Ostatnia Aktualizacja: 22 maja 2026
Niniejsza Informacja o Ochronie Prywatności ma zastosowanie do przetwarzania danych osobowych przez Gnomi App Corp (GNOMI), w tym w naszej aplikacji mobilnej, na naszej stronie internetowej pod adresem gnomi.com oraz w naszych innych ofertach online lub offline (łącznie zwanych Usługami).
Możemy od czasu do czasu aktualizować niniejszą Informację o prywatności. Jeśli to zrobimy, poinformujemy Cię, publikując zaktualizowaną Informację o prywatności na naszej stronie internetowej i/lub możemy również wysłać inne komunikaty.
Zbieramy dane osobowe, które nam przekazujesz, dane osobowe, które zbieramy automatycznie, gdy korzystasz z Usług, oraz dane osobowe ze źródeł zewnętrznych.
Możemy zbierać dane osobowe z usług stron trzecich, gdy łączysz GNOMI z kontami mediów społecznościowych (Reddit, LinkedIn, Meta, X) lub korzystasz z usług logowania stron trzecich.
Możemy wykorzystywać Twoje dane osobowe do dostarczania Ci wiadomości marketingowych i ofert za pośrednictwem kampanii e-mailowych, zgodnie z obowiązującym prawem.
Ważne: Wykorzystujemy Twoją aktywność użytkowania i wyszukiwania, aby pomóc w szkoleniu naszych i zewnętrznych modeli AI. Jeśli korzystasz z naszej funkcji Social Connections, wykorzystujemy również informacje o Twoich interakcjach w mediach społecznościowych do szkolenia modeli AI i dostarczania spersonalizowanych rekomendacji wiadomości. Gdy informacje są udostępniane zewnętrznym modelom AI, dostawcy mogą zachować te dane. Prosimy nie udostępniać wrażliwych informacji, takich jak hasła czy dane finansowe.
Możemy stosować zautomatyzowane podejmowanie decyzji, w tym profilowanie, w celu dostarczania spersonalizowanych treści na podstawie Twoich interakcji z Usługami.
Możemy ujawniać informacje w celu spełnienia wymogów prawnych, ochrony praw i bezpieczeństwa, egzekwowania polityk lub pomocy w dochodzeniach.
Twoje informacje mogą zostać ujawnione w związku z fuzjami, przejęciami lub innymi transakcjami korporacyjnymi.
Możesz mieć prawo do:
Dane osobowe mogą być przekazywane, przetwarzane i przechowywane w dowolnym miejscu na świecie, w tym w krajach o różnych przepisach dotyczących ochrony danych. W przypadku transferów z UE/UK możemy stosować Standardowe Klauzule Umowne UE jako zabezpieczenia.
Przechowujemy dane osobowe tak długo, jak korzystasz z Usług, lub w zakresie niezbędnym do realizacji celów, świadczenia Usług, rozstrzygania sporów i przestrzegania zobowiązań prawnych.
Ta sekcja dotyczy danych osobowych podlegających RODO UE lub Wielkiej Brytanii. W niektórych przypadkach podanie danych osobowych może być wymagane przez prawo lub umowę. Poinformujemy Cię o konsekwencjach, jeśli zdecydujesz się nie podawać wymaganych informacji.
Usługi nie są skierowane do dzieci poniżej 16 roku życia i nie zbieramy świadomie danych osobowych od dzieci. Jeśli uważasz, że Twoje dziecko przesłało informacje z naruszeniem obowiązującego prawa, prosimy o kontakt.
GNOMI App Corp. ("Sponsor") zbiera i przetwarza dane osobowe przekazane przez uczestników, w tym imię i nazwisko, adres e-mail, kraj lub stan zamieszkania oraz informacje wymagane do weryfikacji kwalifikowalności i dostarczenia nagród. Informacje te są wykorzystywane wyłącznie do administrowania promocją, zapobiegania oszustwom, weryfikacji kwalifikowalności i realizacji nagród.
W przypadku uczestników znajdujących się w Europejskim Obszarze Gospodarczym lub Wielkiej Brytanii, Sponsor przetwarza dane osobowe na podstawie wykonania umowy (administrowanie promocją) oraz uzasadnionych interesów Sponsora w prowadzeniu i zabezpieczaniu promocji. Jeśli uczestnicy zdecydują się na otrzymywanie komunikacji marketingowej, przetwarzanie odbywa się na podstawie zgody. Udział w promocji nie jest uzależniony od wyrażenia zgody na marketing.
Sponsor może korzystać z usługodawców w celu wsparcia administracji promocji, komunikacji, analityki i realizacji nagród. Dane osobowe mogą być przekazywane i przetwarzane w Stanach Zjednoczonych lub innych krajach, w których Sponsor lub jego usługodawcy prowadzą działalność, z zastrzeżeniem odpowiednich zabezpieczeń prawnych, gdy jest to wymagane.
Dane osobowe są przechowywane przez okres do dwunastu (12) miesięcy po zakończeniu promocji, a następnie usuwane lub anonimizowane, chyba że dłuższe przechowywanie jest wymagane do celów prawnych lub regulacyjnych. Promocja jest otwarta tylko dla osób, które mają co najmniej 18 lat lub osiągnęły pełnoletność w swojej jurysdykcji.
W zależności od obowiązującego prawa, uczestnicy mogą mieć prawo do żądania dostępu do swoich danych osobowych, ich poprawienia lub usunięcia, ograniczenia lub sprzeciwu wobec przetwarzania lub żądania przenoszenia danych. Uczestnicy z EOG lub Wielkiej Brytanii mogą również złożyć skargę do lokalnego organu ochrony danych. Mieszkańcy USA mogą mieć dodatkowe prawa do prywatności na mocy obowiązujących przepisów stanowych.
Wnioski dotyczące danych osobowych można składać na adres: privacy@gnomi.com
Dokumentacja Zgodności z RODO i Obowiązującym Prawem Ochrony Prywatności
Niniejsza Polityka Przechowywania i Usuwania Danych określa, w jaki sposób GNOMI przechowuje, chroni, usuwa, anonimizuje i bezpiecznie pozbywają się danych firmowych, klientów, użytkowników, integracji finansowych, brokerskich, bankowych, portfelowych, transakcyjnych, technicznych, operacyjnych oraz zarządzanych przez dostawców. Celem niniejszej polityki jest zapewnienie, że dane są przechowywane wyłącznie w uzasadnionych celach biznesowych, produktowych, bezpieczeństwa, umownych, prawnych i zgodności oraz są usuwane, anonimizowane lub bezpiecznie pozbywane, gdy nie są już wymagane.
GNOMI utrzymuje niniejszą zdefiniowaną i egzekwowaną Politykę Przechowywania i Usuwania Danych w celu wspierania zgodności z obowiązującymi przepisami o ochronie prywatności i ochronie danych, w tym z Ogólnym Rozporządzeniem o Ochronie Danych (RODO), gdy RODO ma zastosowanie do działań przetwarzania GNOMI. Niniejsza polityka została zaprojektowana w celu operacjonalizacji zasad przechowywania i usuwania zgodnych z RODO, w tym ograniczenia przechowywania, minimalizacji danych, ograniczenia celu, integralności i poufności, odpowiedzialności oraz zgodnego z prawem obsługiwania żądań usunięcia i ograniczenia danych podmiotów danych.
Kontrole przechowywania i usuwania GNOMI mają na celu zapewnienie, że Dane Osobowe nie są przechowywane dłużej niż jest to konieczne do celów, dla których są zbierane lub w inny sposób zgodnie z prawem przetwarzane, chyba że dalsze przechowywanie jest wymagane ze względów prawnych, regulacyjnych, umownych, bezpieczeństwa, zapobiegania oszustwom, księgowych, audytowych, rozstrzygania sporów lub uzasadnionych celów biznesowych.
Gdy GNOMI przetwarza autoryzowane przez użytkownika informacje o rachunku finansowym lub portfelu za pośrednictwem Plaid lub podobnych dostawców, GNOMI stosuje kontrole przechowywania i usuwania zaprojektowane w celu ograniczenia przechowywania danych integracji finansowych do okresu niezbędnego do zapewnienia autoryzowanej funkcjonalności, utrzymania bezpieczeństwa, spełnienia zobowiązań umownych, zapobiegania oszustwom i przestrzegania obowiązującego prawa.
Niniejsza polityka ma zastosowanie do wszystkich danych zbieranych, przetwarzanych, przechowywanych, przesyłanych lub utrzymywanych przez GNOMI lub przez zewnętrznych dostawców usług działających w imieniu GNOMI. Obejmuje to systemy produkcyjne, usługi chmurowe, bazy danych aplikacji, systemy kont użytkowników, systemy integracji finansowych, systemy analityki portfelowej, systemy inteligencji finansowej generowanej przez AI, systemy analizy finansowej, integracje Plaid, integracje kont brokerskich, integracje bankowe, dzienniki bezpieczeństwa, środowiska analityczne, narzędzia obsługi klienta, platformy dostawców, dokumentację korporacyjną, kopie zapasowe i systemy odzyskiwania po awarii.
Niniejsza polityka ma zastosowanie do pracowników GNOMI, wykonawców, konsultantów, dostawców usług i innych upoważnionych osób, które tworzą, uzyskują dostęp, zarządzają, przechowują, przetwarzają, przesyłają, zatrzymują, usuwają lub pozbywają się danych w imieniu GNOMI.
GNOMI przechowuje dane tylko tak długo, jak jest to konieczne do świadczenia i ulepszania swoich usług, wspierania autoryzowanej funkcjonalności użytkownika, utrzymania bezpieczeństwa, spełnienia zobowiązań umownych i prawnych, prowadzenia operacji biznesowych oraz ochrony GNOMI, jego partnerów i użytkowników. Gdy dane nie są już wymagane, GNOMI usuwa, anonimizuje, agreguje lub bezpiecznie pozbywają się ich przy użyciu odpowiednich kontroli administracyjnych, technicznych i proceduralnych.
Okresy przechowywania opierają się na typie danych, celu przetwarzania, relacji z użytkownikiem, podstawie prawnej, potrzebie biznesowej, zobowiązaniach umownych, wymogach regulacyjnych i wymogach bezpieczeństwa. GNOMI okresowo przegląda praktyki przechowywania i usuwania w celu potwierdzenia, że pozostają one odpowiednie dla jego działalności, produktów, systemów, dostawców i obowiązujących zobowiązań dotyczących prywatności.
GNOMI przechowuje autoryzowane przez użytkownika dane integracji finansowych tylko tak długo, jak jest to konieczne do zapewnienia autoryzowanej funkcjonalności inteligencji finansowej żądanej przez użytkownika, w tym analizy portfela, analizy dywersyfikacji, generowania sentymentu portfela, wglądów finansowych generowanych przez AI, zapobiegania oszustwom i wsparcia integracji.
GNOMI klasyfikuje dane na podstawie wrażliwości, celu przetwarzania, obowiązujących zobowiązań i użycia operacyjnego. Kontrole przechowywania i usuwania są stosowane zgodnie z charakterem danych i systemami, w których się znajdują.
GNOMI stosuje okresy przechowywania zgodnie z poniższymi kategoriami. Określone okresy mogą być dostosowane w przypadkach wymaganych przez prawo, umowę, potrzeby bezpieczeństwa, wymagania systemów technicznych lub zatwierdzoną konieczność biznesową. W przypadku braku prawnie wymaganego określonego okresu przechowywania, GNOMI przechowuje dane tylko tak długo, jak jest to potrzebne do realizacji odpowiedniego celu, a następnie usuwa je, anonimizuje lub bezpiecznie utylizuje.
| Kategoria Danych | Główny Cel | Standard Przechowywania | Metoda Usuwania |
|---|---|---|---|
| Dane konta i profilu użytkownika | Obsługa konta, uwierzytelnianie, wsparcie użytkownika, świadczenie usług | Przechowywane, gdy konto jest aktywne oraz przez ograniczony okres po zamknięciu, w zakresie niezbędnym do celów bezpieczeństwa, zapobiegania oszustwom, celów prawnych, audytowych lub wsparcia. | Usunięcie, anonimizacja lub bezpieczne usunięcie z aktywnych systemów. |
| Dane integracji finansowych autoryzowanych przez użytkownika | Zapewnienie autoryzowanych funkcji analizy finansowej, funkcjonalności żądanej przez użytkownika, wsparcie integracji oraz bezpieczeństwo | Przechowywane wyłącznie, gdy użytkownik utrzymuje autoryzowane połączenie finansowe lub gdy jest to niezbędne do zapewnienia autoryzowanej funkcjonalności analizy finansowej, utrzymania bezpieczeństwa, zapobiegania oszustwom, wsparcia zgodnych z prawem operacji biznesowych, wypełnienia zobowiązań umownych lub spełnienia wymogów prawnych i regulacyjnych. Odwołane, rozłączone, wygasłe lub nieaktywne integracje są usuwane, dezaktywowane, anonimizowane lub tokeny są unieważniane zgodnie z wymogami operacyjnymi i prawnymi. | Usunięcie z aktywnych systemów, bezpieczne unieważnienie tokenów, anonimizacja, ograniczone przechowywanie archiwalne tam, gdzie jest to wymagane prawnie, lub bezpieczne usunięcie. |
| Wnioski finansowe generowane przez AI i analityka portfela | Analiza portfela, analiza dywersyfikacji, analiza nastrojów, funkcjonalność czatu AI, analityka żądana przez użytkownika | Przechowywane, gdy powiązane konta użytkowników pozostają aktywne i funkcjonalność pozostaje włączona, z zastrzeżeniem żądań usunięcia, wymogów bezpieczeństwa, obowiązków prawnych i konieczności operacyjnej | Usunięcie, anonimizacja, agregacja lub bezpieczne usunięcie |
| Zapisy wsparcia i komunikacji | Obsługa klienta, rozwiązywanie problemów, zapewnienie jakości i zgodność z przepisami | Przechowywane w zakresie niezbędnym do rozwiązania żądań, utrzymania zapisów serwisowych oraz wsparcia wymogów biznesowych lub prawnych. | Usunięcie lub bezpieczne usunięcie archiwum po wygaśnięciu. |
| Logi bezpieczeństwa, dostępu i audytu | Monitorowanie bezpieczeństwa, zapobieganie oszustwom, wykrywanie incydentów, przegląd dostępu, audyt i integralność systemu | Przechowywane przez okres odpowiedni do celu bezpieczeństwa, wymogów systemowych oraz zobowiązań prawnych lub umownych. | Zaplanowane wygaśnięcie, bezpieczne usunięcie lub ograniczone usunięcie archiwum. |
| Zapisy rozliczeniowe, podatkowe, korporacyjne i prawne | Księgowość, podatki, ład korporacyjny, audyt, administracja umów i zgodność z przepisami prawa | Przechowywane przez okres wymagany przez obowiązujące prawo, standardy audytowe, umowę lub wymogi ładu korporacyjnego. | Bezpieczne usunięcie po wygaśnięciu potrzeby prawnej lub biznesowej. |
| Dane zagregowane, zanonimizowane lub zdeidentyfikowane | Analityka, ulepszanie produktu, badania, raportowanie i analiza biznesowa | Mogą być przechowywane przez dłuższe okresy, gdy dane nie są w rozsądny sposób identyfikowalne i znajdują się poza zakresem danych osobowych zgodnie z obowiązującym prawem. | Bieżące wykorzystanie, dalsza agregacja lub usunięcie, gdy nie są już potrzebne. |
| Kopie zapasowe i dane odzyskiwania po awarii | Ciągłość działania, odzyskiwanie bezpieczeństwa i przywracanie systemu | Przechowywane zgodnie z harmonogramami cyklu życia kopii zapasowych i nadpisywane lub usuwane poprzez normalną rotację kopii zapasowych, chyba że podlegają wstrzymaniu prawnemu. | Zaplanowane nadpisanie, wygaśnięcie lub bezpieczne zniszczenie. |
GNOMI egzekwuje usuwanie i utylizację danych poprzez kontrole administracyjne, techniczne i proceduralne. Metody utylizacji są wybierane na podstawie typu danych, systemu, wrażliwości, wymagań dotyczących przechowywania oraz wykonalności technicznej.
Gdy ma zastosowanie RODO lub inne obowiązujące prawo ochrony prywatności, GNOMI przetwarza żądania podmiotów danych dotyczące dostępu, korekty, usunięcia, ograniczenia, sprzeciwu i przenoszenia zgodnie z obowiązującymi wymogami prawnymi i prawnymi wyjątkami. GNOMI ocenia żądania na podstawie tożsamości wnioskodawcy, charakteru danych, obowiązującej podstawy prawnej, wymagań systemowych oraz wszelkich prawnych obowiązków przechowywania danych.
Po zweryfikowanym zamknięciu konta lub zweryfikowanym żądaniu usunięcia, GNOMI usuwa, anonimizuje lub ogranicza odpowiednie Dane Osobowe z aktywnych systemów, chyba że przechowywanie jest wymagane lub dozwolone ze względów prawnych, regulacyjnych, umownych, bezpieczeństwa, zapobiegania oszustwom, księgowości, audytu, rozwiązywania sporów lub uzasadnionych celów biznesowych. Gdy dane nie mogą być natychmiast usunięte z kopii zapasowych, są chronione przed zwykłym użyciem i usuwane w ramach obowiązującego cyklu życia kopii zapasowych.
Gdy jest to technicznie wykonalne i prawnie dozwolone, GNOMI przetwarza zweryfikowane żądania rozłączenia integracji finansowych, cofnięcia tokenów dostępu finansowego, usunięcia powiązanych danych analitycznych portfela oraz usunięcia wygenerowanych przez AI analiz finansowych związanych z autoryzowanymi przez użytkownika integracjami finansowymi.
GNOMI może zawiesić normalne harmonogramy przechowywania lub usuwania, gdy dane podlegają blokadzie prawnej, sporowi, dochodzeniu, żądaniu regulacyjnemu, wymogowi audytu, incydentowi bezpieczeństwa, zobowiązaniu umownemu, zobowiązaniu księgowemu lub innemu prawnemu wymogowi biznesowemu. Dane podlegające blokadzie prawnej lub zatwierdzonemu wyjątkowi są przechowywane tylko tak długo, jak długo obowiązuje wyjątek, a następnie są zwracane do odpowiedniego procesu przechowywania i utylizacji. Bezpieczeństwo, zapobieganie oszustwom, przeciwdziałanie nadużyciom, rozwiązywanie sporów, audyt, przegląd regulacyjny lub inne prawne obowiązki zgodności mogą wymagać ograniczonego dalszego przechowywania zapisów integracji finansowych lub metadanych finansowych związanych z bezpieczeństwem.
Gdy GNOMI korzysta z zewnętrznych dostawców usług do przechowywania lub przetwarzania danych, GNOMI wymaga odpowiedniego postępowania z przechowywaniem i utylizacją poprzez przegląd dostawców, zobowiązania umowne, gdy ma to zastosowanie, oraz kontrole operacyjne. W przypadku dostawców działających jako podmioty przetwarzające lub usługodawcy, GNOMI oczekuje, że zobowiązania dotyczące przechowywania, usuwania, poufności, bezpieczeństwa i pomocy będą uwzględnione w odpowiednich umowach, warunkach przetwarzania danych lub kontrolach dostawców.
GNOMI przegląda praktyki postępowania z danymi dostawców odpowiednio do charakteru usługi, wrażliwości danych oraz obowiązujących wymogów dotyczących prywatności i bezpieczeństwa. Gdy GNOMI otrzymuje zweryfikowane żądanie usunięcia, które dotyczy danych przechowywanych przez dostawcę lub podmiot przetwarzający, GNOMI podejmuje rozsądne kroki w celu przekazania lub wykonania żądania usunięcia, ograniczenia lub anonimizacji poprzez odpowiedni przepływ pracy dostawcy, z zastrzeżeniem prawnych wyjątków.
GNOMI ocenia Plaid i innych dostawców integracji finansowych pod kątem odpowiednich kontroli umownych, prywatności, bezpieczeństwa, przechowywania, usuwania, poufności i zgodności regulacyjnej.
Gdy jest to wymagane, GNOMI wdraża odpowiednie zabezpieczenia transferu danych zgodne z RODO dla przetwarzania transgranicznego obejmującego dane integracji finansowych.
Dane zawarte w kopiach zapasowych lub systemach odzyskiwania po awarii mogą utrzymywać się przez ograniczony okres po usunięciu z aktywnych systemów produkcyjnych. Dane kopii zapasowych są chronione przed nieautoryzowanym dostępem i podlegają kontrolom cyklu życia, harmonogramom przechowywania oraz zaplanowanemu nadpisywaniu lub usuwaniu. GNOMI nie wykorzystuje danych kopii zapasowych do zwykłego przetwarzania biznesowego po obowiązującym żądaniu usunięcia, z wyjątkiem sytuacji, gdy przywrócenie jest wymagane ze względów bezpieczeństwa, odzyskiwania po awarii, prawnych lub konieczności operacyjnej. Dane integracji finansowych i wygenerowane przez AI analizy finansowe przechowywane w systemach kopii zapasowych pozostają przedmiotem ograniczeń dostępu, kontroli szyfrowania, zarządzania cyklem życia i procedur bezpiecznego nadpisywania.
Zarząd GNOMI, personel ds. bezpieczeństwa, inżynierii, produktu, operacji i zgodności są odpowiedzialni za stosowanie niniejszej polityki w swoich obszarach odpowiedzialności. Pracownicy i wykonawcy muszą przestrzegać zatwierdzonych procedur przechowywania, usuwania, kontroli dostępu i utylizacji. Nieautoryzowane przechowywanie, eksportowanie, kopiowanie lub utylizacja danych poza zatwierdzonymi procesami jest zabroniona.
Niniejsza polityka jest przeglądana co najmniej raz w roku oraz po istotnych zmianach w produktach, systemach, dostawcach, działaniach przetwarzania danych, wymogach prawnych, zobowiązaniach umownych lub postawie bezpieczeństwa GNOMI. Przeglądy mają na celu potwierdzenie, że standardy przechowywania, procedury utylizacji, praktyki zgodne z RODO, kontrole dostawców i egzekwowanie operacyjne pozostają odpowiednie i skuteczne. Przeglądy muszą uwzględniać nowe funkcje integracji finansowych, funkcjonalność analizy finansowej AI, systemy analityki portfela, zmiany w integracjach Plaid oraz ewoluujące zobowiązania dotyczące prywatności lub danych finansowych.
GNOMI utrzymuje niniejszą politykę jako aktywną dokumentację firmową dotyczącą przechowywania, usuwania i utylizacji danych. Niniejsza polityka została zaprojektowana w celu wspierania zgodności z obowiązującymi przepisami o ochronie danych, w tym RODO, gdy ma to zastosowanie, oraz w celu zapewnienia zdefiniowanych i wykonalnych ram dotyczących tego, jak GNOMI przechowuje, usuwa, anonimizuje i utylizuje dane.
Zatwierdzone przez zarząd GNOMI jako aktywna polityka firmowa dotycząca Przechowywania i Utylizacji Danych, w tym praktyk przechowywania i usuwania zgodnych z RODO.
Obejmująca RODO i Kontrole Obowiązującego Prawa o Ochronie Prywatności
Celem niniejszej Polityki Bezpieczeństwa Informacji jest określenie wymogów zarządzania bezpieczeństwem GNOMI oraz kontroli operacyjnych w zakresie ochrony zasobów informacyjnych przed nieuprawnionym dostępem, ujawnieniem, zmianą, utratą, niewłaściwym wykorzystaniem, zakłóceniem lub zniszczeniem. Niniejsza polityka wspiera zgodność GNOMI z obowiązującymi zobowiązaniami dotyczącymi bezpieczeństwa informacji, prywatności, danych finansowych, ochrony konsumentów i ochrony danych, w tym wymogami RODO, tam gdzie mają zastosowanie. Niniejsza polityka reguluje również ochronę informacji o rachunkach finansowych autoryzowanych przez użytkowników, integracji maklerskich, integracji bankowych, systemów analityki portfelowej oraz wglądów finansowych generowanych przez AI, przetwarzanych za pośrednictwem Plaid lub podobnych dostawców integracji finansowych.
Niniejsza polityka ma zastosowanie do wszystkich pracowników GNOMI, założycieli, członków kierownictwa, wykonawców, konsultantów, dostawców usług, dostawców, systemów, aplikacji, środowisk chmurowych, baz danych, repozytoriów kodu źródłowego, zasobów produkcyjnych, urządzeń firmowych, danych użytkowników, danych partnerów oraz wszelkich innych zasobów informacyjnych wykorzystywanych do dostarczania produktów i usług GNOMI.
Niniejsza polityka ma zastosowanie do danych firmowych, klienckich, użytkowników, finansowych, technicznych, operacyjnych, uwierzytelniających, API oraz danych zarządzanych przez dostawców, w tym danych rachunków maklerskich autoryzowanych przez użytkowników, danych relacji bankowych, zasobów portfelowych, metadanych transakcji, tokenów integracji finansowych, analiz portfelowych generowanych przez AI oraz wyników analiz finansowych, w tym Danych Osobowych, danych wrażliwych i danych regulowanych przetwarzanych przez GNOMI lub w jego imieniu.
GNOMI projektuje i prowadzi swój program bezpieczeństwa w celu wspierania zgodności ze wszystkimi obowiązującymi przepisami, zasadami, regulacjami i wymogami umownymi dotyczącymi bezpieczeństwa informacji i prywatności, istotnymi dla jego działalności, w tym, tam gdzie mają zastosowanie:
Tam gdzie przepisy, umowy lub wymogi partnerów nakładają surowsze zobowiązania niż niniejsza polityka, stosuje się surowszy standard. GNOMI okresowo przegląda niniejszą politykę w celu zapewnienia, że pozostaje ona zgodna z obowiązującymi wymogami prawnymi, regulacyjnymi, partnerskimi i bezpieczeństwa.
GNOMI stosuje zasady prywatności przez projektowanie i bezpieczeństwa przez projektowanie do systemów i procesów obejmujących Dane Osobowe. Tam gdzie ma zastosowanie RODO, kontrole bezpieczeństwa i prywatności GNOMI są zaprojektowane w celu wspierania następujących zasad:
GNOMI wspiera procesy realizacji praw osób, których dane dotyczą, w tym dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu, tam gdzie mają zastosowanie. Wnioski są oceniane zgodnie z obowiązującym prawem oraz wewnętrznymi wymogami GNOMI dotyczącymi prywatności, bezpieczeństwa, retencji i blokad prawnych.
GNOMI identyfikuje, ocenia, łagodzi i monitoruje ryzyka bezpieczeństwa informacji, które mogą wpływać na poufność, integralność, dostępność, prywatność lub zgodność prawną. Przegląd ryzyka może obejmować architekturę systemu, przepływy danych, zależności od dostawców, kontrole uwierzytelniania, uprawnienia dostępu, środowiska produkcyjne, nowe funkcje produktu, integracje z podmiotami trzecimi i historię incydentów.
Istotne ryzyka są eskalowane do odpowiedniego kierownictwa w celu naprawy, akceptacji, przeniesienia lub dodatkowych kontroli. Decyzje dotyczące postępowania z ryzykiem muszą uwzględniać wymagania prawne, zobowiązania wobec partnerów, wpływ na użytkowników, wpływ na bezpieczeństwo i ciągłość działania.
Oceny ryzyka muszą uwzględniać integracje finansowe, zależności od Plaid, funkcjonalność analizy finansowej generowanej przez AI, systemy analityki portfela, kontrole dostępu do danych finansowych, wyniki modeli i przepływy danych finansowych podmiotów trzecich.
GNOMI klasyfikuje i chroni dane zgodnie z wrażliwością, wartością biznesową, zobowiązaniami prawnymi i ryzykiem. Kategorie danych mogą obejmować dane publiczne, wewnętrzne, poufne, wrażliwe, osobowe, finansowe, uwierzytelniające, kod źródłowy, bezpieczeństwo i dane partnerów.
GNOMI egzekwuje kontrole dostępu zaprojektowane w celu ograniczenia dostępu do zasobów produkcyjnych, zasobów chmurowych, narzędzi administracyjnych, systemów, repozytoriów kodu źródłowego i Danych Wrażliwych. Dostęp jest przyznawany na podstawie roli, potrzeby biznesowej, najmniejszych uprawnień i wymagań zatwierdzenia.
GNOMI stosuje odpowiednie zabezpieczenia techniczne w celu ochrony wrażliwych danych, danych uwierzytelniających i komunikacji. Szyfrowanie musi być stosowane dla wrażliwych danych w tranzycie oraz dla wrażliwych danych w spoczynku, tam gdzie jest to wspierane i odpowiednie. Sekrety, tokeny, certyfikaty, klucze i dane uwierzytelniające muszą być przechowywane w zatwierdzonych bezpiecznych systemach i chronione przed nieautoryzowanym użyciem lub ujawnieniem.
Klucze i dane uwierzytelniające muszą być rotowane, wyłączane lub unieważniane w przypadku ich kompromitacji, gdy nie są już potrzebne lub gdy zmienia się dostęp personelu lub dostawcy. Dane uwierzytelniające nie mogą być współdzielone między użytkownikami, z wyjątkiem przypadków, gdy stosowane są zatwierdzone kontrole kont usługowych.
Dane uwierzytelniające API Plaid, tokeny integracji finansowych, dane uwierzytelniające OAuth, sekrety webhook, tokeny odświeżania oraz powiązane sekrety integracji finansowych muszą być szyfrowane, bezpiecznie przechowywane i chronione przed nieautoryzowanym dostępem.
GNOMI utrzymuje praktyki rejestrowania zdarzeń i monitorowania odpowiednie do swoich systemów i profilu ryzyka. Logi mogą obejmować zdarzenia uwierzytelniania, działania administracyjne, zdarzenia aplikacji, aktywność systemową, zmiany produkcyjne, zmiany dostępu oraz błędy lub alerty związane z bezpieczeństwem.
GNOMI włącza bezpieczeństwo do procesu wytwarzania oprogramowania i dostarczania produktów. Wymagania bezpieczeństwa są uwzględniane podczas projektowania, wytwarzania, testowania, wdrażania i utrzymania systemów GNOMI.
GNOMI ocenia dostawców zewnętrznych, podmioty przetwarzające, podpodmioty przetwarzające oraz partnerów integracyjnych w oparciu o rodzaj przetwarzanych danych, świadczone usługi, zależność operacyjną, stan bezpieczeństwa, obowiązki prawne oraz wymagania umowne.
GNOMI utrzymuje procedury reagowania na incydenty w celu identyfikacji, badania, powstrzymywania, naprawiania, dokumentowania i komunikowania incydentów bezpieczeństwa. Incydenty bezpieczeństwa mogą obejmować nieautoryzowany dostęp, ujawnienie danych, kompromitację danych uwierzytelniających, kompromitację systemu, utratę danych, złośliwe oprogramowanie, zakłócenie usług lub podejrzenie naruszenia poufności, integralności lub dostępności.
GNOMI przechowuje informacje tylko tak długo, jak jest to racjonalnie konieczne do celu, w którym zostały zebrane lub przetworzone, w tym dostarczania produktu, zarządzania kontami użytkowników, bezpieczeństwa, zapobiegania oszustwom, analityki, zgodności prawnej, dokumentacji finansowej, zobowiązań umownych, rozstrzygania sporów i uzasadnionych operacji biznesowych.
Personel GNOMI i wykonawcy z dostępem do systemów firmowych, zasobów produkcyjnych lub danych wrażliwych muszą przestrzegać niniejszej polityki i obowiązujących procedur bezpieczeństwa. Oczekuje się, że personel będzie chronić dane uwierzytelniające, używać zatwierdzonych systemów, zgłaszać podejrzane incydenty bezpieczeństwa i obsługiwać dane zgodnie z klasyfikacją i wymogami potrzeby wiedzy.
Świadomość bezpieczeństwa i prywatności może być zapewniana poprzez wdrożenie, wytyczne specyficzne dla roli, komunikację wewnętrzną i bieżące aktualizacje w miarę ewolucji produktów, ryzyk i zobowiązań dotyczących zgodności GNOMI.
Personel z dostępem do systemów integracji finansowych lub danych finansowych autoryzowanych przez użytkownika może otrzymać dodatkowe wytyczne dotyczące obsługi danych finansowych, zobowiązań dotyczących prywatności, bezpiecznego przetwarzania, zapobiegania phishingowi, bezpieczeństwa tokenów i procedur eskalacji incydentów.
GNOMI utrzymuje rozsądne środki wspierające ciągłość i dostępność krytycznych usług. Kontrole mogą obejmować odporność chmury, kopie zapasowe, monitorowanie, eskalację incydentów, przegląd zależności od dostawców, planowanie odzyskiwania po awarii i procedury reagowania operacyjnego w oparciu o krytyczność systemu i ryzyko. Planowanie ciągłości działania powinno uwzględniać zależności od Plaid i innych dostawców integracji finansowych, w tym ryzyka dostępności, awarie dostawców, awarie tokenów i zakłócenia usług integracji finansowych.
Każdy wyjątek od niniejszej polityki musi być zatwierdzony przez odpowiednie kierownictwo GNOMI na podstawie potrzeby biznesowej, ryzyka, kontroli kompensacyjnych, czasu trwania oraz wymogów prawnych lub umownych. Wyjątki muszą być udokumentowane, tam gdzie jest to właściwe, i przeglądane okresowo do czasu naprawienia lub formalnego zaakceptowania.
Nieprzestrzeganie niniejszej polityki może skutkować cofnięciem dostępu, wymogami naprawczymi, działaniami wobec dostawcy, działaniami dyscyplinarnymi, rozwiązaniem umowy lub innymi środkami odpowiednimi do charakteru i wagi naruszenia. GNOMI może badać podejrzane naruszenia i podejmować działania naprawcze w celu ochrony systemów firmowych, użytkowników, partnerów i danych.
GNOMI jest Administratorem Danych Osobowych przetwarzanych na podstawie niniejszej Polityki Prywatności.
Jeśli masz pytania dotyczące naszych praktyk w zakresie prywatności lub chcesz skorzystać ze swoich praw, skontaktuj się z nami pod adresem support@gnomi.com.