Политика конфиденциальности

Дата вступления в силу: 17 апреля 2026 г.

Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки и защиты персональных данных пользователей сервиса ЗЕТИТ Ключ (ZETIT Key).

Оператор: ИП Зуев Алексей Викторович (ЗЕТИТ — зарегистрированный товарный знак).

1. Основные понятия

• Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных)
• Обработка персональных данных — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение
• Сервис — программное обеспечение ЗЕТИТ Ключ, включая веб-панель управления, мобильное приложение и серверные компоненты

2. Правовые основания обработки

Обработка персональных данных осуществляется на следующих правовых основаниях:

• Согласие субъекта персональных данных (ст. 6 ч. 1 п. 1 152-ФЗ)
• Исполнение договора, стороной которого является субъект (ст. 6 ч. 1 п. 5 152-ФЗ)
• Обеспечение безопасности информационных систем (ст. 6 ч. 1 п. 7 152-ФЗ)

3. Какие данные мы собираем

Мы собираем минимальный объём данных, необходимый для работы системы аутентификации:

• Адрес электронной почты — идентификация учётной записи и отправка уведомлений
• ФИО — отображение в интерфейсе (может быть изменено пользователем)
• Должность и отдел — при синхронизации из корпоративных систем (Active Directory, ZETIT Connect)
• Идентификатор устройства — уникальный идентификатор для привязки мобильного приложения
• Push-токен — технический токен для доставки push-уведомлений (APNs, FCM)
• IP-адрес — при аутентификации, для журнала безопасности и определения геолокации (город)
• Учётные данные AD/LDAP — логин и домен при интеграции с Active Directory

4. Цели обработки данных

• Предоставление услуг двухфакторной аутентификации
• Отправка push-уведомлений для подтверждения или отклонения запросов на вход
• Генерация одноразовых кодов (OTP)
• Ведение журнала аутентификации для обеспечения информационной безопасности
• Отправка служебных уведомлений (приглашения, сброс пароля, код подтверждения)
• Техническая поддержка пользователей
• Улучшение качества сервиса

5. Хранение и защита данных

Место хранения: серверные данные хранятся на защищённых серверах на территории Российской Федерации в соответствии с требованиями ст. 18 ч. 5 152-ФЗ.

Сроки хранения:

• Персональные данные пользователя — в течение срока действия учётной записи и 30 дней после удаления
• Журнал аутентификации — 12 месяцев
• Техническая информация (push-токены, идентификаторы устройств) — до отвязки устройства

Меры защиты:

• Шифрование всех соединений (HTTPS/TLS 1.2+)
• Хранение паролей с использованием bcrypt (необратимое хеширование)
• Шифрование конфиденциальных данных (AES-256 через Fernet)
• Двухфакторная аутентификация для доступа к панели управления
• HttpOnly cookies с флагами Secure и SameSite
• Автоматическое истечение сессий и токенов
• Разграничение доступа на уровне организаций (мультитенантность)
• Журналирование действий администраторов
• Локальное хранение TOTP-секретов и PIN-кодов (iOS Keychain / Android Keystore) — не передаются на сервер

6. Передача данных третьим лицам

Мы не продаём, не сдаём в аренду и не передаём персональные данные третьим лицам, за исключением случаев:

• Firebase Cloud Messaging (Google LLC, США) — для доставки push-уведомлений на Android. Передаётся только технический push-токен устройства
• Apple Push Notification Service (Apple Inc., США) — для доставки push-уведомлений на iOS. Передаётся только технический push-токен устройства
• По требованию закона — при получении запроса от уполномоченных государственных органов в порядке, установленном законодательством РФ

Мы не используем аналитические сервисы, рекламные сети и не собираем данные для маркетинговых целей.

Трансграничная передача: push-токены устройств передаются в Google LLC (США) и Apple Inc. (США) исключительно для доставки push-уведомлений. Передаваемые данные не содержат персональных данных субъекта — только технические идентификаторы устройства.

7. Права субъекта персональных данных

В соответствии со ст. 14 152-ФЗ вы имеете право:

• Получить информацию об обработке ваших персональных данных
• Запросить доступ к своим персональным данным
• Требовать уточнения, блокирования или уничтожения данных, если они являются неполными, устаревшими, неточными, незаконно полученными
• Отозвать согласие на обработку персональных данных
• Обжаловать действия или бездействие оператора в Роскомнадзор или в судебном порядке

Для реализации этих прав направьте запрос на support@zetit.ru. Срок рассмотрения — до 30 дней.

8. Удаление данных

При удалении аккаунта из мобильного приложения устройство отвязывается от учётной записи. Для полного удаления всех персональных данных с сервера:

• Обратитесь к администратору вашей организации, или
• Направьте запрос на support@zetit.ru

Удаление производится в течение 30 дней с момента получения запроса. Данные журнала аутентификации обезличиваются.

9. Файлы cookie

Веб-панель управления использует исключительно технические HTTP-only cookies для аутентификации пользователей. Мы не используем аналитические, рекламные или отслеживающие cookie.

10. Обработка данных несовершеннолетних

Сервис не предназначен для лиц младше 18 лет. Мы сознательно не собираем персональные данные несовершеннолетних.

11. Автоматизированное принятие решений

Сервис не осуществляет автоматизированное принятие решений, порождающих юридические последствия для субъекта. Все запросы аутентификации подтверждаются или отклоняются пользователем вручную.

12. Ответственный за обработку персональных данных

ИП Зуев Алексей Викторович
Email: support@zetit.ru

13. Изменения политики

Мы вправе вносить изменения в настоящую Политику. Актуальная версия всегда доступна по адресу key.zetit.ru/privacy. При существенных изменениях мы уведомим пользователей по электронной почте или через интерфейс сервиса. Продолжая использовать сервис после изменений, вы соглашаетесь с обновлённой Политикой.