Политика конфиденциальности

1. Общие положения

1.1. Настоящая Политика конфиденциальности персональных данных (далее — «Политика», «Политика конфиденциальности») действует в отношении всей информации, которую самозанятый Ошмановский Анатолий Олегович, ИНН 771001032226, применяющий специальный налоговый режим «Налог на профессиональный доход» (далее — «Оператор», «Сервис», «мы»), расположенный на доменном имени https://enterno.io, может получить о Пользователе при использовании сайта, программ, API и продуктов Оператора.

1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «ФЗ-152»), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также иными нормативными правовыми актами РФ в области защиты персональных данных.

1.3. Регистрация и использование сайта Оператора, оформление подписки на платный тариф, отправка формы или иное явное выражение воли означает согласие Пользователя с настоящей Политикой и условиями обработки персональных данных.

1.4. В случае несогласия с Политикой Пользователь должен прекратить использование Сервиса.

1.5. Оператор не контролирует и не несёт ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте Оператора (Яндекс, Robokassa, Telegram, Slack и др.), а также за сайты, проверяемые Пользователем с помощью инструментов Сервиса.

1.6. Оператор не проверяет достоверность предоставляемых Пользователем данных и исходит из того, что Пользователь предоставляет достоверные и достаточные сведения и поддерживает их в актуальном состоянии.

1.7. Оператор не осуществляет целенаправленную обработку персональных данных лиц младше 14 лет.

2. Основные понятия

• Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому Пользователю сайта https://enterno.io.
• Обработка персональных данных — любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
• Пользователь — любой посетитель сайта https://enterno.io, а равно владелец учётной записи на Сервисе.
• Сервис — SaaS-платформа Enterno.io, предоставляющая 45+ инструментов анализа и мониторинга сайтов (HTTP-заголовки, DNS, SSL, SEO, скорость, безопасность, email-доставляемость, AI-готовность и др.), публичные и приватные страницы статуса, REST API и уведомления.
• Оператор — самозанятый Ошмановский Анатолий Олегович (ИНН 771001032226), самостоятельно определяющий цели и состав обрабатываемых персональных данных, а также совершаемые с ними действия.

3. Какие персональные данные мы обрабатываем

3.1. При регистрации и использовании Сервиса Оператор может обрабатывать:

• Имя (никнейм), отображаемое в интерфейсе
• Адрес электронной почты — для создания учётной записи, аутентификации, уведомлений
• Пароль — хранится только в хешированном виде (bcrypt), в открытом виде Оператору недоступен
• Номер телефона, Telegram-ID, Slack webhook URL — при добровольном подключении каналов уведомлений
• Платёжные реквизиты — в минимально необходимом объёме; платежи обрабатываются платёжным сервисом Robokassa, банковские карты и реквизиты счетов в Сервис не передаются
• ФИО и реквизиты юридического лица — при оформлении платного тарифа на организацию

3.2. При использовании инструментов и API:

• Введённые Пользователем URL-адреса, IP, домены, email-адреса для проверки
• Загруженные через формы файлы: email-заголовки, HAR, JSON, robots.txt, sitemap, DKIM-ключи и т.п.
• Результаты проверок (статусы, коды, времена отклика, DNS-записи, сертификаты)
• Конфигурация мониторов (URL, интервал, регионы проверки, каналы уведомлений)
• История инцидентов, логи доставки webhook, записи о входах/сессиях

3.3. Автоматически собираемые технические данные:

• IP-адрес (в том числе в обезличенном виде при отсутствии аутентификации)
• User-Agent, тип и версия браузера, операционной системы, разрешение экрана
• Дата, время и длительность посещения, адреса запрашиваемых страниц, источник перехода
• Файлы cookie (сессионные и аналитические)
• Real User Monitoring-метрики (LCP, FID, CLS, INP, FCP, TTFB) — только для сайтов, владельцы которых подключили соответствующий функционал

3.4. Оператор не осуществляет обработку специальных категорий персональных данных (расовая и национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь) и биометрических данных, если иное не предусмотрено законодательством РФ и отдельным согласием.

4. Цели обработки персональных данных

4.1. Оператор обрабатывает персональные данные Пользователя в следующих целях:

• Идентификация Пользователя и предоставление доступа к Сервису
• Исполнение договора, включая предоставление инструментов проверки, мониторинга, API и уведомлений
• Обеспечение работы платных тарифов «Пионер» (Starter), «Штурман» (Pro), «Капитан» (Business) и 3-дневного пробного периода тарифа «Штурман», а также обработка платежей через Robokassa
• Направление сервисных уведомлений (смена пароля, истечение тарифа, инциденты мониторинга, счета-квитанции)
• С согласия Пользователя — направление маркетинговых уведомлений о новых инструментах, акциях и обучающих материалах; отказ от них возможен в любой момент по ссылке «Отписаться» в письме или в разделе «Настройки» учётной записи
• Обеспечение безопасности Сервиса: защита от DDoS, брутфорса, мошенничества, ограничение частоты запросов, обнаружение аномалий
• Улучшение качества Сервиса, агрегированная аналитика посещаемости, A/B-тестирование
• Выполнение обязанностей, установленных законодательством (налоговое, бухгалтерское, отчётность)

5. Правовые основания обработки

• Согласие субъекта персональных данных (ст. 6 ч. 1 п. 1 ФЗ-152) — при регистрации, подключении маркетинговых уведомлений, оформлении подписки
• Исполнение договора (ст. 6 ч. 1 п. 5 ФЗ-152) — оказание услуг по оплаченному тарифу, предоставление технической поддержки
• Легитимный интерес Оператора (ст. 6 ч. 1 п. 7 ФЗ-152) — обеспечение информационной безопасности, противодействие мошенничеству, предотвращение злоупотреблений API и ботами
• Исполнение обязанностей, возложенных на Оператора законодательством (налоговым, бухгалтерским, по противодействию отмыванию денежных средств)

6. Порядок и сроки обработки

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без таковых в целях, указанных в разделе 4.

6.2. Хранение персональных данных граждан РФ производится исключительно в базах данных, расположенных на территории Российской Федерации, в соответствии с ч. 5 ст. 18 ФЗ-152.

6.3. Сроки хранения отдельных категорий данных:

• Учётная запись и связанные с ней данные — до удаления учётной записи Пользователем или 3 года неактивности
• История проверок (check_history) — 90 дней, далее автоматическое удаление
• История мониторинг-проверок (monitor_checks) — 90 дней
• Логи API-запросов — 30 дней
• Логи доставки webhook — 30 дней
• Шаренные результаты (/result/<id>) — 90 дней
• Счета, акты, платёжные документы — в течение сроков, установленных налоговым и бухгалтерским законодательством (5 лет и более)
• Сессии — удаляются через 48 часов неактивности или по явному выходу из аккаунта

6.4. По достижении целей обработки или отзыва согласия при отсутствии иных правовых оснований персональные данные подлежат уничтожению или обезличиванию в срок до 30 календарных дней.

7. Передача данных третьим лицам

7.1. Оператор не передаёт персональные данные третьим лицам, за исключением случаев, перечисленных в п. 7.2.

7.2. Для обеспечения функциональности Сервиса Оператор использует следующих поставщиков услуг на основании заключённых договоров и с обязательством соблюдения требований ФЗ-152:

• ООО «ЯНДЕКС» (Москва, РФ) — Яндекс.Метрика (обезличенная веб-аналитика) и Яндекс SmartCaptcha (защита форм от ботов). Идентифицирующие персональные данные в эти сервисы не передаются; серверы расположены на территории РФ
• ООО «Робокасса» — обработка платежей для платных тарифов (российские карты, СБП, SberPay). Реквизиты банковских карт Оператору не передаются
• Telegram Messenger Inc. — доставка уведомлений через Telegram Bot API при добровольном подключении канала Пользователем
• Slack Technologies — доставка уведомлений через Slack Webhook при добровольном подключении канала Пользователем
• Check-host.net, ip-api.com, AbuseIPDB, HackerTarget, PSI (Google PageSpeed), VirusTotal — внешние API, используемые инструментами Сервиса. В эти API передаются только проверяемые Пользователем домены/IP, но не идентифицирующие данные самого Пользователя
• По требованию уполномоченных государственных органов РФ в порядке, установленном законодательством

7.3. Трансграничная передача персональных данных может осуществляться в страны, обеспечивающие адекватную защиту прав субъектов персональных данных, либо при наличии согласия Пользователя в порядке ст. 12 ФЗ-152.

8. Меры защиты

Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования и иных неправомерных действий, в том числе:

• Шифрование всех каналов связи: TLS 1.2/1.3, HSTS, preload-список
• Хеширование паролей (bcrypt cost 12) и одноразовых токенов; двухфакторная аутентификация (TOTP) по желанию Пользователя
• CSRF-защита всех форм, XSS-санитизация, Content-Security-Policy с nonce
• Параметризованные SQL-запросы, защита от SQL-инъекций
• SSRF-защита при проверке пользовательских URL (блокировка частных и reserved IP-диапазонов, DNS-pinning)
• Ограничение частоты запросов (rate-limiting) и защита от брутфорса
• Раздельные DB-пользователи с минимальными привилегиями, изоляция backend-каталогов от веб-доступа
• Регулярное резервное копирование в защищённое облачное хранилище (S3 с AES-шифрованием) на территории РФ
• Журналирование событий безопасности, обнаружение аномалий, автоматические оповещения при инцидентах
• Автоматическое удаление данных по достижении сроков хранения (см. п. 6.3)

9. Файлы cookie и аналитика

9.1. Сервис использует cookie-файлы:

• Необходимые (функциональные): сессионная cookie аутентификации, CSRF-токен, выбор языка (ru/en), согласие на cookie. Без них Сервис работать не может.
• Аналитические: cookie Яндекс.Метрики (_ym_uid, _ym_d, _ym_isad и иные) — обезличенно регистрируют визит, источник трафика, просмотренные страницы. Срок хранения — до 1 года.

9.2. Пользователь может отключить cookie в настройках браузера, использовать режим «инкогнито» или воспользоваться инструментом отказа от Яндекс.Метрики: yandex.ru/support/metrika/general/opt-out.html. При отключении функциональных cookie часть возможностей Сервиса будет недоступна.

10. Права Пользователя

В соответствии с ФЗ-152 Пользователь имеет право:

• Получить информацию об обработке своих персональных данных (состав, цели, сроки, перечень третьих лиц)
• Потребовать уточнения, блокирования или уничтожения персональных данных при их неполноте, неточности, незаконном получении либо несоответствии целям обработки
• Отозвать согласие на обработку персональных данных — через раздел «Настройки» → «Удалить аккаунт» или письмом на no-reply@enterno.io с пометкой «Отзыв согласия»
• Отказаться от получения маркетинговых сообщений — по ссылке в письме или в разделе «Настройки»
• Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке

Запросы и обращения рассматриваются в срок не более 30 календарных дней со дня получения в соответствии с ФЗ-152.

11. Изменения Политики

11.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её размещения на сайте, если иное не предусмотрено новой редакцией.

11.2. Актуальная версия Политики доступна по адресу https://enterno.io/privacy. Пользователь обязуется самостоятельно следить за обновлениями.

11.3. При существенных изменениях, затрагивающих права Пользователя (например, расширение целей обработки или новые категории третьих лиц), Оператор уведомит зарегистрированных Пользователей по электронной почте не менее чем за 14 дней до вступления изменений в силу.

12. Реквизиты Оператора

Оператор: самозанятый Ошмановский Анатолий Олегович

ИНН: 771001032226

Налоговый режим: Налог на профессиональный доход (самозанятый, Федеральный закон № 422-ФЗ)

Электронная почта: no-reply@enterno.io

Сайт: https://enterno.io