[квадратных скобках] заполняет оператор.Политика обработки персональных данных
Сервис CloudStrix Integra · integra.cloudstrix.ru · редакция от [ДД.ММ.ГГГГ]
1. Общие положения и оператор
Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и определяет порядок обработки персональных данных (ПДн) в облачном сервисе CloudStrix Integra (далее — Сервис), доступном по адресу integra.cloudstrix.ru.
Оператор: [полное наименование ООО], ИНН [ИНН], адрес [юридический адрес]. Контакт по вопросам ПДн: [privacy@cloudstrix.ru].
Сервис — мультитенантная платформа видеонаблюдения и контроля доступа (СКУД) для объектов заказчиков (далее — Тенанты). Регистрируясь в Сервисе, пользователь подтверждает ознакомление с настоящей Политикой и даёт согласие на обработку ПДн в описанных целях.
2. Цели обработки
- идентификация и аутентификация пользователей (регистрация, вход);
- предоставление функционала: видеонаблюдение, СКУД, хранение записей, журналы событий;
- исполнение договора с Тенантом; обеспечение безопасности объектов и расследование инцидентов;
- сервисные уведомления (в т.ч. через Telegram);
- формирование аналитических ИИ-сводок (в псевдонимизированном виде — см. раздел 6);
- ведение журналов аудита и исполнение требований законодательства РФ.
3. Категории субъектов и персональных данных
Сервис обрабатывает следующие категории ПДн:
| Категория | Данные | Цель |
|---|---|---|
| Учётные данные | e-mail, хэш пароля | доступ к Сервису |
| Сотрудники Тенанта | ФИО, должность, отдел | СКУД, отчёты |
| Идентификаторы СКУД | UID карт доступа | контроль прохода |
| Видеоматериалы | записи и снимки с камер | безопасность объектов |
| Контакты уведомлений | Telegram chat_id | отправка уведомлений |
| Технические | cookies сессии / access_token (httpOnly) | работа Сервиса |
Биометрия. Распознавание лиц и идентификация личности по биометрическим характеристикам Сервисом не выполняются. Видеоматериалы могут содержать изображения людей, но обрабатываются исключительно как видеозаписи в целях безопасности.
Сервис не использует аналитические/трекинговые cookies и системы веб-аналитики (Яндекс.Метрика, Google Analytics и аналоги не применяются).
4. Правовые основания
- согласие субъекта ПДн (ст. 6 ч. 1 п. 1 152-ФЗ) — при регистрации;
- исполнение договора (ст. 6 ч. 1 п. 5);
- законные интересы оператора и Тенанта — безопасность объектов (ст. 6 ч. 1 п. 7);
- исполнение обязанностей по закону — аудит, предписания (ст. 6 ч. 1 п. 2).
Тенант, вносящий ПДн своих сотрудников и посетителей, самостоятельно обеспечивает надлежащие правовые основания (ст. 86–90 ТК РФ).
5. Порядок и условия обработки. Локализация в РФ
Все ПДн хранятся и обрабатываются на территории Российской Федерации: серверы приложения (прод и staging) — провайдер Beget (РФ); база данных PostgreSQL и объектное хранилище (видеоархив) — Beget Cloud Storage, регион ru-1 (РФ); почтовые уведомления — smtp.beget.com (РФ). Требование ст. 18.5 152-ФЗ о локализации баз данных соблюдается. Передача данных осуществляется по защищённым каналам (TLS 1.2+).
6. Трансграничная передача
| Получатель | Юрисдикция | Что передаётся |
|---|---|---|
| iVideon (api.ivideon.com) | РФ | видеопотоки, архив — данные остаются в РФ |
| OpenRouter | США | только псевдонимизированные данные (п. 6.2) |
| Ollama Cloud | США | только псевдонимизированные данные (п. 6.2) |
| Telegram | глобально | chat_id, текст уведомлений |
6.2. Псевдонимизация перед передачей. Перед отправкой в OpenRouter и Ollama Cloud все прямые идентификаторы (UID, ФИО, e-mail, телефоны, IP) заменяются на необратимые sha256-хэши. Сырые ПДн граждан РФ не покидают территорию Российской Федерации; обратная де-псевдонимизация на стороне внешних провайдеров технически невозможна.
7. Сроки хранения и уничтожение
- видеозаписи и снимки — в соответствии с тарифом Тенанта; по истечении срока удаляются автоматически;
- события и журналы — ограниченный срок, задаваемый оператором/Тенантом;
- учётные данные — на срок действия учётной записи; уничтожаются (псевдонимизируются) при её удалении;
- уничтожение — в течение 30 дней с момента достижения цели/отзыва согласия и в течение 10 рабочих дней по обоснованному требованию субъекта или уполномоченного органа.
8. Права субъекта ПДн
Субъект вправе получать информацию об обработке, требовать уточнения, блокирования или уничтожения ПДн, отзывать согласие. Запросы направляются на [privacy@cloudstrix.ru] и рассматриваются в срок не более 10 рабочих дней.
Удаление учётной записи. Пользователь может удалить учётную запись через Сервис (DELETE /api/v1/me): прямые идентификаторы заменяются на необратимые хэши; журнал аудита сохраняется в обезличенном виде в соответствии с требованиями безопасности.
9. Файлы cookie
Сервис использует исключительно технические (строго необходимые) cookies — сессии и маркер аутентификации access_token — с атрибутом httpOnly. Аналитические, трекинговые и рекламные cookies, а также системы веб-аналитики не используются.
10. Меры защиты
Аутентификация (JWT), ролевая изоляция данных Тенантов на уровне СУБД, шифрование канала (TLS 1.2/1.3, HSTS), шифрование чувствительных интеграционных секретов (Fernet), журналирование действий (аудит-лог), обязательная псевдонимизация ПДн перед обращениями к внешним ИИ-провайдерам.
11. Реквизиты и контакты оператора
[Полное наименование, ОГРН, ИНН, юридический адрес, контактный телефон, e-mail ответственного за обработку ПДн]. Полный перечень третьих лиц и цели передачи могут актуализироваться оператором с публикацией обновлённой редакции Политики.