Home | Blog | Guide

Bezpieczeństwo Sugarbug: Twoje dane należą do Ciebie

Bezpieczeństwo Sugarbug: scraping w przestrzeni użytkownika, standardy klasy medycznej, brak vendor lock-in, brak trenowania modeli na Twoich danych.

By Ellis Keane · 2026-04-17

W naszej branży krąży żart, że najlepszym sposobem na darmowe AI jest stać się danymi treningowymi. Każda generacja platform znalazła sposób, by monetyzować Twoją pracę odrobinę szybciej (i odrobinę sprytniej) niż poprzednia, i gdzieś po drodze wszyscy zgodziliśmy się nazywać to „przyszłością". (Podobno nazywa się to też postępem.) Sugarbug jest zbudowany na odwrotnej zasadzie, a ten post to przystępny przewodnik po bezpieczeństwie Sugarbug: co obiecujemy, co jest w kodzie teraz, co pojawi się przy uruchomieniu produkcyjnym i dlaczego stawiamy sobie wyższe wymagania niż jakikolwiek regulator.

Siedzimy w centrum najbardziej wrażliwych procesów Twojej firmy. Wątki na Slacku, o których Twój zespół zakładał, że nikt ich nigdy nie przeczyta. Debaty w PR-ach, w których ktoś przegrał dyskusję w 2023 roku i wciąż nie wybaczył recenzentowi. Komentarze na Figmie, przeglądy designu, tickety w Linearze, zaproszenia kalendarza, transkrypcje spotkań – wszystko. Jedynym uczciwym standardem dla przechowywania tego typu danych jest standard klasy medycznej: tak surowy wobec siebie jak szpital wobec dokumentacji pacjentów i twardszy wobec własnego inżynieringu niż jakiekolwiek regulacje wymagają. Cokolwiek łagodniejszego to zakład, że nikt nigdy nie sprawdzi, a obstawianie, że nikt nie sprawdzi, to fatalny plan długoterminowy.

Co Sugarbug widzi (a czego nie widzi)

Sugarbug działa w przestrzeni użytkownika. Scrapuje z Twoimi uprawnieniami, czyta z Twoich kont i widzi dokładnie to, co Ty – nic więcej, nic mniej. Ta jedna właściwość architektoniczna (która za pierwszym razem brzmi nudno, a za drugim – niebezpiecznie nośnie) ma naprawdę głębokie konsekwencje dla sposobu traktowania Twoich danych.

Administratorzy nie mogą czytać Twoich prywatnych wiadomości. W większości produktów do pracy, gdy odchodzisz z firmy, Twoje stare konto staje się archiwum pracodawcy. Mogą otworzyć Twoją skrzynkę, przewinąć wiadomości prywatne na Slacku, które uważałeś za poufne, i przeczytać maile wysłane lata temu. Sugarbug zamyka te drzwi, zanim się otworzą. Administrator organizacji może widzieć wyłącznie to, co organizacja mogła zobaczyć bez Sugarbug – publiczne kanały, udostępnione dokumenty, kalendarze grupowe. Twoje prywatne konektory należą wyłącznie do Ciebie.

Dołączenie do organizacji jest natychmiastowe. Nowi członkowie otrzymują jedno, wstępnie przetworzone zagregowane źródło, które łączy wszystko, co członek normalnie widzi – publiczne kanały Slacka, notatki ze spotkań grupowych, udostępnione dokumenty Notion, tickety Linear, zmiany w Figmie, publiczne PR-y – zdeduplikowane i już zindeksowane przez złożony graf organizacji. Wchodzisz i natychmiast masz wspólny kontekst zespołu, bez ponoszenia kosztu ponownego pobierania tego, co Twoi koledzy już przetworzyli.

Odejście z organizacji jest czyste. Gdy się rozłączysz, tracisz dostęp do zagregowanego źródła organizacji i jej sygnałów – nic więcej. Twoje prywatne konektory zostają. Twoja historia, notatki i osobisty graf podróżują z Tobą do następnego miejsca.

Scraping w przestrzeni użytkownika to decyzja nośna. To on sprawia, że prywatne wiadomości są prywatne, przenośny graf jest przenośny, a „Twoje dane są Twoje" zmienia się z hasła marketingowego we właściwość systemu.

Model dziennika

Pomyśl o kimś, kto prowadzi prywatny notatnik przez całą karierę. Rok po roku wypełnia go ludźmi, których spotyka, tym, o czym myśli, jak dany moment na niego wpłynął, czego się nauczył z trudnego tygodnia. Ten dziennik należy do osoby, która go napisała. Jest też tym, co czyni ją ostrzejszym, bardziej przemyślanym i wartościowszym współpracownikiem.

Sugarbug to ten dziennik przeskalowany do pełnowymiarowego grafu wiedzy roboczej: Twój prywatny kontekst (DM-y, notatki, spotkania jeden na jeden) i wspólny kontekst organizacji (wątki Slacka na publicznych kanałach, tickety Linear, udostępnione dokumenty) połączone w jeden osobisty system bez zacierania granic między nimi. Prywatny dla jednostki, pomocny dla zespołu, gdy jednostka zdecyduje się udostępnić, przenośny, gdy osoba się przeniesie.

Ponieważ prywatne i publiczne są indeksowane razem zamiast siedzieć w oddzielnych narzędziach, praca na forum publicznym staje się najbardziej efektywnym sposobem działania (większe twierdzenie niż brzmi, dla każdego, kto spędził tydzień na aktualizacjach statusu). Robisz swoją robotę, wspólny kontekst aktualizuje się sam, a prywatny model dziennika pozostaje prywatny.

Sugarbug to dziennik przeskalowany do pełnowymiarowego grafu wiedzy roboczej – bez zacierania granicy między tym, co Twoje, a tym, co wspólne.

Co jest dostępne już dziś

To nie są pozycje z roadmapy. To elementy bezpieczeństwa Sugarbug, które już są w kodzie, działają w CI i stoją za każdym commitem, który trafia na produkcję.

Logowanie bez hasła. Uwierzytelnianie odbywa się wyłącznie przez OAuth z pięcioma dostawcami tożsamości. Nie ma haseł do wyłudzenia, wycieku czy ponownego użycia.
Szyfrowanie wszędzie. Wrażliwe payloady w spoczynku używają uwierzytelnionego AES-256-GCM; połączenia używają TLS 1.3 z HSTS preload na każdym publicznym endpoincie.
Izolacja tenantów na każdej warstwie. Każde zapytanie i każde wyszukiwanie wektorowe jest ograniczone do wywołującego, a wycieki między tenantami są sprawdzane przez automatyczne testy przy każdym uruchomieniu CI.
Działania administracyjne są widoczne. Odporne na manipulację logi audytowe obejmują podszywanie się, zmiany kont i usuwanie danych. Jeśli inżynier Sugarbug kiedykolwiek musi wejść na Twoje konto w ramach zgłoszenia wsparcia, log pokazuje dokładnie kto, kiedy i dlaczego.
Bezpieczeństwo jest częścią pipeline'u budowania. Niestandardowe automatyzacje skanują każdy commit pod kątem wycieków sekretów, podatnych zależności i regresji jakości kodu. Zmiana, która nie przejdzie tych kontroli, nigdy nie trafia na produkcję.
Bezpieczne wdrożenia. Blue-green rollouty z health-checkami automatycznie wycofują się, jeśli coś pójdzie nie tak, zanim Twoi użytkownicy to zauważą.
Uwierzytelnione kanały wszędzie. Klient desktopowy, lokalny agent działający obok niego i nasze serwery komunikują się przez uwierzytelnione, szyfrowane kanały. Żadnego ruchu w czystym tekście – nigdy.

Co dodaje uruchomienie produkcyjne

Lista „co jest dostępne już dziś" to fundament. Uruchomienie produkcyjne to moment, w którym dodajemy kontrole, które duzi nabywcy nazywają „absolutnym minimum" po zażądaniu ich w 14-zakładkowym arkuszu, i które my osobiście chcemy mieć wdrożone, zanim cokolwiek naprawdę wrażliwego trafi za API. Czytaj wszystko poniżej jako twarde zobowiązanie wobec każdego użytkownika na start, a nie listę życzeń czy coś ukrytego za umową enterprise.

Klucze szyfrowania zarządzane przez klienta. Twój system zarządzania kluczami przechowuje klucze. Operatorzy Sugarbug nie mogą odszyfrować Twoich danych nawet z pełnym dostępem do serwera – to najbliższe zero-knowledge, jakie produkt workflow intelligence może uczciwie osiągnąć.
Bring your own LLM. Kieruj enrichment przez preferowanego dostawcę – OpenAI, Anthropic, Google lub samodzielnie hostowany model open-source. Twój wybór, Twój rachunek, Twoja relacja przetwarzania danych. Dla zespołów, które tego potrzebują, enrichment może działać w pełni na samodzielnie hostowanym modelu, od początku do końca.
PII usuwane przed każdym wywołaniem LLM. Niezależnie od modelu, do którego kierujesz – naszego, Twojego, chmurowego, hybrydowego, w pełni lokalnego – każdy payload enrichment ma imiona, emaile, numery telefonów, adresy, klucze i identyfikatory zastąpione odwracalnymi tokenami, zanim dotrze do modelu. LLM widzi strukturę Twoich danych, nigdy ludzi w nich. Sugarbug rozwiązuje tokeny z powrotem po otrzymaniu odpowiedzi, więc wynik trafia z właściwym kontekstem.
Przechowywanie poświadczeń w pęku kluczy na kliencie desktopowym. Twoje tokeny integracyjne znajdują się tam, gdzie może do nich sięgnąć tylko Twój system operacyjny.
Podpisane i notaryzowane binaria aplikacji z automatycznymi aktualizacjami weryfikowanymi podpisem. Możesz zweryfikować, że Sugarbug, którego uruchamiasz, to Sugarbug, który wysłaliśmy.
Strukturalne logowanie klasy compliance z określonymi oknami retencji dla każdej klasy zdarzeń.
Redundancja wieloregionowa z automatycznym odzyskiwaniem do punktu w czasie.

Dokąd zmierzamy

Uruchomienie produkcyjne nie jest stanem końcowym. Nasz horyzont to Sugarbug, który każdy użytkownik – nie tylko przedsiębiorstwa z dedykowaną infrastrukturą – może uruchomić w całości na własnej maszynie. Twój model, Twoje magazynowanie, Twój graf, synchronizujący tylko to, co musi. Workflow intelligence pod Twoim własnym dachem, z niczym na naszych serwerach, chyba że zdecydujesz się to tam umieścić (możesz przełączać się w dowolnym momencie). Architektura jest budowana z myślą o tym celu, a każda decyzja podjęta między teraz a startem jest sprawdzana pod jego kątem.

(Jeśli brzmi to ambitnie – dobrze. Branża, która przez dekadę po cichu wysyłała Twoje dane do zbiorów treningowych, zasługuje na ambitną kontrpropozycję klasy komercyjnej.)

Retencja pod Twoją kontrolą

Sugarbug odzwierciedla politykę retencji Twojego systemu źródłowego. Jeśli Twój Slack przechowuje wiadomości przez 90 dni, kopia Sugarbug znika w tym samym harmonogramie – na każdej powierzchni, w tym zadaniach, podsumowaniach osób, przygotowaniach do spotkań i wyszukiwaniu wektorowym. Ustawiasz okno raz – my honorujemy je wszędzie.

Gdy usuniesz swoje konto, usuwamy wszystko, w tym wektory embeddings.

Żadnych zamków na drzwiach

Nie chcemy Cię zamykać na klucz. Chcemy, żebyś zostawał, bo Sugarbug jest naprawdę najlepszym doświadczeniem i czyni Ciebie i Twój zespół ostrzejszymi niż jakakolwiek alternatywa – nie dlatego, że odejście jest trudne. Dlatego możesz wyciągnąć swoje dane w każdej chwili, bez rozmów ze sprzedawcami i bez zespołu retencji stojącego między Tobą a przyciskiem eksportu. Każde zadanie, każda osoba, każde spotkanie jest dostępne w przenośnym formacie, gotowe do wrzucenia gdziekolwiek dalej.

Wypróbuj inne opcje. Rzuć nam wyzwanie. Ta presja jest częścią tego, jak się doskonalimy, a ułatwianie Twojej pracy to cały sens.

Nadbudowane dla przedsiębiorstw

Duże, regulowane organizacje mają przeglądy zamówień ciągnące się miesiącami i listy kontrolne liczące setki pytań. (Jeśli kiedykolwiek odpowiadałeś na SIG Lite o 23:00 w noc przed zamknięciem dealu, stawiamy Ci drinka.) Historia bezpieczeństwa Sugarbug jest zaprojektowana tak, by przejść je za pierwszym podejściem. Jeśli kiedykolwiek próbowałeś przejść przez taki przegląd o północy, na wpół skafeiniowany, cicho negocjując ze wszechświatem o mniejszy arkusz, znasz tę sekcję na pamięć – produkt jest zbudowany tak, żebyś nie musiał się z niczego tłumaczyć.

Tożsamość i dostęp. SAML 2.0 SSO z Okta, Azure AD, Ping, Google Workspace i JumpCloud. SCIM 2.0 provisionowanie i deprovisionowanie dla automatycznego offboardingu w momencie, gdy Twój HRIS oznaczy pracownika jako zwolnionego. Wymuszana przez organizację polityka MFA, konfigurowalne timeouty sesji i lista dozwolonych IP na poziomie organizacji.

Granice danych, które możesz zweryfikować.

Twoje dane nie trenują modeli. Ani naszych, ani naszych dostawców, ani czyichkolwiek. To zobowiązanie architektoniczne, nie linia w kontrakcie – zapewniamy Zero Data Retention u każdego dostawcy LLM, przez którego kierujemy sygnały, a klienci potrzebujący silniejszej gwarancji mogą wybrać enrichment lokalny, przy którym żadne surowe dane nie opuszczają ich perymetru.
Regionalna rezydencja danych w USA, UE i Wielkiej Brytanii. Twoje dane fizycznie pozostają w wybranym regionie. Żadnych kopii transgranicznych, żadnego „w większości tam jest".
Opublikowana lista subprocesorów z wcześniejszym powiadomieniem o zmianach i oknem na zgłoszenie sprzeciwu przed wejściem zmian w życie.
Podpisana DPA ze Standardowymi Klauzulami Umownymi dla transferów transgranicznych i Transfer Impact Assessment gotowy dla Twojego zespołu prawnego.

Sieć i operacje.

Sieć prywatna przez AWS PrivateLink, Azure Private Endpoints i GCP Private Service Connect. Dla klientów, którzy tego wymagają, ruch między Twoją siecią a Sugarbug nigdy nie dotyka publicznego internetu.
Streamowanie logów audytowych do Splunk, Datadog, Microsoft Sentinel lub Chronicle. Twój SOC widzi te same zdarzenia co my.
Legal hold i eDiscovery – wsparcie dla danych objętych postępowaniem sądowym, w tym zawieszenie retencji i eksport w określonym zakresie.
Dedykowana infrastruktura single-tenant dostępna dla najwrażliwszych wdrożeń.
Kontraktowe powiadomienie o naruszeniu w ciągu 24 godzin – znacznie poniżej 72-godzinnego progu RODO.
Opublikowane cele RTO i RPO poparte udokumentowanym planem odtwarzania po awarii i kopiami zapasowymi w wielu regionach.
Personel z weryfikacją przeszłości z dostępem produkcyjnym, corocznym szkoleniem z bezpieczeństwa i kwartalnym przeglądem dostępów.

Weryfikacja na Twoich warunkach.

Coroczny test penetracyjny przez firmę zewnętrzną. Podsumowanie dla zarządu jest publiczne; pełny raport jest dostępny pod NDA.
Publiczny program bug bounty.
Centrum zaufania pod jednym URL: raport SOC 2, certyfikat ISO/IEC 27001, podsumowanie testu penetracyjnego, lista subprocesorów, szablon DPA, strona statusu bezpieczeństwa i najnowszy audit bridge letter.
Wypełnione z góry odpowiedzi SIG Lite, CAIQ i VSA-Full gotowe dla Twojego zespołu zamówień.

Nadbudowane dla ochrony zdrowia

Szpitale i systemy opieki zdrowotnej niosą ze sobą inny rodzaj ryzyka niż przeciętne przedsiębiorstwo. W zwykłym SaaS-ie naruszenie to incydent; w warunkach klinicznych naruszenie może wylądować gdzieś między problemem z dostarczaniem opieki a dochodzeniem federalnym, a luka między tymi dwoma wynikami nie jest miejscem, w którym chcemy się znaleźć. Sugarbug jest budowany z tą różnicą na uwadze. Poniższe zobowiązania nie są ukryte za najwyższym poziomem cennika, ponieważ „BAA tylko na enterprise" zawsze było cicho cynicznym ruchem w tej branży.

Business Associate Agreement dostępny w każdym płatnym planie – podpisany zanim jakiekolwiek Protected Health Information przepłynie przez Twoje konto. Żadnego gatingu tylko dla enterprise.
Kontrola dostępu na zasadzie minimum niezbędnego z logowaniem audytowym świadomym PHI, przechowywanym przez sześć lat, aby spełnić wymagania HIPAA i HITECH.
Powiadomienie o naruszeniu zgodne z HITECH z określonym harmonogramem i udokumentowanym przepływem pracy.
Dedykowana infrastruktura single-tenant dostępna dla wdrożeń, w których współdzielony hosting multi-tenant nie spełnia Twoich wewnętrznych standardów.

Trajektoria compliance

Audyty nie są zabawne. Odkrycie, że „domyślnie bezpieczny" dostawca, którego kupiłeś w zeszłym roku, miał na myśli „bezpieczny w prezentacji sprzedażowej", też nie jest zabawne. W momencie uruchomienia produkcyjnego Sugarbug celuje w:

SOC 2 Type II – bezpieczeństwo, dostępność i poufność.
ISO/IEC 27001 – międzynarodowe zarządzanie bezpieczeństwem informacji.
HIPAA dla klientów z Business Associate Agreements.
RODO – przenoszenie danych, prawo do usunięcia i podstawa prawna w każdym punkcie.

Decyzje architektoniczne, które już podjęliśmy, wprost odpowiadają kontrolom wymaganym przez te frameworki: izolacja tenantów na każdej warstwie, logowanie audytowe od początku do końca, szyfrowanie gotowe do kopertowania, weryfikowalna semantyka usuwania i model scrapingu w przestrzeni użytkownika, który z założenia nie dopuszcza administratorów do prywatnych danych. Bezpieczeństwo Sugarbug nie jest rozdziałem doklejanym na końcu – to kształt produktu. Najkrótsza uczciwa droga do przejścia audytu to zbudowanie produktu tak, jak audytor marzy, żeby wszyscy budowali, i my próbujemy to zrobić za pierwszym podejściem.

Jeśli chcesz warstwy workflow intelligence, która traktuje Twoje dane jak dokumentację pacjentów, a nie paszę treningową – to właśnie budujemy. Wypróbuj Sugarbug na sugarbug.ai.

Często zadawane pytania

Najczęściej pojawiające się pytania dotyczące bezpieczeństwa Sugarbug – proste odpowiedzi.

Czy Sugarbug trenuje modele AI na moich danych?

Nie, i nigdy nie będzie. To decyzja architektoniczna, nie kontraktowa. W momencie uruchomienia produkcyjnego Zero Data Retention obowiązuje u każdego dostawcy LLM, przez którego kierujemy ruch, a klienci wymagający surowszych standardów mogą wybrać enrichment lokalny.

Czy mój pracodawca może czytać moje prywatne wiadomości na Slacku przez Sugarbug?

Nie. Sugarbug scrapuje wyłącznie z Twoimi uprawnieniami. Administrator organizacji nie widzi niczego, czego organizacja nie mogłaby zobaczyć bez Sugarbug – publicznych kanałów, udostępnionych dokumentów, kalendarzy grupowych. Twoje prywatne konektory należą wyłącznie do Ciebie.

Co się dzieje z moimi danymi w Sugarbug, gdy odchodzę z firmy?

Zachowujesz swój prywatny graf i zabierasz go ze sobą. Odejście z organizacji oznacza utratę dostępu do zagregowanego źródła organizacji i jej sygnałów, a historia dostępu do podłączonych narzędzi jest usuwana wraz z cofnięciem uprawnień. Twoja osobista historia i notatki wędrują z Tobą.

Jak Sugarbug chroni dane osobowe przed trafieniem do promptów AI?

W momencie uruchomienia produkcyjnego PII jest usuwane z każdego payloadu enrichment zanim model je zobaczy – niezależnie od tego, czy to nasz model, Twój, dostawcy chmurowego czy w pełni lokalny. LLM widzi strukturę Twojego problemu, nigdy ludzi ani danych w nim.

Czy Sugarbug jest zgodny z SOC 2 i HIPAA?

W momencie uruchomienia produkcyjnego Sugarbug celuje w SOC 2, ISO/IEC 27001, HIPAA (z BAA) i RODO. BAA są dostępne w każdym płatnym planie, nie tylko w ofercie enterprise.