ПРАВИЛА СБОРА, ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИП Шапран Андрей Сергеевич
Сервис «Эшка»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила устанавливают порядок организации работы по обеспечению безопасности персональных данных в информационных системах сервиса «Эшка».
1.2. Правила разработаны в соответствии с:
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»
Постановлением Правительства РФ от 01.11.2012 № 1119
Приказом ФСТЭК России от 18.02.2013 № 21
1.3. Действие настоящих Правил распространяется на все персональные данные пользователей, обрабатываемые в информационной системе Сервиса.
2. КЛАССИФИКАЦИЯ ОБРАБАТЫВАЕМЫХ ДАННЫХ
2.1. В информационной системе Сервиса обрабатываются персональные данные 3-й категории (иные персональные данные, не относящиеся к специальным или биометрическим):
Категория данных Тип Необходимость
Email адрес Идентификатор Обязательно
Имя пользователя Идентификатор Обязательно
Хэш пароля Аутентификация Обязательно
Дата регистрации Технический Автоматически
Дата последнего входа Технический Автоматически
IP-адрес Технический Автоматически
Баланс эшек Игровой В процессе использования
2.2. Специальные категории персональных данных (расовое происхождение, политические взгляды, состояние здоровья и т.д.) не обрабатываются.
3. ПОРЯДОК СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Сбор персональных данных осуществляется исключительно с согласия субъекта персональных данных.
3.2. Согласие на обработку персональных данных фиксируется в момент регистрации путём принятия пользователем Политики конфиденциальности и настоящих Правил.
3.3. Субъект персональных данных предоставляет данные самостоятельно посредством заполнения регистрационной формы на сайте Сервиса.
3.4. Минимизация данных: Оператор собирает только те данные, которые необходимы для достижения заявленных целей обработки.
4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных осуществляется с использованием средств автоматизации.
4.2. Допустимые действия с персональными данными:
Сбор и запись в базу данных
Систематизация и накопление
Хранение и уточнение (обновление)
Извлечение и использование
Передача уполномоченным лицам
Обезличивание и блокирование
Удаление и уничтожение
4.3. Обработка персональных данных осуществляется на основании:
Согласия субъекта персональных данных
Необходимости исполнения договора с субъектом
Законных интересов Оператора
4.4. Автоматизированная обработка осуществляется с использованием:
СУБД PostgreSQL (хранение данных)
Node.js / Express.js (обработка запросов)
Prisma ORM (взаимодействие с базой данных)
5. ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ
5.1. Защита паролей:
Пароли хранятся исключительно в виде хэша (bcrypt, 12 раундов)
Передача паролей в открытом виде по сети не допускается
Минимальная длина пароля — 8 символов
5.2. Защита сессий:
Аутентификация осуществляется посредством JWT-токенов
Access-токен имеет срок действия 60 минут
Refresh-токен имеет срок действия 30 дней
При выходе из системы токены аннулируются
5.3. Защита канала передачи:
Все данные передаются по протоколу HTTPS
SSL/TLS сертификат выдан для домена
Незащищённые HTTP-соединения перенаправляются на HTTPS
5.4. Защита от перебора:
Ограничение количества запросов (rate limiting) на все эндпоинты аутентификации
Блокировка аккаунта администратором при подозрительной активности
5.5. Защита базы данных:
База данных доступна только с сервера приложения
Доступ к серверу осуществляется по SSH-ключам
Регулярное резервное копирование базы данных
6. ПОРЯДОК ХРАНЕНИЯ ДАННЫХ
6.1. Все персональные данные хранятся на серверах, физически расположенных в Российской Федерации.
6.2. Сроки хранения персональных данных:
Тип данных Срок хранения
Данные активного аккаунта Бессрочно (до удаления аккаунта)
Данные после удаления аккаунта 30 дней
Коды верификации email 15 минут
Коды восстановления пароля 15 минут
JWT Refresh-токены 30 дней
Технические логи 90 дней
6.3. По истечении установленных сроков данные уничтожаются автоматически средствами СУБД.
7. ПОРЯДОК УДАЛЕНИЯ ДАННЫХ
7.1. Персональные данные подлежат удалению в следующих случаях:
По запросу субъекта персональных данных
По истечении установленных сроков хранения
При достижении целей обработки
7.2. При получении запроса на удаление данных Оператор обязан:
Рассмотреть запрос в течение 30 календарных дней
Уведомить пользователя о принятом решении
Произвести удаление данных из всех систем
7.3. Удаление аккаунта влечёт за собой:
Удаление всех персональных данных пользователя
Удаление сессий и токенов авторизации
Удаление кодов верификации
Обнуление баланса эшек
8. ПОРЯДОК РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ
8.1. В случае выявления утечки или несанкционированного доступа к персональным данным Оператор обязан:
В течение 24 часов:
Локализовать инцидент
Оценить масштаб утечки
Начать расследование
В течение 72 часов:
Уведомить Роскомнадзор согласно ст. 21 ФЗ-152
Уведомить пострадавших пользователей по email
Принять меры по устранению последствий
8.2. Уведомление пользователей включает:
Описание характера инцидента
Перечень скомпрометированных данных
Рекомендации по защите
9. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ДАННЫХ
9.1. Трансграничная передача персональных данных (за пределы РФ) осуществляется только через сервис Unisender для доставки email-уведомлений.
9.2. При использовании Unisender за пределы РФ передаётся исключительно адрес электронной почты получателя.
9.3. Иная трансграничная передача персональных данных не осуществляется.
10. ОТВЕТСТВЕННОСТЬ
10.1. Лицом, ответственным за организацию обработки персональных данных, является:
ИП Шапран Андрей Сергеевич
10.2. Оператор несёт ответственность за нарушение требований законодательства в области персональных данных в соответствии с действующим законодательством Российской Федерации.
10.3. По всем вопросам обработки персональных данных обращайтесь:
Email: shapran89@mail.ru
Документ введён в действие: 25 мая 2025 года
Оператор: ИП Шапран Андрей Сергеевич, ИНН 590515829307
Сервис «Эшка»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила устанавливают порядок организации работы по обеспечению безопасности персональных данных в информационных системах сервиса «Эшка».
1.2. Правила разработаны в соответствии с:
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»
Постановлением Правительства РФ от 01.11.2012 № 1119
Приказом ФСТЭК России от 18.02.2013 № 21
1.3. Действие настоящих Правил распространяется на все персональные данные пользователей, обрабатываемые в информационной системе Сервиса.
2. КЛАССИФИКАЦИЯ ОБРАБАТЫВАЕМЫХ ДАННЫХ
2.1. В информационной системе Сервиса обрабатываются персональные данные 3-й категории (иные персональные данные, не относящиеся к специальным или биометрическим):
Категория данных Тип Необходимость
Email адрес Идентификатор Обязательно
Имя пользователя Идентификатор Обязательно
Хэш пароля Аутентификация Обязательно
Дата регистрации Технический Автоматически
Дата последнего входа Технический Автоматически
IP-адрес Технический Автоматически
Баланс эшек Игровой В процессе использования
2.2. Специальные категории персональных данных (расовое происхождение, политические взгляды, состояние здоровья и т.д.) не обрабатываются.
3. ПОРЯДОК СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Сбор персональных данных осуществляется исключительно с согласия субъекта персональных данных.
3.2. Согласие на обработку персональных данных фиксируется в момент регистрации путём принятия пользователем Политики конфиденциальности и настоящих Правил.
3.3. Субъект персональных данных предоставляет данные самостоятельно посредством заполнения регистрационной формы на сайте Сервиса.
3.4. Минимизация данных: Оператор собирает только те данные, которые необходимы для достижения заявленных целей обработки.
4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных осуществляется с использованием средств автоматизации.
4.2. Допустимые действия с персональными данными:
Сбор и запись в базу данных
Систематизация и накопление
Хранение и уточнение (обновление)
Извлечение и использование
Передача уполномоченным лицам
Обезличивание и блокирование
Удаление и уничтожение
4.3. Обработка персональных данных осуществляется на основании:
Согласия субъекта персональных данных
Необходимости исполнения договора с субъектом
Законных интересов Оператора
4.4. Автоматизированная обработка осуществляется с использованием:
СУБД PostgreSQL (хранение данных)
Node.js / Express.js (обработка запросов)
Prisma ORM (взаимодействие с базой данных)
5. ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ
5.1. Защита паролей:
Пароли хранятся исключительно в виде хэша (bcrypt, 12 раундов)
Передача паролей в открытом виде по сети не допускается
Минимальная длина пароля — 8 символов
5.2. Защита сессий:
Аутентификация осуществляется посредством JWT-токенов
Access-токен имеет срок действия 60 минут
Refresh-токен имеет срок действия 30 дней
При выходе из системы токены аннулируются
5.3. Защита канала передачи:
Все данные передаются по протоколу HTTPS
SSL/TLS сертификат выдан для домена
Незащищённые HTTP-соединения перенаправляются на HTTPS
5.4. Защита от перебора:
Ограничение количества запросов (rate limiting) на все эндпоинты аутентификации
Блокировка аккаунта администратором при подозрительной активности
5.5. Защита базы данных:
База данных доступна только с сервера приложения
Доступ к серверу осуществляется по SSH-ключам
Регулярное резервное копирование базы данных
6. ПОРЯДОК ХРАНЕНИЯ ДАННЫХ
6.1. Все персональные данные хранятся на серверах, физически расположенных в Российской Федерации.
6.2. Сроки хранения персональных данных:
Тип данных Срок хранения
Данные активного аккаунта Бессрочно (до удаления аккаунта)
Данные после удаления аккаунта 30 дней
Коды верификации email 15 минут
Коды восстановления пароля 15 минут
JWT Refresh-токены 30 дней
Технические логи 90 дней
6.3. По истечении установленных сроков данные уничтожаются автоматически средствами СУБД.
7. ПОРЯДОК УДАЛЕНИЯ ДАННЫХ
7.1. Персональные данные подлежат удалению в следующих случаях:
По запросу субъекта персональных данных
По истечении установленных сроков хранения
При достижении целей обработки
7.2. При получении запроса на удаление данных Оператор обязан:
Рассмотреть запрос в течение 30 календарных дней
Уведомить пользователя о принятом решении
Произвести удаление данных из всех систем
7.3. Удаление аккаунта влечёт за собой:
Удаление всех персональных данных пользователя
Удаление сессий и токенов авторизации
Удаление кодов верификации
Обнуление баланса эшек
8. ПОРЯДОК РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ
8.1. В случае выявления утечки или несанкционированного доступа к персональным данным Оператор обязан:
В течение 24 часов:
Локализовать инцидент
Оценить масштаб утечки
Начать расследование
В течение 72 часов:
Уведомить Роскомнадзор согласно ст. 21 ФЗ-152
Уведомить пострадавших пользователей по email
Принять меры по устранению последствий
8.2. Уведомление пользователей включает:
Описание характера инцидента
Перечень скомпрометированных данных
Рекомендации по защите
9. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ДАННЫХ
9.1. Трансграничная передача персональных данных (за пределы РФ) осуществляется только через сервис Unisender для доставки email-уведомлений.
9.2. При использовании Unisender за пределы РФ передаётся исключительно адрес электронной почты получателя.
9.3. Иная трансграничная передача персональных данных не осуществляется.
10. ОТВЕТСТВЕННОСТЬ
10.1. Лицом, ответственным за организацию обработки персональных данных, является:
ИП Шапран Андрей Сергеевич
10.2. Оператор несёт ответственность за нарушение требований законодательства в области персональных данных в соответствии с действующим законодательством Российской Федерации.
10.3. По всем вопросам обработки персональных данных обращайтесь:
Email: shapran89@mail.ru
Документ введён в действие: 25 мая 2025 года
Оператор: ИП Шапран Андрей Сергеевич, ИНН 590515829307