NDA և գաղտնի տեղեկատվության պաշտպանություն
1) Նպատակներն ու սկզբունքները
NDA (Non-Winclosure Agreator) և ներքին քաղաքականությունը պաշտպանում են
բիզնես գաղտնիքները (հակաֆրոդի ալգորիթմներ, բոնուսային պրոֆիլներ, ML մոդելներ, RNG մաթեմատիկա);
հիբրիդային նյութեր (ցեններ, օֆերներ, M&A, due diligence);
տեխնոլոգիաներ և ելքեր (ճարտարապետություն, IaC, API սխեմաներ, բանալիներ);
գործընկերային տվյալները (MSK, roadmaps, բետա);
անձնական/առևտրային տվյալները (DPA/DSA)։
Սկզբունքները 'նվազագույնի հասցնել հասանելիությունը (need-to-know), հետադարձելիությունը, լռելյայն կոդավորումը, դերերի/պարտականությունների բաժանումը, «մաքուր սենյակը» համատեղ զարգացման համար։
2) Տեղեկատվության դասակարգումը և պիտակավորումը
Առաջարկվող դասակարգման մակարդակը և կառավարման կանոնները
Մակնշումը ՝ «[DRIDENTIAL]», տվյալների սեփականատերը, թողարկման ժամանակահատվածը, հղում տիկետի/մուտքի հիմքին։
3) Առևտրային գաղտնիքների ռեժիմը (trade secrets)
Յուր ակտ/քաղաքականություն 'ռուսական ձեռնարկություններ, պաշտպանության միջոցներ, պատասխանատվություն։
Տեխնոլոգիական միջոցներ ՝ RBAC/ABAC, հասանելիության ամսագրեր, DLP, watermarking, տպագրության/սկրինշոտների վերահսկողություն։
Կազմակերպական 'onboarding/www.boarding-chek-lists, ուսուցում, չներկայացման համաձայնագրեր, արգելք մատուցել/կրողներ առանց գրանցման։
Դոկ առարկան 'վարկածներ, ռուսական արտեֆակտներ, պիտակավորում, «գաղտնի» ալիքներ (փակ տարածություններ/ռեպոզորիա)։
4) NDA տեսակները
Միակողմանի (one-way) 'բացահայտում է մի կողմը (բնորոշ է MSK-ի մատակարարը)։
Փոխադարձ (mut.ru) 'գաղտնի տեղեկատվության փոխանակումը երկու կողմերում (խոսակցություններ, խոսակցություններ)։
Ռումինիան (multilateral) 'կոնսորցիումը, միասին օդաչուները։
NCA/NDA + NCA: NDA-ին ավելացվում է non-circumvention (միջնորդի շրջանցման արգելք)։
NDA-ը զարգացողի/կապալառուի հետ 'համատեղում են Medentions/Assignations-ի հետ (արդյունքների իրավունքները)։
5) NDA հիմնական բաժինները (ինչ պետք է)
1. Գաղտնի Տեղեկատվության սահմանումը 'համեղ բանավոր (հետագայում գրավոր հաստատման դեպքում), էլեկտրոնային, նյութական։ թվեք տիպիկ օրինակներ (կոդ, սխեմաներ, գներ, dashbords)։
2. Բացառություններ ՝ (i) հրապարակայնորեն հայտնի է առանց խախտումների։ (ii) արդեն օրինական տիրապետության մեջ էր. (1934) ստեղծվել է ինքնուրույն (ապացուցված); (1934) բացահայտված է պետական մարմինների իրավական հիմքի վրա (ծանուցմամբ)։
3. Բացահայտման նպատակը 'կոնկրետ (գնահատումը, օդաչուն, աուդիտը)։
4. Ստացողի պարտավորությունները 'պաշտպանության մակարդակը ոչ ավելի ցածր է, քան սեփական։ need-to-know, չափման արգելք, հետադարձ զարգացման արգելք/benchmarking առանց համաձայնության։
5. Ժամանակահատվածը և «գոյատևումը» 'պայմանագրի ժամկետը (օրինակ ՝ 2-5 տարի) + գաղտնիքների հետպատերազմյան պաշտպանությունը (օրինակ ՝ 5-10 տարի/անսահմանափակ գաղտնիքների համար)։
6. Մոսկվան/ոչնչացումը 'խնդրանքով կամ վերջում' 108/հեռացում հաստատմամբ։ պահուստային պատճենները պահեստային ռեժիմի տակ են մինչև մեքենայի ժամկետը։
7. Աուդիտ և ծանուցումներ միջադեպերի մասին 'ծանուցման արագություն (օրինակ ՝ 2472 ժամ), համագործակցություն հետազոտության մեջ։
8. Իրավական պաշտպանության միջոցները ՝ injunctive relief (դատական արգելք), փոխհատուցումը, սահմանափակումները չեն օգտագործվում դիտավորյալ խախտումների համար։
9. Կիրառական իրավունք/108: միգրացիա/108, լեզուն, ADR/108։
10. Էքսպորտը/սանկցիան 'ենթակառուցվածքային դեմքերի/միգրացիաների փոխանցման արգելքը։ սանիտարական վերահսկողության պահպանումը (կրիպտոգրաֆիա)։
11. «Residation Knowledge» (համաձայն): Դուք չեք կարող/չեք կարող օգտագործել աշխատողների «չհրապարակված գիտելիքները» (սովորաբար բացառել կամ սահմանափակել)։
12. Ենթահողերը/փոխկապակցված դեմքերը 'թույլատրվում են միայն համապատասխան պարտավորություններով և գրավոր համաձայնությամբ։
13. Տվյալների պաշտպանությունը (եթե կա PII) 'հղում DPA/DSA, կողմերի դերը (վերահսկիչ/պրոցեսոր), նպատակները/իրավական հիմքերը, հիբրիդային փոխանցումները, պահպանման ժամանակահատվածը։
6) NDA կապը մասնագիտության և անվտանգության հետ
Եթե անձնական տվյալները փոխանցվեն, NDA-ն բավարար չէ, պահանջվում է DPA/DSA և միջոցներ GDPR/անալոգների համար (իրավական հիմքեր, սուբյեկտների իրավունքներ, DPIA high-risk)։
Տեխկոնտրոլիի 'տրանզիտում կոդավորումը (TFC 1։ 2 +), at-rest (AES-256), գաղտնիքը-կառավարումը, կոդավորման լուծումը, MDM սարքերի համար, 2FA, SSO, PII-ի հետ լոգարանների նվազեցումը։
7) Մուտքի և փոխանակման ընթացակարգերը
Ալիքները ՝ հիբրիդային փոստեր, պաշտպանված սենյակներ (VDR), SFTP/mTRK, գաղտնագրված արխիվներ (AES-256 + out-band)։
Արգելք ՝ մեսենջերներ առանց կորպորատիվ կարգավորման, անձնական ամպերի, հանրային հղումների, չկառավարվող սարքերի։
Տպագրության/էքսպորտի վերահսկումը, անձնական ֆլեշ կրիչների արգելքը, գեո սահմանափակումները (գեոֆենսներ)։
8) Clean-room և համատեղ զարգացումներ
Բաժանեք «տեսողական» և «մաքուր» թիմերը, պահեք միակողմանի արտեֆակտները առանձին։
Փաստաթղթավորեք աղբյուրները և ծագումը (provenae)։
Միասին PoC-ի համար 'ներդնել արդյունքների իրավունքները (միասին/assignations), ովքեր պատկանում են Derived Live-ին։
9) RAG ռիսկի մատրիցը
10) Չեկ թերթերը
Նախքան տեղեկատվության փոխանակումը
- Ստորագրվել է NDA (իրավունք/2019/ժամանակ/բացառություն/սանկցիա)։
- Արդյո՞ ք DPA/DSA-ն անհրաժեշտ է։ Եթե այո, ստորագրված է։
- Նշանակված է տվյալների հավաքածուի սեփականատերը և դասակարգման մակարդակը։
- Փոխանակման և կոդավորման ալիքը համաձայնեցված է։
- Կոդավորման ցանկը (need-to-know), հասանելիությունը VDR/փաթեթային։
Փոխանակման ընթացքում
- Ֆայլերի մակնշումը և տարբերակը, ստացիոնար նշանները։
- Հասանելիության ամսագրեր, ռետրո-շերինգի արգելք առանց համաձայնության։
- Հեշ գումարներ/ռուսական արտեֆակտներ։
Ավարտելուց հետո
- Մոսկվա/հեռացում և գրավոր ապացույց։
- Հասանելի են հետ կանչված, խոզանակներ/բանալիներ։
- Փոստի աուդիտ 'ինչ բարելավել գործընթացներում/ձևանմուշներում։
11) Ձևանմուշներ (պայմանագրային կետերի բեկորներ)
Ա. Սահմանումը և բացառությունները
B պարտավորություններ և հասանելիություն
C Ժամկետը/գոյատևումը
D.J/Ոչնչացում
E. իրավական միջոցներ
F. Էքսպորտը/Սանկցիաները
G. Residae Knowledge (oporational)
Կողմերը համաձայն են, որ նյութական ձևով չհրապարակված ընդհանուր հմտությունները և Ստացողի աշխատակիցների գիտելիքները գաղտնի տեղեկատվություն չեն համարվում, պայմանով, որ չկա դիտավորյալ հիշողություն և օգտագործեք կոդն/գաղտնի բանաձևերը։ (Խորհուրդ է տրվում բացառել կամ խստորեն սահմանափակել բարձր ռիսկային ծրագրերում։)
12) Խորհուրդ (YAML)
12. 1 NDA NDA
yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"12. 2 Արտեֆակտների փոխանակում
yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf" # sha256:...
- "kpis_q1. xlsx" # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false13) Անվտանգության քաղաքականության և պրակտիկայի (հակիրճ)
Սարքերը ՝ կորպորատիվ, ամբողջական կոդավորումը, MDM, BYOD արգելքը «Secret» -ի համար։
Հասանելիություն ՝ SSO/2FA, պայմանական հասանելիություն (geo/սարք), ժամանակավոր դերեր (just-in-time)։
Լոգներ 'պահեստներ և մատչելի ապրանքներ; ալտերտեր զանգվածային բեռնման/ոչ ստանդարտ ժամացույցի համար։
DLP 'ներդրումների բլոկը տիրույթից դուրս/առանց պարամետրերի, PDF-ի ստացիոնար նշանները։
Հարմարություն 'պաշտպանված սենյակների (VDR) ձևանմուշներ, ռուսական արխիվների պատրաստի ջութակներ, NDA/DPA։
14) Կառավարումը (NDA կոնտեքստում)
1. Ամրագրում 'ինչ, երբ, ո՞ վ, որ ֆայլերը/կրկնօրինակները։ նստաշրջանների սառեցում։
2. Մեկուսացում 'հասանելի/105 ակնարկներ, ժամանակավոր «ցրտահարություն» ամպում։
3. Ծանուցումներ ՝ տվյալների սեփականատերը, իրավաբանները, գործընկերները։ PII-ը DPA/GDPR-ն է։
4. Հետազոտություն 'լոգարաններ, ֆորենզիկա, վնասի ծավալի սահմանումը։
5. Ռեմեդիացիան 'գաղտնիքների փոխարինումը, փամփուշտները, պլեյբուսների նորարարությունը, ուսուցումը։
6. Իրավական միջոցները 'պահանջներ/դատական աշխատանք NDA-ի, փոխհատուցման վրա։
15) Mini-FAQ
Արդյո՞ ք NDA-ն բավարար է անձնական տվյալների համար։ Ոչ, անհրաժեշտ է DPA/DSA և գաղտնիության միջոցներ։
Հնարավո՞ ր է արդյոք գաղտնի մեսենջեր ուղարկել։ Միայն կորպորատիվ-հաստատված և end-to-end-ով, DLP/ամսագրերում։
Որքա՞ ն է պարունակվում նյութերը։ Այնքան, որքան անհրաժեշտ է նպատակը/լուծումը։ ավարտելուց հետո '2019/հեռացում հաստատմամբ։
Արդյո՞ ք անհրաժեշտ է ծածկագրել ներքին սկավառակները։ Այո, ամբողջական ֆայլերի/գաղտնիքների կոդավորումը։
16) Եզրակացություն
NDA-ն միայն սառցաբեկորի գագաթն է։ Իրական պաշտպանությունը կառուցվում է առևտրային գաղտնիքների ռեժիմում, մասնագիտության հետ (DPA), խիստ տեխնոլոգիական և տեղեկատվական վերահսկողությունների, փոխանակման կարգապահության և արագ արձագանքման վրա։ Ստանդարտացրեք ձևանմուշները, ստեղծեք օրինակներ և պլեյբուսներ, և ձեր գաղտնիքները, ծածկագիրը և խոսակցությունները կմնան ակտիվությամբ, ոչ թե խոցելիությամբ։