Политика конфиденциальности
Последнее обновление: 2026-05-08
1. Два вида данных
2. Данные аккаунта
Что мы храним и зачем:
- Email - идентифицирует ваш аккаунт, используется для верификации, сброса пароля и уведомлений о квоте.
- Пароль - хранится как Argon2id-хеш, никогда в открытом виде.
- Тариф - определяет ваши лимиты форм и отправок.
- Endpoints push-подписок - только если вы включаете веб-push. Они приходят от push-сервиса вашего браузера (Google FCM, Mozilla, Apple) и позволяют нам отправлять уведомления о новых отправках.
Аккаунт можно удалить в любой момент. При этом удаляются запись аккаунта, ваши формы и все данные отправок.
3. Данные отправок
При отправке вашей формы посетителем мы храним:
- JSON-payload отправки (поля, которые вы запрашивали);
- IP-адрес запроса;
- заголовок User-Agent;
- заголовок Origin;
- метку времени.
Данные отправок видны только вам, владельцу аккаунта. Мы не смотрим на них, не продаём, не профилируем и не делимся с третьими сторонами кроме перечисленных ниже обработчиков. Вы определяете срок хранения, удаляя отправки в панели. Если вы удаляете форму, все её отправки удаляются вместе с ней.
Владельцы форм: вы отвечаете за информирование посетителей о том, что вы собираете и зачем. Обычный подход - ссылка на ваше уведомление о конфиденциальности на странице с формой.
4. Cookies
Formhook ставит один cookie: next-auth.session-token. Он HTTP-only, безопасный, SameSite=Lax, живёт 30 дней. Существует исключительно для поддержания вашего входа в панель. По законодательству ЕС/Великобритании ePrivacy это строго необходимый cookie и не требует баннера согласия.
На наших публичных маркетинговых страницах мы используем собственную аналитику посещений без cookies: записываем путь страницы, реферер, страну (из заголовка Cloudflare CF-IPCountry), семейство браузера и ОС, а также ежедневно ротирующийся анонимный идентификатор, вычисленный из вашего IP и User-Agent. Мы не храним ваш IP-адрес, не устанавливаем cookie отслеживания и не передаём эти данные третьим сторонам. Мы не используем сторонние пиксели отслеживания или рекламные скрипты.
5. Push-уведомления
Веб-push - opt-in. При включении ваш браузер генерирует токен подписки; мы храним endpoint и ключи шифрования, нужные для доставки уведомлений. По умолчанию тело уведомлений непрозрачно («Новая отправка для [имя формы]») - содержимое отправки не идёт через push-сервис. В панели можно включить короткий предпросмотр в теле уведомления.
Выход, сброс пароля или отключение уведомлений удаляют ваши push-подписки из нашей базы.
6. Обработчики
| Обработчик | Роль | Расположение | Передаваемые данные |
|---|---|---|---|
| Hetzner Online GmbH | Хостинг, база данных, бэкапы | Германия (ЕС) | Все данные аккаунта и отправок в покое |
| Cloudflare, Inc. | DNS, TLS, CDN, Turnstile | Глобальный edge (только в транзите) | IP, заголовки запросов; токены Turnstile для включённых форм |
| Resend (Resend, Inc.) | Транзакционные письма | Регион отправки в ЕС | Email + тело письма для подтверждения, сброса пароля, уведомлений о квоте |
| Google FCM / Mozilla autopush / Apple APNs | Доставка веб-push | Зависит от вендора браузера | Токен endpoint + зашифрованный payload уведомления (когда push включён) |
7. Хранение данных
- Email аккаунта, хеш пароля, тариф - хранятся пока ваш аккаунт активен; удаляются при удалении аккаунта.
- Отправки - хранятся до удаления отправки, формы или всего аккаунта. Автоматической очистки сегодня нет.
- Токены подтверждения email - TTL 24 часа, удаляются при использовании или истечении. Токены сброса пароля - TTL 10 минут, удаляются при использовании или истечении.
- Push-подписки - удаляются при выходе, смене пароля или когда push-сервис сообщает, что endpoint исчез (HTTP 404 / 410).
- Бэкапы - зашифрованный ночной дамп Postgres, хранится 14 дней на хосте. Бэкапы автоматически устаревают. Удаление аккаунта сразу убирает данные из живой базы; они исчезают из исторических бэкапов в течение 14-дневного окна.