Privacy Policy

1. Введение

Настоящая Политика конфиденциальности описывает, как мобильное приложение PingMe (далее — «Приложение», «Мессенджер», «мы») обрабатывает информацию пользователей.

PingMe — это децентрализованный мессенджер с end-to-end шифрованием, который работает без использования собственных серверов для хранения или передачи сообщений. Этот документ относится ко всем версиям Приложения, доступным в App Store или Google Play.

Мы глубоко уважаем вашу конфиденциальность и спроектировали PingMe таким образом, что мы физически не можем прочитать ваши сообщения, просмотреть контакты или отследить переписки.

1. Introduction

This Privacy Policy describes how the PingMe mobile application (hereinafter referred to as the "Application", the "Messenger", "we", "us") processes user information.

PingMe is a decentralized messenger with end-to-end encryption that operates without using its own servers to store or transmit messages. This document applies to all versions of the Application available in the App Store or Google Play.

We deeply respect your privacy and have designed PingMe in such a way that we are physically unable to read your messages, view your contacts, or track your conversations.

2. Фундаментальные принципы

PingMe построен на трёх принципах:

Децентрализация. PingMe не имеет собственного сервера. В качестве транспорта используются облачные хранилища пользователей.
End-to-End Шифрование. Все сообщения шифруются на устройстве отправителя и расшифровываются только на устройстве получателя.
Минимализм данных. Мы собираем минимум данных — только для доставки push-уведомлений.

2. Fundamental Principles

PingMe is built on three principles:

Decentralization. PingMe does not have its own server. Cloud storage services owned by users are used as the transport layer.
End-to-End Encryption. All messages are encrypted on the sender's device and decrypted only on the recipient's device.
Data Minimization. We collect the absolute minimum of data — only for delivering push notifications.

3. Архитектура обмена сообщениями

3.1. Модель «Dual Outbox»

Каждый пользователь создаёт папку PingMe_Outbox на своём Диске. Сообщения шифруются на устройстве отправителя и загружаются в его папку. Получатель периодически опрашивает публичную ссылку, скачивает и расшифровывает файл локально.

3.2. Резервный канал

Пользователь может добровольно подключить другой Диск. Данные шифруются тем же методом.

3.3. Изоляция хранилищ

Приложение имеет доступ только к своей папке (App Folder). Ваши личные файлы недоступны для PingMe.

3. Messaging Architecture

3.1. Dual Outbox Model

Each user creates a PingMe_Outbox folder on their Drive. Messages are encrypted on the sender's device and uploaded to their folder. The recipient periodically polls the public link, downloads, and decrypts locally.

3.2. Backup Channel

The user may voluntarily connect another Drive. Data is encrypted with the same method.

3.3. Storage Isolation

The app only accesses its own folder (App Folder). Your personal files remain inaccessible to PingMe.

4. Шифрование

4.1. Алгоритмы

Обмен ключами: ECDH на кривой Curve25519
Деривация: HKDF (SHA-256)
Шифрование: AES-256-GCM

4.2. Управление ключами

Приватный ключ — в Apple Keychain (kSecAttrAccessibleWhenUnlockedThisDeviceOnly). Никогда не покидает устройство.

4.3. На практике

Зашифрованные файлы на Диске — бессмысленные байты для всех, кроме адресата.

4. Encryption

4.1. Algorithms

Key exchange: ECDH on Curve25519
Key derivation: HKDF (SHA-256)
Encryption: AES-256-GCM

4.2. Key Management

Private key stored in Apple Keychain (kSecAttrAccessibleWhenUnlockedThisDeviceOnly). Never leaves the device.

4.3. In Practice

Encrypted files on a Drive are meaningless bytes to anyone except the intended recipient.

5. Хранение данных

5.1. Локально

Все данные — только на устройстве. Нет синхронизации с iCloud.

5.2. Временно в облаке

Пакеты удаляются с Диска после подтверждения доставки (квитирование).

5.3. Мы НЕ собираем

Текст сообщений, фото, голосовые
Контакты и телефоны
Метаданные переписок
Геолокацию, IMEI, историю использования
IP-адреса (кроме кратковременного при push)

5. Data Storage

5.1. Local

All data is stored exclusively on the device. No iCloud sync.

5.2. Temporary Cloud

Packages are deleted from Drive after delivery confirmation (receipt mechanism).

5.3. We DO NOT Collect

Message text, photos, voice messages
Contact list, phone numbers
Conversation metadata
Geolocation, IMEI, usage history
IP addresses (except briefly for push)

6. Push-уведомления

6.1. Архитектура

Минимальный сервер-ретранслятор для APNs — только пробуждение устройства.

6.2. Обрабатываемые данные

Device Token — идентификатор для push.
Псевдоним — для текста уведомления. Не хранится.

6.3. Сервер НЕ знает

Текст, медиа, ключи, ссылки, UUID, контакты. Push-сервер слеп.

6. Push Notifications

6.1. Architecture

A minimal relay server for APNs — only wakes the device.

6.2. Processed Data

Device Token — identifier for push delivery.
Sender alias — for notification text. Not stored.

6.3. Server DOES NOT Know

Message text, media, keys, links, UUIDs, contacts. The server is blind.

7. Третьи лица

Облачные провайдеры (Яндекс.Диск, Mail.ru, Google Drive) видят только зашифрованные файлы. APNs получает обезличенный Device Token. Мы не продаём данные. Нет рекламы, трекеров и аналитических SDK.

7. Third Parties

Cloud providers (Yandex Disk, Mail.ru, Google Drive) see only encrypted files. APNs receives an anonymized Device Token. We do not sell data. No ads, trackers, or analytics SDKs.

8. Авторизация

Нет собственных аккаунтов. Вход через OAuth провайдера. Мы буквально ничего не знаем о вас — ни имени, ни телефона, ни email.

8. Authorization

No proprietary accounts. Sign in via provider's OAuth. We literally know nothing about you — not your name, phone, or email.

9. Безопасность

Устройство: Apple Keychain + iOS App Sandbox
Передача: AES-256-GCM, ECDH, HTTPS/TLS
Push-сервер: одноразовые nonce, очистка токенов, нет логов

9. Security

Device: Apple Keychain + iOS App Sandbox
Transmission: AES-256-GCM, ECDH, HTTPS/TLS
Push server: one-time nonces, token cleanup, no logs

10. Права пользователя

Удаление данных (удалите приложение), управление хранилищем (отзовите доступ к Диску), отключение push в настройках iOS.

11. Доступ к информации

Мы не собираем данные — запрос не применим.

12. Дети

PingMe не предназначен для лиц младше 16 лет.

13. Изменения

Уведомление через push при существенных изменениях.

10. User Rights

Data deletion (delete the app), storage management (revoke Drive access), disable push in iOS settings.

11. Access to Information

We do not collect data — the request is not applicable.

12. Children

PingMe is not intended for persons under 16.

13. Changes

Notification via push for material changes.

Сводная таблица

Data Processing Summary

Категория	Собираем?	На сервере?	Можем прочитать?
Текст сообщений	❌ Нет	❌ Нет	❌ Невозможно
Фото и медиа	❌ Нет	❌ Нет	❌ Невозможно
Контакты	❌ Нет	❌ Нет	❌ Невозможно
Метаданные	❌ Нет	❌ Нет	❌ Невозможно
Крипто-ключи	❌ Нет	❌ Нет	❌ Невозможно
Email / Телефон / Имя	❌ Нет	❌ Нет	❌ Невозможно
Геолокация	❌ Нет	❌ Нет	❌ Невозможно
IP-адрес	⚠️ Кратковременно	❌ Нет	⚠️ Технически*
Device Token	✅ Да	✅ Да	✅ Да

Category	Collect?	Stored?	Can read?
Message text	❌ No	❌ No	❌ Impossible
Photos & media	❌ No	❌ No	❌ Impossible
Contacts	❌ No	❌ No	❌ Impossible
Metadata	❌ No	❌ No	❌ Impossible
Crypto keys	❌ No	❌ No	❌ Impossible
Email / Phone / Name	❌ No	❌ No	❌ Impossible
Geolocation	❌ No	❌ No	❌ Impossible
IP address	⚠️ Temporarily	❌ No	⚠️ Technically*
Device Token	✅ Yes	✅ Yes	✅ Yes

*IP-адрес виден серверу в момент HTTP-запроса. Не пишется в лог.

*IP address is visible at the moment of HTTP request. Not logged.

По вопросам конфиденциальности:

For privacy questions:

yo@time2ping.me