August
Sicurezza

Panoramica sulla sicurezza e sulla privacy

August è una piattaforma di IA di livello enterprise creata specificamente per studi legali e team legali interni, con sicurezza e riservatezza integrate in ogni livello dell'architettura.

August Trust Center

Certificazioni e attestazioni di sicurezza di livello enterprise.
Residenza dei datiZero addestramentoCrittografia end-to-end

ISO 27001:2022 SOC 2 Type II CASA Verified TLS 1.2+ AES-256 SSO + MFA

Funzionalità di sicurezza

Stato

Zero addestramento sui dati dei clienti

✅ Verificato

Crittografia end-to-end

✅ Verificato

Architettura single-tenant

✅ Verificato

Pinning della residenza dei dati

✅ Verificato

Ethical walls / Isolamento delle pratiche

✅ Verificato

SLA di uptime del 99,9%

✅ Verificato

Certificazioni indipendenti

August mantiene le certificazioni di sicurezza più rigorose per il lavoro legale:

  • Certificato ISO 27001:2022 — Un Sistema di gestione della sicurezza delle informazioni (ISMS) completo in tutte le operazioni di August.

  • SOC 2 Type II — Audit indipendente con un'opinione senza riserve e zero eccezioni.

  • Verificato CASA — Verifica Cloud Security Alliance Security, Trust, Assurance, and Risk (STAR).

  • Penetration Test annuali — Test black-box e grey-box con rimedio rapido.

Isolamento dei dati e riservatezza

August utilizza un'architettura single-tenant isolata che mantiene i dati di ogni studio completamente separati:

  • Tenant privato per cliente — L'isolamento di elaborazione, archiviazione e rete significa che le informazioni di uno studio non si mescolano mai con l'ambiente di un altro.

  • Silos dei profili utente — All'interno di uno studio o di un'organizzazione, i profili utente sono completamente isolati l'uno dall'altro, a meno che gli utenti non condividano proattivamente chat o output, o creino uno spazio di lavoro condiviso (Progetti).

  • Nessuna visibilità sui dati utente — August non ha visibilità su input, caricamenti o output degli utenti.

  • Pinning della residenza dei dati — I dati sono vincolati alla regione geografica selezionata e applicati a livello di infrastruttura.

Ethical Walls e Isolamento delle pratiche

L'isolamento si estende all'interno del tuo studio. La funzionalità Persona di August applica rigide barriere a livello di cliente e di pratica con controlli di accesso basati sui ruoli. I dati sono segregati non solo tra i tenant ma tra le pratiche all'interno della tua stessa organizzazione. Un partner non può vedere i prompt, i caricamenti o gli output di un altro partner a meno che il contenuto non sia esplicitamente condiviso o inserito in uno spazio di lavoro di un Progetto condiviso.

Zero addestramento sui tuoi dati

Il prodotto del tuo lavoro legale non viene mai utilizzato per migliorare i modelli di IA:

  • Documenti, prompt, output, metadati e dati derivati non vengono mai utilizzati per l'addestramento dei modelli, il fine-tuning, l'analisi o il miglioramento del prodotto.

  • August ha accordi contrattuali con ciascuno dei modelli linguistici utilizzati (inclusi Llama, Anthropic e OpenAI) per non addestrare né conservare input, caricamenti o output degli utenti.

  • I fornitori di modelli di base elaborano i dati in modo effimero: non memorizzano, registrano, revisionano o riutilizzano i tuoi contenuti.

  • Ciò protegge il segreto professionale tra avvocato e cliente e le tutele del prodotto del lavoro.

Crittografia e gestione delle chiavi

Tutti i dati sono protetti con crittografia di livello enterprise:

  • Crittografia in transito — TLS 1.2+ per tutti i dati in movimento tra il tuo dispositivo e August.

  • Crittografia a riposo — Crittografia AES-256 per tutti i documenti archiviati, i record del database e i backup.

  • Protezione delle chiavi — Tutte le chiavi di crittografia sono protette da moduli di sicurezza hardware (HSM).

  • Rotazione annuale delle chiavi — Le chiavi di crittografia vengono ruotate secondo una pianificazione annuale definita.

  • Gateway sicuro agnostico rispetto al modello — Applicazione delle policy, controlli di routing e completa verificabilità in tutte le interazioni con i modelli di IA.

Sicurezza dei modelli di IA

August protegge le interazioni con i modelli di IA a ogni livello:

  • Zero conservazione da parte del fornitore del modello — I fornitori di modelli di base non conservano i dati dopo l'elaborazione.

  • Bring Your Own Key (BYOK) — Per alcuni fornitori di modelli (incluso Anthropic tramite AWS Bedrock), puoi utilizzare le tue chiavi di crittografia per un controllo aggiuntivo.

  • Gateway sicuro — Tutte le interazioni con i modelli passano attraverso un gateway sicuro con applicazione delle policy, controlli di routing e completa verificabilità.

Controlli di accesso e identità

August si integra con i sistemi di identità enterprise:

  • SSO con MFA — Single sign-on tramite SAML, OIDC e OAuth2 con autenticazione a più fattori obbligatoria.

  • Integrazione SCIM — Provisioning e deprovisioning automatizzati degli utenti.

  • Controlli di accesso basati sui ruoli (RBAC) — Autorizzazioni granulari basate sui ruoli utente.

  • Ethical Walls — Controlli di accesso a livello di pratica tramite Persona per applicare i confini di conflitto e riservatezza.

  • Revisioni trimestrali degli accessi — Audit regolari delle autorizzazioni di accesso.

Audit trail

Audit trail completi registrano tutte le attività del sistema: azioni dell'utente, output dell'IA, accesso ai documenti e modifiche amministrative. Ogni azione è riconducibile a uno specifico utente. La conservazione è configurabile da 1 a 10 anni, con log protetti da manomissioni.

Controlli di accesso interni

August mantiene controlli rigorosi sull'accesso dei dipendenti ai sistemi di produzione:

  • Zero dati dei clienti sui dispositivi dei dipendenti — I documenti dei clienti non vengono mai archiviati sulle workstation dei dipendenti.

  • Accesso con privilegio minimo e just-in-time — L'accesso ai dati di produzione è limitato a un set definito di ingegneri su base di privilegio minimo e just-in-time. Ogni evento di accesso viene registrato e revisionato.

  • Nessun ruolo di servizio con privilegi di amministratore — Nessun ruolo di servizio ha privilegi di amministratore.

  • Credenziali di breve durata — L'accesso alla produzione richiede SSO, MFA e credenziali di breve durata. Nessun token persistente.

  • I flussi di lavoro di ingegneria utilizzano dati anonimizzati — L'accesso ai dati reali richiede un'approvazione esplicita.

  • Sicurezza degli endpoint — Tutti i laptop aziendali eseguono MDM, EDR con aggiornamenti quotidiani delle firme e crittografia completa del disco.

Sub-responsabili del trattamento

Ogni sub-responsabile del trattamento è vincolato contrattualmente a restrizioni sull'uso dei dati, incluso il divieto di utilizzare i dati dei clienti per l'addestramento.

Il diagramma seguente illustra l'architettura per l'implementazione ospitata di August, mostrando come i dati dei clienti fluiscono attraverso l'infrastruttura:

Diagramma dell'architettura ospitata di August che mostra il flusso di dati e l'infrastruttura per l'opzione di implementazione ospitata

Sub-responsabile del trattamento

Ruolo

Addestramento dati

Amazon Web Services

Infrastruttura e hosting

Vietato

Anthropic (via AWS Bedrock)

Fornitore di modelli di base (BYOK)

Vietato

OpenAI LLC

Fornitore di modelli di base

Vietato

Microsoft Corporation

Framework di integrazione Office

Vietato

Google Cloud Platform

Servizi di calcolo

Vietato

Weaviate

Archiviazione vettoriale

Vietato

Supabase

Soluzione SQL

Vietato

Reducto

Fornitore OCR

Vietato

I clienti ricevono un preavviso di 30 giorni prima che un nuovo sub-responsabile inizi a elaborare i dati dei clienti. Copie di specifiche clausole contrattuali sono disponibili sotto NDA.

SLA e impegni di servizio

August fornisce impegni sul livello di servizio di classe enterprise:

  • 99,9% di uptime mensile — Impegno di alta disponibilità per la piattaforma.

  • Risposta ai problemi critici in 30 minuti — Risposta rapida per problemi di gravità critica.

  • Rimedio alle CVE critiche in 7 giorni — Vulnerabilità di sicurezza risolte entro 7 giorni per le CVE critiche.

Operazioni di sicurezza

August mantiene solide operazioni di sicurezza:

  • Pratiche SDLC sicure — Sicurezza integrata nel ciclo di vita dello sviluppo del software.

  • Monitoraggio continuo — Rilevamento e risposta alle minacce in tempo reale.

  • Risposta agli incidenti e BCDR — Piani testati per la risposta agli incidenti e la continuità operativa/ripristino di emergenza.

Sicurezza delle integrazioni

August si integra con i tuoi strumenti esistenti mantenendo gli standard di sicurezza:

  • Componenti aggiuntivi per Microsoft Word e Outlook — Lavora senza problemi su Word, Outlook e SharePoint/OneDrive con la completa conservazione del contesto.

  • SharePoint — Integrazione completa con SharePoint per la gestione dei documenti aziendali.

  • Google Drive — Accedi e importa documenti direttamente da Google Drive.

  • Dropbox — Collega il tuo Dropbox per la sincronizzazione e l'accesso ai documenti (prossimamente).

Tutte le integrazioni seguono gli stessi standard di crittografia e controllo degli accessi.

Cosa significa per la tua attività

Quando usi August per il lavoro legale:

  • I documenti dei tuoi clienti e le informazioni riservate rimangono isolati e protetti.

  • Nulla di ciò che carichi, generi o discuti viene utilizzato per addestrare modelli di IA.

  • Tu controlli chi all'interno della tua organizzazione può accedere agli spazi di lavoro condivisi.

  • August non può vedere il prodotto del tuo lavoro legale.

  • Gli ethical walls a livello di pratica proteggono la riservatezza all'interno del tuo studio.

Per domande sulle certificazioni di sicurezza, gli accordi sul trattamento dei dati, la documentazione dei sub-responsabili o la documentazione sulla conformità, contatta il tuo account team August o visita l'hub della documentazione legale.

FAQ sulla sicurezza

Domande comuni sulla postura di sicurezza di August, sulle certificazioni e sulle pratiche di gestione dei dati.

Certificazioni

Cos'è l'ISO 27001?

L'ISO 27001 è uno standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS). Fornisce un approccio sistematico alla gestione delle informazioni sensibili attraverso la valutazione dei rischi, i controlli di sicurezza e il miglioramento continuo. Le organizzazioni che ottengono la certificazione ISO 27001 hanno dimostrato di seguire le migliori pratiche del settore per la protezione dei dati.

Cos'è il SOC 2 Type II?

Il SOC 2 Type II è un framework di audit indipendente che valuta i controlli di sicurezza, disponibilità, integrità dell'elaborazione, riservatezza e privacy di un'organizzazione in un arco di tempo (solitamente 6-12 mesi). I report di Tipo II verificano che i controlli non solo esistano, ma operino efficacemente nella pratica. L'audit SOC 2 Type II di August ha prodotto un'opinione senza riserve con zero eccezioni.

Cos'è la verifica CASA?

La verifica CASA (Cloud Security Alliance) STAR dimostra la conformità ai requisiti di sicurezza, fiducia, garanzia e rischio della Cloud Security Alliance. Fornisce una convalida di terze parti delle pratiche di sicurezza cloud e trasparenza sulla postura di sicurezza.

Cosa possono presumere i clienti in base a queste certificazioni?

I clienti possono avere la certezza che August adotti un approccio proattivo e strutturato alla sicurezza delle informazioni. La certificazione ISO 27001 convalida un sistema completo di gestione della sicurezza in tutte le operazioni. Il SOC 2 Type II conferma che i controlli di sicurezza operano efficacemente nel tempo. Insieme, queste certificazioni dimostrano un impegno costante nella protezione dei dati dei clienti attraverso audit di sorveglianza annuali e processi di miglioramento continuo.

In che modo August mantiene le sue certificazioni nel tempo?

August mantiene le certificazioni attraverso team di sicurezza interni, regolari audit interni, audit di sorveglianza annuali da parte di organismi di certificazione terzi accreditati e audit di ricertificazione secondo scadenze definite. I controlli di sicurezza sono costantemente monitorati e migliorati in base ai risultati degli audit e all'evoluzione dei panorami delle minacce.

Gestione dei dati

August è single-tenant o multi-tenant?

August utilizza un'architettura single-tenant isolata. Ogni cliente riceve il proprio tenant privato con isolamento di calcolo, archiviazione e rete. I dati del tuo studio non si mescolano mai con l'ambiente di un altro studio. Questo è diverso dai sistemi multi-tenant in cui i dati dei clienti condividono l'infrastruttura e sono separati solo logicamente.

August può vedere il prodotto del mio lavoro legale?

No. August non ha visibilità su input, caricamenti o output degli utenti. I tuoi documenti, prompt e output dell'IA rimangono privati per il tuo studio. Ciò protegge il segreto professionale tra avvocato e cliente e le tutele del prodotto del lavoro.

I miei dati verranno utilizzati per addestrare modelli di IA?

No. Documenti, prompt, output, metadati e dati derivati non vengono mai utilizzati per l'addestramento dei modelli, il fine-tuning, l'analisi o il miglioramento del prodotto. August mantiene accordi contrattuali con tutti i fornitori di modelli di base (inclusi Anthropic, Llama e OpenAI) che proibiscono l'addestramento o la conservazione dei contenuti degli utenti. I fornitori di modelli elaborano i dati in modo effimero e non memorizzano, registrano, revisionano o riutilizzano i tuoi contenuti.

Dove sono archiviati i miei dati?

I dati sono archiviati nella regione geografica selezionata e vincolati a livello di infrastruttura tramite il pinning della residenza dei dati. Ciò garantisce che i tuoi dati rimangano nella giurisdizione scelta, supportando la conformità ai requisiti regionali di protezione dei dati. August supporta opzioni di implementazione sia negli Stati Uniti che nell'UE.

Per quanto tempo vengono conservati i dati?

La conservazione degli audit trail è configurabile da 1 a 10 anni per soddisfare i requisiti di conformità della tua organizzazione. I dati dei clienti rimangono fino a quando non li elimini. I fornitori di modelli di base non conservano i dati dopo l'elaborazione.

Controlli di sicurezza

In che modo vengono crittografati i miei dati?

Tutti i dati sono protetti con crittografia di livello enterprise:

  • In transito: TLS 1.2 o superiore per tutti i dati in movimento tra il tuo dispositivo e August.

  • A riposo: Crittografia AES-256 per tutti i documenti archiviati, i record del database e i backup.

  • Gestione delle chiavi: Tutte le chiavi di crittografia sono protette da moduli di sicurezza hardware (HSM) e ruotate annualmente.

Quali controlli di accesso sono in vigore?

August si integra con i sistemi di identità enterprise per un controllo degli accessi robusto:

  • SSO con MFA: Single sign-on tramite SAML, OIDC e OAuth2 con autenticazione a più fattori obbligatoria.

  • Integrazione SCIM: Provisioning e deprovisioning automatizzati degli utenti.

  • Controlli di accesso basati sui ruoli: Autorizzazioni granulari basate sui ruoli utente.

  • Ethical Walls: Controlli di accesso a livello di pratica per applicare i confini di conflitto e riservatezza.

  • Revisioni trimestrali degli accessi: Audit regolari delle autorizzazioni di accesso.

Cosa sono gli ethical walls e l'isolamento delle pratiche?

Gli ethical walls sono controlli di accesso a livello di pratica applicati tramite la funzionalità Persona di August. I dati sono segregati non solo tra i tenant (studi) ma tra le pratiche all'interno della tua stessa organizzazione. Un partner non può vedere i prompt, i caricamenti o gli output di un altro partner a meno che il contenuto non sia esplicitamente condiviso o inserito in uno spazio di lavoro di un Progetto condiviso. Ciò protegge dai conflitti di interesse e mantiene la riservatezza del cliente.

I dipendenti di August possono accedere ai miei dati?

No. I documenti dei clienti non vengono mai archiviati sulle workstation dei dipendenti. L'accesso ai dati di produzione è limitato a un set definito di ingegneri su base di privilegio minimo e just-in-time. Ogni evento di accesso viene registrato e revisionato. I flussi di lavoro di ingegneria utilizzano dati anonimizzati e l'accesso ai dati reali richiede un'approvazione esplicita.

Conformità ed Enterprise

Posso utilizzare le mie chiavi di crittografia?

Sì. Per alcuni fornitori di modelli, incluso Anthropic tramite AWS Bedrock, puoi utilizzare il Bring Your Own Key (BYOK) per mantenere un controllo aggiuntivo sulle chiavi di crittografia per le interazioni con i modelli di IA.

Qual è l'impegno di uptime di August?

August si impegna a un uptime mensile del 99,9% come parte del SLA enterprise. I problemi critici ricevono un tempo di risposta di 30 minuti e le vulnerabilità di sicurezza critiche (CVE) vengono risolte entro 7 giorni.

Come posso segnalare una vulnerabilità di sicurezza?

Se scopri una vulnerabilità di sicurezza, segnalala tramite divulgazione responsabile contattando il tuo account team August. August mantiene piani di risposta agli incidenti e di continuità operativa/ripristino di emergenza con monitoraggio continuo per il rilevamento e la risposta alle minacce.

Dove posso trovare ulteriore documentazione sulla sicurezza?

Scarica il Whitepaper ufficiale sulla sicurezza di August (v1.1, maggio 2026) e la documentazione sulle pratiche dei clienti:

Per gli accordi sul trattamento dei dati, la documentazione dei sub-responsabili o domande sulla conformità, contatta il tuo account team August o visita l'hub della documentazione legale.

Whitepaper sulla sicurezza

Scarica il Whitepaper ufficiale sulla sicurezza di August (v1.1, maggio 2026) per dettagli completi sull'architettura di sicurezza di August, le certificazioni, la protezione dei dati e gli impegni di conformità:

Whitepaper sulla sicurezza di August

Documentazione completa sulla sicurezza che copre certificazioni (SOC 2 Type II, ISO 27001:2022, CASA), architettura single-tenant, crittografia, controlli di accesso, sicurezza dei modelli di IA, opzioni di residenza dei dati e conformità:

Scarica il Whitepaper sulla sicurezza di August (PDF)

August per le pratiche dei clienti

Panoramica sulla sicurezza per la gestione delle pratiche dei clienti e la riservatezza:

Scarica August per le pratiche dei clienti (PDF)

È stato utile?