NDA و حفاظت از اطلاعات محرمانه
1) اهداف و اصول
NDA (Non-disclosure agreement) و سیاست های داخلی از موارد زیر محافظت می کند:- اسرار تجاری (الگوریتم های ضد تقلب، پروفایل های جایزه، مدل های ML، ریاضیات RNG) ؛
- مواد مذاکره (برچسب قیمت، پیشنهادات، M&A، علت سعی و کوشش) ؛
- فرآیندهای فنی و منابع (معماری, IaC, نمودار API, کلید);
- داده های شریک (SDK، roadmaps، beta) ؛
- اطلاعات شخصی/کسب و کار (در داخل DPA/DSA).
اصول: نیاز به دانستن، ردیابی، رمزگذاری به طور پیش فرض، جداسازی نقش ها/مسئولیت ها، «اتاق تمیز» برای توسعه مشترک.
2) طبقه بندی و علامت گذاری اطلاعات
سطح طبقه بندی توصیه شده و قوانین تماس:علامت گذاری: [CONFIDENTIAL]، صاحب اطلاعات، تاریخ انتشار، پیوند به دلیل بلیط/دسترسی.
3) حالت اسرار تجاری
قانون/سیاست قانونی: فهرست اطلاعات، اقدامات حفاظتی، مسئولیت.
اقدامات فنی: RBAC/ABAC، سیاهههای مربوط دسترسی، DLP، علامت گذاری، چاپ/کنترل تصویر.
سازمانی: چک لیست onboarding/offboarding، آموزش، توافق عدم افشای، ممنوعیت را/را از رسانه ها بدون ثبت نام.
نظم و انضباط بارانداز: نسخه، رجیستری مصنوع، برچسب زدن، «راز» کانال (فضاهای بسته/مخازن).
4) انواع NDA
یک طرفه: یک طرف (معمولا ارائه دهنده SDK) را نشان می دهد.
متقابل: تبادل اطلاعات محرمانه در هر دو جهت (مذاکرات، ادغام).
چند جانبه: کنسرسیوم، خلبانان مشترک.
NCA/NDA + NCA: عدم دور زدن (ممنوعیت برای دور زدن واسطه) به NDA اضافه می شود.
NDA با توسعه دهنده/پیمانکار: ترکیب با اختراعات/تخصیص (حقوق به نتایج).
5) بخش های کلیدی NDA (که اجباری است)
1. تعریف اطلاعات محرمانه: شامل شفاهی (پس از تایید کتبی بیشتر)، رسانه های الکترونیکی، ملموس ؛ لیست نمونه های معمول (کد، طرح، قیمت، داشبورد).
2. استثنا: (i) عمومی بدون نقض شناخته شده است ؛ ب) در حال حاضر در اختیار قانونی است ؛ (iii) به طور مستقل توسعه یافته (به طور قابل اثبات) ؛ (iv) به طور قانونی به سازمان های دولتی (با اطلاع) افشا شده است.
3. هدف از افشای: خاص (ارزیابی مشارکت، خلبان، حسابرسی).
4. تعهدات گیرنده: سطح حفاظت کمتر از خودشان نیست ؛ نیاز به دانستن، ممنوعیت کپی کردن فراتر از هدف، ممنوعیت مهندسی معکوس/معیار بدون رضایت.
5. مدت و «بقا»: مدت قرارداد (به عنوان مثال 2-5 سال) + حفاظت پس از مدت از اسرار (به عنوان مثال،. 5-10 سال/نامحدود برای اسرار).
6. بازگشت/تخریب: پس از درخواست یا تکمیل - بازگشت/حذف با تایید ؛ پشتیبان گیری - تحت حالت ذخیره سازی تا خودکار مدت.
7. اطلاعیه های حسابرسی و حادثه: سرعت اطلاع رسانی (به عنوان مثال ≤72 ساعت)، همکاری در تحقیقات.
8. راه حل های قانونی: تسکین اجباری، جبران خسارت، محدودیت برای نقض عمدی اعمال نمی شود.
9. قانون قابل اجرا/داوری: صلاحیت/انجمن، زبان، ADR/داوری.
10. صادرات/تحریم ها: ممنوعیت انتقال به زیر تحریم/حوزه های قضایی ؛ انطباق با کنترل صادرات (رمزنگاری).
11. «دانش باقی مانده» (به عنوان توافق شده): ممکن است/غیر ممکن است برای استفاده از «دانش ثبت نشده» از کارکنان (معمولا - برای حذف یا محدود کردن).
12. پیمانکاران فرعی/وابسته: تنها با تعهدات مشابه و رضایت کتبی مجاز است.
13. حفاظت از داده ها (اگر PII): اشاره به DPA/DSA، نقش احزاب (کنترل کننده/پردازنده)، اهداف/مبنای قانونی، انتقال مرزی، دوره نگهداری.
6) پیوند NDA ها به حریم خصوصی و امنیت
اگر اطلاعات شخصی منتقل شود، NDA کافی نیست - اقدامات DPA/DSA و GDPR/آنالوگ مورد نیاز است (زمینه های قانونی، حقوق افراد، DPIA برای ریسک بالا).
کنترل فنی: رمزگذاری در حمل و نقل (TLS 1. 2 +)، در حالت استراحت (AES-256)، مدیریت مخفی، چرخش کلید، MDM برای دستگاه ها، 2FA، SSO، به حداقل رساندن سیاهههای مربوط PII.
7) روش های دسترسی و تبادل
کانال ها: ایمیل دامنه، اتاق های محافظت شده (VDR)، SFTP/mTLS، بایگانی رمزگذاری شده (AES-256 + رمز عبور خارج از باند).
ممنوعیت: پیام رسان های فوری بدون ادغام شرکت ها، ابرهای شخصی، لینک های عمومی، دستگاه های مدیریت نشده.
کنترل چاپ/صادرات، ممنوعیت رسانه های فلش شخصی، محدودیت های جغرافیایی (geofenses).
8) اتاق تمیز و همکاری
دستورات «دیدن» و «تمیز» را جدا کنید، مصنوعات یک طرفه را جداگانه ذخیره کنید.
منابع و منابع مستند
برای PoC های مشترک: در مورد حقوق نتایج (مشترک/تخصیص) که دارای داده های مشتق شده است، موافقت کنید.
9) ماتریس ریسک RAG
10) چک لیست
قبل از تبادل اطلاعات
- امضا شده توسط NDA (راست/انجمن/مدت/استثنا/تحریم).
- آیا من نیاز به یک DPA/DSA ؟ اگر بله، امضا کنید.
- مجموعه مالک و طبقه بندی سطح اختصاص داده شده است.
- کانال مبادله و رمزگذاری سازگار هستند.
- نیاز به دانستن لیست، دسترسی VDR/پوشه پیکربندی شده است.
در طول تبادل
- علامت گذاری فایل و نسخه، علامت های سفید.
- سیاهههای مربوط دسترسی، بدون به اشتراک گذاری مجدد بدون رضایت.
- مبالغ هش/ثبت نام مصنوعی.
پس از اتمام
- بازگشت/حذف و تایید کتبی.
- دسترسی لغو شد، نشانه ها/کلید ها چرخانده شد.
- پس از ممیزی: چه چیزی باید در فرآیندها/قالب ها بهبود یابد.
11) قالب (قطعات بند قرارداد)
الف) تعریف و استثنائات
«اطلاعات محرمانه» به معنی هر گونه اطلاعات غیر علنی ارائه شده توسط افشای حزب به گیرنده, از جمله فنی, تجاری, داده های مالی, کد, مستندات, مشخصات, برنامه های توسعه, شرایط قراردادی. اطلاعات محرمانه در نظر گرفته نمی شود اگر: (i) قبل از افشای آن در دسترس عموم باشد ؛ (ii) به طور کلی از طریق هیچ نقض در دسترس است ؛ (iii) به طور قانونی با گیرنده بود ؛ 4) به طور مستقل ساخته شده است.
B. تعهدات و دسترسی
C. مدت/بقا
D. بازگشت/تخریب
در صورت درخواست طرف افشاگر، گیرنده باید ظرف مدت [10] روز مواد را بازگرداند یا از بین ببرد و آن را به صورت کتبی تأیید کند. پشتیبان گیری تا زمان حذف خودکار استاندارد، با توجه به محرمانه بودن حفظ می شود.
E. راه حل های قانونی
طرفها تأیید میکنند که نقض ممکن است صدمات جبران ناپذیری ایجاد کند ؛ طرف افشاگر حق خواهد داشت علاوه بر سایر راه حلها به دنبال تسکین اجباری باشد.
F. صادرات/تحریم
گیرنده تضمین می کند که با کنترل صادرات و رژیم های تحریم مطابقت داشته باشد و اطلاعات را به اشخاص/حوزه های قضایی تحت محدودیت انتقال نخواهد داد.
G. دانش باقی مانده (اختیاری)
طرفین توافق می کنند که مهارت های عمومی اثبات نشده و دانش کارکنان گیرنده اطلاعات محرمانه در نظر گرفته نمی شود، به شرطی که هیچ حفظ عمدی و استفاده از کد منبع/فرمول های مخفی وجود نداشته باشد. (توصیه می شود که پروژه های با ریسک بالا را حذف یا به شدت محدود کنید.)
12) ثبت نام توصیه شده (YAML)
12. 1 ثبت نام NDA
yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"12. 2 رجیستری تبادل مصنوعات
yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf" # sha256:...
- "kpis_q1. xlsx" # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false13) سیاست ها و شیوه های امنیتی (مختصر)
دستگاه ها: شرکت های بزرگ، رمزگذاری دیسک کامل، MDM، ممنوعیت BYOD برای «راز».
دسترسی: SSO/2FA، دسترسی مشروط (جغرافیایی/دستگاه)، نقش موقت (فقط در زمان).
سیاهههای مربوط: ذخیره سازی و نظارت بر دسترسی ؛ هشدارها برای تخلیه انبوه/ساعات غیر استاندارد.
DLP: بلوک پیوست های خارج از دامنه/بدون رمزگذاری، علامت های سفید در PDF.
راحتی: قالب های اتاق امن (VDR)، اسکریپت های رمزگذاری آرشیو آماده، استاندارد NDA/DPA.
14) مدیریت حوادث (در زمینه NDA)
1. تثبیت: چه، چه زمانی، چه کسی، چه فایل ها/مخازن ؛ جلسات انجماد
2. جداسازی: لغو دسترسی/کلید، «فریزر» موقت در ابر.
3. اطلاعیه ها: صاحب داده ها، وکلا، شرکا ؛ PII - توسط DPA/GDPR.
4. بررسی: جمع آوری سیاهههای مربوط، پزشکی قانونی، تعیین میزان آسیب.
5. اصلاح: جایگزین اسرار، تکه ها، به روز رسانی playbooks، یادگیری.
6. اقدامات قانونی: ادعا/ادعای کار در NDA، جبران خسارت.
15) مینی سوالات متداول
آیا NDA برای اطلاعات شخصی کافی است ؟ نه، شما نیاز به DPA/DSA و اقدامات حفظ حریم خصوصی دارید.
آیا امکان ارسال پیام به صورت محرمانه وجود دارد ؟ فقط در شرکت تایید شده و پایان به پایان، با DLP/سیاهههای مربوط را فعال کنید.
چقدر برای ذخیره مواد ؟ به همان اندازه که توسط هدف/قرارداد مورد نیاز است ؛ پس از اتمام - بازگشت/حذف با تایید.
آیا باید درایوهای داخلی را رمزگذاری کنم ؟ بله، رمزگذاری کامل دیسک + فایل/مخفی.
16) نتیجه گیری
NDA فقط نوک کوه یخ است. حفاظت واقعی بر اساس اسرار تجاری، حفظ حریم خصوصی (DPA)، کنترل دقیق فنی و سازمانی، نظم و انضباط مبادله و پاسخ سریع حادثه است. قالب ها را استاندارد کنید، ثبات ها و playbooks ها را ایجاد کنید - و اسرار، کد و مذاکرات شما یک دارایی باقی خواهد ماند، نه یک آسیب پذیری.