Безопасность и защита данных

1. Место хранения данных

1.1. Персональные данные пользователей платформы PRAVORA подлежат хранению на серверах, физически расположенных на территории Российской Федерации, в соответствии с требованиями законодательства РФ о локализации персональных данных.

1.2. Резервные копии данных, если они создаются в рамках работы платформы, размещаются на территории Российской Федерации либо у поставщиков инфраструктуры, обеспечивающих соблюдение требований законодательства РФ.

1.3. Трансграничная передача персональных данных не осуществляется.

2. Сроки хранения данных

На платформе PRAVORA могут применяться следующие ориентиры по срокам хранения данных:

• данные аккаунта пользователя — в течение срока действия аккаунта и после его удаления в пределах срока, необходимого для исполнения закона, разрешения споров и защиты прав сторон;
• документы, результаты генерации, файлы, изображения и иные пользовательские материалы — в течение срока использования сервиса либо срока, необходимого для отображения истории, исполнения обязательств и защиты прав сторон;
• данные о транзакциях, оплатах, начислениях лимитов, возвратах и истории покупок — в сроки, необходимые для бухгалтерского, налогового и иного обязательного учёта;
• переписка, задачи, жалобы, споры и материалы взаимодействия со специалистами — в течение срока, необходимого для рассмотрения обращений, разрешения споров и защиты прав сторон;
• технические логи, включая IP-адреса, данные о сессиях, попытках входа и действиях пользователя, — до 12 месяцев, если иной срок не требуется в целях безопасности или по закону;
• cookie-файлы — в соответствии с установленным сроком жизни cookie: сессионные до закрытия браузера, постоянные — как правило, до 12 месяцев;
• по истечении сроков хранения данные уничтожаются, блокируются либо обезличиваются, если иное не предусмотрено законодательством РФ.

3. Общие принципы безопасности

• защита данных на всех этапах обработки;
• ограничение доступа к информации только уполномоченным лицам и техническим процессам;
• минимизация объёма хранимых и передаваемых данных в пределах, необходимых для работы сервиса;
• разграничение пользовательских, служебных и административных данных по назначению;
• контроль доступа к личным кабинетам, задачам, документам, чатам и административным функциям;
• регулярное обновление применяемых мер безопасности с учётом развития платформы и актуальных угроз.

4. Технические меры защиты

• использование HTTPS и защищённых соединений при передаче данных;
• хеширование или иная безопасная обработка паролей пользователей;
• использование токенов авторизации и механизмов контроля доступа;
• ограничение срока действия токенов авторизации и служебных ключей, если это предусмотрено архитектурой платформы;
• валидация пользовательских запросов и ограничение размера передаваемых данных;
• фильтрация, проверка и ограничение типов загружаемых файлов;
• ограничение размера загружаемых файлов;
• ограничение частоты запросов и контроль подозрительной активности;
• применение мер защиты от типовых атак, включая brute-force, XSS, инъекции, несанкционированный доступ и иные распространённые угрозы;
• ограничение доступа к административным, служебным и внутренним интерфейсам;
• резервное копирование базы данных и критически важных файлов, если такое копирование используется в рабочей инфраструктуре.

5. Защита аккаунтов и доступа

• доступ к аккаунту предоставляется после регистрации и авторизации пользователя;
• для отдельных сценариев может использоваться подтверждение email;
• доступ к приватным данным, документам, истории, задачам и чатам ограничивается соответствующим пользователем, специалистом или администратором в пределах их роли;
• пользователь обязан самостоятельно обеспечивать сохранность email, пароля, устройств и иных средств доступа к аккаунту;
• при подозрении на компрометацию аккаунта пользователь должен незамедлительно обратиться в поддержку PRAVORA;
• платформа вправе временно ограничить доступ при подозрении на взлом, злоупотребление, мошенничество или нарушение правил сервиса.

6. Защита загружаемых данных и материалов

• платформа может ограничивать допустимые типы и форматы загружаемых файлов;
• платформа может ограничивать размер файлов и количество загружаемых материалов;
• загружаемые материалы хранятся в объёме и в течение срока, необходимого для работы соответствующего функционала;
• доступ к документам, файлам, результатам анализа, отчётам и скачиваниям должен предоставляться только пользователю, которому они принадлежат, либо уполномоченному специалисту в рамках задачи;
• пользователь не должен загружать вредоносные файлы, исполняемый код, скрипты, незаконные материалы или сведения, нарушающие права третьих лиц;
• по истечении срока хранения либо по достижении целей обработки материалы могут быть удалены, очищены, заблокированы или обезличены.

7. AI, внешние сервисы и инфраструктура

Для работы отдельных функций PRAVORA, включая генерацию документов, анализ материалов, исправление документов, AI-навигацию, проверку карточек маркетплейсов и иные интеллектуальные сценарии, могут использоваться AI-технологии и внешние технологические провайдеры.

В рамках таких функций данные могут передаваться внешним AI-провайдерам, включая сервисы на базе YandexGPT, исключительно в объёме, необходимом для выполнения пользовательского запроса и функционирования сервиса.

PRAVORA стремится минимизировать передачу избыточных данных и рекомендует пользователям не загружать сведения, которые не требуются для выполнения конкретного запроса.

8. Юристы, эксперты и специалисты

Если пользователь направляет задачу юристу, эксперту или иному специалисту через платформу, PRAVORA может предоставить такому специалисту доступ к данным, документам, сообщениям и материалам, необходимым для рассмотрения соответствующей задачи.

Доступ специалиста должен быть ограничен рамками конкретной задачи и его роли на платформе.

Платформа может обрабатывать сведения специалистов, включая анкетные данные, документы для проверки, реквизиты выплат, статусы верификации, историю задач, переписку, жалобы и результаты работы.

9. Организационные меры защиты

• ограничение круга лиц, имеющих доступ к служебной информации;
• разделение ролей пользователей, специалистов и администраторов;
• применение внутренних процедур контроля безопасности;
• журналирование значимых действий, ошибок, авторизаций, платежных событий и административных операций;
• реагирование на инциденты безопасности и подозрительную активность;
• актуализация мер защиты по мере изменения функционала платформы и характера угроз.

10. Инциденты безопасности

При выявлении инцидента безопасности PRAVORA принимает разумные меры для ограничения последствий, восстановления корректной работы платформы, анализа причин и предотвращения повторения инцидента.

Если инцидент затрагивает персональные данные пользователей и требует уведомления в соответствии с законодательством Российской Федерации, PRAVORA действует в порядке, предусмотренном применимыми требованиями закона.

11. Ограничение ответственности

Несмотря на принимаемые меры, ни одна информационная система не может гарантировать абсолютную безопасность. Пользователь также несёт ответственность за сохранность своих учётных данных, устройств, каналов связи и доступа к аккаунту.

PRAVORA не гарантирует полное отсутствие рисков, связанных с использованием сети Интернет, внешней инфраструктуры, пользовательского оборудования, браузеров, расширений, устройств, публичных сетей и действий третьих лиц.

PRAVORA не несёт ответственности за последствия передачи пользователем своих учётных данных третьим лицам, использования слабых паролей, заражённых устройств, небезопасных сетей или иных факторов, находящихся вне разумного контроля платформы.

12. Обновление мер безопасности

PRAVORA вправе изменять и дополнять применяемые меры безопасности для соответствия современным требованиям, техническому развитию платформы и актуальным угрозам.

Описание мер безопасности в настоящем документе носит общий информационный характер и не раскрывает полную внутреннюю архитектуру защиты платформы.

13. Реквизиты и контакты