TransferDesk — программно-аппаратный продукт для салонов связи, который переносит данные между телефонами клиентов локально, не выпуская содержимое за пределы помещения. Этот документ описывает, как принципы privacy-by-design реализованы в продукте.
1. Что такое «не уходит в облако»
Содержимое клиента (фото, видео, контакты, события календаря, файлы) обрабатывается исключительно по локальной сети салона:
- Старый телефон клиента подключается к Wi-Fi салона и отдаёт данные на агентский ПК через локальный HTTPS-сокет.
- Новый телефон клиента (или Android-устройство клиента) скачивает данные с того же ПК — также по локальной сети.
- Маршрут трафика не выходит за пределы L2-сегмента салона. На рабочем ПК нет исходящих TCP-соединений с пользовательским содержимым.
На сервер TransferDesk уходят только: счётчики передач (количество фото / видео / контактов и т. д.), идентификатор сессии (UUID), длительность, версия агента. Никаких имён файлов, миниатюр, контактов или метаданных EXIF.
2. Жизненный цикл данных в агенте
- Сессия начинается оператором и получает уникальный PIN. Доступ к загрузке/выгрузке возможен только с этим PIN.
- Файлы сессии хранятся во временной папке
%LOCALAPPDATA%\TransferDesk\sessions\<id>, видимой только локальному пользователю Windows. - По нажатию «Завершить» все файлы сессии немедленно удаляются с перезаписью, история сессии очищается до счётчиков.
- Сервер агента слушает только адреса локальной сети и отказывает в доступе при попытке подключения с публичного IP.
3. Сетевая модель
- Транспорт между устройствами клиента и агентом: HTTP/1.1 (по умолчанию) или HTTPS (с самоподписанным сертификатом, выпускаемым агентом разово на хост).
- Авторизация — одноразовый PIN сессии, привязанный к QR-коду. Срок жизни PIN — длительность сессии.
- Между агентом и сервером TransferDesk: только исходящие соединения по HTTPS на
api.transferdesk.tech. Входящих соединений с интернета на агентский ПК нет.
4. Аутентификация и идентификация
- Агент регистрируется на сервере по одноразовому лицензионному коду и стабильному «отпечатку» рабочего места (SHA-256 от имени компьютера, ОС и MAC-адреса). Отпечаток не является PII и не позволяет идентифицировать пользователей.
- Сервер выдаёт JWT-токен для агента. Токен периодически проверяется (heartbeat); при отзыве лицензии агент перестаёт принимать сессии.
- Доступ в кабинет салона — отдельная сессия (cookie-based JWT), независимая от агентских токенов.
5. Что хранится на сервере TransferDesk
- Учётка салона: email, хеш пароля (Argon2id), название, страна.
- Агенты: отпечаток, метка, версия, последняя активность.
- Сессии: идентификатор, время, длительность, счётчики по типам передач, статус успеха.
- Биллинг: тариф, срок действия, история счетов от платёжного провайдера.
Сервер не хранит и никогда не получает: фото, видео, файлы, контакты, события календаря, имена файлов, превью или EXIF.
6. Хостинг и юрисдикция
Серверная часть (API, кабинет салона) размещается на инфраструктуре, физически расположенной на территории Российской Федерации. Биллинг-провайдер — выбор по запросу клиента (ЮKassa для РФ, Stripe для зарубежья).
7. Соответствие 152-ФЗ
Поскольку клиентское содержимое не покидает помещение салона и не передаётся оператору TransferDesk, обработки персональных данных третьим лицом по 152-ФЗ не происходит. Оператором персональных данных в момент переноса является сам салон. TransferDesk выступает поставщиком ПО.
Метаданные, передаваемые на сервер TransferDesk (счётчики, токены, лицензии), не содержат персональных данных в смысле 152-ФЗ.
8. Реакция на инцидент
- Лицензионный токен агента может быть отозван салоном из кабинета мгновенно — агент прекращает приём новых сессий.
- Журнал сессий салона доступен в кабинете для аудита.
- Связь со службой поддержки:
security@transferdesk.tech.
Документ описывает архитектуру TransferDesk на момент публикации. Актуальная версия доступна по адресу transferdesk.tech/whitepaper.