Политика обработки персональных данных
В соответствии с Федеральным законом № 152-ФЗ «О персональных данных»
Настоящая Политика обработки персональных данных (далее — Политика) определяет порядок сбора, хранения, использования и защиты персональных данных пользователей платформы sakhmaster.ru (далее — Платформа).
Оператором персональных данных является ИП Иванов А.В. (далее — Оператор), осуществляющее обработку в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными актами РФ.
Используя Платформу, вы даёте согласие на обработку ваших персональных данных на условиях настоящей Политики.
1. Основные понятия
Персональные данные (ПД) — любая информация, относящаяся прямо или косвенно к определённому физическому лицу (субъекту ПД).
Обработка ПД — любое действие с персональными данными: сбор, запись, систематизация, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление.
Оператор — ИП Иванов А.В., самостоятельно организующее и осуществляющее обработку ПД.
Субъект ПД — физическое лицо, персональные данные которого обрабатываются.
Cookies — небольшие текстовые файлы, сохраняемые браузером пользователя для обеспечения работы Сайта.
2. Перечень обрабатываемых персональных данных
2.1. При регистрации и использовании аккаунта:
— Имя, фамилия, отчество (ФИО);
— Адрес электронной почты (email);
— Номер мобильного телефона;
— Город / регион проживания;
— Роль на Платформе (клиент, мастер, ИП).
2.2. При верификации исполнителей (дополнительно):
— ИНН (в зашифрованном виде);
— Статус плательщика НПД или реквизиты свидетельства ИП;
— Фотографии профиля и портфолио (загружаются добровольно);
— Специализация, описание опыта, категории услуг.
2.3. При финансовых операциях:
— История заказов и транзакций;
— Реквизиты для вывода средств (передаются напрямую платёжной системе);
— Сведения о балансе Кошелька.
2.4. Технические данные (собираются автоматически):
— IP-адрес;
— Тип браузера и операционной системы;
— Данные Cookies и идентификаторы сессий;
— Страницы Сайта, которые посещал пользователь, дата и время посещений.
3. Цели и правовые основания обработки
| Цель | Правовое основание |
|---|---|
| Регистрация и идентификация пользователя | Договор (ст. 6 ч. 1 п. 5 152-ФЗ) |
| Организация взаимодействия Клиента и Исполнителя | Договор, согласие |
| Проведение расчётов через Т-Банк | Договор, законодательство |
| Верификация статуса исполнителя (ИНН, НПД) | Согласие субъекта ПД |
| Направление уведомлений о заказах и системных событиях | Договор, согласие |
| Исполнение требований 115-ФЗ (ПОД/ФТ) | Юридическое обязательство |
| Статистика и улучшение Сервиса | Законный интерес (в обезличенном виде) |
3а. Общедоступность персональных данных
Обрабатываемые Оператором персональные данные не являются общедоступными.
Оператор не осуществляет обработку персональных данных из общедоступных источников (справочников, адресных книг, реестров и иных источников), а также не публикует персональные данные субъектов в открытом доступе без их явного согласия.
Персональные данные пользователей Платформы (ФИО, email, номер телефона, ИНН, история операций) являются конфиденциальными и доступны только:
— самому субъекту персональных данных — через его личный кабинет;
— уполномоченным сотрудникам Оператора — исключительно в объёме, необходимом для выполнения служебных обязанностей;
— третьим лицам — только в случаях, прямо предусмотренных разделом 5 настоящей Политики (платёжный оператор, уполномоченные государственные органы).
Публичный профиль мастера (имя, специализация, рейтинг, портфолио) формируется из данных, добровольно и осознанно размещённых пользователем в открытой части Платформы, и не содержит контактных, финансовых или идентификационных сведений.
4. Сроки хранения персональных данных
4.1. Данные учётной записи хранятся в течение всего срока действия договора (пока аккаунт активен) и 3 (три) года после его удаления — в соответствии с требованиями гражданского законодательства РФ о сроках исковой давности.
4.2. Финансовые данные и история транзакций хранятся 5 (пять) лет с момента совершения операции в соответствии с требованиями 115-ФЗ и бухгалтерского законодательства.
4.3. Технические данные (логи, IP-адреса) хранятся не более 1 (одного) года.
4.4. Cookies сессии удаляются при закрытии браузера. Постоянные Cookies хранятся не более 1 (одного) года.
4.5. По истечении сроков хранения данные уничтожаются или обезличиваются.
5. Передача персональных данных третьим лицам
5.1. Оператор не продаёт и не передаёт персональные данные Пользователей третьим лицам в коммерческих целях без их явного согласия.
5.2. Передача данных осуществляется в следующих случаях:
— АО «ТБанк» — для обработки платежей. Передаются только данные, необходимые для проведения транзакции;
— Сервисы уведомлений (email, SMS) — для отправки системных сообщений;
— Уполномоченные государственные органы РФ — при наличии законных оснований (судебный запрос, предписание Роскомнадзора, ФНС и т. д.).
5.3. Трансграничная передача персональных данных Оператором не осуществляется. Все серверы расположены на территории Российской Федерации.
6. Меры по обеспечению безопасности персональных данных
6.1. Меры в соответствии со ст. 18.1 Федерального закона № 152-ФЗ (организационные меры)
В целях обеспечения выполнения обязанностей оператора Оператор осуществляет:
— Назначение лица, ответственного за организацию обработки персональных данных;
— Издание документов, определяющих политику Оператора в отношении обработки персональных данных, а также локальных актов по вопросам обработки и защиты ПД;
— Применение правовых, организационных и технических мер для обеспечения безопасности ПД в соответствии с требованиями законодательства;
— Осуществление внутреннего контроля и/или аудита соответствия обработки ПД требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике Оператора в отношении обработки ПД, локальным актам Оператора;
— Оценку вреда, который может быть причинён субъектам ПД в случае нарушения требований 152-ФЗ;
— Ознакомление работников Оператора, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите ПД, настоящей Политикой и локальными актами Оператора.
6.2. Меры в соответствии со ст. 19 Федерального закона № 152-ФЗ (технические и организационные меры)
Для обеспечения безопасности персональных данных при их обработке Оператор принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий:
а) Организационные меры:
— Определение угроз безопасности ПД при их обработке в информационных системах ПД;
— Применение организационных и технических мер по обеспечению безопасности ПД при их обработке, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные уровни защищённости;
— Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
— Оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;
— Учёт машинных носителей персональных данных;
— Обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
— Разработка и утверждение порядка реагирования на инциденты безопасности ПД;
— Контроль за принимаемыми мерами по обеспечению безопасности ПД и уровнем защищённости информационных систем ПД.
б) Технические меры:
— Передача данных исключительно по защищённому протоколу HTTPS/TLS 1.2–1.3 (шифрование транспортного уровня);
— Хранение паролей пользователей в необратимо хэшированном виде (bcrypt); чувствительные реквизиты — в зашифрованном виде;
— Разграничение прав доступа к базам данных и административным интерфейсам по принципу минимальных привилегий;
— Применение межсетевых экранов и систем обнаружения вторжений на уровне сервера;
— Защита от основных веб-угроз: CSRF-токены для всех форм, экранирование данных для предотвращения SQL-инъекций и XSS, ограничение частоты запросов (rate limiting);
— Регулярное резервное копирование баз данных с хранением резервных копий в изолированном хранилище;
— Ведение журналов доступа и аудита операций с персональными данными;
— Физическая защита серверного оборудования (размещение в сертифицированном дата-центре облачного провайдера на территории РФ);
— Периодическое обновление программного обеспечения и устранение выявленных уязвимостей.
6.3. При выявлении утечки или несанкционированного доступа к персональным данным Оператор обязуется в течение 24 часов уведомить Роскомнадзор, а в течение 72 часов — направить уведомление с результатами внутреннего расследования в соответствии с требованиями 152-ФЗ. Субъекты ПД, чьи данные были скомпрометированы, уведомляются незамедлительно.
6а. Использование шифровальных (криптографических) средств
6а.1. В деятельности Оператора применяются следующие криптографические средства и механизмы защиты информации:
а) Защита канала передачи данных:
— Протокол TLS 1.2 / TLS 1.3 (Transport Layer Security) — обеспечивает шифрование всего трафика между браузером пользователя и сервером Платформы. Используется в составе веб-сервера Nginx совместно с библиотекой OpenSSL;
— SSL/TLS-сертификат выдан удостоверяющим центром Let's Encrypt (аккредитованный УЦ). Сертификат подтверждает подлинность домена sakhmaster.ru и обеспечивает аутентификацию сервера;
— Соединения по незащищённому протоколу HTTP автоматически перенаправляются на HTTPS (301 Redirect). Заголовок HSTS (HTTP Strict Transport Security) запрещает браузеру устанавливать незащищённые соединения.
б) Защита данных аутентификации:
— Пароли пользователей хранятся исключительно в виде необратимого хэша, вычисленного по алгоритму bcrypt (cost factor ≥ 10) с индивидуальной солью. Восстановление исходного пароля из хэша технически невозможно;
— Токены сессий генерируются криптографически стойким генератором псевдослучайных чисел (CSPRNG) и хранятся в зашифрованных Cookies с атрибутами HttpOnly и Secure;
— CSRF-токены формируются с применением CSPRNG и привязываются к пользовательской сессии.
в) Защита платёжных данных:
— Оператор не хранит данные банковских карт (номер, CVV, срок действия). Все платёжные операции выполняются на стороне АО «ТБанк» — оператора по переводу денежных средств, лицензированного Банком России, применяющего сертифицированные СКЗИ и соответствующего требованиям стандарта PCI DSS;
— Взаимодействие Платформы с API Т-Банка осуществляется по протоколу HTTPS с проверкой подлинности запросов посредством цифровой подписи (HMAC-SHA256).
г) Правовой статус применяемых криптографических средств:
— Применяемые Оператором криптографические механизмы (TLS, bcrypt, HMAC) являются встроенными функциями стандартного общедоступного программного обеспечения (Nginx, OpenSSL, PHP, Laravel) и не относятся к шифровальным средствам, подлежащим обязательной сертификации ФСБ России в соответствии с Постановлением Правительства РФ от 16.04.2012 № 313 (деятельность по пункту 1 Перечня лицензируемых видов работ не осуществляется);
— Оператор не разрабатывает, не производит и не распространяет шифровальные (криптографические) средства; криптография используется исключительно для защиты собственных информационных систем и персональных данных пользователей Платформы.
6а.2. Класс применяемых СКЗИ:
Применяемые Оператором криптографические средства относятся к классу КС1 — защита от атак, осуществляемых из-за пределов контролируемой зоны (удалённые сетевые атаки). Основания:
— используются программные реализации алгоритмов в составе стандартного общедоступного ПО (OpenSSL, PHP) без применения аппаратных криптографических модулей (HSM, токенов, смарт-карт);
— физический доступ к серверному оборудованию исключён организационными мерами дата-центра облачного провайдера (cloud.ru) на территории РФ;
— информационная система Оператора не является государственной информационной системой и не обрабатывает сведения, составляющие государственную тайну.
Классы КС2, КС3, КВ, КА Оператором не применяются.
6а.3. Перечень применяемых криптографических алгоритмов:
| Алгоритм / протокол | Назначение | Компонент |
|---|---|---|
| TLS 1.2 / TLS 1.3 | Шифрование трафика | Nginx + OpenSSL |
| bcrypt (cost ≥ 10) | Хэширование паролей | PHP / Laravel |
| HMAC-SHA256 | Подпись API-запросов к Т-Банку | TinkoffService |
| CSPRNG (random_bytes) | Генерация токенов сессий и CSRF | PHP / Laravel |
| AES-256 (через платформу) | Шифрование резервных копий БД | Облачный провайдер |
6б. Меры по ПП РФ от 01.11.2012 № 1119
6б.1. Определение уровня защищённости (УЗ)
В соответствии с п. 8 ПП РФ № 1119 уровень защищённости информационной системы персональных данных Оператора определяется на основании следующих характеристик:
— Категория ПД: иные персональные данные (не специальные, не биометрические) — ФИО, email, телефон, ИНН, история операций;
— Субъекты ПД: физические лица, не являющиеся сотрудниками Оператора (пользователи Платформы);
— Количество субъектов: менее 100 000 человек (на текущем этапе);
— Актуальный тип угроз: угрозы 3-го типа (актуальны угрозы, связанные с наличием недекларированных возможностей в прикладном программном обеспечении). Угрозы 1-го и 2-го типов (наличие НДВ в системном ПО и гипервизоре) признаются неактуальными.
На основании п. 8 (пп. «г») ПП РФ № 1119 установленный уровень защищённости — УЗ-4.
6б.2. Перечень мер, реализуемых Оператором
Для уровня защищённости УЗ-4 обязательными являются меры, установленные п. 13 ПП РФ № 1119:
п. 13 «а» — Организация режима безопасности помещений:
Серверное оборудование, на котором функционирует информационная система, размещено в дата-центре ООО «Облачные технологии» (Cloud.ru, г. Москва). Дата-центр соответствует стандарту Tier III и обеспечивает: пропускной режим, видеонаблюдение, физическую охрану, ограниченный доступ в серверные залы только для авторизованного персонала. Оператор не имеет собственных серверных помещений — физическая защита полностью обеспечивается провайдером в рамках договора об оказании услуг.
п. 13 «б» — Обеспечение сохранности носителей ПД:
Носителями персональных данных являются виртуальные диски облачной инфраструктуры и резервные копии базы данных. Меры: регулярное автоматическое резервное копирование; резервные копии хранятся в изолированном хранилище; физические носители (HDD/SSD) не используются и не передаются за пределы дата-центра провайдера. Уничтожение данных осуществляется посредством программного удаления с последующим уничтожением виртуального образа диска.
п. 13 «в» — Перечень лиц, имеющих доступ к ПД:
Утверждён внутренним документом Оператора перечень лиц, которым предоставлен доступ к персональным данным, обрабатываемым в информационной системе, в объёме, необходимом для выполнения должностных обязанностей. Доступ к административной панели (Filament) и базе данных ограничен: выдаётся только ответственному лицу Оператора и при необходимости — техническим специалистам, привлечённым на основании соглашения о конфиденциальности.
п. 13 «г» — Средства защиты информации:
Применяемые средства защиты соответствуют требованиям законодательства РФ. Используются: межсетевые экраны (firewall) на уровне облачной инфраструктуры провайдера; встроенные механизмы защиты ОС Ubuntu Server (SELinux/AppArmor); средства обнаружения вторжений; HTTPS/TLS для защиты канала передачи. Оценка соответствия средств защиты проводится в составе сертификации платформы облачного провайдера. Применение отдельных сертифицированных ФСБ/ФСТЭК средств для нейтрализации актуальных угроз УЗ-4 нормативно не требуется.
Дополнительно, в соответствии с принятой Политикой и лучшими практиками, Оператор также реализует меры, предусмотренные п. 14 ПП РФ № 1119 для УЗ-3 (хотя формально не обязан при УЗ-4):
— п. 14 — Назначение ответственного лица: назначено должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе.
7. Cookies и технические идентификаторы
7.1. Платформа использует следующие категории Cookies:
— Обязательные — для работы авторизации, CSRF-защиты и пользовательской сессии. Отключение делает использование Сайта невозможным;
— Функциональные — для сохранения настроек (язык, тема, регион);
— Аналитические — для сбора обезличенной статистики посещаемости (если подключены соответствующие сервисы).
7.2. Пользователь может управлять Cookies через настройки браузера. Отключение аналитических и функциональных Cookies не влияет на основной функционал Платформы.
8. Права субъектов персональных данных
В соответствии со ст. 14–17 Федерального закона № 152-ФЗ каждый Пользователь вправе:
— Получить информацию о составе, целях и способах обработки своих ПД;
— Уточнить неверные или неактуальные данные;
— Заблокировать обработку своих ПД при обнаружении нарушений;
— Потребовать уничтожения персональных данных (право на удаление);
— Отозвать согласие на обработку ПД (отзыв не означает удаление данных, уже законно обрабатываемых на иных основаниях);
— Обратиться с жалобой в Роскомнадзор (rkn.gov.ru).
Для реализации прав направьте запрос на privacy@sakhmaster.ru. Срок рассмотрения — 30 (тридцать) дней.
9. Изменения Политики
9.1. Оператор вправе в одностороннем порядке изменять настоящую Политику. Новая редакция вступает в силу с момента публикации на Сайте.
9.2. Продолжение использования Платформы после публикации новой редакции означает согласие с её условиями.
9.3. При существенных изменениях, затрагивающих права субъектов ПД, Оператор уведомляет Пользователей по email не менее чем за 7 (семь) дней до вступления изменений в силу.
Реквизиты Оператора
ИП Иванов Александр Викторович
ИНН: 650502561329 · ОГРНИП: 326650000016818
Адрес: г. Южно-Сахалинск, Сахалинская обл.
Email для запросов по ПД: privacy@sakhmaster.ru
Надзорный орган: Роскомнадзор (rkn.gov.ru)