Политика конфиденциальности

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей сервиса Notiflow Hub (далее — «Сервис», «мы», «Оператор»).

1.2. Используя Сервис, регистрируя аккаунт, подключая сайты и каналы доставки, вы подтверждаете, что ознакомились с Политикой. Если вы не согласны с условиями — прекратите использование Сервиса.

1.3. Оператор обрабатывает персональные данные в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», иными применимыми нормами РФ и внутренними регламентами информационной безопасности.

1.4. Политика распространяется на все способы использования Сервиса: веб-кабинет, API, интеграции с формами сайтов, мессенджерами, почтой и Webhook.

2. Термины

2.1. «Пользователь» — физическое или юридическое лицо, зарегистрировавшее аккаунт и использующее Сервис.

2.2. «Аккаунт» — учётная запись в кабинете Notiflow Hub, доступ к которой защищён аутентификацией.

2.3. «Сайт пользователя» — интернет-ресурс, добавленный в кабинет для приёма и маршрутизации заявок.

2.4. «Заявка» — сообщение, форма, событие или иной контент, поступивший в Сервис с сайта пользователя или через API.

2.5. «Канал доставки» — Telegram, MAX, Email, Webhook или иной поддерживаемый способ передачи заявки получателю.

2.6. «Персональные данные» — любая информация, относящаяся к прямо или косвенно определённому физическому лицу.

3. Сведения об операторе и контакты

3.1. Оператором персональных данных владельцев кабинета и собственных технических данных Сервиса является ИП Качалкин Илья Николаевич (далее — «Оператор»), предоставляющий сервис Notiflow Hub. Реквизиты Оператора (ИНН, ОГРНИП, адрес) опубликованы на странице /requisites.

3.2. По вопросам обработки персональных данных, отзыва согласия, доступа к данным и их удаления направляйте обращение на адрес: support@notiflowhub.ru.

3.3. Срок рассмотрения обращений по персональным данным — до 30 календарных дней, если иной срок не установлен законом.

3.4. Оператор ведёт учёт обращений субъектов персональных данных и принимает меры по уточнению, блокированию или уничтожению данных в случаях, предусмотренных ст. 14 и 21 Федерального закона № 152-ФЗ.

4. Какие данные мы обрабатываем

4.1. Данные аккаунта: имя, адрес электронной почты, хэш пароля, настройки подписки, дата регистрации и время принятия пользовательского соглашения.

4.2. Данные аутентификации: идентификаторы сессий, refresh-токены, идентификатор устройства, время входа, IP-адрес при регистрации и авторизации.

4.3. Данные сайтов: название, домен, публичный код, режим приёма заявок, настройки каналов, шаблоны сообщений, статистика доставки.

4.4. Содержимое заявок: текст, вложения, метаданные форм, статусы, комментарии, история действий, ошибки доставки. Исполнитель обрабатывает эти данные исключительно для технической доставки и учёта, не проверяя их содержание на соответствие закону.

4.5. Технические данные: журналы HTTP-запросов, request_id, user-agent, время ответа, события мониторинга доступности сайтов.

4.6. Мы не запрашиваем специальные категории персональных данных (здоровье, биометрия, политические взгляды) и не предназначены для их обработки. Если такие данные попали в заявку по вине пользователя сайта — ответственность за законность их сбора несёт владелец сайта-источника.

5. Цели и правовые основания обработки

5.1. Регистрация, аутентификация и управление аккаунтом.

5.2. Приём, хранение, маршрутизация и доставка заявок в выбранные каналы.

5.3. Ведение истории статусов, комментариев и аудита обработки заявок.

5.4. Мониторинг доступности сайтов пользователя и уведомление о сбоях.

5.5. Исполнение тарифных лимитов, предотвращение злоупотреблений, rate limit, защита от атак.

5.6. Техническая поддержка, расследование инцидентов, улучшение качества Сервиса.

5.7. Правовые основания: исполнение договора (пользовательское соглашение), согласие пользователя (при регистрации), законные интересы Оператора (безопасность и стабильность), исполнение обязанностей по закону.

6. Передача данных третьим лицам

6.1. Заявки передаются только в каналы, которые пользователь явно настроил: Telegram, MAX, Email-получатели, Webhook URL.

6.2. Для работы Сервиса могут привлекаться инфраструктурные подрядчики (хостинг, почта, CDN, мониторинг) при условии договоров о конфиденциальности и обработке данных.

6.3. Мы не продаём персональные данные и не передаём их рекламным сетям для таргетинга.

6.4. Передача по требованию уполномоченных государственных органов РФ осуществляется в случаях, предусмотренных законом, в том числе при выявлении признаков незаконной деятельности через Сервис.

6.5. При доставке в Telegram/MAX действуют правила соответствующих платформ. Пользователь самостоятельно оценивает допустимость передачи данных в эти каналы.

7. Сроки хранения и локализация

7.1. Данные аккаунта хранятся до удаления аккаунта по запросу пользователя или прекращения использования Сервиса, если более длительный срок не требуется законом.

7.2. Заявки и история обработки хранятся в пределах тарифа и технических настроек аккаунта. Пользователь может удалять сайты и связанные данные через кабинет.

7.3. Журналы безопасности и технические логи могут храниться до 12 месяцев для расследования инцидентов.

7.4. Резервные копии базы данных создаются для восстановления после сбоев. Срок хранения резервных копий определяется регламентом эксплуатации и не превышает разумно необходимого для целей восстановления.

7.5. Первичная обработка и хранение данных осуществляются на серверах Оператора. Трансграничная передача допускается только при наличии правовых оснований и уведомления субъекта, если это требуется законом.

8. Меры защиты информации

8.1. Разграничение доступа по ролям, обязательная аутентификация для кабинета и API пользователя.

8.2. Хранение паролей в виде криптографических хэшей. Секреты каналов и ключи API не отображаются в интерфейсе после сохранения.

8.3. Шифрование соединений TLS при передаче данных. Внутренняя сегментация сервисов в production-контуре.

8.4. CSRF-защита для изменяющих операций в кабинете, rate limiting публичного приёма заявок, фильтрация SSRF для Webhook.

8.5. Регулярное обновление компонентов, мониторинг доступности, журналирование критичных событий.

8.6. Ни одна система не гарантирует абсолютной безопасности. Пользователь обязан использовать сложный пароль и не передавать доступ третьим лицам без контроля.

9. Cookie и локальное хранилище браузера

9.1. Сервис использует cookie для аутентификации (access/refresh токены, device id), без которых кабинет работать не будет.

9.2. В localStorage может сохраняться тема интерфейса (светлая/тёмная) и кэш публичной конфигурации тарифов для ускорения загрузки.

9.3. Мы не используем сторонние рекламные cookie. Аналитика, если подключена, описывается в уведомлении Оператора.

10. Права субъекта персональных данных

10.1. Получать информацию об обработке своих персональных данных.

10.2. Требовать уточнения, блокирования или уничтожения данных, если они неполные, устаревшие или обрабатываются незаконно.

10.3. Отозвать согласие на обработку, если обработка основана на согласии. Отзыв не отменяет законность обработки до момента отзыва.

10.4. Обжаловать действия Оператора в Роскомнадзор или в суд.

10.5. Часть операций доступна самостоятельно в кабинете: изменение профиля, отключение каналов, удаление сайтов, деактивация аккаунта. Для выгрузки данных — обращение на support@notiflowhub.ru.

11. Дети

11.1. Сервис предназначен для бизнес-использования и не ориентирован на лиц младше 18 лет.

11.2. Если вам стало известно, что ребёнок предоставил нам персональные данные без согласия законного представителя — сообщите на support@notiflowhub.ru для удаления.

12. Роли сторон по персональным данным

12.1. Для данных владельца кабинета (email, пароль, профиль, настройки) Notiflow Hub выступает оператором персональных данных в смысле ст. 3 152-ФЗ.

12.2. Для данных посетителей форм и API на сайтах Пользователей оператором является сам Пользователь (владелец сайта). Notiflow Hub обрабатывает такие данные исключительно по поручению Пользователя для технической доставки заявок — см. раздел 14 и страницу /dpa.

12.3. Технические логи, IP-адреса, метаданные запросов и журналы безопасности обрабатываются Notiflow Hub как оператором для целей безопасности, учёта и стабильности Сервиса.

12.4. Пользователь обязан обеспечить на своих сайтах законные основания сбора данных, политику конфиденциальности для посетителей и получение согласий, если это требуется законом.

13. Трансграничная передача персональных данных

13.1. Первичный сбор, запись и хранение данных владельцев кабинета и заявок осуществляются на серверах Оператора в Российской Федерации.

13.2. При доставке заявок в Telegram, на зарубежные email-серверы или Webhook URL за пределами РФ возможна трансграничная передача персональных данных в иностранные юрисдикции (ст. 12 152-ФЗ).

13.3. Пользователь, настраивая такие каналы, подтверждает наличие правовых оснований и, при необходимости, согласия субъектов на трансграничную передачу. Рекомендуем информировать посетителей сайта о возможной передаче в мессенджеры и зарубежные сервисы.

13.4. Для снижения трансграничных рисков рассмотрите канал MAX (российская платформа) для чувствительных данных, если это применимо к вашей модели обработки.

14. Поручение на обработку персональных данных

14.1. Обрабатывая заявки с сайтов Пользователя, Notiflow Hub действует как обработчик по поручению Пользователя (ст. 6 ч. 3 152-ФЗ).

14.2. Цели поручения: приём, хранение, маршрутизация и доставка заявок в выбранные каналы, ведение статусов и технический учёт.

14.3. Перечень действий: сбор (получение от Пользователя), запись, систематизация, хранение, уточнение, извлечение, использование, передача по каналам доставки, обезличивание, блокирование, удаление и уничтожение — в объёме, необходимом для оказания услуги.

14.4. Краткое поручение для клиентов опубликовано на странице /dpa. Акцепт оферты при регистрации включает согласие с условиями поручения для данных посетителей сайтов Пользователя.

15. Жалобы на незаконный контент (149-ФЗ)

15.1. Notiflow Hub не создаёт и не редактирует содержание заявок, но реагирует на обоснованные уведомления о незаконной информации, распространяемой через Сервис (ст. 15.3, 15.7 149-ФЗ).

15.2. Сообщить о нарушении можно на странице /abuse или по адресу, указанному там. Укажите URL/домен, описание нарушения и контакт для обратной связи.

15.3. При подтверждении нарушения Оператор вправе уведомить Пользователя, ограничить доставку, заблокировать сайт или аккаунт и передать сведения уполномоченным органам в случаях, предусмотренных законом.

15.4. Целевой срок первичного ответа на обращение — до 3 рабочих дней; срочные случаи (угроза жизни, экстремизм, явное мошенничество) рассматриваются в приоритетном порядке.

16. Коммерческие сообщения (38-ФЗ)

16.1. Сервисные уведомления (сброс пароля, алерты доставки, технические сообщения) направляются без отдельного согласия на рекламу.

16.2. Рекламные и информационные рассылки о продукте Notiflow Hub направляются только при отдельном предварительном согласии пользователя (ст. 18 38-ФЗ). Согласие можно отозвать через ссылку в письме или обращение на контактный email.

16.3. Пользователь, использующий Сервис для email/Telegram-рассылок своим клиентам, самостоятельно обеспечивает соблюдение 38-ФЗ и иных норм о коммерческих сообщениях. Запрещено использовать Notiflow Hub для спама и незапрошенных массовых рассылок.

16.4. Поле consent.marketing в API приёма заявок предназначено для фиксации согласия посетителя сайта Пользователя; ответственность за корректность сбора несёт Пользователь.

17. Изменение Политики

17.1. Оператор вправе обновлять Политику. Актуальная версия публикуется на сайте с указанием даты вступления в силу.

17.2. Текущая версия правовых документов: 2026-06-21. Существенные изменения доводятся до пользователей через кабинет или email, если это требуется законом.

17.3. Продолжение использования Сервиса после публикации новой редакции означает согласие с обновлённой Политикой, если иное не запрещено законом.