1.Сбор данных
AI Super Photo (далее — «Сервис») придерживается принципа data minimization — собираем только данные, действительно необходимые для работы продукта.
Категории собираемых данных:
- Регистрационные: email, имя (опционально), хешированный пароль (bcrypt 12 раундов).
- Изображения: загружаемые фото и результаты обработки. Хранятся 30 дней, затем автоматическое удаление.
- Технические: IP-адрес, User-Agent, ОС — для безопасности, защиты от ботов и расследований инцидентов.
- Транзакции: история оплаты (сумма, дата, пакет токенов) — для бухгалтерского учёта согласно НК РФ.
- Аналитика: агрегированная обезличенная статистика использования (без привязки к личности).
3.Как мы используем данные
Принципы использования персональных данных (privacy by design):
- Purpose limitation — данные используются только в целях, для которых были собраны.
- Не для обучения моделей — загружаемые фото не используются для обучения нейросетей. Наши модели обучены на лицензированных публичных датасетах (Flickr30K, COCO, FFHQ).
- Opt-in для аналитики — галка «Помочь развитию сервиса» в настройках по умолчанию выключена.
- Storage limitation — хранение по минимальным срокам (см. § 4 «Защита»).
4.Как мы защищаем данные
Технические и организационные меры защиты данных:
- HTTPS-шифрование всех соединений (TLS 1.3, A+ rating на SSL Labs).
- Хеширование паролей через bcrypt (12 раундов, soltование).
- Двухфакторная аутентификация (опционально, через TOTP — Google Authenticator).
- Серверы в РФ, изолированные дата-центры с физической охраной 24/7.
- Резервное копирование с AES-256 шифрованием, 3 географически распределённые копии.
- Регулярные penetration-тесты независимыми аудиторами (раз в год).
- WAF и DDoS-защита через Cloudflare / Selectel.
- Принцип least privilege — доступ к данным только по необходимости.
В случае утечки данных Оператор уведомляет Роскомнадзор в течение 24 часов и затронутых пользователей в течение 72 часов (соответствие ч. 3.1 ст. 21 ФЗ-152).
5.Передача третьим сторонам
Мы не продаём и не передаём ваши персональные данные третьим лицам в рекламных или коммерческих целях. Передача возможна только в случаях, предусмотренных законом:
- Платёжные провайдеры (ЮKassa, СберPay) — для проведения транзакций.
- Налоговые органы РФ — по запросу согласно НК РФ.
- Правоохранительные органы — по мотивированному запросу или решению суда.
- Облачные провайдеры РФ (Yandex Cloud, VK Cloud) — для хранения данных.
Все процессоры данных работают на основе договоров о конфиденциальности (NDA) и обязательств по защите данных (DPA) согласно ст. 6 ФЗ-152.
Передача данных за пределы РФ не осуществляется.
6.Изменения политики
Мы можем обновлять политику конфиденциальности при следующих обстоятельствах:
- Изменения в законодательстве (ФЗ-152, ФЗ-149, GDPR-impact).
- Добавление новых функций сервиса, влияющих на обработку данных.
- Изменение поставщиков платёжных или облачных услуг.
- Улучшение мер защиты данных.
О существенных изменениях уведомим по email за 30 дней до вступления в силу. Продолжение использования Сервиса после уведомления = акцепт обновлённой политики.
Все версии политики архивируются. Запросить предыдущую версию можно на privacy@ai.super.photo.