Home | Blog | Guide

Безпека Sugarbug: ваші дані залишаються вашими

Безпека Sugarbug: збір у просторі користувача, медичні зобов'язання, без прив'язки та навчання моделей на ваших даних. Для підприємств та охорони здоров'я.

By Ellis Keane · 2026-04-17

В нашій галузі є жарт: найкращий спосіб отримати безкоштовний ШІ – стати навчальними даними. Кожне покоління платформ знаходило спосіб монетизувати вашу роботу трохи швидше (і трохи непомітніше) за попереднє, і десь по дорозі ми всі погодилися називати це "майбутнім". (Кажуть, це ще й "прогрес".) Sugarbug побудований на протилежному принципі, і ця стаття – доступний огляд безпеки Sugarbug: що ми обіцяємо, що вже є в коді, що з'явиться на момент виходу в продакшн, і чому ми тримаємось вищого стандарту, ніж будь-який регулятор міг би вимагати.

Ми знаходимось у самому серці найбільш чутливих робочих процесів вашої компанії. Гілки Slack, які команда вважала, що ніхто ніколи не перечитає. Дискусії у PR, де хтось програв суперечку у 2023-му і досі не пробачив рецензента. Коментарі Figma та огляди дизайну, тікети Linear, запрошення в календарі, транскрипти зустрічей – все це. Єдина чесна планка для зберігання таких даних – це медичний стандарт: настільки суворий до себе, як лікарня до записів пацієнтів, і суворіший до власної розробки, ніж будь-яке нормативне положення. Все, що нижче цього – це ставка на те, що ніхто ніколи не перевірить, а ставити проти перевірки – жахливий довгостроковий план.

Що Sugarbug може бачити (і що не може)

Sugarbug працює в просторі користувача. Він збирає дані з вашими правами доступу, читає з ваших облікових записів і бачить рівно те, що бачите ви – не більше і не менше. Ця одна архітектурна властивість (яка звучить нудно при першому прочитанні, і небезпечно несуча при другому) має справді глибокі наслідки для поводження з вашими даними.

Адміністратори не можуть читати ваші приватні повідомлення. У більшості робочих продуктів, коли ви залишаєте компанію, ваш старий обліковий запис стає архівом роботодавця. Вони можуть знову відкрити вашу поштову скриньку, прогорнути DM у Slack, які ви вважали приватними, і прочитати листи, надіслані роки тому. Sugarbug закриває цей двері до того, як вони відчиняться. Адміністратор організації може бачити лише те, що організація вже й так бачить – публічні канали, спільні документи, групові календарі. Ваші приватні інтеграції належать лише вам – і крапка.

Приєднання до організації відбувається миттєво. Нові учасники отримують єдине попередньо оброблене сукупне джерело, яке об'єднує все, що учасник зазвичай бачить – публічні канали Slack, нотатки групових зустрічей, спільні документи Notion, тікети Linear, зміни Figma, публічні PR – дедубліковані та вже проіндексовані за допомогою складеного графа організації. Ви приєднуєтесь і одразу маєте спільний контекст команди, не платячи за повторне завантаження того, що вже обробили ваші колеги.

Вихід з організації відбувається чисто. Коли ви від'єднуєтесь, ви втрачаєте доступ до сукупного джерела організації та її сигналів, і нічого більше. Ваші приватні інтеграції залишаються вашими. Ваша історія, ваші нотатки та ваш особистий граф знань переходять з вами на наступне місце.

Збір у просторі користувача – це рішення, що несе все на собі. Саме воно робить приватні повідомлення приватними, переносний граф – переносним, і перетворює "ваші дані – ваші" з маркетингового слогану на властивість системи.

Модель щоденника

Уявіть, як хтось може вести особистий щоденник протягом усієї кар'єри. Рік за роком він наповнюється людьми, яких зустрічаєш, думками, тим, як відчувається той чи інший момент, чому навчив важкий тиждень. Цей щоденник належить тому, хто його написав. Це також те, що робить їх гострішим, більш вдумливим і цінним колегою.

Sugarbug – це той щоденник, масштабований у повноцінний робочий граф знань: ваш особистий контекст (DM, нотатки, індивідуальні зустрічі) та спільний контекст організації (гілки Slack у публічних каналах, тікети Linear, спільні документи), вплетені в одну особисту систему без розмивання межі між ними. Приватно для особи, корисно для команди, коли особа вирішує поділитися, переносно, коли людина рухається далі.

Оскільки приватний та публічний контексти індексуються разом, а не в окремих інструментах, робота у відкритому доступі стає найефективнішим способом роботи (твердження вагоміше, ніж здається, для будь-кого, хто провів тиждень на оновленнях статусу). Ви виконуєте роботу, спільний контекст оновлюється сам, а модель особистого щоденника залишається приватною.

Sugarbug – це той щоденник, масштабований у повноцінний робочий граф знань, без розмивання межі між тим, що є вашим, і тим, що спільне.

Що є вже сьогодні

Це не пункти дорожньої карти. Це компоненти безпеки Sugarbug, що вже є в коді, працюють у CI і стоять за кожним комітом, що виходить.

Вхід без пароля. Автентифікація здійснюється виключно через OAuth з п'ятьма постачальниками ідентифікацій. Немає паролів для фішингу, витоку або повторного використання.
Шифрування скрізь. Чутливі пейлоади у стані спокою використовують автентифікований AES-256-GCM; з'єднання використовують TLS 1.3 з HSTS preload на кожному публічному ендпоінті.
Ізоляція орендарів на кожному рівні. Кожен запит і кожен векторний пошук обмежені викликачем, а перетікання між орендарями перевіряється автоматизованими тестами на кожному запуску CI.
Адміністративні дії видимі. Захищені від підробки журнали аудиту охоплюють уособлення, зміни облікового запису та видалення даних. Якщо інженеру Sugarbug коли-небудь знадобиться зайти у ваш обліковий запис за запитом підтримки, журнал точно покаже хто, коли і чому.
Безпека є частиною конвеєра збірки. Кастомні автоматизації перевіряють кожен коміт на витік секретів, вразливі залежності та регрес якості коду. Зміна, що не пройшла ці перевірки, ніколи не виходить.
Безпечні розгортання. Сине-зелені розгортання з перевіркою здоров'я автоматично відкочуються, якщо щось іде не так, до того як ваші користувачі це помітять.
Автентифіковані канали скрізь. Десктопний клієнт, локальний агент, що працює поруч з ним, та наші сервери спілкуються через автентифіковані, зашифровані канали. Жодного трафіку у відкритому тексті ніколи.

Що додає запуск

Список "що є вже сьогодні" – це основа. Вихід у продакшн – це місце, де ми додаємо засоби управління, які великі покупці називають "обов'язковим мінімумом" після того, як запитали про них через електронну таблицю на 14 вкладок, і які ми особисто хочемо мати на місці до того, як за API з'явиться щось по-справжньому чутливе. Читайте все нижченаведене як тверде зобов'язання на момент запуску для кожного користувача, а не як список побажань чи щось приховане за корпоративною угодою.

Ключі шифрування, керовані клієнтом. Ваша система управління ключами зберігає ключі. Оператори Sugarbug не можуть розшифрувати ваші дані навіть з повним доступом до сервера – найближче, до чого продукт із інтелектом робочих процесів може чесно наблизитись до нульового знання.
Принесіть власний LLM. Маршрутизуйте збагачення через обраного вами постачальника – OpenAI, Anthropic, Google або власноруч розміщену модель з відкритим кодом. Ваш вибір, ваш рахунок, ваші відносини з обробки даних. Для команд, яким це потрібно, збагачення може повністю працювати на власноруч розміщеній моделі – від початку до кінця.
PII видаляється перед кожним зверненням до LLM. Незалежно від моделі, до якої ви маршрутизуєте – нашої, вашої, хмарної, гібридної або повністю локальної – кожен збагачувальний пейлоад містить імена, електронні адреси, номери телефонів, адреси, ключі та ідентифікатори, замінені оборотними токенами до того, як він досягає моделі. LLM бачить форму ваших даних, але ніколи – людей усередині них. Sugarbug розв'язує токени у відповідь, щоб вихід надходив з правильним контекстом.
Зберігання облікових даних із підтримкою Keychain на десктопному клієнті. Ваші токени інтеграції живуть там, де до них може дістатись лише ваша операційна система.
Підписані та завірені бінарні файли застосунку з автоматичними оновленнями з перевіркою підпису. Ви можете перевірити, що Sugarbug, який ви запускаєте, – це Sugarbug, який ми постачили.
Структуроване журналювання рівня відповідності з визначеними вікнами зберігання для кожного класу подій.
Багаторегіональна надлишковість з автоматичним відновленням на певний момент часу.

Куди ми рухаємось

Вихід у продакшн – не кінцевий стан. Наш горизонт за його межами – це Sugarbug, який будь-який користувач – не лише підприємства з виділеною інфраструктурою – може повністю запустити на власній машині. Ваша модель, ваше сховище, ваш граф, синхронізуючи лише необхідне. Інтелект робочих процесів під вашим власним дахом, без нічого на наших серверах, якщо ви не вирішите помістити це туди (ви можете переключатися туди-сюди на свій розсуд). Архітектура будується з цим пунктом призначення на увазі, і кожне рішення, яке ми приймаємо між зараз і запуском, перевіряється відносно нього.

(Якщо це звучить амбітно – добре. Галузь, яка тихенько надсилала ваші дані до навчальних наборів впродовж десяти років, заслуговує на амбітну комерційну відповідь.)

Зберігання даних – у вашому контролі

Sugarbug відтворює політику зберігання вашої вихідної системи. Якщо ваш Slack зберігає повідомлення 90 днів, копія Sugarbug зникає за тим самим розкладом – на кожній поверхні, включно з завданнями, підсумками особи, підготовкою до зустрічей та векторним пошуком. Ви встановлюєте вікно один раз – ми дотримуємось його скрізь.

Коли ви видаляєте обліковий запис, ми видаляємо все, включно з векторними ембедінгами.

Жодного замка на дверях

Ми не хочемо вас прив'язувати. Ми хочемо, щоб ви залишались, тому що Sugarbug – це справді найкращий досвід і робить вас та вашу команду гострішими за будь-яку альтернативу – не тому що іти важко. Тому ви можете витягти свої дані в будь-який момент, без розмов з відділом продажів і без команди утримання між вами та кнопкою експорту. Кожне завдання, кожна особа, кожна зустріч постачаються у переносному форматі, готовому до перенесення в будь-яке наступне місце.

Спробуйте інші варіанти. Кидайте нам виклик. Цей тиск – частина того, як ми покращуємось, а полегшення вашого робочого життя – уся ціль.

Збудовано з надлишком для підприємств

Великі, регульовані організації мають закупівельні перевірки, що тривають місяцями, і чек-листи на сотні запитань. (Якщо ви коли-небудь заповнювали SIG Lite о 23:00 напередодні закриття угоди – я вам винен напій.) Безпекова розповідь Sugarbug розроблена для проходження цих перевірок з першого разу. Якщо ви коли-небудь намагались пройти одну з них опівночі, напівсонні, тихо торгуючись з всесвітом за таблицю меншого розміру – ви вже знаєте цей розділ напам'ять: продукт побудований так, щоб вам не доводилось ухилятись ні від чого в ньому.

Ідентифікація та доступ. SAML 2.0 SSO з Okta, Azure AD, Ping, Google Workspace та JumpCloud. Надання та скасування надання SCIM 2.0 для автоматичного виведення з системи в момент, коли ваша HRIS позначає співробітника як звільненого. Обов'язкова MFA-політика організації, налаштовані тайм-аути сесій та IP-дозвільний список на рівні організації.

Межі даних, які ви можете перевірити.

Ваші дані не навчають моделі. Ні наші, ні наших постачальників, ні чиїсь. Це архітектурне зобов'язання, а не рядок у контракті – ми забезпечуємо нульове зберігання даних з кожним постачальником LLM, через якого маршрутизуємо сигнали, а клієнти, яким потрібна більша гарантія, можуть вибрати збагачення з пріоритетом на локальну обробку, де жодні необроблені дані не виходять за їхній периметр.
Регіональне зберігання даних у США, ЄС та Великій Британії. Ваші дані фізично залишаються в обраному вами регіоні. Жодних транскордонних копій, жодного "переважно там залишається".
Опублікований список субпроцесорів із завчасним повідомленням при зміні та вікном для вашого заперечення до набуття змін чинності.
Попередньо підписаний DPA зі Стандартними договірними положеннями для транскордонних переказів та готова Оцінка впливу на передачу для вашої юридичної команди.

Мережа та операції.

Приватна мережа через AWS PrivateLink, Azure Private Endpoints та GCP Private Service Connect. Для клієнтів, яким це потрібно, трафік між вашою мережею та Sugarbug ніколи не стосується публічного інтернету.
Потокове передавання журналів аудиту до Splunk, Datadog, Microsoft Sentinel або Chronicle. Ваш SOC бачить ті самі події, що й ми.
Підтримка юридичного утримання та eDiscovery для даних під судовим розглядом, включно із зупиненням зберігання та обмеженим експортом.
Виділена одноорендарна інфраструктура для найвідповідальніших розгортань.
Договірне повідомлення про порушення протягом 24 годин – значно раніше 72-годинного порогу GDPR.
Опубліковані цілі RTO та RPO, підкріплені задокументованим планом відновлення після катастрофи та міжрегіональними резервними копіями.
Персонал з перевіреними анкетними даними з виробничим доступом, щорічним навчанням з безпеки та щоквартальними оглядами доступу.

Верифікація на ваших умовах.

Щорічний сторонній тест на проникнення визнаною фірмою. Резюме для керівництва є публічним; повний звіт доступний під NDA.
Публічна програма винагороди за знайдені вразливості.
Центр довіри за однією URL-адресою: звіт SOC 2, сертифікат ISO/IEC 27001, резюме тесту на проникнення, список субпроцесорів, шаблон DPA, сторінка статусу безпеки та остання перехідна листівка аудиту.
Попередньо заповнені відповіді SIG Lite, CAIQ та VSA-Full для вашої закупівельної команди.

Збудовано з надлишком для охорони здоров'я

Лікарні та системи охорони здоров'я несуть інший вид ризику, ніж звичайне підприємство. У звичайному SaaS порушення – це інцидент; у клінічних умовах порушення може призвести до чогось між проблемою надання допомоги та федеральним розслідуванням, і прірва між цими двома результатами – не те місце, де ми хочемо опинитись. Sugarbug побудований з урахуванням цієї різниці. Наведені нижче зобов'язання не обмежені найвищим тарифом нашої цінової лінійки, тому що "BAA лише для корпоративних" завжди було тихо цинічним кроком у цій галузі.

Business Associate Agreement доступна на кожному платному тарифі, підписана до того, як через ваш обліковий запис проходить будь-яка Захищена медична інформація. Жодного обмеження лише корпоративним рівнем.
Засоби контролю доступу за принципом мінімальної необхідності з PHI-усвідомленим журналюванням аудиту, що зберігається шість років для відповідності вимогам HIPAA та HITECH.
Повідомлення про порушення відповідно до HITECH з визначеним часовим графіком та задокументованим робочим процесом.
Виділена одноорендарна інфраструктура для розгортань, де спільний багатоорендарний хостинг не відповідає вашим внутрішнім стандартам.

Траєкторія відповідності

Аудити – це не весело. Так само не весело й виявляти, що "безпечний за замовчуванням" постачальник, якого ви купили минулого року, мав на увазі "безпечний у торговій презентації". На момент виходу в продакшн Sugarbug прагне до:

SOC 2 Type II – безпека, доступність та конфіденційність.
ISO/IEC 27001 – міжнародне управління інформаційною безпекою.
HIPAA для клієнтів із Business Associate Agreements.
GDPR – переносність даних, право на видалення та законна підстава протягом усього процесу.

Архітектурні рішення, які ми вже прийняли, безпосередньо відповідають засобам управління, яких вимагають ці рамки: ізоляція орендарів на кожному рівні, наскрізне журналювання аудиту, конвертне шифрування, семантика верифікованого видалення та модель збору в просторі користувача, що за задумом не допускає адміністраторів до приватних даних. Безпека Sugarbug – не розділ, що додається в кінці; це форма продукту. Найкоротший чесний шлях до проходження аудиту – побудувати продукт так, як аудитор бажав би, щоб це робив кожен, і ми намагаємось зробити це з першого разу.

Якщо ви хочете рівень інтелекту робочих процесів, який ставиться до ваших даних як до медичних записів, а не як до тренувального матеріалу – це те, що ми будуємо. Спробуйте Sugarbug на sugarbug.ai.

Часті запитання

Найпоширеніші запитання про безпеку Sugarbug – з прямими відповідями.

Чи навчає Sugarbug моделі штучного інтелекту на моїх даних?

Ні, і ніколи не буде. Це архітектурне рішення, а не договірне. На момент виходу в продакшн у нас діє нульове зберігання даних з кожним постачальником LLM, через якого ми маршрутизуємо, а клієнти, яким потрібна ще більша суворість, можуть вибрати збагачення з пріоритетом на локальну обробку.

Чи може мій роботодавець читати мої приватні повідомлення Slack через Sugarbug?

Ні. Sugarbug збирає дані лише з вашими правами доступу. Адміністратор організації не бачить нічого, що організація не змогла б побачити без Sugarbug – публічні канали, спільні документи, групові календарі. Ваші приватні інтеграції належать лише вам.

Що станеться з моїми даними Sugarbug, коли я залишу компанію?

Ви зберігаєте свій приватний граф і йдете з ним. Вихід з організації скасовує ваш доступ до сукупного джерела організації та її сигналів; коли доступ до підключених інструментів видаляється, їхня історія також видаляється. Ваша особиста історія та нотатки залишаються з вами.

Як Sugarbug не допускає персональних даних до запитів штучного інтелекту?

На момент виходу в продакшн PII видаляється з кожного збагачувального пейлоаду до того, як модель їх побачить – незалежно від того, наша це модель, ваша, хмарний постачальник чи повністю локальна. LLM бачить форму вашої проблеми, але ніколи – людей або дані всередині неї.

Чи відповідає Sugarbug вимогам SOC 2 та HIPAA?

На момент виходу в продакшн Sugarbug прагне відповідати SOC 2, ISO/IEC 27001, HIPAA (з BAA) та GDPR. BAA доступні на кожному платному тарифі, а не лише за корпоративними цінами.