Todoist: безопасность, конфиденциальность и соответствие требованиям


В этой статье мы постараемся ответить на вопросы о том, как мы обрабатываем вашу личную информацию, какие меры безопасности предпринимаем и как соблюдаем действующие правила, такие как GDPR.

Подсказка

Ознакомьтесь с нашей Политикой конфиденциальности и Политикой безопасности, в которых более подробно описаны меры, принимаемые нами для защиты вашей информации.

Безопасность

Безопасность – это меры и протоколы, которые мы применяем для защиты ваших данных от несанкционированного доступа, утечек и других угроз. Она включает в себя технические и процедурные меры предосторожности, которые мы применяем для обеспечения конфиденциальности, целостности и доступности ваших данных.

Доступ нашего персонала к данным ограничен узкой группой сотрудников, которым требуется этот доступ по конкретным причинам для работы над сервисом Todoist и Twist.

Мы регулярно тестируем, проверяем и оцениваем эффективность наших процессов и технологий.

Чтобы обезопасить данные, мы используем шифрование.

Когда пользовательские данные хранятся на серверах и в базах данных, Doist использует шифрование AES 256. При отправке и получении данные шифруются через TLS 1.1 и выше. Резервные копии данных на наших серверах шифруются с помощью AES256 и подписываются через RSA с длиной ключа 2048.

Кроме того, Todoist каждый день автоматически создает резервные копии данных в приложении для пользователей Pro и Бизнес. Чтобы гарантировать безопасность этих данных, мы предпринимаем необходимые меры предосторожности и поддерживаем систему безопасности, которая предотвращает несанкционированный доступ.

Поскольку стандарты GDPR включают множество требований, соблюдение правил в вашем случае зависит от конкретных обстоятельств. Если у вас есть вопросы или пожелания, пожалуйста, свяжитесь с нами.

При использовании Todoist на индивидуальном плане в рамках личного рабочего пространства по умолчанию Doist считается обработчиком данных, что означает, что мы контролируем обработку ваших пользовательских данных и несем ответственность за данные, подлежащие обработке в рамках GDPR. Используя наш сервис, вы предоставляете Doist право предоставлять доступ к вашему контенту другими авторизованными пользователями в контексте функций совместной работы.

Предоставляя свой контент другим пользователям Todoist (в том числе в рабочих пространствах команд или в общих проектах в рамках личного рабочего пространства), вы предоставляете каждому из этих пользователей право доступа к вашему контенту через наш сервис, а также право использовать, воспроизводить, распространять, показывать, редактировать, исполнять и иным образом взаимодействовать с таким контентом. Когда вы создаете или присоединяетесь к рабочему пространству команды (которое в данном случае считается организационным), вы соглашаетесь соблюдать политику соответствующей организации и любое соглашение между вами и этой организацией. Это означает, что организация является владельцем всего пользовательского контента в соответствующем рабочем пространстве. Весь контент пользователя в организационном рабочем пространстве может быть предоставлен организации, и организация может изменять, удалять его или осуществлять к нему доступ. Организация может в любое время прекратить ваш доступ к организационному рабочему пространству, и вы не сможете получить доступ к своему контенту в этом рабочем пространстве. Передавая любой контент в рабочее пространство организации, вы предоставляете организации широкие права на свой пользовательский контент.

Мы предоставляем полный доступ к данным через наш API. С его помощью можно получить доступ к личным данным, которые нам предоставили, и/или перенаправить их в другой контроллер. API для Twist и Todoist можно найти здесь:

https://developer.todoist.com/sync/v7/#getting-started

https://developer.twistapp.com/v2/

Имейте в виду, что платежная информация и интеграции недоступны в нашем API. Если вам требуется эта информация или вам нужна поддержка при экспорте данных, свяжитесь с нами.

Пользовательский контент, такой как задачи и комментарии, содержится в наших хранилищах данных, которые защищены от интернет-трафика и имеют строгую политику доступа внутри компании.

Доступ к нему проверяется, требует многоуровневой аутентификации и разрешен только для действительных рабочих целей. Другими словами, нет никакого способа для любого внутреннего сотрудника получить к нему доступ без ведома других. Необходимость в доступе к пользовательскому контенту возникает довольно редко.

Да, через некоторое время. Система сначала отмечает записи как удаленные, а затем удаляет их. Мягкое удаление обеспечивает недоступность содержимого для клиентских приложений. Жесткое удаление происходит позже, с отсрочкой. Такое поведение системы поддерживает наши механизмы синхронизации на нескольких устройствах. Записи, отмеченные как удаленные, помогают алгоритмам синхронизации разрешать конфликты состояний данных.

Пользовательский контент также присутствует в резервных копиях баз данных. Они существуют для обеспечения бесперебойности работы на случай, если мы столкнемся с катастрофическим сценарием потери данных, длительным периодом их недоступности или повреждения. Все данные, включая резервные копии, хранятся в зашифрованном виде в состоянии покоя. На сегодняшний день нам никогда не приходилось использовать резервные копии баз данных.

Резервные копии баз данных не дают доступа к данным каждого пользователя. Вместо этого мы можем восстановить их в "живую" базу данных, где действуют обычные средства контроля доступа к данным. Резервные копии ротируются автоматически и хранятся не более 94 дней.

Конфиденциальность

Конфиденциальность относится к тому, как мы собираем, используем, передаем и управляем вашими персональными данными. Она предусматривает использование вашей личной информации соответственно вашим правам и ожиданиям.

Данные, которые мы собираем, требуются для предоставления вам сервиса, а также для усовершенствования Twist и Todoist.

При регистрации в Todoist и/или Twist вы добровольно сообщаете нам такую информацию, как ваше имя и адрес электронной почты. Вы можете в любое время поменять эту информацию в настройках своего аккаунта.

Кроме того, пользуясь нашим сервисом, вы даете согласие на использование следующих данных:

  • Email
  • IP-адрес
  • ID устройства
  • Имя и фамилия (опционально, не обрабатывается)
  • Профессия (опционально, не обрабатывается)
  • Номер телефона (опционально, не обрабатывается)
  • Номер НДС (опционально)
  • Адрес выставления счета (для аккаунтов Pro и Бизнес)

Чтобы экспортировать свои личные данные, пожалуйста, свяжитесь с нами.

Мы предоставляем полный доступ к данным через наш API. С его помощью можно получить доступ к личным данным, которые нам предоставили, и/или перенаправить их в другой контроллер. API для Twist и Todoist можно найти здесь:

Имейте в виду, что платежная информация и интеграции недоступны в нашем API. Если вам требуется эта информация, свяжитесь с нами.

Нет, мы никогда не продаем данные.

При удалении учетной записи все ваши личные данные будут удалены из нашей системы. Только зашифрованная копия ваших данных останется в архивах на 90 дней. По истечении этого срока все данные, связанные с вашей учетной записью, будут удалены навсегда. Обратите внимание: мы не предоставляем зашифрованную копию из наших резервных архивов по запросу.

Мы используем файлы cookie для сбора информации о ваших действиях в браузере и для того, чтобы отличать вас от других пользователей Todoist. Это облегчает использование нашего приложения и позволяет нам улучшить его функциональность.

Мы используем следующие файлы cookie:

  • Строго необходимые cookie: требуются для выполнения функций входа в систему, аутентификации пользователя и обеспечения безопасности;
  • Функциональные cookie: используются для распознавания вас при возвращении на наш сайт, персонализации контента, приветствия по имени и хранения ваших настроек;
  • Аналитические и рекламные файлы cookie: нужны, чтобы помочь нам понять, как пользователи взаимодействуют с нашим продуктом. Мы используем несколько сторонних файлов cookie: Google Analytics (анализ посещаемости сайта и поведения пользователей), Datadog (мониторинг производительности сайта и пользовательского опыта), Stripe (обработка платежей и страницы ценообразования/апгрейда), Zendesk (загрузка изображений и предоставление поддержки или справочного центра), YouTube (отображение видео на страницах справочного центра), Cloudinary (загрузка и оптимизация изображений).

Мы используем соответствующие требованиям GDPR услуги третьих лиц и партнеров по хостингу, таких как Stripe, AWS и Google Workspace. В этих случаях мы принимаем необходимые меры предосторожности для обеспечения соответствия GDPR при отправке и получении данных от третьей стороны. Для получения дополнительной информации ознакомьтесь с политикой безопасности и конфиденциальности Todoist и политикой безопасности и конфиденциальности Twist.

Когда необходимо, мы пользуемся услугами следующих сторонних сервисов, соответствующих постановлению GDPR:

  • Amazon Web Services
  • ChartMogul
  • CloudBees Rollout
  • Datadog
  • Dosu
  • Meta (Facebook)
  • Firebase
  • Google Analytics
  • MailChimp
  • Mailgun
  • Microsoft Azure
  • Microsoft Visual Studio App Center
  • PartnerStack
  • ProfitWell
  • Qualaroo
  • RequestMetrics
  • SendGrid
  • Sentry
  • Stripe
  • Zendesk

Да, мы обрабатываем данные в Северной Виргинии (США), используя Amazon Web Services (AWS). Мы собираем лишь минимально необходимые данные, и все они шифруются через AES 256 шифрование.

Соответствие требованиям

Соответствие требованиям – это соблюдение нами законов, правил и стандартов, регулирующих работу с вашими данными. Оно обеспечивает соответствие наших действий законодательным и нормативным актам для защиты ваших прав как пользователя. Соответствие стандартам подразумевает демонстрацию того, что мы следуем этим правилам и несем за это ответственность.

GDPR

Doist полностью в соответствует этому нормам GDPR с 25 мая 2018. Общий регламент по защите данных (GDPR)  – это постановление, имеющее целью защитить персональные данные граждан и резидентов Европейского союза (ЕС), определив, как можно собирать, обрабатывать и хранить эти данные.

Да, с нашей стороны все в порядке. Разумеется, если ваши клиенты находятся в стране, к которой применяется постановление GDPR, им нужно самим убедиться в соответствии своего бизнеса правилам GDPR.

Да, мы предоставляем соглашение DPA, предварительно подписанное на стороне Doist. Вы можете заполнить его и подписать на своей стороне здесь.

SOC 2 и HIPAA

Пока что мы не проходили сертификацию SOC2 или HIPAA. Тем не менее, мы будем рады узнать больше о сертификации, которая требуется вам и вашей команде для внедрения Todoist. Расскажите нам!

Свяжитесь с нами

У вас остались вопросы? Свяжитесь с нами. Мы – Пьер, Марко, Саммер или еще 14 наших коллег – с радостью вам ответим!