1. Общие положения
Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты данных пользователей сервиса CloudPath VPN (далее — «Сервис»), расположенного по адресу cloud-path.tech.
Оператор: CloudPath Team — команда разработчиков сервиса.
Используя Сервис, вы соглашаетесь с условиями настоящей Политики. Если вы не согласны — прекратите использование Сервиса.
2. Какие данные мы собираем
Мы собираем минимально необходимый объём данных:
- Telegram ID — уникальный числовой идентификатор вашего аккаунта в Telegram. Используется как основной идентификатор пользователей, пришедших через бота.
- Username Telegram (если установлен, необязательно) — отображается в административном интерфейсе для удобства работы поддержки.
- Email — используется только для входа в личный кабинет (app.cloud-path.tech) по одноразовому коду (magic link). Email не передаётся третьим лицам для рекламы и не используется для рассылок.
- Дата и время транзакций — записываются при оплате подписки для ведения финансового учёта.
- Метод оплаты — тип использованного способа оплаты (Telegram Stars, криптовалюта). Платёжные реквизиты карт мы не собираем и не храним.
- Агрегированный трафик — суммарный объём переданных данных в ГБ для мониторинга нагрузки. Мы не ведём логи посещённых сайтов, IP-адресов назначения, DNS-запросов.
3. Цели обработки данных
- Предоставление доступа к VPN-сервису и управление подпиской
- Обработка платежей и выдача ключей доступа
- Техническая поддержка пользователей
- Отправка уведомлений об истечении подписки
- Предотвращение злоупотреблений и обеспечение безопасности
4. Что мы не делаем — гарантии
- ✓ Не ведём логи трафика, посещённых сайтов и DNS-запросов
- ✓ Не передаём и не продаём данные третьим лицам в коммерческих целях
- ✓ Не храним платёжные данные (номера карт, CVV)
- ✓ Не используем куки для рекламного трекинга
- ✓ Не требуем паспорт, телефон, реальное имя и любые документы — никаких KYC
- ✓ Не используем email для рассылок и не передаём его рекламным сервисам
5. Хранение данных
Данные хранятся на защищённых серверах в Европейском союзе (Германия) с ограниченным доступом. Срок хранения данных — в течение срока действия учётной записи и 90 дней после её удаления (для финансовой отчётности).
6. Передача данных третьим лицам
Данные могут передаваться следующим техническим партнёрам исключительно в целях оказания Сервиса:
- Telegram — платформа доставки бота и обработки платежей через Telegram Stars
- CryptoBot (Wallet Pay) — обработка криптовалютных платежей
- Платёжный шлюз (Platega) — приём оплаты через СБП (Систему быстрых платежей) для пользователей из РФ
- Платёжный шлюз (Platega) — обработка оплаты банковскими картами (для пользователей из РФ)
- Resend.com — доставка одноразовых кодов для входа в личный кабинет по email
- Hetzner Online GmbH — хостинг серверов (Германия)
- Hostkey B.V. — хостинг серверов (Нидерланды, Финляндия)
Данные не передаются рекламным сетям, аналитическим платформам или иным третьим лицам без явного согласия пользователя.
7. Права пользователя
Вы имеете право:
- Запросить информацию о хранящихся данных
- Потребовать удаления своих данных — обратитесь в поддержку
- Отозвать согласие на обработку данных (при этом доступ к Сервису прекращается)
- Получить копию своих данных
Для реализации прав: [email protected] или @CloudPath_bot
8. Безопасность
Для защиты данных применяются следующие технические меры:
- Шифрование соединений TLS 1.3 на всех публичных эндпоинтах
- Авторизация в личном кабинете через JWT-токены (алгоритм HS256), хранящиеся в HttpOnly + Secure cookie — токен недоступен JavaScript и защищён от XSS
- Одноразовые коды для входа хранятся в базе только в виде bcrypt-хеша и автоматически истекают через 10 минут
- Rate-limiting на запрос кода и его проверку для защиты от брутфорса и спама
- Ограничение доступа к серверам по SSH-ключам, отключённая парольная аутентификация
- Регулярные зашифрованные резервные копии базы данных
9. Файлы Cookie
Сайт cloud-path.tech не использует рекламные или трекинговые cookies.
В личном кабинете (app.cloud-path.tech) используется одна строго необходимая cookie — cp_token. Она хранит сессионный JWT-токен для авторизации, имеет флаги HttpOnly, Secure, SameSite=Lax, срок жизни — 30 дней. Без неё невозможно оставаться авторизованным между посещениями. Персональные данные в куки не записываются.
Дополнительно в локальном хранилище браузера (localStorage) сохраняются настройки интерфейса (выбранная тема, факт прохождения онбординга). Эти данные не отправляются на сервер.
10. Изменения политики
Мы оставляем за собой право изменять настоящую Политику. При существенных изменениях пользователи будут уведомлены через Telegram-бота. Актуальная версия всегда доступна на данной странице.