Sicurezza in ONTHEBIAS.

Ogni workspace è isolato logicamente. Progetti, stato del canvas, conversazioni con OBIE, asset generati e caricamenti del brand sono circoscritti al workspace che li possiede e applicati a livello di database con la sicurezza a livello di riga, così che i dati di un cliente non siano mai raggiungibili dalla sessione di un altro cliente. I design che crei non vengono mai aggregati o condivisi tra account.

Tutto il traffico da e verso la piattaforma è crittografato in transito con TLS 1.2 o superiore. I dati a riposo - i record del database, gli asset del brand caricati e i file generati nell'object storage - sono crittografati con AES-256. I backup sono crittografati con lo stesso standard.

Gli account sono protetti da Supabase Auth. Le password sono sottoposte a hash e salt; non le memorizziamo mai in chiaro e non possiamo vederle. Sono supportati la conferma via email e l'accesso tramite magic link, e i token di sessione hanno breve durata e vengono aggiornati lato server.

SSO e SAML sono disponibili nei piani Enterprise, così il tuo team può accedere tramite il vostro provider di identità esistente e disattivare gli utenti in modo centralizzato. Contattaci per configurarlo per il tuo workspace.

I workspace usano l'accesso basato sui ruoli - proprietario, admin, membro e visualizzatore - così decidi tu chi può modificare, chi può invitare e chi può solo visualizzare. All'interno di ONTHEBIAS, l'accesso ai sistemi di produzione è limitato alle persone che ne hanno bisogno, concesso secondo il principio del privilegio minimo e registrato.

OBIE e la nostra pipeline di generazione operano su API di IA commerciali di Anthropic e Google. Usiamo i loro livelli commerciali senza addestramento, il che significa che i tuoi prompt, le immagini caricate e gli output vengono inviati solo per soddisfare la richiesta effettuata in quel momento e non sono usati per addestrare i loro modelli. I contenuti dei tuoi design non vengono mai usati per addestrare alcun modello di nostra proprietà.

Conserviamo i tuoi dati per tutto il tempo in cui il tuo workspace è attivo, così la piattaforma funziona come ti aspetti. Quando elimini un progetto, un canvas o un asset, questo viene rimosso dal sistema live e dai backup secondo la normale rotazione dei backup.

Puoi esportare i tuoi dati in qualsiasi momento. Dopo la chiusura dell'account hai 30 giorni per esportarli, trascorsi i quali potremmo eliminarli definitivamente.

Tutta la fatturazione passa attraverso Stripe, un processore certificato PCI DSS Livello 1. I dati della carta vengono inseriti direttamente con Stripe e tokenizzati - i numeri completi delle carte non toccano mai i nostri server e non li memorizziamo mai.

Se ritieni di aver trovato un problema di sicurezza, faccelo sapere. Scrivi a security@onthebias.co con i dettagli e i passaggi per riprodurlo, e confermeremo la ricezione e lavoreremo sulla segnalazione. Ti chiediamo di concederci un margine di tempo ragionevole per risolvere un problema prima di divulgarlo pubblicamente, e di evitare di accedere o modificare i dati di altri utenti durante i test.

Vedi anche /.well-known/security.txt

Usiamo un piccolo gruppo di provider di infrastrutture e servizi selezionati per far funzionare la piattaforma. Ciascuno riceve solo i dati di cui ha bisogno per svolgere il proprio compito. Vedi l'elenco completo dei subprocessori per ciò che ciascuno gestisce e dove.

Se la tua organizzazione necessita di un Accordo sul trattamento dei dati firmato per coprire il GDPR o altri obblighi, scrivi a legal@onthebias.co e provvederemo a stipularne uno.

La sicurezza non è mai finita. Stiamo lavorando a un report SOC 2 Type II, a test di penetrazione formali con cadenza ricorrente e a un audit logging esteso accessibile agli admin del workspace. Aggiorneremo questa pagina man mano che questi controlli verranno introdotti.