Безопасность данных

Настоящий документ описывает технические и организационные меры, применяемые Лицензиаром в целях обеспечения безопасности персональных данных Лицензиатов и иной информации, размещаемой Лицензиатами в программном обеспечении «Лидхолд» (далее — ПО), в соответствии с ч. 1 ст. 18.1 и ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

01Сфера действия

Меры, описанные в настоящем документе, применяются Лицензиаром к информационной инфраструктуре, обеспечивающей функционирование ПО, и к данным, обрабатываемым Лицензиаром в качестве оператора (персональные данные Лицензиатов) либо в качестве лица, осуществляющего обработку по поручению Лицензиата (Контент Лицензиата). Перечень обрабатываемых данных и разграничение операторских ролей приведены в Политике конфиденциальности.

02Серверная инфраструктура

• Размещение: АО «Селектел» (Selectel), центр обработки данных в г. Москве, зона ru-1. Все базы данных и резервные копии расположены на территории Российской Федерации.
• Шифрование at rest: диски виртуальных машин, базы данных и резервные копии шифруются на уровне дискового пула.
• Шифрование in transit: протокол TLS 1.3 применяется для всех сетевых соединений между компонентами инфраструктуры, между Лицензиатом и ПО, а также между ПО и привлекаемыми подрядчиками.
• Сетевая сегментация: компоненты инфраструктуры размещены в изолированных сетевых сегментах с правилами доступа на уровне межсетевых экранов.
• Мониторинг ошибок: система GlitchTip (самостоятельный хостинг Лицензиара в Российской Федерации); сторонние SaaS-системы мониторинга для этой цели не используются.

03Шифрование данных

Применяется двухуровневая модель шифрования критичных данных:

• DEK (Data Encryption Key) — уникальный ключ симметричного шифрования AES-256-GCM, формируемый для каждой защищаемой записи.
• KEK (Key Encryption Key) — мастер-ключ, обёртывающий DEK; размещается в обособленном защищённом хранилище ключей (SOPS), не колоцируется с базой данных и доступен исключительно процессам ПО в runtime.

Указанная схема обеспечивает невозможность восстановления исходного содержания записей при получении доступа исключительно к дампу базы данных.

04Управление доступом

• Принцип наименьших привилегий: доступ к инфраструктуре и данным предоставляется работникам и подрядчикам Лицензиара в объёме, минимально необходимом для выполнения функциональных обязанностей.
• Многофакторная аутентификация применяется для административного доступа.
• Журналирование действий: все действия по учётным записям Лицензиатов фиксируются в журнале аудита и доступны Лицензиату по запросу.
• Учёт согласий и обращений: ведутся отдельные журналы согласий на обработку персональных данных и обращений субъектов в порядке ст. 14 152-ФЗ.

05Резервное копирование

• Резервные копии формируются ежедневно с точкой восстановления каждые 24 часа.
• Срок хранения резервных копий — 30 дней.
• Резервные копии шифруются и размещаются исключительно на территории Российской Федерации.

06Обезличивание при передаче подрядчику OpenRouter Inc.

При использовании Лицензиатом функции программной обработки текстов средствами больших языковых моделей с привлечением подрядчика OpenRouter Inc. (юрисдикция США) перед передачей текстового контента выполняется автоматизированная процедура обезличивания персональных данных в значении п. 9 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ.

Категории идентификаторов, подлежащих обезличиванию

• номера телефонов — заменяются на токен [phone];
• адреса электронной почты — заменяются на токен [email];
• идентификаторы пользователей в формате @username — заменяются на токен @user;
• числовые идентификаторы Telegram (Telegram ID) и иные системные идентификаторы — исключаются из передаваемого потока;
• имена и фамилии, выявленные программными средствами, — заменяются на нейтральные обезличивающие токены.

Идентификаторы учётной записи Лицензиата (Telegram ID, имя, фамилия, контактные сведения, платёжные метаданные) подрядчику OpenRouter Inc. не передаются ни в каком виде.

Правовой эффект

Обезличенные данные не являются персональными данными в значении 152-ФЗ. Передача обезличенного текстового контента подрядчику OpenRouter Inc. за пределы Российской Федерации не образует трансграничной передачи персональных данных в значении ст. 12 152-ФЗ; обязанность Лицензиара по направлению в Роскомнадзор уведомления о трансграничной передаче применительно к настоящему процессу не возникает.

Контроль качества обезличивания

Соответствие фактически передаваемого потока установленным требованиям обезличивания контролируется автоматическим тестированием на каждом релизе ПО. Методика обезличивания утверждена внутренним актом Лицензиара — Приказом ИП Демчука Д.А. от 27.04.2026 № 1-ОПД «Об утверждении методики обезличивания персональных данных, обрабатываемых в информационной системе «Лидхолд»» с учётом требований Приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных» (применяемый метод — введение идентификаторов).

07Реагирование на инциденты

В соответствии с ч. 3.1 ст. 21 152-ФЗ при выявлении инцидента, связанного с неправомерной или случайной передачей (предоставлением, распространением, доступом) персональных данных, Лицензиар уведомляет Роскомнадзор в следующие сроки:

• в течение 24 часов с момента выявления инцидента — первичное уведомление с описанием обстоятельств, предполагаемых причин, предполагаемого вреда правам субъектов персональных данных и принятых мерах по устранению последствий, с указанием сведений о лице, уполномоченном Лицензиаром для взаимодействия с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов с момента выявления инцидента — уведомление о результатах внутреннего расследования инцидента и о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Внутренний регламент реагирования

Порядок реагирования на инциденты информационной безопасности утверждён внутренним актом Лицензиара (Регламент реагирования на инциденты, утверждённый Приказом ИП Демчука Д.А. от 27.04.2026 № 3-РИ) и предусматривает следующие этапы:

1. Обнаружение и классификация. Источниками сигналов о возможном инциденте являются: автоматический мониторинг, сообщения подрядчиков, обращения Лицензиатов, обращения внешних исследователей. Любой сигнал регистрируется в Журнале инцидентов с указанием времени получения, источника и первичной классификации.
2. Локализация. Незамедлительно после подтверждения инцидента Лицензиар принимает меры к ограничению дальнейшего распространения: блокировка скомпрометированных учётных записей, отключение затронутых компонентов, ротация ключей и токенов доступа.
3. Уведомление Роскомнадзора. Подача первичного уведомления через портал персональных данных pd.rkn.gov.ru в форме, утверждённой Приказом Роскомнадзора, в срок не более 24 часов; направление уведомления о результатах расследования — в срок не более 72 часов.
4. Уведомление субъектов персональных данных. При выявлении инцидента, способного причинить вред правам и законным интересам субъектов, Лицензиар уведомляет затронутых субъектов индивидуальным сообщением через контактные данные, имеющиеся в учётной записи, в срок не более 5 рабочих дней с момента выявления инцидента.
5. Расследование и документирование. Обстоятельства инцидента, перечень затронутых данных, выявленные уязвимости, принятые меры и оценка их достаточности фиксируются в Акте расследования. Хранение акта — не менее 3 лет.
6. Корректирующие меры. По результатам расследования Лицензиар обновляет систему мер защиты, регламенты и/или состав привлекаемых подрядчиков для устранения причин инцидента и предотвращения его повторения.

Канал сообщения об уязвимости

Внешние исследователи, добросовестно выявившие уязвимости в ПО или инфраструктуре Лицензиара, вправе направить сообщение на адрес электронной почты danilka2d1d@gmail.com с темой «Vulnerability Report». Лицензиар подтверждает получение сообщения в срок до 3 рабочих дней. Лицензиар не принимает обязательств по выплате вознаграждения за сообщение об уязвимости (bug bounty), однако обязуется не инициировать преследования добросовестных исследователей при условии, что их действия не выходили за пределы, необходимые для воспроизведения уязвимости, и не затрагивали персональные данные иных лиц.

08Права и возможности Лицензиата

В интерфейсе ПО Лицензиату доступны следующие функции управления своими данными:

• отключение учётной записи стороннего сервиса от ПО с немедленным удалением соответствующих сессионных данных;
• принудительное завершение сессий со стороны соответствующего стороннего сервиса (например, через интерфейс самого сервиса);
• отключение функции программной обработки текстов средствами LLM — в этом режиме передача текстов за пределы инфраструктуры Лицензиара в Российской Федерации не осуществляется;
• выгрузка собственных данных в машиночитаемом формате (JSON);
• удаление учётной записи с последующей жёсткой очисткой данных в срок до 30 дней (за исключением сведений, обязательных к хранению в силу налогового, бухгалтерского и иного законодательства);
• просмотр журнала действий учётной записи.

09Зона ответственности Лицензиата

Применение Лицензиаром описанных в настоящем документе мер не освобождает Лицензиата от самостоятельного обеспечения мер безопасности при использовании ПО, в том числе:

• надлежащего хранения учётных данных и средств доступа к учётной записи в ПО, а равно сведений для подключения к ПО учётных записей сторонних сервисов;
• обеспечения мер защиты в информационных системах Лицензиата, привлекаемых для использования ПО;
• надлежащего применения функциональных возможностей ПО в соответствии с Условиями использования.

Применение оператором стороннего сервиса любых мер реагирования (включая ограничения доступа) в отношении учётных записей и ресурсов Лицензиата находится вне зоны контроля Лицензиара и регулируется условиями обслуживания соответствующего стороннего сервиса.