Соглашение об обработке данных (DPA)

1. Предмет и срок действия

Предмет: обработка персональных данных для целей предоставления Сервиса.

Срок действия: DPA действует, пока Sycrion обрабатывает персональные данные от имени Клиента по Условиям использования.

2. Характер и цель обработки

• Выполнение сканов публичных источников для доменов, указанных Клиентом
• Хранение результатов сканов и находок для доступа Клиента
• Генерация отчётов и e-mail-уведомлений
• Аутентификация пользователей и управление аккаунтами
• Поддержка клиентов и администрирование биллинга

3. Типы персональных данных

• Идентификация пользователя: имя, рабочий e-mail, название организации, должность
• Данные аутентификации: hash пароля, токены сессии
• Входные данные Сервиса: домены, e-mail-паттерны, идентификаторы проектов для мониторинга
• Коммуникации: тикеты поддержки, контактные формы
• Технические метаданные: IP-адрес, браузер, идентификаторы устройства, временные метки

4. Категории субъектов данных

• Сотрудники Клиента и авторизованные пользователи Сервиса
• Организационные контакты Клиента, указанные в конфигурации сканов
• Лица, идентифицируемые через публично доступную информацию, индексируемую Сервисом (например, e-mail'ы из публичных утечек)

5. Обязательства Процессора

Sycrion обязуется:

• Обрабатывать персональные данные только по документированным указаниям Клиента, включая настоящее DPA
• Обеспечить, что лица, авторизованные на обработку, связаны обязательством о конфиденциальности
• Применять соответствующие технические и организационные меры (Приложение II)
• Содействовать Клиенту в ответе на запросы субъектов данных
• Содействовать Клиенту в оценке воздействия на защиту данных и предварительных консультациях
• Уведомлять Клиента без необоснованной задержки (в течение 72 часов) после обнаружения нарушения защиты данных
• Предоставлять всю информацию, необходимую для демонстрации соответствия ст. 28

6. Субпроцессоры

Клиент разрешает Sycrion привлекать субпроцессоров, перечисленных в Приложении III. Sycrion уведомит Клиента не менее чем за 30 дней до планируемых изменений; Клиент вправе возразить по обоснованным причинам защиты данных.

7. Международные передачи

При передаче персональных данных за пределы EEA передачи опираются на Стандартные договорные условия (Решение Комиссии 2021/914) и применимые дополнительные меры защиты.

8. Аудит

По обоснованному письменному запросу, но не чаще одного раза в календарный год (или по требованию надзорного органа), Sycrion предоставит информацию, необходимую для подтверждения соответствия DPA. Расходы on-site аудита несёт Клиент, если не выявлено существенного несоответствия.

9. Возврат или удаление

По прекращении Сервиса Sycrion, по выбору Клиента, вернёт или удалит персональные данные в течение 90 дней, кроме случаев, когда хранение требуется применимым законом.

10. Ответственность

Ответственность по настоящему DPA регулируется пунктом ограничения ответственности в Условиях использования, за исключением случаев, когда применимое право не допускает такого ограничения.

Приложение I — Описание обработки

Согласно разделам 2–4 выше.

Приложение II — Технические и организационные меры

• TLS 1.2+ для всех данных в передаче
• AES-256 шифрование at-rest для сохранённых данных сканов
• Контроль доступа на основе ролей (least-privilege)
• Audit-логирование всех административных действий
• Многофакторная аутентификация для административных аккаунтов
• Регулярное сканирование уязвимостей собственной инфраструктуры
• Документированная процедура реагирования на инциденты
• Ежегодное обучение сотрудников по безопасности
• Хостинг в регионе EU (Vercel + Neon)

Приложение III — Одобренные субпроцессоры

• Vercel Inc. — хостинг приложения
• Neon, Inc. — управляемая БД PostgreSQL
• Resend — доставка транзакционных писем
• [Платёжный провайдер]
• [Инструмент поддержки клиентов]