Russia 
Netherland 
Vietnam 
Responsible AI: безопасность и регуляторное соответствие
EU AI Act уже здесь — штрафы до 35 млн евро. Мы поможем подготовиться: проверим ваши AI-системы, закроем уязвимости, соберём все документы для регуляторов. Фиксированные сроки, понятная цена, никаких сюрпризов.
Почему это важно именно сейчас
EU AI Act вступил в силу. Компании, использующие ИИ для работы с клиентами, HR, кредитования или медицины — в зоне риска. Один инцидент с утечкой данных через чат-бота может стоить доверия клиентов.
Выстроить защиту самостоятельно сложно: нужны юристы, понимающие AI Act, безопасники, знающие уязвимости LLM, инженеры для интеграции проверок. Собрать такую команду — месяцы поиска.
TermDoc — готовая команда на стыке права, безопасности и ML. Проверяем системы, пишем политики, настраиваем защиту, готовим документы для регуляторов. Фиксированные сроки и цена. Наш опыт в разработке технической документации и системной интеграции позволяет закрыть весь цикл.
Что мы делаем
Берём на себя всё: от первой проверки до получения сертификата. Можете заказать отдельную услугу или полный пакет — как удобнее.
Аудит и оценка рисков
Смотрим, какие AI-системы у вас есть, насколько они рискованные по меркам EU AI Act, чего не хватает для соответствия. На выходе — понятный план: что делать, в каком порядке, сколько это займёт.
Политики и регламенты
Пишем правила: как использовать ИИ, кто отвечает за решения, как обрабатывать данные, когда нужен человеческий контроль. Не шаблоны из интернета, а документы под вашу специфику.
Карточки моделей и продуктов
Описываем каждую AI-систему так, как требуют регуляторы: что на входе, что на выходе, какие ограничения, как тестировали. Это обязательный документ для high-risk систем.
Проверка LLM на уязвимости
Пытаемся «сломать» ваш чат-бот или ассистента: заставить выдать закрытую информацию, обойти ограничения, сгенерировать вредный контент. Находим дыры до того, как их найдут злоумышленники. Проверяем в том числе LLM-ассистенты и RAG-системы.
Пентест и Red Team
Имитируем реальные атаки на ваши AI-системы. Не просто сканируем — думаем как хакер. Находим уязвимости, показываем, как их закрыть, проверяем исправления.
Автоматические проверки
Настраиваем тесты, которые запускаются при каждом обновлении модели. Если что-то сломалось — вы узнаете сразу, а не от клиентов.
Мониторинг и реагирование на инциденты
Следим за системами в реальном времени. Если что-то идёт не так — оповещаем, помогаем разобраться, документируем для регуляторов.
Подготовка к сертификации
Собираем все документы для ISO 42001 и ISO 23894, сопровождаем внешний аудит. Вы приходите на проверку подготовленными.
Почему мы, а не консалтинг или инхаус
Можно нанять консультантов — они напишут отчёт и уйдут. Можно собрать команду внутри — но это месяцы поиска редких специалистов. Мы предлагаем третий путь: готовая команда, которая делает работу за вас и передаёт результат.
Что это даст именно вам
У CEO, CTO, юриста и безопасника — разные задачи и разные страхи. Руководителю важно понимать риски для бизнеса. Техническому директору — как это встроить в процессы. Юристу — как не нарушить закон. Безопаснику — как защитить системы. Мы работаем с каждой ролью на её языке.
CEO / Совет директоров
Проблема: Непонятно, насколько компания рискует. Юристы говорят про штрафы, IT — про какие-то уязвимости. Как оценить реальную угрозу и объяснить совету директоров?
Решение: Даём понятную картину: где риски, какие штрафы возможны, что нужно исправить и сколько это стоит. Один документ для совета директоров и инвесторов. Прозрачная дорожная карта с контрольными точками.
Результат: Спокойствие и контроль. Вы точно знаете, что компания защищена, и можете это доказать при любой проверке или due diligence.
CTO / Head of AI
Проблема: Регуляторы требуют что-то непонятное. Как перевести юридический язык в технические задачи для команды? Как не затормозить разработку?
Решение: Переводим требования EU AI Act в конкретные технические задачи. Встраиваем проверки в ваш процесс разработки — автоматически, при каждом релизе. Интегрируемся с вашим CI/CD.
Результат: Разработка не тормозится, а соответствие проверяется само. Команда знает, что делать, и не отвлекается на изучение законов.
Chief Risk Officer / DPO / General Counsel
Проблема: ИИ — это новая территория. Старые методы оценки рисков не работают. EU AI Act пересекается с GDPR и NIS2, и непонятно, как всё это совместить.
Решение: Строим единую карту: какие законы применимы, какие риски, кто отвечает. Один реестр вместо десяти таблиц. Методология оценки AI-специфичных угроз.
Результат: Приходите на любую проверку подготовленными. Консолидированный взгляд на все риски. Без авралов и паники.
Head of Information Security
Проблема: LLM — это чёрный ящик. Как его защитить? Стандартные инструменты не видят prompt-injection и jailbreak. Нет понятных метрик безопасности.
Решение: Проверяем LLM на специфические атаки: обход ограничений, утечка данных, инъекции в промпт. Настраиваем многоуровневую защиту. Учим вашу команду находить и закрывать уязвимости.
Результат: Измеримая безопасность с конкретными метриками. Регулярные проверки и понятные отчёты. Не «вроде защищено», а доказуемая защита.
Как мы работаем
Никакой магии — понятный процесс из четырёх шагов. Вы видите прогресс на каждом этапе.
Шаг 1: Разбираемся в ситуации
Смотрим, какие AI-системы у вас есть. Оцениваем, насколько они рискованные. Сравниваем с требованиями EU AI Act, NIST и ISO. Находим, чего не хватает.
На выходе: Понятный план — что делать, в каком порядке, сколько времени займёт.
Шаг 2: Пишем документы
Создаём политики использования ИИ, описания моделей, регламенты. Всё, что требуют регуляторы — но написанное под вашу специфику, а не скопированное из интернета.
На выходе: Полный пакет документов для проверки.
«Наша цель — не сделать вас зависимыми от нас, а научить вашу команду работать самостоятельно.»
Ведущий консультант TermDoc
Шаг 3: Проверяем и защищаем
Тестируем ваши AI-системы на уязвимости. Настраиваем защиту от атак. Показываем, что исправить, помогаем это сделать.
На выходе: Защищённые системы и отчёт о тестировании.
Шаг 4: Передаём вам и обучаем
Настраиваем мониторинг, чтобы вы видели проблемы сразу. Обучаем вашу команду. Передаём все материалы. Остаёмся на связи для поддержки.
На выходе: Ваша команда умеет поддерживать всё самостоятельно.
Результаты, которые можно измерить
Не обещания, а цифры. Вот что получают наши клиенты.
Уязвимости закрываются
До работы с нами: чат-боты клиентов регулярно «ломали». После — единичные случаи. Это значит, что злоумышленник не сможет обойти ограничения или вытащить данные.
Инциденты обнаруживаются быстро
Раньше о проблемах узнавали от клиентов — через часы или дни. Теперь — за минуты, автоматически. Это разница между «извините за неудобства» и «мы предотвратили проблему».
Документы готовы к проверке
От нуля до полного пакета для аудита — в сжатые сроки. Не «почти готово», а реально готово: бери и неси регулятору.
Проверки работают сами
Большинство проверок автоматизируются. Обновили модель — тесты запустились сами. Что-то сломалось — вы узнаёте сразу. Не нужно помнить и делать вручную.
Три заблуждения, которые дорого обходятся
Вокруг EU AI Act и безопасности ИИ много мифов. Одни компании думают, что их это не касается. Другие — что достаточно использовать «безопасную» модель от большого вендора. Третьи откладывают на потом. Разберём, почему все три подхода опасны.
«Мы не в Европе — нас это не касается»
Реальность: Касается. EU AI Act работает экстерриториально. Если ваш продукт доступен в ЕС — вы под действием закона. Неважно, где зарегистрирована компания. Штрафы серьёзные.
«Мы используем ChatGPT/Claude — за безопасность отвечает OpenAI/Anthropic»
Реальность: Нет. Провайдер отвечает за базовую модель. А вот как вы её используете — ваша ответственность. Какие данные передаёте, какие промпты пишете, как защищаете от атак. Регулятор спросит с вас.
«Это дорого и долго, потом разберёмся»
Реальность: Первая оценка занимает считанные недели и стоит меньше, чем один штраф. Базовую защиту можно выстроить быстро. А вот «потом» может не наступить — проверки уже идут.
Делать самим или отдать нам?
Перед каждой компанией встаёт выбор: собирать команду внутри или привлечь внешних экспертов. Оба варианта имеют свои плюсы. Мы сравнили ключевые параметры, чтобы помочь вам принять взвешенное решение. Цифры основаны на опыте наших проектов.
| Вопрос | Делать самим | Отдать TermDoc |
|---|---|---|
| Когда будет результат? | Месяцы (пока наймёте людей) | Быстрый старт |
| Где взять экспертов? | Искать, собеседовать, переманивать | Готовая команда с опытом |
| Сколько стоит? | Зарплаты + налоги + ошибки новичков | Фиксированная цена, известная заранее |
| А если законы изменятся? | Надо следить самим | Следим мы, обновляем вас |
| Можно ли масштабировать? | Сложно — ограничены штатом | Легко — подключаем людей |
| Шаблоны и практики? | Делать с нуля | Готовые, проверенные на других |
Вывод: Аутсорсинг позволяет начать быстрее и с меньшими рисками. Вы платите за результат, а не за процесс найма и содержания команды. Когда всё настроено — ваша команда продолжает самостоятельно, а мы остаёмся на связи для поддержки.
Кейсы
Лучший способ оценить наш подход — посмотреть на конкретные проекты. Каждый кейс — это измеримая польза в цифрах. Мы работаем с компаниями из разных отраслей и адаптируем подход под специфику бизнеса.
Финтех. Защита LLM-ассистента от атак
Задача: Банк запустил AI-ассистента для клиентов. Вскоре обнаружили, что пользователи научились обходить ограничения — бот выдавал то, что не должен. Jailbreak rate был высоким.
Решение: Провели полную проверку. Нашли слабые места. Настроили многоуровневую защиту. Добавили автоматические тесты, которые запускаются каждую неделю.
Результат:
- Jailbreak rate снижен в разы
- Время обнаружения атак сократилось с дней до минут
- Регулярные автотесты предотвращают деградацию
Healthcare. Подготовка к EU AI Act
Задача: Компания разрабатывает AI для помощи в диагностике. По EU AI Act это high-risk система — нужен полный пакет документов, иначе нельзя работать в Европе.
Решение: Провели gap-анализ. Написали все политики. Создали карточки моделей. Настроили процессы контроля качества и post-market мониторинг.
Результат:
- Полный пакет документов в сжатые сроки
- Внешний аудит пройден без критических замечаний
- Компания получила доступ к европейскому рынку
Enterprise SaaS. Построение мониторинга
Задача: Компания использует несколько LLM в продукте. Проблемы обнаруживались случайно — когда клиенты жаловались. Не было единой картины происходящего.
Решение: Настроили единую панель мониторинга. Подключили автоматические оповещения. Написали инструкции по реагированию. Запустили регулярные проверки безопасности.
Результат:
- Время реакции на инциденты значительно сократилось
- Проблемы находят до того, как их заметят клиенты
- Регулярные пентесты выявляют уязвимости проактивно
Часто задаваемые вопросы
Что такое Responsible AI простыми словами?
Это подход к использованию ИИ, при котором вы понимаете, как он работает, можете объяснить его решения и контролируете риски. Включает безопасность, этику, прозрачность и соответствие законам.
Как понять, попадаем ли мы под EU AI Act?
Если ваш AI-продукт доступен в Европе — скорее всего, да. Если он используется для HR, кредитования, медицины, образования — почти наверняка. Мы поможем разобраться на первой консультации.
Чем отличаются NIST AI RMF и ISO 42001?
NIST — это американский фреймворк, добровольный и гибкий. ISO 42001 — международный стандарт, по которому можно получить сертификат. Мы работаем с обоими и помогаем выбрать подходящий.
Что нужно для начала работы?
Список ваших AI-систем, понимание, как они используются, и доступ к документации (если есть). На старте подписываем NDA. Можем работать на ваших серверах. Если у вас ещё нет документации по AI-системам — поможем разработать техническое задание с нуля.
Как часто нужно проверять безопасность?
Минимум раз в квартал или после каждого крупного обновления модели. Лучше — автоматически при каждом релизе. Мы настроим так, чтобы это работало само.
Кто нужен с нашей стороны?
Минимум: кто-то из руководства (принимает решения), технический специалист (понимает систему), юрист или безопасник (понимает требования). Для крупных проектов — больше людей, обсудим на старте.
Можно работать полностью на наших серверах?
Да. Если у вас строгие требования к безопасности — разворачиваем всё в вашей инфраструктуре. Данные никуда не уходят.
Что останется после завершения проекта?
Все документы, настроенные системы мониторинга и защиты, обученная команда. Вы продолжаете самостоятельно. Мы остаёмся на связи для консультаций.
Начните сегодня — пока не начались проверки
EU AI Act уже работает. Компании, которые готовятся сейчас, получают преимущество: доступ к европейскому рынку, доверие крупных клиентов, спокойствие руководства.
Десятки компаний уже прошли этот путь с нами. Финтех, медицина, SaaS — разные отрасли, одинаковый результат: защищённые системы, готовые документы, обученная команда.
Первый шаг — бесплатная консультация. Расскажете про вашу ситуацию, мы скажем, что нужно делать и сколько это займёт. Без обязательств.
Этапы сотрудничества
Свяжитесь с нами
Позвоните или напишите нам, и мы ответим как можно скорее.
