ЮРИДИЧЕСКАЯ ИНФОРМАЦИЯ
Политика конфиденциальности
Какие данные нужны Best2FA, какие данные мы принципиально не можем прочитать и как ими управлять.
1. Область действия
Эта политика применяется к best2fa.com, web vault и официальным расширениям Best2FA для Chrome и Edge. Оператор сервиса обозначен здесь как «Best2FA». По вопросам приватности напишите на support@best2fa.com.
2. Данные аккаунта
Мы обрабатываем email, получаем отдельный выведенный на клиенте authentication credential и храним только его Argon2id-хэш, а также обрабатываем публичные данные passkey, состояние сессий и устройств, одноразовые хэши recovery codes, timestamps и минимальные security audit events. Настоящий пароль не отправляется серверу: на устройстве он используется в независимых Argon2id-контекстах для локальной обёртки VMK и вывода фиксированного authentication credential.
3. Зашифрованный vault
OTP secret, issuer, account, PIN, заметки и домены шифруются на устройстве до отправки. Сервер получает ciphertext, nonce, версии формата, позицию, revision, sync sequence, tombstone и HOTP moving factor. Best2FA не имеет ключа, способного расшифровать содержимое.
4. Технические данные
Для защиты от злоупотреблений кратковременно обрабатываются IP-адрес и User-Agent; в audit-хранилище они заменяются необратимыми keyed hashes. Логи исключают bodies, cookies, Authorization, пароли, токены, ciphertext и hostname активной вкладки.
5. Email и поставщики
Email используется для подтверждения адреса, сброса пароля и security notices. Production SMTP, хостинг и backup-провайдеры выступают обработчиками только необходимых им данных. Их актуальный список публикуется до публичного запуска.
6. Сроки хранения
Аккаунт хранится до удаления. Отозванные сессии и токены очищаются по operational retention. Tombstone OTP-объекта хранится 30 дней. Backup хранится 30 дней и удаляется по циклу. Security audit events имеют ограниченный срок, определённый эксплуатационной политикой.
7. Ваш контроль
В Settings можно просмотреть и отозвать сессии, passkey и расширения, сменить пароль, обновить Recovery Kit и удалить аккаунт. Запросы на доступ или исправление account data принимаются по support@best2fa.com. Зашифрованный payload доступен только после локальной разблокировки.
8. Удаление и потеря доступа
Удаление аккаунта запускает удаление active data и последующее истечение backup. Если утрачены пароль, passkey и Recovery Kit, поддержка не восстанавливает vault. После email-подтверждения и семидневного периода отмены можно только уничтожить старый vault и начать настройку нового пустого vault с новым обязательным passkey и Recovery Kit.
9. Обновления
Существенные изменения политики сообщаются в сервисе или по email до вступления в силу. Дата редакции: 17 июля 2026 года.