Политика конфиденциальности сервиса LRO
1. Общие положения
1.1. Настоящая Политика конфиденциальности (далее — «Политика») описывает порядок сбора, использования, хранения и передачи персональных данных Пользователей сервиса LRO (Link for Remote Operations) (далее — «Сервис»), доступного на https://lro.link и https://app.lro.link, оператором которого выступает ИП LINKRO (далее — «Оператор», «мы»).
1.2. Политика является неотъемлемой частью Пользовательского соглашения и применяется совместно с ним. Термины, не определённые здесь, имеют значения, указанные в Пользовательском соглашении.
1.3. Используя Сервис, Пользователь подтверждает, что ознакомлен с Политикой и согласен с указанными в ней условиями обработки своих персональных данных.
1.4. Если Пользователь находится в ЕЭЗ, Великобритании или Швейцарии, Оператор обрабатывает персональные данные в соответствии с Общим регламентом по защите данных (GDPR).
2. Принципы обработки
Оператор обрабатывает персональные данные в соответствии со следующими принципами:
- Законность, справедливость и прозрачность — обработка осуществляется на законных основаниях и способом, понятным Пользователю.
- Ограничение целями — данные собираются только для целей, указанных в Политике, и не используются несовместимым с ними образом.
- Минимизация — мы запрашиваем только те данные, которые необходимы для предоставления Сервиса.
- Точность — Пользователь вправе корректировать свои данные в любой момент.
- Ограничение срока хранения — данные хранятся не дольше, чем требуется для целей обработки.
- Целостность и конфиденциальность — применяются технические и организационные меры для защиты данных от несанкционированного доступа.
3. Какие данные мы собираем
3.1. Данные учётной записи
- адрес электронной почты;
- хэш пароля (пароль в открытом виде не хранится);
- отображаемое имя (опционально);
- язык интерфейса;
- принадлежность к организации и роль в ней;
- статус подтверждения email, признак глобального администратора.
3.2. Данные Агентов и подключений
- имя Агента (задаётся Пользователем);
- идентификатор и публичный ключ Агента (криптографические);
- IP-адреса, с которых осуществлялось подключение Агента;
- время подключения и отключения Агента;
- объём переданного трафика по каждому Агенту (в байтах);
- конфигурация туннелей: имена, идентификаторы эндпоинтов, разрешённые IP-адреса.
3.3. Метаданные туннелей
- время открытия и закрытия туннеля;
- идентификаторы сторон туннеля;
- объём переданного через туннель трафика.
3.4. Платёжные данные
- история транзакций: тип, сумма в коинах/USD, дата, привязка к подписке/пакету;
- идентификаторы платежей в системе Paddle.
3.5. Технические данные
- IP-адрес и user-agent при входе в веб-панель;
- данные журналов (логи) веб-сервера и серверных компонентов для целей диагностики и безопасности.
3.6. Локальное хранилище браузера
Веб-панель и лендинг используют localStorage браузера для:
- хранения JWT-токена сессии;
- сохранения выбора языка интерфейса.
Трекинговые cookies и сторонние аналитические скрипты не применяются.
4. Цели обработки и правовые основания
| Цель | Данные | Основание (GDPR art. 6) |
|---|---|---|
| Регистрация, аутентификация и управление аккаунтом | 3.1 | Исполнение договора (b) |
| Предоставление функций Сервиса (туннели, агенты) | 3.2, 3.3 | Исполнение договора (b) |
| Биллинг, учёт трафика, выставление счетов | 3.2, 3.4 | Исполнение договора (b) |
| Отправка транзакционных писем (подтверждение email, восстановление пароля, уведомления о подписке) | 3.1 | Исполнение договора (b) |
| Защита Сервиса и борьба со злоупотреблениями | 3.2, 3.3, 3.5 | Законный интерес (f) |
| Соблюдение требований законодательства (налоговых, бухгалтерских) | 3.4 | Юридическая обязанность (c) |
| Разрешение споров, претензий | все | Законный интерес (f) |
Маркетинговые рассылки по согласию Пользователя в настоящий момент не осуществляются. При их введении Оператор запросит отдельное согласие, отзываемое в любой момент.
5. Сроки хранения
| Категория | Срок |
|---|---|
| Данные учётной записи | до удаления аккаунта Пользователем + 90 дней технического хранения для разрешения споров |
| Метаданные Агентов и подключений | до 12 месяцев после отключения Агента |
| Метаданные туннелей (открытие/закрытие/объёмы) | до 12 месяцев |
| История платежей | согласно требованиям налогового законодательства применимой юрисдикции (как правило, 5 лет) |
| Логи веб-сервера и серверных компонентов | до 30 дней |
| Содержимое туннелей | не хранится |
По истечении срока данные удаляются или обезличиваются. Резервные копии хранятся до 90 дней и затем уничтожаются по общему ротационному графику.
6. Передача данных третьим лицам
Оператор привлекает следующих субпроцессоров (sub-processors):
| Процессор | Роль | Юрисдикция | Передаваемые данные |
|---|---|---|---|
| Paddle.com Market Ltd | Обработка платежей, Merchant of Record | Великобритания / ЕС | email, имя, страна, реквизиты карты (напрямую Paddle), сумма транзакции |
| Провайдер облачной инфраструктуры | Размещение серверных компонентов Сервиса | ЕС | все данные, обрабатываемые Сервисом |
| Провайдер транзакционной email-рассылки | Отправка системных и сервисных писем | США | email получателя, содержание письма |
| Functional Software, Inc. (Sentry) | Диагностика сбоев и ошибок мобильных приложений | Регион данных ЕС (провайдер — США) | стек-трейсы (включая нативные сбои), модель устройства, версия ОС и приложения — без IP и идентификаторов (см. Приложение А.4) |
Актуальный перечень субпроцессоров с указанием их юридических наименований предоставляется по запросу на info@lro.link.
Оператор не продаёт и не передаёт персональные данные третьим лицам для целей, не связанных с предоставлением Сервиса, за исключением случаев:
- получения обязательного для исполнения запроса от компетентных государственных органов;
- защиты прав и интересов Оператора в судебном порядке;
- наличия письменного согласия Пользователя.
7. Международные передачи данных
7.1. Основная инфраструктура Сервиса размещена в ЕС.
7.2. При передаче данных субпроцессорам за пределы ЕЭЗ (например, провайдеру транзакционной email-рассылки в США) Оператор опирается на стандартные договорные положения (SCC), утверждённые Европейской комиссией, и дополнительные меры безопасности, если применимо.
8. Права субъекта данных
Пользователь имеет следующие права в отношении своих персональных данных:
- Доступ — получить копию обрабатываемых о нём данных.
- Исправление — скорректировать неточные или неполные данные через веб-панель или запрос в поддержку.
- Удаление («право на забвение») — удалить аккаунт и связанные данные, с учётом обязательных сроков хранения (раздел 5).
- Ограничение обработки — приостановить обработку в случае спора о точности или законности.
- Переносимость — получить свои данные в машиночитаемом формате (JSON).
- Возражение — возразить против обработки на основании законного интереса.
- Отзыв согласия — отозвать ранее данное согласие в любой момент (если обработка основана на согласии).
- Обращение в надзорный орган — подать жалобу в надзорный орган по защите данных в своей стране.
Запросы принимаются по адресу info@lro.link. Ответ предоставляется в течение 30 дней с момента получения запроса; при сложных запросах срок может быть продлён до 60 дней с уведомлением Пользователя.
9. Безопасность
Оператор применяет технические и организационные меры для защиты персональных данных, в том числе:
- HTTPS (TLS) на всех публичных эндпоинтах;
- хэширование паролей с использованием bcrypt;
- криптографическая аутентификация Агентов (Noise XK);
- сквозное шифрование трафика туннелей между Агентами;
- разграничение прав доступа внутри организаций;
- ограниченный круг сотрудников, имеющих доступ к серверной инфраструктуре;
- регулярное резервное копирование;
- журналирование действий, связанных с изменением прав и биллингом.
Несмотря на принимаемые меры, абсолютной защиты данных в сети Интернет не существует. В случае утечки, способной привести к значительным рискам для Пользователей, Оператор уведомит затронутых Пользователей и, где применимо, надзорный орган в течение 72 часов с момента обнаружения.
10. Дети
10.1. Сервис не предназначен для использования лицами младше 16 лет.
10.2. Оператор не собирает персональные данные детей младше 16 лет осознанно. Если станет известно, что такие данные были получены, они будут удалены.
11. Изменения политики
11.1. Оператор вправе вносить изменения в Политику. Актуальная редакция публикуется на https://lro.link/privacy с указанием даты обновления.
11.2. Существенные изменения (затрагивающие категории обрабатываемых данных, цели, сроки хранения, круг субпроцессоров) вступают в силу не ранее чем через 14 дней после публикации. Пользователь уведомляется по электронной почте.
11.3. Продолжение использования Сервиса после вступления изменений в силу означает согласие с новой редакцией.
12. Контакты
Вопросы, касающиеся обработки персональных данных, запросы на реализацию прав субъекта данных, а также уведомления об инцидентах:
- Оператор: ИП LINKRO
- Юридический адрес: 050000, Республика Казахстан, г. Алматы, ул. Байсеитовой 11/13 — 4
- ИНН: 780508302277
- Электронная почта: info@lro.link
Приложение А — Мобильные приложения
Настоящее Приложение описывает особенности обработки данных в Android-приложениях LRO — LRO Agent (link.lro.agent) и LRO Terminal (link.lro.terminal). Основная Политика применяется в полном объёме; Приложение добавляет специфику приложений, необходимую для публикации в Google Play.
А.1. Запрашиваемые разрешения
- Интернет / состояние сети — для поддержания исходящего соединения Агента и передачи трафика SSH и туннелей.
- Foreground-сервис (синхронизация данных) — сохраняет соединение активным, пока приложение в фоне; отображается Пользователю в виде постоянного уведомления.
- Уведомления (Android 13+) — для показа этого уведомления foreground-сервиса.
Приложения не содержат рекламных, аналитических или трекинговых SDK и не используют Google Mobile Services или Firebase.
А.2. Данные, хранящиеся только на устройстве
LRO Terminal хранит следующие данные локально на устройстве в зашифрованном виде (шифрование на базе Android Keystore, опционально с биометрической защитой):
- профили SSH-подключений (хост, порт, имя пользователя);
- введённые SSH-пароли и приватные ключи;
- отпечатки известных хостов (доверие при первом подключении).
Эти данные не передаются Оператору. SSH-учётные данные и ключи используются исключительно для подключения к указанным вами серверам; мы их не получаем, не передаём и не храним.
А.3. Резервное копирование устройства
LRO Terminal участвует в системном резервном копировании Android. В облачную резервную копию и при переносе между устройствами включается только зашифрованный парольной фразой файл профилей (profiles_backup.bin); привязанные к устройству зашифрованные через Keystore настройки и сессионный токен исключены. Зашифрованный файл хранится в вашей собственной резервной копии Google-аккаунта на условиях Google — Оператор к нему доступа не имеет.
А.4. Диагностика сбоев
Для обнаружения и устранения сбоев приложения отправляют отчёты о сбоях и ошибках в Sentry (система учёта ошибок; процессор — Functional Software, Inc., регион данных ЕС). Отчёт содержит стек-трейс (включая нативные сбои в ядре на Rust), модель устройства, версию операционной системы и версию приложения. IP-адреса и персональные идентификаторы не прикрепляются (опция sendDefaultPii отключена); отслеживание производительности или использования не ведётся.
А.5. Данные аккаунта (LRO Agent)
LRO Agent выполняет вход в тот же аккаунт LRO, что и веб-панель, и обрабатывает данные аккаунта, Агента и туннелей, описанные в разделах 3.1–3.3, на тех же условиях.