Compliance¶
Які регуляторні вимоги ми виконуємо і чим ми підтримуємо ваш compliance.
Наші сертифікації¶
| Стандарт | Статус |
|---|---|
| GDPR (EU) | ✅ Compliant |
| ISO 27001 | 🚧 Audit Q4 2026, сертифікація Q1 2027 |
| SOC 2 Type II | 🚧 Audit period Q3 2026, звіт Q1 2027 |
| CCPA (California) | ✅ Compliant |
| HIPAA (US healthcare) | ❌ Not applicable (не обробляємо PHI клієнтів) |
| PCI DSS | ❌ Not applicable (не обробляємо платіжні дані — це Stripe) |
GDPR¶
Як data controller ваших користувачів ви відповідальні за compliance перед регулятором. Як ваш data processor ми виконуємо GDPR-вимоги:
- Lawful basis: ми не обробляємо персональні дані ваших клієнтів без вашого instruction.
- Data minimization: збираємо лише те, що необхідно для функціонування платформи.
- Right of access: ви можете експортувати всі дані через UI або API.
- Right of erasure: видалення за запитом, 30 днів.
- Right of rectification: будь-яке поле редагується через UI.
- Right to object: можна opt-out з marketing-комунікацій.
- Data Protection Impact Assessment (DPIA): проведено, доступно за запитом для Enterprise.
Data Processing Agreement (DPA)¶
Окремий контракт, який підписується паралельно з основним договором:
- Описує ролі сторін (data controller vs processor).
- Список sub-processors з їх ролями.
- Технічні і організаційні заходи безпеки.
- Процедури при breach.
Шаблон DPA: https://bcp.bytecode.team/legal/dpa. Запит на підписання: legal@bytecode.team.
ISO 27001¶
Розпочали процес сертифікації у Q1 2026. Очікувана сертифікація — Q1 2027.
Поки що ми operate under ISO 27001 controls без формального audit:
- Information Security Management System (ISMS).
- Risk assessment.
- Access controls.
- Cryptography policies.
- Operations security.
- Communications security.
- Supplier relationships management.
- Incident management.
- Business continuity.
Statement of Applicability — доступний для Enterprise клієнтів під NDA.
SOC 2¶
Type II аудит запланований на Q3 2026 (audit period 6 місяців), звіт — Q1 2027.
Поки що ми проходимо self-assessment по Trust Service Criteria:
- Security (CC1-CC9).
- Availability (A1).
- Confidentiality (C1).
- Privacy (P1-P9).
Bridge letter / interim assessment — за запитом.
Customer-facing compliance¶
Допомагаємо вам відповідати вашим регуляторним вимогам:
GDPR ваших користувачів¶
- Findings часто містять персональні дані (email-адреси) — ми трактуємо їх як ваш controlled data.
- DPA з нами покриває їх обробку.
- Right of erasure: ви можете видалити будь-який finding одним кліком.
SOC 2 / ISO 27001 (ви як вендор)¶
- Аудит logs платформи — evidence для контролів моніторингу.
- Звіти — evidence для контролів risk management.
- Compliance templates (Q4 2026) — preconfigured звіти під конкретні стандарти.
PCI DSS (якщо ви платіжний процессор)¶
- Платформа допомагає з Requirement 6.6 (monitoring of public-facing web apps).
- Документація щодо нашої role у вашому PCI scope — за запитом.
Запити аудиторів¶
Якщо ваш auditor хоче отримати інформацію про нашу платформу:
- Контакт:
compliance@bytecode.team. - Підпис NDA.
- Доступ до:
- Security questionnaire (SIG, CAIQ).
- Penetration test report.
- SOC 2 / ISO docs (коли будуть).
- Architecture diagrams.
Зазвичай SLA на response — 5 робочих днів.
Penetration testing¶
- External pentests: щорічно, незалежними vendor'ами.
- Bug bounty: відкрита програма на HackerOne (
bytecode-team). - Internal red team: квартальні exercises.
- Звіти: summary доступний клієнтам, full report — Enterprise під NDA.
Vulnerability disclosure¶
Якщо ви знайшли security issue:
- Email:
security@bytecode.team. - PGP key: https://bcp.bytecode.team/.well-known/security.txt.
- Bug bounty: https://hackerone.com/bytecode-team.
90-day disclosure timeline (стандарт), коротший для критичних.