Безпека у WasteLess

Інформація актуальна станом на: 20.07.2025

У WasteLess, що базується в Україні, ми серйозно ставимося до безпеки ваших даних. Ця сторінка надає огляд практик безпеки, які ми впроваджуємо для захисту вашої інформації під час використання нашого Сервісу. Безпека – це безперервний процес, і ми постійно працюємо над вдосконаленням наших заходів.

Автентифікація користувачів

  • Безпека паролів: Паролі користувачів надійно хешуються з використанням стандартних галузевих алгоритмів (bcrypt через Supabase Auth) перед збереженням. Ми ніколи не зберігаємо ваш пароль у відкритому тексті.
  • Безпечна реєстрація/оновлення: Ми використовуємо Одноразові паролі (OTP), що надсилаються електронною поштою для підтвердження облікового запису під час реєстрації та для оновлення пароля.
  • OAuth (Google/Facebook): Автентифікація через Google або Facebook використовує безпечні протоколи OAuth 2.0, керовані цими провайдерами.
  • Управління сесіями: Ми покладаємося на безпечне управління сесіями Supabase, використовуючи JWT, що зберігаються надійно (наприклад, httpOnly cookies через SSR адаптери).

Шифрування даних

  • Під час передачі: Увесь зв'язок між вашим пристроєм та нашими серверами, а також між нашими серверами та сторонніми службами (Supabase, R2, Gemini тощо) шифрується за допомогою TLS/SSL (HTTPS).
  • У стані спокою: Ваші дані про продукти в Supabase та зображення в Cloudflare R2 шифруються у стані спокою відповідними провайдерами з використанням стандартного галузевого шифрування.

Безпека інфраструктури

  • Хмарні провайдери: Ми використовуємо Supabase та Cloudflare, які підтримують високі стандарти безпеки для своєї інфраструктури.
  • Контроль доступу: Доступ до виробничих систем, баз даних та ключів API обмежений авторизованим персоналом з використанням безпечних методів. Конфіденційні ключі зберігаються як змінні середовища, а не в коді.
  • Безпека на рівні рядків (RLS): Ми впроваджуємо політики Безпеки на рівні рядків Supabase для таблиць, щоб гарантувати, що лише автентифіковані користувачі можуть отримувати доступ, вставляти, оновлювати або видаляти лише власні дані про продукти.

Безпека сторонніх сервісів

Ми інтегруємося з авторитетними сторонніми сервісами:

  • Supabase: Надає базу даних, автентифікацію та RLS. Див. Безпека Supabase.
  • Cloudflare R2: Надає сховище об'єктів для зображень. Див. Безпека Cloudflare.
  • Google Gemini: Обробляє зображення для вилучення даних. Див. Умови Google Cloud.
  • GitHub: Зберігає задачі зі зворотного зв'язку в приватному репозиторії. Використовуваний Personal Access Token має лише дозвіл на 'запис'.
  • Rybbit.io: Надає аналітику використання, орієнтовану на конфіденційність. Див. Політику конфіденційності Rybbit.
  • Monobank: Обробляє платежі безпечно відповідно до їхніх стандартів (Безпека Monobank). Ми не зберігаємо повні платіжні дані.
  • Google / Facebook: Безпечно обробляють автентифікацію OAuth та взаємодію з API (Google Calendar).
  • Twilio: Доставляє SMS-сповіщення. Ми обробляємо запити на відмову (наприклад, відповідь 'STOP') для дотримання правил. Див. Політику конфіденційності Twilio.

Обробка зображень

  • Сховище зображень продуктів користувача: Зберігаються з унікальним ідентифікатора користувача. Доступ вимагає автентифікації та надається через тимчасові підписані URL-адреси, генеровані на сервері.
  • Сховище знімків екрана зі зворотного зв'язку: Обробляються на стороні клієнта та завантажуються. API генерує загальнодоступну URL-адресу, але ця URL-адреса призначена лише для вбудовування в приватні задачі на GitHub, пов'язані з вашим зворотним зв'язком. Не включайте конфіденційну інформацію в знімки екрана зі зворотного зв'язку.
  • Сховище загальнодоступних зображень продуктів: Містить загальні зображення продуктів. Якщо знайдено відповідність штрих-коду, на сервері генерується тимчасова підписана URL-адреса для відображення в додатку.

Безпека надсилання зворотного зв'язку

  • Безпечна передача: Зворотний зв'язок надсилається через HTTPS.
  • Інтеграція з GitHub: Використовує надійно збережений PAT з мінімальними правами для створення задач у нашому приватному репозиторії GitHub.
  • Попередження щодо вмісту: Користувачам рекомендується не надсилати конфіденційну інформацію через форму зворотного зв'язку або знімки екрана.

Ваші обов'язки

Допоможіть зберегти безпеку вашого облікового запису:

  • Використовуйте надійні, унікальні паролі.
  • Зберігайте облікові дані конфіденційно.
  • Виходьте з системи на спільних пристроях.
  • Негайно повідомляйте про підозру на несанкціонований доступ на [email protected].
  • Переконайтеся, що зображення, завантажені для обробки ШІ, є чіткими та добре скомпонованими для найкращих результатів, та уникайте завантаження неприйнятного вмісту.

Повідомлення про вразливості

Якщо ви виявили вразливість безпеки, будь ласка, відповідально повідомте про це на [email protected]. Надайте деталі, щоб ми могли провести розслідування. Ми прагнемо оперативно підтверджувати отримання звітів, але наразі не маємо офіційної програми винагород за помилки або фіксованого терміну відповіді. Будь ласка, надайте нам достатньо часу для усунення проблем перед публічним розголошенням.

Оновлення та зміни

Ми можемо оновлювати наші практики безпеки та цей документ. Будь ласка, періодично переглядайте. Про суттєві зміни буде повідомлено.

Зв'яжіться з нами

З питань, пов'язаних з безпекою, зв'яжіться з нами за адресою: [email protected].

Також ознайомтеся з нашою Політикою конфіденційності та Умовами користування.