Безпека та дані
Останнє оновлення: 13 липня 2026 р.
Короткий огляд
Transept — це перекладацький простір, створений для безпечного перекладу. Коли ви надсилаєте текст, ми передаємо його ШІ-провайдеру для перекладу, зберігаємо результат у нашій базі даних і дозволяємо вам його редагувати. На цій сторінці пояснюється все, що з цим пов'язано — де зберігаються дані, хто має до них доступ і що ми обіцяємо з ними не робити. Якщо ви оцінюєте платформи для безпечного машинного перекладу та управління перекладацькими проєктами, це версія простою мовою; повний юридичний текст міститься в Політиці конфіденційності.
- Ми не використовуємо ваш контент для навчання ШІ-моделей — ні наших, ні наших провайдерів.
- Ваші дані зберігаються в ЄС — застосунок і база даних розміщені в Німеччині (Hetzner).
- Шифрування під час передачі та зберігання — TLS 1.2+ для кожного з'єднання, AES-256 на диску.
- Ви є власником свого контенту — ми маємо лише вузьку ліцензію на обробку і не претендуємо на право власності. Видаліть свій акаунт, і ваші дані будуть видалені разом із ним.
- DPA доступна за запитом — для бізнес-клієнтів ми підписуємо Угоду про обробку даних (Data Processing Agreement), що охоплює зобов'язання за статтею 28 GDPR.
Що ми робимо з вашим контентом
Коли ви надсилаєте текст на переклад, відбуваються три речі:
- Ваш текст зберігається в нашій базі даних як частина вашого документа.
- Для кожного запиту на переклад відповідний блок надсилається ШІ-провайдеру через зашифроване з'єднання. Провайдер повертає переклад, який ми зберігаємо як нову версію блоку.
- Ваш текст залишається у вашому документі, доки ви його не видалите (або не видалите свій акаунт). Він ніколи не використовується для навчання жодної ШІ-моделі.
Чого ми не робимо:
- Ми не продаємо ваші дані.
- Ми не використовуємо ваш контент для навчання моделей — ні наших, ні чиїхось ще.
- Ми не ділимося вашим контентом із рекламодавцями або сторонніми маркетинговими платформами.
- Ми не скануємо ваші підключені робочі простори Google Drive або Notion. Ми бачимо лише ті файли, які ви явно вибираєте для імпорту.
- Ми не запускаємо власні базові моделі та не донавчаємо їх на даних клієнтів.
Де зберігаються ваші дані
Сервери застосунку та база даних Transept працюють на Hetzner Online GmbH, європейському хостинг-провайдері з дата-центрами в Німеччині. Ваш акаунт, ваші документи, ваші переклади, ваші глосарії та стайлгайди — усе це розміщено на інфраструктурі ЄС.
Коли ви перекладаєте, відповідний блок тексту надсилається ШІ-провайдеру на час виконання цього запиту. Більшість ШІ-провайдерів (Anthropic, OpenAI, Google) обробляють запити у США відповідно до договірних зобов'язань щодо захисту даних та, де це застосовно, Рамкової угоди про конфіденційність даних між ЄС і США (EU–US Data Privacy Framework) або Стандартних договірних умов (SCCs). Після повернення перекладу жодна копія вашого контенту не залишається у провайдера, за винятком їхнього короткострокового операційного логування — дивіться політику конфіденційності кожного провайдера для отримання детальної інформації.
Шифрування
- Під час передачі — TLS 1.2 або вище для кожного з'єднання між вашим браузером, нашими серверами та ШІ-провайдерами. Тільки HTTPS; HTTP перенаправляється.
- Під час зберігання — база даних і дискове сховище зашифровані за допомогою AES-256.
- Резервні копії — зашифровані під час зберігання, зберігаються 30 днів, потім перезаписуються.
- Автентифікація — вхід без пароля за допомогою короткострокових одноразових кодів на електронну пошту або Google OAuth. Ми не зберігаємо паролі. Токени сесій зберігаються в локальному сховищі вашого браузера.
Хто має доступ до ваших даних
Доступ до продакшену обмежений невеликою кількістю визначених операторів (наразі це двоє співзасновників), які проходять автентифікацію за допомогою SSH-ключів із веденням журналу аудиту. Доступ до контенту клієнтів не здійснюється під час рутинних операцій.
Щоб розслідувати проблему з перекладом або інший запит до служби підтримки, ми запитуємо дозвіл і конкретний документ, перш ніж відкривати його. Доступ до акаунтів користувачів через панель адміністратора логується та підлягає аудиту; чутливі дії (зміна ролей, імплементація від імені користувача, коригування слів) записуються в постійний журнал аудиту.
ШІ-провайдери та навчання
Запити на переклад надсилаються одному з наступних провайдерів, залежно від обраної вами моделі:
- Anthropic — моделі сімейства Claude, через Anthropic API. Комерційний API Anthropic не навчається на вхідних або вихідних даних клієнтів.
- OpenAI — моделі сімейства GPT, через OpenAI API. Дані OpenAI API за замовчуванням не використовуються для навчання моделей для клієнтів API.
- Google — моделі сімейства Gemini, через Vertex AI / Gemini API. Дані клієнтів, надіслані через ці API, не використовуються для навчання базових моделей Google.
- Groq — моделі сімейства Llama та інші моделі, розміщені на Groq для швидкого інференсу. API Groq не навчається на даних клієнтів.
- OpenRouter — шлюз до додаткових моделей. Умови базового провайдера відрізняються залежно від моделі. Для робочих навантажень, де важлива відмова від навчання, закріпіть ваші переклади за відомим провайдером (Anthropic, OpenAI або Google).
Жоден із цих провайдерів не навчається на вашому контенті в рамках рівнів API, які ми використовуємо. Сам Transept не запускає базові моделі, не донавчає їх на даних клієнтів і не зберігає промпти або результати для будь-яких цілей навчання.
Субпроцесори
Повний список третіх сторін, які можуть обробляти ваші дані від нашого імені — назви, регіон, роль і дата останнього перегляду DPA — знаходиться за посиланням /subprocessors. Короткий огляд:
- ШІ-переклад — Anthropic (США), OpenAI (США), Google / Vertex AI (США, доступні регіони ЄС), Groq (США), OpenRouter (США). Дивіться вище.
- Hetzner Online GmbH (Німеччина, ЄС) — хостинг застосунку та бази даних.
- Stripe, Inc. (США / Ірландія) — виставлення рахунків за підпискою та одноразові покупки. Ми ніколи не бачимо і не зберігаємо повні номери карток; Stripe обробляє всі дані карток відповідно до стандарту PCI DSS Level 1.
- PostHog (хостинг у ЄС) — необов'язкова продуктова аналітика, яка завантажується лише за вашою чіткою згодою на збір аналітики (згода для кожного відвідувача).
- Customer.io (робочий простір у ЄС) — транзакційні листи (коди для входу, сповіщення облікового запису, квитанції про оплату) та — лише за вашою чіткою згодою на маркетингові розсилки — листи з оновленнями продукту.
- Google Tag Manager + Google Ads (США) — аналітика та вимірювання конверсій реклами, що завантажуються лише за вашою чіткою згодою та контролюються через Consent Mode v2.
- Meta Platforms (США) — Pixel + Conversions API для вимірювання конверсій реклами, що завантажуються лише за вашою чіткою згодою на маркетингові розсилки.
Суттєві зміни до цього списку (новий субпроцесор, зміна регіону) будуть позначені на цій сторінці та за посиланням /subprocessors до того, як вони набудуть чинності для нової обробки даних.
Відповідність стандартам та сертифікації
Transept — молода компанія. Ми дотримуємося основних зобов'язань наведених нижче стандартів, але ще не маємо сертифікацій від третіх сторін. Ми відкрито говоримо про те, що у нас є, а чого немає.
- GDPR (ЄС) та UK GDPR — так. Ми дотримуємося вимог як контролер даних для даних облікового запису та використання, і як обробник даних для контенту, який ви надсилаєте. Ми забезпечуємо повний набір прав суб'єктів даних, зберігання контенту на території ЄС, сповіщення про витоки даних протягом 72 годин та надання DPA за запитом.
- CCPA / CPRA (Каліфорнія) та закони про конфіденційність інших штатів США — так. Ми поважаємо право знати, право на видалення, право на виправлення та право відмовитися від продажу або поширення даних для всіх резидентів США (ми не продаємо персональні дані).
- SOC 2 — ще ні. Ми дотримуємося практик, узгоджених із SOC 2, щодо контролю доступу, шифрування, управління змінами та реагування на інциденти, але ще не проходили аудит Type 1 або Type 2.
- ISO 27001 — не сертифіковано.
- HIPAA — Transept не є платформою, сумісною з HIPAA. Не надсилайте захищену медичну інформацію.
- PCI DSS — платіжні дані обробляються компанією Stripe (PCI DSS Level 1). Ми ніколи не бачимо і не зберігаємо повні реквізити карток.
Угода про обробку даних (DPA)
Для бізнес-клієнтів ми надаємо Угоду про обробку даних за запитом. Вона охоплює наші зобов'язання як обробника згідно зі статтею 28 GDPR — включно з розкриттям інформації про субпроцесорів, заходами безпеки, запитами суб'єктів даних та сповіщеннями про витоки.
Напишіть на [email protected], вказавши email вашого облікового запису та реквізити компанії, щоб зробити запит на DPA.
Реагування на інциденти
Якщо нам стане відомо про витік персональних даних, який може становити ризик для ваших прав і свобод, ми:
- Повідомимо постраждалих користувачів без невиправданої затримки та протягом 72 годин, якщо цього вимагає серйозність інциденту згідно зі ст. 33 GDPR.
- Повідомимо відповідний наглядовий орган у разі потреби.
- Поділимося відомою нам інформацією про характер витоку, порушені дані, ймовірні наслідки та кроки, які ми робимо для локалізації та усунення проблеми.
Щодо інцидентів, які впливають на роботу сервісу, але не є витоками даних (перебої, зниження продуктивності), оновлення публікуються через банер у застосунку та надсилаються електронною поштою активним користувачам.
Відповідальне розкриття інформації
Якщо ви знайшли вразливість у Transept, будь ласка, напишіть на [email protected] з деталями. Ми просимо вас:
- Дати нам достатньо часу для розслідування та виправлення перед публічним розкриттям.
- Уникати порушень конфіденційності, знищення даних або перебоїв у роботі сервісу під час тестування.
- Тестувати лише власний обліковий запис або ті облікові записи, до яких ви маєте дозвіл на доступ.
Наразі ми не проводимо платну програму bug-bounty, але ми визнаємо достовірні звіти та — за вашим бажанням — публічно подякуємо автору після випуску виправлення.
Більше інформації
Повний юридичний текст дивіться в нашій Політиці конфіденційності та Умовах використання. З будь-яких питань, не висвітлених тут, пишіть на [email protected].