Todoist: безопасность, конфиденциальность и соответствие требованиям


В этой статье мы постараемся ответить на вопросы о том, как мы обрабатываем вашу личную информацию, какие меры безопасности предпринимаем и как соблюдаем действующие правила, такие как GDPR.

Подсказка

Ознакомьтесь с нашей Политикой конфиденциальности и Политикой безопасности, в которых более подробно описаны меры, принимаемые нами для защиты вашей информации.

Безопасность

Безопасность – это меры и протоколы, которые мы применяем для защиты ваших данных от несанкционированного доступа, утечек и других угроз. Она включает в себя технические и процедурные меры предосторожности, которые мы применяем для обеспечения конфиденциальности, целостности и доступности ваших данных.

Доступ нашего персонала к данным ограничен узкой группой сотрудников, которым требуется этот доступ по конкретным причинам для работы над сервисом Todoist и Twist.

Мы регулярно тестируем, проверяем и оцениваем эффективность наших процессов и технологий.

Чтобы обезопасить данные, мы используем шифрование.

Когда пользовательские данные хранятся на серверах и в базах данных, Doist использует шифрование AES 256. При отправке и получении данные шифруются через TLS 1.1 и выше. Резервные копии данных на наших серверах шифруются с помощью AES256 и подписываются через RSA с длиной ключа 2048.

Кроме того, Todoist каждый день автоматически создает резервные копии данных в приложении для пользователей Pro и Бизнес. Чтобы гарантировать безопасность этих данных, мы предпринимаем необходимые меры предосторожности и поддерживаем систему безопасности, которая предотвращает несанкционированный доступ.

Поскольку стандарты GDPR включают множество требований, соблюдение правил в вашем случае зависит от конкретных обстоятельств. Если у вас есть вопросы или пожелания, пожалуйста, свяжитесь с нами.

При использовании Todoist в личном рабочем пространстве Doist считается обработчиком данных, что означает, что мы контролируем обработку ваших пользовательских данных и несем ответственность за их обработку в рамках GDPR.

Общие проекты в личном рабочем пространстве

Когда вы делитесь контентом с другими пользователями Todoist (в том числе в общих проектах в личном рабочем пространстве):

  • Все участники совместной работы владеют данными и содержимым общего проекта.
  • Если первоначальный создатель общего проекта удаляет свою учетную запись или покидает проект, право собственности переходит к оставшимся участникам общего проекта.
  • Такое совместное владение не влияет на право собственности первоначального создателя на любой контент, защищенный авторским правом, который он загрузил в сервис.
  • Предоставляя свой контент, вы даете каждому участнику право на доступ, использование, воспроизведение, распространение, отображение, редактирование, исполнение и иное взаимодействие с таким контентом через наш сервис.

Общие проекты в командном рабочем пространстве

Когда вы присоединяетесь к общим проектам и/или создаете их в рабочем пространстве команды:

    • Вы соглашаетесь соблюдать политику соответствующей организации и любое соглашение между вами и этой организацией.
    • Организация является владельцем всего пользовательского контента в соответствующем рабочем пространстве.
    • Весь пользовательский контент в рабочем пространстве организации может быть использован, изменен или удален организацией.
    • Организация может прекратить ваш доступ к рабочему пространству организации в любое время, и вы не сможете получить доступ к своему контенту в этом рабочем пространстве.
    • Передавая любой контент в рабочее пространство организации, вы предоставляете ей широкие права на ваш пользовательский контент.

Мы предоставляем полный доступ к данным через наш API. С его помощью можно получить доступ к личным данным, которые нам предоставили, и/или перенаправить их в другой контроллер. API для Twist и Todoist можно найти здесь:

https://developer.todoist.com/sync/v7/#getting-started

https://developer.twistapp.com/v2/

Имейте в виду, что платежная информация и интеграции недоступны в нашем API. Если вам требуется эта информация или если вам нужна помощь в экспорте данных, свяжитесь с нами.

Пользовательский контент, такой как задачи и комментарии, содержится в наших хранилищах данных, которые защищены от интернет-трафика и имеют строгую политику доступа внутри компании.

Доступ к нему проверяется, требует многоуровневой аутентификации и разрешен только для действительных рабочих целей. Другими словами, нет никакого способа для любого внутреннего сотрудника получить к нему доступ без ведома других. Необходимость в доступе к пользовательскому контенту возникает довольно редко.

Да, через некоторое время. Система сначала отмечает записи как удаленные, а затем удаляет их. Мягкое удаление обеспечивает недоступность содержимого для клиентских приложений. Жесткое удаление происходит позже, с отсрочкой. Такое поведение системы поддерживает наши механизмы синхронизации на нескольких устройствах. Записи, отмеченные как удаленные, помогают алгоритмам синхронизации разрешать конфликты состояний данных.

Пользовательский контент также присутствует в резервных копиях баз данных. Они существуют для обеспечения бесперебойности работы на случай, если мы столкнемся с катастрофическим сценарием потери данных, длительным периодом их недоступности или повреждения. Все данные, включая резервные копии, хранятся в зашифрованном виде в состоянии покоя. На сегодняшний день нам никогда не приходилось использовать резервные копии баз данных.

Резервные копии баз данных не дают доступа к данным каждого пользователя. Вместо этого мы можем восстановить их в "живую" базу данных, где действуют обычные средства контроля доступа к данным. Резервные копии ротируются автоматически и хранятся не более 94 дней.

Конфиденциальность

Конфиденциальность относится к тому, как мы собираем, используем, передаем и управляем вашими персональными данными. Она предусматривает использование вашей личной информации соответственно вашим правам и ожиданиям.

Данные, которые мы собираем, требуются для предоставления вам сервиса, а также для усовершенствования Twist и Todoist.

При регистрации в Todoist и/или Twist вы добровольно сообщаете нам такую информацию, как ваше имя и адрес электронной почты. Вы можете в любое время поменять эту информацию в настройках своего аккаунта.

Кроме того, пользуясь нашим сервисом, вы даете согласие на использование следующих данных:

  • Email
  • IP-адрес
  • ID устройства
  • Имя и фамилия (опционально, не обрабатывается)
  • Профессия (опционально, не обрабатывается)
  • Номер телефона (опционально, не обрабатывается)
  • Номер НДС (опционально)
  • Адрес выставления счета (для аккаунтов Pro и Бизнес)
Как я могу получить доступ к своим личным данным и экспортировать их?

Чтобы экспортировать свои личные данные, пожалуйста, свяжитесь с нами.

Мы предоставляем полный доступ к данным через наш API. С его помощью можно получить доступ к личным данным, которые нам предоставили, и/или перенаправить их в другой контроллер. API для Twist и Todoist можно найти здесь:

Имейте в виду, что платежная информация и интеграции недоступны в нашем API. Если вам требуется эта информация, свяжитесь с нами.

Вы продаете какие-либо данные?

Нет, мы никогда не продаем данные.

Вы храните мои личные данные после удаления моего аккаунта?

При удалении учетной записи все ваши личные данные будут удалены из нашей системы. Только зашифрованная копия ваших данных останется в архивах на 90 дней. По истечении этого срока все данные, связанные с вашей учетной записью, будут удалены навсегда. Обратите внимание: мы не предоставляем зашифрованную копию из наших резервных архивов по запросу.

Какие файлы cookie вы используете?

Мы используем файлы cookie для сбора информации о ваших действиях в браузере и для того, чтобы отличать вас от других пользователей Todoist. Это облегчает использование нашего приложения и позволяет нам улучшить его функциональность.

Мы используем следующие файлы cookie:

  • Строго необходимые cookie: требуются для выполнения функций входа в систему, аутентификации пользователя и обеспечения безопасности;
  • Функциональные cookie: используются для распознавания вас при возвращении на наш сайт, персонализации контента, приветствия по имени и хранения ваших настроек;
  • Аналитические и рекламные файлы cookie: нужны, чтобы помочь нам понять, как пользователи взаимодействуют с нашим продуктом. Мы используем несколько сторонних файлов cookie: Google Analytics (анализ посещаемости сайта и поведения пользователей), Datadog (мониторинг производительности сайта и пользовательского опыта), Stripe (обработка платежей и страницы ценообразования/апгрейда), Zendesk (загрузка изображений и предоставление поддержки или справочного центра), YouTube (отображение видео на страницах справочного центра), Cloudinary (загрузка и оптимизация изображений).
Вы используете сторонние сервисы для обработки данных?

Мы используем соответствующие требованиям GDPR услуги третьих лиц и партнеров по хостингу, таких как Stripe, AWS и Google Workspace. В этих случаях мы принимаем необходимые меры предосторожности для обеспечения соответствия GDPR при отправке и получении данных от третьей стороны. Для получения дополнительной информации ознакомьтесь с политикой безопасности и конфиденциальности Todoist и политикой безопасности и конфиденциальности Twist.

Какие сторонние сервисы вы используете?

Для обзора сторонних сервисов, которые мы используем, и их назначения, пожалуйста, перейдите к нашему списку субпроцессоров.

Какие AI-сервисы вы используете?

Мы запускаем AI-модели на собственной инфраструктуре, чтобы данные клиентов оставались в безопасной среде и не оказались доступны третьим лицам. Обзор используемых нами сервисов AI, включая политику хранения данных, а также ссылки на их документацию о конфиденциальности см. в нашем списке сервисов LLM/AI.

Вы обрабатываете какие-либо данные вне ЕС?

Да, мы обрабатываем данные в Северной Виргинии (США), используя Amazon Web Services (AWS). Мы собираем лишь минимально необходимые данные, и все они шифруются через AES 256 шифрование.

Соответствие требованиям

Соответствие требованиям – это соблюдение нами законов, правил и стандартов, регулирующих работу с вашими данными. Оно обеспечивает соответствие наших действий законодательным и нормативным актам для защиты ваших прав как пользователя. Соответствие стандартам подразумевает демонстрацию того, что мы следуем этим правилам и несем за это ответственность.

GDPR

Doist полностью в соответствует этому нормам GDPR с 25 мая 2018. Общий регламент по защите данных (GDPR)  – это постановление, имеющее целью защитить персональные данные граждан и резидентов Европейского союза (ЕС), определив, как можно собирать, обрабатывать и хранить эти данные.

Да, с нашей стороны все в порядке. Разумеется, если ваши клиенты находятся в стране, к которой применяется постановление GDPR, им нужно самим убедиться в соответствии своего бизнеса правилам GDPR.

Да, мы предоставляем соглашение DPA, предварительно подписанное на стороне Doist. Вы можете заполнить его и подписать на своей стороне здесь.

SOC 2 и HIPAA

Пока что мы не проходили сертификацию SOC2 или HIPAA. Тем не менее, мы будем рады узнать больше о сертификации, которая требуется вам и вашей команде для внедрения Todoist. Расскажите нам!

Свяжитесь с нами

У вас остались вопросы? Свяжитесь с нами. Мы – Пьер, Марко, Саммер и другие наши коллеги – с радостью вам ответим!