Prywatność
Dane Twojego auta należą do Ciebie. Oto dokładnie, jak tego pilnujemy — prostym językiem, bez niespodzianek drobnym drukiem.
W skrócie
To część, której nie oferuje żaden inny logger do Tesli. Zaprojektowaliśmy BlackCurrent tak, że trzymanie Twoich danych i ich odczytywanie to dwie różne rzeczy: my je trzymamy, Ty trzymasz klucz. Trzymasz klucz, więc panujesz nad danymi — a my nigdy nie musimy prosić, żebyś nam po prostu zaufał.
Co to oznacza dla Ciebie
- Włamanie do naszej bazy daje napastnikowi szyfrogram — bezużyteczny bez Twojego hasła.
- Nasz własny zespół zawsze widzi w magazynie wyłącznie szyfrogram. Nie ma żadnego wewnętrznego przełącznika „pokaż przejazdy tego użytkownika”.
- Jeśli kiedyś zostaniemy przejęci albo dostaniemy żądanie wydania Twojej historii, możemy przekazać tylko szyfrogram. Nie odszyfrujemy czegoś, do czego nie mamy klucza.
- Żadnej analityki, targetowania reklam ani handlu Twoją treścią — architektura na to nie pozwala, nawet gdybyśmy chcieli.
- Naszym jedynym modelem biznesowym jest Twoja subskrypcja. Taka jest umowa.
Jak to działa
Gdy zakładasz konto, z Twojego hasła powstaje na naszym serwerze klucz prywatny. Blokujemy ten klucz Twoim hasłem — używając celowo powolnego procesu wzmacniania hasła, który ma uczynić atak siłowy nieopłacalnym — i przechowujemy wyłącznie zablokowaną paczkę. Twoje hasło znika, zanim żądanie rejestracji zdąży wrócić.
Gdy się logujesz, na chwilę ponownie wyprowadzamy klucz, odblokowujemy Twój klucz szyfrujący, blokujemy go ponownie krótkotrwałym sekretem sesji, zapisujemy w buforze wersję zablokowaną sesją i znów zapominamy hasło. Każda strona, którą wczytujesz, odszyfrowuje w pamięci tylko tyle danych, ile trzeba do jej wyświetlenia, a potem je odrzuca.
Gdy Twoja Tesla wysyła nową telemetrię, możemy ją tylko zapisać — każdą paczkę pieczętujemy Twoim kluczem publicznym, tak że my nie odczytamy jej z powrotem, dopóki się nie zalogujesz.
Co widzimy, a czego nie
| Widzimy (zawsze) | Widzimy (tylko gdy jesteś zalogowany) | Nigdy nie widzimy |
|---|---|---|
| Twój e-mail i zablokowaną kopię Twojego klucza szyfrującego | Odszyfrowaną treść strony, którą właśnie wczytujesz | Twoje dane, gdy jesteś wylogowany |
| Status Twojej subskrypcji | Twoje przejazdy, ładowania czy historię baterii w kopiach zapasowych | |
| Identyfikator Twojego auta (żebyśmy wiedzieli, dokąd kierować dane) | Wyeksportowane dane, które pobierasz na własne urządzenie | |
| Twój klucz publiczny (nie odszyfruje niczego) | Zbiorcze statystyki dla wszystkich użytkowników | |
| Znaczniki czasu, liczbę bajtów, wskaźniki błędów | Twoje hasło (po zakończeniu logowania) |
Co subskrybujemy z Twojej Tesli
Fleet Telemetry Tesli pozwala nam wybrać dokładną listę sygnałów, które auto do nas przesyła. Wybieramy szeroko w kategoriach napędzających obecne funkcje i te, które planujemy wdrożyć w ciągu najbliższych 6-12 miesięcy. Powód: dodanie sygnału później kosztuje miesiące gromadzenia historii, zanim oparta na nim funkcja będzie miała co pokazać. Taniej jest „zbierać teraz, budować później”. Każdy sygnał jest szyfrowany Twoim kluczem, zanim trafi do naszego magazynu, więc zakres zbierania nie zmienia tego, kto może go odczytać (nadal tylko Ty).
Pełna lista sygnałów — każda kategoria, którą odbieramy, i co napędza
| Kategoria | Co napędza |
|---|---|
| Stan pojazdu (czuwa / śpi / jedzie / ładuje) | Pulpit wie, czy Twoje auto się odzywa; wykrywanie sesji (przejazdów, ładowań) opiera się na tym wiarygodnym sygnale, zamiast zgadywać z prędkości czy stanu naładowania |
| Energia i bateria (stan naładowania, szacowany zasięg, napięcie / prąd pakietu, napięcia ogniw, temperatury modułów) | Widok kondycji baterii; planowanie zasięgu; śledzenie degradacji w czasie |
| Ładowanie (stan, natężenie, moc, dostarczona energia, czas do pełna, limit ładowania, fazy ładowarki) | Dziennik ładowania z podsumowaniami kWh / km / kosztu; rozróżnienie szybkiej ładowarki od domowej |
| Jazda (prędkość, bieg, lokalizacja, kierunek, stan GPS, przebieg, tryb jazdy) | Śledzenie przejazdu na żywo; dystans i średnia prędkość per trasa; ślady na mapie |
| Klimatyzacja / termika (temperatura wewnątrz / na zewnątrz, stan grzałki baterii, kondycjonowanie, ostrzeżenie o niskiej mocy na ogrzewanie) | Historia temperatury kabiny; korekta zasięgu w chłodne dni; wykrywanie kondycjonowania |
| Opony (ciśnienie x 4 oraz znacznik czasu ostatniego odczytu x 4) | Dziennik ciśnienia w oponach; wykrywanie powolnych nieszczelności |
| Harmonogram / planowanie (zaplanowane ładowanie: start / tryb / oczekujące, czas odjazdu, planer tras Supercharger) | Potwierdzenie, że Twoje ustawienia zgadzają się z tym, co auto faktycznie robi; historia planowania tras |
| Metadane pojazdu (wersja firmware, nazwa auta, konfiguracja: model, wersja wyposażenia, kolor, felgi, flagi regionalne) | Historia aktualizacji firmware; powiązanie zmian zachowania z aktualizacjami; domyślne modelowanie zasięgu dopasowane do Twojego auta |
| Stan tempomatu (ustawiona prędkość, odległość podążania) | Historia ustawień tempomatu adaptacyjnego; „ustawiłeś 130 km/h na tym odcinku autostrady”. Nie zwiększa ryzyka ujawnienia: Twoja prędkość w dowolnym punkcie przestrzeni jest już objęta sygnałami jazdy powyżej |
| Stan trybu Sentry | Wgląd w zużycie energii: zestawienie czasu działania Sentry ze spadkiem stanu naładowania, żeby wyliczyć „Sentry kosztował Cię 0,8 kWh przez noc na lotnisku” |
| Statystyki jazdy autonomicznej (przejechane kilometry łącznie, kilometry FSD od resetu; auta HW4 na firmwarze 2025.44.25.5+) | Tylko zbiorcze liczniki (nie zapisy poszczególnych zdarzeń), więc opisują sumy użycia bez odtwarzania pojedynczych epizodów FSD |
| Kontekst trasy (nazwa celu + przewidywany czas dojazdu, kilometry / minuty do celu, oczekiwany SoC na miejscu, opóźnienie w ruchu, flagi: dom / praca / ulubione) | „Dotarłeś do domu o 18:42 z 32% SoC”; funkcje świadome geofencingu |
| Postęp aktualizacji oprogramowania (wersja, % pobierania, % instalacji, zaplanowany start) | Komunikat „dostępna aktualizacja / trwa instalacja”; historia wersji firmware |
| Termika napędu (temperatury radiatora / falownika / stojana, stan blokady wysokiego napięcia; przód + tył) | Śledzenie degradacji jednostki napędowej; korelacja spadku osiągów w upalne dni |
| Powershare / V2X (status, pozostałe godziny, chwilowa moc, typ, powód zatrzymania) | „Twój dom pobrał z auta 4,2 kW przez noc” dla użytkowników Powershare |
| Aktualnie odtwarzane media (status, źródło, tytuł, wykonawca, album, stacja; bez pozycji odtwarzania i głośności) | „Ścieżka dźwiękowa tego przejazdu”. Pozycję i głośność pomijamy jako mało wartościowe i o wysokiej częstotliwości |
| Preferencje użytkownika (format 24-godzinny, jednostki ładowania / dystansu / temperatury / ciśnienia opon) | Decydują, jak renderujemy każdą liczbę na pulpicie. Bez nich musimy zgadywać |
Czego świadomie nie subskrybujemy i dlaczego
Tesla wysyła znacznie więcej sygnałów, niż odbieramy. Poniższe wykluczenia nie są przypadkowe — to obietnica marki. Szyfrowanie chroni dane przed nami, ale samo istnienie danych dowodowych na Twoim koncie zaprasza zewnętrzne nakazy w sporach po wypadku, z ubezpieczycielem czy z organami ścigania. W takiej sytuacji to Ty zostałbyś zmuszony do wydania klucza. Nie zbierając ich, całkowicie omijamy tę rozmowę.
| Czego nie zbieramy | Dlaczego nie |
|---|---|
Ostrzeżenia ADAS / o kolizji (BlindSpotCollisionWarning, ForwardCollisionWarning, LaneDepartureAvoidance, EmergencyLaneDepartureAvoidance, SpeedLimitWarning, AutomaticEmergencyBrakingOff) |
Cel pozwów i postępowań ubezpieczeniowych |
Położenie pedałów (BrakePedal, BrakePedalPos, PedalPosition) |
Cel rekonstrukcji winy w kolizji |
Zajętość foteli i pasy (DriverSeatBelt, PassengerSeatBelt, DriverSeatOccupied) |
Wskazuje, kto był w aucie; cel postępowania cywilnego |
Nadzór kabiny (DoorState, Locked, FdWindow, FpWindow, RdWindow, RpWindow, SeatHeaterLeft, SeatHeaterRight, SeatHeaterRear*, GuestModeMobileAccessState) |
Ustala fizyczną obecność i oś czasu dostępu, których nie da się wywieść z niczego innego, co zbieramy |
Żadnego z nich nie blokuje API Tesli — po prostu o nie nie prosimy. Jeśli przyszła funkcja naprawdę będzie któregoś potrzebować, wyjaśnimy to na tej stronie i udostępnimy zgodę osobno dla każdego pojazdu, zamiast włączać ją wszystkim z automatu.
Dokładność historii i przypadek „cichego auta”
Telemetria Tesli wysyła sygnał tylko wtedy, gdy zmienia się jego wartość. Auto zaparkowane na miesiąc wysyła bardzo niewiele. Żeby przewinięcie do zeszłomiesięcznego widoku (powiedzmy stanu naładowania) wciąż pokazywało wykres, a nie pustą przerwę, prosimy Teslę o ponowne wysyłanie kluczowych sygnałów w stałym rytmie, nawet gdy nic się nie zmieniło. To ponowne wysyłanie ma limit częstotliwości i włącza się tylko na firmwarze 2024.44.32 lub nowszym; starsze firmware też działa, wykres po prostu rzednie w cichych okresach.
Jak wpisuje się w to szyfrowanie w chmurze
Między zewnętrznym napastnikiem a danymi Twojego pojazdu stoją trzy warstwy szyfrowania. Każda broni przed innym zagrożeniem. Tylko jedna sprawia, że obietnica prywatności jest prawdziwa. Chcemy być precyzyjni co do tego, która jest która, bo mówienie „szyfrujemy wszystko” bez rozróżnienia, kto trzyma który klucz, to najprostszy sposób, żeby wprowadzić w błąd.
| Warstwa | Co jest szyfrowane | Kto trzyma klucz | Przed czym to chroni |
|---|---|---|---|
| 1. Infrastruktura | Same dyski i magazyn danych | Nasz dostawca chmury, automatycznie | Zgubiony, skradziony lub wycofany sprzęt. Dysk jest nieczytelny dla każdego spoza dostawcy bez ważnego żądania. |
| 2. Platforma | Dzienniki audytu, tokeny uprawnień Tesli, Twój klucz szyfrujący zablokowany sesją | Dostawca chmury, na naszym koncie | Włamanie na nasz kod lub poświadczenia operatora. Napastnik z naszymi poświadczeniami i tak musi wywołać usługę kluczy dostawcy, żeby cokolwiek odblokować — a te wywołania zostawiają w audycie ślad, który możemy sprawdzić. |
| 3. Dane Twojego pojazdu | Każdy przejazd, ładowanie, punkt GPS i cykl baterii w naszym magazynie | Tylko Ty, na podstawie Twojego hasła | Cała reszta. Dostawca chmury może odczytać warstwy 1 i 2 pod przymusem prawnym. Warstwy 3 odczytać nie może, bo klucz nigdy nie trafia na jego sprzęt. |
Co to oznacza w praktyce:
- Zgodny z prawem nakaz doręczony dostawcy chmury może zmusić go do odszyfrowania warstw 1 i 2. Wyda dzienniki audytu, tokeny uprawnień Tesli (dając wnioskującemu ten sam wgląd w Twoją Teslę, jaki mamy my — kanał Tesli na żywo, nie Twoją historię) oraz zaszyfrowane bloki z danymi pojazdu. Samych bloków nie odszyfruje; do tego potrzeba Twojego hasła, którego dostawca nigdy nie widział, a my odrzucamy je zaraz po zalogowaniu.
- Włamanie na nasz kod lub przejęcie poświadczeń operatora ogranicza ta sama architektura. Warstwa 2 jest audytowalna — widzimy, kto i kiedy odblokował którą sesję. Warstwa 3 jest dla nas nieczytelna niezależnie od tego, czy nas zhakowano, bo odblokowany klucz szyfrujący istnieje w pamięci tylko wtedy, gdy aktywnie korzystasz z aplikacji.
- Złamanie Ciebie (Twojego hasła, Twojego urządzenia) to jedyne, przed czym ta architektura nie obroni. To wpisany koszt trzymania klucza u siebie: nikt inny nie może go zgubić i nikt inny nie odzyska go za Ciebie. Zapisz je.
Gdzie to wszystko żyje
Cała infrastruktura BlackCurrent działa w Unii Europejskiej, u znanego dostawcy chmury, w regionie podlegającym unijnemu prawu ochrony danych. Twoje zaszyfrowane dane nigdy go nie opuszczają. Nie korzystamy z zewnętrznej analityki, sieci reklamowych ani brokerów danych.
Uczciwe ograniczenia
Żaden projekt bezpieczeństwa nie jest absolutny, a my wolimy pokazać Ci krawędzie, niż udawać, że ich nie ma. Oto one, prostym językiem, każda z tym, co z nią robimy — mniej więcej w kolejności od tych, które powinny obchodzić najwięcej osób. Większości z nich nie dotknie nikt.
1. Gdy jesteś zalogowany, Twój klucz na chwilę jest w naszej pamięci
Twój klucz szyfrujący żyje w naszej pamięci podczas aktywnych żądań. Gdyby nasze serwery zostały zhakowane w trakcie Twojej sesji, napastnik z dostępem do tej pamięci mógłby odczytywać Twoje dane tak długo, jak długo sesja pozostaje otwarta. Ścisłe szyfrowanie end-to-end, jak w Signalu, by to wykluczyło; nasze nie wyklucza.
Zabezpieczenia, które stosujemy:
- Agresywne wygasanie sesji przy bezczynności (domyślnie: wylogowanie po 30 minutach bez aktywności).
- Żadne czytelne kopie nigdy nie trafiają na dysk ani do logów — pilnuje tego strukturalny logger z listą dozwolonych, bezpiecznych pól.
- Dostęp produkcyjny jest audytowany; za każdym razem, gdy usługa kluczy odblokowuje sesję, to wywołanie jest logowane i możliwe do sprawdzenia.
Jeśli akurat to zagrożenie jest Twoją główną troską, lepszym wyborem będzie rozwiązanie na własnym serwerze, jak TeslaMate.
2. Przyszłego, ukierunkowanego nakazu sądowego jako jedynego nie da się obejść inżynierią
Jeśli rząd nakaże nam przechwycić przyszłe sesje konkretnego użytkownika, technicznie nie możemy odmówić. Dane, które już mamy w spoczynku, są dla nich bezużyteczne (bez Twojego klucza ich nie odszyfrujemy), ale nie możemy zagwarantować, że przyszła sesja nie zostałaby objęta wymuszonym przechwyceniem. Opublikujemy raport przejrzystości.
3. Tokeny uprawnień Tesli trzymamy naszym kluczem, nie Twoim
Tokeny uprawnień Tesli (to, co Tesla daje nam, byśmy odbierali Twoje dane w Twoim imieniu) muszą działać, gdy jesteś offline — inaczej nie moglibyśmy przesyłać nowej telemetrii na Twoje konto. Te tokeny są szyfrowane naszym kluczem, nie Twoim. Traktujemy je jako poświadczenia do Tesli, nie jako dane Twojego pojazdu. Możesz je w każdej chwili cofnąć z konta Tesli, a my usuwamy je, gdy rezygnujesz.
4. Nowa telemetria jest czytelna przez chwilę, gdy nadchodzi
Gdy auto przesyła nowe dane na nasz serwer odbiorczy, istnieją one w pamięci przez kilkaset milisekund, zanim zapieczętujemy je Twoim kluczem publicznym. W tej postaci nigdy nie trafiają na dysk ani do logów. Fragment naszego kodu, który dokonuje tego pieczętowania, opublikujemy jako otwarte oprogramowanie, żebyś mógł to sprawdzić.
Co to oznacza w praktyce
Jeśli nas zhakują — skradziona baza, magazyn czy kopie zapasowe zawierają wyłącznie szyfrogram. Żeby cokolwiek odczytać, napastnik potrzebuje hasła każdego użytkownika z osobna.
Jeśli dostaniemy nakaz na Twoją historię — wydamy szyfrogram. Nie jesteśmy w stanie wytworzyć tekstu jawnego. Powiemy Ci o nakazie, jeśli prawo na to pozwoli.
Jeśli chcesz odzyskać swoje dane — funkcja „Eksport” odtwarza pełną kopię Twoich danych w trakcie aktywnej sesji i przekazuje ją przeglądarce jako plik. Przeglądarka dostaje czytelne dane; nasze serwery nigdy ich nie zapisują.
Jeśli zgubisz hasło — dane przepadają na dobre. To druga strona tego, że nikt inny nie może ich odczytać: nie ma przycisku „zresetuj hasło”, który odszyfrowałby Twoją historię, bo taki przycisk nie może istnieć bez złamania całej obietnicy. Wybierz hasło, które zapamiętasz, i trzymaj je w menedżerze haseł; to jeden klucz do wszystkiego.
Weryfikacja
Zachęcamy, żebyś nie wierzył naszemu marketingowi. Sprawdzić tę obietnicę pomagają trzy rzeczy:
- Fragment kodu, w którym przez moment żyją czytelne dane (pieczętujący strumień na żywo), opublikujemy jako otwarte oprogramowanie przy starcie.
- Pełny dokument architektury publikujemy razem z kodem.
- Niezależny audyt bezpieczeństwa opublikujemy przed ogólną dostępnością.
Ta strona to opis prywatności prostym językiem. Osobna, formalna polityka prywatności — obejmująca szczegóły administratora danych w myśl RODO, informacje o cookies i język zgodności regionalnej — zostanie opublikowana przed publicznym startem. Pytania: hello@blackcurrent.app.