Arcary — Политика конфиденциальности

Arcary — корпоративное приложение для аудио- и видеозвонков сотрудников компании. Настоящая Политика описывает, какие данные собираются при использовании приложения, с какой целью и на каких условиях они обрабатываются.

Приложение Arcary предназначено исключительно для внутреннего корпоративного использования сотрудниками компания. Доступ к сервису предоставляется через корпоративную учётную запись на сервере workmsg.online.

1. Оператор обработки данных

Оператор сервиса (далее — «Оператор») — юридическое лицо, эксплуатирующее инфраструктуру сервиса Arcary, включая сервер workmsg.online.

Точные реквизиты юридического лица, ответственного за обработку персональных данных, и контактные данные DPO (Data Protection Officer) уточнить у HR-отдела Оператора перед первым использованием приложения.

2. Какие данные собираются

2.1. Учётные данные и идентификация

Matrix-идентификатор вида @fullname:workmsg.online — создаётся администратором Оператора при выдаче доступа.
Пароль от корпоративной учётной записи — вводится пользователем на экране логина, передаётся напрямую в сервис авторизации MAS на workmsg.online. Приложение Arcary не сохраняет пароль ни в каком виде.
Access token и refresh token — выдаются сервисом MAS после успешной авторизации, хранятся на устройстве пользователя в защищённом хранилище iOS (Keychain, через expo-secure-store) и не передаются никому, кроме workmsg.online.
Device ID — уникальный идентификатор сессии устройства, выдаётся Matrix-сервером. Не связан с идентификаторами Apple (IDFA) и не используется для трекинга.
Display name устройства — модель и ОС устройства (например, «iPhone 16 Pro — Arcary»). Формируется из expo-device и передаётся в Matrix для отображения в списке активных устройств пользователя.

2.2. Данные о звонках

Метаданные звонков: идентификатор инициатора, идентификатор адресата, идентификатор комнаты, момент начала и окончания звонка, его длительность. Хранятся как события Matrix (m.call.invite.v2, m.call.answer.v2, m.call.hangup.v2) в базе данных сервера workmsg.online.
Аудио- и видеопоток во время разговора передаётся через собственный медиасервер LiveKit на workmsg.online. Поток шифруется на уровне транспорта (SRTP / TLS). По умолчанию медиа не записывается на сервер. Включение записи возможно по отдельному распоряжению руководства Оператора, при этом участники звонка уведомляются визуальным индикатором.

2.3. Технические данные

VoIP push-токен — выдаётся iOS при регистрации PushKit, используется для доставки уведомлений о входящих звонках на устройство с заблокированным экраном. Сохраняется в базе pushers сервера workmsg.online и передаётся Apple Push Notification service (APNs) для маршрутизации уведомлений.
IP-адрес и время последней сетевой активности сессии — записываются сервером workmsg.online в служебные логи с целью выявления компрометации учётной записи и технической диагностики. Хранятся до 90 дней.

2.4. Разрешения iOS

Микрофон — используется исключительно во время активного голосового звонка. Записи разговоров на устройстве не сохраняются.
Камера — используется только при видеозвонках (функционал в разработке). Записи не сохраняются.
Уведомления — необходимы для доставки VoIP-пушей о входящих звонках.

Приложение не собирает и не передаёт третьим лицам: данные о геолокации; контент входящих и исходящих сообщений (на момент выпуска текстовый мессенджер в приложении не реализован); адресную книгу iOS; фото, видео и другие файлы пользователя; рекламные идентификаторы (IDFA); биометрические данные; банковские и платёжные данные.

3. Цели обработки

Персональные данные обрабатываются исключительно в следующих целях:

идентификация пользователя и контроль доступа к сервису;
установление и поддержание защищённого соединения для передачи аудио- и видеосигнала между участниками звонка;
доставка уведомлений о входящих звонках;
ведение журнала активных устройств пользователя для самостоятельного управления сессиями и их принудительного завершения;
техническая диагностика и обеспечение информационной безопасности инфраструктуры Оператора.

Данные не используются для таргетированной рекламы, анализа поведения пользователя, оценки его продуктивности или в иных не согласованных с пользователем целях.

4. Передача данных третьим лицам

Оператор не передаёт персональные данные пользователей третьим лицам за исключением следующих случаев:

Apple Inc. (APNs, Apple Push Notification service) — приложение передаёт VoIP push-токен Apple для маршрутизации уведомлений на конкретное устройство. Сама содержимое push-уведомления (например, имя звонящего и идентификатор звонка) проходит через серверы Apple в зашифрованном виде в соответствии с протоколом APNs. Подробнее — Apple Push Notification service privacy policy.
По запросу уполномоченных органов — в случаях, прямо предусмотренных законодательством Российской Федерации.

Иных третьих лиц, получающих доступ к персональным данным пользователей, нет. Инфраструктура сервера workmsg.online, включая Matrix (Synapse), сервис авторизации MAS, медиасервер LiveKit и push-шлюз Sygnal, полностью контролируется Оператором.

5. Хранение и защита данных

Все данные хранятся на сервере workmsg.online в дата-центре, контролируемом Оператором. Данные не реплицируются в публичные облачные сервисы.
Соединение между приложением и сервером защищено TLS 1.3.
Access- и refresh-токены пользователя хранятся на устройстве в iOS Keychain, защищённом аппаратным Secure Enclave.
Доступ к серверной инфраструктуре имеет только ограниченный круг системных администраторов Оператора, действующих на основании внутренних регламентов.

6. Сроки хранения

Метаданные звонков хранятся в течение периода, установленного внутренними внутренними регламентами Оператора для корпоративной корреспонденции (уточнить у HR).
Access- и refresh-токены действительны до выхода пользователя из учётной записи или до принудительного завершения сессии администратором.
IP-логи — до 90 дней с момента записи.
Аудио- и видеопоток в процессе звонка не сохраняется. При включённой по распоряжению руководства записи (см. п. 2.2) срок хранения определяется соответствующим регламентом.

7. Права пользователя

Пользователь имеет право:

получить копию своих персональных данных, обрабатываемых Оператором;
потребовать исправления неточных данных;
потребовать удаления данных в связи с прекращением трудовых трудовых отношений (стандартная процедура offboarding выполняется системным администратором);
просмотреть и принудительно завершить активные сессии своей учётной записи на экране «Мои устройства» в приложении;
отозвать согласие на обработку персональных данных путём удаления приложения и подачи соответствующего заявления в адрес Оператора через HR-отдел.

8. Изменения политики

Оператор оставляет за собой право вносить изменения в настоящую Политику. Актуальная редакция всегда доступна по адресу https://arcary.app/privacy. В случае существенных изменений пользователи будут уведомлены через уведомление внутри приложения или по корпоративным корпоративным каналам связи.

9. Контакты

По вопросам обработки персональных данных, осуществления прав субъекта персональных данных и другим вопросам, связанным с настоящей Политикой, обращайтесь:

Email: oz@arcary.app
Страница технической поддержки: https://arcary.app/support