Обязанность по уведомлению Роскомнадзора
Оператор персональных данных (Пользователи сервиса Сейлбот: юридические лица, ИП, самозанятые) до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (согласно п. 1 ст. 22 ФЗ 152).
Сейлбот предупреждает, что перед фактическим осуществлением деятельности на платформе с вашими клиентами необходимо уведомить Роскомнадзор, поскольку деятельность с клиентами предполагает сбор и обработку персональных данных.
Уведомление должно соответствовать требованиям, установленным п. 3 ст. 22 ФЗ № 152.
Для операторов обработки персональных данных
Общие сведения об операторе "Сейлбот"
- Общество с ограниченной ответственностью "Сейлбот", ИНН: 5834128222,
- Юридический адрес: 440013, г. Пенза, ул Светлая, Д. 46, офис 3,
- Почта: documents@salebot.pro.
ООО "Сейлбот" включено в реестр операторов обработки персональных данных на основании Приказа Роскомнадзора № 119 от 18.10.2024 г. (регистрационный номер 58-24-007538)
Оператор обработки персональных данных ООО "Сейлбот" обращает внимание пользователей, что обработка персональных данных (за исключением персональных данных, вводимых клиентами и пользователями для осуществления платежей в платежных формах, где обработка осуществляется соответственно платежным оператором, платежным агрегатором или иным платежным сервисом*) осуществляется на территории Российской Федерации.
Для клиентов, фактически регистрирующихся на сервисе Сейлбот, Оператор обработки персональных данных "Сейлбот" является поверенным по обработке персональных данных, что предусмотрено п. 10.(1) Публичной оферты.
ВАЖНО!
- Сейлбот НЕ осуществляет трансграничную передачу данных!
- Сейлбот не передает персональные данные третьим лицам!
- Администрирование и техническая поддержка осуществляется сотрудниками Сейлбот.
*об обработке персональных данных клиентов в платежных сервисах можно уточнять у соответствующих сервисов.
Документация:
Инструкция (регламент) защиты персональных данных предоставляется по запросу.
Адреса ЦОД
Для развертывания сервера Оператора используется платформа Yandex Cloud, которая размещается в дата-центрах (ЦОД) ООО “Яндекс.Облако”, расположенных во Владимирской, Рязанской и Московской областях. Адреса данных дата-центров:
- В городе Мытищи — г. Мытищи, ул. Силикатная 19;
- Владимирская область — г. Владимир, ул. Энергетиков 37, корп. 2;
- Рязанская область — г. Сасово, ул. Пушкина 21;
- Калужская область — г. Калуга, 1-й Автомобильный пр-д 8.
Меры защиты
Перечисленный перечень организационных мер не является исчерпывающим. Сотрудники Организации, в том числе Генеральный директор Организации, как лицо ответственное за защиту и безопасность персональных данных субъектов персональных данных, вправе принимать и иные организационные меры, которые в должном объеме и степени обеспечивают защиту и безопасность персональных данных субъектов персональных данных.
Технические меры защиты
К техническим мерам защиты персональных данных относятся:
- фаервол (cloudflare), запрещающий доступ к базе данных и программе извне, – система, которая предотвращает несанкционированный доступ в информационно-телекоммуникационной сети “Интернет”;
- сервис для верификации запросов (Yandex SmartCaptcha) для определения реальных пользователей и предотвращения несанкционированного доступа к сервису мошеннических ботов;
- ограничение доступа средствами аутентификации в базе данных с использованием программных средств и методов;
- ограничение доступа к серверу средствами ОС Linux, включающая настройку параметров безопасности конфигурационных файлов: пользователей, групп пользователей и процессов с помощью встроенных системных разрешений, групп пользователей;
- работа с базой данной с использованием ORM;
- ограничение доступа по IP;
- разработанная система доступа к аккаунту пользователя – двухфакторная аутентификация;
- валидация логинов, паролей, адресов электронной почты, вводимых при регистрации и аутентификации;
- проверка адресов электронной почты на спам с помощью спам-фильтров и на иные подозрительные действия, осуществляемые с данным адресом электронной почты;
- использование защищенных хостинг сервисов (YandexCloud), в котором обеспечивается:
а) блокирование версии объекта (object lock);
б) шифрование объектов (object storage), обеспечивающее недопущение случайной или преднамеренной публикации содержимого в информационно-телекоммуникационной сети “Интернет”.
в) протокол TLS, обеспечивающее защищенную передачу данных.
г) политика доступа для защищенного управления доступом к ресурсам;
д) установление ключей доступа;
е) другие.
Организационные меры защиты
К организационным мерам защиты персональных данных относятся:
- издание локальных актов организации, касающихся обработки персональных данных и их защиты, и ознакомление сотрудников для осуществления трудовой функции и исполнению обязанностей, установленных должностным регламентом и (или) трудовым договором.
- определение объема и перечня персональных данных;
- создание и применение в деятельности организации Политики обработки персональных данных.
- определение правил доступа и учет доступов к административной части программы для ЭВМ “Сейлбот”.
- организация мероприятий по поиску и выявлению уязвимостей программы техническими работниками организации, имеющие специализированные знания, навыки.
- установление способов профилактики несанкционированного доступа и комплекса мер по предупреждению инцидентов безопасности.
- информирование пользователей:
- направление рекомендаций к установлению уровня сложности паролей, установлению двухфакторной аутентификации;
- напоминание пользователям программы для ЭВМ “Сейлбот” об исключении случаев передачи паролей и доступов к собственным аккаунтам программы для ЭВМ “Сейлбот” третьим лицам;
- предупреждение пользователей путем информирования в документации о возможных угрозах при передаче доступов к аккаунту третьим лицам. Указанные рекомендации расположены в общем доступе на сайте с документацией (подробнее здесь). - проведение инструктажей сотрудников организации по обеспечению защиты и безопасности персональных данных при эксплуатации программы для ЭВМ “Сейлбот”.
- установление правил и требований для аварийного восстановления системы программы для ЭВМ “Сейлбот”, для резервного копирования системы программы для ЭВМ “Сейлбот”.
- обеспечение передачи закрывающих документов (УПД), актов и счетов на оплату, иных платежных поручений и документов, содержащие сведения о персональных данных субъектов персональных данных, а также хранение электронных документов, содержащих персональные данные и переданных на обработку персональных данных, с помощью защищенного канала оператора ЭДО.
Важно!
СКЗИ не применяются, в связи с чем сертификация ФСБ/ФСТЭК также не применялась.
Типы персональных данных
В целях, установленных Политикой ОПД и публичной офертой, Оператор Сейлбот обрабатывает следующие категории персональных данных с согласия субъектов персональных данных (персональные данные Пользователей):
-
Пользователи сервиса:
а) фамилия, имя, отчество;
б) мобильный телефон;
в) электронная почта. -
Участники Партнерской программы (ИП и самозанятые):
а) фамилия, имя, отчество;
б) мобильный телефон;
в) электронная почта;
г) платежные реквизиты;
д) сведения о документе, удостоверяющем личность;
д) сведения о постановке на учет в качестве плательщика налога на профессиональный доход для лиц, имеющие статус плательщика налога на профессиональный доход, или сведения о постановке на учет в качестве индивидуального предпринимателя (номер ОГРНИП и дата постановки) для лиц, зарегистрированных в качестве индивидуальных предпринимателей; -
Представители ю/л, участвующего в партнерской программе:
а) государственный регистрационный номер о создании юридического лица (ОГРН);
б) фамилия, имя, отчество представителя (сотрудника), от имени которого юридическое лицо осуществляет участие в партнерской программе;
в) должность представителя (сотрудника) юридического лица, от имени которого юридическое лицо осуществляет участие в Партнерской программе;
г) сведения о документе, удостоверяющем личность;
д) мобильный телефон;
е) электронная почта;
ж) платежные реквизиты.
Иные типы данных, обрабатываемых Оператором Сейлбот, указаны в пункте 6 Политики обработки персональных данных.
Поручение по обработке персональных данных
Право Пользователей, как Операторов ОПД, на поручение обработки персональных данных возникает на основании п. 3 ст. 6 ФЗ № 152.
Регистрируясь на сервисе Сейлбот, Пользователи принимают все условия публичной оферты, в том числе по передаче поручения обработки персональных данных клиентов.
П. 10.(1).1 Публичной оферты
"Оператор "Сейлбот" по условиям публичной оферты <...> принимает на себя статус Поверенного по обработке персональных данных, а в таком случае Пользователь поручает обработку персональных данных Оператору "Сейлбот", при этом Пользователь приобретает статус Доверителя — фактического оператора обработки персональных данных."
ВАЖНО!
- Оператор (Пользователь) обязан собирать согласия на обработку персональных данных с клиентов (субъектов персональных данных).
- Согласие в том числе должно предусматривать согласие клиента на поручение обработки оператором Сейлбот (п. 3 ст. 6 ФЗ № 152).
ВАЖНО!
Перечень персональных данных, обработка которых поручена Пользователем Сейлботу, установлена в публичной оферте!
Пункт 10.(1).11. Публичной оферты, перечень персональных данных, которые может обрабатывать Сейлбот по поручению Пользователя:
"<...>
- фамилия, имя, отчество;
- дата, месяц и год рождения;
- адрес электронной почты;
- номер телефона;
- место проживания;
Персональные данные также могут содержаться в смс-сообщениях, голосовых сообщениях и иных видах сообщений, которые фактически обрабатываются Поверенным. В связи с чем
перечень персональных данных может быть расширен только по согласию с субъектом
персональных данных, а также в иных установленных законодательством РФ случаях."