Политика конфиденциальности

1. Введение

РейсОС («мы», «нас» или «наш») стремится защищать вашу конфиденциальность. Настоящая Политика конфиденциальности объясняет, как мы собираем, используем, раскрываем и охраняем вашу информацию при использовании Сервиса.

Пожалуйста, внимательно прочитайте эту Политику конфиденциальности. Если вы не согласны с её условиями, не пользуйтесь Сервисом. Используя РейсОС, вы соглашаетесь с практиками обработки данных, описанными в настоящей политике.

2. Какую информацию мы собираем

2.1 Информация, которую вы предоставляете

Мы собираем информацию, которую вы добровольно предоставляете при использовании Сервиса:

• Данные аккаунта: название компании, тип бизнеса (Экспедитор/Перевозчик/Грузоотправитель), ИНН/ОГРН, налоговый идентификатор, адрес компании, номер телефона, адрес электронной почты
• Данные пользователя: имя, адрес электронной почты, номер телефона, роль в организации, пароль (зашифрованный)
• Данные водителя: ФИО, дата рождения, номер водительского удостоверения, категория и регион выдачи, срок действия удостоверения, данные о трудоустройстве, контактные данные
• Данные о грузе: адреса отправления и назначения, сведения о грузе, тип транспорта, вес, ставки, даты погрузки и доставки, особые указания
• Данные о документах: транспортные накладные, подтверждения доставки, счета, страховые полисы, разрешительные документы, подтверждения ставок
• Платёжные данные: при включённых платёжных функциях платёжные адреса и реквизиты обрабатываются защищённым образом через нашего платёжного провайдера
• Данные коммуникаций: сообщения, обращения в поддержку, переписка по электронной почте, настройки уведомлений

2.2 Автоматически собираемая информация

При доступе к Сервису мы автоматически собираем определённую информацию:

• Данные журналов: IP-адрес, тип браузера, операционная система, посещённые страницы, время и дата посещений, время на страницах, уникальные идентификаторы устройств
• Данные о местоположении: GPS-координаты для целей отслеживания (с вашего разрешения), город и регион, определённые по IP-адресу
• Данные об использовании: используемые функции, выполненные действия, поисковые запросы, клики, предпочтения
• Данные об устройстве: модель устройства, версия операционной системы, версия браузера, разрешение экрана

2.3 Данные сторонних интеграций

При подключении сторонних сервисов к РейсОС мы собираем:

• API-ключи (хранятся в зашифрованном виде по AES-256-GCM)
• Данные отслеживания из Wialon, ГЛОНАСС, ЭРА-ГЛОНАСС
• Данные соответствия из ФНС ЕГРЮЛ, Контур, СБИС
• Данные бирж грузов из ATI.SU и Trans.eu
• Платёжные данные из ЮKassa и Тинькофф
• Данные документов из Transflo

3. Как мы используем вашу информацию

Мы используем собранную информацию в следующих целях:

• Предоставление Сервиса: для предоставления, поддержки и улучшения платформы РейсОС
• Управление аккаунтом: для создания и управления вашим аккаунтом, аутентификации пользователей, управления подписками
• Управление грузами: для создания, отслеживания, управления документами и завершения грузов
• Управление водителями: для ведения учёта водителей, контроля соответствия, управления назначениями
• ИИ-оптимизация: для предоставления рекомендаций по грузам и оптимизации маршрутов с помощью наших ИИ-агентов
• Коммуникации: для отправки транзакционных писем, уведомлений, ответов поддержки и обновлений сервиса
• Аналитика: для понимания паттернов использования, улучшения функций и оптимизации производительности
• Соответствие: для проверки данных ЕГРЮЛ, статуса страхования и нормативных требований
• Безопасность: для выявления мошенничества, предотвращения злоупотреблений и защиты безопасности Сервиса
• Юридические обязательства: для соблюдения правовых требований, обеспечения соблюдения наших Условий использования, ответа на правовые запросы

4. Как мы передаём вашу информацию

Мы не продаём вашу персональную информацию. Мы можем передавать вашу информацию в следующих случаях:

4.1 Внутри вашей организации

Информация передаётся авторизованным пользователям внутри вашей организации в соответствии с их ролью и правами.

4.2 Поставщики услуг

Мы передаём информацию проверенным сторонним поставщикам услуг, которые помогают в работе нашего Сервиса:

• Облачная инфраструктура: Google Cloud Platform (хостинг, база данных, хранилище)
• Мониторинг ошибок: Sentry (отслеживание ошибок и мониторинг производительности)
• Кеширование: Upstash Redis (кеширование данных и ограничение частоты запросов)
• Почтовый сервис: Resend (транзакционные письма и уведомления)
• Обработка платежей: интеграция платёжного провайдера (скоро)
• Аутентификация: Supabase Auth (аутентификация пользователей)

4.3 Сторонние интеграции

При подключении сторонних сервисов мы передаём этим сервисам необходимую информацию для обеспечения функциональности. Это касается провайдеров отслеживания, сервисов соответствия, бирж грузов и платёжных платформ.

4.4 Передача бизнеса

В случае слияния, поглощения или продажи активов ваша информация может быть передана приобретающей стороне.

4.5 Правовые требования

Мы можем раскрыть вашу информацию, если это требуется по закону, в рамках правовой процедуры, по решению суда или запросу государственного органа, либо для защиты наших прав, имущества или безопасности.

5. Безопасность данных

Мы применяем комплексные меры безопасности для защиты вашей информации:

5.1 Шифрование

• Данные при передаче: все данные, передаваемые между вашим браузером и нашими серверами, шифруются по TLS 1.3
• Данные при хранении: чувствительные данные (API-ключи, персональные данные, платёжная информация) шифруются по AES-256-GCM
• Безопасность паролей: пароли хешируются с использованием отраслевых стандартных алгоритмов через Supabase Auth

5.2 Контроль доступа

• Мультиарендная изоляция данных гарантирует, что организации не имеют доступа к данным друг друга
• Ролевой контроль доступа (RBAC) ограничивает права пользователей в зависимости от их роли
• Аутентификация обязательна для всех эндпоинтов API
• Ограничение частоты запросов предотвращает злоупотребления и DDoS-атаки

5.3 Мониторинг безопасности

• Круглосуточный мониторинг ошибок и безопасности через Sentry
• Журналы аудита фиксируют весь доступ к данным и их изменения
• Предохранители (circuit breakers) защищают от каскадных сбоев
• Регулярные аудиты безопасности и сканирование на уязвимости

5.4 Соответствие OWASP

Наша реализация безопасности учитывает уязвимости OWASP Top 10 с оценкой безопасности 9.5/10. Подробности см. в нашей документации по безопасности.

6. Хранение данных

Мы храним вашу информацию столько, сколько необходимо для предоставления Сервиса и соблюдения юридических обязательств:

• Активные аккаунты: данные хранятся в течение всего срока вашей подписки
• Закрытые аккаунты: данные хранятся 30 дней после закрытия для восстановления аккаунта, затем удаляются
• Записи соответствия: данные ЕГРЮЛ и налоговые записи хранятся 7 лет, как требует закон
• Резервные копии: зашифрованные резервные копии хранятся 90 дней для аварийного восстановления
• Журналы аудита: журналы безопасности и доступа хранятся 2 года

7. Ваши права на конфиденциальность

7.1 Доступ и переносимость

Вы имеете право на доступ к своим персональным данным и можете запросить копию в переносимом формате (JSON или CSV).

7.2 Исправление

Бо́льшую часть своей информации вы можете обновить прямо в интерфейсе настроек РейсОС.

7.3 Удаление

Вы имеете право запросить удаление своих персональных данных с учётом установленных законом требований к их хранению.

7.4 Возражение и ограничение

В определённых случаях вы можете возразить против обработки своих данных или запросить ограничение обработки.

7.5 Отзыв согласия

Если обработка основана на согласии, вы можете отозвать его в любой момент.

8. Соответствие GDPR (пользователи из ЕС)

Если вы находитесь в Европейской экономической зоне (ЕЭЗ), у вас есть дополнительные права по Общему регламенту по защите данных (GDPR):

8.1 Правовое основание обработки

• Исполнение договора: обработка, необходимая для предоставления Сервиса
• Законные интересы: улучшение сервиса, безопасность, предотвращение мошенничества
• Согласие: маркетинговые коммуникации, дополнительные функции
• Юридическое обязательство: соблюдение законов и нормативных актов

8.2 Передача данных

Ваши данные могут передаваться и обрабатываться на территории Российской Федерации. Для защиты ваших данных мы соблюдаем Федеральный закон № 152-ФЗ «О персональных данных».

8.3 Право подать жалобу

Вы имеете право подать жалобу в местный надзорный орган по защите данных.

9. Соответствие Федеральному закону № 152-ФЗ (Российская Федерация)

Если вы являетесь резидентом Российской Федерации, Федеральный закон № 152-ФЗ «О персональных данных» предоставляет вам следующие права:

9.1 Категории собираемой информации

Подробные категории собираемой нами информации см. в разделе 2 выше.

9.2 Локализация персональных данных

В соответствии с Федеральным законом № 152-ФЗ персональные данные граждан России записываются, систематизируются, накапливаются, хранятся и обрабатываются с использованием баз данных, расположенных на территории Российской Федерации.

9.3 Ваши права по 152-ФЗ

• Право знать, какие персональные данные собираются, используются и передаются
• Право требовать исправления или удаления своих персональных данных
• Право отозвать согласие на обработку персональных данных
• Право подать жалобу в Роскомнадзор

10. Файлы cookie и технологии отслеживания

10.1 Типы используемых файлов cookie

• Необходимые cookie: требуются для аутентификации, безопасности и базовой функциональности
• Cookie производительности: помогают понять, как пользователи взаимодействуют с Сервисом (аналитика)
• Функциональные cookie: запоминают ваши предпочтения и настройки

10.2 Сторонние файлы cookie

Мы используем следующие сторонние сервисы, которые могут устанавливать файлы cookie:

• PostHog (продуктовая аналитика и отслеживание производительности)
• Sentry (мониторинг ошибок)
• Supabase Auth (аутентификация)
• Cloudflare (CDN и безопасность)
• Resend (доставка транзакционных писем)

10.3 Управление файлами cookie

Вы можете управлять файлами cookie через настройки браузера. Однако отключение cookie может ограничить функциональность Сервиса. Необходимые cookie отключить нельзя, так как они нужны для безопасности и аутентификации.

11. Конфиденциальность детей

РейсОС не предназначен для пользователей младше 18 лет. Мы сознательно не собираем персональную информацию детей. Если вы полагаете, что мы собрали информацию о ребёнке, немедленно свяжитесь с нами, и мы её удалим.

12. Изменения настоящей Политики конфиденциальности

Мы можем время от времени обновлять настоящую Политику конфиденциальности. О существенных изменениях мы уведомим вас следующими способами:

• Уведомление на ваш зарегистрированный адрес электронной почты
• Заметное уведомление на панели РейсОС
• Обновление даты «Последнее обновление» в начале этой политики

Дальнейшее использование Сервиса после вступления изменений в силу означает принятие обновлённой Политики конфиденциальности.

13. Международные пользователи

РейсОС управляется с территории Российской Федерации. Если вы получаете доступ к Сервису за пределами Российской Федерации, обратите внимание, что ваша информация будет передана, сохранена и обработана в Российской Федерации, где расположены наши серверы. Используя Сервис, вы соглашаетесь на такую передачу.

14. Свяжитесь с нами

Если у вас есть вопросы, замечания или запросы относительно настоящей Политики конфиденциальности или наших практик работы с данными, свяжитесь с нами: