Политика конфиденциальности

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных физических лиц (далее — «Пользователи»), пользующихся сервисом Layero, размещённым по адресам layero.ru и app.layero.ru (далее — «Сервис»).

1.2. Политика подготовлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и применяется ко всем процессам обработки персональных данных в Сервисе.

1.3. Используя Сервис и/или регистрируясь в нём, Пользователь подтверждает ознакомление с настоящей Политикой и даёт согласие на обработку своих персональных данных на указанных в ней условиях.

2. Оператор и контакты

Оператором персональных данных (далее — «Оператор») является лицо, осуществляющее эксплуатацию Сервиса. Реквизиты приведены в конце документа.

Контакты по вопросам обработки персональных данных: privacy@layero.ru.

3. Какие данные мы обрабатываем

3.1. Данные учётной записи, получаемые при авторизации через OAuth-провайдеров (GitHub, Yandex ID, Google):

• уникальный идентификатор у провайдера;
• имя пользователя (login) и публично указанное имя;
• адрес электронной почты;
• ссылка на аватар;
• при подключении GitHub App — список репозиториев, к которым предоставлен доступ Пользователем (только метаданные, без содержимого).

3.2. Данные использования Сервиса:

• идентификаторы созданных организаций, проектов, деплоев;
• имена и настройки доменов;
• журналы технических операций (build/deploy logs);
• статистика обращений к опубликованным сайтам, если включена встроенная веб-аналитика.

3.3. Технические данные, собираемые автоматически:

• IP-адрес;
• тип и версия браузера, операционная система, тип устройства;
• идентификаторы cookie и аналогичные технологии;
• сведения о посещённых страницах Сервиса, время доступа, источник перехода.

3.4. Платёжные данные:

• сведения о подписке и истории платежей;
• замаскированные реквизиты карты (тип, последние 4 цифры) — для сохранённых способов оплаты;
• полные платёжные данные (номер карты, CVV) обрабатываются исключительно платёжным сервисом ЮKassa (ООО НКО «ЮMoney») и в Сервис не передаются и не хранятся.

3.5. Данные общения с поддержкой: содержание обращений, переписки и приложенные файлы.

4. Цели обработки

Оператор обрабатывает персональные данные в следующих целях:

• идентификация Пользователя и предоставление доступа к Сервису;
• исполнение обязательств по Пользовательскому соглашению и Публичной оферте;
• биллинг и проведение платёжных операций;
• предоставление технической поддержки;
• обеспечение работоспособности и безопасности Сервиса, расследование инцидентов;
• информирование о существенных изменениях Сервиса, тарифов и условий;
• выполнение требований законодательства Российской Федерации.

5. Правовые основания обработки

• согласие Пользователя — выражается принятием настоящей Политики и Пользовательского соглашения;
• необходимость исполнения договора с Пользователем (ст. 6 ч. 1 п. 5 152-ФЗ);
• необходимость соблюдения требований законодательства РФ (ст. 6 ч. 1 п. 2 152-ФЗ);
• законные интересы Оператора в части обеспечения работоспособности и безопасности Сервиса (ст. 6 ч. 1 п. 7 152-ФЗ).

6. Способы и сроки обработки

6.1. Обработка осуществляется с использованием средств автоматизации и без таковых: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (предоставление, доступ), блокирование, удаление и уничтожение.

6.2. Хранение персональных данных, обрабатываемых в связи с использованием Сервиса гражданами Российской Федерации, осуществляется с использованием баз данных, расположенных на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ). Сервис размещается в инфраструктуре Yandex Cloud (Россия).

6.3. Сроки хранения:

• данные учётной записи — до удаления Аккаунта Пользователем и истечения 30 календарных дней после;
• журналы технических операций — до 90 дней;
• данные о платежах — в течение сроков, установленных законодательством о бухгалтерском и налоговом учёте (не менее 5 лет);
• cookie — в соответствии с разделом 9 и Политикой cookie.

7. Передача третьим лицам

7.1. Оператор передаёт персональные данные третьим лицам только в объёме, необходимом для оказания услуг, и в следующих случаях:

• OAuth-провайдеры (GitHub Inc., ООО «Яндекс», Google LLC) — для проверки авторизации;
• Платёжный сервис — ООО НКО «ЮMoney» (ЮKassa) для приёма платежей;
• Хостинг-провайдер — ООО «Яндекс.Облако» (Yandex Cloud) для размещения инфраструктуры Сервиса;
• Сервис веб-аналитики — ООО «Яндекс» (Яндекс.Метрика) для анализа посещаемости Сервиса;
• Уполномоченные государственные органы — на основании мотивированных запросов в установленном законом порядке.

7.2. Передача персональных данных в иных целях третьим лицам без согласия Пользователя не осуществляется, за исключением случаев, прямо предусмотренных законодательством РФ.

8. Трансграничная передача данных

8.1. Оператор не осуществляет трансграничную передачу персональных данных, за исключением передачи минимально необходимого набора данных OAuth-провайдерам GitHub Inc. (США) и Google LLC (США) при авторизации Пользователя через соответствующие сервисы. Передача осуществляется по инициативе самого Пользователя при выборе соответствующего способа авторизации.

8.2. До начала трансграничной передачи Оператором направлено уведомление в Роскомнадзор в порядке, предусмотренном ст. 12 152-ФЗ.

9. Cookie и аналогичные технологии

Сервис использует cookie для аутентификации, сохранения пользовательских настроек и сбора обезличенной статистики. Подробное описание — в Политике использования файлов cookie.

10. Права субъекта персональных данных

Пользователь имеет право:

• получать сведения об обработке своих персональных данных;
• требовать уточнения, блокирования или уничтожения персональных данных в случае их неполноты, неточности или незаконности обработки;
• отозвать согласие на обработку (это влечёт удаление Аккаунта и прекращение доступа к Сервису, если иное не предусмотрено законом);
• обжаловать действия или бездействие Оператора в Роскомнадзор или в суд.

Запросы по реализации указанных прав направляются по адресу privacy@layero.ru. Срок ответа — не более 10 рабочих дней с момента получения запроса.

11. Меры безопасности

Оператор применяет правовые, организационные и технические меры, необходимые для защиты персональных данных от неправомерного или случайного доступа:

• передача данных по защищённым каналам (HTTPS/TLS);
• шифрование переменных окружения и иных секретов алгоритмом AES-256-GCM;
• разграничение прав доступа сотрудников и систем по принципу минимальных привилегий;
• журналирование критических действий и автоматический мониторинг;
• регулярное обновление компонентов системы.

12. Изменение Политики

Актуальная редакция Политики всегда доступна по адресу layero.ru/privacy.html. При существенных изменениях Оператор уведомляет Пользователей по электронной почте или в панели управления не менее чем за 14 календарных дней до их вступления в силу.