Політика
конфіденційності
Ця політика описує які дані збирає SafeBox, як вони зберігаються та захищаються. Ми побудували сервіс на принципі Zero-Knowledge — ваші паролі залишаються лише у вас.
Принцип Zero-Knowledge
Усі паролі шифруються алгоритмом AES-256-GCM на вашому пристрої до відправки на сервер. Ми фізично не можемо прочитати ваші паролі — навіть якби захотіли.
Загальні положення
Ця Політика конфіденційності поширюється на веб-сайт safebox.lol, мобільний застосунок та розширення для браузера Chrome (далі — «Сервіс»). Використовуючи Сервіс, ви погоджуєтесь з умовами цієї Політики.
Оператором Сервісу є фізична особа — розробник SafeBox. З питань конфіденційності звертайтесь за контактами, вказаними в розділі 8.
Які дані ми збираємо
| Дані | Де зберігаються | Стан |
|---|---|---|
| Email адреса | Сервер (відкрито) | незашифровано |
| Хеш пароля (SHA-256) | Сервер | хешовано |
| Зашифровані паролі | Сервер | AES-256-GCM |
| Ключ шифрування (vault_key) | Тільки ваш пристрій | не передається |
| Google OAuth токен | Сервер (тимчасово) | не зберігається |
| IP адреса та лог дій | Сервер (audit log) | для безпеки |
Ми не збираємо: реальний майстер-пароль, розшифровані паролі, платіжну інформацію, геолокацію, дані про використання сайтів у браузері.
Розширення для Chrome
Розширення SafeBox запитує такі дозволи браузера:
- storage — збереження токенів авторизації та ключа шифрування локально на вашому пристрої
- activeTab — визначення полів входу на поточній вкладці для автозаповнення
- scripting — введення логіна та пароля у форму після вашого підтвердження
Розширення не читає та не передає вміст веб-сторінок, не відстежує відвідані сайти і не має доступу до ваших даних на інших вкладках.
Ключ шифрування зберігається в chrome.storage.local — локально у вашому профілі Chrome і не передається на наші сервери.
Як ми використовуємо дані
- Ідентифікація вашого акаунту при вході
- Зберігання та синхронізація зашифрованих записів між вашими пристроями
- Надсилання листів підтвердження email та відновлення доступу
- Виявлення підозрілої активності та захист акаунту (audit log)
Ми не продаємо ваші дані третім особам. Ми не використовуємо ваші дані для реклами або маркетингу.
Зберігання та захист даних
Сервер розташований на платформі Render (США). База даних PostgreSQL захищена SSL/TLS з'єднанням, регулярним резервним копіюванням і обмеженим доступом.
Передача даних між вашим пристроєм і сервером захищена протоколом HTTPS (TLS 1.3).
Зашифровані паролі зберігаються стільки, скільки існує ваш акаунт. Після видалення акаунту всі дані видаляються протягом 30 днів.
Ваші права
- Отримати копію всіх ваших даних
- Виправити або оновити особисту інформацію
- Видалити акаунт та всі пов'язані дані
- Відкликати згоду на обробку даних
Для реалізації будь-якого з цих прав зверніться до нас через контакти в розділі 8.
Зміни до Політики
Ми можемо оновлювати цю Політику. Про суттєві зміни ми повідомимо на сайті або електронною поштою. Дата останнього оновлення вказана у верхній частині сторінки.
Продовження використання Сервісу після змін означає вашу згоду з оновленою Політикою.
Контакти
Якщо у вас є запитання щодо конфіденційності або ви хочете реалізувати свої права: