NDA ve gizli bilgilerin korunması
1) Hedefler ve ilkeler
NDA (Gizlilik Sözleşmesi) ve iç politikalar şunları korur:- Ticari sırlar (dolandırıcılık karşıtı algoritmalar, bonus profilleri, ML modelleri, RNG matematiği);
- Müzakere malzemeleri (fiyat etiketleri, teklifler, M&A, durum tespiti);
- Teknik süreçler ve kaynaklar (mimari, IaC, API diyagramları, anahtarlar);
- İş ortağı verileri (SDK, yol haritaları, beta);
- Kişisel/ticari veriler (DPA/DSA dahilinde).
İlkeler: Bilinmesi gerekenler, izlenebilirlik, varsayılan olarak şifreleme, rollerin/sorumlulukların ayrılması, ortak geliştirme için "temiz oda".
2) Bilgilerin sınıflandırılması ve işaretlenmesi
Önerilen sınıflandırma seviyesi ve iletişim kuralları:İşaretleme: '[GİZLİ]', veri sahibi, çıkış tarihi, bilet/erişim nedenine bağlantı.
3) Ticari sırlar modu
Yasal eylem/politika: bilgi listesi, koruma önlemleri, sorumluluk.
Teknik önlemler: RBAC/ABAC, erişim günlükleri, DLP, filigran, baskı/ekran görüntüsü kontrolü.
Organizasyonel: Onboarding/offboarding kontrol listeleri, eğitim, gizlilik sözleşmeleri, kayıt olmadan medya getirme/çıkarma yasağı.
Dock disiplini: sürümler, eser kayıt defteri, etiketleme, "gizli" kanallar (kapalı alanlar/depolar).
4) NDA türleri
Tek yönlü: bir tarafı ortaya çıkarır (tipik olarak SDK sağlayıcısı).
Karşılıklı: Gizli bilgilerin her iki yönde değişimi (müzakereler, entegrasyonlar).
Çok taraflı: konsorsiyumlar, ortak pilotlar.
NCA/NDA + NCA: NDA'ya non-atlatma (aracı baypas etme yasağı) eklenir.
Geliştirici/yüklenici ile NDA: Buluşlar/Atama ile birleştirin (sonuçların hakları).
5) NDA'nın temel bölümleri (zorunlu olan)
1. Gizli Bilgilerin Tanımı: sözlü (daha fazla yazılı onay üzerine), elektronik, somut medya dahil; Tipik örnekleri listeleyin (kod, şemalar, fiyatlar, gösterge panoları).
2. İstisnalar: (I) ihlal edilmeden alenen bilinen; (ii) zaten yasal mülkiyetteydi; (iii) bağımsız olarak (kanıtlanabilir şekilde) geliştirildi; (iv) yasal olarak devlet kurumlarına (bildirimle) açıklanmıştır.
3. Açıklama amacı: spesifik (ortaklık değerlendirmesi, pilot, denetim).
4. Alıcının yükümlülükleri: koruma seviyesi kendi seviyesinden düşük değildir; bilinmesi gerekenler, hedefin ötesinde kopyalama yasağı, tersine mühendislik/onay olmadan kıyaslama yasağı.
5. Terim ve "hayatta kalma": sözleşme süresi (örn. 2-5 yıl) + sırların post-term koruması (örn. 5-10 yıl/sırlar için belirsiz).
6. İade/imha: talep veya tamamlanma üzerine - onay ile iade/silme; Yedeklemeler - otomatik vadeye kadar depolama modu altında.
7. Denetim ve olay bildirimleri: Bildirim hızı (örneğin ≤72 saatleri), soruşturmada işbirliği.
8. Yasal yollar: ihtiyati tedbir, tazminat, sınırlar kasıtlı ihlaller için geçerli değildir.
9. Uygulanabilir Hukuk/Tahkim: Yargı/Forum, Dil, ADR/Tahkim.
10. İhracat/yaptırımlar: alt yaptırımlara/yargı alanlarına transfer yasağı; İhracat kontrolüne uygunluk (kriptografi).
11. "Artık Bilgi" (kararlaştırıldığı gibi): Çalışanların "kaydedilmemiş bilgisini" kullanmak mümkündür/imkansızdır (genellikle - hariç tutmak veya sınırlamak için).
12. Alt Yükleniciler/İştirakler: Yalnızca benzer yükümlülükler ve yazılı onayla izin verilir.
13. Veri koruma (eğer PII ise): DPA/DSA'ya referans, tarafların rolü (denetleyici/işlemci), hedefler/yasal dayanak, sınır ötesi transferler, saklama süresi.
6) NDA'ları gizlilik ve güvenliğe bağlama
Kişisel veriler aktarılırsa, NDA yeterli değildir - DPA/DSA ve GDPR/analog önlemler gereklidir (yasal gerekçeler, öznelerin hakları, yüksek riskli için DPIA).
Teknik kontrol: aktarım sırasında şifreleme (TLS 1. 2 +), at-rest (AES-256), gizli yönetim, anahtar rotasyonu, cihazlar için MDM, 2FA, SSO, PII günlüklerini en aza indirir.
7) Erişim ve değişim prosedürleri
Kanallar: etki alanı postası, korumalı odalar (VDR), SFTP/mTLS, şifreli arşivler (AES-256 + bant dışı şifre).
Ban: Kurumsal entegrasyonu olmayan anlık haberciler, kişisel bulutlar, halka açık bağlantılar, yönetilmeyen cihazlar.
Baskı/ihracat kontrolü, kişisel flaş ortamının yasaklanması, coğrafi kısıtlamalar (geofenses).
8) Temiz oda ve ortak geliştirme
"Görme've" temiz "komutlarını ayırın, tek taraflı eserleri ayrı ayrı saklayın.
Belge kaynakları ve kaynağı.
Ortak PoC'ler için: Türetilmiş Verilerin sahibi olan sonuçların (ortak/atama) haklarını kabul edin.
9) RAG Risk Matrisi
10) Kontrol listeleri
Bilgi alışverişi yapmadan önce
- NDA tarafından imzalanmıştır (sağ/forum/terim/istisnalar/yaptırımlar).
- Bir DPA/DSA'ya ihtiyacım var mı? Evet ise imzalı.
- Set sahibi ve sınıflandırma seviyesi atanır.
- Değişim kanalı ve şifreleme tutarlıdır.
- Bilinmesi gerekenler listesi, VDR erişimi/klasörleri yapılandırıldı.
Değişim sırasında
- Dosya işaretleme ve sürüm, filigranlar.
- Erişim günlükleri, rıza olmadan yeniden paylaşım yok.
- Hash toplamları/eser kaydı.
Tamamlandıktan sonra
- İade/silme ve yazılı onay.
- Erişimler iptal edildi, belirteçler/anahtarlar döndürüldü.
- Denetim sonrası: Süreçlerde/şablonlarda ne geliştirilir.
11) Şablonlar (sözleşme maddelerinin parçaları)
A. Tanım ve İstisnalar
B. Taahhütler ve Erişim
C. Terim/Hayatta kalma
D. İade/İmha
E. Yasal yollar
F. İhracat/Yaptırımlar
Alıcı, ihracat kontrollerine ve yaptırım rejimlerine uyumu garanti eder ve bilgileri kısıtlamalara tabi olan kuruluşlara/yargı bölgelerine aktarmaz.
G. Artık Bilgi (isteğe bağlı)
Taraflar, Alıcının çalışanlarının doğrulanmamış genel beceri ve bilgilerinin, kasıtlı bir ezberleme ve kaynak kod/gizli formüllerin kullanılmaması koşuluyla gizli bilgi olarak kabul edilmediğini kabul eder. (Yüksek riskli projelerde dışlanması veya ciddi şekilde kısıtlanması önerilir.)
12) Önerilen kayıtlar (YAML)
12. 1 NDA Kaydı
yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"12. 2 Artifact Exchange Kayıt Defteri
yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf" # sha256:...
- "kpis_q1. xlsx" # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false13) Güvenlik Politikaları ve Uygulamaları (Kısa)
Cihazlar: kurumsal, tam disk şifreleme, MDM, "Gizli" için BYOD yasağı.
Erişim: SSO/2FA, koşullu erişim (geo/cihaz), geçici roller (tam zamanında).
Günlükler: erişimlerin depolanması ve izlenmesi; Toplu boşaltma/standart olmayan saatler için uyarılar.
DLP: Etki alanı dışındaki/şifrelemesiz eklerin bloğu, PDF'deki filigranlar.
Kolaylık: güvenli oda şablonları (VDR), hazır arşiv şifreleme komut dosyaları, standart NDA/DPA.
14) Olay Yönetimi (NDA bağlamında)
1. Sabitleme: ne, ne zaman, kim, hangi dosyalar/depolar; Dondurucu seanslar.
2. İzolasyon: Erişimlerin/anahtarların iptali, bulutta geçici "dondurucu".
3. Bildirimler: veri sahibi, avukatlar, ortaklar; PII - DPA/GDPR tarafından.
4. Soruşturma: günlüklerin toplanması, adli tıp, hasar miktarının belirlenmesi.
5. İyileştirme: sırları, yamaları değiştirmek, oyun kitaplarını güncellemek, öğrenmek.
6. Yasal önlemler: NDA üzerinde talep/talep çalışması, tazminat.
15) Mini-SSS
NDA kişisel veriler için yeterli midir? Hayır, DPA/DSA ve gizlilik önlemlerine ihtiyacınız var.
Elçiye gizli bilgi göndermek mümkün mü? Yalnızca kurumsal onaylı ve uçtan uca, DLP/günlükler etkinken.
Malzemeleri depolamak için ne kadar? Amaç/sözleşmenin gerektirdiği ölçüde; Tamamlandıktan sonra - onay ile iade/silme.
Dahili sürücüleri şifrelemem gerekiyor mu? Evet, tam disk + dosya/gizli şifreleme.
16) Sonuç
NDA, buzdağının sadece görünen kısmı. Gerçek koruma, ticari sırlara, gizliliğe (DPA), sıkı teknik ve organizasyonel kontrollere, değişim disiplinine ve hızlı olay yanıtına dayanır. Şablonları standartlaştırın, kayıtlar ve oyun kitapları oluşturun - sırlarınız, kodlarınız ve müzakereleriniz bir güvenlik açığı değil, bir varlık olarak kalacaktır.