TL;DR
हम तुम्हें सर्वर देने और invoice भेजने के लिए ज़रूरी न्यूनतम इकट्ठा करते हैं। कोई tracking नहीं, कोई ad networks नहीं, कोई डेटा resale नहीं। हम EU में हैं, GDPR लागू है, और हम तुम्हारा डेटा third parties के साथ कभी share नहीं करते जब तक कानूनी रूप से ज़रूरी न हो।
1. हम कौन हैं
InternalHost एक एकल स्वामित्व (Dutch CoC 90174720) है, जिसके मालिक Xaviero Kajafas हैं, Amsterdam में स्थित। पंजीकृत कार्यालय: Bijlmerdreef 910, 1103 DV Amsterdam। Office (अपॉइंटमेंट से): Nieuwe Hemweg 26, 1013 CX Amsterdam। हम GDPR के तहत उस व्यक्तिगत डेटा के लिए "data controller" हैं जो तुम ग्राहक के रूप में हमें सौंपते हो।
2. हम क्या इकट्ठा करते हैं
तीन श्रेणियाँ, और कुछ नहीं:
- Account data: नाम, ईमेल, कंपनी का नाम (वैकल्पिक), VAT नंबर (वैकल्पिक, B2B के लिए)। Registration पर तुम्हारे द्वारा दिया गया।
- Billing data: invoicing address, payment method (हम card numbers store नहीं करते — वे Mollie/Revolut पर रहते हैं), payment history। Dutch tax law + GDPR art. 6(1)(b) (contract) के तहत आवश्यक।
- तकनीकी डेटा: session IP, browser user-agent, login timestamps। सुरक्षा (CrowdSec, fail2ban) और fraud prevention के लिए आवश्यक। कानूनी आधार: art. 6(1)(f) (legitimate interest)।
हम नहीं इकट्ठा करते: third-party tracking cookies, social-media pixels, advertising IDs, IP से अधिक geolocation, behavioural analytics, mouse tracking, या कोई अन्य surveillance tech।
3. हम इसका क्या उपयोग करते हैं
- जिस सेवा का तुमने भुगतान किया उसे देना (सर्वर provision, mail भेजना, सपोर्ट)।
- Invoices बनाना और भेजना।
- हमारे infrastructure पर abuse का पता लगाना और रोकना (AUP देखो)।
- कानूनी retention दायित्व पूरे करना (Dutch tax: invoices 7 साल)।
हम नहीं उपयोग करते: profiling, personalised advertising, resale, AI model training, या कोई अन्य side-hustle के लिए।
4. हम कब तक रखते हैं
- Account data: जब तक तुम ग्राहक हो + cancellation के 30 दिन बाद किसी claim के लिए।
- Invoices: 7 साल (Dutch tax law)।
- Login logs: 90 दिन (सुरक्षा forensics)।
- सर्वर डेटा (तुम्हारा VPS content): जब तक तुम्हारी सेवा सक्रिय है। Cancellation के बाद recovery के लिए 14 दिन, फिर स्थायी रूप से हटा दिया जाता है।
- सपोर्ट tickets: 2 साल।
5. हम किसके साथ share करते हैं
छोटी सूची। यहाँ हर कोई EU अधिकार क्षेत्र में processor है:
- Mollie (NL): payment processor। तुम्हारा नाम, invoice राशि, ईमेल पाता है। Mollie Privacy।
- Revolut Business (LT, EU): वैकल्पिक payment processor। Mollie जैसा ही scope।
- Cloudflare (US, EU data-region): इस website के लिए CDN/DDoS। Anti-bot के लिए तुम्हारा IP + browser fingerprint process करता है। Standard SCCs लागू। Cloudflare Privacy।
- Qupra DC (NL): datacenter। हमारे hardware तक भौतिक access, डेटा तक कोई logical access नहीं।
- OpenProvider (NL): domain registrar — केवल तभी प्रासंगिक जब तुम हमारे ज़रिए डोमेन register करते हो। WHOIS contact data पाता है।
बस इतना ही। कोई tracking pixels नहीं, कोई advertising platforms नहीं, कोई "analytics" SaaS नहीं।
6. तुम्हारे अधिकार (GDPR)
तुम्हें अधिकार है:
- अपने सारे डेटा तक पहुँच का।
- उसे सही करने का।
- हटाने का अनुरोध (सिवाय जहाँ कानूनी retention लागू हो)।
- Machine-readable copy पाने का (data portability)।
- Legitimate interest पर आधारित processing पर आपत्ति का।
- Dutch Data Protection Authority के साथ शिकायत दर्ज करने का।
[email protected] पर ईमेल करो। हम 30 दिनों के भीतर जवाब देते हैं, आमतौर पर 5 के भीतर।
7. सुरक्षा
- हर जगह TLS (HSTS preloaded)।
- Passwords bcrypt में store, कभी plaintext नहीं।
- Production SSH केवल ed25519 keys से, password auth बंद।
- Admin accounts के लिए MFA अनिवार्य।
- सभी सार्वजनिक endpoints पर CrowdSec + fail2ban।
- ग्राहक डेटा के दैनिक encrypted backups।
- सीमित access: केवल Nick और Jarreth के पास prod shell है, केवल Xavi के पास Filament admin।
Data breach? हम GDPR art. 33-34 के अनुसार 72 घंटों के भीतर DPA और प्रभावित ग्राहकों को सूचित करते हैं।
8. संपर्क + परिवर्तन
सवाल, अनुरोध या शिकायत: [email protected] या Signal (footer में link)। हम इस नीति को संशोधित करने का अधिकार सुरक्षित रखते हैं। महत्वपूर्ण बदलाव प्रभावी होने से कम से कम 30 दिन पहले सक्रिय ग्राहकों को ईमेल किए जाते हैं।