$ cat /etc/internalhost/privacy

Політика конфіденційності

Версія 1.0 · Остання оновлено: 2026-05-19 · Дійсна негайно

TL;DR

Збираємо мінімум, потрібний для надання сервера і виставлення рахунку. Без трекінгу, без рекламних мереж, без перепродажу даних. Ми в ЄС, GDPR діє, ніколи не передаємо твої дані третім сторонам, якщо це не вимагається законом.

1. Хто ми

InternalHost — це ФОП (голландський KvK 90174720), власник Xaviero Kajafas, з базою в Амстердамі. Юридична адреса: Bijlmerdreef 910, 1103 DV Amsterdam. Офіс (за домовленістю): Nieuwe Hemweg 26, 1013 CX Amsterdam. Ми «контролер даних» за GDPR щодо персональних даних, які ти довіряєш нам як клієнт.

2. Що збираємо

Три категорії, не більше:

  • Дані акаунта: імʼя, email, назва компанії (опційно), номер VAT (опційно, для B2B). Надаються тобою при реєстрації.
  • Платіжні дані: адреса для рахунків, спосіб платежу (не зберігаємо номери карт — це у Mollie/Revolut), історія платежів. Обовʼязково за голландським податковим законом + GDPR ст. 6(1)(б) (контракт).
  • Технічні дані: IP сесії, user-agent браузера, відмітки часу входу. Потрібні для безпеки (CrowdSec, fail2ban) і запобігання шахрайству. Правова основа: ст. 6(1)(е) (законний інтерес).

Не збираємо: сторонні cookies трекінгу, піксели соцмереж, рекламні ID, геолокацію поза IP, поведінкову аналітику, відстеження мишки чи будь-яку іншу технологію стеження.

3. Для чого використовуємо

  • Надання послуги, за яку ти заплатив (provisioning серверів, надсилання пошти, підтримка).
  • Генерація і надсилання рахунків.
  • Виявлення і зупинення зловживань на нашій інфраструктурі (див. AUP).
  • Виконання вимог щодо зберігання за законом (голландське податкове: рахунки 7 років).

Не використовуємо для: профілювання, персоналізованої реклами, перепродажу, тренування AI-моделей чи будь-якого іншого підробітку.

4. Як довго зберігаємо

  • Дані акаунта: поки ти клієнт + 30 днів після скасування на будь-які претензії.
  • Рахунки: 7 років (голландське податкове).
  • Логи входу: 90 днів (forensics безпеки).
  • Дані сервера (вміст твого VPS): поки послуга активна. Після скасування 14 днів на відновлення, потім остаточне видалення.
  • Тікети підтримки: 2 роки.

5. З ким ділимось

Короткий список. Усі тут — процесори в юрисдикції ЄС:

  • Mollie (NL): процесор платежів. Отримує твоє імʼя, суму рахунку, email. Конфіденційність Mollie.
  • Revolut Business (LT, ЄС): альтернативний процесор платежів. Той же обсяг, що Mollie.
  • Cloudflare (US, регіон даних ЄС): CDN/DDoS для цього сайту. Обробляє твій IP + fingerprint браузера для анти-бот. Діють стандартні SCC. Конфіденційність Cloudflare.
  • Qupra DC (NL): дата-центр. Фізичний доступ до нашого заліза, без логічного доступу до даних.
  • OpenProvider (NL): реєстратор доменів — релевантний, лише якщо реєструєш домен через нас. Отримує контактні дані WHOIS.

Усе. Без піксельного трекінгу, без рекламних платформ, без «аналітичних» SaaS.

6. Твої права (GDPR)

Маєш право на:

  • Доступ до всіх своїх даних.
  • Виправлення.
  • Запит на видалення (крім випадків ретенції за законом).
  • Отримання машиночитаної копії (переносність даних).
  • Заперечення проти обробки на основі законного інтересу.
  • Подачу скарги до голландського органу захисту даних.

Напиши [email protected]. Відповідаємо протягом 30 днів, зазвичай протягом 5.

7. Безпека

  • TLS усюди (HSTS preloaded).
  • Паролі зберігаються в bcrypt, ніколи у відкритому вигляді.
  • Production SSH виключно через ключі ed25519, auth паролем вимкнено.
  • MFA обовʼязкове для адмін-акаунтів.
  • CrowdSec + fail2ban на всіх публічних ендпоїнтах.
  • Щоденні шифровані бекапи даних клієнтів.
  • Обмежений доступ: лише Нік і Джарет мають prod shell, лише Хаві має Filament-адміна.

Витік даних? Повідомляємо орган захисту даних і постраждалих клієнтів протягом 72 годин, за GDPR ст. 33-34.

8. Контакт + зміни

Питання, запити чи скарги: [email protected] або Signal (посилання у футері). Залишаємо за собою право змінювати цю політику. Істотні зміни надсилаємо email активним клієнтам щонайменше за 30 днів до набрання чинності.