Запит на участь у пілотній програмі OpenAI: Trusted Access for Cyber

У межах програми Trusted Access for Cyber перевірені корпоративні клієнти та фахівці з кібербезпеки отримують доступ до найпередовіших моделей OpenAI для виконання завдань у сфері кібербезпеки подвійного призначення. Ми вважаємо ці можливості значущим чинником підвищення ефективності засобів мережевого захисту, водночас визнаючи, що недобросовісні суб'єкти можуть намагатися використовувати ці самі інструменти для розширення масштабів і ускладнення своїх операцій.

Trusted Access for Cyber мінімізує цей ризик, зобов'язуючи учасників надавати додаткову інформацію для ідентифікації, а також відомості про професійні сценарії використання. Хоча зазначені заходи не призначені для запобігання всім потенційним випадкам зловживань, у поєднанні з наявними механізмами кіберзахисту вони забезпечують істотне зниження ризику заподіяння шкоди, що дає змогу надавати ширшому колу фахівців із захисту доступ до можливостей із підвищеним рівнем ризику та потенційного впливу.

Вимоги для участі:

Заявка має бути заповнена правильно, достовірно та в повному обсязі; надання неточної або неповної інформації може призвести до затримок або відмови в участі в програмі
Готовність надавати додаткову інформацію або роз'яснення на запит OpenAI як до надання доступу, так і після нього

Відомості про Клієнта/ юридичну особу

A. Ідентифікація організації

Найменування юридичної особи *

Загальновживана назва/ торговельна назва (за наявності)

Загальнодоступний вебсайт *

Ідентифікатор організації OpenAI *

Натисніть тут⁠(відкривається у новому вікні), щоб знайти свій ідентифікатор.

Ви є державною установою, або цей запит безпосередньо пов’язаний із виконанням робіт від імені державної установи? *

Ні

Так

Б. Основна контактна особа (особа, що подає заявку)

Ім'я особи, яка подає заявку *

Прізвище особи, яка подає заявку *

Роль / посада *

Відділ / команда *

Робочий email *

Робочий телефон *

Додаткові контактні особи

В. Взаємодія з OpenAI

Чи укладено у вас з OpenAI чинну Угоду про надання послуг? *

Чи призначено вам менеджера з роботи з клієнтами OpenAI або іншу контактну особу? *

Так

Ні

Професійний сценарій використання

Г. У який спосіб ви плануєте використовувати програму Trusted Access for Cyber?

Зазначте, де саме ви застосовуватимете ці можливостіПозначте всі відповідні варіанти.

Codex через вхід у систему за допомогою ChatGPT

Codex через OpenAI API

У межах власної заявки через OpenAI API

TAC можна використовувати лише для дозволених оборонних робіт у сфері кібербезпеки. Чи всі заплановані способи використання TAC охоплять системи, програми, акаунти, мережі чи дані, якими ви володієте, керуєте чи маєте дозвіл на їх тестування або аналіз? *Схвалені сценарії використання включають лише тестування безпеки, пошук вразливостей, редтімінг, аналіз шкідливого ПЗ, кіберрозвідку, реагування та подібні заходи, якщо вони виконуються на системах, якими ви володієте, керуєте чи на тест яких маєте дозвіл.

Так

Ні

Невідомо/змішаний сценарій використання

Чи будете ви використовувати TAC, аби надавати, забезпечувати, вбудовувати, маршрутизувати, перепродавати чи в інший спосіб надавати доступ до моделей OpenAI вашим власним клієнтам чи іншим третім особам? *Зверніть увагу, що TAC призначено для використання лише схваленими внутрішніми користувачами організації-заявника. Доступ до моделі, що надається в межах TAC, не може надаватися вашим зовнішнім клієнтам, кінцевим користувачам чи іншим третім особам.

Так, доступ до TAC буде надано лише нашим внутрішнім користувачам

Так, доступ у рамках TAC буде надаватися зовнішнім клієнтам або третім особам

Оберіть заплановані сценарії використання *Позначте всі відповідні варіанти

Тестування на проникнення

Червона команда

Оцінка / виявлення / експлуатація вразливостей

Тестування безпеки: дослідження обходу та ухилення від механізмів виявлення

Зворотна розробка шкідливого ПО

Криптографічні дослідження

Дослідження у сфері аналітики кіберзагроз

Інше

Перелічіть усі країни, на території яких ви (включно з вашими працівниками та іншими пов'язаними з вами особами) маєте намір використовувати сервіси OpenAI в межах програми Trusted Access for Cyber. *

Акредитації/ сертифікати, наявні у вашої організації (позначте всі відповідні варіанти) *

CREST

ISO 27001

SOC 2 Type 2

PCI DSS

FedRAMP (або еквівалентні вимоги безпеки)

Інше

Юридичні умови та засвідчення

Позначте всі відповідні варіанти нижче. Ви заявляєте та гарантуєте від імені зазначеного вище суб’єкта («Клієнт»), що стосовно участі Клієнта в програмах OpenAI Trusted Access та протягом терміну такої участі: *

Клієнт має підтримувати корпоративну програму безпеки з сертифікацією SOC 2 Type 2, ISO 27001 або еквівалентною.

Клієнт має керувати контролем єдиного входу (SSO), багатофакторної автентифікації (MFA), ролями з мінімальними привілеями та контролем доступу на основі ролей (RBAC) для всіх робочих просторів із доступом до TAC (керування доступом до терміналу).

Клієнт забезпечує керування ключами API, включно зі зберіганням ключів у сховищі, процедурами зміни та відкликання, суб’єктами безпеки для кожної служби, доступом із мінімально необхідними привілеями та дозволами з визначеною областю дії.

Клієнт відстежує використання Сервісів працівниками на предмет кіберзловживань і зберігає журнали використання моделі, достатні для підтримки ретроспективного аналізу запитів і результатів, що порушують вимоги, де це можливо й законно.

Клієнт підтримує задокументований процес реагування на інциденти для реагування на випадки компрометації облікових записів або їх неналежного використання.

На запит OpenAI Клієнт створить і підтримуватиме окремий ідентифікатор організації, призначений виключно для використання співробітниками Клієнта, які мають право доступу до TAC, і надасть цей ідентифікатор організації OpenAI.

Працівники клієнта, які мають доступ до TAC, використовуватимуть адреси електронної пошти з відповідним доменом для доступу до Сервісів.

Клієнт надає доступ до TAC лише через пристрої, контрольовані підприємством, зі стандартними засобами контролю безпеки, зокрема шифруванням диска, керуванням виправленнями, захистом кінцевих точок і керуванням кінцевими точками.

Додаток для учасника програми Trusted Access for Cyber

Ці Умови програми Trusted Access for Cyber (далі «Умови»), разом із відповідями та засвідченнями, поданими через форму подання заявки за адресою https://openai.com/form/enterprise-trusted-access-for-cyber/⁠, або додана до цього документа («Форма подання заявки» і разом з Умовами — «Додаток до TAC»), є частиною Угоди про надання послуг між OpenAI та юридичною особою, зазначеною у Формі подання заявки («Клієнт»), і регулює доступ Клієнта до моделей, наданих Клієнту в межах програми Trusted Access for Cyber («TAC»). «Угода про надання послуг» означає наступне: (a) якщо Клієнт і OpenAI вже мають підписану угоду щодо використання Сервісів OpenAI — таку чинну письмову угоду з OpenAI або Афілійованою особою OpenAI, разом із будь-якими застосовними умовами надання послуг, додатком про обробку даних, політиками та іншими включеними документами; або (b) якщо Клієнт і OpenAI ще не мають підписаної угоди щодо використання Сервісів — Угоду про використання Сервісів OpenAI, доступну за адресою https://openai.com/policies/services-agreement/⁠, або ж будь-яку угоду щодо використання Сервісів, узгоджену в подальшому. Щоб узяти участь у програмі Trusted Access for Cyber (TAC), Клієнт повинен подати інформацію у Формі подання заявки та отримати схвалення заявки від OpenAI.

Засвідчення та гарантії. Клієнт запевняє та гарантує, що інформація у Формі є достовірною та коректною в усіх аспектах, і зобов’язується повідомляти OpenAI про будь-які істотні зміни в інформації, наданій у Формі, протягом строку користування програмою TAC. Клієнт підтверджує та погоджується з тим, що надання у Формі недостовірної інформації або такої, що вводить в оману, а також будь-яке неповідомлення OpenAI у письмовій формі про те, що будь-яка інформація, зазначена у Формі, змінилася або перестала бути повною та достовірною, розглядатиметься як істотне порушення Додатка TAC та Угоди про надання послуг.
Схвалені сценарії використання. Участь у програмі TAC передбачає підвищену відповідальність. Доступ до розширених можливостей у сфері кібербезпеки надається виключно для законних, захисних і дозволених цілей забезпечення безпеки (далі — «Схвалені сценарії використання»). Схвалені сценарії використання призначені для проведення практичного тестування безпеки, дослідження вразливостей і підвищення готовності до захисту та не охоплюють сценарії використання, які можуть призвести до заподіяння шкоди, порушення роботи систем або несанкціонованого доступу. Клієнт уповноважений використовувати TAC виключно для надання своїм працівникам можливості реалізовувати Схвалені сценарії використання та лише за умови дотримання політик використання OpenAI, розміщених за адресою: https://openai.com/policies/usage-policies/⁠⁠, а також Політики OpenAI щодо неправомірного використання в кіберсфері.
Політика щодо неправомірного використання в кіберсфері. Ми забороняємо використання наших Сервісів для сприяння неправомірному їх використанню в кіберсфері, або ж так званому кіберзловживанню. «Кіберзловживання» означає несанкціонований доступ, експлуатацію, крадіжку облікових даних, ексфільтрацію даних, зловмисне програмне забезпечення або деструктивні можливості, соціальну інженерію, ухилення від виявлення, латеральне переміщення, діяльність із відмови в обслуговуванні або надання допомоги будь-яким підсанкційним суб’єктам чи виявленим зловмисним кіберсуб’єктам. Це не забороняє захисні, освітні, дослідницькі, спрямовані на захист приватності, пов’язані з реагуванням на інциденти або авторизованим тестуванням безпеки випадки використання, зокрема аналіз шкідливого програмного забезпечення чи вразливостей, відповідальне розкриття інформації та планування дій «червоної команди», за умови, що така діяльність не сприяє заподіянню шкоди в реальному світі, не спрямована на робочі системи без авторизації та не надає практичної допомоги для зловживань.
Схвалені облікові дані доступу. «Схвалені облікові дані доступу» означають у сукупності ідентифікатор організації (Org ID), ключі API та ідентифікатори певних кінцевих користувачів, затверджені OpenAI для будь-якого Схваленого сценарію використання. Клієнт може надавати доступ до TAC лише своїм працівникам, які мають обґрунтовану потребу в доступі до TAC, і Клієнт несе відповідальність за всі дії, що виконуються з використанням Схвалених облікових даних доступу. Клієнтові забороняється (a) передавати або в будь-який інший спосіб надавати Схвалені облікові дані доступу третім особам, або (b) передавати чи продавати третім особам доступ до можливостей, що надаються з використанням Схвалених облікових даних доступу, без прямої попередньої письмової згоди OpenAI. Клієнт зобов’язаний негайно повідомити OpenAI, якщо йому стане відомо або в нього виникнуть обґрунтовані підозри щодо несанкціонованого доступу до Схвалених облікових даних чи їх використання, зокрема будь-якого використання TAC з цілями, що не є Схваленими сценаріями використання.
Додаткові заходи. OpenAI має право на власний розсуд вживати будь-які заходи, які вважатиме необхідними для забезпечення безпеки, захищеності та цілісності Сервісів або своєї діяльності, зокрема, але не виключно, призупиняти або припиняти доступ Клієнта до TAC без повернення коштів, вимагати надання додаткової документації чи гарантій для продовження використання TAC, обумовлювати використання TAC прийняттям Клієнтом додаткових вимог або обмежень, а також застосовувати всі правові та справедливі засоби захисту, дозволені чинним законодавством.
Відшкодування збитків. Незважаючи на будь-які положення Угоди про надання послуг, що передбачають інше, якщо тільки Клієнт не є державним органом, якому законом заборонено погоджуватися з цим розділом, Клієнт зобов’язується відшкодувати збитки, забезпечити захист і звільнити OpenAI та його афілійованих осіб від будь-якої відповідальності, збитків і витрат (зокрема обґрунтованих витрат на оплату послуг адвокатів), що підлягають сплаті третім особам і виникли у зв’язку з будь-яким використанням схвалених облікових даних доступу з порушенням цього додатка TAC. Обмеження відповідальності, передбачені Угодою про надання послуг, не застосовуються до цього додатка TAC.

Якщо OpenAI схвалить ваш доступ до Урядової програми довіреного доступу в кібербезпеці (Government Trusted Access for Cyber, «GTAC»), застосовуються наведені нижче додаткові умови.

Доступ до GTAC призначений лише для затверджених користувачів, які виконують законні, уповноважені роботи із захисної кібербезпеки на підтримку затвердженого урядового завдання, урядового середовища або захищеної інфраструктури, підтвердженої державними органами.
Відповідно до Політики використання OpenAI, GTAC не можна використовувати для наступальних операцій, отримання несанкціонованого доступу, розгортання чи вдосконалення шкідливого ПЗ, викрадення облікових даних, фішингу, ексфільтрації даних, саботажу або дій, пов’язаних із відмовою в обслуговуванні.
GTAC недоступний для загальної корпоративної безпеки, розробки комерційних продуктів, перепродажу, проксіювання, вбудовування, трафіку продуктів для клієнтів, подальшого використання третіми сторонами або інших робіт поза затвердженою сферою застосування GTAC. Підрядники, компанії оборонно-промислової бази, інтегратори, постачальники рішень із кібербезпеки та інші недержавні суб’єкти можуть використовувати GTAC виключно для підтримки затвердженої сфери застосування GTAC.

Підсумкове запевнення *Натискаючи кнопку «Підтверджую» нижче та надсилаючи цю Форму, я підтверджую й засвідчую, що:

Цим підтверджую, що:

Я ознайомився(лася) з цією Формою та запевняю і підтверджую, що надана інформація є точною та повною в межах моїх знань і переконань, сформованих за результатами належної перевірки та прояву розумної обачності.
Я маю необхідні повноваження для підписання цієї Форми від імені Клієнта та отримав(ла) всі внутрішні погодження, необхідні для участі в TAC.
Я зобов’язуюся негайно повідомити OpenAI в письмовій формі, якщо мені стане відомо, що будь-яка інформація, що міститься в цій Формі, є недостовірною або перестала бути точною та повною.
Клієнт погоджується з юридичними умовами, викладеними в цій Формі, які є складовою частиною Угоди про надання послуг.

Примітка: Після надсилання вам потрібно буде пройти короткий етап верифікації, щоб підтвердити вашу особу, зокрема перевірку посвідчення особи, виданого державним органом, і надати основну інформацію про компанію.