Принципи

Gravenos обробляє дані за принципом збору мінімально необхідного для надання послуги, зберігання їх протягом мінімального періоду, сумісного з її наданням, і захисту їх засобами контролю, яких очікував би розважливий професіонал.

Ми не продаємо дані. Ми не ділимося даними з маркетинговими партнерами. Ми не використовуємо поведінкову рекламу. Це не рекламні твердження; це архітектурні зобов'язання, очевидні з відсутності у нашій кодовій базі будь-якої інтеграції, що могла б їх скасувати.

Які дані ми зберігаємо

На корпоративному сайті (gravenos.com) ми збираємо адреси електронної пошти передплатників розсилки та вміст подань через форму контактів. На платформі Drusus (drusus.ai) ми зберігаємо дані, необхідні для роботи підписного продукту: ідентичність облікового запису (електронна пошта і хеш пароля), склад портфеля, який користувач обрав записати, списки спостереження, налаштування сповіщень та аналітичну історію.

Платіжні дані обробляються Stripe. Gravenos не зберігає номери карток, CVC або повні дані банківських рахунків на своїх серверах. Інтеграцію розроблено так, що ці дані взагалі не проходять через наші системи.

Інфраструктура

Нашу базу даних та рівень автентифікації обслуговує Supabase у регіоні eu-north-1. Платформу Drusus і вебсайт gravenos.com розгорнуто на Vercel. Електронні листи розсилаються через Resend. Домени зареєстровано через Cloudflare. Платежі обробляються Stripe.

Кожен із цих постачальників працює за визнаним стандартом безпеки. Жоден з них не є унікальним для Gravenos; ми обрали їх, бо вони є усталеним і надійним вибором у своїх категоріях. Компроміс, пов'язаний із цим вибором, полягає в тому, що наша безпекова постава частково є функцією їхньої. Ми розкриваємо інциденти у будь-якого з цих постачальників, які мають правдоподібне значення для наших користувачів (див. розділ новин).

Автентифікація

Облікові записи на платформі Drusus автентифікуються за електронною поштою та паролем. Паролі зберігаються як хеші із сіллю; ми не маємо змоги відновити пароль користувача у відкритому тексті. Доступна єдина авторизація через провідних провайдерів. Багатофакторну автентифікацію буде впроваджено напередодні публічного запуску.

Регуляторна позиція

Gravenos зареєстрована у Великій Британії. Платформа Drusus продукує аналітичні коментарі, сценарні моделі та розрахунки ризику; вона не продукує інвестиційні поради в розумінні регуляторного периметра FCA. У належний час ми звернемося до FCA Innovation Hub для формального підтвердження цієї позиції периметра. До завершення цієї взаємодії викладена тут позиція є нашою найкращою професійною оцінкою, підтвердженою аналізом нашого юридичного консультанта щодо Фінансової відмови від відповідальності.

Дотримання правил захисту даних здійснюється відповідно до UK GDPR та Закону про захист даних 2018 року. Реєстрація в Управлінні Уповноваженого з інформації триває.

Розкриття інцидентів

У разі інциденту безпеки, що зачіпає системи Gravenos, або зачіпає будь-якого стороннього постачальника у спосіб, що має правдоподібне значення для користувачів Gravenos, ми опублікуємо повідомлення у розділі Новини цього сайту настільки оперативно, наскільки дозволяють факти, і оновлюватимемо це повідомлення в міру просування розслідування.

Ми не дотримуємось практики випуску початкових повідомлень настільки невизначено сформульованих, що вони нічого не передають. Якщо факти невизначені, ми так і кажемо; якщо дані могли бути зачеплені, ми кажемо, які; якщо обсяг невідомий, ми кажемо, що відомо, а що ні. Як наслідок, наші повідомлення можуть бути довшими за галузеву норму. Ми вважаємо це правильним компромісом.

Повідомлення про вразливості

Якщо Ви вважаєте, що виявили вразливість безпеки в будь-якій системі Gravenos, просимо написати на legal@gravenos.com з деталями. Ми підтвердимо отримання Вашого повідомлення і, де доречно, публічно зазначимо авторство виявлення після усунення проблеми.