गोपनीयता नीति
अंतिम अद्यतन: 2026-05-08
1. दो प्रकार का डेटा
2. खाता डेटा
हम क्या और क्यों संग्रहीत करते हैं:
- ईमेल पता - आपके खाते की पहचान करता है, सत्यापन, पासवर्ड रीसेट और कोटा सूचनाओं के लिए उपयोग किया जाता है।
- पासवर्ड - Argon2id हैश के रूप में संग्रहीत, कभी सादे पाठ में नहीं।
- स्तर - आपकी फ़ॉर्म और सबमिशन सीमाएँ निर्धारित करता है।
- पुश सब्सक्रिप्शन endpoints - केवल यदि आप वेब पुश सूचनाओं के लिए ऑप्ट-इन करते हैं। ये आपके ब्राउज़र की पुश सेवा (Google FCM, Mozilla, Apple) से आते हैं और हमें सूचनाएँ भेजने देते हैं जब फ़ॉर्म को सबमिशन मिलता है।
आप किसी भी समय अपना खाता हटा सकते हैं। ऐसा करने से आपका खाता रिकॉर्ड, आपके फ़ॉर्म और सभी सबमिशन डेटा हट जाते हैं।
3. सबमिशन डेटा
जब कोई आगंतुक आपके फ़ॉर्म में से किसी एक को सबमिट करता है, हम संग्रहीत करते हैं:
- उन्होंने जो JSON payload सबमिट किया (जो भी फ़ील्ड आपने माँगे);
- अनुरोध का IP पता;
- User-Agent हेडर;
- Origin हेडर;
- एक टाइमस्टैम्प।
सबमिशन डेटा केवल आपको, खाताधारक को दिखाई देता है। हम इसे देखते नहीं, बेचते नहीं, प्रोफ़ाइल नहीं करते, या नीचे सूचीबद्ध प्रोसेसर के अलावा किसी तीसरे पक्ष के साथ साझा नहीं करते। आप अपने डैशबोर्ड में सबमिशन हटाकर रिटेंशन तय करते हैं। यदि आप फ़ॉर्म हटाते हैं, तो उसके सभी सबमिशन भी हट जाते हैं।
फ़ॉर्म स्वामी: आगंतुकों को बताना कि आप क्या एकत्र करते हैं और क्यों, आपकी ज़िम्मेदारी है। फ़ॉर्म होस्ट करने वाले पेज पर अपनी गोपनीयता नोटिस का लिंक सामान्य दृष्टिकोण है।
4. कुकीज़
Formhook एक कुकी सेट करता है: next-auth.session-token। यह HTTP-only, सुरक्षित, SameSite=Lax है, और 30 दिन तक रहती है। यह केवल आपको डैशबोर्ड में साइन इन रखने के लिए मौजूद है। EU/UK ePrivacy क़ानून के तहत यह सख़्ती से आवश्यक कुकी है और सहमति बैनर की आवश्यकता नहीं है।
हम अपने सार्वजनिक मार्केटिंग पेजों पर बिना कुकी के, फर्स्ट-पार्टी विज़िट एनालिटिक्स चलाते हैं: हम पेज पथ, रेफरिंग साइट, देश (Cloudflare CF-IPCountry हेडर से), ब्राउज़र और OS परिवार, और आपकी IP और User-Agent से प्राप्त एक रोज़ बदलता अनाम पहचानकर्ता रिकॉर्ड करते हैं। हम आपकी IP पते को संग्रहीत नहीं करते, कोई ट्रैकिंग कुकी सेट नहीं करते, और यह डेटा तीसरे पक्ष के साथ साझा नहीं करते। हम तीसरे पक्ष के ट्रैकिंग पिक्सेल या विज्ञापन स्क्रिप्ट नहीं चलाते।
5. पुश सूचनाएँ
वेब पुश ऑप्ट-इन है। जब आप इसे सक्षम करते हैं, तो आपका ब्राउज़र एक सब्सक्रिप्शन टोकन उत्पन्न करता है; हम endpoint और सूचनाएँ देने के लिए आवश्यक एन्क्रिप्शन कुंजियाँ संग्रहीत करते हैं। डिफ़ॉल्ट रूप से, सूचना बॉडी अपारदर्शी होती हैं (“[फ़ॉर्म नाम] के लिए नया सबमिशन”) - कोई सबमिशन सामग्री पुश सेवा से नहीं गुज़रती। आप डैशबोर्ड से सूचना बॉडी में संक्षिप्त पूर्वावलोकन शामिल करने के लिए ऑप्ट-इन कर सकते हैं।
लॉग आउट करना, अपना पासवर्ड रीसेट करना, या सूचनाएँ अक्षम करना हमारे डेटाबेस से आपके पुश सब्सक्रिप्शन हटा देता है।
6. प्रोसेसर
| प्रोसेसर | भूमिका | स्थान | साझा डेटा |
|---|---|---|---|
| Hetzner Online GmbH | होस्टिंग, डेटाबेस, बैकअप | जर्मनी (EU) | विश्राम पर सभी खाता और सबमिशन डेटा |
| Cloudflare, Inc. | DNS, TLS, CDN, Turnstile | वैश्विक एज (केवल ट्रांज़िट में) | IP, अनुरोध हेडर; ऑप्ट-इन फ़ॉर्म के लिए Turnstile टोकन |
| Resend (Resend, Inc.) | लेन-देन ईमेल | EU भेजने का क्षेत्र | ईमेल पता + सत्यापन, पासवर्ड रीसेट, कोटा अलर्ट के लिए ईमेल बॉडी |
| Google FCM / Mozilla autopush / Apple APNs | वेब पुश डिलीवरी | ब्राउज़र विक्रेता के अनुसार बदलता है | Endpoint टोकन + एन्क्रिप्टेड सूचना payload (जब पुश सक्षम हो) |
7. डेटा रिटेंशन
- खाता ईमेल, पासवर्ड हैश, स्तर - जब तक आपका खाता सक्रिय है रखा जाता है; खाता हटाने पर हटाया जाता है।
- सबमिशन - जब तक आप सबमिशन, फ़ॉर्म या अपना पूरा खाता नहीं हटाते रखे जाते हैं। आज कोई स्वचालित प्रूनिंग नहीं।
- ईमेल-सत्यापन टोकन - 24-घंटे TTL, उपयोग या समाप्ति पर हटाया जाता है। पासवर्ड-रीसेट टोकन - 10-मिनट TTL, उपयोग या समाप्ति पर हटाया जाता है।
- पुश सब्सक्रिप्शन - लॉगआउट, पासवर्ड परिवर्तन, या जब पुश सेवा रिपोर्ट करती है कि endpoint चला गया है (HTTP 404 / 410) पर हटाया जाता है।
- बैकअप - एन्क्रिप्टेड नाइटली Postgres डंप, होस्ट पर 14 दिन रखा जाता है। बैकअप स्वचालित रूप से रोल ऑफ़ हो जाते हैं। आपके खाते को हटाने से लाइव डेटाबेस से डेटा तुरंत हट जाता है; यह 14-दिन की विंडो के भीतर ऐतिहासिक बैकअप स्नैपशॉट से बूढ़ा हो जाता है।