Iudicata

Veritas ex fonte.

Bezpečnosť.

Ako Iudicata chráni dôverné informácie z právnej praxe.

Otázka v právnom výskume často obsahuje detaily o klientovi, prípade alebo procesnej stratégii. Bezpečnosť preto nie je doplnkovou funkciou Iudicaty, ale architektonickým predpokladom: bez nej právny asistent nemá zmysel.

Aplikácia aj databáza bežia v EÚ. Komunikácia aj databázové úložisko sú šifrované. Poskytovatelia modelov podľa svojich podmienok služby nepoužívajú vstupy zákazníkov na trénovanie; rozšírené záruky (zero retention, DPA) uzatvárame po vyjdení z bety.

Nasleduje, ako tieto princípy realizujeme v jednotlivých vrstvách architektúry.

Východisko

Prečo má bezpečnosť právneho asistenta iné parametre.

Právny asistent rieši tri špecifické riziká, ktoré bežný SaaS nepozná:

  • Únik dôverných informácií: Otázka obsahuje detaily o klientovi, prípade alebo právnej stratégii. Bez izolácie spracovania sa môžu tieto informácie dostať k tretím stranám.
  • Tréning na vstupných dátach: Niektoré jazykové modely používajú vstupy používateľov na ďalší tréning. Vaše otázky sa tak môžu stať trvalou súčasťou systému.
  • Mimoeurópska jurisdikcia: Spracovanie údajov mimo EÚ otvára otázky kompatibility s GDPR, lokálnymi predpismi a profesijnou tajomnosťou advokáta.

Iudicata pristupuje k týmto rizikám prostredníctvom šiestich architektonických rozhodnutí.

Architektúra

Šesť bezpečnostných záruk.

Každá záruka je architektonickým rozhodnutím, nie marketingovým sľubom. Najprv prehľad, potom rozpis.

  1. 01Nulová retencia u poskytovateľov modelov: Štandardné API poskytovateľov nepoužíva vstupy na tréning. ZDR kontrakty pripravujeme po bete.
  2. 02Spracovanie výhradne v EÚ: Aplikácia a databáza bežia v EÚ. EÚ-only data residency u poskytovateľov modelov je v príprave.
  3. 03Šifrovanie pri prenose aj v pokoji: TLS 1.3 medzi prehliadačom a serverom, AES-256 na úrovni úložiska.
  4. 04GDPR-compliant architektúra: Minimalizácia dát, transparentnosť, právo na export a výmaz.
  5. 05Spracovateľská zmluva (DPA) na požiadanie: DPA šablónu pre kancelárie a inštitúcie pripravujeme.
  6. 06Auditovateľnosť odpovedí: Audítorský záznam pri každej odpovedi: čo systém spravil a z akých zdrojov.

Každá záruka rieši špecifický problém, ktorý štandardný SaaS nezohľadňuje.

01

Nulová retencia u poskytovateľov modelov

Aký problém rieši

Generický jazykový model môže používať vstupy používateľov na ďalší tréning, čo robí z dotazu trvalú súčasť systému.

S poskytovateľmi modelov (Anthropic, OpenAI) komunikujeme cez ich štandardné API. Podľa ich aktuálnych podmienok služby sa vstupy zákazníkov nepoužívajú na trénovanie modelov a sú uchovávané len krátkodobo na účely detekcie zneužitia (typicky do 30 dní).

Pre úplnú nulovú retenciu (Zero Data Retention) uzatvárame s poskytovateľmi Spracovateľské zmluvy. Tento krok plánujeme po vyjdení z bety, súčasne s rozšírením enterprise compliance balíka.

02

Spracovanie výhradne v EÚ

Aký problém rieši

Spracovanie údajov mimo EÚ otvára otázky kompatibility s GDPR a s profesijnou tajomnosťou advokáta.

Aplikácia Iudicaty a databáza s vašimi konverzáciami sú hosťované v EÚ. Vaše konverzácie a vyhľadávanie v korpuse neprechádzajú mimo EÚ jurisdikcie.

Komunikácia s poskytovateľmi modelov (Anthropic, OpenAI) v aktuálnej fáze prebieha cez ich globálne API. Plné EÚ data residency pre spracovanie modelmi zabezpečíme v rámci prípravy DPA balíka po vyjdení z bety.

03

Šifrovanie pri prenose aj v pokoji

Aký problém rieši

Bez šifrovania je obsah komunikácie čitateľný pri prenose aj v prípade neoprávneného prístupu k úložisku.

Komunikácia medzi vaším prehliadačom a Iudicatou prebieha výhradne cez TLS 1.3 s HSTS hlavičkou. Bez HTTPS sa nedostanete ani na prihlasovaciu stránku.

Databázové úložisko šifruje obsah pomocou AES-256 na úrovni disku. Aj v prípade priameho prístupu k úložisku zostávajú vaše dáta nečitateľné bez šifrovacích kľúčov.

04

GDPR-compliant architektúra

Aký problém rieši

Bez systematického súladu s GDPR sa procesy registrácie, výmazu a exportu stávajú právnou pascou pre prevádzkovateľa aj používateľa.

Architektúra rešpektuje princípy GDPR: minimalizáciu dát (zbierame len to, čo je potrebné pre fungovanie), účelové obmedzenie (dáta nepoužívame inak, než deklarujeme) a transparentnosť (jasné podmienky pri registrácii).

Export svojich konverzácií aj výmaz účtu môžete kedykoľvek vyžiadať. Po vymazaní účtu žiadne dáta nezdržiavame nad rámec zákonných povinností.

05

Spracovateľská zmluva (DPA) na požiadanie

Aký problém rieši

Pre advokátske kancelárie a inštitúcie je DPA podľa GDPR často podmienkou nasadenia nástroja.

Pre kancelárie, inštitúcie a klientov s vyššími compliance požiadavkami pripravujeme Spracovateľskú zmluvu (Data Processing Agreement) podľa článku 28 GDPR.

Zmluva bude pokrývať právny rámec spracovania osobných údajov, technické a organizačné opatrenia, povinnosti pri incidente aj subspracovateľov (Anthropic, OpenAI, Supabase). Predpokladaná dostupnosť: po vyjdení Iudicaty z bety.

06

Auditovateľnosť odpovedí

Aký problém rieši

Bez auditovateľnosti sa systém stáva čiernou skrinkou, ktorej rozhodnutia nemôžete preveriť.

Pri každej odpovedi vidíte audítorský záznam: ktoré rozhodnutia systém našiel, ktoré citácie boli overené, aký mal grounding a aký model bol použitý. Žiadny krok nie je skrytý.

Auditovateľnosť je technickou súčasťou každej odpovede, nielen deklaratívnym princípom. Detail nájdete v Metodológii.

Hranice bezpečnosti

Čo zatiaľ nemáme.

Bezpečnosť stojí na architektúre, ale nie všetko vieme v aktuálnej fáze projektu deklarovať. Tu sú vedomé obmedzenia:

  1. 01

    Nemáme externé certifikácie (SOC 2, ISO 27001).

    Pre veľké enterprise nasadenia sú tieto certifikácie štandardom. V aktuálnej fáze projektu sa zameriavame na overiteľnú architektúru, nie na audit externej firmy. Certifikáciu plánujeme po stabilizácii produktu.

  2. 02

    Zero retention zmluvy a DPA šablóna sú v príprave.

    V aktuálnej beta fáze využívame štandardné API poskytovateľov modelov (Anthropic, OpenAI), ktoré podľa ich podmienok služby nepoužívajú vstupy na tréning. Formálne Spracovateľské zmluvy (DPA) a Zero Data Retention klauzuly uzatvárame po vyjdení z bety.

  3. 03

    Externý penetration audit je v pláne.

    Bezpečnostný audit infraštruktúry treťou stranou plánujeme po vyjdení z bety. Do tej doby stojí naša bezpečnosť na štandardných postupoch (TLS, šifrovanie, izolácia rolí) a interných kontrolách.

  4. 04

    Nezabezpečujeme on-premise deployment.

    Iudicata beží v cloude. Pre kancelárie, ktoré potrebujú lokálne nasadenie na vlastnej infraštruktúre, nemáme aktuálne riešenie. Pri záujme nás kontaktujte pre individuálnu konzultáciu.

  5. 05

    Špeciálne enterprise požiadavky riešime individuálne.

    Ak máte zmluvné požiadavky nad rámec GDPR a štandardnej DPA (napríklad lokalizácia v konkrétnom dátovom centre, vlastný šifrovací kľúč, SSO integrácia), kontaktujte nás pre individuálne riešenie.

Záver

„Bezpečnosť stojí na architektúre, nie na sľuboch."

Iudicata stavia bezpečnosť ako predpoklad fungovania, nie ako doplnok. Aplikácia aj vaše konverzácie zostávajú v EÚ, komunikácia je šifrovaná a každá odpoveď je auditovateľná. Plné enterprise záruky (ZDR, DPA) pripravujeme po vyjdení z bety.

Pokračujte

Súvisiace stránky.

Metodológia

Ako Iudicata pracuje s tým, čo má v korpuse: od klasifikácie otázky po validáciu citácií.

Pozrieť metodológiu

Korpus a pokrytie

Kompletný zoznam súdov a počty rozhodnutí, ktoré máme spracované.

Pozrieť pokrytie