Политика конфиденциальности

Настоящая Политика определяет порядок обработки персональных данных (далее — ПД) пользователей сервиса «Все Строй» (далее — Сервис), доступного по адресу stroyka.luxar.group.

1. Оператор персональных данных

[Полное юридическое наименование организации/ИП], ИНН [ИНН], юридический адрес: [адрес]. Email для обращений по вопросам ПД: privacy@stroyka.luxar.group.

⚠ Перед публичным запуском заполните реквизиты и зарегистрируйте оператора в Роскомнадзоре (152-ФЗ §22).

2. Какие данные мы собираем

• При регистрации: email, пароль (хеш argon2id, plain нигде не хранится), название организации (Tenant), опционально — имя, фамилия, телефон.
• При работе в сервисе: создаваемые объекты (название, адрес, бюджет, даты), загруженные фотографии и их метаданные (EXIF), переписка в чате, документы.
• При оплате: ЮKassa обрабатывает данные карты на своей стороне — мы получаем только тип карты и last4 для отображения в истории.
• Технические данные: IP, User-Agent (для безопасности и анти-fraud).

3. Цели обработки

• Предоставление функционала Сервиса (создание объектов, фотогалерея, чат).
• Биллинг и налоговая отчётность.
• Email-уведомления (подтверждение регистрации, чеки, приглашения).
• Безопасность (анти-fraud, защита от brute-force, журналы безопасности).
• Поддержка клиентов.

4. Правовые основания

• Согласие пользователя при регистрации.
• Договор оферты (см. /terms).
• Требования законодательства РФ (54-ФЗ о фискализации, 152-ФЗ).

5. Хранение и сроки

ПД хранятся на серверах в Российской Федерации (152-ФЗ §18.5). Срок хранения — до удаления аккаунта или 5 лет после прекращения использования сервиса (требование 54-ФЗ для финансовых документов).

6. Передача третьим лицам

Мы передаём ПД только в случаях:

• ЮKassa (АО НКО «ЮMoney», лицензия ЦБ № 3510-К) — для проведения платежей и формирования фискальных чеков.
• SMTP-провайдер (для доставки транзакционных email).
• По запросу госорганов в рамках закона.

7. Ваши права

Вы можете:

• Запросить копию ваших ПД, которые мы храним.
• Потребовать исправления неверных данных.
• Потребовать удаления данных (152-ФЗ право на забвение). Запрос: privacy@stroyka.luxar.group. Удаление в течение 30 дней.
• Отозвать согласие в любой момент.

8. Безопасность

• Пароли хешируются (argon2id, OWASP-recommended).
• Платёжные секреты в БД зашифрованы (AES-256-GCM).
• HTTPS-only (TLS 1.2+), HSTS включён.
• Регулярный backup PostgreSQL с шифрованием на уровне ФС.

9. Cookies

Мы используем только функциональные cookies (хранение access/refresh токенов в localStorage). Третьесторонней аналитики (Google Analytics, Яндекс.Метрика) нет.

10. Изменения политики

О существенных изменениях уведомляем по email за 30 дней. Текущая редакция всегда доступна на этой странице.