Политика конфиденциальности

ЛАПЫ — это безопасный сервис для хранения личных и общих заметок. Мы уважаем ваше право на конфиденциальность и стремимся обеспечить максимальную безопасность ваших данных, оберегая их, как кошка свои самые сокровенные тайны.

1. Минимизация данных

Мы намеренно избегаем хранения излишней информации. При регистрации вы не предоставляете адрес электронной почты, номер телефона или пароль в традиционном понимании. Все заметки шифруются и доступны только вам – нам нужны лишь самые необходимые «ниточки» для работы сервиса.

2. Право на доступ

Вы можете просматривать все сохраненные заметки и журналы активности непосредственно в своем личном кабинете. У нас нет технической возможности читать ваши заметки — они шифруются вашим ключом на вашем устройстве. Ваши секреты остаются вашими, под надежной кошачьей охраной.

3. Право на удаление («право на забвение»)

Вы можете удалить свой аккаунт и все связанные с ним данные через интерфейс сайта. Мы храним только то, что абсолютно необходимо для работы сервиса, и после удаления восстановление данных будет невозможно – они исчезнут, не оставив и следа, как кошка после умывания.

4. Какие данные мы храним

Для предоставления нашего сервиса мы храним следующую информацию:

Для аутентификации пользователя: Криптографически безопасный хеш (сгенерированный с использованием Argon2id) вашего уникального составного секрета. Этот составной секрет формируется из вашего имени пользователя, графического узора, выбранного цвета и вашего ответа на контрольный вопрос.
Для шифрования заметок: Ваша индивидуальная соль шифрования (enc_salt), которая используется вместе с глобальной солью и вашим составным секретом в вашем браузере для получения ключа шифрования и дешифрования ваших заметок.
Ваши зашифрованные заметки: Содержимое ваших заметок шифруется на вашем устройстве перед отправкой на наши серверы.
Журналы входа: Для мониторинга безопасности мы регистрируем активность, такую как IP-адреса, заголовки браузера (User-Agent) и временные метки попыток входа.
Метка подсказки: Тип контрольного вопроса, который вы выбрали при регистрации (не сам ответ).

5. Какие данные мы НЕ храним

Ваш составной секрет (полученный из графического ключа, цвета, ответа на подсказку и т.д.) в его исходном, незашифрованном виде.
Традиционные пароли.
Номер телефона, адрес электронной почты или ваше настоящее имя (если только вы добровольно не включите такую информацию в свои зашифрованные заметки, к которым у нас нет доступа).
Историю просмотров вне действий, непосредственно связанных с нашим сервисом (например, попытки входа).

6. Шифрование

Все заметки шифруются на стороне клиента (на вашем устройстве) с использованием:

AES-GCM (Advanced Encryption Standard - Galois/Counter Mode) для содержимого заметок – это как самый надежный сейф для ваших мыслей.
PBKDF2 (Password-Based Key Derivation Function 2) с 600 000 итераций для получения ключа шифрования – мы заставляем этот механизм потрудиться, чтобы ключ был крепким, как кошачьи когти.
SHA-512 в качестве основной хеш-функции для PBKDF2.
Глобальной соли в сочетании с вашей индивидуальной солью (enc_salt) и вашим составным секретом для получения уникального ключа шифрования ваших заметок.

Дешифрование ваших заметок возможно только в вашем браузере с использованием вашего уникального составного секрета.

7. Файлы cookie и сессии

Сайт использует безопасные файлы cookie (с атрибутами HttpOnly, Secure, SameSite=Strict) для управления сессиями и аутентификации. Сессии защищены от фиксации, и мы отслеживаем подозрительную активность, связанную с IP-адресами и User-Agent, для выявления потенциальных попыток захвата сессии. Наши куки – это не угощение для посторонних, а важные инструменты для вашей безопасности.

8. Безопасность и соответствие стандартам

🔐 Все данные заметок шифруются на стороне клиента перед передачей. Ваши тайны остаются с вами.
🛡 Аутентификация на стороне сервера использует Argon2id, современный и надежный алгоритм хеширования паролей (а точнее, вашего составного секрета).
🧪 OWASP ZAP: Мы стремимся к отсутствию уязвимостей (регулярно тестируем, например, с помощью ZAP 2.16.1). Наши «цифровые мыши» всегда начеку.
💡 Целевой рейтинг A+ на SecurityHeaders.com.
🛡 Неудачные попытки входа, подозрения на XSS-атаки, потенциальный спуфинг сессий и другие события, связанные с безопасностью, регистрируются.
⚙ Защита обеспечивается надежными HTTP-заголовками безопасности и строгой конфигурацией PHP.
📦 Мы стремимся следовать лучшим практикам и стандартам, таким как рекомендации OWASP. Хотя мы нацелены на высокий уровень безопасности, формальные сертификации, такие как PCI DSS (неприменимо, так как мы не обрабатываем платежи) или соответствие GDPR, требуют независимых аудитов. Мы придерживаемся принципов GDPR в отношении прав субъектов данных.

Код проекта написан с соблюдением лучших практик безопасности, включая строгую типизацию, проверку конфигурации, надлежащую обработку ошибок и защиту от распространенных веб-уязвимостей, таких как SQL-инъекции и XSS-атаки.

9. Общие заметки

ЛАПЫ позволяет пользователям создавать публичные заметки с уникальными секретными ссылками, например:

https://lapy.ru/bad78f3d67b8da247f2eba2250d6c958

Все публичные ссылки на заметки защищены от просмотра ботами. Пусть роботы занимаются своими делами, а не читают ваши секреты для друзей.

Эти заметки создаются пользователями добровольно через раздел «Общие заметки» в их личном кабинете. Содержимое публичных заметок полностью генерируется пользователями. Администрация ЛАПЫ не просматривает и не модерирует такое содержимое, так как оно доступно только по секретной ссылке и не индексируется и не доступно для поиска.

Если вы обнаружите контент, нарушающий законодательство или наши условия использования, вы можете подать официальную жалобу или запрос на удаление — контактные данные указаны ниже.

10. Контакты

Если у вас есть какие-либо вопросы относительно конфиденциальности, безопасности или вы хотите сообщить о проблеме с общими заметками, пожалуйста, свяжитесь с нами по адресу support@lapy.ru. Наша команда поддержки всегда готова прийти на помощь, как верный кот.