Home | Blog | Guide

Безопасность Sugarbug: ваши данные остаются вашими

Безопасность Sugarbug: скрейпинг в пространстве пользователя, медицинский стандарт, без привязки, без обучения моделей на ваших данных. Для бизнеса и медицины.

By Ellis Keane · 2026-04-17

В нашей индустрии ходит шутка: лучший способ получить бесплатный ИИ – стать обучающими данными. Каждое поколение платформ придумывало, как монетизировать вашу работу чуть быстрее (и чуть хитрее) предыдущего, и где-то по дороге мы все согласились называть это «будущим». (Говорят, это ещё называют прогрессом.) Sugarbug построен на противоположном принципе, и эта статья – понятный обзор безопасности Sugarbug: что мы обещаем, что уже есть в коде, что появится при продакшн-запуске и почему мы устанавливаем для себя более жёсткий стандарт, чем потребовал бы любой регулятор.

Мы находимся в центре самых чувствительных рабочих процессов вашей компании. Треды в Slack, которые ваша команда считала, что никто не перечитает. PR-дискуссии, в которых кто-то проиграл спор в 2023 году и до сих пор не простил ревьюера. Комментарии в Figma и дизайн-ревью, тикеты в Linear, приглашения в календарь, расшифровки встреч – всё. Единственный честный стандарт хранения таких данных – медицинский: быть столь же строгим к себе, как больница к медицинским картам, и требовательнее к собственной инженерии, чем любой регулятор. Всё, что мягче, – ставка на то, что никто не проверит, а ставить на то, что вас не проверят, – ужасный долгосрочный план.

Что Sugarbug видит (и чего не видит)

Sugarbug работает в пользовательском пространстве. Он скрейпит с вашими правами, читает с ваших аккаунтов и видит ровно то, что видите вы – ни больше, ни меньше. Это единственное архитектурное свойство (которое звучит скучно при первом знакомстве и пугающе несущим – при втором) имеет по-настоящему глубокие последствия для обращения с вашими данными.

Администраторы не могут читать ваши личные сообщения. В большинстве рабочих продуктов, когда вы увольняетесь, ваш старый аккаунт становится архивом работодателя. Они могут открыть вашу почту, пролистать DM в Slack, которые вы считали приватными, и прочитать письма, отправленные годы назад. Sugarbug закрывает эту дверь, прежде чем она откроется. Администратор организации видит только то, что организация могла бы увидеть и без Sugarbug – публичные каналы, общие документы, групповые календари. Ваши приватные коннекторы принадлежат только вам.

Присоединение к организации мгновенно. Новые участники получают один предварительно обработанный агрегированный источник, объединяющий всё, что участник обычно видит – публичные каналы Slack, заметки с групповых встреч, общие документы Notion, тикеты Linear, изменения в Figma, публичные PR – дедуплицированное и уже индексированное составным графом организации. Вы подключаетесь и сразу получаете общий контекст команды, не оплачивая повторную загрузку того, что коллеги уже обработали.

Выход из организации чистый. При отключении вы теряете доступ к агрегированному источнику организации и её сигналам – и ничего более. Ваши приватные коннекторы остаются при вас. Ваша история, заметки и персональный граф перемещаются вместе с вами.

Скрейпинг в пользовательском пространстве – несущее архитектурное решение. Именно он делает личные сообщения личными, переносимый граф – переносимым, а «ваши данные – ваши» превращает из маркетингового лозунга в свойство системы.

Модель дневника

Представьте человека, который ведёт личный блокнот на протяжении всей карьеры. Год за годом он наполняется людьми, с которыми он встречается, тем, о чём думает, как повлиял на него тот или иной момент, чему он научился за тяжёлую неделю. Этот дневник принадлежит тому, кто его написал. И одновременно делает его более проницательным, вдумчивым и ценным коллегой.

Sugarbug – это тот самый дневник, масштабированный до полноценного рабочего графа знаний: ваш приватный контекст (DM, заметки, встречи один на один) и общий контекст организации (треды Slack в публичных каналах, тикеты Linear, общие документы) сшиты в одну персональную систему без размывания границ между ними. Приватный для человека, полезный для команды, когда человек решает поделиться, переносимый при смене места.

Поскольку приватное и публичное индексируются вместе, а не разбросаны по разным инструментам, работа на виду становится самым эффективным способом действия (это более серьёзное утверждение, чем кажется, для каждого, кто потратил неделю на обновления статусов). Вы делаете работу, общий контекст обновляется сам, а приватная модель дневника остаётся приватной.

Sugarbug – это дневник, масштабированный до полноценного рабочего графа знаний, без размывания границы между вашим и общим.

Что доступно уже сейчас

Это не пункты дорожной карты. Это компоненты безопасности Sugarbug, которые уже находятся в коде, работают в CI и стоят за каждым коммитом, который выходит в свет.

Вход без пароля. Аутентификация – только OAuth через пять провайдеров идентификации. Нет паролей, которые можно выудить, украсть или использовать повторно.
Шифрование везде. Чувствительные данные в покое используют аутентифицированный AES-256-GCM; соединения используют TLS 1.3 с HSTS preload на каждом публичном эндпоинте.
Изоляция тенантов на каждом уровне. Каждый запрос и каждый векторный поиск ограничен вызывающей стороной, а утечки между тенантами проверяются автоматическими тестами при каждом запуске CI.
Административные действия видимы. Защищённые от подделки журналы аудита охватывают имперсонацию, изменения аккаунтов и удаление данных. Если инженеру Sugarbug когда-либо нужно войти в ваш аккаунт для обработки запроса в поддержку, журнал показывает, кто именно, когда и зачем.
Безопасность – часть пайплайна сборки. Специализированные автоматизации проверяют каждый коммит на утечки секретов, уязвимые зависимости и регрессии качества кода. Изменение, не прошедшее проверку, никогда не выходит в свет.
Безопасные деплои. Blue-green роллауты с проверкой состояния автоматически откатываются при любом сбое – до того, как ваши пользователи заметят.
Аутентифицированные каналы повсюду. Десктопный клиент, локальный агент, работающий рядом с ним, и наши серверы общаются через аутентифицированные зашифрованные каналы. Никакого открытого трафика – никогда.

Что добавляет продакшн-запуск

Список «что доступно уже сейчас» – фундамент. Продакшн-запуск – момент, когда мы добавляем контроли, которые крупные покупатели называют «базовым минимумом» после запроса через таблицу на 14 вкладок, и которые мы сами хотим видеть до того, как что-либо по-настоящему чувствительное окажется за API. Читайте всё ниже как твёрдое обязательство к запуску для каждого пользователя, а не список пожеланий или что-то, скрытое за корпоративным контрактом.

Ключи шифрования под управлением клиента. Ваша система управления ключами хранит ключи. Операторы Sugarbug не могут расшифровать ваши данные даже при полном доступе к серверу – это максимально близко к zero-knowledge, насколько продукт workflow intelligence может честно приблизиться.
Bring your own LLM. Маршрутизируйте enrichment через предпочтительного провайдера – OpenAI, Anthropic, Google или самостоятельно размещённую open-source модель. Ваш выбор, ваш счёт, ваши отношения по обработке данных. Для команд, которым это нужно, enrichment может работать полностью на самостоятельно размещённой модели, от начала до конца.
PII удаляется перед каждым вызовом LLM. Какую бы модель вы ни использовали – нашу, вашу, облачную, гибридную, полностью локальную – из каждого payload enrichment имена, email-адреса, номера телефонов, адреса, ключи и идентификаторы заменяются обратимыми токенами до того, как данные достигнут модели. LLM видит структуру ваших данных, но не людей в них. Sugarbug разрешает токены обратно при получении ответа, чтобы результат пришёл с правильным контекстом.
Хранение учётных данных в keychain на десктопном клиенте. Ваши интеграционные токены хранятся там, куда может добраться только ваша операционная система.
Подписанные и нотаризованные бинарные файлы приложения с автоматическими обновлениями, проверенными подписью. Вы можете убедиться, что Sugarbug, который вы запускаете, – это тот самый Sugarbug, который мы выпустили.
Структурированное логирование уровня compliance с определёнными окнами хранения для каждого класса событий.
Мультирегиональная избыточность с автоматическим восстановлением на определённый момент времени.

Куда мы движемся

Продакшн-запуск – не конечное состояние. Наш горизонт за ним – Sugarbug, который любой пользователь, а не только предприятия с выделенной инфраструктурой, сможет запускать полностью на своей машине. Ваша модель, ваше хранилище, ваш граф – синхронизируя только то, что необходимо. Workflow intelligence под вашей собственной крышей, без ничего на наших серверах, если вы сами этого не выберете (переключаться можно в любой момент). Архитектура строится с этой целью перед глазами, и каждое решение от сегодняшнего дня до запуска проверяется на соответствие ей.

(Если это звучит амбициозно – хорошо. Индустрия, которая десятилетие тихо отправляла ваши данные в обучающие наборы, заслуживает амбициозного коммерческого контрпредложения.)

Хранение данных под вашим контролем

Sugarbug отражает политику хранения вашей исходной системы. Если ваш Slack хранит сообщения 90 дней, копия Sugarbug исчезает по тому же расписанию – на всех поверхностях, включая задачи, сводки по людям, подготовку к встречам и векторный поиск. Вы задаёте окно один раз – мы соблюдаем его повсюду.

Когда вы удаляете аккаунт, мы удаляем всё, включая векторные эмбеддинги.

Никаких замков на двери

Мы не хотим вас привязывать. Мы хотим, чтобы вы оставались, потому что Sugarbug – действительно лучший опыт, который делает вас и вашу команду эффективнее любой альтернативы, а не потому, что уйти трудно. Поэтому вы можете забрать свои данные в любой момент, без разговоров с отделом продаж и без команды удержания между вами и кнопкой экспорта. Каждая задача, каждый человек, каждая встреча выгружается в переносимом формате, готовом к использованию где угодно дальше.

Попробуйте другие варианты. Бросьте нам вызов. Это давление – часть того, как мы становимся лучше, а облегчение вашей работы – весь смысл.

Построено с запасом для предприятий

Крупные регулируемые организации проводят закупочные ревью, длящиеся месяцами, и используют чеклисты из сотен вопросов. (Если вы когда-нибудь заполняли SIG Lite в 23:00 накануне закрытия сделки, мы вам должны выпить.) История безопасности Sugarbug спроектирована так, чтобы пройти их с первого раза. Если вы когда-нибудь пытались пройти такое ревью в полночь, полукофеиновый, тихо торгуясь со вселенной за таблицу поменьше, вы уже знаете этот раздел наизусть – продукт построен так, чтобы вам не пришлось ничего обходить.

Идентификация и доступ. SAML 2.0 SSO с Okta, Azure AD, Ping, Google Workspace и JumpCloud. SCIM 2.0 для автоматического offboarding в момент, когда ваша HRIS отмечает сотрудника как уволенного. Политика MFA, навязанная организацией, настраиваемые тайм-ауты сессий и белый список IP на уровне организации.

Границы данных, которые можно проверить.

Ваши данные не обучают модели. Ни наши, ни наших провайдеров, ни чьи-либо. Это архитектурное обязательство, а не строчка в контракте – мы обеспечиваем Zero Data Retention с каждым LLM-провайдером, через которого маршрутизируем сигналы, а клиенты, которым нужна более сильная гарантия, могут выбрать локальный enrichment, при котором сырые данные не покидают их периметр.
Региональное размещение данных в США, ЕС и Великобритании. Ваши данные физически остаются в выбранном регионе. Никаких трансграничных копий, никакого «в основном там».
Опубликованный список субпроцессоров с предварительным уведомлением при изменениях и окном для возражений до вступления изменений в силу.
Подписанное DPA со Стандартными договорными условиями для трансграничных передач и готовой Transfer Impact Assessment для вашей юридической команды.

Сеть и операции.

Частная сеть через AWS PrivateLink, Azure Private Endpoints и GCP Private Service Connect. Для клиентов, которым это необходимо, трафик между вашей сетью и Sugarbug никогда не касается публичного интернета.
Стриминг журналов аудита в Splunk, Datadog, Microsoft Sentinel или Chronicle. Ваш SOC видит те же события, что и мы.
Legal hold и eDiscovery – поддержка данных в рамках судебного разбирательства, включая приостановку хранения и экспорт в заданном объёме.
Выделенная однотенантная инфраструктура для наиболее чувствительных развёртываний.
Контрактное уведомление о нарушении в течение 24 часов – значительно раньше 72-часового порога GDPR.
Опубликованные целевые показатели RTO и RPO с документированным планом аварийного восстановления и межрегиональными резервными копиями.
Сотрудники с проверкой биографии с продакшн-доступом, ежегодным обучением по безопасности и ежеквартальным пересмотром доступов.

Верификация на ваших условиях.

Ежегодный тест на проникновение третьей стороной от признанной фирмы. Резюме для руководства публично; полный отчёт доступен по NDA.
Публичная программа bug bounty.
Центр доверия по одному URL: отчёт SOC 2, сертификат ISO/IEC 27001, резюме теста на проникновение, список субпроцессоров, шаблон DPA, страница статуса безопасности и последнее аудиторское мостовое письмо.
Предзаполненные ответы SIG Lite, CAIQ и VSA-Full – готовы для вашей команды закупок.

Построено с запасом для здравоохранения

Больницы и системы здравоохранения несут риск другого рода, нежели обычное предприятие. В обычном SaaS нарушение – это инцидент; в клинических условиях нарушение может оказаться где-то между проблемой оказания помощи и федеральным расследованием, и зазор между этими двумя исходами – не то место, где мы хотим находиться. Sugarbug построен с учётом этой разницы. Обязательства ниже не закрыты за самым высоким уровнем тарифа, потому что «BAA только на enterprise» всегда было тихо циничным ходом в этой индустрии.

Business Associate Agreement доступен на каждом платном тарифе – подписывается до того, как любая Protected Health Information пройдёт через ваш аккаунт. Никакого гейтинга только для enterprise.
Контроль доступа по принципу минимальной необходимости с PHI-осведомлённым аудит-логированием, хранящимся шесть лет для соответствия требованиям HIPAA и HITECH.
Уведомление о нарушении в соответствии с HITECH с определённым таймлайном и документированным рабочим процессом.
Выделенная однотенантная инфраструктура для развёртываний, где общий мультитенантный хостинг не соответствует вашим внутренним стандартам.

Траектория compliance

Аудиты – это не весело. Обнаружить, что «безопасный по умолчанию» вендор, которого вы купили в прошлом году, имел в виду «безопасный в презентации для продаж», тоже не весело. На момент продакшн-запуска Sugarbug нацелен на:

SOC 2 Type II – безопасность, доступность и конфиденциальность.
ISO/IEC 27001 – международное управление информационной безопасностью.
HIPAA для клиентов с Business Associate Agreements.
GDPR – переносимость данных, право на удаление и законное основание на каждом этапе.

Архитектурные решения, которые мы уже приняли, напрямую соответствуют контролям, требуемым этими фреймворками: изоляция тенантов на каждом уровне, сквозное аудит-логирование, шифрование, готовое к конвертной обёртке, верифицируемая семантика удаления и модель скрейпинга в пользовательском пространстве, который по дизайну не допускает администраторов к приватным данным. Безопасность Sugarbug – не глава, приклеенная в конце; это форма продукта. Кратчайший честный путь к прохождению аудита – построить продукт так, как аудитор мечтает, чтобы все строили, и мы пытаемся сделать это с первого раза.

Если вам нужен слой workflow intelligence, который обращается с вашими данными как с медицинскими картами, а не как с кормом для обучения, – именно это мы строим. Попробуйте Sugarbug на sugarbug.ai.

Часто задаваемые вопросы

Самые частые вопросы о безопасности Sugarbug – простые ответы.

Sugarbug обучает ИИ-модели на моих данных?

Нет, и никогда не будет. Это архитектурное решение, а не пункт договора. На момент продакшн-запуска Zero Data Retention действует у каждого LLM-провайдера, через которого мы маршрутизируем запросы, а клиенты, которым нужен более строгий контроль, могут выбрать локальный enrichment.

Может ли мой работодатель читать мои личные сообщения в Slack через Sugarbug?

Нет. Sugarbug выполняет скрейпинг только с вашими правами доступа. Администратор организации не видит ничего, чего организация не могла бы увидеть без Sugarbug – публичные каналы, общие документы, групповые календари. Ваши приватные коннекторы принадлежат только вам.

Что происходит с моими данными в Sugarbug, когда я увольняюсь?

Вы сохраняете свой приватный граф и забираете его с собой. При выходе из организации вы теряете доступ к агрегированному источнику и сигналам организации, а история подключённых инструментов удаляется при отзыве вашего доступа. Ваша личная история и заметки перемещаются вместе с вами.

Как Sugarbug не допускает попадания персональных данных в промпты ИИ?

На момент продакшн-запуска PII удаляется из каждого payload enrichment до того, как модель его увидит – будь то наша модель, ваша, облачного провайдера или полностью локальная. LLM видит структуру вашей задачи, но не людей и данные в ней.

Соответствует ли Sugarbug требованиям SOC 2 и HIPAA?

На момент продакшн-запуска Sugarbug нацелен на SOC 2, ISO/IEC 27001, HIPAA (с BAA) и GDPR. BAA доступны на каждом платном тарифе, а не только на корпоративном.