Политика конфиденциальности

Дата вступления в силу: 14.05.2026 · Версия 1.0

1. Общие положения

Настоящая Политика конфиденциальности (далее — «Политика») разработана в дополнение к Согласию на обработку персональных данных и описывает технические и организационные меры защиты данных, используемые в сервисе QRcode.website (далее — «Сервис»), доступном по адресу https://qrcode.website.

Оператором персональных данных и владельцем Сервиса является ИП Кострюков Александр Антонович (далее — «Оператор»).

Если кратко: «Согласие на обработку ПДн» отвечает на вопрос «что и зачем мы обрабатываем», а настоящая Политика конфиденциальности — на вопрос «как мы это технически и организационно защищаем».

2. Реквизиты Оператора

• Полное наименование: Индивидуальный предприниматель Кострюков Александр Антонович
• ОГРНИП: 319774600259856
• ИНН: 772401471004
• Юридический адрес: г. Москва, Гурьевский проезд, д.15 к.1 кв.21
• Телефон: 8-800-555-51-99
• E-mail: support@qrcode.website
• Сайт Сервиса: https://qrcode.website

3. Принципы обработки и защиты данных

Оператор соблюдает следующие принципы при обработке данных пользователей:

• Законность и добросовестность — обработка осуществляется на законных основаниях, перечисленных в статье 6 152-ФЗ.
• Целевое использование — данные обрабатываются только для заранее определённых, законных и конкретных целей.
• Минимизация — состав и объём обрабатываемых данных соответствуют заявленным целям, избыточные данные не запрашиваются.
• Точность и актуальность — Оператор предпринимает разумные меры по поддержанию точности данных; пользователь может самостоятельно актуализировать сведения в личном кабинете.
• Ограничение сроков хранения — данные хранятся не дольше, чем требуется для целей обработки или установлено законом.
• Конфиденциальность — данные не передаются третьим лицам без согласия пользователя или законных оснований.
• Безопасность — применяются технические и организационные меры защиты.

4. Технические меры защиты

Оператор применяет следующие технические средства защиты данных:

• Шифрование канала связи — все соединения между браузером пользователя и серверами Сервиса защищены протоколом TLS 1.3 (HTTPS). Включён HSTS (HTTP Strict Transport Security), сертификаты обновляются автоматически.
• Защита cookies — авторизационные cookies помечены флагами HttpOnly (недоступны для JavaScript), Secure (передаются только по HTTPS), SameSite=Lax (защита от CSRF).
• Шифрование данных at-rest — резервные копии и хранимые файлы зашифрованы. Доступ к ключам шифрования ограничен техническим персоналом.
• Хеширование паролей — пароли хранятся в виде хешей, рассчитанных по алгоритму bcrypt с индивидуальной солью. В открытом виде пароли не сохраняются и не передаются.
• SHA-256 для API-ключей — полные API-ключи не хранятся, сохраняются только их криптографические хеши.
• HMAC-подписи webhook-callback — все исходящие callback-уведомления подписываются HMAC для защиты от подделки.
• Токены сессии — JWT-токены с коротким сроком жизни (access-token — 15 минут, refresh-token — 30 дней) и механизмом ротации при каждом обновлении.
• Ограничение частоты запросов (rate-limit) — не более 120 запросов в минуту с одного IP-адреса для публичных эндпоинтов; для критичных операций (вход, регистрация, восстановление пароля, генерация QR-кодов через API) пороги строже.
• Проверка URL назначения — для коротких ссылок и динамических QR-кодов URL назначения автоматически проверяется на присутствие в чёрных списках (фишинг, мошенничество, вредоносное ПО).
• Изолированная инфраструктура — компоненты Сервиса работают в отдельных Docker-контейнерах с разграничением сетевых зон. База данных доступна только из внутренней сети, не имеет публичного порта.
• Мониторинг безопасности — ведётся непрерывный мониторинг журналов доступа, аномалий и попыток несанкционированного доступа. По подозрительным событиям формируются автоматические оповещения.
• Регулярные аудиты — обновление зависимостей с проверкой CVE-уязвимостей, пентесты периметра, проверка конфигураций Caddy и Postgres.

5. Организационные меры защиты

• Принцип минимальных привилегий — сотрудники и подрядчики Оператора имеют доступ только к тем данным, которые необходимы для исполнения их обязанностей.
• Соглашения о неразглашении (NDA) — со всеми сотрудниками и подрядчиками, имеющими доступ к данным пользователей, подписаны соглашения о конфиденциальности.
• Ответственный за обработку ПДн — в соответствии со статьёй 22.1 152-ФЗ ответственное лицо назначено внутренним распоряжением; запросы направляются на support@qrcode.website.
• Журналирование доступа — действия сотрудников и автоматизированных систем над персональными данными фиксируются и хранятся не менее 6 месяцев.
• Управление инцидентами — действует регламент реагирования на инциденты безопасности с уведомлением Роскомнадзора в течение 24 часов; подробнее см. раздел 14.
• Контроль подрядчиков — сторонние сервисы используются на основании договоров, содержащих условия об обеспечении конфиденциальности и безопасности данных.

6. Cookies и аналитика

Cookies — это небольшие текстовые файлы, которые сайт сохраняет в браузере пользователя. Сервис использует cookies для обеспечения работы авторизации, защиты от CSRF-атак и анонимной статистики посещений маркетинговых страниц.

6.1. Состав cookies

• access_token — JWT-токен авторизации (необходимая), срок 15 минут, HttpOnly + Secure + SameSite=Lax;
• refresh_token — обновление сессии (необходимая), срок 30 дней, HttpOnly + Secure + SameSite=Lax;
• _ym_uid, _ym_d, _ym_isad — Yandex.Metrika (только маркетинговые страницы), срок до 1 года, SameSite=Lax.

Подробное описание cookies — в нашей Политике использования cookies.

6.2. Аналитика

На маркетинговых страницах (главная, страницы инструментов, статьи блога, юридические документы) установлен счётчик Yandex.Metrika (ООО «Яндекс»). Метрика собирает обезличенные данные о посещениях: IP-адрес в усечённом виде, тип устройства, источник перехода, поведение на страницах. Анонимизация IP включена; идентификация конкретного пользователя по этим данным невозможна.

В личном кабинете трекинга нет. На страницах внутри аккаунта (редактор QR-кодов, конструктор мини-сайтов, аналитика сканирований, биллинг) счётчик Yandex.Metrika не установлен — используются только необходимые cookies аутентификации.

6.3. Как отключить cookies

Пользователь может отключить или удалить cookies в настройках браузера (раздел «Конфиденциальность» или «Cookies»). Обращаем внимание, что без необходимых cookies (access_token, refresh_token) вход в личный кабинет станет невозможен.

7. Сторонние сервисы

Для оказания услуг Оператор привлекает следующие сторонние сервисы. С каждым из них заключены соглашения, обязывающие соблюдать конфиденциальность и требования законодательства о защите данных:

• ЮKassa (АО «ЮMoney», лицензия Банка России № 3510-К, юрисдикция — Российская Федерация) — приём платежей по банковским картам, Системе быстрых платежей (СБП), Yandex Pay.
• Resend — доставка транзакционных писем (регистрация, восстановление пароля, чеки, уведомления о сканированиях).
• Yandex.Metrika (ООО «Яндекс», юрисдикция — Российская Федерация) — анонимная аналитика маркетинговых страниц.
• Хостинг-провайдер (дата-центр на территории Российской Федерации) — размещение серверной инфраструктуры Сервиса.

Платёжные данные. Полный номер банковской карты и CVC-код не передаются на серверы Сервиса и не сохраняются. Платежи проводятся напрямую через защищённую форму ЮKassa с использованием токенизации.

8. Передача данных третьим лицам

По общему правилу данные пользователей хранятся на серверах в Российской Федерации и не передаются третьим лицам. Передача возможна в следующих случаях:

• С согласия пользователя — например, при подключении внешних интеграций или использовании API.
• Привлечение подрядчиков — для выполнения функций по хостингу, рассылке писем, приёму платежей.
• По запросу государственных органов — строго в рамках процедуры, установленной законом (мотивированный запрос, постановление суда, постановление в рамках уголовного дела). Объём передаваемых данных минимизируется до запрашиваемых сведений. Пользователь уведомляется о раскрытии, если такое уведомление не запрещено законом.
• Для защиты прав Оператора — при защите от мошенничества, злоупотреблений, в рамках судебных разбирательств.

9. Хранение пользовательского контента

Загружаемые пользователем материалы (логотипы для QR-кодов, изображения для мини-сайтов, тексты vCard и т. п.) хранятся на серверах в Российской Федерации в изолированной файловой подсистеме.

• Конвертация изображений — изображения автоматически конвертируются в WebP с оптимизацией размера. Оригинальные файлы после успешной конвертации не сохраняются.
• Лимит на загрузку — лимиты зависят от тарифного плана; для бесплатного тарифа — до 2 МБ на файл.
• Контроль доступа — доступ к файлам имеет только владелец аккаунта. Прямые ссылки на файлы внутри ЛК являются подписанными.

10. Резервное копирование

• Снимки базы данных — ежедневный pg_dump базы PostgreSQL, хранение копий 7 дней (point-in-time recovery).
• Шифрование — резервные копии шифруются перед сохранением; ключи хранятся отдельно от копий.
• Доступ — к резервным копиям имеет доступ только техническая команда; восстановление возможно только по подтверждённому запросу.
• Удаление аккаунта — данные удалённого пользователя остаются в архивных копиях до 5 лет; после истечения этого срока данные физически удаляются вместе с копиями.

11. Сроки хранения данных

• Учётная запись, QR-коды, короткие ссылки, мини-сайты — срок действия аккаунта + 30 дней soft-delete + до 5 лет в архивных копиях. Основание: договор оферты, согласие пользователя.
• Статистика сканирований и переходов — 24 месяца в агрегированном (обезличенном) виде.
• Платёжные документы (чеки, квитанции) — 5 лет (статья 23 НК РФ, 402-ФЗ «О бухгалтерском учёте»).
• Журналы доступа и аудита — до 6 месяцев (внутренний регламент, требования безопасности).
• Cookies необходимые — от 15 минут до 30 дней (обеспечение работы Сервиса).
• Cookies аналитики — до 1 года (настройки Yandex.Metrika).

12. Права пользователя

В соответствии со статьями 14–21 152-ФЗ пользователь имеет право:

• На доступ к своим персональным данным и информации об их обработке.
• На исправление неточных или неполных данных — через интерфейс личного кабинета или письмом.
• На удаление своих данных (право быть забытым) — при отсутствии законных оснований для дальнейшего хранения.
• На отзыв согласия на обработку персональных данных в любой момент.
• На ограничение обработки при оспаривании точности данных.
• На переносимость — выгрузить свои QR-коды, ссылки и историю сканирований в машиночитаемом формате через ЛК или по запросу.
• На обжалование действий Оператора в Роскомнадзоре и/или суде.

Способ реализации прав — письмо на support@qrcode.website с указанием ФИО, e-mail аккаунта, существа запроса и копии документа, удостоверяющего личность (при запросе на удаление или передачу данных). Срок ответа — 10 рабочих дней с момента получения полного комплекта документов.

13. Защита данных несовершеннолетних

Сервис не предназначен для использования детьми младше 14 лет. Оператор не собирает и не обрабатывает персональные данные таких лиц сознательно. При регистрации пользователь подтверждает достижение возраста 14 лет.

Лица в возрасте от 14 до 18 лет могут использовать Сервис с согласия родителей или законных представителей. При обнаружении сведений о регистрации ребёнка младше 14 лет учётная запись блокируется, а данные удаляются. Сообщить о такой регистрации можно письмом на support@qrcode.website с темой «Защита несовершеннолетних».

14. Инциденты безопасности

Под инцидентом понимается событие, в результате которого нарушены конфиденциальность, целостность или доступность данных пользователей (несанкционированный доступ, утечка, уничтожение, изменение).

14.1. Порядок реагирования

1. Обнаружение и фиксация — событие фиксируется в системе мониторинга, формируется обращение во внутренний реестр инцидентов.
2. Локализация — затронутые компоненты изолируются, доступ блокируется.
3. Уведомление Роскомнадзора — в течение 24 часов с момента обнаружения направляется уведомление о факте инцидента; в течение 72 часов — результаты внутреннего расследования.
4. Уведомление пострадавших субъектов — в течение 72 часов направляется индивидуальное уведомление на адрес e-mail, указанный при регистрации, с описанием инцидента, рекомендациями и контактом для вопросов.
5. Расследование и корректирующие меры — устраняются причины инцидента, обновляются регламенты и технические средства, при необходимости проводится внеплановый аудит.

14.2. Сообщить об уязвимости

Если вы обнаружили уязвимость в Сервисе, сообщите о ней на support@qrcode.website с темой «Уязвимость». Просим придерживаться принципов ответственного раскрытия: не публиковать детали до выпуска исправления и не использовать уязвимость для доступа к чужим данным.

15. Изменения настоящей Политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная версия публикуется по адресу https://qrcode.website/privacy с указанием даты вступления в силу и номера версии. О существенных изменениях пользователи уведомляются по электронной почте не позднее, чем за 10 календарных дней до вступления изменений в силу.

Продолжение использования Сервиса после вступления изменений в силу означает согласие с новой редакцией. Если пользователь не согласен с изменениями, он вправе расторгнуть договор и удалить учётную запись.

16. Контакты

По всем вопросам, связанным с защитой данных, безопасностью и cookies, обращайтесь:

• E-mail: support@qrcode.website
• Телефон: 8-800-555-51-99
• Почтовый адрес: г. Москва, Гурьевский проезд, д.15 к.1 кв.21, ИП Кострюков Александр Антонович

Документ опубликован 14.05.2026. По всем вопросам пишите на support@qrcode.website.