ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ С КОНЕЧНЫМ ПОЛЬЗОВАТЕЛЕМ (EULA) NEXAXT WECO
Версия: 1.0 Дата вступления в силу: 11 мая 2026 г. Предыдущие версии: v0.0.18 (от 25 апреля 2026 г., архивная) — настоящая редакция полностью её заменяет. Канонический URL: https://weco.nexaxt.com/pages/eula.html
ПРЕАМБУЛА
Настоящее EULA ("Соглашение", "EULA") является частью Документов Соглашения, заключённого между ТОО «НЕКСА ИКС ТИ» ("Лицензиар") и Клиентом ("Лицензиат") в порядке, описанном в Публичной оферте (https://weco.nexaxt.com/pages/oferta.html). EULA регулирует операционные аспекты использования компилированного продукта WECO в рамках платной или пробной лицензии.
Двухуровневая лицензия: исходный код WECO распространяется по лицензии FSL 1.1 / Apache 2.0 future; настоящий EULA дополняет, но не заменяет, FSL.
1. ОПРЕДЕЛЕНИЯ
1.1. Все определения раздела 1 Публичной оферты применяются к настоящему EULA. Дополнительно:
ПО / Программа — релиз WECO admin + host runtime (ff-admin-vX.Y.Z.tar.gz + install-admin.sh + vms/bootstrap.sh + всё, что выпущено через GitHub Releases dist-репозитория).
License JWT — Ed25519-подписанный JWT, доставляемый на billing-email после оплаты или выпуска trial; содержит tier, max_hosts, max_admin_users, features, exp.
Релизный артефакт — конкретный билд ПО, идентифицируемый версией, SHA-256-чексуммой и minisign-подписью.
2. ПРЕДОСТАВЛЕНИЕ ЛИЦЕНЗИИ
2.1. При действительной оплате (или валидной trial-лицензии) Лицензиар предоставляет Клиенту неисключительное, непередаваемое, ограниченное по сроку право: (а) загружать релизные артефакты ПО; (б) устанавливать и эксплуатировать ПО на инфраструктуре, находящейся под исключительным контролем Клиента; (в) использовать License JWT для активации ПО; (г) изготавливать резервные копии для целей обеспечения непрерывности работы.
2.2. Лицензия ограничена параметрами License JWT: max_hosts (число одновременно зарегистрированных Host VM), max_admin_users (число активных admin-учётных записей), features (включённые функциональные модули), exp (срок).
2.3. Лицензия не передаётся третьим лицам без письменного согласия Лицензиара. Перепродажа, sublicensing, аренда, лизинг, SaaS-предоставление третьим лицам строго запрещены.
3. ЧТО КЛИЕНТ МОЖЕТ ДЕЛАТЬ
3.1. В пределах FSL 1.1 — Клиент может модифицировать исходный код для внутреннего использования.
3.2. Заменять шрифты, цветовые пресеты, layout блоков; добавлять кастомные блок-типы, расширяя канонический shared/blocks.ts (но не форкая его — fork ломает schema-drift CI и поддержку).
3.3. Эксплуатировать ПО полностью в air-gap (без исходящих сетевых вызовов) с использованием offline install path (Phase 2 Q3 2026). До air-gap — операторы могут allowlist-ить install-time outbound calls, перечисленные на странице Безопасности (https://weco.nexaxt.com/pages/security.html).
3.4. Использовать собственный KMS / HSM / Vault для MASTER_SECRET; запись в .env заменяется startup-hook'ом.
3.5. Создавать audit-export bundles в формате .orxsite для целей backup, миграции, регуляторного хранения.
4. ЧТО КЛИЕНТ НЕ МОЖЕТ ДЕЛАТЬ
4.1. Перераспространение третьим лицам — запрещено (FSL Permitted Use регулирует исходный код; компилированное распространение — не допускается).
4.2. Использовать ПО для предоставления конкурирующего CMS / disclosure-платформы / website-конструктора третьим лицам как услуги (это требует отдельной коммерческой лицензии).
4.3. Отключать, обходить, модифицировать или удалять:
(а) License JWT verifier;
(б) bcrypt-гейт пароля admin;
(в) AES-256-GCM шифрование MASTER_SECRET-производных полей;
(г) audit-логирование;
(д) HS256-токенизацию /pdf-stream;
(е) Referer-проверку pdf-стриминга;
(ж) минимально-привязанный bind 127.0.0.1:3001 host-api;
(з) magic-bytes-проверку PDF (%PDF-);
(и) любые иные защитные механизмы.
4.4. Применять reverse-engineering к скомпилированному ПО за пределами того, что прямо разрешено императивными нормами ГК РК и условиями FSL 1.1.
4.5. Создавать публичные SPV-сайты для лиц, включённых в санкционные списки (см. Публичная оферта, раздел 15).
4.6. Загружать в ПО или публиковать через ПО незаконный контент (см. AUP — https://weco.nexaxt.com/pages/aup.html).
5. ЛИМИТЫ ТАРИФОВ
| Тариф | Max hosts | Max admin users | Поддержка | SLA uptime |
|---|---|---|---|---|
| Trial | 1 | 1 | community | best-effort, no credit |
| Starter | 2 | 2 | community | best-effort, no credit |
| Standard | 5 | 3 | NBD email | 99.0% |
| Premium | 10 | 5 | 4h business hours | 99.5% (aspirational) |
| Enterprise | bespoke | bespoke | dedicated, по Order Form | 99.9% (aspirational) |
5.1. Лимиты max_hosts и max_admin_users ENforced на уровне БД admin (таблицы HostVM, User) при каждой вставке. Превышение → HTTP 402 Payment Required.
5.2. SLA в строках Premium/Enterprise — целевые показатели; полные условия в SLA-документе.
6. ПОВЕДЕНИЕ ПРИ ИСТЕЧЕНИИ ЛИЦЕНЗИИ
6.1. После истечения exp License JWT:
(а) публичные SPV-сайты, уже опубликованные, продолжают работать и обслуживать Конечных пользователей — Лицензиар физически не имеет к ним доступа, чтобы их выключить;
(б) Admin UI блокирует создание новых сайтов, добавление новых admin-пользователей, ротацию credentials;
(в) в течение 30 дней grace-периода остаются доступны все операции, нужные для регуляторного исправления контента: редактирование текста существующего сайта, замена дефектного PDF, удаление неточного раскрытия;
(г) после 30 дней admin-мутации блокируются полностью; чтение и публикация — через прямое редактирование БД, не поддерживаются.
6.2. Клиент, желающий продолжить полноценную эксплуатацию, должен продлить License JWT до истечения grace-периода.
7. ВЛАДЕНИЕ ДАННЫМИ И ОТСУТСТВИЕ ТЕЛЕМЕТРИИ
7.1. Весь Контент Клиента — конфигурации сайтов (/var/sites/<slug>/config.json), загруженные ассеты, PDF, рендеренный HTML, audit-логи, end-user данные с публичных SPV-сайтов — остаётся исключительной собственностью Клиента.
7.2. ПО не содержит телеметрии, не отправляет автоматические отчёты об ошибках Лицензиару, не имеет auto-update канала. Любые исходящие сетевые вызовы возможны только при действиях Клиента (load installer, pull релиза, etc.) и перечислены в Security Statement.
7.3. Лицензиар никогда не получает доступ к данным Клиента без явного согласия Клиента (например, при предоставлении support-доступа на конкретный инцидент).
8. БЕЗОПАСНОСТЬ — ОБЯЗАТЕЛЬСТВА ЛИЦЕНЗИАРА
8.1. Раскрывать обнаруженные критические и высокие уязвимости через GitHub Security Advisory в dist-репозитории.
8.2. Выпускать патчи на critical/high CVSS findings (≥ 7.0) в течение 14 календарных дней после подтверждения.
8.3. Поддерживать minisign-подписи и SHA-256-чексуммы на каждом релизном артефакте.
8.4. Публиковать coordinated_disclosure_policy.md в репозитории.
8.5. Поддерживать ясные boundary statements (раздел 9 ниже) в Security-документе.
9. ГРАНИЧНЫЕ ПОЛОЖЕНИЯ — ЧТО НЕ ПОКРЫВАЕТ ЛИЦЕНЗИАР
9.1. Volumetric DDoS — Клиент должен поставить WAF / CDN перед admin-VM.
9.2. Full-disk encryption — ответственность Клиента при создании VM (LUKS / dm-crypt / BitLocker / AWS EBS encryption).
9.3. RTO / RPO — single-VM Phase 1 архитектура физически не может гарантировать. Backup target (off-site backup) и regular restore drills — на стороне Клиента.
9.4. Соответствие законодательству юрисдикции Клиента — раскрытие информации эмитентами, AML/CFT, налоги, защита данных, ценные бумаги, финансовая отчётность SPV/SFO — самостоятельная зона ответственности Клиента.
9.5. Антивирус / EDR / corporate proxy compatibility — не гарантируется.
9.6. Сертификации (ISO 27001, SOC 2, PCI-DSS) — Лицензиар их не имеет.
10. ОТКАЗ ОТ ГАРАНТИЙ
10.1. ПО ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», без гарантий товарных качеств, пригодности для конкретной цели, ненарушения прав, бесперебойности, безошибочности, регуляторного соответствия. См. Публичную оферту, раздел 6.2.
11. ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ
11.1. Совокупная ответственность Лицензиара ограничена меньшей из: (а) License Fees, фактически уплаченных за 6 месяцев до события; (б) USD 1 000. Trial = 0. Подробно — в Публичной оферте, раздел 12.
12. INDEMNITY
12.1. Клиент indemnifies Лицензиара в широком объёме (см. Публичная оферта, раздел 11). Reverse indemnity отсутствует (см. Публичная оферта, раздел 10.5).
13. ПРЕКРАЩЕНИЕ
13.1. См. раздел 18 Публичной оферты.
13.2. По прекращении Клиент:
(а) прекращает установку новых экземпляров ПО;
(б) сохраняет право эксплуатировать существующие установки до истечения License JWT;
(в) может экспортировать audit-данные и .orxsite-bundle.
14. ПРИМЕНИМОЕ ПРАВО И ПОДСУДНОСТЬ
14.1. Применимое право — Республика Казахстан. Подсудность — Специализированный межрайонный экономический суд г. Алматы. См. Публичную оферту, раздел 14.
15. ОБЩИЕ ПОЛОЖЕНИЯ
15.1. Настоящее EULA является неотъемлемой частью Документов Соглашения. При расхождении с Публичной офертой приоритет имеет Публичная оферта, кроме случаев, когда EULA прямо устанавливает более специальное правило.
15.2. Подтверждение: установив ПО с использованием выданного License JWT, Клиент подтверждает безусловное согласие с настоящим EULA в полном объёме.
Конец EULA v1.0.