Политика конфиденциальности
Настоящая Политика конфиденциальности описывает, как KnowStack («мы», «нас» или «наш») собирает, использует, хранит и защищает вашу информацию при использовании нашей платформы управления знаниями.
Последнее обновление: 22 марта 2026 г.
1. Введение
Настоящая Политика конфиденциальности применяется ко всем пользователям KnowStack, доступного по адресу knowstack.ai. Она описывает наши практики в отношении сбора, использования, хранения, передачи и защиты ваших персональных данных.
Контролёр данных: Nest Artem Dolmatov, ul. Wroclawska 79, 30-017 Kraków, Польша
Контакт: [email protected]
Мы обязуемся защищать вашу конфиденциальность и обрабатывать ваши персональные данные законно, добросовестно и прозрачно. Если у вас есть вопросы по настоящей политике, свяжитесь с нами по указанным выше контактам.
2. Какие данные мы собираем
Данные учётной записи
При создании учётной записи мы собираем:
- Адрес электронной почты
- Имя
- Пароль (хранится в виде хеша bcrypt — мы никогда не храним пароли в открытом виде)
- Название компании / организации
- Аватар профиля (опционально, в облачном хранилище)
- Секрет двухфакторной аутентификации (зашифрован, если вы включите 2FA)
Данные подключённых сервисов
С вашего явного разрешения мы получаем доступ и обрабатываем данные из подключаемых вами сервисов:
- Данные электронной почты (Gmail, IMAP): сообщения электронной почты, включая темы, информацию об отправителе/получателе, тело сообщения и временные метки. Для Gmail используется OAuth 2.0 в режиме только для чтения — мы никогда не видим и не храним ваш пароль Google.
- Контент веб-сайтов: публично доступное содержимое веб-страниц по URL, которые вы предоставляете для индексирования.
- Загруженные документы: файлы, которые вы загружаете (PDF, DOCX, TXT, CSV, Markdown) — до 50 МБ на файл.
- Сообщения Slack: сообщения каналов, треды и метаданные из рабочих пространств, подключённых через OAuth.
- Сообщения Telegram: сообщения чатов и метаданные из аутентифицируемых вами учётных записей.
- Транскрипты встреч: содержимое транскриптов и метаданные (название, дата, участники, длительность) из загруженных файлов.
Данные использования
Мы автоматически собираем:
- IP-адреса и приблизительное геопозиционирование (на уровне страны/города)
- Тип браузера, операционную систему и информацию об устройстве
- Посещённые страницы, использованные функции и действия, выполненные в Сервисе
- Выполненные операции AI (тип, использованная модель, обработанные токены, стоимость)
- Временные метки ваших взаимодействий с Сервисом
Платёжные данные
При оформлении платного плана мы собираем и храним:
- Идентификатор клиента Stripe (обработку платежей выполняет Stripe — мы не храним полные номера кредитных карт)
- Сведения о способе оплаты (бренд карты и только последние 4 цифры)
- Историю счетов и суммы платежей
- Журнал использования AI (тип операции, стоимость, период оплаты)
3. Правовые основания обработки (статья 6 GDPR)
Мы обрабатываем ваши персональные данные на следующих правовых основаниях:
| Правовое основание | Деятельность по обработке |
|---|---|
| Исполнение договора (ст. 6(1)(b)) |
Создание и управление учётной записью; предоставление Сервиса, включая генерацию Базы знаний, AI-функции и подключение источников данных; обработка подписок и платежей; поддержка клиентов |
| Законный интерес (ст. 6(1)(f)) |
Мониторинг безопасности и предотвращение мошенничества; улучшение сервиса и отладка; журналирование активности для аудита; аналитика использования для улучшения функций платформы |
| Согласие (ст. 6(1)(a)) |
Аналитические файлы cookie (Google Analytics) — только с вашего явного согласия через баннер; подключение опциональных сторонних источников данных; маркетинговые сообщения (если применимо) |
| Юридическое обязательство (ст. 6(1)(c)) |
Ведение платёжной и налоговой отчётности; ответ на законные запросы органов власти; соблюдение норм по защите данных |
4. Как мы используем ваши данные
Собранные данные мы используем для:
- Предоставления, поддержки и улучшения Сервиса
- Генерации и организации Баз знаний из подключённых источников данных
- Обработки запросов AI с использованием содержимого вашей Базы знаний в качестве контекста
- Аутентификации вашей личности и управления учётной записью и разрешениями
- Обработки платежей и управления вашей подпиской
- Отправки сервисных сообщений (подтверждение учётной записи, оповещения безопасности, платёжные уведомления, обновления тикетов поддержки)
- Ответов на ваши запросы и обращения в поддержку
- Мониторинга и анализа шаблонов использования для улучшения платформы
- Выявления, предотвращения и устранения угроз безопасности и технических проблем
- Соблюдения юридических обязательств
Чего мы НЕ делаем:
- Не продаём ваши персональные данные третьим сторонам — никогда
- Не используем ваши данные для рекламы или таргетинга
- Не используем ваши данные для обучения, разработки или улучшения универсальных моделей AI
- Не передаём содержимое вашей Базы знаний другим пользователям или организациям
- Не получаем доступ к подключённым учётным записям без вашего явного разрешения
- Не используем данные, полученные через API Google, для целей, выходящих за рамки предоставления Сервиса
5. Обработка данных AI
Когда вы используете AI-функции, ваши данные обрабатываются следующим образом:
Какие данные отправляются поставщикам AI
- Текстовое содержимое из подключённых источников данных, документов или Баз знаний — только фрагменты, относящиеся к конкретной AI-операции, которую вы инициируете
- Ваши поисковые запросы при использовании поиска на основе AI
- Системные подсказки и параметры конфигурации (они не содержат персональных данных)
Какие данные НЕ отправляются поставщикам AI
- Ваши учётные данные, пароль или токены аутентификации
- Ваши платёжные данные или сведения об оплате
- Ваш IP-адрес или отпечаток браузера
- Данные из других Корпоративных учётных записей или других пользователей
Обращение с данными поставщиками AI
- Данные передаются поставщикам AI по зашифрованным соединениям (TLS)
- Поставщики AI обрабатывают данные только для генерации запрошенного результата (извлечение знаний, резюмирование, результаты поиска и т. д.)
- Мы требуем, чтобы поставщики AI не сохраняли ваши данные за пределами окна обработки, необходимого для генерации ответа
- Мы требуем, чтобы поставщики AI не использовали ваши данные для обучения, улучшения или разработки своих моделей
Минимизация данных
Мы применяем принципы минимизации данных, отправляя только содержимое, необходимое для конкретной операции. Например, при генерации Базы знаний из писем мы передаём текст писем, но не заголовки, метаданные вложений или учётные данные.
6. Субобработчики
Для предоставления Сервиса мы используем следующих сторонних субобработчиков. Каждый из них прошёл проверку практик защиты данных:
| Поставщик | Назначение | Обрабатываемые данные | Местоположение |
|---|---|---|---|
| Railway | Хостинг приложения и инфраструктура | Все данные приложения | ЕС |
| AWS S3 | Хранение файлов (документы, экспорты, аватары) | Загруженные файлы, экспорты БЗ | ЕС |
| Stripe | Обработка платежей | Платёжные данные, способ оплаты | США |
| OpenRouter | Маршрутизация моделей AI и API-шлюз | Контент, отправленный для AI-обработки | США |
| Anthropic | Обработка AI (модели Claude) | Контент, отправленный для AI-обработки | США |
| OpenAI | Обработка AI (модели GPT) | Контент, отправленный для AI-обработки | США |
| Google AI | Обработка AI (модели Gemini) | Контент, отправленный для AI-обработки | США |
| Meta AI | Обработка AI (модели Llama) | Контент, отправленный для AI-обработки | США |
| Firecrawl | Извлечение содержимого веб-сайтов | URL, предоставленные пользователем | США |
| OAuth-аутентификация и Gmail API | Адрес электронной почты, профиль, содержимое писем | США | |
| Resend | Доставка транзакционных писем | Адрес электронной почты, содержимое уведомлений | США |
| Sentry (опционально) | Мониторинг ошибок и диагностика | Данные об ошибках, стек-трейсы (без пользовательского контента) | США |
| Google Analytics | Аналитика использования сайта (на основе согласия) | Анонимизированные данные использования, IP-адрес (усечённый) | США |
| Hotjar | Запись сессий и поведенческая аналитика только на публичных маркетинговых страницах (на основе согласия) | Анонимизированные взаимодействия, движения мыши, глубина прокрутки, просмотры страниц; видимый текст и значения полей форм маскируются | ЕС |
Мы предоставим как минимум за 14 дней предварительное уведомление по электронной почте перед привлечением нового субобработчика, который существенно меняет способ обработки ваших персональных данных. Если вы возражаете против нового субобработчика, вы можете прекратить подписку в течение 30 дней с момента уведомления.
7. Международные передачи данных
Наша основная инфраструктура размещена в Европейском Союзе (Railway EU). Данные вашей учётной записи, Базы знаний и подключённые источники данных хранятся в ЕС.
Однако некоторые виды обработки предполагают передачу данных субобработчикам, расположенным в Соединённых Штатах, в частности:
- Обработка AI (OpenRouter, Anthropic, OpenAI, Google AI, Meta AI)
- Обработка платежей (Stripe)
- Доставка электронной почты (Resend)
- Сканирование сайтов (Firecrawl)
Для передачи персональных данных из ЕЭП в страны, не получившие решения об адекватности от Европейской комиссии, мы опираемся на:
- Стандартные договорные условия ЕС (SCC), принятые Европейской комиссией (Имплементационное решение Комиссии (ЕС) 2021/914), включённые в наши соглашения с субобработчиками
- Решения об адекватности, где применимо
- Дополнительные меры, включая шифрование при передаче (TLS 1.2+) и договорные обязательства поставщиков не использовать данные для обучения моделей
8. Сроки хранения данных
Мы храним ваши данные минимально необходимый период для цели сбора:
| Тип данных | Срок хранения | Основание |
|---|---|---|
| Данные учётной записи | Активная учётная запись + 30 дней после удаления | Исполнение договора; льготный период удаления |
| Базы знаний и контент | До удаления или закрытия учётной записи | Исполнение договора |
| Подключённые источники данных | До отключения или закрытия учётной записи | Исполнение договора |
| Журналы активности | 120 дней; анонимизируются при удалении учётной записи | Законный интерес (безопасность, аудит) |
| Уведомления в приложении | 90 дней | Исполнение договора |
| Журналы AI-обработки | Хранятся для тарификации; удаляются при удалении учётной записи | Исполнение договора; юридическое обязательство |
| Платёжные и налоговые записи | 7 лет с даты транзакции | Юридическое обязательство |
| Экспорты БЗ | 7 дней после создания | Исполнение договора |
| Приглашения в команду | 7 дней (автоматическое истечение) | Исполнение договора |
| Тикеты поддержки | До решения + разумный архивный период | Исполнение договора; законный интерес |
Когда данные больше не нужны для исходной цели и нет юридического требования к хранению, они удаляются или анонимизируются.
9. Ваши права (GDPR)
Если вы находитесь в Европейском экономическом пространстве (ЕЭП), Великобритании или юрисдикции с аналогичным законодательством о защите данных, у вас есть следующие права в отношении ваших персональных данных:
- Право доступа (ст. 15): запросить копию персональных данных, которые мы о вас храним, и информацию о том, как они обрабатываются
- Право на исправление (ст. 16): запросить исправление неточных или неполных персональных данных
- Право на удаление (ст. 17): запросить удаление своих персональных данных («право быть забытым»), с учётом юридических требований к хранению
- Право на ограничение (ст. 18): запросить ограничение обработки своих персональных данных в определённых обстоятельствах (например, пока мы проверяем их точность)
- Право на переносимость данных (ст. 20): запросить свои персональные данные в структурированном, общеупотребительном, машиночитаемом формате или запросить их передачу другому контролёру
- Право на возражение (ст. 21): возразить против обработки на основе наших законных интересов. Мы прекратим обработку, если не докажем наличие убедительных законных оснований
- Право отозвать согласие (ст. 7(3)): если обработка основана на согласии, вы можете отозвать его в любое время без влияния на правомерность ранее проведённой обработки
- Автоматизированное принятие решений (ст. 22): KnowStack не принимает в отношении вас автоматизированных решений с правовыми или иными существенно значимыми последствиями. AI-функции — это инструменты, требующие вашей инициации и проверки.
Как воспользоваться своими правами
Чтобы воспользоваться любым из этих прав, свяжитесь с нами по адресу [email protected], указав «Privacy Request» в теме. Мы:
- Проверим вашу личность перед обработкой запроса
- Ответим в течение 30 дней (с возможностью продления до 60 дней для сложных запросов, с уведомлением)
- Выполним запрос бесплатно, за исключением явно необоснованных или чрезмерных запросов
Право подать жалобу
Если вы считаете, что наша обработка ваших персональных данных нарушает применимое законодательство о защите данных, у вас есть право подать жалобу в местный надзорный орган по защите данных. Список надзорных органов ЕС доступен по адресу edpb.europa.eu.
Отзыв доступа к подключённым сервисам
Вы можете отключить интегрированные сервисы в любое время в настройках учётной записи KnowStack. Для сервисов Google вы также можете отозвать доступ через разрешения учётной записи Google.
10. Удаление учётной записи
Вы можете удалить свою учётную запись в любое время через её настройки. Процесс удаления работает так:
- Льготный период: после запроса удаления предусмотрен 10-дневный льготный период, в течение которого вы можете отменить удаление и восстановить учётную запись
- Письма-напоминания: вы получите письма-напоминания за 3 дня и за 1 день до удаления
- Корпоративные решения: если вы единственный администратор Корпоративной учётной записи, вы должны либо передать владение другому пользователю, либо подтвердить удаление корпоративных данных
- Что удаляется: данные вашей учётной записи, Базы знаний, подключённые источники данных, документы, журналы AI, уведомления и связанные корпоративные данные (если помечены к удалению)
- Отзыв токена Gmail: если вы подключали Gmail, мы отзовём наши OAuth-токены доступа
- Анонимизация журналов активности: журналы активности анонимизируются (удаляются персональные идентификаторы), а не удаляются — для сохранения целостности аудита
- Платёжные записи: записи транзакций сохраняются 7 лет в соответствии с требованиями закона
- Завершение: все персональные данные удаляются или анонимизируются в течение 30 дней после окончания льготного периода
11. Соответствие сервисам API Google
Использование и передача информации, полученной через API Google, в KnowStack соответствует Политике Google API Services User Data Policy, включая требования Limited Use.
Интеграция с Gmail
При подключении учётной записи Gmail:
- Мы используем OAuth 2.0 для безопасной аутентификации — мы никогда не видим и не храним ваш пароль Google
- Мы запрашиваем только область
gmail.readonly— доступ только для чтения ваших писем для извлечения знаний - Содержимое писем обрабатывается для извлечения знаний и построения ваших Баз знаний
- Мы не используем данные Gmail в рекламных целях
- Мы не передаём данные Gmail третьим сторонам, кроме случаев, необходимых для предоставления Сервиса (например, передача контента поставщикам AI для обработки по вашему запросу)
- Вы можете отозвать доступ в любое время через настройки KnowStack или через разрешения учётной записи Google
Google OAuth (вход)
Если вы используете «Войти через Google»:
- Мы получаем ваш адрес электронной почты и базовую информацию профиля
- Мы используем эту информацию только для создания и аутентификации вашей учётной записи
- Мы не получаем доступ к другим сервисам Google без дополнительного явного согласия
12. Файлы cookie и отслеживание
Мы используем файлы cookie и аналогичные технологии в трёх категориях:
- Необходимые файлы cookie: требуются для аутентификации, безопасности (защита CSRF) и базовой функциональности сайта. Их нельзя отключить.
- Хранение настроек: запоминает ваши предпочтения, такие как тема оформления (светлая/тёмная). Использует localStorage браузера.
- Аналитические файлы cookie: файлы Google Analytics, устанавливаемые только с вашего явного согласия через баннер cookie. Помогают нам понять, как посетители используют наш сайт.
Мы не используем файлы cookie для рекламы, межсайтового отслеживания или продажи данных третьим сторонам.
Полные сведения о каждом используемом нами файле cookie, его целях и управлении настройками см. в нашей Политике в отношении файлов cookie.
Вы можете отказаться от Google Analytics на всех сайтах, установив браузерное расширение для отказа от Google Analytics.
13. Безопасность данных
Мы внедряем комплексные технические и организационные меры безопасности для защиты ваших данных:
- Шифрование при передаче: все данные, передаваемые между вашим браузером и нашими серверами, шифруются с использованием TLS 1.2 или выше
- Шифрование при хранении: чувствительные данные, включая учётные данные третьих сторон и токены аутентификации, шифруются с использованием AES-256-GCM (аутентифицированное шифрование)
- Безопасность паролей: пароли хешируются с использованием bcrypt с подходящим коэффициентом — мы никогда не храним пароли в открытом виде
- Изоляция данных: данные каждой Корпоративной учётной записи логически изолированы. Пользователи имеют доступ только к данным в пределах своих авторизованных Корпоративных учётных записей и в соответствии с назначенными ролями.
- Контроль доступа: детализированный ролевой контроль доступа (RBAC) с разрешениями на уровне Базы знаний и раздела
- Защита от CSRF: паттерн double-submit cookie предотвращает атаки CSRF
- Политика безопасности контента: строгие заголовки CSP предотвращают атаки XSS
- Инфраструктура: размещена в SOC 2-совместимой облачной инфраструктуре с регулярными обновлениями безопасности
- Управление сессиями: аутентифицированные сессии имеют 1-часовой скользящий тайм-аут
Хотя мы внедряем надёжные меры безопасности, ни один метод передачи или хранения не является 100% безопасным. Мы не можем гарантировать абсолютной безопасности, но обязуемся защищать ваши данные в максимально возможной степени и оперативно устранять обнаруженные уязвимости.
14. Уведомление о нарушении данных
В случае нарушения безопасности персональных данных:
Уведомление надзорного органа (ст. 33 GDPR)
Где это возможно, мы уведомим соответствующий надзорный орган в течение 72 часов с момента, как нам стало известно о нарушении, которое вероятно повлечёт риск для прав и свобод физических лиц. Уведомление будет включать:
- Характер нарушения персональных данных, включая категории и приблизительное число пострадавших лиц
- Имя и контактные данные нашего ответственного по защите данных
- Вероятные последствия нарушения
- Меры, принятые или предлагаемые для устранения и смягчения последствий нарушения
Уведомление затронутых лиц (ст. 34 GDPR)
Если нарушение, вероятно, повлечёт высокий риск для ваших прав и свобод, мы без неоправданной задержки уведомим вас по электронной почте, описав характер нарушения, его вероятные последствия и принятые нами меры. Мы также предоставим рекомендации по шагам, которые вы можете предпринять для самозащиты.
Реагирование на нарушение
Мы поддерживаем план реагирования на инциденты, включающий процедуры локализации, расследования, устранения и уведомления. Проводим постинцидентные обзоры для предотвращения повторения.
15. Конфиденциальность детей
KnowStack предназначен для бизнес-использования и не направлен на детей.
- Бесплатный уровень (план Starter) требует, чтобы пользователям было не менее 16 лет
- Платные планы требуют, чтобы пользователям было не менее 18 лет
- Мы сознательно не собираем персональные данные от лиц младше 16 лет
- Если мы обнаружим, что собрали персональные данные ребёнка младше 16 лет, мы немедленно их удалим
- Если вы считаете, что мы непреднамеренно собрали данные ребёнка младше 16 лет, свяжитесь с нами по адресу [email protected]
16. Права жителей Калифорнии (CCPA/CPRA)
Если вы являетесь жителем Калифорнии, California Consumer Privacy Act (CCPA), дополненный California Privacy Rights Act (CPRA), предоставляет вам дополнительные права:
Категории собираемой персональной информации
- Идентификаторы: имя, адрес электронной почты, IP-адрес, идентификатор учётной записи
- Коммерческая информация: план подписки, история платежей, записи использования AI
- Активность в Интернете или электронной сети: посещённые страницы, использованные функции, тип браузера
- Профессиональная или трудовая информация: название компании / организации (если предоставлено)
- Выводы: отсутствуют — мы не создаём профилей потребителей
Ваши права согласно CCPA/CPRA
- Право знать: вы можете запросить категории и конкретные элементы персональной информации, которую мы собрали о вас
- Право удалить: вы можете запросить удаление своей персональной информации, с учётом юридических исключений
- Право исправить: вы можете запросить исправление неточной персональной информации
- Право отказаться от продажи/обмена: мы не продаём и не обмениваем вашу персональную информацию для межконтекстной поведенческой рекламы. Отказ не требуется.
- Право на недискриминацию: мы не будем дискриминировать вас за реализацию прав на конфиденциальность
Чтобы воспользоваться этими правами, свяжитесь с нами по адресу [email protected]. Мы проверим вашу личность перед обработкой запросов. Вы также можете назначить уполномоченного представителя для подачи запросов от вашего имени.
17. Изменения настоящей Политики
Мы можем обновлять настоящую Политику конфиденциальности в любое время по своему усмотрению. Изменения вступают в силу с даты, указанной в обновлённой политике.
При внесении изменений:
- Мы обновим дату «Последнее обновление» в верхней части этой страницы
- Мы уведомим вас о любых изменениях, отправив уведомление на адрес электронной почты, привязанный к вашей учётной записи
- Обновлённая политика будет опубликована на этой странице и вступит в силу с даты, указанной в уведомлении, или, если дата не указана, с момента публикации
Продолжая доступ или использование Сервиса после вступления обновлённой Политики конфиденциальности в силу, вы соглашаетесь быть связанным изменённой политикой. Все существующие пользователи считаются принявшими обновлённую политику с даты её вступления в силу. Если вы не согласны с изменённой политикой, ваш единственный способ защиты — прекратить использование Сервиса и удалить учётную запись.
18. Связаться с нами
Если у вас есть вопросы по настоящей Политике конфиденциальности, нашим практикам обработки данных или вы хотите воспользоваться правами на конфиденциальность, свяжитесь с нами:
Электронная почта: [email protected]
Оператор: Nest Artem Dolmatov
Адрес: ul. Wroclawska 79, 30-017 Krakow, Poland
Для запросов по защите данных просим указывать «Privacy Request» в теме письма. Мы стремимся отвечать в течение 30 дней.