Перейти до змісту

Compliance

Які регуляторні вимоги ми виконуємо і чим ми підтримуємо ваш compliance.

Наші сертифікації

Стандарт Статус
GDPR (EU) ✅ Compliant
ISO 27001 🚧 Audit Q4 2026, сертифікація Q1 2027
SOC 2 Type II 🚧 Audit period Q3 2026, звіт Q1 2027
CCPA (California) ✅ Compliant
HIPAA (US healthcare) ❌ Not applicable (не обробляємо PHI клієнтів)
PCI DSS ❌ Not applicable (не обробляємо платіжні дані — це Stripe)

GDPR

Як data controller ваших користувачів ви відповідальні за compliance перед регулятором. Як ваш data processor ми виконуємо GDPR-вимоги:

  • Lawful basis: ми не обробляємо персональні дані ваших клієнтів без вашого instruction.
  • Data minimization: збираємо лише те, що необхідно для функціонування платформи.
  • Right of access: ви можете експортувати всі дані через UI або API.
  • Right of erasure: видалення за запитом, 30 днів.
  • Right of rectification: будь-яке поле редагується через UI.
  • Right to object: можна opt-out з marketing-комунікацій.
  • Data Protection Impact Assessment (DPIA): проведено, доступно за запитом для Enterprise.

Data Processing Agreement (DPA)

Окремий контракт, який підписується паралельно з основним договором:

  • Описує ролі сторін (data controller vs processor).
  • Список sub-processors з їх ролями.
  • Технічні і організаційні заходи безпеки.
  • Процедури при breach.

Шаблон DPA: https://bcp.bytecode.team/legal/dpa. Запит на підписання: legal@bytecode.team.

ISO 27001

Розпочали процес сертифікації у Q1 2026. Очікувана сертифікація — Q1 2027.

Поки що ми operate under ISO 27001 controls без формального audit:

  • Information Security Management System (ISMS).
  • Risk assessment.
  • Access controls.
  • Cryptography policies.
  • Operations security.
  • Communications security.
  • Supplier relationships management.
  • Incident management.
  • Business continuity.

Statement of Applicability — доступний для Enterprise клієнтів під NDA.

SOC 2

Type II аудит запланований на Q3 2026 (audit period 6 місяців), звіт — Q1 2027.

Поки що ми проходимо self-assessment по Trust Service Criteria:

  • Security (CC1-CC9).
  • Availability (A1).
  • Confidentiality (C1).
  • Privacy (P1-P9).

Bridge letter / interim assessment — за запитом.

Customer-facing compliance

Допомагаємо вам відповідати вашим регуляторним вимогам:

GDPR ваших користувачів

  • Findings часто містять персональні дані (email-адреси) — ми трактуємо їх як ваш controlled data.
  • DPA з нами покриває їх обробку.
  • Right of erasure: ви можете видалити будь-який finding одним кліком.

SOC 2 / ISO 27001 (ви як вендор)

  • Аудит logs платформи — evidence для контролів моніторингу.
  • Звіти — evidence для контролів risk management.
  • Compliance templates (Q4 2026) — preconfigured звіти під конкретні стандарти.

PCI DSS (якщо ви платіжний процессор)

  • Платформа допомагає з Requirement 6.6 (monitoring of public-facing web apps).
  • Документація щодо нашої role у вашому PCI scope — за запитом.

Запити аудиторів

Якщо ваш auditor хоче отримати інформацію про нашу платформу:

  1. Контакт: compliance@bytecode.team.
  2. Підпис NDA.
  3. Доступ до:
  4. Security questionnaire (SIG, CAIQ).
  5. Penetration test report.
  6. SOC 2 / ISO docs (коли будуть).
  7. Architecture diagrams.

Зазвичай SLA на response — 5 робочих днів.

Penetration testing

  • External pentests: щорічно, незалежними vendor'ами.
  • Bug bounty: відкрита програма на HackerOne (bytecode-team).
  • Internal red team: квартальні exercises.
  • Звіти: summary доступний клієнтам, full report — Enterprise під NDA.

Vulnerability disclosure

Якщо ви знайшли security issue:

90-day disclosure timeline (стандарт), коротший для критичних.