$ cat /etc/internalhost/privacy

গোপনীয়তা নীতি

সংস্করণ 1.0 · সর্বশেষ আপডেট: 2026-05-19 · তাৎক্ষণিক প্রভাব

TL;DR

তোমাকে সার্ভার দেওয়া এবং invoice পাঠানোর জন্য প্রয়োজনীয় ন্যূনতম আমরা সংগ্রহ করি। কোনো tracking নয়, কোনো ad networks নয়, কোনো ডেটা resale নয়। আমরা EU-তে, GDPR প্রযোজ্য, এবং তোমার ডেটা আমরা third parties-এর সাথে কখনো share করি না যদি না আইনিভাবে প্রয়োজন হয়।

1. আমরা কারা

InternalHost একটি একক মালিকানা (Dutch CoC 90174720), Xaviero Kajafas-এর মালিকানাধীন, Amsterdam-এ অবস্থিত। নিবন্ধিত অফিস: Bijlmerdreef 910, 1103 DV Amsterdam। Office (অ্যাপয়েন্টমেন্টে): Nieuwe Hemweg 26, 1013 CX Amsterdam। আমরা GDPR-এর অধীনে সেই ব্যক্তিগত ডেটার "data controller" যা তুমি গ্রাহক হিসেবে আমাদের কাছে অর্পণ কর।

2. আমরা কী সংগ্রহ করি

তিনটি শ্রেণি, আর কিছু না:

  • Account data: নাম, ইমেইল, কোম্পানির নাম (ঐচ্ছিক), VAT নম্বর (ঐচ্ছিক, B2B-এর জন্য)। Registration-এ তোমার দ্বারা দেওয়া।
  • Billing data: invoicing address, payment method (আমরা card numbers store করি না — সেগুলো Mollie/Revolut-এ থাকে), payment history। Dutch tax law + GDPR art. 6(1)(b) (contract) অনুযায়ী প্রয়োজনীয়।
  • কারিগরি ডেটা: session IP, browser user-agent, login timestamps। নিরাপত্তার জন্য প্রয়োজনীয় (CrowdSec, fail2ban) এবং fraud prevention। আইনি ভিত্তি: art. 6(1)(f) (legitimate interest)।

আমরা সংগ্রহ করি না: third-party tracking cookies, social-media pixels, advertising IDs, IP-এর বাইরে geolocation, behavioural analytics, mouse tracking, বা অন্য কোনো surveillance tech।

3. আমরা এটা কীসে ব্যবহার করি

  • তুমি যে সেবার জন্য pay করেছ সেটা দিতে (সার্ভার provision, তোমাকে mail পাঠানো, সাপোর্ট)।
  • Invoices তৈরি এবং পাঠানো।
  • আমাদের infrastructure-এ abuse সনাক্ত এবং থামানো (AUP দেখো)।
  • আইনি retention বাধ্যবাধকতা পূরণ করা (Dutch tax: invoices 7 বছর)।

আমরা ব্যবহার করি না: profiling, personalised advertising, resale, AI model training, বা অন্য কোনো side-hustle-এর জন্য।

4. আমরা কত দিন রাখি

  • Account data: যতদিন তুমি গ্রাহক + cancellation-এর 30 দিন পর কোনো claim-এর জন্য।
  • Invoices: 7 বছর (Dutch tax law)।
  • Login logs: 90 দিন (নিরাপত্তা forensics)।
  • সার্ভার ডেটা (তোমার VPS content): যতদিন তোমার সেবা সক্রিয়। Cancellation-এর পর recovery-এর জন্য 14 দিন, তারপর স্থায়ীভাবে মুছে ফেলা হয়।
  • সাপোর্ট tickets: 2 বছর।

5. আমরা কার সাথে share করি

ছোট তালিকা। এখানে সবাই EU এখতিয়ারে processor:

  • Mollie (NL): payment processor। তোমার নাম, invoice পরিমাণ, ইমেইল পায়। Mollie Privacy
  • Revolut Business (LT, EU): বিকল্প payment processor। Mollie-এর মতোই scope।
  • Cloudflare (US, EU data-region): এই website-এর জন্য CDN/DDoS। Anti-bot-এর জন্য তোমার IP + browser fingerprint process করে। Standard SCCs প্রযোজ্য। Cloudflare Privacy
  • Qupra DC (NL): datacenter। আমাদের hardware-এ ভৌত access, ডেটায় কোনো logical access নয়।
  • OpenProvider (NL): domain registrar — শুধু যদি তুমি আমাদের মাধ্যমে ডোমেইন register কর। WHOIS contact data পায়।

এটাই। কোনো tracking pixels নয়, কোনো advertising platforms নয়, কোনো "analytics" SaaS নয়।

6. তোমার অধিকার (GDPR)

তোমার অধিকার আছে:

  • তোমার সব ডেটায় access-এর।
  • এটা সংশোধনের।
  • মুছে ফেলার অনুরোধ (যেখানে আইনি retention প্রযোজ্য সেখান ছাড়া)।
  • Machine-readable copy পাওয়ার (data portability)।
  • Legitimate interest-এর উপর ভিত্তি করে processing-এ আপত্তির।
  • Dutch Data Protection Authority-এর কাছে অভিযোগ দাখিলের।

[email protected]-এ ইমেইল কর। আমরা 30 দিনের মধ্যে উত্তর দিই, সাধারণত 5-এর মধ্যে।

7. নিরাপত্তা

  • সব জায়গায় TLS (HSTS preloaded)।
  • Passwords bcrypt-এ store, কখনো plaintext নয়।
  • Production SSH শুধু ed25519 keys-এর মাধ্যমে, password auth বন্ধ।
  • Admin accounts-এর জন্য MFA বাধ্যতামূলক।
  • সব সর্বজনীন endpoints-এ CrowdSec + fail2ban।
  • গ্রাহক ডেটার দৈনিক encrypted backups।
  • সীমিত access: শুধু Nick এবং Jarreth-এর কাছে prod shell আছে, শুধু Xavi-এর কাছে Filament admin।

Data breach? আমরা GDPR art. 33-34 অনুযায়ী 72 ঘণ্টার মধ্যে DPA এবং প্রভাবিত গ্রাহকদের জানাই।

8. যোগাযোগ + পরিবর্তন

প্রশ্ন, অনুরোধ বা অভিযোগ: [email protected] বা Signal (footer-এ link)। আমরা এই নীতি সংশোধনের অধিকার সংরক্ষণ করি। গুরুত্বপূর্ণ পরিবর্তন প্রভাবী হওয়ার অন্তত 30 দিন আগে সক্রিয় গ্রাহকদের ইমেইল করা হয়।