Conținut în extindere: documentația oficială DPIA template + pen test reports + certificate signing chain se publică la lansarea publică v1.0. Pagina actuală oferă cadrul complet pentru evaluare GDPR pre-implementare.
Categorii de date procesate de aplicație
Aplicația desktop SEO Master PRO MAX procesează 4 categorii de date, toate STOCATE LOCAL pe device-ul utilizatorului:
- 1. Date despre site-uri auditate: URL-uri, content scrapuit, schema markup, structura internal linking, canonical URLs, sitemap. Pentru clienți cu obligații compliance, aceste URL-uri pot fi sensibile (ex:
/proceduri-private/lista-pacienti.html) chiar dacă pagina e public accesibilă. - 2. Date din integrări (GSC, Bing, PSI): queries, click-uri, impresii, CTR, poziție medie, Core Web Vitals din CrUX. Date la nivel de site — NU date personale individuale despre vizitatori.
- 3. Chei API providers AI: cheile tale Anthropic / OpenAI / Google / Perplexity / DeepSeek. Stocate criptat AES-256 cu master password definit la setup.
- 4. Configurare aplicație: limbă, locație database, settings notifications, theme. Date non-personale.
Date despre utilizatorul aplicației: zero. Nu există cont de utilizator, nu se transmite informație personală spre serverele noastre. Aplicația rulează strict ca instrument local pe device.
Unde stau datele
Toate cele 4 categorii sunt stocate ÎN BAZA SQLite locală. Locațiile per OS:
- Windows:
%APPDATA%\SEO Master PRO MAX\database.db - macOS:
~/Library/Application Support/SEO Master PRO MAX/database.db - Linux:
~/.config/SEO Master PRO MAX/database.db
NIMIC nu pleacă spre serverele noastre. Confirmă cu wireshark / fiddler / network monitor: la rulare normală a aplicației (audit, GSC sync, AI calls), tot traficul outbound merge la: a) Google APIs (GSC, PSI), b) Bing APIs, c) Anthropic / OpenAI / Google / Perplexity / DeepSeek (apeluri AI direct cu cheia ta), d) GitHub Releases pentru update notification check (zilnic, returnează doar versiune disponibilă, nu transmite date locale).
Criptare și securitate
- Cheile API providers AI: AES-256-GCM cu master password definit la setup (PBKDF2 100.000 iterații pentru derivare cheie). Master password NU se salvează — se cere la prima rulare a sesiunii.
- Restul bazei (audit-uri, configurări, history): NU e criptat by default. Dacă vrei criptare full disk, folosește OS-level encryption (BitLocker pe Windows, FileVault pe macOS, LUKS pe Linux).
- Comunicații rețea: TOATE outbound exclusiv HTTPS (TLS 1.2+). Verificare certificat strictă, no certificate pinning bypass.
- Update mechanism: instalator semnat digital (Authenticode pe Windows, notarized pe macOS, signed cu cheia GPG pe Linux). Verificare semnătură automată înainte de instalare update.
Trafic de rețea generat
Pentru DPO-ul care vrea să listeze flow-urile de date în registrul GDPR:
- La pornire aplicație: 1 request HTTPS la
api.github.com/repos/seo-master/releases/latestpentru check update version. Răspuns: JSON cu versiune curentă disponibilă. NU se transmite info despre device, version curentă, sau alte date. - La crawl audit: requests HTTPS la site-ul auditat (URL-urile descoperite). Conform robots.txt + rate limit max 10 req/sec. NU se transmite info la noi.
- La GSC / Bing / PSI sync: requests HTTPS la API-urile Google și Microsoft cu OAuth tokens utilizator. Date returnate stocate local. NU se transmit la noi.
- La AI calls: requests HTTPS direct la Anthropic / OpenAI / Google / Perplexity / DeepSeek cu cheia ta API. Conținutul transmis = prompt-ul tău + context selectat. NU se transmit la noi. Politica privacy a fiecărui provider AI se aplică separat — vezi termeni Anthropic, OpenAI, etc.
- Crash reporting (opt-in, by default OFF): dacă activezi din Settings, în caz de crash se transmite un report anonim (stack trace + device info de bază: OS, versiune, RAM) la Sentry instance hosted UE. Nu include date din audit-uri sau queries. Dezactivabil oricând.
Cum aplici GDPR pentru aplicație
Pentru consultanți cu clienți cu obligații compliance, sau pentru organizații care includ aplicația în registrul lor GDPR:
- Includere în Article 30 records: aplicația = tool intern, NU sub-procesator (datele clientului tău nu pleacă spre noi). Registrul tău trebuie să listeze: scop procesare („SEO audit pentru clienți”), categorii date („URL-uri site, content public, queries SEO”), recipienți („nimeni — date locale”), retenție („cât timp ții fișierele
.db”), măsuri de securitate („criptare cheilor API, OS-level disk encryption opțional”). - DPIA (Data Protection Impact Assessment): pentru clienți medical / juridic / financiar, DPIA poate fi necesară. Aplicația noastră reduce semnificativ scope-ul DPIA pentru că NU exportă date spre cloud terț. Template DPIA pre-completat se publică la v1.0.
- Drept la ștergere: dacă clientul cere ștergere completă a datelor lui din portofoliul tău, ștergi audit-urile lui din aplicație (Settings → Sites → Delete with all data) sau ștergi întregul fișier
.db. Imediat, fără durată retention.
Penetration testing și security audits
Aplicația trece prin pen test extern anual înainte de fiecare release major. Rezultate publicate public. Categoriile testate:
- Local data security (encryption at rest pentru chei API)
- Network communications (TLS, certificate pinning, MITM resistance)
- Update mechanism (supply chain attack resistance)
- SQL injection în queries către DB locală
- Privilege escalation pe OS
- Memory safety (Electron sandboxing strict)
Reports complete pen test publicate la seo-master.ro/security/audits/ începând cu v1.0.
Întrebări specifice DPO
Pentru întrebări concrete pe specificul organizației tale (sectorul, jurisdicția, tip de date sensibile), scrie la contact@seo-master.ro cu subject „DPO questions”. Răspundem în 1-2 zile lucrătoare cu detalii tehnice + DPA template gata de semnat (deși tehnic nu suntem sub-procesator pentru datele clienților tăi).
Pentru context complet privind GDPR și tool-uri SEO cloud (de ce local-first elimină categorii de risc), vezi articolul nostru de fond pe acest subiect.