Версия 1.0 · Дата вступления в силу: 06.06.2026

Политика обработки персональных данных

Это инженерная версия публичной политики для MVP. Она объясняет, какие данные нужны сервису и где проходят границы обработки, но не является юридическим заключением.

1. Оператор

ИП Христенко Кирилл Владимирович обрабатывает персональные данные пользователей сервиса "Запуск-Аудит AI" как оператор персональных данных.

ИНН: 263517716093. ОГРНИП: 323265100025184. Адрес: 355001, Россия, Ставропольский край, г. Ставрополь, ул. Бруснева, д. 19/1, кв. 80.

Контакт для вопросов по персональным данным и запросов на удаление: support@zapusk-audit.ru.

2. Какие категории данных мы обрабатываем

Для Free Scan до регистрации мы используем URL или Telegram username, тип проекта и ответы короткой анкеты. Эти данные нужны, чтобы показать базовый результат проверки.

После регистрации мы можем хранить email аккаунта, профиль пользователя, проекты, audit runs, findings, отчеты, статусы будущих платежей, запросы на удаление и технические события, которые помогают поддерживать сервис.

Авторизация аккаунта обрабатывается собственным серверным контуром авторизации сервиса: пользователь хранится в app_users, сессия подтверждается через server-side auth_sessions и HTTP-only cookie. Supabase используется как поставщик базы данных и Data API, но не является провайдером авторизации аккаунтов.

Мы не просим и не должны получать пароли от сторонних сервисов, токены, cookies, auth headers, закрытые ключи или другие секреты проекта.

3. Цели обработки

Основные цели обработки: выполнить Free Scan, сохранить историю отчетов, показать пользователю результаты, подготовить AI Snapshot или будущий Full Report, ответить на обращения поддержки и выполнить законные обязанности оператора.

Мы также используем технические данные для защиты сервиса, диагностики ошибок, предотвращения злоупотреблений и сохранения корректной работы личного кабинета.

4. Правовые основания

Обработка нужна для исполнения пользовательского соглашения, подготовки услуги по запросу пользователя, выполнения требований закона и защиты законных интересов оператора.

Для регистрации и продолжения использования сервиса отдельное явное согласие будет добавлено в следующей фазе legal readiness. До этого документ описывает публичные правила обработки и не заменяет юридическое заключение.

5. AI и внешние провайдеры

Во внешний AI может уходить только очищенный структурированный контекст: deterministic findings, короткие безопасные excerpts и контекст отчета, нужный для выбранного уровня.

Мы не отправляем во внешний AI токены, пароли, cookies, auth headers, raw email и полный проект по умолчанию. Такие данные должны маскироваться до хранения, показа и отправки в AI.

Для работы продукта могут использоваться инфраструктурные провайдеры, включая хостинг, Supabase как поставщика базы данных/Data API, OpenAI, доменную почту для сервисных писем, будущий платежный провайдер и фискализацию. Передачи таким провайдерам ограничиваются технической или договорной необходимостью.

6. Трансграничная передача

Часть инфраструктурных и AI-провайдеров может находиться за пределами России. Такая трансграничная передача требует отдельной оценки и уведомительных процедур там, где это применимо.

До публичного платного запуска оператору нужно подтвердить операционную модель хранения и локализации персональных данных российских граждан.

7. Срок хранения

Мы храним данные не дольше, чем это нужно для целей обработки: работы аккаунта, истории отчетов, поддержки, выполнения договора и законных обязанностей.

Если пользователь запрашивает удаление аккаунта или проекта, запрос фиксируется в сервисе. Фактическое удаление и сроки исполнения будут описаны отдельным проверяемым процессом до публичного платного запуска.

8. Права пользователя

Пользователь может запросить доступ, уточнение, блокирование или удаление своих персональных данных, а также отозвать согласие там, где обработка основана на согласии.

Чтобы мы могли безопасно обработать запрос, может потребоваться подтвердить владение аккаунтом или проектом. Мы не раскрываем данные третьим лицам без законного основания.

9. Защита данных

Мы применяем разумные организационные и технические меры: разграничение доступа, серверные операции для приватных данных, маскирование секретов, проверку owner-scoped доступа и ограничение данных, которые попадают в отчеты.

Автоматический аудит помогает заметить риски запуска, но не заменяет пентест, сертификацию соответствия, юридическую проверку или гарантию безопасности.