1. Кто мы и как связаться

Сайт dom-vld.ru и связанные с ним сервисы («Сервис») созданы и поддерживаются Обществом с ограниченной ответственностью «Авангард» (ОГРН 1251500007164, ИНН 1500028630, КПП 150001001) (далее — «Оператор»).

Контакты для запросов по персональным данным: support@dom-vld.ru, +7‑962‑747‑3370.

Юридический адрес: 362019, Россия, Северная Осетия‑Алания, г. Владикавказ, ул. Зураба Магкаева, 2.

Ответственный за организацию обработки ПДн: ООО «Авангард» (действующий руководитель).

Настоящая Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных», Постановления Правительства РФ от 01.11.2012 № 1119 и иных нормативных актов. Термины и определения используются в значениях, предусмотренных указанным законодательством.

Запросы можно направлять по e‑mail, почтой или через вашу Управляющую организацию (если доступ предоставлен УО).

2. Роли в обработке данных

В зависимости от сценария Оператор может выступать:

• Оператор (контролёр) — при обработке данных посетителей сайта, заявителей по каналам связи, пользователей ботов в мессенджере MAX (далее — «Max‑бот»), а также технических данных, необходимых для работы Сервиса.
• Обработчик по поручению — при обслуживании Управляющих организаций (УО/ТСЖ/ТСН). В этом случае УО выступает самостоятельным оператором ПДн и несёт ответственность за законность получения и передачи данных. Порядок обработки определяется договором с УО.

3. Состав обрабатываемых данных

3.1. Данные аккаунта жильца (личный кабинет)

• Лицевой счёт (логин), ФИО, адрес, помещение.
• Информация о начислениях/задолженности по услугам (например: техобслуживание, ОДН, электроэнергия и пр.).

3.2. Данные, публикуемые УО на сайте

• Мероприятия и связанные материалы: текст, фото/видео (могут содержать изображение людей).
• Сотрудники УО: ФИО, должность, фото.
• Контакты УО: телефоны, e‑mail, ссылки на мессенджеры.

3.3. Данные из Max‑ботов

• Уникальный идентификатор пользователя в мессенджере MAX (max_id), ФИО, контактные данные (телефон, e‑mail), сведения о роли (житель, оператор), переписка и передаваемые сообщения, а также загружаемые файлы (фото/видео) для обращений и/или публикаций.
• При оформлении обращения через Max‑бот пользователь может указывать адрес, описание проблемы/вопроса и прикреплять медиафайлы; эта информация сохраняется в системе обращений, чтобы УО могла обработать её.
• Служебная информация о домах/помещениях, показаниях приборов и сотрудниках может передаваться через Max‑боты в рамках автоматизированных команд (если такая функциональность предоставлена УО).

3.4. Технические данные (логи)

• IP‑адрес, дата и время запроса, user‑agent, реферер, адрес запрашиваемого ресурса, идентификаторы ошибок/сессий.
• Маршрут и HTTP‑метод (например, GET /employee, POST /admin/addReadings) и параметры запроса. При взаимодействии через личный кабинет фиксируются действия пользователя: выбранные пункты меню, нажатия кнопок, отправка форм. Содержимое паролей и чувствительных данных не записывается в открытом виде.

Сервис не собирает специальные категории ПДн и биометрические данные и не осуществляет автоматизированного принятия решений, порождающего юридические последствия.

4. Цели и правовые основания

• Предоставление функциональности Сервиса (личный кабинет, отображение мероприятий, сотрудников, контактов УО) — исполнение договора с УО/ТСЖ/ТСН; законные интересы Оператора по обеспечению работоспособности Сервиса.
• Публикации УО (мероприятия, сотрудники) — законные интересы УО/Оператора; изображения людей — по согласиям субъектов либо на основаниях, предусмотренных законодательством РФ (например, при съёмке публичных мероприятий).
• Работа Max‑ботов — исполнение договора с УО и/или законные интересы (организация учёта, оперативная связь с жителями); данные об обращениях обрабатываются в инфраструктуре мессенджера MAX и передаются в Сервис для обработки.
• Информационная безопасность и отладка — законные интересы (ведение логов, защита от атак, ограничение скорости запросов, предотвращение SSRF и т. п.).
• Коммуникация — ответы на обращения по контактам, направленным через Сервис или мессенджеры.

5. Cookies и локальное хранилище

• Сессионная cookie — для авторизации в личном кабинете; флаги: HttpOnly SameSite=Lax Secure* ; срок жизни — до 7 суток. Звёздочка означает, что флаг Secure включается при работе по HTTPS.
• CSRF‑cookie — для защиты форм от подделки запроса; используется вместе со скрытым полем формы.
• Третьих лиц аналитики/трекеров не используется; реклама не ведётся.
• Кэш сервис‑воркера — для обеспечения офлайн‑доступа и ускорения загрузки некоторые статические ресурсы (изображения, файлы, офлайн‑страница) кэшируются в локальном хранилище браузера (Cache Storage) с помощью Service Worker. Эти данные хранятся только на вашем устройстве, не отправляются на сервер и могут быть удалены вручную через настройки браузера.

Блокирование cookies может привести к невозможности входа в личный кабинет. Отключение локального хранилища (Cache Storage) может замедлить загрузку страниц и лишить доступа к офлайн‑версии Сервиса.

6. Передача третьим лицам

• Мессенджер MAX. При взаимодействии с Max‑ботами сообщения, идентификатор пользователя (max_id) и вложения передаются и обрабатываются в инфраструктуре мессенджера MAX. По информации операторов мессенджера, его серверы находятся на территории Российской Федерации и не предполагают трансграничной передачи данных.
• Объектное хранилище Яндекс S3. Медиафайлы хранятся и отдаются через Яндекс Object Storage. В соответствии с публичной информацией провайдера, дата‑центры расположены в России и не осуществляется трансграничная передача данных.
• Хостинг/инфраструктура. Серверы приложения и базы данных размещены в дата‑центрах на территории Российской Федерации. Поставщики инфраструктуры получают доступ только к объёму данных, необходимому для оказания услуг, и также не осуществляют трансграничную передачу.
• Управляющие организации. Если вы — житель, доступы и данные вашего аккаунта предоставляются вашей УО; УО может просматривать и обновлять ваши данные в рамках своих полномочий.

Мы не продаём персональные данные и не передаём их третьим лицам вне перечисленных категорий, за исключением случаев, прямо предусмотренных законодательством. Согласно ч. 5 ст. 18 Закона № 152‑ФЗ, запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ осуществляется исключительно на российских серверах. Мы соблюдаем это требование и размещаем базы данных только на территории Российской Федерации.

7. Сроки хранения

• Данные аккаунта/задолженностей — на срок действия договора с вашей УО и необходимый период для урегулирования претензий (обычно до 1 года после окончания отношений), либо до удаления по распоряжению УО/законному основанию.
• Публикации УО (мероприятия, сотрудники) — до удаления УО или по запросу субъекта при наличии оснований.
• Сессионные данные — до 7 суток или до выхода из аккаунта.
• Логи безопасности и событий — минимально необходимый срок, обычно до 12 месяцев, после чего удаляются или обезличиваются.
• Обращения субъектов — до 3 лет для подтверждения исполнения обязанностей.

8. Права субъекта ПДн

Вы вправе запросить доступ к своим ПДн, требовать их уточнения, блокирования или уничтожения при наличии оснований, а также отозвать согласие (если оно являлось основанием обработки). Жалобу можно подать в уполномоченный орган по защите прав субъектов ПДн.

Как направить запрос

• Отправьте обращение на e‑mail Оператора или почтовым письмом (см. раздел 1). Если ваш доступ выдалась через УО — можно направить запрос через вашу УО.
• Для защиты данных мы можем попросить подтвердить личность/полномочия (например, указать лицевой счёт, адрес, ФИО или предоставить доверенность).
• Срок ответа — до 10 рабочих дней, продление — ещё до 5 рабочих дней с мотивированным уведомлением.

9. Как мы защищаем данные

• Шифрование данных в БД: чувствительные поля (логин/лицевой счёт, ФИО, адрес, помещение, задолженности) шифруются на уровне приложения алгоритмом AES‑256‑GCM; для поиска используются детерминированные хэши/HMAC‑индексы.
• Хеширование паролей: пароли хранятся в виде хешей bcrypt; сверка выполняется на стороне сервера.
• Сессии: хранятся в БД; cookie помечена флагами HttpOnly/SameSite(Lax)/Secure*; время жизни — до 7 суток.
• CSRF‑защита: для форм используется токен и cookie‑cookie; на вход действует ограничение частоты запросов.
• Безопасные загружаемые файлы: при загрузке по URL действуют ограничения по типам контента (изображения/видео), белые списки хостов, DNS‑проверки и блокировка приватных IP; выдача файлов конечным пользователям — через временные подписанные ссылки.
• Политики браузера: действуют директивы Content‑Security‑Policy (ограничены источники скриптов, стилей, изображений/медиа), а также Referrer‑Policy: no‑referrer.
• Мониторинг и лимитирование: в целях информационной безопасности мы используем механизмы rate‑limiting, журналирования и анализа логов. Это помогает выявлять подозрительную активность (например, множественные попытки входа, отправку большого количества запросов) и предотвращать brute‑force‑атаки.
• Кэширование с соблюдением директив: сервис‑воркер и кэши браузера используются для локального хранения статических ресурсов. Кеширование не влияет на конфиденциальность: данные из кэша доступны только на вашем устройстве и обновляются в фоновом режиме.

Несмотря на применяемые меры защиты, ни один способ передачи/хранения данных в Интернете не может гарантировать абсолютную безопасность.

10. Несовершеннолетние

Сервис предназначен для совершеннолетних пользователей и представителей УО. Публикации с изображениями детей допускаются только при наличии согласия законных представителей либо в случаях, предусмотренных законодательством РФ.

11. Изменения политики

Мы можем обновлять эту Политику. Актуальная версия доступна на этой странице; дата редакции указана вверху. При существенных изменениях мы размещаем заметное уведомление на сайте.