Политика конфиденциальности

Контролёром данных является [ЗАПОЛНИТЬ: полное наименование организации], зарегистрированная под номером [ЗАПОЛНИТЬ: SIREN / Steuernummer / KvK / регистрационный номер], с юридическим адресом [ЗАПОЛНИТЬ: полный почтовый адрес]. По любым вопросам защиты данных обращайтесь к нашему сотруднику по защите данных по адресу dpo@securssh.com.

• Данные аккаунта - адрес электронной почты, хэшированный верификатор мастер-пароля (PBKDF2 со 100 000 итераций), членство в команде.
• Содержимое хранилища - учётные данные, записи хостов, сниппеты, всё зашифровано на стороне клиента. Сервер хранит только шифротекст и не имеет доступа к содержимому хранилища в открытом виде.
• Журнал аудита - метаданные подключений: метка времени, субъект, идентификатор хоста и тип действия. Срок хранения - 24 месяца на планах Team и неограниченный на контрактах Enterprise.
• Биллинг - обрабатывается через Stripe. Мы никогда не храним полные номера платёжных карт (PAN); на нашей стороне сохраняются только идентификаторы биллинга, метаданные счетов и ссылка на клиента.
• Аналитика использования - Google Tag Manager (контейнер GTM-P7PRZ37K) и Google Analytics 4. События анонимизируются по умолчанию (усечение IP, без активированных рекламных функций).

• Исполнение договора (статья 6(1)(b)) - управление аккаунтом, синхронизация хранилища, биллинг.
• Законный интерес (статья 6(1)(f)) - журнал аудита безопасности, предотвращение мошенничества, обнаружение злоупотреблений.
• Согласие (статья 6(1)(a)) - аналитические cookie и иные необязательные cookie.
• Юридическое обязательство (статья 6(1)(c)) - налоговые записи, бухгалтерский учёт, регуляторные или аудиты соответствия.

• Активный аккаунт - данные хранятся столько, сколько существует аккаунт.
• После удаления - 30-дневный льготный период, охватывающий ротацию резервных копий, после чего продакшн- и резервные системы окончательно очищаются.
• Журнал аудита - срок хранения по плану: 24 месяца (Team), неограниченный (Enterprise) или согласно контракту.
• Биллинговые данные - 10 лет, в соответствии с европейскими бухгалтерскими и налоговыми обязательствами.

• Право на доступ (статья 15) - полный экспорт данных доступен по запросу.
• Право на исправление (статья 16) - доступно непосредственно из панели настроек аккаунта.
• Право на удаление (статья 17) - встроено в продукт как удаление аккаунта в один клик. Это поставленная функция, а не ручная процедура.
• Право на переносимость данных (статья 20) - зашифрованный экспорт хранилища и данных аккаунта в JSON.
• Право на возражение / ограничение обработки (статья 21).
• Право подать жалобу в надзорный орган - например, в CNIL (Франция), Datatilsynet (Дания), BfDI (Германия), AP (Нидерланды) или надзорный орган государства-члена ЕС, в котором вы проживаете.

Для реализации любого из этих прав свяжитесь с нами по адресу privacy@securssh.com.

Персональные данные хранятся и обрабатываются исключительно внутри Европейского союза. Продакшн-нагрузки выполняются в регионах ЕС (Франкфурт, Амстердам) на инфраструктуре с европейской регистрацией.

SecurSSH не передаёт персональные данные на хранение в США. После решения SCHREMS II это устраняет правовую неопределённость, связанную с передачами за пределы ЕЭП.

Субподрядчики перечислены в разделе 8 ниже. О любых будущих изменениях субподрядчиков, способных повлиять на резидентность данных, мы сообщаем минимум за 30 дней.

• Строго необходимые - cookie сессии, CSRF-токен, языковая настройка. Они необходимы для работы Сервиса и не требуют согласия.
• Аналитические - Google Tag Manager и Google Analytics 4. Загружаются только после получения согласия.
• Никаких сторонних маркетинговых cookie на сайте и в продукте SecurSSH не используется.

• Stripe Payments Europe Ltd. (Ирландия) - обработка платежей.
• Google Ireland Ltd. (Ирландия - представитель Google в ЕС) - аналитика через Google Tag Manager и Google Analytics 4.
• [ЗАПОЛНИТЬ: хостинг-провайдер в ЕС] - продакшн-хостинг и резервные копии.
• [ЗАПОЛНИТЬ: транзакционная почта в ЕС] - доставка транзакционных email.

Соглашение об обработке данных доступно по запросу клиентам планов Team и Enterprise. DPA включает Стандартные договорные положения (SCC) там, где применимо, актуальный список субподрядчиков, сроки хранения и меры безопасности, соответствующие статье 28 GDPR.

Для запроса DPA напишите по адресу dpa@securssh.com.

• Сквозное шифрование AES-GCM содержимого хранилища, выполняемое на стороне клиента.
• PBKDF2 со 100 000 итераций для выработки ключа из мастер-пароля.
• Шифрование при передаче через TLS 1.3 на всех точках SecurSSH.
• Журнал аудита, защищённый от подделки; несанкционированные изменения нарушают цепочку и обнаруживаются.
• Регулярные внутренние проверки безопасности и контроль доступа по принципу наименьших привилегий для операторов SecurSSH.
• Роадмап: аудит SOC 2 Type II запланирован на H2 2026 (на текущий момент сертификации нет - мы не заявляем о её получении).

Сервис предназначен для профессионального использования и не ориентирован на пользователей младше 16 лет. SecurSSH не собирает осознанно персональные данные детей младше 16 лет. Если вы считаете, что ребёнок предоставил персональные данные, свяжитесь с нами, чтобы мы могли удалить соответствующие записи.

О существенных изменениях настоящей Политики конфиденциальности мы уведомляем минимум за 30 дней до их вступления в силу - по электронной почте действующих клиентов и через баннер в продукте. Незначительные правки (опечатки, уточнения) публикуются с обновлённой датой ревизии.

Общие вопросы по защите данных: privacy@securssh.com.

Сотрудник по защите данных: dpo@securssh.com.