Политика конфиденциальности

Настоящая Политика описывает, какие данные DDoS-Secure собирает при использовании Сервиса, для каких целей они обрабатываются, как защищаются и какие права есть у субъекта данных. Политика подготовлена в соответствии с требованиями ФЗ «О персональных данных» (152-ФЗ) и учитывает принципы GDPR для пользователей из ЕС.

1. Оператор данных

Оператором персональных данных выступает сервис DDoS-Secure. Реквизиты оператора и контакты ответственного за обработку персональных данных указаны в разделе Контакты.

2. Какие данные мы собираем

2.1. Данные учётной записи

• имя пользователя (логин);
• адрес электронной почты (если указан);
• хэш пароля (храним только хэш bcrypt, не сам пароль);
• дата регистрации и время последнего входа.

2.2. Данные о Защищаемых ресурсах

• доменные имена, настройки SSL, origin-адреса;
• параметры защиты, выбранные в Панели (уровень, кеш, фильтры);
• загруженные вами сертификаты и приватные ключи (шифруются в состоянии покоя).

2.3. Технические данные трафика

• IP-адреса клиентов, посещающих ваши Защищаемые ресурсы (используются только для защиты и агрегированной статистики);
• User-Agent, заголовки запросов, метаданные HTTP-соединения;
• журналы блокировок (когда и почему конкретный IP был забанен).

2.4. Данные, полученные при общении со службой поддержки

• тексты тикетов, прикреплённые скриншоты;
• любая иная информация, которую вы добровольно предоставляете.

2.5. Автоматически собираемые данные в Панели

• IP-адрес, с которого вы заходите в Панель;
• User-Agent браузера;
• аудит-журнал действий (создание/удаление сайтов, изменение правил).

3. Цели обработки

• Предоставление Сервиса — фильтрация трафика, TLS-терминация, выдача сертификатов, применение правил защиты.
• Защита от атак — анализ IP-адресов и метаданных запросов для выявления ботов, DDoS-атак и других угроз; ведение базы заблокированных IP.
• Биллинг и расчёты — учёт потребления по выбранному Тарифу.
• Служба поддержки — ответы на ваши обращения, диагностика проблем.
• Улучшение Сервиса — агрегированная статистика (без идентификации отдельных пользователей).
• Выполнение требований закона — ответы на законные запросы государственных органов.

4. Правовые основания обработки

Мы обрабатываем данные на следующих правовых основаниях:

• Договор — обработка необходима для исполнения Условий использования.
• Согласие — для опциональных маркетинговых рассылок (если применимо); вы можете отозвать его в любой момент.
• Законный интерес — защита наших систем и систем Пользователей от атак, предотвращение мошенничества.
• Правовое обязательство — когда хранение или раскрытие требуется законом.

5. Передача третьим лицам

Мы не продаём ваши данные и не передаём их третьим лицам в рекламных целях. Ограниченная передача возможна в следующих случаях:

• Процессоры — облачные провайдеры инфраструктуры (дата-центры, где размещены узлы фильтрации), действующие строго в рамках наших инструкций и соглашений о конфиденциальности.
• Let’s Encrypt — для автоматического выпуска сертификатов; передаётся только доменное имя.
• Правоохранительные органы — только по законным запросам с официальным документом.
• При реорганизации — в случае реорганизации, слияния или продажи бизнеса данные могут быть переданы правопреемнику с уведомлением Пользователей.

6. Срок хранения

• Данные учётной записи — пока существует аккаунт + до 30 дней после удаления (для возможности восстановления).
• Журналы блокировок — 7 дней, затем автоматическое удаление фоновым процессом.
• Данные тикетов поддержки — 2 года с даты последнего сообщения.
• Аудит-журнал — 1 год.
• Резервные копии — до 30 дней со сжатием и шифрованием.

7. Безопасность данных

Применяемые технические и организационные меры:

• пароли хранятся только в виде bcrypt-хэшей с индивидуальной солью;
• весь трафик между браузером и Панелью защищён TLS 1.2+;
• шифрование данных в состоянии покоя на уровне томов дата-центра;
• сегментированный доступ сотрудников по принципу «минимально необходимых прав»;
• регулярный аудит и мониторинг целостности;
• журнал административных действий недоступен для редактирования в штатном режиме.

8. Права субъекта данных

Вы имеете право:

• Получать доступ к своим данным и копию обрабатываемой информации;
• Исправлять неточные или неполные данные;
• Удалять учётную запись вместе с персональными данными (при условии, что нет законных оснований для хранения);
• Ограничивать обработку в определённых случаях;
• Получать данные в машиночитаемом формате (портабельность);
• Отзывать согласие на обработку для целей, где оно было основанием;
• Возражать против обработки, основанной на законном интересе;
• Подать жалобу в Роскомнадзор или иной надзорный орган по месту жительства.

Для реализации прав напишите на privacy@ddos-secure.com. Ответ предоставляется в течение 30 дней.

9. Cookies и аналогичные технологии

Мы используем cookies только для:

• Аутентификации — подписанная cookie session для поддержания вашей авторизации в Панели (флаги HttpOnly и SameSite=Lax);
• Предпочтений интерфейса — например, выбранная сортировка или развёрнутые разделы.

Мы не используем рекламные или отслеживающие cookies третьих лиц на сайте ddos-secure.com или в Панели.

10. Дети

Сервис не предназначен для лиц младше 16 лет. Мы не собираем сознательно данные детей. Если вам стало известно, что ребёнок предоставил нам данные без согласия законного представителя, напишите на privacy@ddos-secure.com — такие данные будут удалены.

11. Изменения в Политике

Мы можем обновлять настоящую Политику. Существенные изменения доводятся до сведения Пользователей через Панель или по электронной почте за 15 календарных дней до вступления в силу. Историю изменений можно запросить в поддержке.

12. Контакты

• Общие вопросы: support@ddos-secure.com
• Вопросы по персональным данным: privacy@ddos-secure.com
• Тикет-система: my.ddos-secure.com/support