Безпека і конфіденційність

Ваші дані захищені — і залишаються вашими

Ми працюємо з даними клієнтів, продажів, медичною інформацією. Відповідальність — наша. Прозорі правила, шифрування, дотримання GDPR і ЗУ «Про захист персональних даних».

Ключові принципи

На цих чотирьох опорах будується вся наша робота з вашими даними.

Дані лишаються вашими

Ви залишаєтеся єдиним власником даних клієнтів. Ми — оператор обробки, не власник. У будь-який момент можете експортувати все або видалити.

Шифрування скрізь

Шифрування at-rest (AES-256) у базі даних і шифрування in-transit (TLS 1.3) між усіма сервісами. Жодних відкритих каналів.

Принцип найменших привілеїв

Кожен сервіс і кожна людина в команді отримує доступ тільки до того, що потрібно для роботи. Жодного «всі бачать все».

Прозорий аудит

Всі дії в системі логуються: хто і коли зайшов, що змінив, які повідомлення відправив. Логи зберігаються 90 днів.

Де знаходяться ваші дані

Хостинг — Hetzner (Німеччина) або український дата-центр на ваш вибір. Дані не покидають ЄС/України.

База даних

PostgreSQL 16 на ізольованому сервері. Шифрування дисків, щоденні бекапи, repository в окремій мережі без публічного доступу.

Інтеграції

Telegram, Instagram, WhatsApp — через офіційні API. Webhook-и захищені HMAC-підписами. Жодних passwords у відкритому вигляді.

AI-обробка

Anthropic Claude API — без зберігання промптів. Whisper для транскрипції голосу — обробка в пам'яті, без логів.

Бекапи

Щоденні automated backups з ретенцією 30 днів. Тестове відновлення раз на місяць. RPO — 24 години, RTO — 4 години.

Що ми НЕ робимо з вашими даними

Не продаємо третім сторонам

Жодних рекламних мереж, жодних аналітичних брокерів. Ваші дані — для вашого бізнесу.

Не тренуємо моделі

AI-моделі (Claude, Whisper) не дотренуються на ваших даних. Ми використовуємо API без opt-in для навчання.

Не зберігаємо паролі у відкритому вигляді

Bcrypt для паролів CMS, OAuth токени зберігаються шифрованими. Доступ до production — тільки через SSH-ключі.

Не передаємо нікому без вашої згоди

Якщо отримаємо запит від держоргану — повідомимо вас (якщо це юридично дозволено) до передачі даних.

Відповідність стандартам

На які норми ми орієнтуємось у щоденній роботі.

GDPR (ЄС)

Право на доступ, виправлення, видалення, портування. Згода на обробку. DPO-контакт. Реакція на запит — 30 днів.

ЗУ «Про захист персональних даних»

Реєстрація бази в Уповноваженого. Згода суб'єкта. Зберігання у визначеному обсязі і термінах.

Медичні дані (для клінік)

Окремий рівень доступу. Логування всіх дій з історіями хвороб. Підвищені вимоги до бекапу.

Платіжні дані

Не зберігаємо CVV і повні номери карт. Інтеграція з платіжними провайдерами через токенізацію (LiqPay, WayForPay, Stripe).

Що ви отримуєте на старті

Договір з NDA

Перед початком робіт — підписання договору з пунктом про конфіденційність. Зразок надсилаємо до зустрічі.

DPA (Data Processing Agreement)

Окрема угода про обробку даних згідно GDPR. Описує ролі (контролер/процесор), цілі, терміни.

Експорт даних 24/7

У будь-який момент можете запросити дамп бази або експорт у CSV/JSON. Без обмежень. Без блокувань.

Можливість self-hosting

Якщо потрібно — розгортаємо систему на ваших серверах. Ви тримаєте все у своїй інфраструктурі, ми — підтримка.

Часті питання

Що питають про безпеку

Прозорі відповіді на технічні питання, які чуємо найчастіше.

Тільки ви (як власник) і обмежене коло наших інженерів для технічної підтримки. Кожен доступ логується. Інженери підписали NDA. Доступ до production — через SSH-ключі, multi-factor auth.

Базово — Hetzner (Німеччина, юрисдикція ЄС, GDPR). За запитом — український дата-центр. Дані ніколи не виходять за межі ЄС/України.

Ні. Anthropic Claude API працює без логування промптів (zero retention). Whisper для голосу — обробка в пам'яті, без збереження аудіо. Зберігаємо тільки те, що потрібно вам у CRM.

Експортуємо все у форматі вашого вибору (CSV, JSON, SQL-дамп). Видаляємо з нашої інфраструктури протягом 30 днів. Підтверджуємо актом видалення.

Так. Внутрішній аудит щомісяця. Penetration testing раз на рік. Логи зберігаємо 90 днів. На запит — звіт про інциденти і заходи безпеки.

В адмін-панелі є кнопка «Видалити клієнта» — стирає всі особисті дані з CRM, історії розмов, бекапів. Реакція — до 30 днів згідно GDPR. Ми допоможемо налаштувати процес.

Так. Self-hosting опція доступна для пакетів від €1500/міс. Розгортаємо систему на вашій інфраструктурі (AWS, GCP, on-premise). Підтримка і оновлення — наші, контроль над даними — ваш.

В Україні HIPAA не застосовується, але ми орієнтуємось на її принципи для медклієнтів: підвищене шифрування, окремі ролі, логування доступу до медданих, обов'язковий DPA, аудит логів.

Контакти

Не треба нічого вирішувати прямо зараз

Просто 20 хвилин розмови — і ви будете точно знати: скільки клієнтів втрачаєте, що можна автоматизувати, скільки це коштуватиме. Можливо, у вашому випадку ще зарано — і ми чесно скажемо.

Telegram-бот

Записатися за 1 хв

Бот миттєво підбере час консультації

Особистий Telegram

@taras_tkv

Напишіть засновнику напряму

По всьому світу

Віддалено

Працюємо з будь-якою локацією

Email

info@mtdk-ai.com

Напишіть нам на пошту

Хочете побачити нашу
політику безпеки?

Безкоштовно надсилаємо повну документацію: договір, DPA, опис інфраструктури, контакти DPO.