InterMIND
Суверенитет

Мы завершили GDPR-аудит. Вот что мы реально закрыли.

Значок «GDPR-compliant» у вендора ничего не значит без работы, которая за ним стоит. Мы провели полный аудит собственного кода против обязательств GDPR, которые ложатся на обработчика данных — удаление, хранение, субпроцессоры, рантайм в ЕС — и вот каждый пункт, который мы закрыли, проверенный по коду.

The Mind.com Team

Мы завершили GDPR-аудит. Вот что мы реально закрыли.

Мы завершили GDPR-аудит. Вот что мы реально закрыли.

Несколько недель назад мы писали, что «GDPR-compliant» на сайте видеоинструмента значит меньше, чем вам кажется — что GDPR — это набор обязательств, лежащих на вас, контролёре данных, и вендор либо помогает вам их выполнить, либо тихо оставляет их у вас на столе. Честный способ подкрепить это утверждение — сделать работу со своей стороны и показать её, строка за строкой.

Мы так и сделали. Мы провели полный аудит кодовой базы InterMIND против обязательств, которые ложатся на нас как на обработчика данных, закрыли каждый пробел, за которым стоял код, и проверили каждый пункт на работающем продукте. Этот пост — отчёт о закрытии: не значок, а чек-лист с нашими ответами.

Мы намеренно не заявляем «100% сертифицировано по GDPR». GDPR — это не сертификат, который сдают, и мы не будем размахивать значком ISO, которого у нас пока нет. Что мы можем сказать: архитектурные и процессные обязательства, через которые проходит DPO, теперь имеют конкретные, проверяемые ответы, каждый сверен с работающим кодом.

Что мы закрыли

Право на удаление (ст. 17) — каскад реально отрабатывает

Удаление вашего аккаунта не просто его деактивирует. POST /api/user/delete-account запускает настоящий каскад: он сносит ваши встречи → участников, сообщения, конференции, транскрипции; вычищает ваши блобы из Tigris до каскада в базе данных, чтобы ничего не осталось висеть сиротами — и вложения чата, и файлы записей видео, обе колонки; и отменяет ваши подписки Stripe и удаляет клиента Stripe. Удаление по запросу тоже есть — удалите канал или сообщение из интерфейса, и оно исчезнет. Анонимные (гостевые) аккаунты получают собственный эндпоинт удаления плюс фоновую зачистку каждые 6 часов под мониторингом cron-задачи. Аудит выявил один пробел здесь — блобы записей, которые каскад БД удалял, а хранилище сохраняло, — и мы его закрыли: удаление теперь не оставляет ничего в объектном хранилище.

Хранение (ст. 5(1)(e)) — документированный критерий

Ст. 5(1)(e) не требует автоматического time-to-live. Она требует определённого критерия хранения. Наш теперь прописан в Политике конфиденциальности: данные хранятся до тех пор, пока вы или владелец вашей команды их не удалит, а удаление аккаунта стирает всё. Это та же модель, на которой работают инструменты для совместной работы вроде Slack и Notion — персистентность — это ожидаемое поведение, и вы остаётесь под контролем над ней. Критерий заявлен, а не подразумевается.

Согласие на аналитику (ст. 6/7) — opt-out по умолчанию

Баннер согласия Usercentrics (показывается посетителям из ЕС) контролирует аналитику, а PostHog поставляется с opt_out_capturing_by_default: true — ничего не собирается, пока не дано согласие, а не наоборот.

Переносимость данных (ст. 20) — настоящий экспорт

GET /api/user/export собирает ZIP из ваших встреч, сообщений, записей и переводов, с 7-дневным окном скачивания и автоматической очисткой. Доступ, удаление и переносимость — это работающие инструменты, а не обещания в политике.

Никакой контент встреч не попадает в модель с юрисдикцией США

Самый крупный поток контента встреч — живой перевод голоса и чата — работает на нашем собственном движке во Франции, никогда на стороннем LLM. Пост-обработка ИИ, которая действительно использует модель общего назначения (дайджест, генеративные действия редактора заметок), работает на Mistral, размещённом в ЕС, с нулевым хранением данных (zero-data-retention), и привязка настолько жёсткая, что запрос упадёт, а не уйдёт на хост без ZDR или на хост в США. Мы также вычистили имена участников и текст высказываний из логов браузера конференций, которые иначе мог бы захватить session-recording PostHog. Полная карта по вендорам — в Где на самом деле проходит одна встреча InterMIND.

Прозрачность — субпроцессоры и записи обработки, опубликованы

Список субпроцессоров опубликован, с указанием, что делает каждый вендор и где находится его юрисдикция, — не «доступен по запросу». За ним стоит Реестр операций обработки (ROPA), построенный по живой схеме: 11 операций обработки, меры безопасности по каждой, пути удаления / переносимости. Наша Политика конфиденциальности и Условия теперь действуют под нашим собственным юридическим лицом, с описанием реальной цепочки обработки.

Рантайм в ЕС — закреплён, а не обещан

Каждый рантайм-хоп, который делает встреча, находится в ЕС: приложение и API на Vercel Frankfurt, сервер встреч на Fly Paris, прикладные данные в Neon Postgres (AWS Frankfurt), ошибки на Sentry EU, аналитика на PostHog EU, почта через Resend Ireland. Объектное хранилище на Tigris теперь закреплено за регионами ЕС (Frankfurt + Amsterdam) — каждая новая запись попадает в ЕС независимо от того, где находится пользователь. Полная архитектура — на нашей странице безопасности.

Почему это важно для вашей закупки

Для большинства покупателей из ЕС — немецкого Mittelstand, регулируемых команд, работающих со стандартными DPA по GDPR, — вопрос резидентности данных теперь имеет прямой ответ: данные не покидают ЕС в рантайме, удаление работает, критерий хранения заявлен, список субпроцессоров на столе. Это гораздо более короткий разговор, чем «мы вернёмся к вам с ответом, куда идут данные».

Для французской souveraineté numérique и закупок уровня SecNumCloud корпоративная юрисдикция вендора сама по себе является критерием — это более глубокий разговор о топологии развёртывания, который мы проведём честно, а не будем переоценивать. И единственное, чего мы не сделаем, — это размахивать сертификатом ISO, которого у нас пока нет: сертификации в дорожной карте, но наш ответ на чек-лист архитектурный и проверяемый сегодня.

Убедитесь сами

Соответствие GDPR — не значок, который покупают: это работа, которую делают и могут показать. Вот наша, строка за строкой. Если вашему DPO нужен ответ, которого нет в этом посте, напишите нам.

— The Mind.com Team

Получать новые публикации по email

Мы пришлём письмо, когда выйдет новая публикация. Отписаться можно в любой момент.

Блог

Последние новости и обновления от команды InterMIND.

Говорите своим голосом — на языке, которого вы не знаете

Большинство инструментов синхронного перевода заменяют вас единственным роботизированным диктором. InterMIND сохраняет ваш голос: каждый участник слышит перевод голосом самого говорящего. Вот как это делает каскадный конвейер — и почему образец голоса нигде не хранится.