Политика конфиденциальности
Настоящая Политика описывает, какие персональные данные мы собираем при использовании Hack & Fix, как мы их обрабатываем, храним и защищаем, а также какие у вас есть права в отношении этих данных. Политика разработана в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» и принципами Регламента ЕС 2016/679 (GDPR).
1. Оператор персональных данных
Оператор: самозанятая Волынкина Ирина Игоревна, ИНН 500177488229 (далее — «Платформа»). Контакт по вопросам защиты персональных данных: privacy@hackandfix.ru.
2. Какие данные мы собираем
| Категория | Данные | Источник |
|---|---|---|
| Аутентификация | Email, имя пользователя, хеш пароля (bcrypt), дата подтверждения email | Форма регистрации |
| Прогресс обучения | Список пройденных лабораторных, время прохождения, XP, достижения, выбранные пути обучения | Действия в интерфейсе |
| Технические | IP-адрес, User-Agent, идентификатор сессии, временные метки запросов | HTTP-заголовки запросов |
| Платежи | Идентификатор транзакции, сумма, дата, тип подписки. Реквизиты карты не хранятся — обрабатываются ЮKassa | Платёжный шлюз |
| Cookies | JWT-токен сессии (essential), флаг согласия на cookies (essential), счётчики аналитики (только при согласии) | Браузер |
3. Цели обработки
- Предоставление доступа к сервису (аутентификация, авторизация, сохранение прогресса).
- Биллинг и подтверждение оплаты подписки.
- Безопасность: обнаружение и блокировка попыток несанкционированного доступа.
- Информирование (email-уведомления о критических изменениях сервиса; маркетинговая рассылка — только при отдельном согласии).
- Аналитика использования платформы (анонимизированная или агрегированная).
- Исполнение требований законодательства (хранение биллинговых документов).
4. Правовое основание
- Согласие — даётся при регистрации (галочка «Принимаю условия и согласен на обработку ПД»).
- Исполнение договора оказания услуг (Pro-подписка).
- Законный интерес (защита от взлома, fraud-detection).
- Требование закона (бухгалтерская / налоговая отчётность).
5. Срок хранения
- Аккаунт активен — до момента удаления Пользователем.
- После запроса удаления — данные удаляются в течение 30 дней, за исключением биллинговых документов (хранятся 5 лет согласно НК РФ) и логов безопасности (хранятся 90 дней).
- Cookies — согласно настройкам браузера и сроку, указанному в каждом cookie (см. Политику cookies).
6. Передача третьим лицам
Мы не продаём и не передаём персональные данные третьим лицам, за исключением:
- Платёжный провайдер (ЮKassa) — для обработки транзакций. ЮKassa имеет собственную лицензию ЦБ РФ и политику обработки данных.
- Email-провайдер (для отправки транзакционных писем).
- Хостинг-провайдер (Timeweb Cloud, серверы в РФ) — хранение баз данных и серверной инфраструктуры.
- Государственные органы — только по официальному запросу в рамках законодательства РФ.
7. Локализация хранения
Согласно ст. 18 ФЗ-152, обработка персональных данных граждан РФ осуществляется с использованием баз данных, находящихся на территории Российской Федерации. Все базы данных Hack & Fix размещены в дата-центрах Timeweb Cloud (Москва, Санкт-Петербург).
8. Ваши права
- Доступ — запросить копию ваших данных через privacy@hackandfix.ru.
- Исправление — обновить имя, email и другие реквизиты в личном кабинете.
- Удаление (право на забвение, ст. 17 GDPR / ст. 21 ФЗ-152) — удалить аккаунт через личный кабинет или по запросу.
- Ограничение обработки — отозвать согласие на маркетинг через ссылку в письме или настройки.
- Перенос данных — получить ваши данные в машиночитаемом формате (JSON).
- Жалоба — в Роскомнадзор (для граждан РФ) или в надзорный орган страны проживания.
9. Защита данных
- Пароли хранятся в виде bcrypt-хешей (стоимость 10+), исходные пароли не известны даже администрации.
- Передача данных защищена TLS 1.3.
- Аутентификация сессий — через JWT в HTTP-only cookie с флагами Secure + SameSite=Strict.
- Доступ к серверам ограничен SSH-ключами. Действия администратора над данными пользователей (выдача/отзыв подписки, обнуление прогресса, инвалидация сессий) журналируются в защищённой таблице с привязкой к ID администратора, IP и временной меткой; срок хранения журнала — не менее 1 года.
- Резервные копии шифруются. Восстановление производится только авторизованным персоналом.
10. Дети
Платформа доступна лицам от 14 лет. Если выясняется, что аккаунт зарегистрирован пользователем младше 14 лет без согласия родителей — мы удаляем такой аккаунт и связанные данные.
11. Изменения
Существенные изменения Политики публикуются с уведомлением по email не менее чем за 14 дней до вступления в силу. Дата редакции указана в начале документа.