VerifyBox

VerifyBox

Назад

import React from 'react'; import DocumentPage from './DocumentPage';

const PrivacyPolicy = () => { const content = `# ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ сервиса Verifybox
Редакция от «11» сентября 2025 г.

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных при использовании сервиса Verifybox, его веб-интерфейса (Личный кабинет), API/SDK и встраиваемых модулей/виджетов (далее совместно — «Сервис»), предоставляемых Индивидуальным предпринимателем КАСЬЯНОВЫМ КИРИЛЛОМ ВЯЧЕСЛАВОВИЧЕМ (ИНН 504721919539, ОГРНИП 325508100486173), адрес регистрации: 141410, РФ, Московская обл., г. Химки, ул. 9 Мая, д. 106, кв. 49 (далее — «Исполнитель», «мы»).

Политика разработана в соответствии с законодательством Российской Федерации, включая Федеральный закон № 152-ФЗ «О персональных данных». Используя Сервис, вы подтверждаете, что ознакомились с настоящей Политикой.

1. Кому адресована Политика и роли сторон

1.1. Клиенты Личного кабинета (регистрация, биллинг, поддержка). В отношении их персональных данных Исполнитель действует как оператор персональных данных.
1.2. Пользователи клиентов (посетители сайтов/приложений Клиентов, проходящие верификацию через наш модуль/iframe/API). В отношении их персональных данных Исполнитель действует как лицо, обрабатывающее данные по поручению Клиента (процессор). Клиент — оператор персональных данных своих пользователей и обеспечивает наличие правовой основы (согласие/иная база).

2. Обрабатываемые данные и цели

2.1. Данные Клиентов ЛК (мы — оператор)

  • Идентификация аккаунта: имя/ник, e-mail, номер телефона, пароль/хэш пароля, ID аккаунта/проекта.
  • Договорные/расчётные: история тарифов и оплат, статусы платежей, реквизиты (если указаны), ИНН/ОГРНИП при необходимости.
  • Поддержка/переписка: тикеты, обращения, журнал действий в ЛК.
  • Техданные: IP-адрес, user-agent, таймстемпы, логины/лог-ауты, события интерфейса, cookie/локальное хранилище.

Цели: регистрация и администрирование аккаунта, предоставление доступа к Сервису, расчёты и документооборот, техподдержка, информационные сообщения о работе Сервиса, соблюдение закона (бухучёт, налоговый учёт), обеспечение безопасности.
Правовые основания: заключение и исполнение договора (Публичная оферта/Пользовательское соглашение), исполнение требований закона; отдельное согласие — где прямо запрашивается (маркетинговые рассылки и т.п.).

2.2. Данные Пользователей клиентов (мы — обработчик по поручению)

  • Минимально необходимые для верификации: номер телефона, факт/результат проверки кода (успех/ошибка), ID проекта/сессии, таймстемпы.
  • Техметаданные доставки: статус сообщения/вызова, маршрут/оператор (в обобщённом виде), IP/user-agent (при использовании веб-модуля).
  • Журналы событий: количество попыток, причины отказа/ошибки.

Важное про OTP:

  • Значение одноразового кода (OTP) в исходном виде не сохраняется после завершения попытки верификации (живёт только в пределах короткого технологического периода, см. разд. 6.2).
  • Для статистики качества маршрутов и противодействия злоупотреблениям мы можем сохранять необратимое криптографическое представление OTP (хэш/HMAC), не позволяющее восстановить исходный код, а также обезличенные/агрегированные показатели (успех/отказ, задержки, операторы, количество попыток и т.п.).

Цели: генерация и доставка OTP, подтверждение владения номером, журналирование для биллинга и аудита, антифрод/антиспам, поддержка и расследование инцидентов.
Правовые основания: документированное поручение Клиента в рамках его отношений с Пользователем; наличие у Клиента правовой основы (как правило — согласие Пользователя Клиента).

3. Источники данных

  • непосредственно от субъекта (регистрация в ЛК, ввод номера в модуле/iframe);
  • от Клиента через API/интеграции;
  • от платёжных провайдеров (статусы оплат);
  • от телеком-провайдеров (статусы доставки, ошибки).

4. Платежи и финансовая информация

Оплата услуг производится через ЮKassa и иные указанные провайдеры. Мы не храним полные номера банковских карт и CVV. Платёжные данные обрабатываются на стороне платёжного провайдера; мы получаем только статусы и идентификаторы транзакций, необходимые для учёта.

5. Передача третьим лицам и субобработчикам

5.1. Для оказания услуг данные могут передаваться третьим лицам в необходимых пределах:

  • SMS-провайдерам/операторам связи/OTT-платформам — для доставки OTP/вызовов;
  • Платёжным провайдерам — для приёма оплат;
  • Поставщикам инфраструктуры/облака/мониторинга/безопасности — для хостинга, логирования, защиты и поддержки Сервиса;
  • Юридическим консультантам/аудиторам — для защиты прав и законных интересов.
    5.2. Субобработчики привлекаются на основании договоров с требованиями по защите данных. Актуальные категории субобработчиков и цели обработки могут публиковаться на сайте.
    5.3. Персональные данные не продаются и не передаются для целей, несовместимых с настоящей Политикой.

6. Локализация, хранение, сроки и удаление

6.1. Локализация (граждане РФ). Запись, систематизация, накопление персональных данных граждан РФ осуществляются на территории РФ в базах, используемых Исполнителем и/или его уполномоченными лицами.

6.2. Сроки хранения:

  • OTP в исходном виде — хранится только в пределах короткого технологического периода для проверки (как правило, не более 15 минут), после чего удаляется/заменяется на необратимый хэш/HMAC;
  • Хэши/HMAC OTP и агрегированные показатели — могут храниться долго/бессрочно для целей статистики качества маршрутов и противодействия злоупотреблениям, если иное не требуется законом; при утрате необходимости — подлежат удалению/обезличиванию;
  • данные аккаунта Клиента и расчётные документы — на срок действия договора и до 3 лет после (если иное не требуется законом);
  • технические логи запросов/доставки — как правило, до 180 календарных дней (для биллинга, аудита и расследования инцидентов), если иные сроки не предусмотрены договором/законом;
  • переписка/тикеты — до 3 лет.

6.3. Удаление. По достижении целей обработки и/или по истечении сроков хранения данные удаляются/обезличиваются, кроме случаев, когда закон требует более длительного хранения. По запросу Клиента-оператора Исполнитель удаляет данные Пользователей Клиента в пределах технической возможности и закона.

7. Трансграничная передача

7.1. Для доставки сообщений/вызовов и обеспечения работы Сервиса возможна трансграничная передача данных (в т.ч. при маршрутизации через иностранных операторов/облака).
7.2. Передача осуществляется при соблюдении требований законодательства РФ (в т.ч. ст. 12 152-ФЗ) и на основании поручения Клиента. При необходимости Клиент обеспечивает получение согласий субъектов и информирование о возможной трансграничной передаче.

8. Безопасность

Мы применяем организационные и технические меры защиты, разумные для данного класса услуг, включая: защищённые каналы связи (TLS), шифрование секретов, разграничение и журналирование доступа (RBAC), ротацию ключей/секретов, резервное копирование, мониторинг событий безопасности, регулярные обновления.

Специально про OTP и хэши:

  • используем необратимые хэши/HMAC (например, HMAC-SHA-256 с «pepper» и уникальной «солью» на запись либо argon2id);
  • значения «pepper»/ключей хранятся отдельно от БД (KMS/секрет-хранилище), ключи регулярно ротируются;
  • сравнение выполняется в constant-time;
  • исходные коды не логируются, не отображаются в админ-интерфейсах и не попадают в аналитику в открытом виде.

9. Права субъектов данных и контакт

9.1. Клиенты ЛК вправе: получать сведения об обработке, требовать уточнения/блокирования/уничтожения недостоверных или незаконно обрабатываемых данных, отзывать согласия, оспаривать действия.
9.2. Пользователи клиентов. Запросы по их персональным данным (номер телефона, логи OTP и т.п.) направляются соответствующему Клиенту (оператору данных). Мы как обработчик исполняем запросы и удаление по документированным инструкциям Клиента в пределах закона и технической возможности.
9.3. Как связаться:
E-mail: verifyboxorigin@gmail.com
Почтовый адрес: 141410, РФ, Московская обл., г. Химки, ул. 9 Мая, д. 106, кв. 49
Срок ответа — до 30 дней с даты получения запроса (если иной срок не установлен законом).
9.4. Субъект вправе обжаловать действия/бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных.

10. Файлы cookie и аналогичные технологии

Используем:

  • технические cookie — для авторизации, безопасности, работы интерфейсов;
  • аналитические данные — агрегированную статистику посещений/событий (без построения профилей).

Вы можете управлять cookie через настройки браузера; блокировка части cookie может повлиять на корректность работы Сервиса.

11. Несовершеннолетние

Сервис не предназначен для самостоятельного использования несовершеннолетними. Если Клиент верифицирует несовершеннолетних Пользователей, он обеспечивает получение согласий законных представителей и соблюдение специальных требований применимого права.

12. Обязанности Клиента как оператора данных своих Пользователей

Клиент обязуется:

  • иметь правовую основу обработки (как правило — получить согласие Пользователя на обработку номера телефона для верификации);
  • отобразить в интерфейсе формы верификации ссылку на свою политику (если есть) и ссылку на настоящую Политику;
  • по запросу Исполнителя предоставлять подтверждение согласий/правовой основы;
  • информировать нас о запросах субъектов и правомерных требованиях госорганов, относящихся к данным, обрабатываемым через Сервис;
  • соблюдать требования операторов/платформ (регистрация Sender ID/кампаний, специальные правила по странам).

13. Маркетинговые и сервисные сообщения

Мы можем направлять Клиентам ЛК сервисные сообщения (о безопасности, инцидентах, изменениях Сервиса, документообороте) — без отдельного согласия. Маркетинговые сообщения направляются при наличии согласия; от них можно отказаться по ссылке в письме.

14. Ограничение ответственности

Мы не контролируем и не отвечаем за содержание и законность отправок Клиента в отношении его Пользователей, за корректность номеров и настроек, а также за доступность сторонних сервисов (операторов, платёжных систем). Предел ответственности определяется Публичной офертой/Пользовательским соглашением.

15. Изменения Политики

Мы вправе обновлять настоящую Политику. Новая редакция вступает в силу с момента публикации на сайте и применяется к отношениям после публикации. На странице Политики указывается дата редакции; сохраняется архив версий.

16. Реквизиты Исполнителя

Индивидуальный предприниматель КАСЬЯНОВ Кирилл Вячеславович
ИНН: 504721919539 ОГРНИП: 325508100486173
Адрес: 141410, РФ, Московская обл., г. Химки, ул. 9 Мая, д. 106, кв. 49
Р/с: 40802810100008680752 в АО «ТБанк» БИК: 044525974 К/с: 30101810145250000974
ИНН банка: 7710140679 Юр. адрес банка: 127287, г. Москва, ул. Хуторская 2-я, д. 38А, стр. 26
E-mail: verifyboxorigin@gmail.com`;

return ( <DocumentPage title="Политика конфиденциальности" content={content} backTo="/" /> ); };

export default PrivacyPolicy;