Политика конфиденциальности

Настоящая Политика описывает, какие персональные данные Agent Nine (далее — «Сервис») собирает, как использует, кому передаёт и как защищает.

1. Оператор данных

Оператором персональных данных является ООО «Агент Найн».

Контакт: support@agentnine.ru

2. Какие данные мы собираем

2.1. Данные аккаунта

• Email — для входа по magic-link и восстановления доступа.
• Имя, фото профиля, email от Google (при входе через Google OAuth).
• Пользовательские настройки: имя обращения, персональный промпт, роль разработчика — вы указываете их в настройках добровольно.

2.2. Технические данные

• IP-адрес — для rate-limiting, защиты от злоупотреблений и отображения активных сессий. Хранится в хэшированном виде (SHA-256) в логах аудита.
• User-Agent — для отображения устройства в списке сессий («Chrome на Windows», «Agent Nine Desktop»).
• Session ID, JWT-токены — в HttpOnly cookies, не доступны JavaScript.
• Machine token — уникальный токен, привязывающий ваш экземпляр Agent Nine к вашему аккаунту. Хранится в виде SHA-256 хэша.

2.3. Контент, который вы отправляете агенту

• Сообщения чата, задачи, запросы.
• Содержимое файлов, которое агент читает в рамках выполнения задач — отправляется провайдеру LLM (см. раздел 4).
• Результаты выполнения команд, скриншоты, логи — в объёме, необходимом для продолжения диалога.
• Конфигурации MCP-интеграций (GitHub, Jira и др.) — хранятся в зашифрованном виде (AES-256-GCM) с ключом на нашей стороне.

2.4. Данные использования

• Количество token-unit, израсходованных через модели — для подсчёта квоты.
• Метаданные операций: длительность, тип инструмента, успех/ошибка — для мониторинга и улучшения сервиса.

3. Зачем мы собираем

Цели обработки:

1. Предоставление сервиса — аутентификация, выполнение задач агентом, сохранение истории диалогов.
2. Безопасность — обнаружение атак, rate-limiting, обнаружение скомпрометированных сессий.
3. Соблюдение закона — ответы на правомерные запросы органов.
4. Коммуникация — письма по поводу аккаунта, важные обновления сервиса. Мы не отправляем маркетинговых рассылок без явного согласия.
5. Аналитика — обезличенная статистика использования для улучшения продукта.

4. Третьи лица (процессоры)

Для работы сервиса мы передаём часть данных доверенным подрядчикам:

• Anthropic (Claude AI) — для выполнения запросов моделям. Передаются: содержимое сообщений чата, контент файлов, результаты инструментов. См. Privacy Policy Anthropic.
• Google — только если вы входите через Google OAuth. Получаем имя, email, публичный профиль. См. Privacy Policy Google.
• Beget (ООО «Бегет») — инфраструктура серверов.
• Let's Encrypt — выдача TLS-сертификатов (данные не передаём).

Мы не продаём персональные данные третьим лицам и не передаём их в рекламных целях.

5. Где хранятся данные

Основные базы данных находятся на серверах в РФ. Часть обработки (модели Anthropic) происходит на серверах Anthropic в США.

Пользователи из ЕС: передача данных в США осуществляется на основании Standard Contractual Clauses (SCC) в рамках договора с Anthropic.

6. Сроки хранения

• Аккаунт и история чата — пока активен аккаунт. После удаления аккаунта — уничтожаются в течение 30 дней (кроме резервных копий, которые перезаписываются в течение 90 дней).
• Логи аудита безопасности — 1 год.
• Финансовые документы (после запуска тарифов) — в объёме, требуемом законом (обычно 5 лет в РФ).
• Сессионные cookies — 4 часа (HttpOnly session) / до закрытия браузера (authed-flag).

7. Ваши права

Вы имеете право:

• Получить доступ к своим данным и копию.
• Исправить неточные данные в настройках аккаунта.
• Удалить аккаунт — через настройки или письмом на support@agentnine.ru.
• Отозвать согласие на обработку (приведёт к невозможности пользоваться сервисом).
• Подать жалобу в надзорный орган: Роскомнадзор (РФ) или надзорный орган вашей страны (для ЕС — Data Protection Authority).

Запросы обрабатываем в течение 30 дней.

8. Cookies и трекеры

Мы используем минимум cookies:

• an_session — HttpOnly, Secure, 4 часа. Содержит JWT-токен для аутентификации.
• an_authed — содержит только «1», сигнализирует клиентскому JS о факте авторизации. Не содержит личных данных.

Мы не используем рекламные трекеры, fingerprinting, отслеживание между сайтами.

9. Безопасность

Мы применяем:

• Шифрование передачи данных (HTTPS/TLS 1.2+).
• HttpOnly, Secure, SameSite=None cookies для сессий.
• Hash-based хранение IP-адресов в аудит-логах.
• Шифрование MCP-конфигураций в БД (AES-256-GCM).
• Двухфакторные токены для machine-to-server аутентификации.
• Rate-limiting и защита от brute-force.
• Регулярные обновления зависимостей и серверного ПО.

Для сообщений об уязвимостях безопасности пишите на security@agentnine.ru.

10. Дети

Сервис не предназначен для лиц младше 16 лет. Мы осознанно не собираем данные детей.

11. Изменения в этой политике

Мы можем обновлять эту Политику. Существенные изменения уведомим по email за 14 дней до вступления в силу. Дата последнего обновления — в начале документа.

12. Контакт

support@agentnine.ru — общие вопросы, удаление аккаунта, права субъекта данных.

security@agentnine.ru — уязвимости безопасности.