Политика обработки персональных данных

1. Общие положения

Настоящая Политика определяет порядок обработки персональных данных (далее — «ПДн») пользователей сайта apibuild.ru и SaaS-платформы Apibuild оператором — самозанятым Кузнецовым Александром Павловичем (ИНН 332762220122, далее — «Оператор»).

Использование сайта означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки ПДн.

Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «ФЗ-152»).

2. Какие данные собираются

2.1. Данные администраторов аккаунта (пользователей Платформы)

• Фамилия, имя, отчество или имя пользователя
• Контактные данные: email, номер телефона, Telegram-ник
• Учётные данные: логин, хешированный пароль (мы не храним пароли в открытом виде)
• Информация о тарифном плане и платежах
• Лог-данные действий в админке (время входа, IP-адрес, тип браузера)

2.2. Данные конечных пользователей сайтов, созданных через Платформу

• Контактные данные из лид-форм: имя, телефон, email, сообщение
• Данные заказов из e-commerce функционала: адрес доставки, состав заказа
• Cookies аналитики (только после согласия пользователя)

2.3. Автоматически собираемые данные

• IP-адрес, информация о браузере и операционной системе
• Источник перехода (referrer)
• Действия на сайте (только аналитические агрегаты, без идентификации)

3. Цели обработки

• Предоставление доступа к Платформе и оказание услуг по договору
• Передача лидов с сайтов Заказчиков в их CRM-системы
• Связь с пользователями по вопросам сервиса (поддержка, уведомления о работе Платформы)
• Анализ использования сайта для улучшения продукта (только агрегированно)
• Исполнение требований законодательства РФ (хранение чеков по ФЗ-422 и т.п.)

4. Правовые основания обработки

• ст. 6 ч. 1 п. 5 ФЗ-152 — обработка необходима для исполнения договора, стороной которого является субъект ПДн
• ст. 6 ч. 1 п. 1 ФЗ-152 — согласие субъекта ПДн (для аналитических cookies и маркетинговых рассылок)
• ст. 6 ч. 1 п. 2 ФЗ-152 — обработка необходима для достижения целей, предусмотренных международным договором или законом

5. Сроки хранения

• Данные администраторов аккаунта — в течение срока действия договора + 3 года после прекращения
• Лиды конечных пользователей сайтов Заказчика — не более 90 дней (после передачи в CRM Заказчика)
• Финансовые документы (чеки) — 4 года в соответствии с НК РФ
• Логи доступа — 6 месяцев
• Аналитические cookies — 12 месяцев (или до отзыва согласия)

6. Передача третьим лицам

ПДн могут передаваться следующим третьим лицам исключительно в целях исполнения договора:

• Yandex Cloud (хостинг-провайдер, серверы в РФ, регион ru-central1) — на основании договора о соответствии 152-ФЗ
• Yandex.Metrika (только после согласия пользователя на аналитические cookies)
• Платёжные системы и интеграции, которые подключил Заказчик (ЮKassa, Тинькофф, СБП, amoCRM, Битрикс24, Wazzup24 и т.д.) — для исполнения функционала Платформы

Оператор не передаёт ПДн третьим лицам в коммерческих или маркетинговых целях.

7. Cookies и веб-аналитика

Подробности — в отдельной Политике cookies. Кратко:

• Технические cookies (необходимые для работы сайта) — загружаются без согласия
• Аналитические cookies (Yandex.Metrika) — только после явного согласия пользователя через cookie-баннер
• Google Analytics, Facebook Pixel и иные зарубежные счётчики НЕ используются

8. Права субъектов ПДн

Вы имеете право:

• Получать информацию о своих данных, которые мы обрабатываем
• Требовать уточнения, блокирования или удаления данных в случае их неточности
• Отзывать согласие на обработку — это автоматически прекращает дальнейшую обработку (за исключением случаев, предусмотренных законом)
• Обжаловать действия Оператора в Роскомнадзоре

Запросы направляйте на email hello@apibuild.ru. Срок ответа — не более 10 рабочих дней.

9. Меры защиты

• Хранение данных на серверах Yandex Cloud в РФ соответствует требованиям ст. 18.1 ФЗ-152
• Соединения с сайтом защищены HTTPS (TLS 1.2+)
• Секреты (API-ключи интеграций, токены) шифруются AES-256-GCM
• Пароли хешируются с использованием bcrypt
• Регулярные бэкапы базы данных (каждый час) с шифрованием
• Audit-log всех действий администраторов
• Защита от brute-force через rate-limit на /admin/login

10. Дети

Платформа не предназначена для использования лицами младше 18 лет. Оператор не собирает сознательно ПДн детей. Если вам стало известно, что несовершеннолетний предоставил нам ПДн без согласия родителей — сообщите на hello@apibuild.ru, данные будут удалены в течение 24 часов.

11. Изменения политики

Оператор оставляет за собой право вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента публикации на сайте. Существенные изменения дополнительно уведомляются через email или внутри личного кабинета. Дата текущей редакции указана в начале документа.

12. Контакты оператора