Закупки и комплаенс
Документы, контракты и типичные сроки заключения enterprise-контракта с AACsearch.
Procurement и compliance
Эта страница — для тех, кто на вашей стороне закупает софт: security, legal, finance, procurement. Здесь полный список документов, которые мы выдаём, условия по каждому и ориентировочные сроки.
Кому писать
| Тема | |
|---|---|
| Sales, контракты, цены | sales@aacsearch.com |
| Опросник безопасности, DPA, sub-processors | security@aacsearch.com |
| Уязвимости | security@aacsearch.com (PGP-ключ по запросу) |
| Privacy, data subject requests | privacy@aacsearch.com |
| Status page / коммуникации по инцидентам | status@aacsearch.com |
По вопросам закупки пишите на sales@aacsearch.com — внутри сами подключим нужных людей.
Набор документов
Без NDA
| Документ | Что покрывает |
|---|---|
| Public security overview | Эта документация, в первую очередь Security. |
| Стандартный DPA | GDPR ст. 28 / 152-ФЗ ст. 6. Преподписанный PDF по запросу. |
| Список sub-processors | Хостинг (DigitalOcean, AWS), email (SES/SendGrid), оплаты (Stripe). |
| Cookie / privacy policy | Публично, со ссылкой с маркетингового сайта. |
| Цены | Стандартные тарифы публичные; Enterprise — custom. |
Под взаимным NDA
| Документ | Что покрывает |
|---|---|
| Отчёт SOC 2 Type II | Последний 12-месячный аудит. Scope — в чек-листе SOC 2. |
| Сводка по pen-test | Последний внешний пентест: executive summary + статус по remediation. |
| Диаграмма потоков данных | По региону: ingress, processing, storage, sub-processors. |
| Disaster recovery plan | RTO, RPO, runbook. См. также DR runbook. |
| Incident response policy | Детекция, триаж, коммуникация, post-mortem. |
Запросить набор под NDA — пишите на security@aacsearch.com с названием компании и списком нужных документов. Обычно отвечаем за 1 рабочий день.
По индивидуальной договорённости
| Документ | Когда нужен |
|---|---|
| Кастомный DPA | Когда вашему DPO нужны правки. Принимаем разумные redlines. |
| MSA | Когда click-through ToS не подходит вашей легалке. |
| BAA | HIPAA-нагрузки. Доступно на Enterprise. |
| Кастомный SLA-аппендикс | Uptime, время реакции, время восстановления. См. Dedicated cluster. |
| Опросник безопасности (CAIQ, SIG Lite, кастом) | Заполняем мы. Типично 5 рабочих дней. |
Sub-processors
Мы обрабатываем клиентские данные через ограниченный список sub-processors. Текущий список — по запросу, обновляется при любых изменениях. Обязуемся уведомлять за 30 дней до добавления нового sub-processor; у вас есть право возразить. Если возражение поступает, мы либо находим альтернативу, либо — если её нет — обсуждаем off-ramp.
Регион хранения и персональные данные
В Enterprise-контракте регион хранения выбирается при подписании. Ежедневные операции остаются в регионе: поисковые ноды, БД, object storage, бэкапы. См. Регион хранения.
Для персональных данных под GDPR / 152-ФЗ:
- Ст. 28 / ст. 6 покрыты нашим DPA.
- Standard Contractual Clauses (SCCs) — часть DPA, когда данные покидают ЕС.
- Data subject requests (доступ, удаление, изменение) — см. Защита данных. Enterprise-клиенты могут идти через TAM.
Типичные сроки
| Этап | Типичная длительность |
|---|---|
| Первое письмо → scoping-колл | 2–5 рабочих дней |
| Scoping → ответы на опросник | 5 рабочих дней после подписания NDA |
| Опросник → драфт контракта | 5 рабочих дней |
| Драфт → подпись | 2–6 недель (зависит от вашей легалки) |
| Подпись → provisioning | 1–10 рабочих дней, зависит от тарифа |
Если ваш дедлайн жёстче — скажите на старте scoping-колла, честно ответим, попадаем ли.
Что тормозит процесс
Грубо по частоте:
- Redlines по ответственности / indemnification. Разумное принимаем; пушим назад на безграничную ответственность и right-to-audit-on-demand.
- Контроль каждого sub-processor. Если у вас в контракте поименный апрув, разберитесь со списком при подписании, не задним числом.
- Кастомный SLA без sizing-колла. Без знания нагрузки 99.99 % не подпишем. Настаивайте на sizing-разговоре.
- Невнятный опросник. На «как вы обеспечиваете безопасность?» отвечаем настолько подробно, насколько просит ваш ревьюер; быстрее, если вопрос конкретный.
Лучше потратить лишнюю неделю на правильный контракт, чем через полгода обнаружить, что SLA недостижим. Большая часть сроков выше — ровно про это.
Renewal и exit
- Renewal. Контракты Enterprise автопродлеваются на срок, если ни одна из сторон не уведомила за 30 дней. Цена держится в рамках срока; новая ставка фиксируется за 60 дней до renewal.
- Exit. При завершении вы получаете полный экспорт индексов (per-document JSON или NDJSON) и сертификат удаления в течение 30 дней после последнего дня сервиса. Бэкапы держим ещё 30 дней, после чего выдаём финальный сертификат удаления.