NDA және құпия ақпаратты қорғау
1) Мақсаттар мен қағидаттар
NDA (Non-Disclosure Agreement) және ішкі саясат:- бизнес-құпиялар (антифрод алгоритмдері, бонус-профильдер, ML-модельдер, RNG математикасы);
- сөйлесу материалдары (бағалар, офферлер, M&A, due diligence);
- техпроцесстер мен бастауыштар (сәулет, IaC, API-схемалар, кілттер);
- серіктестік деректер (SDK, roadmaps, беттер);
- дербес/коммерциялық деректер (DPA/DSA шеңберінде).
Қағидаттар: қолжетімділікті барынша азайту (need-to-know), бақылау, әдепкі шифрлау, рөлдерді/міндеттерді бөлу, бірлесіп әзірлеу үшін «таза бөлме».
2) Ақпаратты жіктеу және таңбалау
Ұсынылатын жіктеу деңгейі және айналыс ережелері:Таңбалау: '[CONFIDENTIAL]', деректер иесі, босату мерзімі, кіру тегі/негізі сілтемесі.
3) Коммерциялық құпия режимі (trade secrets)
Юр-акт/саясат: мәліметтер тізбесі, қорғау шаралары, жауапкершілік.
Техникалық шаралар: RBAC/ABAC, қол жеткізу журналдары, DLP, watermarking, басып шығару/скриншоттарды бақылау.
Ұйымдастырушылық: onboarding/offboarding-чек-парақтары, оқыту, жарияламау туралы келісімдер, тіркеусіз жеткізгіштерді әкелуге/шығаруға тыйым салу.
Док-пән: нұсқалар, артефактілер тізілімі, таңбалау, «құпия» арналар (жабық кеңістіктер/репозиторийлер).
4) NDA түрлері
Бір жақты (one-way): бір жағын ашады (әдетте - SDK жеткізуші).
Өзара (mutual): екі жаққа да құпия ақпарат алмасу (келіссөздер, интеграция).
Көпжақты (multilateral): консорциумдар, бірлескен ұшқыштар.
NCA/NDA + NCA: NDA-ға non-circumvention (делдалды айналып өтуге тыйым салу) қосылады.
NDA әзірлеушімен/мердігермен: Inventions/Assignment (нәтижелерге құқықтар) біріктіреді.
5) NDA негізгі бөлімдері (бұл міндетті)
1. Құпия Ақпаратты айқындау: ауызша (кейіннен жазбаша растау кезінде), электрондық, материалдық жеткізгіштерді қоса алғанда; үлгілік мысалдарды (код, схемалар, бағалар, дашбордтар) атап өтіңіз.
2. Ерекшеліктер: (i) бұзушылықсыз көпшілікке белгілі; (ii) заңды иелігінде болған; (iii) тәуелсіз әзірленген (дәлелденетін); (iv) мемлекеттік органдарға заңды негізде ашылған (хабарламамен).
3. Ашу мақсаты: нақты (әріптестікті бағалау, ұшқыш, аудит).
4. Алушының міндеттемелері: қорғау деңгейі өз деңгейінен төмен емес; need-to-know, мақсаттан тыс көшіруге тыйым салу, келісімсіз кері әзірлеуге/benchmarking тыйым салу.
5. Мерзімі және «өмір сүру»: шарт мерзімі (мысалы, 2-5 жыл) + құпияларды мерзімнен кейінгі қорғау (мысалы, 5-10 жыл/құпиялар үшін мерзімсіз).
6. Қайтару/жою: сұрау салу немесе аяқтау кезінде - растаумен қайтару/жою; резервтік көшірмелер - авто-мерзімге дейін сақтау режимінде.
7. Аудит және инциденттер туралы хабарламалар: хабарлау жылдамдығы (мысалы, 72 сағ ≤), тергеудегі ынтымақтастық.
8. Құқықтық қорғау құралдары: injunctive relief (соттық тыйым салу), өтемақылар, лимиттер қасақана бұзушылықтарға қолданылмайды.
9. Қолданылатын құқық/төрелік: юрисдикция/форум, тіл, ADR/төрелік.
10. Экспорт/санкциялар: санкцияланған тұлғаларға/юрисдикцияларға беруге тыйым салу; экспорттық бақылауды сақтау (криптография).
11. «Residual Knowledge» (келісім бойынша): қызметкерлердің «жазылмаған білімін» пайдалануға болады/болмайды (әдетте - алып тастау немесе шектеу).
12. Қосалқы мердігерлер/үлестес тұлғалар: осындай міндеттемелер мен жазбаша келісім болған кезде ғана жол беріледі.
13. Деректерді қорғау (егер PII болса): DPA/DSA сілтемесі, тараптардың рөлі (бақылаушы/процессор), мақсаттар/құқықтық негіздер, трансшекаралық берілістер, сақтау мерзімі.
6) NDA-ның құпиялылықпен және қауіпсіздікпен байланысы
Егер дербес деректер берілсе, NDA жеткіліксіз - DPA/DSA және GDPR/аналогтар бойынша шаралар (құқықтық негіздер, субъектілердің құқықтары, high-risk үшін DPIA) талап етіледі.
Техникалық бақылау: транзиттегі шифрлау (TLS 1. 2 +), ат-рест (AES-256), құпия-менеджмент, кілттерді ротациялау, құрылғыларға арналған MDM, 2FA, SSO, PII логтарын барынша азайту.
7) Қол жеткізу және алмасу рәсімдері
Арналар: домендік пошта, қорғалған бөлмелер (VDR), SFTP/mTLS, шифрланған мұрағаттар (AES-256 + out-of-band пароль).
Тыйым салу: корпоративтік интеграциясыз мессенджерлер, жеке бұлттар, ашық сілтемелер, басқарылмайтын құрылғылар.
Басып шығаруды/экспорттауды бақылау, жеке флеш-тасымалдағыштарға тыйым салу, гео-шектеулер (геофенстер).
8) Clean-room және бірлескен әзірлемелер
«Көру» және «таза» пәрмендерін бөліңіз, бір жақты артефактілерді бөлек сақтаңыз.
Дереккөздер мен шығу тегін құжаттаңыз (provenance).
Бірлескен PoC үшін: Derived Data иесі болып табылатын нәтижелерге (бірлескен/assignment) құқықтарды келісіңіз.
9) RAG-тәуекелдер матрицасы
10) Чек парақтары
Ақпарат алмасу алдында
- NDA қол қойды (құқық/форум/мерзім/ерекшеліктер/санкциялар).
- DPA/DSA қажет пе? Егер иә болса - қол қойылды.
- Деректер жиынының иесі және жіктеу деңгейі тағайындалды.
- Алмасу арнасы мен шифрлау келісілді.
- Алушылар тізімі (need-to-know), VDR/қалталарға қатынау теңшелді.
Алмасу кезінде
- Файлдарды таңбалау және нұсқасы, су белгілері.
- Кіру журналдары, келісімсіз қайта өңдеуге тыйым салу.
- Хеш-сома/артефактілер тізілімі.
Аяқталғаннан кейін
- Қайтару/жою және жазбаша растау.
- Рұқсаттар кері қайтарылды, токендер/кілттер ротацияланды.
- Пост-аудит: процестерде/үлгілерде нені жақсарту керек.
11) Шаблондар (шарт пункттерінің фрагменттері)
A. Анықтама және ерекшеліктер
B, Міндеттемелер және Қол жеткізу
C. мерзімі/Тірі қалу
D. қайтару/жою
Е. құқықтық құралдар
F, Экспорт/Санкциялар
G. residual Knowledge (қосымша)
Тараптар Алушы қызметкерлерінің материалдық түрде тіркелмеген жалпы дағдылары мен білімдері бастапқы кодты/құпия формулаларды әдейі есте сақтау және пайдалану болмаған жағдайда құпия ақпарат болып саналмайтынына келіседі. (Жоғары тәуекелді жобаларды алып тастау немесе қатаң шектеу ұсынылады.)
12) Ұсынылатын тізілімдер (YAML)
12. 1 NDA тізілімі
yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"12. 2 Артефактілермен алмасу тізілімі
yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf" # sha256:...
- "kpis_q1. xlsx" # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false13) Қауіпсіздік саясаты мен практикасы (қысқаша)
Құрылғылар: корпоративтік, толық дискілік шифрлау, MDM, «Secret» үшін BYOD тыйым салу.
Кіру: SSO/2FA, шартты кіру (гео/құрылғы), уақытша рөлдер (just-in-time).
Логи: қол жетімділікті сақтау және мониторингілеу; жаппай түсіруге арналған алерталар/стандартты емес сағаттар.
DLP: доменнен тыс/шифрланбаған тіркемелер блогы, PDF-дегі су белгілері.
Ыңғайлы: қорғалған бөлме үлгілері (VDR), дайын мұрағат шифрлау скрипттері, стандартты NDA/DPA.
14) Инцидент-менеджмент (NDA контекстінде)
1. Тіркеу: не, қашан, кім, қандай файлдар/репозиторийлер; сессияларды қатыру.
2. Оқшаулау: қолжетімділіктерді/кілттерді қайтарып алу, бұлттағы уақытша «мұздатқыш».
3. Хабарламалар: деректер иесі, заңгерлер, әріптестер; PII - DPA/GDPR бойынша.
4. Тексеру: логтарды жинау, форензия, залал көлемін анықтау.
5. Ремедиация: құпияларды, патчтарды ауыстыру, плейбуктерді жаңарту, оқыту.
6. Құқықтық шаралар: шағымдар/NDA бойынша талап-арыз жұмыстары, өтемақылар.
15) Шағын FAQ
Дербес деректер үшін NDA жеткілікті ме? Жоқ, DPA/DSA және құпиялылық шаралары қажет.
Құпия ақпаратты мессенджерге жіберуге бола ма? Тек корпоративтік мақұлданған және DLP/журналдар қосылған кезде end-to-end.
Материалдарды қанша сақтау керек? Мақсатқа/шартқа талап етілгенше; аяқталғаннан кейін - растаумен қайтару/алып тастау.
Ішкі дискілерді шифрлау қажет пе? Иә, файлдарды/құпияларды толық іздеу + шифрлау.
16) Қорытынды
NDA - айсбергтің шыңы ғана. Нақты қорғау коммерциялық құпия режимінде, құпиялылықпен байланыста (DPA), қатаң техникалық және ұйымдастырушылық бақылауларда, алмасу тәртібінде және инциденттерге жылдам ден қоюда құрылады. Үлгілерді стандарттаңыз, тізілімдер мен ойнатқыштарды ашыңыз - құпияларыңыз, кодыңыз бен келіссөздеріңіз осал болып қалмайды.