Безпека Strum
Strum працює з чутливими фінансовими записами користувача, тому ця сторінка пояснює, які дані ми захищаємо, які постачальники залучені, які обмеження існують і як повідомити про проблему безпеки.
Коротко
- Strum не є брокером, банком або інвестиційним радником і не виконує угоди від імені користувача.
- Повні дані платіжних карток не зберігаються в Strum; оплату обробляє WayForPay.
- Серверна частина Strum розміщується на інфраструктурі Hetzner; база даних і автентифікація працюють через Supabase.
- Підключення брокера, якщо користувач його вмикає, проходить через Plaid. Strum отримує портфельні дані, дозволені користувачем, а не брокерський пароль напряму.
- Google Analytics, Microsoft Clarity і Meta Pixel завантажуються тільки після окремої згоди на необовʼязкові cookies.
1. Які дані захищає Strum
Користувач може зберігати у Strum портфелі, активи, угоди, брокерські імпорти, бюджети, фінансові цілі, нотатки, налаштування акаунта та історію підписок. Ці дані використовуються для роботи сервісу, розрахунків, аналітики, підтримки та безпеки.
Strum не зберігає повні номери платіжних карток і не просить користувача вводити брокерські паролі безпосередньо у Strum.
2. Автентифікація та доступ
- Вхід і сесії працюють через Supabase Auth та підтримувані OAuth/OTP-потоки.
- Публічний фронтенд використовує лише публічні ключі, призначені для браузера; секретні серверні ключі не повинні потрапляти у клієнтський код.
- Доступ до даних користувача має бути обмежений авторизацією на рівні API, бази даних і серверних перевірок.
- Користувач відповідає за безпеку своєї пошти, пристроїв, браузера та доступу до акаунта.
3. Дані, база та інфраструктура
Strum використовує Supabase для частини бази даних та автентифікації, а серверна частина Strum розміщується на інфраструктурі Hetzner. У Supabase дані на платформі шифруються у стані зберігання AES-256 та під час передачі через TLS; Supabase має SOC 2 Type 2 та ISO 27001. Hetzner має ISO/IEC 27001:2022 для інфраструктури, операцій і підтримки дата-центрів.
Strum не проходив власну SOC 2 або ISO-сертифікацію. Ми спираємося на інфраструктуру постачальників із відповідними контролями безпеки та відповідаємо за власний код, конфігурацію, секрети, доступи й операційні процеси.
4. Брокерська синхронізація через Plaid
Якщо користувач вмикає брокерську синхронізацію, Strum використовує Plaid для підключення до підтримуваних фінансових установ. Plaid працює з дозволеним користувачем доступом, шифрованими API, керуванням підключеннями з боку користувача та має стандарти ISO 27001, ISO 27701 і SSAE18 SOC 2.
Залежно від установи підключення може працювати через OAuth/API або через інший процес Plaid. Strum не бачить брокерський пароль напряму в інтерфейсі Strum; Strum отримує дані, які користувач дозволив передати через Plaid, наприклад позиції та транзакції.
5. Платежі
Оплати підписок обробляє WayForPay. WayForPay підтримує 3-D Secure, PCI DSS, HTTPS та TLS для передавання платіжних даних. Strum отримує статус оплати, план і службові платіжні атрибути, але не зберігає повні дані картки.
6. Захист від ботів і зловживань
Для форм автентифікації Strum використовує Cloudflare Turnstile, щоб відрізняти людей від автоматизованого трафіку і зменшувати ризик спаму, credential stuffing та інших зловживань.
Turnstile обробляє мінімальні сигнали, потрібні для виявлення ботів, зокрема IP-адресу, TLS fingerprint, User-Agent, sitekey та origin.
7. Аналітика, cookies і маркетингові теги
Необовʼязкові теги Google Analytics, Microsoft Clarity і Meta Pixel не є необхідними для безпеки акаунта і завантажуються тільки після згоди користувача в банері cookies. Якщо згоду відхилено, Strum не завантажує GTM-контейнер і намагається очистити відомі аналітичні cookies.
8. Видалення акаунта і резервні копії
У Strum є кнопка видалення акаунта. Після запуску видалення Supabase видаляє email з auth-запису користувача, а дані акаунта в Strum анонімізуються.
Частина технічних і фінансових записів може ще певний час залишатися у виробничій базі до повного видалення через планове cron-завдання. Також дані можуть тимчасово залишатися у резервних копіях до завершення строку зберігання backup. Після видалення акаунта ці дані не використовуються для активної роботи акаунта.
Якщо користувач використовує Plaid, доступ до фінансової установи також можна відкликати через доступні інструменти Plaid або на стороні фінансової установи, якщо така можливість підтримується.
9. Повідомлення про інциденти
Якщо ви помітили вразливість, зловживання або підозрілу активність у своєму акаунті, напишіть на strum.yuinvest@gmail.com. Додайте сторінку, кроки відтворення, час події, скриншоти або інші деталі, але не надсилайте паролі, секретні ключі чи повні дані карток.