Политика конфиденциальности

для внутреннего веб-приложения «YT Stream» (https://fast.imh-group.us) — По состоянию на июнь 2025 года

1.Контроллер

Контроллером в значении Общего регламента по защите данных (GDPR) является:

IMH Group, Inc.
8 The Green, Ste B
Dover, DE 19901
United States

Уполномоченный представитель: Кристиан Аберле
Общий контакт: info@imh-group.us, Телефон: +1 (302) 212-0640

Запросы на конфиденциальность (доступ, удаление, исправление, возражение): info@imh-group.us

Подробности компании также доступны в Правовая информация или Imprint – IMH Group Inc.

2.Цель применения

YT Stream - это инструмент внутреннего администрирования PH0 для управления живыми потоками YouTube (каналы, плейлисты, расписания, медиа). Доступ ограничен уполномоченным персоналом и администраторами. Никакие файлы cookie отслеживания посетителей, маркетинга или аналитики не используются.

3 Обработанные данные

  • Учетные записи пользователей: Имя пользователя, хэш пароля (bcrypt), роль (администратор / персонал), статус активации, временная метка создания.
  • Сеансовый cookie: Технически требуется для входа и авторизации (см. раздел 4).
  • Конфигурация канала и потока: Названия каналов, слизни, расписания, записи в плейлисте (пути файлов / заголовки), настройки кодирования.
  • Потоковые ключи и токены OAuth: хранится в зашифрованном виде в базе данных (Fernet, полученной из секрета приложения).
  • Журнал аудита: Timestamp, зарегистрированное имя пользователя, действие (например, создание, редактирование, запуск / остановка), дополнительный идентификатор канала и короткая деталь (например, имя канала) - никаких паролей или потоковых ключей в простом тексте.
  • Безопасность/ограничение тарифов: IP-адрес при неудачных попытках входа в систему, временно в памяти (максимум 15 минут, не хранится постоянно).
  • Журналы операций и ошибок: Технические журналы на сервере (Plesk EU), содержание зависит от конфигурации сервера.

Сотрудники не могут просматривать потоковые ключи в простом тексте; администраторы могут управлять ключами. Пользовательский интерфейс намеренно избегает отображения ненужных персональных данных в сообщениях.

4. Cookies

Устанавливается только файл cookie сеанса (обычно называемый сеансом). Этот файл cookie строго необходим для входа в систему и не требует согласия в соответствии с разделом 25 TTDSG в сочетании с GDPR Recital 28.

  • HttpOnly: Да — нет доступа через JavaScript в браузере.
  • SameSite: Lax (Starlette SessionMiddleware).
  • Безопасно. В производстве с HTTPS или когда PUBLIC BASE URL использует https:// или доверенные заголовки прокси включены.

На странице входа указано, что подписка устанавливает этот файл cookie. Нет баннера cookie для маркетинговых или аналитических файлов cookie, потому что они не используются.

5. Правовые основы (статья 6 GDPR)

  • Статья 6(1)(b): Обработка для выполнения отношений использования или предоставления внутренних услуг авторизованным пользователям.
  • Статья 6(1)(f): законный интерес к ИТ-безопасности, отслеживаемость изменений (журнал аудита), предотвращение злоупотреблений (ограничение скорости входа в систему).

6. Сохранение

  • Учетные записи пользователей: до деактивации или удаления администратором или по письменному запросу в PH0 .
  • Заседание: до выхода из системы или окончания сеанса браузера.
  • Журнал аудита: до ручной очистки или удаления базы данных; обычно сохраняется в течение более длительного периода для оперативной прослеживаемости. Записи, относящиеся к пользователю, могут быть адресованы по запросу.
  • Ограничение скорости входа (IP): максимум 15 минут в памяти, затем автоматическое удаление.
  • Логи сервера: В соответствии с политикой удержания хостинг-провайдера (Plesk EU).

7. Получатели и третьи лица

Данные не передаются рекламным или аналитическим службам. YT Stream не включает встроенное отслеживание (например, Google Analytics).

Когда используются дополнительные функции, данные могут быть переданы:

  • YouTube/Google: при использовании OAuth или API в соответствии с политикой конфиденциальности Google.
  • Джеллифин: только при настройке (метаданные запросы).
  • Хостинг (Plesk EU): Работа сервера в соответствии с соглашением об обработке данных с поставщиком.

Внешние ресурсы CDN (Tailwind, htmx) загружаются для пользовательского интерфейса; IP-адреса могут технически обрабатываться поставщиком CDN. Вместо этого можно использовать локальные статические файлы.

8. Технические и организационные меры

  • Пароли хешируются с помощью bcrypt, а не хранятся в простом тексте.
  • Ключи потока и токены обновления OAuth хранятся с шифрованием Fernet в базе данных.
  • HTTPS предназначен для производства; файлы cookie сеанса получают флаг Secure при настройке.
  • Данные приложения (DATA DIR: база данных, журналы, кэш) находятся за пределами публичного веб-корня или защищены правилами сервера.
  • Доступ только после аутентификации; ограничения для персонала.
  • Защита CSRF для форм-мероприятий.

9. Ваши права.

У вас есть следующие права в отношении контроллера, среди прочего:

  • Доступ (ст. 15 GDPR)
  • Исправление (ст. 16 GDPR)
  • Стирание (статья 17 GDPR)
  • Ограничение обработки (статья 18 GDPR)
  • Возражать против обработки на основе законных интересов (статья 21 GDPR)
  • Переносимость данных, где это применимо (статья 20 GDPR)
  • подать жалобу в надзорный орган (статья 77 GDPR)

Удаление счетов персонала: Администраторы могут деактивировать учетные записи в системе управления пользователями или полностью удалить учетные записи сотрудников. Для дальнейших запросов свяжитесь с PH0 .

10.Отсутствие обязанности предоставлять данные

Использование YT Stream требует внутренней авторизации. Без предоставления данных, необходимых для входа в систему, использование невозможно.

Правовая информация