NDA та захист конфіденційної інформації

1) Цілі та принципи

• бізнес-секрети (алгоритми антифроду, бонус-профілі, ML-моделі, математика RNG);
• переговорні матеріали (цінники, оффери, M&A, due diligence);
• техпроцеси і вихідні (архітектура, IaC, API-схеми, ключі);
• партнерські дані (SDK, roadmaps, бети);
• персональні/комерційні дані (в рамках DPA/DSA).

Принципи: мінімізація доступу (need-to-know), простежуваність, шифрування за замовчуванням, розділення ролей/обов'язків, «чиста кімната» для спільної розробки.

2) Класифікація та маркування інформації

Маркування: «[CONFIDENTIAL]», власник даних, термін релізу, посилання на тікет/підставу доступу.

3) Режим комерційної таємниці (trade secrets)

Юр-акт/політика: перелік відомостей, заходи захисту, відповідальність.
Технічні заходи: RBAC/ABAC, журнали доступу, DLP, watermarking, контроль друку/скріншотів.
Організаційні: onboarding/offboarding-чек-листи, навчання, угоди про нерозголошення, заборона приносити/виносити носії без реєстрації.
Док-дисципліна: версії, реєстр артефактів, маркування, «секретні» канали (закриті простори/репозиторії).

4) Види NDA

Односторонній (one-way): розкриває одна сторона (типово - постачальник SDK).
Взаємний (mutual): обмін конфіденційною інформацією в обидві сторони (переговори, інтеграції).
Багатосторонній (multilateral): консорціуми, спільні пілоти.
NCA/NDA+NCA: до NDA додають non-circumvention (заборона обходити посередника).
NDA з розробником/підрядником: поєднують з Inventions/Assignment (права на результати).

5) Ключові розділи NDA (що обов'язково)

1. Визначення Конфіденційної Інформації: вкл. усне (при подальшому письмовому підтвердженні), електронне, матеріальні носії; перерахуйте типові приклади (код, схеми, ціни, дашборди).
2. Винятки: (i) публічно відомо без порушення; (ii) вже було в законному володінні; (iii) розроблено незалежно (доведено); (iv) розкрито на законній підставі держорганам (з повідомленням).
3. Мета розкриття: конкретна (оцінка партнерства, пілот, аудит).
4. Зобов'язання одержувача: рівень захисту не нижче власного; need-to-know, заборона копіювання понад мету, заборона зворотної розробки/benchmarking без згоди.
5. Термін і «виживання»: термін договору (напр., 2-5 років) + пост-строковий захист таємниць (напр., 5-10 років/безстроково для секретів).
6. Повернення/знищення: при запиті або закінченні - повернення/видалення з підтвердженням; резервні копії - під режимом зберігання до авто-терміну.
7. Аудит та повідомлення про інциденти: швидкість повідомлення (напр., ≤72 ч), співпраця в розслідуванні.
8. Правові засоби захисту: injunctive relief (судова заборона), компенсації, ліміти не застосовуються до умисних порушень.
9. Застосовне право/арбітраж: юрисдикція/форум, мова, ADR/арбітраж.
10. Експорт/санкції: заборона передачі підсанкційним особам/юрисдикціям; дотримання експортного контролю (криптографія).
11. «Residual Knowledge» (за погодженням): можна/не можна використовувати «незаписані знання» співробітників (зазвичай - виключити або обмежити).
12. Субпідрядники/афілійовані особи: допускаються тільки при аналогічних зобов'язаннях і письмовій згоді.
13. Захист даних (якщо є PII): посилання на DPA/DSA, роль сторін (контролер/процесор), цілі/правові підстави, транскордонні передачі, термін зберігання.

6) Зв'язок NDA з приватністю і безпекою

Якщо передаються персональні дані, NDA недостатньо - потрібно DPA/DSA і заходи по GDPR/аналогам (правові підстави, права суб'єктів, DPIA для high-risk).
Техконтролі: шифрування в транзиті (TLS 1. 2 +), ат-рест (AES-256), секрет-менеджмент, ротація ключів, MDM для пристроїв, 2FA, SSO, мінімізація логів з PII.

7) Процедури доступу та обміну

Канали: доменні пошти, захищені кімнати (VDR), SFTP/mTLS, зашифровані архіви (AES-256 + out-of-band пароль).
Заборона: месенджери без корпоративної інтеграції, особисті хмари, публічні посилання, некеровані пристрої.
Контроль друку/експорту, заборона особистих флеш-носіїв, гео-обмеження (геофенси).

8) Clean-room і спільні розробки

Розділіть команди «бачать» і «чисті», зберігайте односторонні артефакти окремо.
Документуйте джерела та походження (provenance).
Для спільних PoC: узгодьте права на результати (спільні/assignment), хто володіє Derived Data.

9) RAG-матриця ризиків

10) Чек-листи

Перед обміном інформацією

• Підписаний NDA (право/форум/термін/виключення/санкції).
• Чи потрібен DPA/DSA? Якщо так - підписаний.
• Призначено власника набору даних та рівень класифікації.
• Канал обміну та шифрування узгоджені.
• Список одержувачів (need-to-know), доступ в VDR/папки налаштований.

Під час обміну

• Маркування файлів і версія, водяні знаки.
• Журнали доступу, заборона ре-шерінгу без згоди.
• Хеш-суми/реєстр артефактів.

Після завершення

• Повернення/видалення і письмове підтвердження.
• Доступи відкликані, токени/ключі ротайовані.
• Пост-аудит: що поліпшити в процесах/шаблонах.

11) Шаблони (фрагменти договірних пунктів)

A. Визначення та Винятки

B. Зобов'язання та Доступ

C. Термін/Виживання

D. Повернення/Знищення

E. правові засоби

Сторони визнають, що порушення може завдати непоправної шкоди; Сторона, що розкриває, має право вимагати судової заборони (injunctive relief) крім інших засобів захисту.

F. експорт/санкції

Отримувач гарантує дотримання експортного контролю і санкційних режимів і не буде передавати інформацію суб'єктам/в юрисдикції, що підпадають під обмеження.

G. residual knowledge (опціонально)

Сторони погоджуються, що незафіксовані в матеріальному вигляді загальні навички і знання співробітників Одержувача не вважаються конфіденційною інформацією, за умови відсутності навмисного запам'ятовування і використання вихідного коду/секретних формул. (Рекомендується виключити або жорстко обмежити у високоризикових проектах.)

12) Рекомендовані реєстри (YAML)

12. 1 Реєстр NDA

yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"

12. 2 Реєстр обміну артефактами

yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf"  # sha256:...
- "kpis_q1. xlsx"    # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false

13) Політики та практики безпеки (коротко)

Пристрої: корпоративні, повнодискове шифрування, MDM, заборона BYOD для «Secret».
Доступ: SSO/2FA, умовний доступ (гео/пристрій), тимчасові ролі (just-in-time).
Логи: зберігання та моніторинг доступів; алерти на масове вивантаження/нестандартний годинник.
DLP: блок вкладень поза доменом/без шифрування, водяні знаки в PDF.
Зручність: шаблони захищених кімнат (VDR), готові скрипти шифрування архівів, стандартні NDA/DPA.

14) Інцидент-менеджмент (в контексті NDA)

1. Фіксація: що, коли, хто, які файли/репозиторії; заморожування сесій.
2. Ізоляція: відгук доступів/ключів, тимчасова «морозилка» в хмарі.
3. Сповіщення: власник даних, юристи, партнери; PII - по DPA/GDPR.
4. Розслідування: збір логів, форензика, визначення обсягу збитку.
5. Ремедіація: заміна секретів, патчі, оновлення плейбуків, навчання.
6. Правові заходи: претензії/позовна робота по NDA, компенсації.

15) Міні-FAQ

Чи достатньо NDA для персональних даних? Ні, потрібен DPA/DSA і заходи по приватності.
Чи можна відправляти конфіденційне в месенджер? Тільки в корпоративно-схвалені і з end-to-end, при включених DLP/журналах.
Скільки зберігати матеріали? Стільки, скільки потрібно метою/договором; після закінчення - повернення/видалення з підтвердженням.
Чи потрібно шифрувати внутрішні диски? Так, повнодискове + шифрування файлів/секретів.

16) Висновок

NDA - лише вершина айсберга. Реальний захист будується на режимі комерційної таємниці, зв'язці з приватністю (DPA), строгих тех- і орг-контролях, дисципліні обміну і швидкому реагуванні на інциденти. Стандартизуйте шаблони, заведіть реєстри і плейбуки - і ваші секрети, код і переговори залишаться активом, а не вразливістю.