Соглашение об обработке персональных данных (DPA)
Настоящее Соглашение об обработке персональных данных (Data Processing Agreement, «DPA») определяет порядок обработки и защиты персональных данных, осуществляемый сервисом Firewire в соответствии с Федеральным законом РФ № 152-ФЗ «О персональных данных» и европейским регламентом по защите данных GDPR.
1. Категории обрабатываемых данных
Сервис обрабатывает только те персональные и технические данные Пользователя, которые минимально необходимы для исполнения Пользовательского соглашения:
- Адрес электронной почты (идентификатор Пользователя).
- Хэш пароля Пользователя, сгенерированный с применением защищенного алгоритма
argon2id(исходный пароль на сервере не хранится). - Зашифрованные ключи доступа API брокера (локальное шифрование на стороне клиента).
- История торговых сделок и структура открытых позиций портфеля (необходимы для выполнения математического расчета доходностей).
- Системные журналы (логов запросов) веб-сервера.
2. Меры обеспечения безопасности данных
Для предотвращения несанкционированного доступа, изменения или утечки персональных данных Пользователей, сервис Firewire реализует следующие организационно-технические меры безопасности:
- Шифрование учётных данных брокера: Приватные API-ключи / refresh-токены брокеров шифруются в браузере (PBKDF2 + AES-GCM) перед отправкой. На сервере они хранятся только в запечатанном виде (envelope encryption AES-GCM-256). Временная расшифровка токена происходит исключительно в оперативной памяти сервера во время активных сессий синхронизации.
- Шифрование базы данных на сервере: Хранилище зашифрованных токенов бэкенда защищено дополнительным слоем envelope-шифрования AES-256-GCM.
- Безопасность учетных записей: Пароли хранятся в виде защищенных хэш-строк PHC по стандарту
argon2idс постоянной солью. Защита от брутфорса обеспечивается лимитированием частоты запросов к эндпоинтам входа и регистрации. - Шифрование каналов связи: Весь трафик между браузером Пользователя и сервером защищен с помощью современных протоколов TLS (HTTPS / WSS).
- Изоляция процессов: Базы данных и контейнеры сервиса расположены в закрытом внутреннем сетевом контуре (Docker internal network) и защищены брандмауэром. Внешний доступ к СУБД и внутренним портам хранилищ MinIO заблокирован.
3. Сроки и условия хранения данных
Персональные данные Пользователя хранятся в течение всего срока действия учетной записи Пользователя. В случае инициирования удаления аккаунта Пользователем, его персональные данные, включая историю сделок, профиль и зашифрованные токены, безвозвратно удаляются из активной базы данных в течение 24 часов.