Обращение с данными
Более техническое сопровождение к нашей Политике конфиденциальности. Если хочешь точно знать, как система защищает доступ к твоему прочтению, — это та страница.
Модель двух токенов
У каждого заказа есть два разных токена, и они выполняют разную работу.
- Токен доступа — непрозрачная случайная строка, которую мы создаём при оформлении заказа. Это параметр в каждой ссылке, что мы тебе шлём. Владение им означает, что ты — владелец заказа.
- Токен рендеринга — короткоживущая подпись, выводимая из токена доступа и серверного секрета, действительная десять минут. Используется внутренне, чтобы наш PDF-рендерер мог доказать право доступа к HTML отчёта. Никогда не сохраняется.
Без действительного токена рендеринга маршруты отчёта показывают только потребительский режим только для чтения, а не полный исходник для PDF.
Как ссылки в письмах остаются рабочими
Ссылки в письмах не содержат прямые URL для скачивания. Они ведут на наш эндпоинт повторного подписывания, который проверяет твой токен доступа и затем перенаправляет тебя на свежий 15-минутный подписанный URL для PDF в нашем хранилище объектов. То есть письмо годичной давности всё ещё работает — а пересланная ссылка, перехваченная по дороге, истекает в течение 15 минут.
Шифрование
- В транзите: весь трафик идёт по HTTPS. Сайт обслуживается за CDN с TLS-терминированием (Vercel + Cloudflare).
- В покое: наша база (Neon Postgres) и хранилище объектов (Cloudflare R2) шифруют данные в покое управляемым шифрованием соответствующих провайдеров.
- Секреты: ключи подписи рендеринга, секреты вебхуков Stripe и токены провайдеров хранятся в зашифрованных переменных окружения Vercel и никогда не попадают в логи.
TTL токенов одним взглядом
| Токен | Срок жизни | Назначение |
|---|---|---|
| Токен доступа | Срок жизни заказа | Идентифицирует тебя в ссылках писем |
| Токен рендеринга | 10 минут | Авторизует наш PDF-рендерер |
| Подписанный URL R2 | 15 минут | Прямое скачивание PDF |
Что видит ИИ
Модель повествования получает рассчитанную астрономическую карту (положения планет, дома, аспекты). Она не получает твоего имени, адреса электронной почты или точного времени и места рождения. Числа карты — на вход; проза — на выход. Мы используем API Anthropic с их публичной политикой обращения с данными.
Где что лежит
| Данные | Где | Как долго |
|---|---|---|
| Запись заказа (имя, e-mail, идентификаторы Stripe, статус) | Neon Postgres | До 7 лет (налоги / AML) |
| Входные данные о рождении и JSON рассчитанной карты | Neon Postgres | Пока заказ активен; удаляется по запросу |
| JSON повествования (текст прочтения) | Neon Postgres | Пока заказ активен; удаляется по запросу |
| PDF отчёта | Cloudflare R2 | Пока заказ активен; удаляется по запросу |
| События вебхуков Stripe (журнал идемпотентности) | Neon Postgres | Хранятся для расследования мошенничества / споров |
| События аналитики воронки | PostHog | По срокам PostHog |
| Отчёты об ошибках | Sentry | По срокам Sentry (обычно 30–90 дней) |
Удаление по запросу
Когда ты просишь нас удалить данные, мы удаляем входные данные о рождении, JSON карты, JSON повествования и объект PDF. Мы сохраняем минимальную запись о заказе (имя, e-mail, идентификатор сессии Stripe, сумму, временные метки), чтобы выполнять обязательства по финансовому учёту, — эти строки выбывают по нашему расписанию хранения. Запросы шли на hello@astra.report; мы выполняем их в течение 30 дней.
Резервные копии
Наши инфраструктурные провайдеры ведут скользящие резервные копии своих систем для аварийного восстановления. Окнами этих бэкапов мы напрямую не управляем; удалённые данные могут какое-то время сохраняться в провайдерских бэкапах, прежде чем выбыть по их политикам.
Вопросы
Технические вопросы или вопросы по безопасности к этой странице — hello@astra.report.