← Вернуться на главную

Архитектура безопасности

Техническое погружение в то, как TL;2DO защищает ваши данные с помощью дизайна zero-trust и local-first.

📱

Local-First

Обработка происходит в оперативной памяти вашего устройства. Без синхронизации с облачной базой данных.

🔑

Модель BYOK

Ваш собственный ключ (Bring Your Own Key). Вы контролируете доступ к API, а не мы.

🛡️

Отсутствие телеметрии

Мы не знаем, кто вы и что извлекаете.

Наш принцип: без посредников

Большинство AI-приложений для продуктивности работают, проксируя ваши данные: вы отправляете письма на их сервер, они обрабатывают и возвращают результат. Это создаёт огромную цель для безопасности.

TL;2DO — другой. Мы полностью убрали посредника. Приложение работает локально на вашем телефоне и напрямую общается с сервисами, которые вы используете (Gmail, Slack, Gemini). Серверы нашей компании никогда не участвуют в потоке данных.

ТРАДИЦИОННЫЕ AI-ПРИЛОЖЕНИЯ (Рискованный способ) [Ваш телефон] ---> [Сервер компании] ---> [Провайдер LLM] ^ | (Хранит ваши данные для "обучения" или "логов") | (Единая точка отказа для хакеров) ---------------------------------------------------------------- АРХИТЕКТУРА TL;2DO (Безопасный способ) [Ваш телефон] | +---> (Прямой IMAP/HTTPS) ---> [Gmail / Slack / Jira] | ^ | | | (Обработка в памяти) | (Ваши учётные данные) | | +---> (Прямой HTTPS) --------> [Google Gemini / Groq API] ^ | (Ваш API-ключ) [Серверы Original Device LLC] <--- (Мы НЕ в этом цикле)

Поток данных и хранение

1. Хранение учётных данных

Ваши пароли, API-токены и AI-ключи хранятся с использованием нативного аппаратно-поддерживаемого безопасного хранилища ОС:

  • iOS: Сервисы Keychain (шифрование AES-256, защищено контекстом FaceID/TouchID)
  • Android: Система Android Keystore (аппаратно-поддерживаемый модуль безопасности)

Эти учётные данные никогда не покидают ваше устройство. Они извлекаются в память только на долю секунды, необходимую для аутентификации сетевого запроса.

2. Жизненный цикл обработки (только RAM)

Когда вы запускаете задачу извлечения:

  1. Приложение получает сообщения напрямую из источника (например, Slack) в оперативную память (RAM).
  2. Текст предварительно обрабатывается (удаление PII, очистка HTML) в RAM.
  3. Промпт отправляется в Google Gemini / Groq API через зашифрованное HTTPS-соединение.
  4. Результат получен и разобран.
  5. Оригинальные тела сообщений немедленно удаляются из памяти (если вы явно не откроете представление «Детали треда»).

3. Персистентность

Мы сохраняем метаданные (ID тредов, временные метки, темы) и сгенерированный список задач в локальную базу данных SQLite на вашем телефоне. Эта база данных изолирована в приватной области хранения приложения и недоступна другим приложениям.

Полная прозрачность

Содержимое ваших писем отправляется в Google Gemini / Groq для AI-анализа.

Это текущая реальность AI-технологий. AI-модели на устройстве ещё недостаточно мощны для точного извлечения задач. Чтобы предоставить полезные результаты, мы должны использовать облачные LLM-сервисы.

Это означает, что Google может видеть содержимое писем, которые вы выбираете для анализа. Хотя у Google есть собственные политики конфиденциальности, мы не можем гарантировать, что произойдёт с вашими данными после того, как они достигнут их серверов.

Мы хотели бы предложить полностью локальную AI-обработку, но технология ещё не готова. Когда мощные модели на устройстве станут доступны, мы их примем.

Конфиденциальность AI и обучение

Обучает ли Google на моих данных?

Нет. TL;2DO использует Google Gemini / Groq API (протоколы Vertex AI / Studio). Согласно Политике корпоративных данных Google, данные, отправленные через API, не используются для обучения их базовых моделей.

Поскольку вы используете свой собственный API-ключ (BYOK), вы являетесь зарегистрированным клиентом Google. Это даёт вам гарантии конфиденциальности корпоративного уровня, которые не предлагают потребительские «бесплатные» чат-боты.

Часто задаваемые вопросы

Что произойдёт, если я потеряю телефон?

Поскольку данные хранятся локально, они защищены так же надёжно, как экран блокировки вашего телефона. Если ваш телефон зашифрован (стандарт для современных iOS/Android) и заблокирован, ваши данные недоступны. Удалённое стирание телефона уничтожает данные навсегда.

Могут ли ваши сотрудники видеть мои письма?

Абсолютно нет. У нас нет технической возможности получить доступ к вашим данным. У нас нет панели администратора «режим бога», потому что у нас нет базы данных вашего контента.

Как вы зарабатываете, если не продаёте данные?

Мы взимаем простую абонентскую плату ($1/месяц). Мы — софтверный бизнес, а не бизнес данных. Вы — клиент, а не продукт.

Зачем вам нужны разрешения на «Чтение» для Gmail?

Чтобы резюмировать ваши письма, приложение должно иметь возможность загружать их на ваше устройство. Это разрешение используется строго для функциональной цели приложения и никогда не злоупотребляется.