>_

ЮРИДИЧЕСКАЯ БАЗА / COMPLIANCE

Соглашение об обработке данных (DPA)

Настоящее Соглашение (Data Processing Agreement) является неотъемлемым приложением к Публичной Оферте и определяет исчерпывающий перечень прав, обязанностей и технических мер (TOMs) при взаимодействии с вычислительным ядром платформы.

СТАТУС

ОБЯЗАТЕЛЬНОЕ ПРИЛОЖЕНИЕ

РЕДАКЦИЯ

01 АПРЕЛЯ 2026

ЮРИСДИКЦИЯ

РФ (152-ФЗ)

ФОРМАТ

B2B M2M-ВЗАИМОДЕЙСТВИЕ

РОЛЬ КЛИЕНТА (ЗАКАЗЧИКА)

ОПЕРАТОР (DATA CONTROLLER)

Заказчик единолично определяет состав, цели и законные основания (правовые базы) для сбора и отправки данных в Платформу. Заказчик несет полную единоличную ответственность за получение необходимых согласий от субъектов данных (если таковые имеются в передаваемом массиве).

РОЛЬ ПЛАТФОРМЫ

ОБРАБОТЧИК (DATA PROCESSOR)

Платформа выступает исключительно в роли слепого вычислительного агента. Обработчик осуществляет автоматическую математическую нормализацию полученного байт-кода по поручению Оператора и никогда не использует переданные данные в собственных маркетинговых или коммерческих целях.

1. Суверенитет и Территория обработки

1.1. Обработчик гарантирует, что физическая инфраструктура Платформы (вычислительные серверы SaaS) расположена исключительно в сертифицированных облачных дата-центрах (Yandex Cloud) на территории Российской Федерации.

1.2. Трансграничная передача данных за пределы РФ не осуществляется.

2. Политика конфиденциальности и «Случайные ПДн» (Zero-PII)

2.1. Платформа Автономное Ядро предназначена исключительно для нормализации обезличенной корпоративной номенклатуры (B2B-товары, прайс-листы, спецификации).

2.2. Заказчику (Оператору) категорически запрещается умышленно передавать через API-шлюзы Платформы массивы, содержащие специальные или биометрические категории Персональных Данных (ПДн), данные о здоровье, финансовые реквизиты физических лиц или сведения, составляющие государственную тайну.

2.3. Стороны признают, что в сырых B2B-справочниках Заказчика могут фрагментарно и неумышленно содержаться контактные данные (ФИО менеджеров, email). Обработчик применяет к таким фрагментам политику Без сохранения — данные обрабатываются в оперативной памяти и временных изолированных директориях контейнеров на время выполнения задачи, после чего уничтожаются без возможности восстановления.

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ ЗА КОНТЕНТ: В случае, если Заказчик нарушает пункт 2.2 и передает в Платформу данные, нарушающие законодательство РФ, Заказчик обязуется самостоятельно и за свой счет урегулировать любые претензии Роскомнадзора, ФСТЭК или третьих лиц, а также возместить Обработчику любые документально подтвержденные убытки, возникшие вследствие такого нарушения.

3. Технические и Организационные Меры защиты (TOMs)

Обработчик внедрил и поддерживает следующие меры технической защиты инфраструктуры:

[ ИНЖЕНЕРНАЯ СПЕЦИФИКАЦИЯ БЕЗОПАСНОСТИ ]

>_[ШИФРОВАНИЕ_КАНАЛА]: Все API-взаимодействия осуществляются строго по протоколу HTTPS с использованием современных стандартов шифрования (TLS 1.2 / TLS 1.3). активно

>_[ИЗОЛЯЦИЯ_ВЫЧИСЛЕНИЙ]: Обработка файлов производится в независимых фоновых процессах (Celery-воркерах) внутри изолированных Docker-контейнеров. применено

>_[ХРАНЕНИЕ_ДАННЫХ]: Отказ от длительного персистентного хранения. Пользовательские файлы хранятся локально только на период выполнения асинхронной задачи и удаляются после отдачи результата. обеспечено

>_[КОНТРОЛЬ_ДОСТУПА]: Доступ к API-шлюзу осуществляется исключительно по секретным Bearer-токенам. Прямой доступ извне к базам данных и воркерам заблокирован. обеспечено

>_[СЕТЕВАЯ_ЗАЩИТА]: Инфраструктура развернута в виртуальной частной сети (VPC) провайдера с базовой защитой от сетевых DDoS-атак транспортного уровня. активно

4. Инциденты информационной безопасности (Data Breach)

4.1. В случае подтвержденной компрометации защитного контура Платформы, Обработчик обязуется уведомить ответственного сотрудника (CISO) Заказчика в срок не позднее 24 часов с момента обнаружения инцидента.

4.2. Компрометация API-ключей: Обработчик не несет ответственности за утечку данных или несанкционированный перерасход квот (Overage), если инцидент произошел вследствие компрометации токенов или внутренних сетей на стороне Заказчика. Заказчик обязан немедленно сгенерировать новые токены через Панель Управления.

5. Возврат и уничтожение данных

5.1. По окончании срока действия договора или исчерпания квоты, Обработчику не требуется проводить отдельную процедуру уничтожения пользовательских файлов (прайс-листов), так как они удаляются платформой автоматически в рамках штатного процесса обработки задач.

5.2. Системные журналы авторизации и метаданные задач (Audit Logs, Task Status) хранятся в защищенной базе данных для обеспечения работы истории в личном кабинете и расследования возможных инцидентов.

6. Цепочка ответственности (согласно ч. 3 ст. 6 №152-ФЗ)

6.1. В случае случайной передачи ПДн (см. Главу 2), Оператор несет полную и единоличную ответственность перед субъектом персональных данных за правомерность их сбора и передачи.

6.2. Обработчик несет ответственность исключительно перед Оператором и только за документально доказанные нарушения примененных мер защиты (TOMs), указанных в Главе 3 настоящего Соглашения.

Официальный документ

Редакция от 01.04.2026. Приложение к публичной оферте.