Не «потом разберёмся». Compliance заложен в архитектуру с первого дня. Готовы к проверке РКН.
Уведомление РКН, политика конфиденциальности, согласия на обработку ПДн — шаблоны и автоматическая фиксация согласий пользователей.
Yandex Cloud (ru-central1, Москва). База данных, медиа-файлы, бэкапы — всё физически на российских серверах. Никаких AWS, Stripe, Firebase, Google Analytics.
API-ключи интеграций шифруются AES-256-GCM с ротацией. JWT-сессии, rate-limit на логине, защита от перебора паролей.
Все действия в AdminAuditLog. Автобэкапы БД каждый час + Object Storage versioning для медиа.
Email, телефон, имя — для авторизации и связи. Хранится в зашифрованной БД YC, доступ только у вас по JWT.
Имя, телефон, email, сообщение — обрабатываются с согласия пользователя (галочка под формой со ссылкой на политику). Лиды моментально передаются в подключённую CRM, у нас хранятся максимум 90 дней.
Анонимные данные о посещаемости — только после явного согласия пользователя через cookie-banner. Без согласия — счётчик не запускается, ПДн не собирается.
Биометрические данные, специальные категории ПДн (медицинские, политические взгляды, и т.п.), банковские реквизиты (платежи проходят напрямую через ЮKassa/СБП, минуя наш сервер).
Готовы предоставить DPIA (оценка воздействия на ПДн) и пройти аудит compliance перед подписанием договора.
Написать в security