Politica de Confidențialitate

Ultima actualizare: 2026-05-29

1. Operatorul de date

TODO_LEGAL_NAME, TODO_FULL_ADDRESS, TODO_VAT_OR_UID, email: TODO_PRIVACY_EMAIL.

2. Datele pe care le colectăm

2.1 Date colectate la pairing TV (Art. 6(1)(b) GDPR — executarea contractului)

• Adresa MAC a televizorului — identificator hardware persistent, calificat drept date personale conform Opiniei 4/2007 a Article 29 Working Party și jurisprudenței CJUE Breyer C-582/14. Folosită exclusiv pentru a asocia dispozitivul cu licența cumpărată și pentru a livra modificările criptate.
• Hash bcrypt al Device Key-ului (cheie de 8 caractere generată local pe TV și niciodată trimisă în clar către serverul nostru).
• Timestamp-uri tehnice (`created_at`, `updated_at`, `last_seen`).

2.2 Date colectate la încercări de pairing (Art. 6(1)(f) GDPR — interes legitim anti-fraudă)

• Adresa IP a încercării — calificată drept date personale conform CJUE Breyer C-582/14. Auto-șters după 24 de ore.
• MAC-ul țintă, rezultatul (reușit/eșuat), timestamp.

Aceste date sunt minime, păstrate scurt timp și nu sunt folosite pentru profilare, publicitate sau orice scop secundar.

2.3 Date colectate la cumpărarea unei licențe (opțional)

• Email, nume/companie, țara (pentru calculul TVA).
• Date de plată — procesate exclusiv de Stripe (nu stocăm numere de card pe serverele noastre).
• Identificator unic de dispozitiv pentru activarea licenței.

2.4 Date pe care NU le colectăm

• URL-urile playlist-urilor tale (M3U, Xtream)
• Credențialele Xtream (user/parolă către serverele furnizorului tău)
• Conținutul, titlurile sau lista filmelor / canalelor pe care le vezi
• Istoricul de vizionare
• Date demografice, comportamentale sau profilare

3. Criptare end-to-end (zero-knowledge)

Schimbările pe care le faci din browser (de exemplu: „adaugă playlist X cu URL Y") sunt criptate AES-GCM 256-bit în browser-ul tău cu o cheie derivată din Device Key-ul TV-ului (PBKDF2-SHA256, 100 000 iterații, salt criptografic random per-device stocat alături). Serverele noastre primesc doar bytes opaci pe care nu îi pot decripta — cheia nu ajunge niciodată la noi. TV-ul tău decriptează local cu același Device Key și aplică schimbarea, apoi confirmă serverului ștergerea blob-ului criptat. Aceeași arhitectură folosită de Signal pentru mesagerie.

4. Operator cu capacitate tehnică limitată de procesare

Pentru blob-urile criptate AES-GCM 256-bit care tranzitează prin infrastructura noastră, ne aflăm într-o poziție tehnică unică: deși le stocăm temporar pe serverele noastre (Supabase Frankfurt, EU), nu deținem cheia de decriptare. Cheia este derivată local din Device Key-ul utilizatorului și nu părăsește niciodată dispozitivul.

În consecință:

• Suntem operatori de date pentru: MAC, hash bcrypt, IP-uri de pairing, timestamp-uri, email + țară (la cumpărare), Stripe customer ID.
• Pentru conținutul blob-urilor (playlist URL-uri, credențiale Xtream introduse de utilizator), suntem în imposibilitate matematică de a-l accesa, similar modelului folosit de Signal pentru mesagerie criptată end-to-end.

Implicații pentru cererile autorităților:

Dacă primim o cerere legală validă (ordin judecătoresc, decizie administrativă) privind activitatea unui utilizator, putem furniza exclusiv metadata stocată la noi (MAC, hash, IP-uri, timestamp-uri). Conținutul efectiv al playlist-urilor sau credențialele Xtream sunt indecodificabile și pentru noi.

Implicații pentru drepturile tale GDPR:

Dreptul de acces (Art. 15), portabilitate (Art. 20) și ștergere (Art. 17) îți este asigurat pentru metadata. Pentru blob-urile criptate, ștergerea se realizează prin revocarea Device Key-ului tău (clear storage pe TV → re-pairing), ceea ce face conținutul permanent indecodificabil.

5. Scopul prelucrării (baza legală GDPR)

• Art. 6(1)(b) — executarea contractului (pair TV-ul cu site-ul, livrarea licenței).
• Art. 6(1)(c) — obligații fiscale (facturare).
• Art. 6(1)(f) — interes legitim (rate-limit anti brute-force, securitate).

6. Păstrarea datelor

• Rândul `devices` (MAC + hash + salt) — cât timp TV-ul rămâne pairat. Ștergere prin Clear Storage pe TV.
• Blob-uri criptate `pending_changes` — auto-șters după livrare către TV, maxim 24h.
• Log de încercări de autentificare — auto-șters după 24h.
• Date de facturare — 10 ani (obligație fiscală UE/CH/RO).
• Cheia de licență (după cumpărare) — cât timp licența e activă + 12 luni.

7. Localizarea serverelor

Datele sunt găzduite exclusiv în Uniunea Europeană:

• Bază de date Postgres — Supabase, regiunea Central EU (Frankfurt, Germania).
• Aplicația web — Vercel, regiuni EU (CDN global doar pentru asset-uri statice publice).
• Procesare plăți — Stripe Payments Europe Ltd. (Dublin, Irlanda).
• Email tranzacțional — Resend (regiuni EU).

Niciun transfer de date personale în afara SEE.

8. Drepturile dumneavoastră (GDPR Art. 15-22)

Drept de acces, rectificare, ștergere („dreptul de a fi uitat"), restricționare, portabilitate, opoziție, retragerea consimțământului, plângere la autoritatea națională de supraveghere. Cerere prin email la TODO_PRIVACY_EMAIL. Răspundem în maxim 30 de zile.

Autoritatea de supraveghere competentă:
TODO_SUPERVISORY_AUTHORITY (set SITE.country in lib/site.ts to one of: RO, CH, DE, AT)
TODO
Web: #

9. Subprocesatori

• Supabase Inc. — bază de date (Frankfurt, DE). DPA + EU SCC.
• Vercel Inc. — hosting aplicație web (EU regions). DPA + EU SCC.
• Stripe Payments Europe Ltd. — procesare plăți (Dublin, IE). Intra-UE, DPA.
• Resend — trimitere email tranzacțional (EU region). DPA.

10. Cookies

A se vedea Politica de Cookie.

11. Securitate (Art. 32 GDPR)

• TLS 1.3 pentru toate transmisiile.
• Device Key bcrypt cu cost 10.
• AES-GCM 256 cu PBKDF2 (100k iterații) + salt random per-device.
• Cookie de sesiune semnat HMAC-SHA256, HttpOnly + Secure + SameSite=Lax.
• Rate-limit 5 încercări / 10 minute per adresă MAC.
• Row Level Security activată la nivelul bazei de date.

12. Modificări

Vă vom anunța în avans (cu minim 30 de zile) prin email și banner pe site dacă schimbăm material această politică. Versiunea curentă: 2026-05-29.