1. Общие положения
Настоящая Политика конфиденциальности разработана в соответствии с Федеральным законом РФ № 152-ФЗ «О персональных данных» и регулирует отношения между Администрацией мессенджера «XAILO» (далее — «Мессенджер», «Сервис», «Мы») и Пользователем (далее — «Вы», «Пользователь») в области обработки персональных данных и иной информации.
Администрация Сервиса представлена физическими лицами — группой разработчиков из 5 (пяти) человек. Все серверы, на которых хранятся и обрабатываются данные, физически расположены на территории Российской Федерации.
Используя Мессенджер, Вы выражаете своё безоговорочное согласие с настоящей Политикой и условиями обработки Ваших данных. В случае несогласия с условиями Политики, Пользователь должен прекратить использование Сервиса.
Настоящая Политика конфиденциальности является публичной офертой в соответствии со ст. 437 Гражданского кодекса РФ.
2. Собираемые данные
При регистрации и использовании Мессенджера Мы можем собирать следующую информацию:
- Username — уникальный идентификатор, обязательное поле при регистрации.
- Адрес электронной почты — обязательное поле, используется для идентификации и восстановления доступа к аккаунту.
- Номер телефона — опционально, указывается по желанию Пользователя.
- Имя — отображается в профиле и чатах.
- Пароль — хранится в зашифрованном виде с использованием современных криптографических методов (хеширование с уникальной солью).
- Аватар — изображение профиля, загружается добровольно.
- Биография (О себе) — текстовая информация, заполняется по желанию.
- Эмодзи-статус — отображаемый символ настроения.
- Сообщения и медиафайлы — текст, голосовые сообщения, изображения, видео, документы.
- Обои чата — изображение фона для персонализации.
- Технические данные — IP-адрес, время входа, информация об устройстве, User-Agent.
- FCM-токен — для отправки push-уведомлений на мобильные устройства.
Все персональные данные хранятся на серверах, расположенных на территории Российской Федерации. Данные шифруются с использованием современных криптографических алгоритмов. Пароли хешируются с добавлением уникальной соли для каждого Пользователя, что исключает возможность их восстановления в исходном виде.
Кто имеет доступ к данным
Прямой доступ к серверной инфраструктуре имеет исключительно ведущий разработчик (руководитель команды). Однако даже он не может просмотреть Ваши данные в расшифрованном виде — пароли хранятся в виде необратимого хеша, который математически невозможно восстановить. Остальные участники команды (4 человека) доступа к серверной инфраструктуре не имеют и выполняют иные функции (тестирование, дизайн, документация).
Административная панель позволяет просматривать публичную информацию профиля (username, имя, аватар), но не позволяет читать пароли или личную переписку пользователей. Доступ к административной панели защищён двухфакторной аутентификацией.
3. Цели обработки данных
Собранные данные используются исключительно для:
- Обеспечения функционирования Мессенджера (авторизация, доставка сообщений, аудиозвонки).
- Идентификации Пользователя в системе.
- Отображения профиля, аватара и статуса другим пользователям.
- Отправки push-уведомлений о новых сообщениях и событиях.
- Обеспечения безопасности и предотвращения несанкционированного доступа.
- Улучшения качества Сервиса и исправления ошибок.
- Предотвращения мошенничества и нарушения условий использования.
- Соблюдения требований законодательства Российской Федерации.
Мы не используем Ваши данные для маркетинговых рассылок (кроме системных уведомлений), рекламы или передачи третьим лицам в коммерческих целях.
4. Хранение и шифрование данных
4.1. Местоположение серверов
Все данные Пользователей хранятся исключительно на серверах, физически расположенных на территории Российской Федерации. Мы не используем зарубежные хостинги и облачные сервисы для хранения персональных данных.
4.2. Шифрование
Все персональные данные шифруются с использованием современных криптографических алгоритмов. Пароли проходят через процедуру хеширования с добавлением уникальной соли (случайной последовательности символов) для каждого Пользователя. Такой метод является необратимым — даже имея доступ к базе данных, невозможно восстановить исходный пароль.
Передача данных между клиентом и сервером осуществляется по защищённому протоколу HTTPS с использованием TLS-шифрования.
4.3. Сроки хранения данных
- Аккаунт и профиль — бессрочно, пока аккаунт активен.
- Сообщения — хранятся в течение периода, установленного Администрацией для обеспечения стабильной работы Сервиса. По истечении данного периода сообщения автоматически удаляются.
- Медиафайлы — до момента удаления отправителем или истечения срока хранения связанного сообщения.
- Неиспользуемые медиафайлы — автоматически удаляются через 7 дней после последнего обращения к ним.
- Сессионные токены — 30 дней с момента создания.
- Логи сервера — до 90 дней.
- Логи безопасности — до 180 дней.
Вы можете в любой момент удалить свой аккаунт через раздел «Настройки» → «Данные» → «Удалить аккаунт». При удалении аккаунта все связанные данные безвозвратно удаляются.
4.4. Меры защиты сервера
Мы применяем следующие меры безопасности:
- Ограничение физического и сетевого доступа к серверной инфраструктуре.
- Регулярные обновления программного обеспечения.
- Автоматическое обнаружение и блокировка подозрительной активности.
- Защита от распространённых веб-уязвимостей (SQL-инъекции, межсайтовый скриптинг, обход пути).
- Ограничение частоты запросов (rate limiting) для предотвращения злоупотреблений.
- Двухфакторная аутентификация для доступа к административной панели.
- Ведение журнала событий безопасности.
Однако ни один метод передачи данных через интернет или метод электронного хранения не является абсолютно безопасным. Мы стремимся использовать коммерчески приемлемые средства для защиты Ваших данных, но не можем гарантировать их абсолютную безопасность.
5. Файлы cookie и сессии
Мессенджер использует файлы cookie и localStorage для:
- Сохранения сессии авторизации (чтобы не вводить пароль при каждом посещении).
- Запоминания настроек Пользователя (тема оформления, уведомления, звуки, прозрачность обоев).
- Обеспечения корректной работы WebSocket-соединения.
- Хранения токена сессии (срок действия — 30 дней).
Вы можете отключить использование cookie в настройках браузера, однако это может привести к некорректной работе Сервиса.
6. Права пользователей
В соответствии с Федеральным законом РФ № 152-ФЗ «О персональных данных», Вы имеете право:
- Получить информацию о том, какие данные о Вас хранятся в Сервисе.
- Требовать исправления неточных или неполных данных (через редактирование профиля в приложении).
- Требовать удаления Ваших персональных данных (путём удаления аккаунта).
- Экспортировать свои данные (контакты, заметки) в машиночитаемом формате JSON.
- Отозвать согласие на обработку данных (влечёт за собой удаление аккаунта).
- Ограничить видимость Вашего профиля через настройки приватности в приложении.
Для реализации вышеуказанных прав обратитесь в службу поддержки по контактам, указанным в разделе 10.
7. Модерация и блокировка
7.1. Административная панель
Руководитель команды разработчиков имеет доступ к панели управления, защищённой двухфакторной аутентификацией. Через данную панель возможно:
- Просматривать список пользователей и их публичные данные.
- Блокировать и разблокировать аккаунты.
- Выдавать и отключать расширенные возможности аккаунтов.
- Создавать и управлять промокодами.
- Отправлять системные уведомления.
- Обрабатывать заявки в службу поддержки (тикеты).
- Управлять режимом технических работ.
Административная панель не позволяет читать пароли пользователей (так как они хранятся в виде необратимого хеша) или просматривать личную переписку.
7.2. Основания для блокировки
Администрация оставляет за собой право заблокировать аккаунт Пользователя в следующих случаях:
- Распространение незаконного контента.
- Спам, фишинг, мошенничество.
- Оскорбления, угрозы, разжигание ненависти или вражды, дискриминация.
- Попытки взлома или нарушения работы Сервиса.
- Нарушение законодательства Российской Федерации.
8. Передача данных третьим лицам
Мы не продаём, не обмениваем и не передаём Ваши персональные данные третьим лицам, за исключением следующих случаев:
- Google reCAPTCHA: при регистрации используется для защиты от автоматических регистраций. Компания Google может собирать данные в соответствии со своей политикой конфиденциальности.
- Firebase Cloud Messaging (FCM): токен устройства передаётся в Google для доставки push-уведомлений на мобильные устройства.
- По требованию законодательства: в случаях, прямо предусмотренных действующим законодательством Российской Федерации (по официальному запросу уполномоченных государственных органов).
9. Отказ от ответственности
ВАЖНОЕ ЮРИДИЧЕСКОЕ УВЕДОМЛЕНИЕ
Администрация Мессенджера является группой физических лиц и не несёт ответственности за:
- Действия Пользователей и содержание передаваемых ими сообщений.
- Утечку данных в результате взлома сервера, целенаправленной атаки третьих лиц или обстоятельств непреодолимой силы.
- Любой прямой, косвенный, случайный, специальный или последующий ущерб, возникший в результате использования или невозможности использования Сервиса.
- Потерю данных, упущенную выгоду, прерывание деловой активности.
- Нарушение авторских и смежных прав при обмене медиафайлами между Пользователями.
- Действия правоохранительных органов в рамках, установленных законодательством РФ.
- Удаление сообщений по истечении установленного срока хранения.
Используя Мессенджер, Вы принимаете на себя все риски, связанные с его использованием. Сервис предоставляется «КАК ЕСТЬ» (AS IS) без каких-либо гарантий, явных или подразумеваемых, включая, но не ограничиваясь, гарантиями пригодности для определённой цели.
10. Контакты
По всем вопросам, связанным с конфиденциальностью, работой Сервиса или реализацией Ваших прав как субъекта персональных данных:
- Через Сервис: напишите системному боту XAILO и выберите раздел «Связаться с поддержкой» — мы ответим в течение 20 (двадцати) рабочих дней.
- Веб-сайт: https://xailo.ru