Patakaran sa privacy

1. Controller

Ang controller sa loob ng kahulugan ng General Data Protection Regulation (GDPR) ay:

IMH Group, Inc.
8 The Green, Ste B
Dover, DE 19901
United States

Awtorisadong kinatawan: Christian Aberle
Pangkalahatang contact: info@imh-group.us, Telepono: +1 (302) 212-0640

Mga kahilingan sa privacy (pag-access, pagbura, pagwawasto, pagtutol): info@imh-group.us

Ang mga detalye ng kumpanya ay makukuha rin sa Legal na paunawa o Imprint – IMH Group Inc.

2. Layunin ng aplikasyon

Ang YT Stream ay isang panloob na tool sa pangangasiwa ng IMH Group, Inc. para sa pamamahala ng mga live stream ng YouTube (mga channel, playlist, iskedyul, media). Ang pag-access ay limitado sa mga awtorisadong kawani at administrator. Walang ginagamit na cookies sa pagsubaybay, marketing, o analytics ng bisita.

3. Naproseso ang datos

• Mga account ng gumagamit: Username, password hash (bcrypt), tungkulin (administrator/staff), activation status, paggawa ng timestamp.
• Cookie ng session: teknikal na kinakailangan para sa pag-login at awtorisasyon (tingnan ang seksyon 4).
• Configuration ng channel at stream: Mga pangalan ng channel, slug, iskedyul, mga entry sa playlist (mga file path/title), mga setting ng encoder.
• Mga stream key at OAuth token: naka-imbak na naka-encrypt sa database (Fernet, nagmula sa lihim ng application).
• Log ng pag-audit: Timestamp, naka-log-in na username, aksyon (hal. gumawa, mag-edit, magsimula/ihinto), opsyonal na channel ID at maikling detalye (hal. pangalan ng channel) — walang mga password o stream key sa plain text.
• Seguridad / paglilimita sa rate: IP address sa mga nabigong pagtatangka sa pag-log in, pansamantalang nasa memorya (max. 15 minuto, hindi permanenteng nakaimbak).
• Mga log ng pagpapatakbo at error: mga teknikal na log sa server (Plesk EU), ang nilalaman ay nakasalalay sa pagsasaayos ng server.

Hindi maaaring tingnan ng mga tungkulin ng staff ang mga stream key sa plain text; maaaring pamahalaan ng mga administrator ang mga susi. Ang UI ay sadyang umiiwas sa pagpapakita ng hindi kinakailangang personal na data sa mga mensahe.

4. Mga cookies

Isang session cookie lamang (karaniwang may pangalang session) ang nakatakda. Ang cookie na ito ay mahigpit na kinakailangan para sa pag-login at hindi nangangailangan ng pahintulot sa ilalim ng Seksyon 25 TTDSG kasabay ng GDPR Recital 28.

• HttpOnly: oo — walang access sa pamamagitan ng JavaScript sa browser.
• SameSite: Lax (Starlette SessionMiddleware).
• Secure: sa produksyon gamit ang HTTPS o kapag gumagamit ang PUBLIC_BASE_URL ng https:// o pinagana ang mga pinagkakatiwalaang proxy header.

Ang login page ay nagsasaad na ang pag-sign in ay nagtatakda ng cookie na ito. Walang cookie banner para sa marketing o analytics cookies dahil walang ginagamit.

5. Mga legal na base (Art. 6 GDPR)

• Art. 6(1)(b): Pinoproseso upang maisagawa ang kaugnayan sa paggamit o ibigay ang panloob na serbisyo sa mga awtorisadong user.
• Art. 6(1)(f): lehitimong interes sa IT security, traceability ng mga pagbabago (audit log), pag-iwas sa pang-aabuso (login rate limit).

6. Pagpapanatili

• Mga account ng gumagamit: hanggang sa ma-deactivate o matanggal ng isang administrator o sa nakasulat na kahilingan sa info@imh-group.us.
• Sesyon: hanggang sa pag-logout o pagtatapos ng session ng browser.
• Log ng pag-audit: hanggang sa manu-manong paglilinis o pagtanggal ng database; karaniwang pinananatili sa mas mahabang panahon para sa operational traceability. Maaaring matugunan ang mga entry na nauugnay sa isang user kapag hiniling.
• Limitasyon sa rate ng pag-login (IP): maximum na 15 minuto sa memorya, pagkatapos ay awtomatikong pagtanggal.
• Mga log ng server: ayon sa patakaran sa pagpapanatili ng hosting provider (Plesk EU).

7. Mga tatanggap at ikatlong partido

Hindi ibinabahagi ang data sa mga serbisyo ng advertising o analytics. Ang YT Stream ay walang kasamang built-in na pagsubaybay (hal. Google Analytics).

Kapag ginamit ang mga opsyonal na feature, maaaring ipadala ang data sa:

• YouTube / Google: kapag gumagamit ng OAuth o ang API, napapailalim sa mga patakaran sa privacy ng Google.
• Jellyfin: kung naka-configure lamang (mga query sa metadata).
• Pagho-host (Plesk EU): pagpapatakbo ng server sa ilalim ng isang kasunduan sa pagpoproseso ng data sa provider.

Ang mga panlabas na mapagkukunan ng CDN (Tailwind, htmx) ay na-load para sa UI; Ang mga IP address ay maaaring teknikal na iproseso ng CDN provider. Ang mga lokal na static na file ay maaaring gamitin sa halip.

8. Teknikal at organisasyonal na mga hakbang

• Ang mga password ay na-hash gamit ang bcrypt, hindi nakaimbak sa plain text.
• Ang mga stream key at mga token ng pag-refresh ng OAuth ay iniimbak gamit ang Fernet encryption sa database.
• Ang HTTPS ay inilaan sa produksyon; natatanggap ng cookies ng session ang Secure na flag kapag na-configure.
• Ang data ng application (DATA_DIR: database, logs, cache) ay nasa labas ng pampublikong web root o protektado ng mga panuntunan ng server.
• I-access lamang pagkatapos ng pagpapatunay; mga paghihigpit na nakabatay sa tungkulin para sa mga tauhan.
• Proteksyon ng CSRF para sa mga aksyong batay sa form.

9. Ang iyong mga karapatan

Mayroon kang mga sumusunod na karapatan vis-à-vis sa controller, bukod sa iba pa:

• Access (Art. 15 GDPR)
• Pagwawasto (Art. 16 GDPR)
• Pagbubura (Art. 17 GDPR)
• Paghihigpit sa pagproseso (Art. 18 GDPR)
• Tutol sa pagproseso batay sa mga lehitimong interes (Art. 21 GDPR)
• Data portability, kung naaangkop (Art. 20 GDPR)
• Magsampa ng reklamo sa isang awtoridad sa pangangasiwa (Art. 77 GDPR)

Pagtanggal ng mga account ng kawani: Maaaring i-deactivate ng mga administrator ang mga account sa pamamahala ng user o ganap na tanggalin ang mga account ng kawani. Para sa karagdagang mga kahilingan, makipag-ugnayan sa info@imh-group.us.

10. Walang obligasyon na magbigay ng data

Ang paggamit ng YT Stream ay nangangailangan ng panloob na pahintulot. Nang walang pagbibigay ng data na kinakailangan para sa pag-login, hindi posible ang paggamit.