Соглашение об обработке персональных данных описывает технические и организационные меры защиты, требования к подрядчикам и порядок реагирования на инциденты.
1. Технические меры
- Шифрование канала (TLS 1.3) на каждом запросе между клиентом и сервером.
- Приватные бакеты хранилища для загруженных файлов — публично недоступны.
- Шифрование чувствительных полей на уровне приложения (AES-256-GCM, ключ на пользователя).
- Хэш паролей Argon2id; пароли в открытом виде не хранятся и не логируются.
- Отдельные среды для разработки, тестирования и продакшна.
2. Организационные меры
- Принцип минимальных привилегий для продакшн-доступа.
- Логирование доступа к системам с пользовательскими данными.
- В логи приложения и LLM-вызовов не попадает медицинский контент.
3. Субпроцессоры
Текущие субпроцессоры: Anthropic (LLM-извлечение), OpenAI (резервная LLM), Robokassa (платежи), VPS Beget (хостинг). О существенных изменениях мы уведомляем активных пользователей минимум за 30 дней.
4. Инциденты
В случае подтверждённой утечки, затрагивающей пользовательские данные, мы уведомляем затронутых пользователей по email в течение 72 часов с момента подтверждения — в логике сроков GDPR ст. 33–34. Для пользователей из РФ уведомление в Роскомнадзор направляется в сроки, установленные ч. 3.1 ст. 21 152-ФЗ.
По вопросам этого документа: legal@mykeepcare.com. Чтобы запросить или удалить свои данные — раздел «Данные» в Настройках.