Data Processing Policy | ZASLON STORE

Документ дополняет Privacy Policy и раскрывает технические аспекты обработки персональных данных в ZASLON STORE. Предназначен для пользователей, юристов и аудиторов, требующих детального понимания процессов обработки данных в соответствии с GDPR Art. 30 (Records of Processing Activities), CCPA §1798.130 и ISO/IEC 27701.

1. Data Controller and Processor Roles

Data Controller: [PLACEHOLDER: Legal Entity Name] — определяет цели и средства обработки персональных данных пользователей сайта.

Data Processors (действуют по нашему поручению):

[PLACEHOLDER: Hosting Provider] — хостинг приложения и БД
Resend Inc. (США) — email-доставка (SOC 2 Type II)
Telegram Messenger LLP — мессенджер для внутренних уведомлений менеджерам

2. Records of Processing Activities (GDPR Art. 30)

Для каждой категории обработки фиксируются:

назначение обработки;
категории субъектов данных;
категории персональных данных;
категории получателей;
трансграничные передачи и применённые гарантии (SCCs);
сроки хранения;
общее описание технических и организационных мер защиты.

Записи ведутся в электронном виде и предоставляются по запросу надзорного органа.

3. Categories of Personal Data

Полная таксономия обрабатываемых данных:

Identification data: имя пользователя, email-адрес — для аутентификации и связи.
Contact data: телефон, Telegram-handle — опционально, для связи менеджера с клиентом.
Transactional data: содержание заявки, выбранные товары, согласованная цена, история переписки.
Authentication artifacts: bcrypt-хеш OTP-кода (cost factor 10), сессионные JWT-токены (HS256), SHA-256 хеши refresh-токенов.
Technical metadata: обезличенный IP-хеш (SHA-256 с дневной солью, 16 символов), user-agent string, HTTP referer, URL посещаемой страницы, временные метки.
Delivery data: адрес доставки (при оформлении заказа) — передаётся логистическому партнёру и удаляется после подтверждения доставки.

Specials categories (GDPR Art. 9): не обрабатываются. Биометрия, состояние здоровья, политические/религиозные взгляды, сексуальная ориентация не собираются.

4. Lawful Basis Matrix

Сопоставление целей и правовых оснований по GDPR Art. 6:

Цель	Основание	Срок
Исполнение заявки	6(1)(b) Contract	3 года
OTP-аутентификация	6(1)(b) Contract	30 мин
Сессионный токен	6(1)(b) Contract	30 дней
Защита от атак	6(1)(f) Legitimate Interest	12 мес
Аналитика (обезличенная)	6(1)(f) Legitimate Interest	12 мес
Telegram-уведомления менеджерам	6(1)(f) Legitimate Interest	3 года
Налоговый/торговый учёт	6(1)(c) Legal Obligation	5 лет
Маркетинг (если включится)	6(1)(a) Consent	До отзыва

5. Sub-processors and Third Parties

Полный реестр sub-processors на момент действующей редакции:

Resend Inc. (Сан-Франциско, США)
Цель: транзакционные письма (OTP)
Данные: email, текст письма
Гарантии: SCCs (EC Decision 2021/914), SOC 2 Type II
Site: resend.com
Telegram Messenger LLP (Великобритания, ОАЭ)
Цель: уведомления менеджеров о заявках
Данные: имя клиента, email/телефон, состав заявки
Site: telegram.org
[PLACEHOLDER: Logistics Partner — СДЭК/Boxberry]
Цель: доставка
Данные: ФИО, адрес, телефон
Удаляются после подтверждения доставки.
[PLACEHOLDER: Payment Processor]
Цель: приём платежей
Данные: сумма, реквизиты счёта (не карта)
Доступа к карточным данным у Продавца нет (PCI-DSS Level 1 на стороне процессора).

О добавлении новых sub-processors уведомляем за 30 дней до начала обработки путём публикации обновлённого реестра.

6. Cross-Border Data Transfers

Передачи в третьи страны (вне EU/EEA, без adequacy decision) осуществляются на основании Standard Contractual Clauses (SCCs) в редакции EU Commission Implementing Decision 2021/914 от 4 июня 2021 г.

Дополнительные меры (supplementary measures по Schrems II): шифрование в транзите (TLS 1.3), pseudonymization, минимизация объёма передаваемых данных, договорные запреты использования данных вне согласованных целей.

7. Technical Security Measures (TOMs)

Применяемые технические меры в соответствии с GDPR Art. 32:

Encryption at rest: PostgreSQL on encrypted volumes
Encryption in transit: TLS 1.3, HSTS preload, certificate via Let's Encrypt
Password hashing: bcrypt cost factor 12
Token rotation: refresh-tokens auto-rotate, SHA-256 hashed before storage
Cookie security: httpOnly + Secure + SameSite=Strict
CSP: nonce-based Content Security Policy, no inline scripts
Rate limiting: на auth-эндпойнтах (Redis-backed sliding window)
Bot defense: honeypot fields, min fill-time check, UA-based bot filter
Backups: ежедневный pg_dump, 30-дневный retention
Logging: error tracking без PII

8. Organizational Security Measures

Доступ к админ-панели — только для авторизованного администратора
NDA с подрядчиками, имеющими доступ к данным
Ротация секретов при подозрении на компрометацию
Регулярные аудиты безопасности и dependency-сканирование (npm audit)
Принцип наименьших привилегий (least privilege) для всех учётных записей
Раздельные учётные данные для production / staging / development окружений

9. Data Subject Access Request (DSAR) Procedure

Процедура обработки запросов субъектов данных:

Получение запроса на privacy@zaslon.store или через форму /contact;
Верификация личности заявителя (email-challenge или OTP);
Сбор данных из всех систем (БД, логи, sub-processors);
Подготовка ответа в машиночитаемом формате (JSON для портабельности);
Передача субъекту в течение 30 дней (GDPR) / 45 дней (CCPA).

При отказе в реализации запроса субъект информируется о причинах и о праве обжаловать решение в надзорном органе.

10. Personal Data Breach Response

В случае инцидента:

T+0 — обнаружение и локализация инцидента, документирование
T+24h — оценка масштаба, рисков для субъектов, привлечённых данных
T+72h — уведомление надзорного органа (GDPR Art. 33, если есть высокий риск)
T+72h+ — уведомление субъектов (GDPR Art. 34, при высоком риске)
Post-incident — root-cause analysis, исправление, обновление мер защиты

Для жителей штатов США применяются соответствующие state breach notification laws (California Civil Code §1798.82, NY SHIELD Act и др.).

11. Retention and Deletion Schedule

Автоматизированная очистка:

Cron-job ежедневно в 02:00 удаляет: использованные/просроченные OTP-коды и refresh-токены
Аналитические записи старше 365 дней удаляются автоматически
Inquiries старше 3 лет архивируются и обезличиваются
По верифицированному DSAR на удаление — немедленное удаление + cascade по всем системам

12. Children Under 16 (GDPR Art. 8) / Under 13 (COPPA)

Сайт не предназначен для детей. Мы не собираем данные несовершеннолетних сознательно. При обнаружении таких данных они удаляются в течение 24 часов после уведомления.

13. Automated Decision-Making and Profiling

Мы НЕ используем автоматизированное принятие решений с правовыми последствиями для субъектов (GDPR Art. 22). Все решения по заявкам принимаются менеджером вручную. Профилирование рекламы или поведения не осуществляется.

14. Contact for Data Processing Inquiries

Data Protection contact: privacy@zaslon.store
Postal address: [PLACEHOLDER: Business Address]
EU representative (if applicable): [PLACEHOLDER: Required under GDPR Art. 27 for non-EU controllers]

Если вы из ЕС и не удовлетворены нашим ответом, вы имеете право подать жалобу в надзорный орган своей страны (список: edpb.europa.eu).

15. Document Control

Версия документа: 1.0
Дата вступления в силу: 28 мая 2026
Дата следующего обзора: 28 мая 2027

Изменения в политику отражаются обновлением номера версии и публикацией changelog в нижней части документа. Существенные изменения предваряются уведомлением субъектов данных через email или баннер на сайте за 30 дней до вступления в силу.