Соглашение об обработке данных

«Контролер» означает физическое лицо, которое создает и владеет данными в своем хранилище Clavitor. Вы всегда являетесь Контролером своих учетных данных и персональных данных.

«Обработчик» означает Clavitor.ai, организацию, которая предоставляет услуги хостинга, оркестрации шифрования и хранения данных от имени Контролера.

«Субъект данных» означает физическое лицо, чьи персональные данные обрабатываются — это можете быть Вы (Контролер) или другие лица, чьи данные Вы храните в своем хранилище (члены семьи, сотрудники, клиенты).

«Персональные данные» означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, хранящуюся в Вашем хранилище, включая, но не ограничиваясь: учётные данные, пароли, ключи API, данные платёжных карт, идентификационные документы и контактную информацию.

«Обработка» означает любую операцию, совершаемую с Персональными данными, включая сбор, хранение, шифрование, передачу, резервное копирование и удаление.

3.1 Обрабатывать только по документированным инструкциям. Clavitor обрабатывает Персональные данные только для предоставления услуги хранилища, как описано в наших Условиях обслуживания. Мы не используем данные для собственных целей, не обучаем модели ИИ, не извлекаем выгоду и не монетизируем данные сверх платы за подписку.

3.2 Обеспечить конфиденциальность. Весь персонал Clavitor, имеющий потенциальный доступ к инфраструктуре, связан обязательствами о конфиденциальности. Доступ предоставляется по принципу наименьших привилегий и регистрируется.

3.3 Внедрить меры безопасности. Мы внедряем:

• Сквозное шифрование: данные шифруются при хранении и передаче
• Многоуровневое шифрование (L2/L3): поля идентификации шифруются ключами, полученными с Вашего устройства (WebAuthn PRF) — мы не можем их расшифровать
• Архитектура нулевого разглашения: мы не можем расшифровать содержимое хранилища; читаемы только метаданные (идентификаторы записей, типы, временные метки)
• Аутентификация на основе устройства (WebAuthn): пароли не хранятся на стороне сервера
• Географическое распределение: 21 точка присутствия (POP) с зашифрованной репликацией
• Реагирование на инциденты: круглосуточный мониторинг, автоматические оповещения, документированные процедуры реагирования на утечки

3.4 Прозрачность субпроцессоров. Мы используем только субпроцессоров, перечисленных в нашем Списке субпроцессоров. Мы уведомляем подписчиков за 30 дней до добавления любого нового субпроцессора.

3.5 Содействие в реализации прав субъектов данных. По Вашему запросу мы поможем Вам ответить на запросы субъектов данных, осуществляющих права в соответствии с GDPR/FADP (доступ, исправление, удаление, переносимость, ограничение, возражение). Примечание: из-за архитектуры шифрования мы не можем получить доступ или изменить зашифрованное содержимое хранилища; помощь ограничена операциями на уровне учетной записи.

3.6 Содействие в выполнении обязательств по безопасности. Мы предоставляем документацию по безопасности, сводки результатов тестирования на проникновение (для получения подробной информации требуется NDA) и журналы аудита по запросу.

3.7 Удалить или вернуть данные. После прекращения подписки Ваши хранилища становятся доступными только для чтения в течение 30 дней. По истечении 30 дней данные хранилища удаляются навсегда. Резервные копии для соблюдения нормативных требований уничтожаются через 30 дней после удаления. Для учетных записей, приостановленных из-за неоплаты, данные удаляются через 30 дней после приостановки, а резервные копии ротируются через 60 дней после этого. Немедленное удаление доступно по запросу в любое время. Данные не могут быть возвращены в расшифрованном виде (у нас нет ключей). Полные сведения см. в наших Условиях обслуживания.

3.8 Аудит и инспекция. По предварительному письменному уведомлению за 30 дней Вы можете провести аудит нашего соответствия данному DPA. Аудиты проводятся в нашей штаб-квартире в Цюрихе или виртуально. Мы предоставляем соответствующую документацию; прямой доступ к инфраструктуре требует проверки безопасности.

3.9 Уведомление об утечках. Мы уведомим Вас в течение 24 часов после обнаружения любой утечки, затрагивающей Ваши Персональные данные. Мы никогда не будем задерживать уведомление для проведения расследования или юридической экспертизы.

3.10 Документирование действий по обработке. Мы ведем учет действий по обработке и предоставляем сводки по запросу.

Вы гарантируете, что:

• У Вас есть законное основание для обработки Персональных данных в Вашем хранилище
• Вы предоставили соответствующие уведомления о конфиденциальности субъектам данных, чьи данные Вы храните
• Вы не будете хранить данные в нарушение применимых законов
• Вы незамедлительно уведомите нас о любых запросах субъектов данных или запросах регулирующих органов

Ваши данные хранилища хранятся в зашифрованном виде в точке присутствия (POP), географически ближайшей к Вашему шаблону доступа. Основные и резервные POP находятся в разных регионах для обеспечения отказоустойчивости. Полный список из 21 POP с городами, поставщиками и сертификатами соответствия поддерживается в нашей базе данных POP.

Поставщики инфраструктуры, используемые для POP, включают: Amazon Web Services (17 POP, основной поставщик для большинства регионов), ISHosting (Стамбул, Алматы, Богота) и HostAfrica (Лагос). Операции штаб-квартиры в Цюрихе (биллинг, административные) используют Hostkey.

Все POP находятся либо:

• В юрисдикциях с решениями об адекватности (ЕС, ЕЭЗ, Швейцария, Великобритания, Канада и т. д.)
• Подпадают под действие стандартных договорных положений (SCC), где решение об адекватности отсутствует

Благодаря нашей архитектуре шифрования (нулевое разглашение), даже данные, хранящиеся в юрисдикциях, не являющихся адекватными, технически защищены. Мы не можем их расшифровать; местные власти также не могут. Разрешение DNS обрабатывается Cloudflare; никакие данные хранилища никогда не проходят через их сеть.

Никакие данные не могут быть нами расшифрованы при хранении. Файл хранилища зашифрован, а ключ шифрования не хранится на сервере. Когда агент или пользователь подключается, он несёт с собой ключ L1 — мы можем технически перехватить его при передаче (хотя мы этого не делаем, а TLS предотвращает это для третьих сторон). Даже с L1 видны только метаданные. Учётные данные и поля идентификации остаются запечатанными.

• L1 (Шифрование хранилища): Хранилище шифруется при хранении с помощью AES-256-GCM. 8-байтовый ключ L1 переносится агентом или пользователем при каждом запросе — он не хранится на сервере. С L1 видны заголовки записей, типы и временные метки. Это минимальный операционный уровень, необходимый для обслуживания запросов.
• L2 (Поля учётных данных): Пароли, ключи API, TOTP-сиды, токены OAuth — шифруются по отдельным полям 16-байтовым ключом, который никогда не существует на сервере. L2 доступен только в браузере пользователя и его зарегистрированных агентах. Мы не можем расшифровать поля учётных данных, и ни один серверный процесс никогда не имеет доступа к L2.
• L3 (Поля идентификации): Кредитные карты, CVV, номера паспортов, номера социального страхования, коды восстановления — шифруются 32-байтовым ключом чистой случайной энтропии, сгенерированным при создании хранилища. Пользователь не знает этот ключ. У нас его нет. L3 никогда не существует на каком-либо сервере. Он защищен путем обертывания его 32-байтовым выводом PRF Вашего аппаратного ключа (отпечаток пальца, лицо или ключ безопасности через WebAuthn PRF). Без физического устройства L3 не может быть развернут. Мы математически не можем расшифровать поля идентификации и не можем быть принуждены предоставить ключ, которого у нас нет.

По вопросам, связанным с DPA:

Сотрудник по защите данных (DPO) Clavitor LLC на имя Йохана Йонгсма

Настоящее DPA вступает в силу с даты начала Вашей подписки и остается в силе до ее прекращения. Об изменениях уведомляется за 30 дней. Продолжение использования означает принятие.

Последнее обновление: 25 мая 2026 г. · Версия 1.1