Принципы

Gravenos обращается с данными по принципу сбора минимума, необходимого для оказания услуги, удержания их в течение минимального срока, совместимого с этим оказанием, и защиты их теми мерами контроля, которых разумный профессионал был бы вправе ожидать.

Мы не продаём данные. Мы не передаём данные маркетинговым партнёрам. Мы не используем поведенческую рекламу. Это не рекламные заявления; это архитектурные обязательства, очевидные из отсутствия в нашей кодовой базе какой-либо интеграции, которая делала бы возможным обратное.

Какие данные мы храним

На корпоративном сайте (gravenos.com) мы собираем адреса электронной почты подписчиков рассылки и содержание сообщений из контактной формы. На платформе Drusus (drusus.ai) мы храним данные, необходимые для работы подписного продукта: идентичность учётной записи (электронная почта и хеш пароля), содержимое портфеля, которое пользователь решил записать, списки наблюдения, настройки уведомлений и историю аналитических запросов.

Платёжные данные обрабатываются Stripe. Gravenos не хранит на своих серверах номера карт, CVC или полные банковские реквизиты. Интеграция спроектирована так, что эти данные вовсе не проходят через наши системы.

Инфраструктура

Наша база данных и уровень аутентификации обслуживаются Supabase в регионе eu-north-1. Платформа Drusus и сайт gravenos.com развёрнуты на Vercel. Электронная почта отправляется через Resend. Домены зарегистрированы через Cloudflare. Платежи обрабатываются Stripe.

Каждый из этих провайдеров работает по признанному стандарту безопасности. Ни один из них не уникален для Gravenos; мы выбрали их, поскольку они являются устоявшимся и надёжным выбором в своих категориях. Компромисс, с которым сопряжён этот выбор, состоит в том, что наш уровень безопасности отчасти есть функция их уровня безопасности. Мы раскрываем инциденты у любого из этих провайдеров, имеющие сколь-нибудь правдоподобное отношение к нашим пользователям (см. раздел новостей).

Аутентификация

Учётные записи на платформе Drusus аутентифицируются по электронной почте и паролю. Пароли хранятся в виде солёных хешей; мы не извлекаем и не можем извлечь пароль пользователя в открытом виде. Доступна единая аутентификация через крупных провайдеров. Многофакторная аутентификация будет введена до публичного запуска.

Регуляторная позиция

Gravenos зарегистрирована в Соединённом Королевстве. Платформа Drusus производит аналитические комментарии, сценарные модели и расчёты риска; она не производит инвестиционных рекомендаций в значении регуляторного периметра FCA. В надлежащее время мы обратимся в FCA Innovation Hub для получения формального подтверждения этой позиции. До завершения этого обращения изложенная здесь позиция является нашей лучшей профессиональной оценкой, подкреплённой проверкой нашей Финансовой оговорки юридическим советником.

Соблюдение требований защиты данных осуществляется в соответствии с UK GDPR и Data Protection Act 2018. Регистрация в Information Commissioner's Office осуществляется в настоящее время.

Раскрытие инцидентов

В случае инцидента безопасности, затрагивающего системы Gravenos, или затрагивающего стороннего поставщика таким образом, который имеет правдоподобное отношение к пользователям Gravenos, мы опубликуем уведомление в разделе «Новости» этого сайта настолько оперативно, насколько позволяют факты, и будем обновлять это уведомление по мере хода расследования.

Мы не разделяем практику публикации первоначальных уведомлений в столь расплывчатых формулировках, что они не сообщают ничего. Там, где факты неопределённы, мы так и говорим; там, где данные могли быть затронуты, мы говорим какие; там, где масштаб неизвестен, мы говорим, что известно, а что нет. Следствие этого — что наши уведомления могут быть длиннее отраслевой нормы. Мы убеждены, что это правильный компромисс.

Сообщение об уязвимостях

Если Вы полагаете, что выявили уязвимость безопасности в какой-либо из систем Gravenos, мы просим Вас написать на legal@gravenos.com с подробностями. Мы подтвердим получение Вашего сообщения и, где это уместно, после устранения проблемы публично воздадим должное автору находки.