Политика конфиденциальности

1. Введение

Flowctory («мы», «нас» или «наш») стремится защищать вашу конфиденциальность. В настоящей Политике конфиденциальности объясняется, как мы собираем, используем, раскрываем и защищаем вашу персональную информацию, когда вы пользуетесь нашим веб-сайтом и сервисами (совместно именуемыми «Сервис»).

Используя Сервис, вы соглашаетесь на сбор и использование информации в соответствии с настоящей Политикой конфиденциальности. Если вы не согласны с нашими политиками и практиками, пожалуйста, не используйте Сервис.

Настоящую Политику конфиденциальности следует читать вместе с нашими Условиями использования.

2. Какую информацию мы собираем

2.1 Информация об учётной записи

Когда вы регистрируете учётную запись Flowctory, мы собираем и храним:

• Адрес электронной почты: Ваш адрес электронной почты, используемый для идентификации учётной записи и связи
• Пароль: Если вы регистрируетесь по электронной почте, ваш пароль надёжно хешируется (мы никогда не храним пароли в открытом виде)
• Отображаемое имя: Ваше имя, предоставленное вами или полученное от вашего провайдера входа через соцсеть (Google)
• URL аватара: URL вашего изображения профиля, если он предоставлен вашим провайдером входа через соцсеть
• Часовой пояс: Ваш предпочитаемый часовой пояс для отображения дат и времени

Вы можете зарегистрироваться и войти, используя электронную почту и пароль, либо через Google OAuth. Google OAuth используется только для аутентификации; учётные записи облачного хранилища подключаются отдельно.

2.4 Медиаконтент

Мы обрабатываем несколько типов медиаконтента через Сервис:

• Когда вы загружаете видео или изображение, файл временно хранится на наших серверах исключительно с целью предоставления Сервиса. Загруженные файлы автоматически удаляются с наших серверов в течение 24 часов после загрузки или после успешной обработки.
• Вы можете загружать изображения и видео в постоянную библиотеку, хранящуюся в облачном хранилище Supabase. Эти файлы сохраняются до тех пор, пока вы их не удалите, и могут использоваться в качестве исходных данных для рабочих процессов генерации контента с помощью ИИ.
• Изображения и видео, созданные с помощью наших функций Canvas AI, хранятся в облачном хранилище Supabase и привязаны к вашей учётной записи. Сгенерированный контент сохраняется до тех пор, пока вы его не удалите или пока ваша учётная запись не будет закрыта.

2.5 Подключения облачного хранилища

Когда вы подключаете провайдера облачного хранилища (Google Drive, Dropbox), мы собираем и храним:

• Адрес электронной почты: Адрес электронной почты, связанный с вашей учётной записью облачного хранилища
• Отображаемое имя: Ваше отображаемое имя у провайдера облачного хранилища
• Провайдер хранилища: Токены доступа и обновления OAuth (зашифрованные) для доступа к вашему облачному хранилищу от вашего имени
• Ваши предпочтения по папкам для просмотра файлов и мест автосохранения

Подключения облачного хранилища используются для импорта файлов в Flowctory и, по желанию, для автоматического сохранения сгенерированного контента в выбранную вами облачную папку.

2.6 Данные контента, сгенерированного ИИ

Когда вы используете наши функции Canvas AI для генерации изображений или видео, мы собираем и обрабатываем:

• Текстовые запросы (промпты) и параметры генерации, которые вы предоставляете
• Изображения, которые вы выбираете из своей библиотеки или загружаете для обработки ИИ
• Полученные сгенерированные изображения и видео, хранящиеся в облачном хранилище Supabase
• Мы не используем какие-либо из этих входных или выходных данных для обучения моделей ИИ, и наши провайдеры ИИ согласились не использовать их для обучения универсальных моделей ИИ

Ваши запросы и эталонные изображения передаются по протоколу TLS нашим провайдерам обработки ИИ (в настоящее время kie.ai и xAI) исключительно для выполнения вашего запроса на генерацию. Сгенерированные результаты хранятся в вашей учётной записи в хранилище Supabase до тех пор, пока вы их не удалите или не закроете свою учётную запись.

Список провайдеров обработки ИИ и обязательство не использовать данные для обучения см. в разделе 5.3 (Провайдеры генерации с помощью ИИ).

2.8 Технические данные и данные об использовании

Мы автоматически собираем определённую техническую информацию, когда вы используете Сервис:

• IP-адрес
• Тип и версия браузера
• Информация об устройстве
• Метки времени доступа
• Журналы ошибок и диагностические данные

Мы не используем сторонние сервисы аналитики или инструменты отслеживания.

3. Правовые основания для обработки (GDPR)

Если вы находитесь в Европейской экономической зоне (ЕЭЗ), Соединённом Королевстве или Швейцарии, мы обрабатываем ваши персональные данные на следующих правовых основаниях:

3.1 Исполнение договора

Обработка необходима для предоставления вам Сервиса, включая:

• Создание учётной записи Flowctory и управление ею
• Загрузку и обработку вашего медиаконтента
• Подключение ваших учётных записей облачного хранилища (Google Drive, Dropbox) для импорта файлов и автосохранения
• Подключение сторонних сервисов (облачное хранилище, провайдеры ИИ) от вашего имени
• Генерацию изображений и видео с помощью функций Canvas AI на основе ваших запросов и медиафайлов
• Обработку платежей и управление подписками

3.2 Законные интересы

Мы обрабатываем определённые данные на основании наших законных интересов, включая:

• Улучшение и обеспечение безопасности Сервиса
• Устранение технических неполадок
• Предотвращение мошенничества и злоупотреблений

3.3 Юридические обязательства

Мы можем обрабатывать ваши данные, когда это требуется по закону, например, отвечая на правовые запросы или соблюдая применимые нормативные требования.

3.4 Согласие

В тех случаях, когда это требуется, мы будем получать ваше явное согласие перед обработкой ваших данных. Вы можете отозвать своё согласие в любое время.

4. Как мы используем вашу информацию

Мы используем собранную информацию, чтобы:

• Предоставлять, поддерживать и улучшать Сервис
• Аутентифицировать вас и управлять вашей учётной записью Flowctory
• Подключать сторонние сервисы (облачное хранилище, провайдеры ИИ) от вашего имени
• Загружать и обрабатывать предоставленный вами медиаконтент
• Генерировать изображения и видео с помощью ИИ через наши функции Canvas
• Подключать ваши учётные записи облачного хранилища для импорта файлов и автосохранения сгенерированного контента
• Обрабатывать платежи и управлять вашей подпиской
• Отображать историю и статус генерации контента в приложении
• Устранять проблемы с неудавшимися загрузками
• Связываться с вами по вопросам Сервиса (служебные объявления, уведомления о безопасности)
• Обнаруживать, предотвращать и устранять технические проблемы, мошенничество или злоупотребления
• Соблюдать юридические обязательства

Мы не используем вашу персональную информацию в рекламных целях и не продаём её третьим лицам.

5. Как мы передаём вашу информацию

Мы передаём вашу информацию только в следующих обстоятельствах:

5.2 Провайдеры облачного хранилища

Когда вы подключаете сервис облачного хранилища, мы передаём провайдеру необходимые данные аутентификации для доступа к вашим файлам от вашего имени:

Google Drive

Мы используем API Google Drive для просмотра ваших файлов и, по желанию, сохранения сгенерированного контента. Обработка ваших данных компанией Google регулируется Политикой конфиденциальности Google.

Dropbox

Мы используем API Dropbox для просмотра ваших файлов и, по желанию, сохранения сгенерированного контента. Обработка ваших данных компанией Dropbox регулируется Политикой конфиденциальности Dropbox.

5.3 Провайдеры генерации контента с помощью ИИ

Когда вы используете функции Canvas AI, ваши запросы, параметры генерации и любые загруженные эталонные изображения передаются по протоколу TLS одному или нескольким из следующих провайдеров обработки ИИ, в зависимости от выбранной вами модели:

kie.ai

kie.ai предоставляет доступ к нескольким семействам моделей ИИ (включая Veo, Seedream, Runway и другие) для генерации изображений и видео. Ваши запросы, параметры генерации и загруженные эталонные изображения отправляются в kie.ai для обработки. kie.ai обрабатывает ваши данные исключительно для выполнения запроса на генерацию и не использует их для обучения универсальных моделей ИИ. См. условия и политику конфиденциальности kie.ai на сайте kie.ai.

xAI (Grok Imagine)

xAI используется для генерации изображений и видео Grok Imagine. Ваши запросы и любые загруженные изображения отправляются в xAI для обработки. Согласно корпоративной политике обработки данных xAI, входные данные API по умолчанию не используются для обучения моделей xAI. См. политику конфиденциальности xAI на сайте x.ai/legal/privacy-policy.

Отсутствие обучения на ваших входных данных

Ни Flowctory, ни кто-либо из наших провайдеров обработки ИИ не использует ваши запросы, загруженные эталонные изображения или сгенерированные результаты для обучения моделей ИИ.

Хранение данных провайдерами ИИ

Провайдеры ИИ, как правило, хранят входные данные только в течение времени обработки плюс короткий период для предотвращения злоупотреблений (обычно до 30 дней), после чего удаляют их. Мы отдельно храним сохранённые вами сгенерированные результаты, как описано в разделе 6 (Хранение данных).

Где происходит обработка ИИ

Провайдеры ИИ могут обрабатывать ваши данные в Соединённых Штатах или других юрисдикциях за пределами ЕЭЗ. Международные передачи регулируются надлежащими мерами защиты (Стандартные договорные положения или эквивалентные), как описано в разделе 9 (Международная передача данных).

Системы безопасности провайдеров

Провайдеры ИИ используют автоматизированные системы безопасности и предотвращения злоупотреблений, которые могут проверять запросы и эталонные изображения для выявления запрещённого контента (например, материалов с сексуальным насилием над детьми). Эти системы управляются провайдерами; Flowctory не контролирует их.

5.4 Поставщики услуг

Мы используем надёжных сторонних поставщиков услуг для обеспечения работы Сервиса:

• Платёжный процессор: Мы используем Stripe для обработки платежей и управления подписками. Stripe получает вашу платёжную информацию (данные карты, платёжный адрес) напрямую. Мы не храним полные данные вашей карты. Обработка ваших данных компанией Stripe регулируется Политикой конфиденциальности Stripe.
• Мы используем Supabase для облачного хранения файлов. Ваши файлы из библиотеки и контент, сгенерированный ИИ, хранятся в инфраструктуре Supabase. Обработка ваших данных компанией Supabase регулируется их политикой конфиденциальности.
• Провайдер хостинга: Наши серверы размещены на инфраструктуре, которая может иметь доступ к журналам сервера и техническим данным, необходимым для предоставления услуг хостинга.
• Провайдер базы данных: Мы используем PostgreSQL для хранения данных. Все данные шифруются при хранении.

Эти поставщики договорно обязаны защищать вашу информацию и могут использовать её только для предоставления услуг нам.

5.5 Юридические требования

Мы можем раскрыть вашу информацию, если это требуется по закону или в ответ на правомерные правовые запросы государственных органов (например, постановления суда, повестки).

5.6 Передача бизнеса

Если Flowctory участвует в слиянии, поглощении или продаже активов, ваша информация может быть передана в рамках такой сделки. Мы уведомим вас о любых таких изменениях и о любых возможностях выбора, которые могут быть у вас в отношении вашей информации.

5.7 Отсутствие продажи персональных данных

Мы не продаём, не сдаём в аренду и не обмениваем вашу персональную информацию третьим лицам в их маркетинговых целях.

6. Хранение данных

Мы храним вашу информацию столько времени, сколько необходимо для предоставления Сервиса и выполнения целей, описанных в настоящей Политике конфиденциальности:

7. Ваши права (GDPR)

Если вы находитесь в Европейской экономической зоне (ЕЭЗ), Соединённом Королевстве или Швейцарии, вы обладаете следующими правами в соответствии с Общим регламентом по защите данных (GDPR):

7.9 Осуществление ваших прав

Чтобы воспользоваться любым из этих прав, пожалуйста, свяжитесь с нами по адресу contact@flowctory.com. Мы ответим на ваш запрос в течение 30 дней.

8. Права на конфиденциальность жителей Калифорнии (CCPA)

Если вы являетесь жителем Калифорнии, вы обладаете особыми правами в соответствии с Законом Калифорнии о защите конфиденциальности потребителей (CCPA):

8.1 Право на информацию

Вы имеете право потребовать, чтобы мы раскрыли:

• Категории персональной информации, которую мы собрали о вас
• Категории источников, из которых мы собрали информацию
• Деловую или коммерческую цель сбора информации
• Категории третьих лиц, с которыми мы делимся информацией
• Конкретные части персональной информации, которую мы собрали о вас

8.2 Право на удаление

Вы имеете право потребовать, чтобы мы удалили персональную информацию, которую мы собрали о вас, с учётом определённых исключений.

8.3 Право на отказ от продажи

Вы имеете право отказаться от продажи вашей персональной информации. Однако Flowctory не продаёт персональную информацию.

8.4 Право на отсутствие дискриминации

Мы не будем подвергать вас дискриминации за осуществление любого из ваших прав по CCPA. Мы не будем отказывать вам в товарах или услугах, взимать с вас разные цены или предоставлять вам иной уровень обслуживания за осуществление ваших прав.

8.5 Осуществление ваших прав

Чтобы воспользоваться вашими правами по CCPA, пожалуйста, свяжитесь с нами по адресу contact@flowctory.com. Мы подтвердим вашу личность перед обработкой вашего запроса.

9. Международная передача данных

Flowctory базируется во Франции (Европейский союз). Если вы получаете доступ к Сервису из-за пределов ЕС, обратите внимание, что ваша информация может быть передана, сохранена и обработана в ЕС.

Когда мы передаём персональные данные за пределы ЕЭЗ, мы обеспечиваем наличие надлежащих мер защиты, таких как:

• Передачи в страны с решением ЕС об адекватности
• Стандартные договорные положения, утверждённые Европейской комиссией
• Другие юридически признанные механизмы передачи

Функции Canvas AI могут передавать ваши запросы и эталонные изображения провайдерам обработки ИИ, находящимся в Соединённых Штатах. Для этих передач мы полагаемся на перечисленные выше меры защиты.

Сторонние сервисы, с которыми мы интегрируемся (провайдеры облачного хранилища, провайдеры ИИ, Stripe), могут передавать ваши данные на международном уровне в соответствии со своими собственными политиками конфиденциальности.

10. Файлы cookie

Мы используем строго необходимые файлы cookie для работы Сервиса. Все файлы cookie необходимы для аутентификации и безопасности. Мы не используем файлы cookie для отслеживания, рекламы или аналитики.

10.1 Обзор файлов cookie

В следующей таблице перечислены все файлы cookie, используемые Flowctory:

Примечание: В рабочей среде файлы cookie аутентификации используют префикс __Secure-, а другие файлы cookie используют префикс __Host- для повышенной безопасности, что требует HTTPS и предотвращает межсайтовый доступ.

10.2 Сеансовые файлы cookie

Файл cookie authjs.session-token поддерживает ваш аутентифицированный сеанс. Этот файл cookie:

• Является HTTP-only (недоступным через JavaScript) и безопасным (только HTTPS в рабочей среде)
• Использует SameSite=lax для защиты от CSRF
• Истекает после 30 минут бездействия (скользящий сеанс)
• Содержит подписанный JWT с вашим идентификатором пользователя, электронной почтой и часовым поясом
• Является строго необходимым для функционирования Сервиса

10.3 Файлы cookie процесса OAuth

При подключении сервиса облачного хранилища мы временно храним данные состояния OAuth и проверки в файлах cookie (например, gdrive_oauth_state, gdrive_code_verifier, dropbox_oauth_state, dropbox_code_verifier, flowctory_pending_connection). Эти файлы cookie:

• Являются HTTP-only и безопасными (в рабочей среде)
• Истекают через 10 минут
• Автоматически удаляются после завершения процесса OAuth
• Защищают от атак CSRF и обеспечивают безопасность OAuth (PKCE)

10.4 Отсутствие отслеживающих файлов cookie

Мы не используем отслеживающие файлы cookie, рекламные файлы cookie или стороннюю аналитику.

10.5 Настройки файлов cookie

Поскольку мы используем только строго необходимые файлы cookie, требуемые для функционирования Сервиса, согласие на использование файлов cookie не требуется в соответствии с GDPR. Тем не менее, вы можете настроить свой браузер на отклонение файлов cookie, но это лишит вас возможности пользоваться Сервисом.

11. Безопасность

Мы применяем надлежащие технические и организационные меры для защиты вашей персональной информации от несанкционированного доступа, изменения, раскрытия или уничтожения:

• Шифрование при передаче: Все коммуникации используют шифрование HTTPS/TLS
• Шифрование при хранении: Конфиденциальные данные шифруются при хранении с использованием AES-256-GCM в нашей базе данных
• Безопасная аутентификация: Токены OAuth надёжно хранятся и управляются
• Контроль доступа: Ограниченный доступ к персональным данным по принципу служебной необходимости. Персонал Flowctory не получает доступ к данным, полученным через сервисы Google API, за исключением случаев, когда: (a) вы предоставили явное согласие на просмотр конкретных данных, (b) это необходимо в целях безопасности, например для расследования злоупотреблений или инцидентов безопасности, или (c) мы обязаны сделать это в соответствии с применимым законодательством
• Регулярные обновления: Инфраструктура и зависимости регулярно обновляются

Хотя мы стремимся защитить вашу персональную информацию, ни один метод передачи данных через Интернет или электронного хранения не является на 100% безопасным. Если у вас есть основания полагать, что ваше взаимодействие с нами больше не является безопасным, пожалуйста, немедленно свяжитесь с нами.

12. Конфиденциальность детей

Сервис не предназначен для детей младше 16 лет в Европейском союзе или 13 лет в других юрисдикциях. Мы сознательно не собираем персональную информацию от детей младше этих возрастов.

Если вы являетесь родителем или опекуном и считаете, что ваш ребёнок предоставил нам персональную информацию, пожалуйста, свяжитесь с нами по адресу contact@flowctory.com. Если нам станет известно, что мы собрали персональную информацию от ребёнка без подтверждения согласия родителей, мы предпримем шаги для удаления этой информации.

13. Обновления настоящей Политики

Мы можем время от времени обновлять настоящую Политику конфиденциальности, чтобы отразить изменения в нашей практике или по юридическим, операционным или нормативным причинам. Когда мы вносим изменения:

• Мы обновим дату «Последнее обновление» в верхней части настоящей политики
• В случае существенных изменений мы уведомим вас через Сервис или по электронной почте
• Мы получим ваше согласие, когда это требуется применимым законодательством

Мы рекомендуем вам периодически просматривать настоящую Политику конфиденциальности, чтобы быть в курсе наших практик обработки данных.

14. Контактная информация

Если у вас есть какие-либо вопросы, опасения или запросы относительно настоящей Политики конфиденциальности или наших практик обработки данных, пожалуйста, свяжитесь с нами по адресу: