NDA и защита конфиденциальной информации
1) Цели и принципы
NDA (Non-Disclosure Agreement) и внутренняя политика защищают:- бизнес-секреты (алгоритмы антифрода, бонус-профили, ML-модели, математика RNG);
- переговорные материалы (ценники, офферы, M&A, due diligence);
- техпроцессы и исходники (архитектура, IaC, API-схемы, ключи);
- партнерские данные (SDK, roadmaps, беты);
- персональные/коммерческие данные (в рамках DPA/DSA).
Принципы: минимизация доступа (need-to-know), прослеживаемость, шифрование по умолчанию, разделение ролей/обязанностей, «чистая комната» для совместной разработки.
2) Классификация и маркировка информации
Рекомендуемый уровень классификации и правила обращения:Маркировка: `[CONFIDENTIAL]`, владелец данных, срок релиза, ссылка на тикет/основание доступа.
3) Режим коммерческой тайны (trade secrets)
Юр-акт/политика: перечень сведений, меры защиты, ответственность.
Технические меры: RBAC/ABAC, журналы доступа, DLP, watermarking, контроль печати/скриншотов.
Организационные: onboarding/offboarding-чек-листы, обучение, соглашения о неразглашении, запрет приносить/выносить носители без регистрации.
Док-дисциплина: версии, реестр артефактов, маркировка, «секретные» каналы (закрытые пространства/репозитории).
4) Виды NDA
Односторонний (one-way): раскрывает одна сторона (типично — поставщик SDK).
Взаимный (mutual): обмен конфиденциальной информацией в обе стороны (переговоры, интеграции).
Многосторонний (multilateral): консорциумы, совместные пилоты.
NCA/NDA+NCA: к NDA добавляют non-circumvention (запрет обходить посредника).
NDA с разработчиком/подрядчиком: совмещают с Inventions/Assignment (права на результаты).
5) Ключевые разделы NDA (что обязательно)
1. Определение Конфиденциальной Информации: вкл. устное (при последующем письменном подтверждении), электронное, материальные носители; перечислите типовые примеры (код, схемы, цены, дашборды).
2. Исключения: (i) публично известно без нарушения; (ii) уже было в законном владении; (iii) разработано независимо (доказуемо); (iv) раскрыто на законном основании госорганам (с уведомлением).
3. Цель раскрытия: конкретная (оценка партнерства, пилот, аудит).
4. Обязательства получателя: уровень защиты не ниже собственного; need-to-know, запрет копирования сверх цели, запрет обратной разработки/benchmarking без согласия.
5. Срок и «выживание»: срок договора (напр., 2–5 лет) + пост-сроковая защита тайн (напр., 5–10 лет/бессрочно для секретов).
6. Возврат/уничтожение: при запросе или окончании — возврат/удаление с подтверждением; резервные копии — под режимом хранения до авто-срока.
7. Аудит и уведомления об инцидентах: быстрота уведомления (напр., ≤72 ч), сотрудничество в расследовании.
8. Правовые средства защиты: injunctive relief (судебный запрет), компенсации, лимиты не применяются к умышленным нарушениям.
9. Применимое право/арбитраж: юрисдикция/форум, язык, ADR/арбитраж.
10. Экспорт/санкции: запрет передачи подсанкционным лицам/юрисдикциям; соблюдение экспортного контроля (криптография).
11. «Residual Knowledge» (по согласованию): можно/нельзя использовать «незаписанные знания» сотрудников (обычно — исключить или ограничить).
12. Субподрядчики/аффилированные лица: допускаются только при аналогичных обязательствах и письменном согласии.
13. Защита данных (если есть PII): ссылка на DPA/DSA, роль сторон (контролер/процессор), цели/правовые основания, трансграничные передачи, срок хранения.
6) Связь NDA с приватностью и безопасностью
Если передаются персональные данные, NDA недостаточно — требуется DPA/DSA и меры по GDPR/аналогам (правовые основания, права субъектов, DPIA для high-risk).
Техконтроли: шифрование в транзите (TLS 1.2+), ат-рест (AES-256), секрет-менеджмент, ротация ключей, MDM для устройств, 2FA, SSO, минимизация логов с PII.
7) Процедуры доступа и обмена
Каналы: доменные почты, защищенные комнаты (VDR), SFTP/mTLS, зашифрованные архивы (AES-256 + out-of-band пароль).
Запрет: мессенджеры без корпоративной интеграции, личные облака, публичные ссылки, неуправляемые устройства.
Контроль печати/экспорта, запрет личных флеш-носителей, гео-ограничения (геофенсы).
8) Clean-room и совместные разработки
Разделите команды «видящие» и «чистые», храните односторонние артефакты отдельно.
Документируйте источники и происхождение (provenance).
Для совместных PoC: согласуйте права на результаты (совместные/assignment), кто владеет Derived Data.
9) RAG-матрица рисков
10) Чек-листы
Перед обменом информацией
- Подписан NDA (право/форум/срок/исключения/санкции).
- Нужен ли DPA/DSA? Если да — подписан.
- Назначен владелец набора данных и уровень классификации.
- Канал обмена и шифрование согласованы.
- Список получателей (need-to-know), доступ в VDR/папки настроен.
Во время обмена
- Маркировка файлов и версия, водяные знаки.
- Журналы доступа, запрет ре-шеринга без согласия.
- Хеш-суммы/реестр артефактов.
После завершения
- Возврат/удаление и письменное подтверждение.
- Доступы отозваны, токены/ключи ротаированы.
- Пост-аудит: что улучшить в процессах/шаблонах.
11) Шаблоны (фрагменты договорных пунктов)
A. Определение и Исключения
B. Обязательства и Доступ
C. Срок/Выживание
D. Возврат/Уничтожение
E. Правовые средства
F. Экспорт/Санкции
G. Residual Knowledge (опционально)
> Стороны соглашаются, что незафиксированные в материальном виде общие навыки и знания сотрудников Получателя не считаются конфиденциальной информацией, при условии отсутствия намеренного запоминания и использования исходного кода/секретных формул. (Рекомендуется исключить или жестко ограничить в высокорисковых проектах.)
12) Рекомендуемые реестры (YAML)
12.1 Реестр NDA
yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"12.2 Реестр обмена артефактами
yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf" # sha256:...
- "kpis_q1. xlsx" # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false13) Политики и практики безопасности (кратко)
Устройства: корпоративные, полнодисковое шифрование, MDM, запрет BYOD для «Secret».
Доступ: SSO/2FA, условный доступ (гео/устройство), временные роли (just-in-time).
Логи: хранение и мониторинг доступов; алерты на массовую выгрузку/нестандартные часы.
DLP: блок вложений вне домена/без шифрования, водяные знаки в PDF.
Удобство: шаблоны защищенных комнат (VDR), готовые скрипты шифрования архивов, стандартные NDA/DPA.
14) Инцидент-менеджмент (в контексте NDA)
1. Фиксация: что, когда, кто, какие файлы/репозитории; заморозка сессий.
2. Изоляция: отзыв доступов/ключей, временная «морозилка» в облаке.
3. Уведомления: владелец данных, юристы, партнеры; PII — по DPA/GDPR.
4. Расследование: сбор логов, форензика, определение объема ущерба.
5. Ремедиация: замена секретов, патчи, обновление плейбуков, обучение.
6. Правовые меры: претензии/исковая работа по NDA, компенсации.
15) Мини-FAQ
Достаточно ли NDA для персональных данных? Нет, нужен DPA/DSA и меры по приватности.
Можно ли отправлять конфиденциальное в мессенджер? Только в корпоративно-одобренные и с end-to-end, при включенных DLP/журналах.
Сколько хранить материалы? Столько, сколько требуется целью/договором; по окончании — возврат/удаление с подтверждением.
Нужно ли шифровать внутренние диски? Да, полнодисковое + шифрование файлов/секретов.
16) Заключение
NDA — лишь вершина айсберга. Реальная защита строится на режиме коммерческой тайны, связке с приватностью (DPA), строгих тех- и орг-контролях, дисциплине обмена и быстром реагировании на инциденты. Стандартизируйте шаблоны, заведите реестры и плейбуки — и ваши секреты, код и переговоры останутся активом, а не уязвимостью.