Политика конфиденциальности

Последнее обновление: 13.05.2026

TDSpro серьёзно относится к конфиденциальности. Этот документ объясняет какие данные мы собираем, почему, и как их защищаем.

Коротко: мы собираем только то что нужно для работы сервиса. Не продаём данные. Не отправляем их в рекламные сети. Не используем cookie-трекеры типа Google Analytics.

1. Данные которые мы собираем

От вас (клиента):

Email-адрес — для входа в аккаунт, отправки уведомлений о платежах и статусе.
Пароль — хранится как scrypt(password, salt, N=16384) — необратимый хеш.
IP-адрес регистрации и входа — для защиты от брутфорса и антифрод. Хранится 90 дней.
Device fingerprint — хеш от User-Agent, Accept-Language, sec-ch-ua — для защиты от trial-фарминга.
Список подключённых доменов и конфигурация кампаний — нужны для работы редиректов.
Telegram-chat-id и webhook URL (опционально) — только если вы их указали.

От посетителей ваших доменов:

IP-адрес — анонимизируется: последний октет заменяется на 0 (например, 94.158.33.42 → 94.158.33.0).
User-Agent — обрезается до 200 символов, используется для детекции устройства и бот-фильтра.
Referer — если передан.
Country code (2 буквы, по GeoIP) — для гео-рутинга.
Sub-ID параметры из URL — передаются как есть для трекинга источника.

Мы НЕ собираем:

Имена, фамилии, адреса, телефоны
Данные банковских карт (оплата только криптовалютой)
Cookie на доменах клиентов
Биометрические данные

2. Как используем данные

Email — для входа, отправки уведомлений о платежах, важных изменений сервиса.
IP/fingerprint — для защиты от абуза и брутфорса.
Статистика кликов — для отображения в вашем дашборде.
Логи — для отладки ошибок (хранятся 7 дней, затем удаляются).

3. Передача третьим лицам

Мы не передаём персональные данные третьим лицам, за исключением случаев:

Геолокация по IP — отправляется в ipinfo.io (только IP, без других данных).
Криптоплатежи — транзакции видимы в блокчейне Tron (публичная информация).
SSL-сертификаты — Caddy делает запросы к Let's Encrypt (ACME).
Правоохранительные органы — при наличии законных оснований.

4. Хранение и защита

Сервер физически расположен в Stockholm (AWS eu-north-1, Ubuntu 22.04).
База данных SQLite с WAL-логом, ежедневный бэкап. Доступ только по SSH с ключом.
Весь трафик защищён HTTPS (TLS 1.3, автоматический SSL через Let's Encrypt).
Пароли — scrypt, не plaintext.
Session-токены — random 32 bytes, HttpOnly + SameSite=Lax + Secure cookies.
CSRF-защита на всех state-changing запросах.
Rate-limit на логин и регистрацию.

5. Ваши права

Вы имеете право:

Получить копию своих данных — запросите в поддержке, вышлем JSON.
Исправить неверные данные — через дашборд или поддержку.
Удалить аккаунт — удалит все ваши данные в течение 30 дней.
Отписаться от email-рассылок — кроме критических (платежи, безопасность).

6. Cookies

Мы используем только 1 cookie — tdspro_sess для session-авторизации. HttpOnly (недоступен из JS), SameSite=Lax (не отправляется с другими сайтами), Secure (только HTTPS). Хранится 30 дней.

Трекинг-cookie (Google Analytics, Facebook Pixel и т.п.) не используются.

7. Срок хранения

Аккаунт — пока активна подписка + 30 дней после удаления.
Логи кликов — 180 дней, затем агрегируются в summary.
IP-адреса logins — 90 дней.
Failed login attempts — 30 дней.
Платежи (для бухгалтерии) — 3 года.

8. Дети

Сервис не предназначен для лиц младше 18 лет. Мы не собираем намеренно данные несовершеннолетних.

9. Изменения

При существенных изменениях политики отправим email-уведомление за 14 дней. Незначительные изменения (опечатки, уточнения) публикуются без уведомления.

Вопросы по данным: Telegram-поддержка.