Соглашение об обработке данных (DPA) — Tak i Tik

Соглашение об обработке данных

Редакция от 16 февраля 2026 г. · Вступает в силу с 1 января 2026 г.

1. Предмет и область применения

Настоящее Соглашение об обработке данных (DPA) заключается между Бизнес-аккаунтом (далее — «Контролёр») и *** (далее — «Процессор») и определяет условия обработки персональных данных клиентов Контролёра на Платформе Tak i Tik.

DPA является неотъемлемой частью Пользовательского соглашения и действует в течение всего срока использования Платформы.

Категории обрабатываемых данных:

Идентификационные данные клиентов (ФИО, телефон, email).
Данные бронирований (дата, время, услуга, стоимость).
История визитов и предпочтения.
Платёжная информация (без данных банковских карт).

2. Обязательства Процессора

*** как Процессор обязуется:

Обрабатывать персональные данные исключительно по поручению и в интересах Контролёра.
Не использовать данные клиентов Контролёра для собственных целей.
Обеспечивать конфиденциальность персональных данных.
Содействовать Контролёру в реализации прав субъектов данных.
Уведомлять Контролёра об инцидентах безопасности в течение 24 часов.
Удалить или вернуть все персональные данные по завершении обработки.

3. Технические меры защиты

Для обеспечения безопасности персональных данных применяются следующие технические меры:

3.1. Шифрование

Данные в транзите: TLS 1.3 для всех соединений (HTTPS, WebSocket, API).
Данные в покое: Fernet (AES-128-CBC + HMAC-SHA256) для чувствительных полей (телефон, адрес, медицинские данные).
Пароли: Argon2id (time=3, memory=65536, parallelism=4) с уникальной солью.
Бэкапы: шифрование AES-256-GCM с ротацией ключей каждые 90 дней.
Ключи шифрования: хранятся отдельно от данных, доступ ограничен.

3.2. Контроль доступа

RBAC: ролевая модель доступа с 4 уровнями (Owner, Admin, Manager, Employee).
Принцип минимальных привилегий: доступ предоставляется только к необходимым данным.
Двухфакторная аутентификация (2FA): доступна для всех пользователей.
Сессии: автоматическое завершение после 30 минут бездействия.
IP-ограничения: настраиваются для корпоративных аккаунтов.

3.3. Инфраструктурная безопасность

Дата-центры: сертифицированные ЦОД уровня Tier III на территории РФ.
Сетевая защита: WAF, DDoS-защита, IDS/IPS.
Изоляция данных: данные каждого бизнеса изолированы на уровне приложения.
Обновления: автоматическое применение патчей безопасности.

4. Организационные меры

Политика информационной безопасности: регулярно обновляемая внутренняя документация.
Обучение: регулярное обучение сотрудников по защите данных.
NDA: все сотрудники подписывают соглашение о неразглашении.
Проверка сотрудников: background check при приёме на работу.
Реагирование на инциденты: документированный план реагирования (IRP).
Управление уязвимостями: регулярное сканирование и пентестинг.

5. Субпроцессоры

Для предоставления услуг мы привлекаем следующих субпроцессоров:

Субпроцессор	Функция	Локация данных
Yandex Cloud	Хостинг, хранение данных	Россия
ЮKassa	Обработка платежей	Россия
SMS Aero	SMS-уведомления	Россия
Unisender	Email-рассылки	Россия
Firebase (Google)	Push-уведомления	ЕС (Финляндия)

О привлечении новых субпроцессоров Контролёр уведомляется за 30 дней. Контролёр вправе возразить против привлечения нового субпроцессора.

Со всеми субпроцессорами заключены соглашения об обработке данных, обеспечивающие не менее строгий уровень защиты.

6. Аудит

Контролёр имеет право на проверку соблюдения Процессором условий DPA:

Аудит документации: по запросу, не чаще 1 раза в год.
Инспекция на месте: по предварительному согласованию (уведомление за 30 дней).
Отчёты о безопасности: предоставляются по запросу.
Результаты пентестов: summary-отчёты предоставляются по запросу (NDA).

Расходы на аудит несёт Контролёр, за исключением случаев выявления нарушений.

7. Реагирование на инциденты

В случае инцидента безопасности, затрагивающего персональные данные:

Обнаружение: автоматические системы мониторинга + ручной мониторинг.
Уведомление Контролёра: в течение 24 часов после подтверждения инцидента.
Содержание уведомления: характер инцидента, затронутые данные, предпринятые меры, рекомендации.
Устранение: немедленные меры по локализации и устранению последствий.
Post-mortem: детальный отчёт в течение 72 часов.

Содействие в уведомлении Роскомнадзора и субъектов данных — по запросу Контролёра.

8. Действия по завершении обработки

По завершении DPA (прекращение подписки, расторжение Соглашения):

Экспорт: Контролёр может экспортировать все данные в формате JSON/CSV в течение 30 дней.
Удаление: все персональные данные удаляются в течение 30 дней после завершения DPA.
Бэкапы: данные из резервных копий удаляются в течение 90 дней.
Подтверждение: сертификат удаления предоставляется по запросу.

Данные могут быть сохранены дольше, если это требуется действующим законодательством (бухгалтерская отчётность, налоговый учёт).

Если у вас есть вопросы по данному документу, свяжитесь с нами: legal@takitik.com

Категории обрабатываемых данных:

Идентификационные данные клиентов (ФИО, телефон, email).
Данные бронирований (дата, время, услуга, стоимость).
История визитов и предпочтения.
Платёжная информация (без данных банковских карт).