamatan Kakitangan dan Latihan
Kakitangan dan kontraktor GNOMI yang mempunyai akses kepada sistem syarikat, aset pengeluaran, atau data sensitif mesti mematuhi dasar ini dan prosedur keselamatan yang berkenaan. Kakitangan dijangka melindungi kelayakan, menggunakan sistem yang diluluskan, melaporkan insiden keselamatan yang disyaki, dan mengendalikan data mengikut klasifikasi dan keperluan perlu-tahu.
Kesedaran keselamatan dan privasi boleh disediakan melalui orientasi, panduan khusus peranan, komunikasi dalaman, dan kemas kini berterusan apabila produk, risiko, dan kewajipan pematuhan GNOMI berkembang.
Kakitangan yang mempunyai akses kepada sistem integrasi kewangan atau data kewangan yang dibenarkan pengguna boleh menerima panduan tambahan mengenai pengendalian data kewangan, kewajipan privasi, pemprosesan selamat, pencegahan pancingan data, keselamatan token, dan prosedur eskalasi insiden.
17. Kesinambungan Perniagaan dan Ketersediaan
GNOMI mengekalkan langkah yang munasabah untuk menyokong kesinambungan dan ketersediaan perkhidmatan kritikal. Kawalan mungkin termasuk daya tahan awan, sandaran, pemantauan, eskalasi insiden, semakan pergantungan vendor, perancangan pemulihan bencana, dan prosedur tindak balas operasi berdasarkan kritikal sistem dan risiko. Perancangan kesinambungan perniagaan hendaklah mempertimbangkan pergantungan kepada Plaid dan penyedia integrasi kewangan lain, termasuk risiko ketersediaan, gangguan vendor, kegagalan token, dan gangguan perkhidmatan integrasi kewangan.
18. Pengecualian
Sebarang pengecualian kepada dasar ini mesti diluluskan oleh pengurusan GNOMI yang sesuai berdasarkan keperluan perniagaan, risiko, kawalan pampasan, tempoh, dan keperluan undang-undang atau kontraktual. Pengecualian mesti didokumentasikan di mana bersesuaian dan disemak secara berkala sehingga dipulihkan atau diterima secara rasmi.
19. Penguatkuasaan
Kegagalan mematuhi dasar ini boleh mengakibatkan pembatalan akses, keperluan pemulihan, tindakan vendor, tindakan tatatertib, penamatan kontrak, atau langkah lain yang sesuai dengan sifat dan keterukan pelanggaran. GNOMI boleh menyiasat pelanggaran yang disyaki dan mengambil tindakan pembetulan untuk melindungi sistem syarikat, pengguna, rakan kongsi, dan data.
13. Hubungi Kami
GNOMI adalah Pengawal Maklumat Peribadi yang diproses di bawah Notis Privasi ini.
Jika anda mempunyai soalan tentang amalan privasi kami atau ingin menggunakan hak anda, sila hubungi kami di support@gnomi.com.