Политика конфиденциальности
Дата публикации: 2 мая 2026 г. Версия: 2.1
1. Общие положения
Настоящая Политика определяет порядок обработки персональных данных (далее — ПДн) пользователей сайта daman.tools (далее — Сайт) и связанного с ним программного обеспечения (плагин Daman для QGIS, далее — Плагин).
Оператор ПДн: Плахотнюк Александр Алексеевич (далее — Оператор). ИНН: 243904939834. Контакт: support@daman.tools. Регистрационный номер в реестре операторов Роскомнадзора: 78-26-209247 (приказ № 88 от 19.03.2026, последнее изменение — информационное письмо № 100271402 от 02.05.2026).
2. Категории обрабатываемых персональных данных
2.1. Данные при регистрации и в личном кабинете
Категория субъектов: Клиенты (зарегистрированные пользователи).
- Имя — обязательно, для обращения к пользователю.
- Адрес электронной почты — обязательно, для авторизации и уведомлений.
- Пароль — обязательно, хранится в виде криптографического хеша bcrypt; исходный пароль Оператору недоступен.
- Фамилия, отчество — опционально, по выбору субъекта.
- Наименование организации — опционально, по выбору субъекта.
- Идентификатор в мессенджере Telegram — опционально, для коммуникации через бот поддержки.
- Лицензионный ключ программного продукта — формируется при выдаче лицензии.
2.2. Данные сессий авторизованных пользователей
Категория субъектов: Клиенты.
- IP-адрес и User-Agent сессии — записываются автоматически системой аутентификации Better Auth для обеспечения целостности сессии, защиты от её перехвата и расследования инцидентов безопасности.
2.3. Данные форм обратной связи
Категория субъектов: Клиенты и Посетители сайта.
При отправке формы обратной связи на странице /contacts Оператор обрабатывает:
- Имя — указывается субъектом, по выбору.
- Адрес электронной почты — обязателен для направления ответа.
- Текст сообщения.
- IP-адрес отправителя — фиксируется в логе обращений для предотвращения злоупотреблений.
Обработка обращений осуществляется в рамках Цели № 1 (коммуникация с пользователями) — см. раздел 3.
2.4. Данные, передаваемые Плагином
Категория субъектов: Клиенты.
- Идентификатор устройства (hardware ID) — привязка лицензии к оборудованию, предотвращение передачи ключа третьим лицам.
- Версия Плагина, версия QGIS, наименование операционной системы — диагностика совместимости.
- События и ошибки Плагина — стек-трейсы, коды ошибок, метаданные выполняемых операций для диагностики и улучшения работы.
2.5. Данные информационной безопасности и аналитики
Категория субъектов: Клиенты и Посетители сайта.
- IP-адрес и User-Agent источников подозрительной активности (
anomaly_event) — фиксируются системой защиты от автоматизированных атак (CrowdSec, rate limiting, обнаружение аномалий). - Криптографический хеш IP-адреса (SHA-256) + URL посещённой страницы (
page_view) — для агрегированной обезличенной аналитики посещаемости.
2.6. Служебные данные Оператора
- Служебные пометки (notes) — краткие технические отметки Оператора о пользователе или лицензии в рамках поддержки. По запросу пользователя предоставляются или удаляются.
- Журнал административных действий (audit log) — фиксирует действия администраторов в отношении учётных записей и лицензий для обеспечения целостности учёта.
3. Цели обработки и правовые основания
| № | Цель | Категории субъектов | Правовое основание |
|---|---|---|---|
| 1 | Регистрация и аутентификация пользователей, предоставление доступа к функциям личного кабинета, лицензионное сопровождение, оказание технической поддержки, диагностика технической телеметрии Плагина, коммуникация с пользователями, в том числе рассмотрение обращений, поступивших через форму обратной связи на Сайте | Клиенты, Посетители сайта | п. 1 ч. 1 ст. 6 152-ФЗ (согласие); п. 5 ч. 1 ст. 6 152-ФЗ (исполнение договора-оферты); п. 7 ч. 1 ст. 6 152-ФЗ (законный интерес Оператора в части рассмотрения обращений) |
| 2 | Обеспечение информационной безопасности Сайта, защита от автоматизированных атак, brute-force и аномальной активности; обезличенная аналитика посещаемости | Клиенты, Посетители сайта | п. 7 ч. 1 ст. 6 152-ФЗ (законный интерес Оператора) |
4. Сроки хранения
| Категория | Срок |
|---|---|
| Учётная запись и связанные данные профиля | До удаления аккаунта пользователем + 30 дней (grace period для отмены удаления) |
| Лицензии и данные об активации | Срок действия лицензии + 3 года (бухгалтерская отчётность) |
| Сессии Better Auth | До выхода пользователя или истечения срока действия (по умолчанию 7 суток) |
| JWT blacklist Плагина | До истечения срока токена |
| События телеметрии Плагина | 30 дней |
Обезличенная аналитика (page_view) | 30 дней |
События безопасности (anomaly_event) | 30 дней |
| Сообщения формы обратной связи | До рассмотрения и направления ответа + 1 год |
| Резервные копии базы данных | 10 последних ротируемых копий |
Журнал административных действий (audit_log) | Бессрочно (для обеспечения целостности учёта) |
Автоматическое удаление устаревших записей производится ежедневной задачей.
5. Место обработки и хранения
Все ПДн обрабатываются и хранятся на серверах, расположенных на территории Российской Федерации. Инфраструктуру предоставляет хостинг-провайдер ООО «Бегет» (Beget LLC, Санкт-Петербург). Хостинг-провайдер не является лицом, осуществляющим обработку ПДн по поручению Оператора в смысле ч. 3 ст. 6 152-ФЗ, и не совершает с ПДн самостоятельных действий.
Трансграничная передача персональных данных не осуществляется.
6. Лица, осуществляющие обработку по поручению Оператора (ч. 3 ст. 6 152-ФЗ)
| Обработчик | Назначение | Юрисдикция |
|---|---|---|
| ООО «Яндекс.Облако» (ИНН 7736207543) | Сервис Яндекс SmartCaptcha — защита форм регистрации, входа и обратной связи от автоматизированных атак | Россия |
Обработчики по поручению обязаны соблюдать требования 152-ФЗ и ограничения, установленные Оператором.
7. Меры защиты (ст. 18.1 и 19 152-ФЗ)
- Шифрование передачи данных (TLS 1.2/1.3, сертификаты Let's Encrypt).
- Хеширование паролей (bcrypt).
- Ограничение доступа к базе данных на уровне PostgreSQL.
- Аутентификация по SSH-ключам, нестандартный SSH-порт.
- Межсетевой экран UFW.
- Защита от автоматизированных атак: CrowdSec, rate limiting на уровне nginx и приложения.
- Контроль целостности файлов (AIDE, ежедневная проверка).
- Регулярное резервное копирование с ротацией.
- Своевременное обновление системного и прикладного ПО (unattended-upgrades).
- Минимальная длина пароля при регистрации — 12 символов.
Уровень защищённости ПДн — УЗ-4 (приказ ФСТЭК России № 21 от 18.02.2013).
8. Файлы cookie и локальное хранилище браузера
Сайт использует:
- Сессионные cookie системы аутентификации Better Auth — технически необходимые для поддержания авторизации зарегистрированного пользователя.
- Запись в
localStorageбраузера с ключомcookie-consent— фиксирует факт информирования посетителя о cookie. Запись не покидает устройство пользователя.
Аналитические, рекламные и трекинговые cookie не используются.
9. Права субъекта персональных данных
В соответствии со ст. 14–21 152-ФЗ субъект имеет право:
- Получить сведения об обработке своих ПДн.
- Требовать уточнения, блокирования или уничтожения своих ПДн.
- Отозвать согласие на обработку ПДн.
- Обжаловать действия Оператора в Роскомнадзоре и в судебном порядке.
Способы реализации прав
- Удаление аккаунта. В личном кабинете доступна функция «Удалить аккаунт». После её вызова данные помечаются к удалению и через 30 дней безвозвратно уничтожаются (кроме сведений, требуемых законом для налоговой и бухгалтерской отчётности). В течение grace period пользователь может отменить удаление, обратившись в поддержку.
- Запросы и обращения. Любой запрос, связанный с правами субъекта (копия данных, уточнение, блокирование, отзыв согласия), направляется на адрес support@daman.tools с адреса, указанного при регистрации. Срок ответа Оператора — 30 дней с даты получения запроса (ч. 1 ст. 20 152-ФЗ).
- Жалоба в надзорный орган. Субъект вправе обратиться в территориальное управление Роскомнадзора по Северо-Западному федеральному округу: 190098, Санкт-Петербург, ул. Галерная, д. 27, литера А.
10. Отзыв согласия
Субъект может отозвать согласие на обработку ПДн в любое время, удалив аккаунт или направив запрос на support@daman.tools. После отзыва согласия Оператор прекращает обработку в течение 30 рабочих дней, за исключением данных, обработка которых осуществляется на ином правовом основании (исполнение договора, законный интерес, требования законодательства).
11. Несовершеннолетние пользователи
Сервис не предназначен для использования лицами, не достигшими 18 лет. Оператор не собирает намеренно данные несовершеннолетних. При обнаружении таких данных они удаляются.
12. Изменения Политики
Оператор вправе вносить изменения в Политику. Актуальная версия всегда размещается по адресу https://daman.tools/privacy с указанием даты публикации и версии. Пользователю рекомендуется периодически проверять страницу на наличие обновлений.