Юридически обязательной версией этого документа является французская. Эта русская версия — перевод для удобства.
Последнее обновление: 2026-07-07
Политика конфиденциальности — Tivera
Версия: 2.1 — ЧЕРНОВИК до релиза Play Store v1.0 (модель Free + Premium) Дата вступления в силу: 2026-07-07 Язык оригинала: французский — юрисдикция ответственного за обработку: Марокко (Loi 09-08, орган CNDP; GDPR применяется экстерриториально — ст. 3.2 — к пользователям, проживающим в ЕС/ЕЭЗ/Великобритании) Издатель: Mitchou, физическое лицо по марокканскому праву (независимый издатель). Адрес: Tralles, rue Essanaouabar, Casablanca, Maroc.
⚠️ Черновик подлежит проверке юристом (защита данных: Loi 09-08 / CNDP + GDPR/ePrivacy) до окончательной публикации. Французская версия имеет преимущественную силу; остальные языки являются переводами, предоставленными для удобства.
Кратко (TL;DR)
Tivera — это BYOC-плеер IPTV (Bring Your Own Content — «принеси свой контент») на Android (смартфон + ТВ). Ты импортируешь свои собственные потоки (M3U / Xtream Codes / EPG XMLTV); мы не размещаем никакого контента.
- Персональные данные, собираемые в коммерческих целях: никакие. Никакой перепродажи, никакой торговли данными.
- Диагностическая телеметрия (отчёты о сбоях + анонимизированная статистика использования + журнал производительности): отправляется только на наш собственный сервер, размещённый у нас самих (
api.tivera.tv), никогда третьим лицам. Firebase Crashlytics и Firebase Analytics были удалены — больше никакие сбои и никакая аналитика не отправляются в Google. За пределами ЕС/ЕЭЗ/Великобритании этот канал активен по умолчанию (законный интерес) и может быть отключён в любой момент (Настройки → Конфиденциальность → Диагностические данные). В ЕС/ЕЭЗ/Великобритании он остаётся отключённым до твоего явного согласия. - Передача третьим лицам: только Google AdMob (режим Free: реклама, рекламный идентификатор AAID) и Google Play Billing (режим Premium: оплата подписки). Облачная синхронизация Premium (профили/избранное/история) идёт на наш собственный сервер, а не третьим лицам.
- Локальное зашифрованное хранение: SQLCipher AES-256 + Google Tink AEAD (учётные данные Xtream).
- Ноль аккаунтов для просмотра твоих потоков. Аккаунт нужен только для Premium / облачной синхронизации / управления устройствами.
1. Ответственный за обработку данных (GDPR ст. 13.1.a)
| Поле | Значение |
|---|---|
| Издатель | Mitchou (физическое лицо по марокканскому праву, независимый издатель) |
| Коммерческое наименование приложения | Tivera |
| Android-пакет | com.mitchou.tivera |
| Email для общих вопросов | contact@tivera.tv |
| Email по конфиденциальности | privacy@tivera.tv |
| Email DMCA | dmca@tivera.tv (см. Политику DMCA) |
| Почтовый адрес | Tralles, rue Essanaouabar, Casablanca, Maroc |
| Официальный DPO | Не требуется (GDPR ст. 37: независимый издатель, < 250 сотрудников, отсутствие крупномасштабной обработки чувствительных данных) |
| Представитель в ЕС (GDPR Art. 27) | В процессе назначения до общего запуска для широкой публики в ЕС. В этот период резиденты ЕС/ЕЭЗ реализуют все свои права напрямую через Издателя по адресу privacy@tivera.tv; контактные данные представителя будут опубликованы здесь и в приложении сразу после его назначения. |
| Применимая юрисдикция | Марокко — Loi 09-08 о защите физических лиц в отношении обработки персональных данных, под контролем CNDP. GDPR (ЕС 2016/679) применяется экстерриториально (ст. 3.2) к пользователям ЕС/ЕЭЗ/Великобритании. |
Обязательный срок ответа на любой запрос GDPR / CCPA: 30 дней (GDPR ст. 12.3) / 45 дней (CCPA).
2. Природа приложения (GDPR ст. 13.1.c)
Tivera — это универсальный BYOC-плеер IPTV, распространяемый через Google Play Store (а также прямой загрузкой APK).
2.1 Чем Tivera ЯВЛЯЕТСЯ
- Плеером мультимедийных потоков (видео / аудио), которые ты приносишь сам.
- Локальным органайзером твоих источников (URL M3U, учётные данные Xtream Codes API, URL EPG XMLTV).
- Локальным инструментом диагностики (Quality Scanner) + локальным рекордером (DVR) по твоему запросу.
- Доступным в двух тарифах: Free (с рекламой) или Premium (по подписке, без рекламы, с дополнительными функциями).
2.2 Чем Tivera НЕ ЯВЛЯЕТСЯ
- Не сервисом распространения контента (ноль предзагруженных каналов, ноль каталога).
- Не сервисом алгоритмических рекомендаций.
- Не сервисом хранения контента. Облачная синхронизация Premium (профили, избранное, история, выбранные настройки) использует наш собственный сервер, размещённый у нас самих
api.tivera.tv, и синхронизирует только лёгкие метаданные (название профиля, аватар, детский флаг, зашифрованный PIN, непрозрачные идентификаторы контента) — никогда твои потоки и учётные данные твоих источников. - Не техническим посредником: ты связываешься напрямую с сервером, который выбираешь.
Ты единолично несёшь ответственность за потоки, которые импортируешь, и за их соответствие применимому авторскому праву (см. Условия использования + Политику DMCA).
2.3 Различия Free и Premium в части данных
| Аспект | Free | Premium |
|---|---|---|
| Данные, собираемые по умолчанию | Никакие | Никакие |
| Реклама AdMob (баннер + нативная + rewarded) | Да (бизнес-модель) | Нет |
| AAID (рекламный идентификатор Android), читаемый AdMob/Google | Да (управляется Google Play Services) | Нет |
| SDK UMP (согласие на рекламу ЕС/GDPR) | Да (при первом запуске в ЕС) | Неприменимо |
Диагностическая телеметрия, размещённая у нас (api.tivera.tv) | За пределами ЕС: активна по умолчанию (opt-out) · ЕС/ЕЭЗ/Великобритания: opt-in | Идентично |
| Firebase Analytics / Crashlytics | Удалены (больше не используются) | Удалены |
| Play Billing (токены покупок) | Неприменимо | Да |
3. Обрабатываемые данные
3.1 Данные, вводимые пользователем — хранятся только локально
Все эти данные остаются на твоём устройстве. Никакие из них не передаются Mitchou или третьим лицам при обычном использовании.
- URL M3U / плейлист: SQLCipher AES-256. Просмотр твоих потоков. Правовое основание GDPR 6.1.b (исполнение договора). Срок: до ручного удаления / деинсталляции.
- Учётные данные Xtream Codes (host, user, password): Google Tink AEAD (мастер-ключ Android Keystore TEE/StrongBox) поверх SQLCipher, AAD привязан к источнику (защита от cell-swap). Подключение к твоей панели. Правовое основание GDPR 6.1.b.
- URL EPG XMLTV + сопоставления с каналами: SQLCipher AES-256 (Tink AEAD, если в URL есть Basic Auth). Программа передач. Правовое основание GDPR 6.1.b.
- История просмотра (позиция возобновления): SQLCipher AES-256. «Continue Watching». Правовое основание GDPR 6.1.b.
- Избранное: SQLCipher AES-256. Персонализация интерфейса. Правовое основание GDPR 6.1.b.
- Записи DVR (
.ts) + офлайн-загрузки VOD (Premium): scoped storage, без шифрования. Отложенный/офлайн-просмотр по твоему запросу. Правовое основание GDPR 6.1.b. - Родительский PIN из 4 цифр: Tink AEAD (AAD
parental-pin-v1). Блокировка контента для взрослых. Правовое основание GDPR 6.1.b. - Настройки интерфейса (язык, тема, качество): DataStore Proto, нечувствительные. Правовое основание GDPR 6.1.f (законный интерес).
3.2 Данные, собираемые приложением автоматически
- AAID (рекламный идентификатор Android): Free = да, читается Google Play Services при показе рекламы AdMob. Premium = нет.
- IP-адрес: полезная нагрузка телеметрии не содержит твой IP-адрес как данное. Он остаётся видимым на уровне транспорта для любого сервера, получающего запрос: (a) сервер Xtream/EPG, который ты настраиваешь, (b) Google, когда срабатывает AdMob в режиме Free, (c) наш сервер
api.tivera.tv(+ Cloudflare в транзите), когда телеметрия активна или когда ты используешь свой аккаунт. IP-адреса, которые могут регистрироваться на стороне сервера, регистрируются строго на необходимый срок для целей безопасности и диагностики, после чего удаляются. - Точная геолокация: нет. Приблизительная (выведенная из IP): не Tivera (AdMob может определять страну по IP в режиме Free).
- Контакты / SMS / звонки: нет (разрешения не заявлены). Микрофон / камера: нет (камера используется только для сканирования QR-кода сопряжения, на 100 % на устройстве, никакое изображение не передаётся). IMEI / серийный номер / MAC: нет.
- Android ID (
Settings.Secure.ANDROID_ID): читается только при активной диагностической телеметрии (см. 3.4), никогда не передаётся в открытом виде. Он служит для получения через одностороннее хеширование SHA-256, специфичное для приложения, псевдонимного технического идентификатора устройства — стабильного для каждого устройства: он сохраняется при переустановке приложения и очистке его данных (сбрасывается только при factory-reset), и это не аппаратный идентификатор (программный идентификатор app-scope).
3.3 Технические данные, неизбежно передаваемые серверам, которые ты настраиваешь
Когда ты импортируешь панель Xtream или URL M3U/EPG, твои запросы уходят с твоего устройства на сервер, который ты выбрал (ни Mitchou, ни Tivera). Этот сервер неизбежно получает твой IP, твои учётные данные Xtream и твой User-Agent. У нас нет никакого контроля над его политикой конфиденциальности — ознакомься с ней, прежде чем доверять ему свои учётные данные.
3.4 Диагностическая телеметрия, размещённая у нас (api.tivera.tv)
Для исправления ошибок и повышения стабильности Tivera собирает техническую диагностическую телеметрию, отправляемую только на наш собственный сервер api.tivera.tv (PocketBase, инфраструктура Издателя, Марокко / CNDP) — никогда третьим лицам.
Три канала: (1) Отчёты о сбоях (crash_reports): stacktrace + фрагмент технического журнала в момент сбоя; (2) Анонимизированная статистика использования (app_events): открытие экрана (маршрут), начало сессии, запуск воспроизведения — никаких URL, никаких названий каналов; (3) Ежедневный журнал производительности (≤ 125 КБ/24 ч): внутренние измерения (например, время холодного запуска) + класс устройства (Build.MANUFACTURER + MODEL, например «Samsung SM-S911B» — класс устройства, а не персональное данное) + версия приложения/Android + платформа.
Идентификатор: каждая отправка привязывается к псевдонимному техническому идентификатору устройства (см. 3.2) — стабильному для каждого устройства, он сохраняется при переустановке приложения и очистке данных. Это не твоя личность.
Модель согласия (в зависимости от региона):
| Регион | Состояние по умолчанию | Правовое основание | Как отозвать |
|---|---|---|---|
| За пределами ЕС / ЕЭЗ / Великобритании | Активна по умолчанию (opt-out) | Законный интерес (GDPR ст. 6(1)(f)): внутренняя диагностика, минимизированная, размещённая у нас | Право на возражение (ст. 21): Настройки → Конфиденциальность → Диагностические данные: OFF (мгновенный эффект) |
| ЕС / ЕЭЗ / Великобритания | Отключена по умолчанию | Согласие (GDPR ст. 6(1)(a)) — требуется, поскольку чтение ANDROID_ID подпадает под ст. 5(3) Директивы ePrivacy 2002/58/CE (и её национальные транспозиции) | Отказаться или отозвать (ст. 7(3)) через тот же переключатель |
Канал никогда не активен до возрастного барьера (подтверждение 13+, см. § 7). Отзыв (переключатель OFF) немедленно очищает непереданные отправки, ожидающие в очереди.
Минимизация: всё содержимое проходит через фильтры SecretRedactor + UrlRedactor на стороне клиента, до любой отправки (URL, учётные данные, токены Bearer, IBAN, длинные шестнадцатеричные строки ≥ 32 символов удаляются), идентификаторы каналов хешируются/усекаются, а полезная нагрузка ограничена 125 КБ.
Никогда не передаётся: никаких имён / email / телефонов; никаких твоих источников, каналов или истории; никакого AAID; никакой рекламы, никакой перепродажи.
Обработчик данных: отсутствует — api.tivera.tv является сервером, размещённым самим Издателем, а не третьим лицом по обработке данных. Cloudflare обеспечивает только сетевой транзит + TLS (без хранения). Зашифровано при передаче (HTTPS). Срок хранения: 90 дней (автоматическая очистка на стороне сервера). Этот сервер находится в Марокко (см. § 9).
3.5 Firebase Crashlytics / Analytics + GlitchTip/Sentry — УДАЛЕНЫ
Firebase Crashlytics, Firebase Analytics и канал GlitchTip/Sentry больше не используются приложением. Они принудительно отключены при запуске во всех сборках (debug / release / beta). Больше никакие отчёты о сбоях и никакая статистика использования не передаются в Google или каким-либо третьим лицам для этих целей. Функция диагностики теперь полностью обеспечивается размещённым у нас каналом, описанным в 3.4.
Примечание: Google AdMob (Free — § 3.6) и Google Play Billing (Premium — § 3.7) являются отдельными сервисами Google, не затронутыми этим удалением; они остаются заявленными.
3.6 Google AdMob (только режим Free)
В тарифе Free приложение показывает рекламу через SDK Google Mobile Ads (AdMob). Форматы: адаптивный баннер 320×50 dp внизу экрана, нативная реклама в разделе Browse, rewarded (opt-in) для дополнительного сканирования Quality Scanner. Никакой рекламы на Android TV / Leanback.
Данные, передаваемые в Google через SDK AdMob — в персонализированном режиме (согласие ЕС дано): AAID, IP, User-Agent, модель устройства, пакет + версия, ad unit ID, история просмотренной рекламы (частота), выведенные интересы, прошлые взаимодействия. В неперсонализированном режиме (согласие отклонено): анонимизированный AAID, IP (грубое таргетирование по стране), User-Agent, модель, пакет + версия, ad unit ID — без истории, без когорт, без прошлых взаимодействий.
UMP SDK: при первом запуске, определённом в ЕС, диалог Google UMP собирает твоё согласие на персонализированную рекламу (принять = персонализированная; отклонить = неперсонализированная). Полное отключение AdMob: перейти на Premium. Никакого детального переключателя AdMob в режиме Free (бизнес-модель).
Обработчик данных: Google LLC. Срок хранения: согласно политике Google (обычно ~14 месяцев для рекламных когорт).
3.7 Google Play Billing (только режим Premium)
Когда ты оформляешь подписку на тариф Premium (ежемесячная подписка 3,99 USD / годовая 24,99 USD с бесплатным пробным периодом 7 дней на годовой). Никакая окончательная покупка «навсегда» не предлагается.
- Данные, управляемые Google Play (никогда не видимые Tivera): способ оплаты (карта, PayPal, Google Pay, оператор), платёжный адрес.
- Данные, получаемые Tivera: токен покупки (purchase token, непрозрачное доказательство) + статус подписки (активна / отменена / grace period) через BillingClient.
- Хранится локально в Tivera: статус Premium (булево значение, DataStore) + purchase token (Tink AEAD, AAD
play-billing-v1) для периодической повторной валидации.
Никакие платёжные данные (номер карты, CVV, срок действия) никогда не обрабатываются, не просматриваются и не хранятся Tivera. Отмена: Google Play Store → Подписки → Tivera → Отменить. Возвраты: стандартная политика Google Play (48 ч для подписок) — запрос через Google Play, а не через Tivera.
3.8 Профили пользователя + облачная синхронизация Premium (profiles)
Tivera позволяет создавать несколько профилей в одном аккаунте (избранное и история для каждого профиля, опциональный ограниченный профиль). Профили хранятся локально (Room SQLCipher AES-256) и, только если ты являешься подписчиком Premium и включил облачную синхронизацию, синхронизируются с нашим собственным сервером через коллекцию profiles (api.tivera.tv).
Данные, синхронизируемые по профилю (только Premium + активная синхронизация): name (название — потенциально персональное, если ты укажешь реальное имя; рекомендация: используй псевдоним, особенно для детского профиля), avatarId (индекс нейтральной иллюстрации), isKids (флаг фильтрации, выбранный владельцем, НЕ заявление о возрасте), pinCiphertext (PIN, зашифрованный Google Tink AES-256-GCM, никогда не расшифровывается на стороне сервера). Никакая дата рождения не собирается. Избранное и история теперь по профилю; никакой поток, никакое название канала/фильма/сериала, никакой идентификатор Xtream не передаётся на api.tivera.tv (идентичность контента = непрозрачный SHA-256). Обработчик данных: отсутствует; синхронизация opt-in (Premium, включается/отключается в Настройках).
3.9 Аккаунт Tivera (email + код OTP)
Аккаунт необязателен. Аккаунт не требуется для использования приложения в режиме Free (импортировать твои источники, смотреть твои потоки, сканировать твои каналы). Ты создаёшь аккаунт только для того, чтобы разблокировать Premium, включить облачную синхронизацию, управлять устройствами или ввести промокод.
- Email-адрес: предоставляется тобой; вход по одноразовому коду (OTP) (без пароля). Передаётся на наш собственный сервер
api.tivera.tv(Марокко / CNDP) и хранится там для идентификации твоего аккаунта (право на Premium, список устройств, промокоды). Правовое основание: GDPR 6.1.b (исполнение договора). Обработчик данных: отсутствует; зашифровано при передаче. Срок хранения: до удаления твоего аккаунта (см. § 5 + § 10). Твой email никогда не используется для рекламы, никогда не перепродаётся, никогда не передаётся брокерам.
4. Получатели данных (GDPR ст. 13.1.e)
| Получатель | Затрагиваемые данные | Цель | Расположение |
|---|---|---|---|
| Ты сам (на твоём устройстве) | 100 % введённых данных | Использование приложения | Локально |
| Серверы IPTV/EPG, которые ты настраиваешь | Учётные данные Xtream + IP + User-Agent | Аутентификация + просмотр | Различное (твой выбор) |
Собственный сервер api.tivera.tv — Аккаунт (Издатель, не третье лицо) | Email аккаунта (OTP) — необязательно | Управление аккаунтом / право на Premium / синхронизация / устройства / промокоды | Марокко / CNDP |
Собственный сервер api.tivera.tv — Телеметрия (Издатель, не третье лицо) | Stacktraces + статистика использования (маршруты экранов) + журнал производительности + класс устройства + псевдонимный идентификатор | Диагностика / стабильность | Марокко / CNDP |
| УДАЛЁН — больше нет передачи в Google для этих целей (см. 3.5) | — | — | |
| Google AdMob (Free) | AAID + IP + устройство + ad unit ID + когорты (в персонализированном режиме) | Показ рекламы | США + ЕС (SCC + DPF) |
| Google Play Billing (Premium) | Purchase token (без банковских данных) | Валидация подписки | Google (глобально) |
Собственный сервер api.tivera.tv — Облачная синхронизация (Издатель, не третье лицо) | Профили (название, аватар, детский флаг, зашифрованный PIN) + избранное + история по профилю (идентичность контента — непрозрачный SHA-256) | Синхронизация между устройствами | Марокко / CNDP |
| Cloudflare | Сетевой транзит (CDN + Tunnel + WAF) — видит IP/заголовки, не хранит никаких персональных данных | Маршрутизация + сетевая безопасность | Многонациональная (DPA) |
Никакой продажи данных брокерам или агрегаторам. Никакой передачи в рекламных целях, кроме Google AdMob (только Free).
5. Твои права (GDPR ст. 13.2.b + ст. 15–22 + CCPA/CPRA)
5.1 Права GDPR (резиденты ЕС / ЕЭЗ / Великобритании)
- Доступ (ст. 15): твои локальные данные находятся на твоём устройстве (Настройки → Источники / Внешний вид…). Данные аккаунта: машинный экспорт (email, право на Premium, устройства, счета, профили, избранное + история по профилю, журналы, касающиеся тебя) — по запросу на
privacy@tivera.tv. - Исправление (ст. 16): непосредственно в приложении (Настройки → Источники → Изменить); email аккаунта можно изменить или подать запрос на
privacy@tivera.tv. - Ограничение (ст. 18): отключи телеметрию (переключатель «Диагностические данные», Настройки → Конфиденциальность).
- Переносимость (ст. 20): Настройки → Помощь → Отправить диагностический отчёт (читаемый ZIP); экспорт аккаунта по запросу на
privacy@tivera.tv. - Возражение (ст. 21): за пределами ЕС/ЕЭЗ/Великобритании телеметрия основана на законном интересе → ты можешь возразить в любой момент через переключатель «Диагностические данные», без ухудшения обслуживания. В ЕС/ЕЭЗ/Великобритании этот канал в любом случае отключён до твоего согласия.
- Автоматизированное решение (ст. 22): никакого профилирования и автоматизированных решений. Движки recovery/scanner используют технические эвристики — никакого машинного обучения / ИИ в смысле Регламента ЕС 2024/1689 (EU AI Act).
Удаление аккаунта и стирание твоих данных (ст. 17)
- Локальные данные: Настройки → Очистить кэш удаляет каналы/EPG/записи/загрузки (учётные данные Xtream сохраняются для повторного подключения); удаление приложения стирает всё (
/data/data/com.mitchou.tivera/). - Диагностическая телеметрия: отключение переключателя «Диагностические данные» немедленно очищает отправки в очереди; для стирания данных, уже переданных на
api.tivera.tv, напиши наprivacy@tivera.tv, указав свой технический идентификатор устройства (Настройки → Помощь) — удаление в течение 30 дней (и автоматическая очистка через 90 дней). - Синхронизированные профили: удаление профиля в приложении запускает soft-delete (немедленное скрытие, серверная очистка в течение 30 дней).
- Удаление аккаунта (каскад): из приложения или по запросу на
privacy@tivera.tv. Удаление аккаунта каскадно очищает на стороне сервераapi.tivera.tvвсе твои профили (включая детские профилиisKids), твоё избранное и историю по профилю, твои синхронизированные настройки и источники, твоё право на Premium, твои зарегистрированные устройства и твои токены сопряжения, и анонимизирует строки твоего журнала аудита. Твои счета также удаляются. Ты можешь заранее их экспортировать (см. § 5.1), а платёжный провайдер сохраняет свою собственную копию (см. § 10). - Premium: отменить подписку через Google Play, затем удалить приложение.
5.2 Права CCPA / CPRA (резиденты Калифорнии)
Tivera не продаёт данные. Right to Know — собранные категории (за последние 12 месяцев): Identifiers (AAID в режиме Free; псевдонимный технический идентификатор устройства для телеметрии; email при наличии аккаунта); Commercial information (статус подписки); Internet/Network Activity (взаимодействия с AdMob; маршруты экранов телеметрии); Geolocation (приблизительная страна, выведенная из IP через AdMob в режиме Free). Источники: ты + твоё устройство. Коммерческие цели: реклама (Free), предоставление сервиса, диагностика. Передаётся/«продаётся»: только AAID + сетевая активность через Google AdMob (Free) — «передача» (share) в смысле CPRA, от которой можно отказаться через UMP; телеметрия идёт на наш собственный сервер (не третье лицо — вне сферы «передачи»/«продажи» по CCPA). Right to Delete / Correct: см. § 5.1. Opt-Out of Sale/Sharing: передачу в AdMob (в персонализированном режиме) можно отклонить через согласие UMP (и автоматически неперсонализированная для пользователей CCPA, определяемых Google). Limit Use of Sensitive PI: никакие чувствительные данные не собираются. Non-Discrimination + Authorized Agent применимы. Срок 45 дней — privacy@tivera.tv.
5.3 Жалоба
- CNDP (Марокко): https://www.cndp.ma
- Резиденты ЕС/ЕЭЗ: надзорный орган твоего места жительства (например, CNIL во Франции: https://www.cnil.fr/fr/plaintes). Список: https://edpb.europa.eu/about-edpb/about-edpb/members_en.
- California AG: https://oag.ca.gov
6. Безопасность данных (GDPR ст. 32)
6.1 Шифрование в состоянии покоя
- SQLCipher AES-256 для локальной базы данных (каналы, EPG, источники, история, загрузки).
- Google Tink AEAD (мастер-ключ Android Keystore TEE/StrongBox) в качестве дополнительного слоя для: учётных данных Xtream (AAD привязан к источнику, защита от cell-swap), учётных данных EPG, родительского PIN (AAD
parental-pin-v1), purchase token Play Billing (AADplay-billing-v1). - Записи / загрузки VOD: файлы
.tsбез шифрования в scoped storage, удаляются при деинсталляции.
6.2 Шифрование при передаче
- Строгий HTTPS к доменам first-party (Google Play Services / AdMob) + к нашему бэкенду
api.tivera.tv. - Открытый HTTP допускается только к серверам IPTV/EPG, которые ты настраиваешь (большинство панелей Xtream всё ещё работают по HTTP — его запрет сломал бы использование BYOC).
6.3 Защитная архитектура
- Минимальные разрешения Android; CAMERA только для сканирования QR-кода сопряжения (обработка на 100 % локальная). Разрешения, добавляемые SDK Google (опубликованная версия):
com.android.vending.BILLING(Premium),AD_ID+ACCESS_ADSERVICES_*(AdMob, только Free),BIND_GET_INSTALL_REFERRER_SERVICE(атрибуция установки),READ_EPG_DATA(раздел «Continue Watching» лаунчера Android TV). Никаких опасных runtime-разрешений, кроме CAMERA. - R8/ProGuard в release; ограничительные правила backup (исключают зашифрованные учётные данные Xtream из резервной копии Google Drive);
SecretRedactor+UrlRedactorдля каждого лога И каждой полезной нагрузки телеметрии перед отправкой.
6.4 Уведомление о нарушении (GDPR ст. 33-34)
В случае нарушения, затрагивающего твои права, Mitchou уведомляет компетентный надзорный орган (CNDP в Марокко; CNIL или орган ЕС затронутого пользователя) в течение 72 часов, и тебя напрямую, если риск высок.
7. Несовершеннолетние (COPPA US + GDPR ст. 8)
Tivera предназначена для лиц 13 лет и старше. Декларативный возрастной барьер при первом запуске («Мне 13 лет» + принятие Disclaimer). Никакого намеренного сбора данных несовершеннолетних младше 13 лет. Диагностическая телеметрия ограничена возрастным барьером: никакой постоянный идентификатор не передаётся до подтверждения 13+. Родительский PIN из 4 цифр + ограниченные профили (isKids) = родительский контроль best-effort, опциональный, без запроса даты рождения, без аналитики и таргетированной рекламы, привязанных к детскому профилю. Родитель/опекун: privacy@tivera.tv.
Реклама и несовершеннолетние (ЕС): в ЕС/ЕЭЗ возраст цифрового согласия (GDPR ст. 8) варьируется от 13 до 16 лет в зависимости от государства-члена. Для защиты пользователей, которые могут быть несовершеннолетними, персонализированная реклама никогда не включается без действительного согласия, полученного через SDK Google UMP; при его отсутствии (или в случае отказа) показывается только неперсонализированная реклама (NPA — без профилирования и поведенческого таргетирования). Тариф Premium убирает всю рекламу.
8. Cookies / сторонние трекеры
Tivera — это нативное мобильное приложение (не веб-сайт). Никаких собственных HTTP-cookies; возможные сторонние серверные cookies (например, __cf_bm панели) управляются в оперативной памяти (InMemoryCookieJar), никогда не сохраняются. Никаких собственных пикселей/маяков. Сайт tivera.tv: никаких сторонних cookies, никаких сторонних скриптов аналитики/рекламы, никакого внешнего CDN в runtime (внутреннее правило R-NA-1) — обращения идут только к нашему бэкенду (api.tivera.tv) по действию пользователя.
9. Международные передачи (GDPR ст. 44–50)
| Передача | Правовые рамки |
|---|---|
| Твоё устройство → серверы IPTV/EPG, которые ты настраиваешь | Нет передачи, организованной Mitchou (ты выбираешь получателя). |
| Телеметрия + облачная синхронизация Premium → собственный сервер (Марокко) | Марокко не имеет решения ЕС об адекватности (ст. 45). Основания передачи, применяемые для пользователей ЕС/ЕЭЗ: (a) диагностическая телеметрия — явное согласие (отступление ст. 49(1)(a)), причём этот канал в ЕС в любом случае действует по принципу opt-in; (b) аккаунт + облачная синхронизация Premium — передача, необходимая для исполнения запрошенного тобой договора (ст. 49(1)(b)). Дополнительные меры: псевдонимизация + минимизация (SecretRedactor/UrlRedactor) + шифрование при передаче; единственный ответственный (Издатель размещает сам, без отдельного стороннего импортёра в смысле руководящих указаний EDPB 05/2021); местные правовые рамки Loi 09-08 + орган CNDP. |
| AdMob (Free) / Play Billing (Premium) → Google LLC (США) | SCC + DPF. |
| Транзит Cloudflare | Сетевая маршрутизация (без хранения персональных данных); DPA Cloudflare. |
10. Срок хранения (GDPR ст. 13.2.a)
- Локальные данные (Xtream, M3U, EPG, история, записи, загрузки): пока приложение установлено; немедленное стирание при деинсталляции или через «Очистить кэш».
- Диагностическая телеметрия (
crash_reports+app_events+ журнал производительности): 90 дней, затем автоматическая очистка. Досрочный отзыв через переключатель. - Firebase Crashlytics / Analytics: неприменимо (удалены, больше нет сбора).
- Аккаунт (email, право на Premium, устройства, сопряжения, профили, избранное, история): до удаления аккаунта (каскадная очистка). Право на Premium: до истечения срока + окно споров/возвратов.
- Счета (метаданные): удаляются при закрытии аккаунта (каскадная очистка). Платёжный провайдер сохраняет свою собственную копию в силу своего бухгалтерского обязательства (также в случае спора).
- Когорты AdMob (Free): согласно политике Google (~14 месяцев). Premium purchase token: пока подписка активна + grace period.
- Журнал аудита (
audit_log, включая IP клиента): 90 дней; строки анонимизируются при удалении аккаунта.
11. Обновление этой политики
Любое существенное изменение влечёт за собой: уведомление в приложении при следующем запуске (неблокирующий баннер + ссылка на diff) + обновление даты + сохранение публично версионированного diff в Git + повторное согласие, если добавляется новая категория обработки (например, новая рекламная сеть). Незначительные изменения не влекут повторного согласия.
12. Контакты
- Общий email:
contact@tivera.tv - Email по конфиденциальности (осуществление прав):
privacy@tivera.tv - Email DMCA:
dmca@tivera.tv(см. Политику DMCA) - Почтовый адрес: Tralles, rue Essanaouabar, Casablanca, Maroc
Срок ответа: 30 дней (GDPR) / 45 дней (CCPA).
13. Сопутствующие документы
Статус: ЧЕРНОВИК v2.1 — раскрывает модель Free + Premium (AdMob в Free, Play Billing в Premium), размещённую у нас телеметрию (Firebase удалён) и облачную синхронизацию Premium. Подлежит проверке юристом (Loi 09-08 / CNDP + GDPR/ePrivacy) до окончательной публикации: правовое основание телеметрии, гарантии передачи Марокко → ЕС, механизм opt-out. Французская версия имеет преимущественную силу; остальные языки являются переводами, предоставленными для удобства.