Политика конфиденциальности

Настоящая Политика конфиденциальности (далее — «Политика») описывает, какие персональные данные обрабатывает сервис QABot (доступный по адресу qa.vibecrew.space, далее — «Сервис»), на каких правовых основаниях, как они хранятся и какие права имеет субъект данных. Политика составлена в соответствии с требованиями Регламента (ЕС) 2016/679 (GDPR), ст. 13, и Федерального закона РФ № 152-ФЗ «О персональных данных».

1. Кто мы (Оператор / Контролёр данных)

Оператором персональных данных (в смысле ФЗ-152) и контролёром данных (в смысле GDPR) выступает Команда «vibecrew» (на дату публикации оператор — ИП-основатель, юрисдикция РФ).

• Общий контакт: support@vibecrew.space
• Вопросы по обработке персональных данных и реализация прав субъекта: privacy@vibecrew.space
• Сообщения об инцидентах безопасности и уязвимостях: security@vibecrew.space
• Юрисдикция обработки: Российская Федерация; инфраструктура — ЕС (Франкфурт-на-Майне, дата-центр Timeweb FRA-1).
• Назначенного DPO в смысле GDPR Art. 37 у нас нет (порог обязательности не достигнут); по всем приватным вопросам обращайтесь на privacy@vibecrew.space.

2. Какие данные мы собираем

2.1. Данные аккаунта

• email и хэш пароля (Argon2id) либо OAuth-идентификатор провайдера (Google, GitHub, Yandex);
• отображаемое имя и аватар (если предоставлены или получены от OAuth-провайдера);
• выбранный тарифный план, история подписок (после запуска платных тарифов);
• API-токены формата qab_* со scope tasks:create / tasks:read, созданные вами для интеграций (мы храним только хэш токена; полное значение показывается один раз).

2.2. Данные тестируемых сайтов (контент пользователя)

• URL целевого сайта, описание сценария тестирования, критерии приёмки (AC);
• учётные данные для входа в тестируемый сайт, если вы их указываете — хранятся зашифрованными AES-256-GCM в Redis с ограниченным TTL и не доступны в открытом виде сотрудникам;
• скриншоты и короткие видео-клипы прохождения тестов;
• HAR-файлы (сетевые логи теста) и текстовые баг-репорты, сгенерированные агентом;
• метрики выполнения (длительность, количество шагов, стоимость LLM-вызовов).

Важно: вы сами решаете, какой URL передать агенту. Не указывайте сайты, на тестирование которых у вас нет разрешения, и не передавайте чужие учётные данные — см. раздел 4 Условий использования.

2.3. Технические и эксплуатационные данные

• IP-адрес и User-Agent — для защиты от злоупотреблений и rate-limiting;
• сессионные cookie (qabot_access, qabot_refresh, oauth_state) — httpOnly, Secure, SameSite=Lax; нужны для авторизации и защиты OAuth-флоу;
• выбор cookie-согласия — хранится в localStorage вашего браузера (не передаётся на сервер);
• журнал действий администратора (аудит-лог): кто и когда менял конфигурацию, отзывал токены, выдавал доступ и т. п. — для целей информационной безопасности;
• опциональные интеграции: webhook outbound, Jira, Linear, Slack — подключаются и отключаются вами; мы храним только URL/токен/настройки.

2.4. Аналитика и cookie третьих лиц

При вашем согласии в cookie-баннере подключается Yandex Metrica (счётчик 109614820) с Webvisor и clickmap. Подробности и список cookie — на странице /cookies. Webvisor пишет действия в формах с маскированием паролей и чувствительных полей на стороне браузера.

2.5. Платёжные данные

На дату публикации платных тарифов в Сервисе нет. При их запуске реквизиты банковских карт не будут обрабатываться и храниться на наших серверах: платежи пойдут через ООО НКО «Юмани» (Yookassa) и/или Stripe; мы получим только идентификатор транзакции, сумму и статус оплаты.

3. Правовые основания и цели обработки

4. Суб-обработчики (sub-processors)

Для предоставления Сервиса мы привлекаем следующих суб-обработчиков. Список актуален на дату публикации Политики; при добавлении или замене поставщика мы обновим таблицу и сделаем запись в журнале изменений.

Примечание. AWS S3 в Сервисе не используется — объектное хранилище реализовано на S3-совместимом сервисе Timeweb (FRA-1). Если в будущем мы подключим Amazon S3 или иного нового вендора, мы обновим этот список до начала фактической передачи данных.

5. Сроки хранения

• Аккаунт и связанные данные — пока существует активный аккаунт. После запроса на удаление: 30 дней soft-delete (для восстановления, если запрос был ошибочным), затем полное удаление из основной БД в течение следующих 7 дней.
• Скриншоты, видео, HAR-файлы тестов — 90 дней с момента создания (S3 lifecycle rule); по запросу удаление раньше.
• Зашифрованные креды тестируемых сайтов — Redis TTL до 24 часов с момента запуска теста; затем удаляются автоматически.
• API-токены — пока вы их не отозвали в личном кабинете; после отзыва хэш токена удаляется немедленно.
• Эксплуатационные логи и метрики (включая аудит-лог админ-действий) — 90 дней.
• Резервные копии PostgreSQL — 30 дней с момента создания (rotation), затем удаляются. Удалённые из основной БД данные исчезают из резервов в течение этого срока.
• Бухгалтерские документы по оплатам (после запуска платных тарифов) — 5 лет (требование НК РФ).
• Данные Yandex Metrica — сроки хранения определяются Yandex; см. Условия использования Metrica.

6. Ваши права как субъекта данных

В соответствии с GDPR (ст. 15–22) и ФЗ-152 (ст. 14–20) у вас есть следующие права:

• Право на доступ — получить копию ваших персональных данных и сведения о целях/основаниях обработки;
• Право на исправление — потребовать уточнения неточных или неполных данных (большую часть полей вы можете изменить самостоятельно в личном кабинете);
• Право на удаление («право быть забытым») — потребовать удаления данных. Кнопка «Удалить аккаунт» доступна в личном кабинете; см. также сроки в разделе 5;
• Право на ограничение обработки — заморозить обработку, оставив возможность хранения;
• Право на переносимость данных — получить экспорт ваших данных в машиночитаемом формате (JSON), включая профиль, список проектов и метаданные тестов. Двоичные артефакты (скриншоты/видео/HAR) поставляются отдельным архивом по ссылке;
• Право на возражение против обработки на основании законного интереса;
• Право отозвать согласие в любой момент (для тех целей, где основание — согласие), без ущерба для законности обработки до отзыва;
• Право на жалобу в надзорный орган — для жителей ЕС: местный орган по защите данных; для РФ: Роскомнадзор (rkn.gov.ru).

Как реализовать любое из этих прав: напишите на privacy@vibecrew.space с того же email, который привязан к аккаунту (для упрощения идентификации). В письме укажите тип запроса. Мы отвечаем в течение 30 календарных дней (срок может быть продлён до 60 дней в сложных случаях — мы уведомим вас об этом). Реализация прав бесплатна, за исключением случаев явных злоупотреблений (массовые или повторяющиеся однотипные запросы).

7. Безопасность

• Шифрование TLS 1.3 для всех соединений (HSTS включён);
• Шифрование AES-256-GCM для секретов и кредов тестируемых сайтов в Redis;
• Хэширование паролей пользователей — Argon2id;
• Доступ сотрудников — по принципу минимальных привилегий, через 2FA;
• Регулярные резервные копии PostgreSQL с шифрованием на уровне диска;
• Аудит-лог всех админ-действий, хранится 90 дней;
• Регулярные code-review безопасности и аудит зависимостей.

Несмотря на все меры, абсолютной безопасности в интернете не существует. О любом инциденте, затрагивающем ваши данные, мы уведомим затронутых пользователей в течение 72 часов с момента обнаружения (требование GDPR Art. 33). Сообщения об уязвимостях принимаются на security@vibecrew.space.

8. Использование cookie

Мы используем минимально необходимые cookie для авторизации и — после вашего явного согласия — Yandex Metrica для веб-аналитики. Полная таблица cookie, описания и инструкции по управлению — на отдельной странице /cookies.

9. Трансграничная передача данных

Часть суб-обработчиков расположена за пределами РФ и ЕЭЗ:

• Google LLC (Gemini API) — LLM-вывод для AI-агента выполняется в инфраструктуре Google. Запросы идут через прокси Cloudflare Worker и не содержат идентификаторов пользователя; в модель попадают только данные, необходимые для тестового шага (URL, DOM-фрагмент, скриншот, текст AC). Это означает фактическую передачу таких данных за рубеж. Если вы не готовы к такой передаче — не запускайте тесты в Сервисе.
• Cloudflare, Inc. (CDN/WAF/Worker) — глобальный трафик может маршрутизироваться через PoP за пределами РФ/ЕЭЗ.
• GitHub, Inc. (OAuth) — для пользователей, выбравших вход через GitHub.

Правовая база (РФ). Трансграничная передача осуществляется в рамках исполнения договора, стороной которого является субъект персональных данных — допускается без получения отдельного согласия в силу п. 2 ч. 4 ст. 12 ФЗ-152 («О персональных данных»). Запуская тест в Сервисе, Пользователь явно поручает обработку (включая передачу необходимых для теста данных через LLM-инфраструктуру Google и proxy Cloudflare), и такая передача охватывается основанием «исполнение договора». Запросы, направляемые в Gemini API, не содержат прямых идентификаторов Пользователя (email, имя, IP); передаются только данные, необходимые для тестового шага.

Уведомление Роскомнадзора (актуальный статус). На дату публикации оператором выступает ИП-основатель. Согласно ч. 3 ст. 12 ФЗ-152, обязанность подавать уведомление о трансграничной передаче возникает для юридических лиц-операторов; для ИП в режиме беты подача не является обязательной, однако передача обоснована ч. 4 ст. 12. После регистрации операторского юр-лица (ООО) мы в течение 10 рабочих дней с момента начала трансграничной передачи от имени ООО подадим уведомление в Роскомнадзор по форме, установленной Приказом Роскомнадзора, и внесём соответствующую запись в журнал изменений Политики.

Правовая база (ЕЭЗ/GDPR). Передача в США и иные юрисдикции, не имеющие решения Еврокомиссии об адекватном уровне защиты, дополнительно осуществляется на основании Стандартных договорных условий (SCC, Implementing Decision (EU) 2021/914), заключённых с Google LLC и Cloudflare, Inc. Принимая настоящую Политику, Пользователь предоставляет информированное согласие на такую трансграничную передачу (ст. 49(1)(a) GDPR — explicit consent backstop).

10. Дети

Сервис ориентирован на B2B-аудиторию (юридические лица, ИП и разработчиков-профессионалов) и по умолчанию не предназначен для лиц младше 18 лет. Мы сознательно не собираем данные несовершеннолетних младше 16 лет ни при каких обстоятельствах (соответствует ст. 8 GDPR — нижний порог цифрового согласия).

Резиденты ЕС в возрасте 16–17 лет могут запросить индивидуальное рассмотрение возможности использования Сервиса по адресу legal@vibecrew.space с приложением подтверждения согласия законного представителя — порядок изложен в § 3 Условий использования. Если вы — родитель или законный представитель и обнаружили, что ребёнок самостоятельно создал аккаунт, свяжитесь с нами по адресу privacy@vibecrew.space — мы удалим аккаунт и связанные данные в течение 7 рабочих дней.

11. Изменения политики

Мы можем обновлять Политику. О существенных изменениях (новый суб-обработчик, новая категория собираемых данных, изменение целей обработки) мы уведомим вас по email и/или баннером в Сервисе минимум за 14 дней до вступления в силу. Несущественные правки (опечатки, уточнение формулировок) публикуются без отдельного уведомления — следите за журналом изменений внизу страницы. Текущая версия и дата вступления в силу указаны вверху документа.

12. Контакты по вопросам конфиденциальности

Оператор: Команда «vibecrew» (на дату публикации оператор — ИП-основатель, юрисдикция РФ)
Общий email: support@vibecrew.space
Privacy (права субъекта, удаление, экспорт): privacy@vibecrew.space
Security (уязвимости, инциденты): security@vibecrew.space
Способ официальной корреспонденции: на дату публикации — указанные email-каналы (электронный документооборот в смысле ст. 434 ГК РФ; ответ на любой письменный запрос — в течение 30 календарных дней, раздел 6). ИНН оператора-ИП и почтовый адрес предоставляются по отдельному письменному запросу на privacy@vibecrew.space при необходимости для целей реализации прав субъекта.