PDF Pro построен на клиентской архитектуре с приоритетом приватности
Наше главное обещание: PDF Pro использует архитектуру на стороне клиента, при которой сервер никогда не видит открытый текст. Мы не можем видеть, получать доступ или читать ваши файлы PDF. Вся обработка документов происходит локально в вашем браузере. Ваши приватные криптографические ключи никогда не покидают ваше устройство. Даже если наши серверы будут скомпрометированы, содержимое ваших документов останется приватным.
PDF Pro (pdfpro.tools) — это PDF-платформа с приоритетом приватности, предоставляющая инструменты для просмотра, аннотирования, подписания, проверки, сжатия, конвертации, объединения, создания и безопасной передачи PDF-документов. Мы также предлагаем функции на базе ИИ, включая чат с документами, OCR-сканирование и перевод, а также расширение для браузера Chrome.
Настоящая Политика конфиденциальности описывает, как PDF Pro («мы», «нас» или «наш») собирает, использует, хранит и защищает информацию, когда вы используете наш сайт на pdfpro.tools, наше веб-приложение, расширение Chrome и любые связанные сервисы (совместно — «Сервис»).
Мы привержены прозрачности. Эта политика написана простым языком, чтобы вы могли точно понять, что происходит с вашими данными. Там, где мы используем технические термины, мы объясняем их.
Используя Сервис, вы соглашаетесь со сбором и использованием информации в соответствии с настоящей Политикой конфиденциальности. Если вы не согласны с этой политикой, пожалуйста, не используйте Сервис.
Мы собираем только минимум данных, необходимых для работы Сервиса. Ниже приведён полный исчерпывающий список собираемых данных:
| Тип данных | Назначение | Срок хранения |
|---|---|---|
| Адрес электронной почты | Аутентификация, восстановление аккаунта | До удаления аккаунта |
| Хеш пароля | Аутентификация | До удаления аккаунта |
| Stripe Customer ID | Обработка платежей | До удаления аккаунта |
| Счётчики использования | Соблюдение лимитов тарифа | Сбрасываются ежемесячно; исторические агрегаты сохраняются |
| Публичные ключи | Проверка подписи | До отзыва пользователем или удаления аккаунта |
| Отделённые подписи | Аудит целостности документов | Бессрочно (для проверки) |
| Зашифрованные блобы передачи | Безопасная доставка файлов | Автоистечение (макс. 7 дней) или удаление после прочтения |
Это самый важный раздел нашей политики конфиденциальности. Понимание того, к чему у нас НЕТ доступа, критически важно для понимания нашей архитектуры на стороне клиента.
Мы прямо не собираем, не храним, не получаем доступ и не имеем возможности получить доступ к следующему:
Базовая архитектура PDF Pro принципиально отличается от большинства онлайн PDF-инструментов. Вот как она работает:
Когда вы открываете PDF в PDF Pro, файл полностью загружается в память вашего браузера. Вся обработка выполняется локально с помощью JavaScript и WebAssembly, запущенных в вашем браузере. Это включает:
Что это означает на практике: Если вы откроете вкладку Network (Инструменты разработчика) в браузере при использовании инструментов обработки PDF Pro, вы увидите, что никакие PDF-данные не отправляются ни на какой сервер. Файл всегда остаётся на вашем устройстве. Вы можете проверить это сами.
Наши серверы не могут получить доступ к содержимому ваших документов, потому что данные никогда не отправляются им. Это не политическое решение, которое можно отменить, — это архитектурное следствие модели обработки на стороне клиента. Уточнение: данный продукт не использует доказательства с нулевым разглашением (ZKP). Фраза «сервер не имеет знаний об открытом тексте» относится к описанной здесь модели шифрования на стороне клиента, а не к криптографической конструкции ZKP.
Единственные исключения:
В обоих случаях мы никогда не видим открытый текст на сервере: зашифрованные блобы невозможно прочитать без ключа (которым мы не обладаем), а обрабатываемый ИИ текст эфемерен и не хранится.
PDF Pro не поддерживает систему хранения файлов для пользовательских документов. Не существует «облачного хранилища» ваших PDF. Когда вы закрываете вкладку браузера, документ исчезает с нашей точки зрения (он никогда у нас не находился). Ваш исходный файл остаётся на вашем устройстве именно там, где был.
Безопасная передача позволяет отправлять файлы другим со сквозным шифрованием. Вот как именно это работает и какие данные задействованы:
crypto.getRandomValues).#), которая согласно спецификации HTTP/HTTPS никогда не передаётся на сервер. Пример: https://pdfpro.tools/transfer/abc123#encryptionKeyHereТехническая гарантия: Поскольку ключ шифрования находится во фрагменте URL, для нас (или любого сетевого посредника) криптографически невозможно расшифровать передаваемый файл. Это не политика — это математика. AES-256-GCM со случайным ключом обеспечивает 256-битную безопасность, которая считается вычислительно невзламываемой.
Все передаваемые файлы автоматически удаляются с наших серверов по истечении настраиваемого срока. Максимальный срок хранения — 7 дней. После истечения зашифрованный блоб безвозвратно удаляется из нашей инфраструктуры хранения. Это удаление необратимо.
Отправители могут включить режим «удаление после прочтения», при котором зашифрованный файл автоматически и безвозвратно удаляется с наших серверов сразу после первого успешного скачивания. После удаления файл не может быть восстановлен никем, включая нас.
| Хранится | Не хранится |
|---|---|
| Зашифрованный файловый блоб (шифротекст AES-256-GCM) | Ключ шифрования (существует только во фрагменте URL) |
| ID передачи (случайный UUID) | Исходное имя файла (зашифровано внутри блоба) |
| Временная метка истечения | Содержимое файла в любой читаемой форме |
| Флаг удаления после прочтения | Личность отправителя или получателя (передачи могут быть анонимными) |
| Размер файла (размер зашифрованного блоба) | Любые метаданные о содержимом файла |
Функция приватной подписи PDF Pro обеспечивает криптографическую подпись документов с использованием ECDSA P-256 (Elliptic Curve Digital Signature Algorithm). Эта система с самого начала была спроектирована так, чтобы никогда не требовать загрузки вашего PDF.
window.crypto.subtle.generateKey().Отделённые подписи: «Отделённая» подпись означает, что подпись хранится отдельно от документа. Мы храним доказательство того, что определённый документ был подписан определённым ключом в определённое время, не обладая при этом самим документом. Любой может проверить подпись, хешировав свою копию документа и сравнив её с сохранённой записью подписи.
Мы не храним: PDF-файл, содержимое страниц, извлечённый текст, изображения из документа, приватный ключ подписавшего или его парольную фразу.
Расширение PDF Pro для Chrome улучшает встроенные возможности просмотра PDF в браузере. Оно разработано с теми же принципами приоритета приватности, что и наше веб-приложение.
| Разрешение | Зачем оно нужно | К чему имеет доступ |
|---|---|---|
activeTab | Для взаимодействия с текущей вкладкой PDF | Только активная вкладка, только при клике по расширению |
storage | Для сохранения настроек расширения и кэшированных данных ключей | Только хранилище расширения, не ваши файлы |
webRequest (если применимо) | Для обнаружения загрузки PDF, чтобы расширение могло его перехватить | Только MIME-тип ответов для обнаружения PDF; содержимое не читается |
Когда вы открываете PDF с помощью расширения:
PDF Pro предлагает функции на базе ИИ, включая чат с документами, OCR-распознавание текста и перевод PDF. Эти функции требуют отправки некоторых данных в сервисы обработки ИИ. Вот что именно происходит:
Важное уведомление: Когда вы используете ИИ-функции (Чат, OCR, Перевод), извлечённый текст из вашего документа отправляется в API OpenAI для обработки. Хотя мы не храним эти данные, OpenAI обрабатывает их согласно своей политике конфиденциальности. Мы используем конфигурацию API OpenAI, которая отказывается от использования ваших данных для обучения моделей. Если ваши документы содержат конфиденциальную информацию, оцените, подходят ли ИИ-функции для вашего случая.
Мы не сохраняем содержимое разговоров с ИИ на наших серверах. Извлечённый текст и ответы ИИ существуют только в сессии вашего браузера и удаляются при закрытии вкладки или переходе. OpenAI может сохранять данные согласно своим политикам обработки; мы используем их API в конфигурации, минимизирующей хранение данных и отключающей использование данных для обучения.
Мы используем минимальный набор cookie:
Мы не используем: сторонние рекламные cookie, межсайтовые трекинговые cookie или пиксели слежения соцсетей.
Мы используем механизмы локального хранения браузера в следующих целях:
Очистка данных браузера: Если вы очистите IndexedDB своего браузера, ваши зашифрованные приватные ключи, хранящиеся там, будут безвозвратно удалены. Обязательно экспортируйте резервную копию ключей подписи перед очисткой данных браузера. Мы не можем восстановить приватные ключи, потому что никогда ими не обладаем.
Для работы PDF Pro мы используем ограниченное число сторонних сервисов. Вот к каким данным имеет доступ каждый из них:
| Сервис | Назначение | Какие данные получает | Какие данные НЕ получает |
|---|---|---|---|
| Supabase | Аутентификация, база данных, хранилище файлов (только зашифрованные блобы) | Email, хеш пароля, данные аккаунта, счётчики использования, публичные ключи, записи подписей, зашифрованные блобы передачи | Приватные ключи, парольные фразы, незашифрованное содержимое файлов, данные PDF |
| Vercel | Веб-хостинг, serverless-функции, CDN | Метаданные HTTP-запросов (IP-адрес, user agent, путь URL), выполнение серверных функций | Содержимое PDF, приватные ключи, данные документов (они никогда не достигают наших серверов и, следовательно, не достигают Vercel) |
| Stripe | Обработка платежей | Данные банковской карты (вводимые прямо в интерфейсе Stripe), платёжный адрес, email | Содержимое PDF, данные об использовании, данные документов, приватные ключи |
| OpenAI | ИИ-функции (чат, OCR, перевод) | Извлечённый из PDF текст при использовании ИИ-функций, изображения страниц для OCR | Сами PDF-файлы, информация об аккаунте, приватные ключи, данные из неИИ-функций |
Мы не передаём, не продаём, не сдаём в аренду и не предоставляем ваши файлы или содержимое документов какой-либо третьей стороне. Единственное исключение — ИИ-функции, описанные в Разделе 8, которые вы должны явно выбрать для использования и которые задействуют только извлечённый текст (не сам PDF-файл).
Мы не продаём и не передаём персональную информацию брокерам данных, рекламным сетям или маркетинговым компаниям. Мы не показываем стороннюю рекламу. Мы не участвуем в обменах или маркетплейсах данных.
Если мы получим юридически действительный запрос от правоохранительных органов, мы можем предоставить только те данные, которыми реально обладаем: информацию об аккаунте (email, отображаемое имя), счётчики использования, публичные ключи, записи подписей (хеши, не документы) и зашифрованные блобы передачи (которые мы не можем расшифровать). Мы не можем предоставить содержимое PDF-файлов, приватные ключи или парольные фразы, потому что не обладаем ими.
Данные вашего аккаунта (email, отображаемое имя, настройки) хранятся всё время, пока ваш аккаунт активен. Когда вы удаляете аккаунт, все связанные данные безвозвратно удаляются в течение 30 дней.
Зашифрованные блобы файлов автоматически удаляются согласно выбранной отправителем настройке истечения:
Записи отделённых подписей (хеш документа, подпись, публичный ключ, временная метка) хранятся бессрочно для долгосрочной проверки целостности документов. Это функция, а не проблема приватности, поскольку эти записи содержат только криптографические данные и не могут быть использованы для восстановления содержимого документов.
Счётчики использования функций сбрасываются в начале платёжного цикла. Агрегированные анонимизированные аналитические данные могут сохраняться для улучшения сервиса, но не могут быть связаны с отдельными пользователями или документами.
Мы не храним данные обработки ИИ. Извлечённый текст и ответы ИИ эфемерны, не логируются и не хранятся на наших серверах. Политики хранения OpenAI применяются к их обработке.
Если вы находитесь в Европейской экономической зоне (ЕЭЗ), вы обладаете следующими правами в соответствии с GDPR (Общим регламентом по защите данных):
Наши правовые основания для обработки персональных данных согласно GDPR: (а) исполнение договора (предоставление Сервиса, на который вы подписались), (б) законные интересы (улучшение сервиса, безопасность) и (в) согласие (для опциональных функций, таких как обработка ИИ).
Если вы являетесь резидентом Калифорнии, CCPA (California Consumer Privacy Act) и CPRA (California Privacy Rights Act) предоставляют вам следующие права:
Мы уважаем права на конфиденциальность независимо от вашей юрисдикции. Если ваши местные законы предоставляют вам дополнительные права на конфиденциальность, пожалуйста, свяжитесь с нами, и мы соблюдём их в максимально возможной мере. Это включает, но не ограничивается правами по:
Чтобы реализовать любое из этих прав, свяжитесь с нами по адресу info@webdesign9.com. Мы ответим на ваш запрос в течение 30 дней (или раньше, если этого требует применимое законодательство). Возможно, нам потребуется подтвердить вашу личность перед обработкой запроса.
PDF Pro не предназначен для детей младше 16 лет (или применимого возраста согласия в вашей юрисдикции). Мы сознательно не собираем персональную информацию у детей младше 16 лет.
Если нам станет известно, что мы собрали персональную информацию у ребёнка младше 16 лет без согласия родителей, мы примем меры для удаления этой информации в кратчайшие сроки. Если вы считаете, что мы непреднамеренно собрали информацию у ребёнка младше 16 лет, пожалуйста, немедленно свяжитесь с нами по адресу info@webdesign9.com.
Мы можем периодически обновлять данную Политику конфиденциальности, чтобы отразить изменения в наших практиках, технологиях, юридических требованиях или других факторах. Когда мы вносим изменения:
Мы рекомендуем периодически просматривать данную Политику конфиденциальности. Полная история редакций этой политики доступна по запросу.
Если у вас есть вопросы, замечания или запросы относительно данной Политики конфиденциальности или наших практик работы с данными, пожалуйста, свяжитесь с нами:
Мы стремимся отвечать на все запросы о конфиденциальности в течение 48 часов.
Если вас не устраивает наш ответ, вы имеете право подать жалобу в местный орган по защите данных.
Резюме нашего обязательства по конфиденциальности: PDF Pro построен так, чтобы ваша конфиденциальность защищалась архитектурой, а не только политикой. Ваши файлы обрабатываются локально. Ваши приватные ключи никогда не покидают браузер. Передаваемые файлы шифруются до того, как попадают к нам. Мы собираем только то, что необходимо для работы сервиса. Мы не продаём ваши данные. Мы не показываем рекламу. Мы спроектировали систему так, что даже мы не можем получить доступ к вашим документам.