NDA და კონფიდენციალური ინფორმაციის დაცვა
1) მიზნები და პრინციპები
NDA (Non-Disclosure Agreement) და საშინაო პოლიტიკა იცავს:- ბიზნეს საიდუმლოებები (ანტიფროდული ალგორითმები, ბონუს პროფილები, ML მოდელები, მათემატიკა RNG);
- მოლაპარაკებების მასალები (ფასების, ოფისების, M&A, due diligence);
- პროცესები და წყაროები (არქიტექტურა, IaC, API სქემები, გასაღებები);
- პარტნიორობის მონაცემები (SDK, roadmaps, bets);
- პერსონალური/კომერციული მონაცემები (DPA/DSA- ს ფარგლებში).
პრინციპები: წვდომის შემცირება, კვალიფიკაციის ამაღლება, ნაგულისხმევი დაშიფვრა, როლების/მოვალეობების გამიჯვნა, ერთობლივი განვითარებისათვის „სუფთა ოთახი“.
2) ინფორმაციის კლასიფიკაცია და ეტიკეტირება
კლასიფიკაციის რეკომენდებული დონე და მიმოქცევის წესები:მარკირება: '[CONFIDENTIAL]', მონაცემთა მფლობელი, გამოშვების თარიღი, ბმული ticet/წვდომის ბაზაზე.
3) სავაჭრო საიდუმლოების რეჟიმი
იურიდიული აქტი/პოლიტიკა: ინფორმაციის ჩამონათვალი, დაცვის ზომები, პასუხისმგებლობა.
ტექნიკური ზომები: RBAC/ABAC, წვდომის ჟურნალები, DLP, watermarking, ბეჭდვის/ეკრანის კონტროლი.
ორგანიზაციული: onboarding/offboarding ჩეკების ფურცლები, ტრენინგი, არა გამჟღავნების ხელშეკრულებები, რეგისტრაციის გარეშე მატარებლების შემოტანის/გატანის აკრძალვა.
დოკის დისციპლინა: ვერსიები, არტეფაქტების რეესტრი, ეტიკეტირება, „საიდუმლო“ არხები (დახურული ადგილები/საცავები).
4) სახეობები NDA
ცალმხრივი (ერთი გზა): ერთი მხარე ავლენს (ჩვეულებრივ, SDK მიმწოდებელი).
ურთიერთგამომრიცხავი: კონფიდენციალური ინფორმაციის გაცვლა ორივე მიმართულებით (მოლაპარაკებები, ინტეგრაცია).
მრავალმხრივი (მრავალმხრივი): კონსორციუმები, ერთობლივი მფრინავები.
NCA/NDA + NCA: non-circumvention (შუამავლის გვერდის ავლით აკრძალვა) ემატება NDA- ს.
NDA დეველოპერთან/კონტრაქტორთან: აერთიანებს Inventions/Assignment (შედეგების უფლებები).
5) NDA- ს ძირითადი მონაკვეთები (რაც აუცილებელია)
1. კონფიდენციალური ინფორმაციის განმარტება: აგრეთვე. ზეპირი (შემდგომი წერილობითი დადასტურებით), ელექტრონული, მატერიალური მედია; ჩამოთვალეთ ტიპიური მაგალითები (კოდი, სქემები, ფასები, დაშბორდები).
2. გამონაკლისები: (i) საჯაროდ არის ცნობილი დარღვევის გარეშე; (ii) უკვე კანონიერ მფლობელობაში იყო; (Iii) დამოუკიდებლად შემუშავებულია (დადასტურებულია); (iv) გაიხსნა სახელმწიფო ორგანოების კანონიერი საფუძველზე (შეტყობინებით).
3. გამჟღავნების მიზანი: კონკრეტული (პარტნიორობის შეფასება, მფრინავი, აუდიტი).
4. მიმღების ვალდებულებები: დაცვის დონე არ არის დაბალია, ვიდრე საკუთარი; არ ვიცი, კოპირების აკრძალვა მიზნის მიღმა, საპირისპირო განვითარების აკრძალვა/benchmarking თანხმობის გარეშე.
5. ვადა და „გადარჩენა“: ხელშეკრულების ვადა (მაგ., 2-5 წელი) + საიდუმლო დაცვა (მაგ., 5-10 წელი/შეუზღუდავი საიდუმლოებისთვის).
6. დაბრუნება/განადგურება: მოთხოვნის ან დასრულების დროს - დადასტურებით დაბრუნება/მოცილება; სარეზერვო ასლები - შენახვის რეჟიმის ქვეშ, მანქანის ვადამდე.
7. აუდიტი და ინციდენტების შეტყობინებები: შეტყობინების სიჩქარე (მაგ., 72 საათი), გამოძიებაში თანამშრომლობა.
8. დაცვის იურიდიული საშუალებები: ინჯუნციური რელიფი (სასამართლო აკრძალვა), კომპენსაცია, შეზღუდვები არ გამოიყენება განზრახ დარღვევებზე.
9. გამოყენებული კანონი/არბიტრაჟი: იურისდიქცია/ფორუმი, ენა, ADR/არბიტრაჟი.
10. ექსპორტი/სანქციები: ქვეპროგრამის პირებზე/იურისდიქციებზე გადაცემის აკრძალვა; ექსპორტის კონტროლის დაცვა (კრიპტოგრაფია).
11. „Residual Knowledge“ (შეთანხმებით): თქვენ შეგიძლიათ/არ გამოიყენოთ თანამშრომლების „დაუწერელი ცოდნა“ (ჩვეულებრივ, გამორიცხეთ ან შეზღუდოთ).
12. ქვეკონტრაქტორები/შვილობილი პირები: ნებადართულია მხოლოდ მსგავსი ვალდებულებებით და წერილობითი თანხმობით.
13. მონაცემთა დაცვა (თუ არსებობს PII): ბმული DPA/DSA, მხარეთა როლი (მაკონტროლებელი/პროცესორი), მიზნები/სამართლებრივი საფუძვლები, ტრანსსასაზღვრო გადაცემები, შენახვის ვადა.
6) NDA კავშირი კონფიდენციალურობასთან და უსაფრთხოებასთან
თუ პერსონალური მონაცემები გადადის, NDA არ არის საკმარისი - საჭიროა DPA/DSA და ზომები GDPR/ანალოგებისთვის (იურიდიული საფუძვლები, სუბიექტების უფლებები, DPIA მაღალი რანგისთვის).
ტექნიკური კონტროლი: ტრანზიტის დაშიფვრა (TLS 1. 2 +), at-rest (AES-256), საიდუმლო მენეჯმენტი, კლავიშების როტაცია, მოწყობილობებისთვის MDM, 2FA, SSO, ლოგოების შემცირება PII- ით.
7) წვდომისა და გაცვლის პროცედურები
არხები: დომენის ფოსტები, დაცული ოთახები (VDR), SFTP/mTLS, დაშიფრული არქივები (AES-256 + out-of-band პაროლი).
აკრძალვა: მყისიერი მესინჯერები კორპორატიული ინტეგრაციის გარეშე, პირადი ღრუბლები, საზოგადოებრივი ბმულები, უკონტროლო მოწყობილობები.
ბეჭდვის/ექსპორტის კონტროლი, პირადი ფლეშ მატარებლების აკრძალვა, გეო შეზღუდვები (გეოფენები).
8) წებოვანი ოთახი და ერთობლივი განვითარება
გამოყავით ბრძანებები „ხედავენ“ და „სუფთა“, ცალკე შეინახეთ ცალმხრივი ნივთები.
დოკუმენტირებული წყაროები და წარმოშობა (provenance).
ერთობლივი PoC- სთვის: კოორდინაცია გაუწიეთ Derived Data- ს ერთობლივი/ერთობლივი უფლებების უფლებებს.
9) RAG რისკის მატრიცა
10) ჩეკის ფურცლები
ინფორმაციის გაცვლამდე
- ხელი მოეწერა NDA- ს (კანონი/ფორუმი/ვადა/გამონაკლისი/სანქციები).
- სჭირდება DPA/DSA? თუ დიახ, ხელი მოეწერა.
- დაინიშნა მონაცემთა ნაკრების მფლობელი და კლასიფიკაციის დონე.
- გაცვლისა და დაშიფვრის არხი შეთანხმებულია.
- მიმღების სია, VDR/საქაღალდეებში წვდომა.
გაცვლის დროს
- ფაილების მარკირება და ვერსია, წყლის ნიშნები.
- წვდომის ჟურნალები, სარეკრეაციო გაზიარების აკრძალვა თანხმობის გარეშე.
- ჰეშის თანხები/არტეფაქტების რეესტრი.
დასრულების შემდეგ
- დაბრუნება/მოცილება და წერილობითი დადასტურება.
- ხელმისაწვდომობა გაიხსენეს, ნიშნები/გასაღებები მოხსნილია.
- პოსტ-აუდიტი: რა უნდა გაუმჯობესდეს პროცესებში/შაბლონებში.
11) შაბლონები (საკონტრაქტო პუნქტის ფრაგმენტები)
A. განმარტება და გამონაკლისი
ვალდებულებები და წვდომა
C. ვადა/გადარჩენა
დაბრუნება/განადგურება
E. იურიდიული საშუალებები
F. ექსპორტი/სანქციები
Residual Knowledge (სურვილისამებრ)
მხარეები თანხმდებიან, რომ მიმღების თანამშრომლების ზოგადი უნარები და ცოდნა, რომლებიც მატერიალურად არ არის დაფიქსირებული, არ განიხილება კონფიდენციალურ ინფორმაციად, იმ პირობით, რომ არ არის მიზანმიმართული დამახსოვრება და წყაროების კოდის/საიდუმლო ფორმულების გამოყენება. (რეკომენდებულია აღმოფხვრა ან მკაცრად შეზღუდვა მაღალი რისკის პროექტებში.)
12) რეკომენდებული რეესტრები (YAML)
12. 1 NDA რეესტრი
yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"12. 2 არტეფაქტების გაცვლის რეესტრი
yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf" # sha256:...
- "kpis_q1. xlsx" # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false13) უსაფრთხოების პოლიტიკა და პრაქტიკა (მოკლედ)
მოწყობილობები: კორპორატიული, სრული დისკის დაშიფვრა, MDM, საიდუმლო აკრძალვა BYOD.
წვდომა: SSO/2FA, პირობითი დაშვება (გეო/მოწყობილობა), დროებითი როლები (just-in-time).
ლოგოები: წვდომის შენახვა და მონიტორინგი; ალერტები მასობრივი გადმოტვირთვის/არასტანდარტული საათის განმავლობაში.
DLP: დომენის მიღმა ინვესტიციების ბლოკი/დაშიფვრის გარეშე, წყლის ნიშნები PDF- ში.
მოხერხებულობა: დაცული ოთახების შაბლონები (VDR), მზა არქივის სკრიპტები, სტანდარტული NDA/DPA.
14) ინციდენტის მენეჯმენტი (NDA კონტექსტში)
1. ფიქსაცია: რა, როდის, ვინ, რომელი ფაილები/საცავები; სესიების გაყინვა.
2. იზოლაცია: წვდომის/გასაღებების მიმოხილვა, ღრუბელში დროებითი „საყინულე“.
3. შეტყობინებები: მონაცემთა მფლობელი, იურისტები, პარტნიორები; PII - DPA/GDPR- ზე.
4. გამოძიება: ლოგოების შეგროვება, წინსვლა, ზიანის ოდენობის დადგენა.
5. რემედიაცია: საიდუმლოების შეცვლა, პატჩი, პლეიბუკების განახლება, ტრენინგი.
6. სამართლებრივი ზომები: პრეტენზია/პრეტენზია NDA- ს შესახებ, ანაზღაურება.
15) მინი-FAQ
საკმარისია NDA პერსონალური მონაცემებისთვის? არა, ჩვენ გვჭირდება DPA/DSA და კონფიდენციალურობის ზომები.
შესაძლებელია კონფიდენციალურობის გაგზავნა მესინჯერში? მხოლოდ კორპორატიულად დამტკიცებულ და დასრულებულ, DLP/ჟურნალებში.
რამდენი მასალა შეინახეთ? იმდენი, რამდენიც საჭიროა მიზანი/ხელშეკრულება; დასასრულს - დადასტურებით დაბრუნება/მოცილება.
საჭიროა შიდა დისკების დაშიფვრა? დიახ, სრული დისკი + ფაილების/საიდუმლოებების დაშიფვრა.
16) დასკვნა
NDA მხოლოდ აისბერგის მწვერვალია. ნამდვილი დაცვა ემყარება კომერციული საიდუმლოების რეჟიმს, კონფიდენციალურობას (DPA), მკაცრ ტექნიკასა და ონკოლოგიურ კონტროლს, გაცვლისა და ინციდენტებზე სწრაფი რეაგირების დისციპლინას. სტანდარტიზებული შაბლონები, აიღეთ რეესტრები და ფლეიბუკები - და თქვენი საიდუმლოებები, კოდი და მოლაპარაკებები დარჩება აქტივი და არა დაუცველობა.