Безопасность и доверие
UniMate ведёт один человек по швейцарскому праву. Тот же человек пишет криптографические крейты, которые мы используем. Ниже — честный список того, что мы делаем, простым языком.
UniMate AG зарегистрирован в Цюрихе. Данные обрабатываются по швейцарскому DPA и GDPR — одни из самых строгих режимов приватности в мире. Не продаём данные, не показываем поведенческую рекламу, не делимся твоими заметками.
Трафик до getunimate.com договаривается о гибридном постквантовом обмене ключами X25519MLKEM768, если браузер умеет (Chrome, Edge, Firefox 132+). Записанное сейчас остаётся приватным даже против будущего квантового противника. Используемые Rust-крейты публикуем в open source.
Только TLS 1.3 — без отката на TLS 1.2 — для всего между тобой и нами. Тома БД шифруются на уровне хранилища. Бэкапы шифруются отдельным набором ключей и хранятся офлайн.
TOTP-2FA (Google Authenticator, 1Password, Authy) доступна на любом тарифе. Рекомендуем для аккаунтов с платной подпиской, .edu-почтой или личными заметками.
По умолчанию — вход по magic-link, чтобы большинство пользователей вообще не задавали пароль. Поддержка passkey раскатывается в 2.5.x — креденшел живёт на устройстве, а не на наших серверах, и утекать нечему.
ИИ-промпты идут через DeepSeek (на Pro — фолбэк уровня GPT). Промпты шифруются при передаче и не сохраняются после запроса. Не используем твои заметки, колоды и чаты для обучения — ни наших моделей, ни их.
Если что-то пошло не так — увидишь это на /status в течение нескольких минут и письменный post-mortem в /changelog в течение 48 часов. Без тихих откатов.
Жмёшь Удалить в настройках — данные стираются в течение 30 дней, кроме того, что обязаны хранить по закону (финансовые: 10 лет по швейцарскому праву). Перед удалением экспорт данных — в один клик.
Технические практики
Расположение серверов
EU-region (Frankfurt)
TLS
1.3 only · X25519MLKEM768 hybrid PQ when supported
База данных
PostgreSQL 16, encrypted at rest
Кэш
Redis 7, no plaintext secrets stored
Хеширование паролей
Argon2id (memory-hard)
Сессионные токены
JWT, httpOnly + secure, 7-day refresh window
Бэкапы
Daily, encrypted, separate key, 30-day retention
Журнал аудита
Every admin action logged with actor + reason
Раскрытие уязвимостей
security@getunimate.com — 90-day disclosure window
Для исследователей
Если нашёл проблему в безопасности UniMate — пиши на security@getunimate.com. PGP-ключ по запросу.
Стремимся подтвердить получение в течение 24 часов, дать сроки фикса в течение 7 дней и публично раскрыть в течение 90 дней с момента отчёта (или раньше, если фикс уже выкатили). Добросовестное исследование приветствуется; не преследуем тех, кто остаётся в рамках scope (без DoS, социальной инженерии и тестов на чужих аккаунтах).
Платной bug bounty пока нет. Что можем предложить сейчас: публичное упоминание в /changelog, мерч из Алматы и искреннее спасибо.
Ещё