Безпека

Otack Pages — оператор: Goup Space Sp. z o. o.

Дата набрання чинності: 2026-05-29

1. Сфера застосування

Ця Заява підсумовує технічні та організаційні заходи, які Goup Space Sp. z o. o. застосовує для захисту даних, оброблюваних через Платформу, відповідно до ст. 32 GDPR. Контакт: info@otack.eu. Пов'язані документи: Політика конфіденційності, Угода про обробку даних.

2. Шифрування під час передачі

Весь трафік між браузером Користувача та Платформою шифрується через HTTPS / TLS (TLS 1.2 або вище). Сесійний cookie WGSESS_{port} встановлюється з атрибутами Secure (лише через HTTPS), HttpOnly (недоступний з JavaScript) та SameSite=Lax (захист від CSRF).

3. AI-ключі

API-ключ Користувача шифрується у браузері за допомогою PBKDF2 + AES-256-GCM (Web Crypto API). Пароль шифрування ніколи не потрапляє до Оператора. Зашифрований блоб зберігається в users.ai_keys_blob (режим Account) або в localStorage браузера (режим File); Оператор не може розшифрувати жоден із них.

Коли Користувач робить AI-запит, ключ розшифровується у браузері та передається через TLS у заголовку X-AI-API-Key. Він зберігається в пам'яті PHP лише на час одного запиту, після чого знищується. Він ніколи не зберігається в читабельній формі та не журналізується.

Для асинхронних завдань генерації ключ повторно шифрується за допомогою AES-256-GCM (JobEncryptor) перед розміщенням у черзі Redis і стирається після обробки воркером.

Обмеження: ключ проходить через сервер Оператора в пам'яті на час одного запиту. Це не архітектура нульового знання. Оператор гарантує, що ключ ніколи не зберігається в читабельній формі та не журналізується.

4. Паролі

Паролі ніколи не зберігаються у відкритому вигляді. Вони хешуються за допомогою bcrypt (PASSWORD_BCRYPT через PHP password_hash()) із індивідуальною сіллю для кожного пароля. Токени скидання пароля та підтвердження електронної пошти є випадковими, одноразовими, з коротким терміном дії.

5. Контроль доступу

Автентифікація користувачів (таблиця users) та адміністративна автентифікація (таблиця admins) повністю розділені. Адміністративні дії записуються до незмінного журналу аудиту (admin_audit_log) із зазначенням діючого адміністратора, дії, сутності та зміни стану. На всіх ендпойнтах автентифікації застосовується обмеження частоти для запобігання атакам перебору.

6. Захист від CSRF

Усі HTTP-запити, що змінюють стан, захищені анти-CSRF middleware, який перевіряє 32-байтовий випадковий токен, прив'язаний до сесії Користувача.

7. Шифрування корисного навантаження черги

Чутливі поля у корисному навантаженні черги завдань Redis (AI-ключі, SFTP-облікові дані) шифруються за допомогою AES-256-GCM (JobEncryptor) із випадковим IV і AEAD-тегом для кожного навантаження. Чутливі поля видаляються з будь-якого завдання, переміщеного до dead-letter черги.

8. Платіжні дані

Дані картки (PAN, термін дії, CVV) збираються та обробляються виключно компанією Stripe Payments Europe Ltd. Оператор ніколи не отримує та не зберігає дані картки. Зберігаються лише метадані звірки (посилання замовлення, сума, валюта, статус, електронна пошта покупця).

9. Резервні копії, моніторинг і реагування на інциденти

Регулярно виконуються резервні копії бази даних для відновлення у разі втрати або пошкодження даних. Конкретні цілі RTO/RPO не публікуються. Журнали застосунку та інфраструктури моніторяться на предмет подій безпеки.

У разі порушення безпеки персональних даних Оператор повідомляє наглядовий орган (PUODO) протягом 72 годин, коли цього вимагає ст. 33 GDPR, та повідомляє постраждалих суб'єктів даних без зайвої затримки, коли цього вимагає ст. 34.

10. Обов'язки Користувача

  • Зберігайте конфіденційність пароля вашого облікового запису та використовуйте надійний унікальний пароль.
  • Захищайте пароль шифрування ваших AI-ключів — Оператор не може його відновити.
  • Налаштовуйте Згенеровані сайти з відповідним рівнем безпеки (повідомлення про конфіденційність, банер cookie, HTTPS).

Для повідомлення про проблему безпеки: info@otack.eu.

Англійська версія є основною. У разі будь-якого конфлікту між перекладами переважає англійська версія з урахуванням обов'язкових положень законодавства, що застосовується до місця проживання Користувача.

Goup Space Sp. z o. o. · ul. Hoża 86/210, 00-682 Warszawa · KRS: 0000932799 · info@otack.eu · /security