Politica de Confidențialitate

Un nume de utilizator (poate fi inventat), o parolă aleasă de tine și un nume public pentru ca persoanele de contact să te recunoască (poate fi și acesta inventat). Fără email. Fără număr de telefon. Fără date care să te conecteze la o persoană reală.

Pentru un detaliu exhaustiv al tuturor câmpurilor pe care le stocăm, modul în care le protejăm și durata de păstrare, consultă Manifestul nostru de Transparență

Prelucrarea datelor tale se bazează pe următoarele temeiuri juridice din Regulamentul General privind Protecția Datelor (RGPD)

• Executarea contractului ( Art. 6.1.b RGPD ): Datele contului dumneavoastră sunt necesare pentru a vă furniza serviciul.
• Interes legitim (Art. 6.1.f RGPD): Măsurarea anonimă a vizitelor pe pagina de prezentare (fără cookie-uri, fără IP, fără identificare).
• Obligație legală (Art. 6.1.c RGPD): Păstrarea evidenței plăților pentru obligații fiscale.

Fiecare tip de date are o perioadă de păstrare diferită, detaliată în Manifestul nostru de Transparență

• Date de cont: până când îți ștergi contul.
• Sesiuni: maximum 24 de ore.
• Semnale de conexiune: maximum 60 de secunde, doar în memorie.
• Solicitări de asociere: maximum 3 zile.
• Înregistrări de plăți: permanent (obligație fiscală). Aceste înregistrări sunt complet anonime: conțin doar suma și data plății, pentru a putea emite bonul de vânzare corespunzător. Nu includ niciun date care să asocieze plata cu un utilizator specific.

Toți serverele noastre sunt localizate în Germania

Plățile sunt procesate prin servicii externe de plată. Aceste servicii pot prelucra datele tranzacției conform propriilor politici de confidențialitate. Noi nu primim și nu stocăm date personale ale plătitorului — primim doar o confirmare și o sumă.

Pe pagina de prezentare (nu în aplicație) efectuăm o măsurare anonimă a vizitelor pe servere proprii găzduite în Germania. Fără cookie-uri, fără adresă IP, fără identificarea niciunei persoane și fără partajarea datelor cu terți.

Baza legală:

Dreptul de opoziție:

Poți șterge contul și toate datele tehnice asociate cu un singur clic. Fără întrebări.

Conform RGPD, ai dreptul la:

• Acces: Aflați ce date avem despre dumneavoastră. Totul este detaliat în Manifestul Transparenței; Pentru contul dvs. specific, contactați-ne.
• Corecție: Vă puteți schimba numele public și parola direct din aplicație.
• Ștergere: Ștergeți contul și toate datele asociate cu un singur clic, din setări.
• Portabilitate: Solo2 oferă export de copii de rezervă criptate care conțin toate datele dvs. locale.
• Limitarea prelucrării: În practică, datele pe care le avem despre dumneavoastră sunt atât de minime încât aproape că nu există nimic de limitat. Dar dacă o solicitați, vom restricționa orice procesare care nu este strict necesară pentru menținerea serviciului.
• Obiecție: Vă puteți opune tratamentului în orice moment. Pentru analize anonime, pur și simplu dezactivați JavaScript.

Pentru a exercita oricare dintre aceste drepturi, scrie-ne la hola@menzuri.com

Dacă consideri că nu ți-am respectat adecvat drepturile, poți depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

Solo2 utilizează criptografie testată de comunitatea academică, nu scheme proprii. Primitivele sunt aceleași care validează publicațiile revizuite de colegi și care au fost implementate de ani de zile la scară globală în alte sisteme.

• X3DH (Extended Triple Diffie-Hellman) pentru stabilirea inițială a sesiunii între două contacte: ambii derivă o cheie partajată fără a fi schimbat vreodată vreun secret în prealabil.
• Double Ratchet pentru criptarea continuă a fiecărei conversații. Fiecare mesaj este criptat cu o cheie diferită, care este derivată și ștearsă imediat după criptarea următorului.
• ChaCha20-Poly1305 pentru criptarea autentificată a fiecărui mesaj individual, în cadrul Double Ratchet. Datele în repaus — seiful tău local și copiile de rezervă — sunt criptate cu AES-256-GCM. Ambele sunt metode de criptare autentificată (AEAD) utilizate și validate pe scară largă.
• Argon2id pentru a deriva, din parola ta, cheia care învăluie (criptează) cheia ta master. Rezistent la atacuri cu hardware specializat (GPUs, ASICs).
• Curve25519 și Ed25519 pentru perechile de chei de criptare și semnătură. Curbe eliptice moderne, fără «constante magice» suspecte.

O proprietate cheie oferită de aceste primitive este forward secrecy: dacă o cheie de sesiune este compromisă, mesajele anterioare rămân ilizibile. Și proprietatea complementară, post-compromise security: conversația se «autovindecă» de îndată ce sunt schimbate mesaje noi.

Nu există nicio cheie principală, ușă din spate sau mecanism de recuperare care să ne permită să vă citim mesajele. Aceasta include și cazul unui ordin judecătoresc: tehnic, nu putem decripta ceea ce nu avem.

O politică de confidențialitate serioasă nu este doar o listă a ceea ce facem: este și o listă clară a ceea ce nu vom face niciodată.

• Nu antrenăm modele de IA cu mesajele tale. Nu este o promisiune voluntară: este o consecință a tot ce am menționat mai sus. Nu le avem în niciun moment — clauza care în alte politici sună liniștitor, aici este intrinsec adevărată prin construcție.
• Nu vindem publicitate. Solo2 este un serviciu cu plată, nu monetizat prin reclame. Datele tale nu sunt modelul nostru de afaceri.
• Nu construim profiluri de utilizare, comportament, locație, contacte sau interese. Nu avem nici un grafic social care să lege unii utilizatori de alții.
• Nu partajăm date cu terți în scopuri comerciale. Singura excepție sunt procesatorii de plăți, care primesc doar suma tranzacției.
• Nu folosim cookies de urmărire, nici pixeli, nici fingerprinting de browser, nici servicii externe precum Google Analytics sau Facebook Pixel.
• Nu înregistrăm adresa ta IP în mod permanent. Conexiunea are nevoie de un IP tranzitoriu, dar acesta nu se salvează asociat contului tău.

În aplicarea articolului 28 din GDPR, subprocesatorii care intervin în prezent în prestarea serviciului sunt următorii. Dacă în orice moment este încorporat un nou subprocesator, această listă va fi actualizată și vom comunica schimbarea utilizatorilor înainte ca aceasta să intre în vigoare.

• Hetzner Online GmbH (Germania) — Infrastructură de servere cu centre de date în Uniunea Europeană. Respectă GDPR și certificările ISO 27001.
• Infomaniak (Elveția) — Email corporativ. Date găzduite în Elveția, țară cu o decizie de adecvare a Comisiei Europene.
• Procesatori de plăți — Procesarea încasărilor. Aceștia nu primesc datele personale ale utilizatorului, ci doar suma și moneda tranzacției.

Atunci când primim un ordin judecătoresc valid emis de o autoritate competentă spaniolă sau europeană, ne conformăm. Întrebarea interesantă nu este dacă ne-am conforma, ci ce am putea efectiv să furnizăm.

Designul tehnic al Solo2 limitează drastic ceea ce am putea furniza la o cerere. Nu avem acces la conținutul mesajelor (criptare end-to-end), nu păstrăm metadate despre cine vorbește cu cine, nu stocăm istoricul conexiunilor și nu păstrăm adresele IP asociate conturilor.

Ceea ce am putea furniza, dacă ar fi cazul, sunt datele minime asociate unui cont, așa cum sunt descrise în Manifestul de Transparență: numele de utilizator și numele public (ambele pot fi inventate), un hash al parolei și o cheie principală criptată cu acea parolă, care pentru noi este un blob opac.

Această politică se aplică numai autorităților competente din Spania și Uniunea Europeană. Nu răspundem solicitărilor forțelor de ordine din țări terțe fără un canal legal european intermediar.