Политика конфиденциальности

Действует с 25 мая 2026 г.

Версия 1.1

Кратко — что важно знатьTL;DR
  • Мы собираем минимум данных, нужных для работы сервиса
  • Email и историю задач — для предоставления услуг, IP — для безопасности
  • Содержимое запросов передаётся AI-провайдерам (OpenAI, Anthropic, Yandex и др.) для обработки
  • На тарифах Team+ доступен «Конфиденциальный режим» без передачи зарубежным провайдерам
  • Вы можете запросить, исправить или удалить свои данные в любой момент
  • Контакт DPO: dpo@cruxa.app

#1. Общие положения

1.1. Статус документа

Настоящая Политика конфиденциальности (далее — «Политика») разработана в соответствии с:

  • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ)
  • Иными нормативными актами Российской Федерации в сфере защиты информации

1.2. Применимость

Политика применяется ко всем персональным данным, которые Cruxa обрабатывает в связи с предоставлением сервиса cruxa.app, включая:

  • Web-сайт cruxa.app и поддомены
  • API сервиса
  • Мобильные приложения (если будут)
  • Email-коммуникации

1.3. Принятие условий

Использование сервиса означает принятие условий настоящей Политики.

Если вы не согласны — не используйте сервис.

#2. Оператор персональных данных

Оператор:

ИП Липадат Евгений Анатольевич ОГРНИП: 326774600334271 ИНН: 772838486467 Юридический адрес: 108834, г. Москва, р-н Коммунарка, ул. Эдварда Грига, д. 17, кв. 529

Контакты по вопросам обработки персональных данных:

  • Email DPO: dpo@cruxa.app
  • Email для общих вопросов: legal@cruxa.app
  • Срок ответа: до 30 дней (по 152-ФЗ)

#3. Какие данные мы собираем

3.1. Регистрационные данные

Когда вы создаёте аккаунт:

  • Email (обязательно — для входа и коммуникации)
  • Имя (по желанию — для персонализации)
  • Пароль (хранится в зашифрованном виде, мы не имеем к нему доступа)
  • Способ регистрации (через OAuth: Yandex ID, VK ID, Google или email+password)

3.2. Технические данные

При использовании сервиса автоматически собираются:

  • IP-адрес (для безопасности и предотвращения злоупотреблений)
  • User Agent (тип браузера, ОС)
  • Cookies (см. раздел 7)
  • Время и продолжительность сессий
  • Действия в интерфейсе (для аналитики)

3.3. Данные использования сервиса

При выполнении задач:

  • Содержимое запросов (тексты, загружаемые файлы, изображения)
  • Параметры запросов (выбранный tool, настройки)
  • Результаты генерации
  • История задач

3.4. Платёжные данные

При оплате подписки:

  • Тип платёжного метода (карта, СБП, и т.д.)
  • Маскированный номер карты (последние 4 цифры) — для отображения в Settings
  • История платежей (даты, суммы, статусы)

Полные данные карт мы НЕ храним. Их обрабатывает ЮKassa в соответствии с PCI DSS.

3.5. B2B данные (для тарифов Team+)

При использовании командных функций:

  • Данные команды (название workspace, члены)
  • Роли и права участников
  • Совместные проекты и шаринг

#4. Цели обработки данных

4.1. Предоставление услуг

  • Создание и поддержка аккаунта
  • Выполнение AI-задач
  • Хранение истории
  • Командная работа в B2B

Правовое основание: исполнение договора (оферты) с пользователем.

4.2. Безопасность

  • Защита от спама, мошенничества, злоупотреблений
  • Расследование инцидентов
  • Защита прав сервиса и других пользователей

Правовое основание: законные интересы оператора.

4.3. Улучшение сервиса

  • Аналитика использования (агрегированные данные)
  • Тестирование новых функций
  • Качество AI-генерации (на основе обратной связи)

Правовое основание: согласие пользователя (можно отключить в Settings).

4.4. Коммуникация

  • Транзакционные письма (welcome, verification, payment receipt)
  • Уведомления о важных изменениях
  • Ответы на обращения

Правовое основание: исполнение договора + законные интересы.

4.5. Маркетинг

  • Рассылка новостей продукта (только при согласии)
  • Persona-based рекомендации функций

Правовое основание: согласие пользователя (opt-in checkbox).

#5. Передача данных третьим лицам

5.1. AI-провайдеры (КРИТИЧНО)

Для обработки запросов Cruxa передаёт данные следующим AI-провайдерам:

Российские провайдеры (серверы в РФ):

  • Yandex (Yandex GPT) — yandex.cloud
  • Sber (GigaChat) — sber.ru/gigachat

Передача в РФ — по 152-ФЗ это передача в пределах юрисдикции.

Зарубежные провайдеры (трансграничная передача):

  • OpenAI (США) — для GPT-моделей
  • Anthropic (США) — для Claude-моделей
  • Stability AI (Великобритания) — для генерации изображений
  • Возможны другие (по мере добавления функций)

Что передаётся:

  • Содержимое запроса (промт, текст, файлы)
  • Метаданные (модель, параметры)

Что НЕ передаётся:

  • Email, имя, IP пользователя (передаются только на наши сервера)
  • История других запросов
  • Платёжная информация

Согласие на трансграничную передачу:

Использование сервиса (функций, использующих зарубежные модели) означает согласие на трансграничную передачу данных в страны, не обеспечивающие адекватный уровень защиты ПДн (включая США).

Вы можете отказаться от трансграничной передачи через активацию «Конфиденциального режима» (доступен на тарифах Team, Business, Enterprise) — в этом режиме используются только российские провайдеры.

5.2. Платёжная система

  • ЮKassa (ООО НКО «ЮMoney») — обработка платежей
  • Передаётся: сумма, описание заказа, email для чеков
  • ЮKassa является самостоятельным оператором ПДн

5.3. Аналитика

  • PostHog — поведенческая аналитика
  • Передаётся: анонимизированные events, agg statistics
  • Можно отключить в Settings → Privacy → Disable analytics

5.4. Email-провайдер

  • Resend или Yandex Postbox — отправка transactional email
  • Передаётся: email-адрес, содержимое уведомления

5.5. Хостинг-провайдер

  • Yandex Cloud — основная инфраструктура (серверы в РФ)
  • Хранит зашифрованные данные пользователей

5.6. По требованию закона

Cruxa раскрывает данные по запросу уполномоченных органов РФ в соответствии с законодательством.

#6. Сроки хранения данных

Тип данныхСрок хранения
Аккаунт + emailДо удаления аккаунта Пользователем
История задачДо удаления Пользователем или удаления аккаунта
Биометрические данные (изображения лиц)Автоматическое удаление по политике хранилища (не более 12 месяцев); Результаты также удаляются Пользователем в любой момент (см. раздел 11)
Логи безопасности (IP, sessions)6 месяцев
Аналитика (анонимизированная)24 месяца
Платёжная история5 лет (по требованию налогового законодательства)
Удалённые данные в backup30 дней (период восстановления)

После удаления аккаунта данные удаляются в течение 30 дней (период «cooling off»). Восстановление возможно в этот период.

#7. Cookies и технологии отслеживания

7.1. Используемые cookies

  • Строго необходимые: session, CSRF tokens, authentication — нельзя отключить
  • Функциональные: preferences (theme, language) — можно отключить, но UX ухудшится
  • Аналитические: PostHog cookies — можно отключить в Settings или через cookie banner
  • Маркетинговые: Yandex.Metrika, VK Pixel (если используется) — opt-in через cookie banner

7.2. Управление cookies

При первом посещении показывается cookie banner с выбором:

  • «Принять все»
  • «Только необходимые»
  • «Настройки» (детальный выбор)

Изменить настройки можно в любое время в Settings → Privacy.

Подробнее — в Политике Cookies.

#8. Права субъекта персональных данных

8.1. Ваши права (по 152-ФЗ и GDPR-best-practices)

Вы имеете право:

  • Получить информацию о ваших данных и целях обработки
  • Получить доступ к вашим данным (export в формате JSON)
  • Исправить неточные данные (через Settings или email)
  • Удалить ваши данные (право на забвение)
  • Ограничить обработку — отключить аналитику, маркетинг
  • Перенести данные — получить export для переноса в другой сервис
  • Возразить против обработки — отозвать согласие
  • Не подвергаться полностью автоматизированным решениям (мы не делаем автомат. решений с правовыми последствиями)
  • Обратиться в Роскомнадзор при нарушении ваших прав

8.2. Как реализовать права

Самостоятельно:

  • Экспорт данных: Settings → Account → Export data
  • Удаление аккаунта: Settings → Account → Delete account
  • Изменение данных: Settings → Profile

Через email:

  • DPO: dpo@cruxa.app
  • Срок ответа: до 30 дней
  • Запрос должен содержать: ФИО, email аккаунта, описание запроса

8.3. Отзыв согласия

Согласие можно отозвать в любой момент:

  • Email на dpo@cruxa.app
  • Или удалить аккаунт

Важно: отзыв согласия не имеет обратной силы — обработка данных до момента отзыва остаётся правомерной.

#9. Меры защиты данных

9.1. Технические меры

  • HTTPS/TLS 1.3 для всех соединений
  • Шифрование паролей (bcrypt)
  • Шифрование чувствительных данных в БД (at-rest)
  • Регулярные backup на отдельные серверы
  • Защита от DDoS, OWASP Top 10
  • Доступ к production только через VPN + 2FA

9.2. Организационные меры

  • Принцип минимально необходимого доступа
  • Логирование действий администраторов
  • Регулярный security audit
  • NDA с подрядчиками (юристы, бухгалтеры)
  • Policy: запрет хранить prod-данные на личных устройствах

9.3. Уведомления об инцидентах

В случае утечки данных:

  • Уведомляем Роскомнадзор в течение 24 часов
  • Уведомляем затронутых пользователей в течение 72 часов
  • Публикуем post-mortem на сайте

Подробнее о технической защите — в разделе Безопасность.

#10. Дети

Сервис не предназначен для лиц младше 14 лет.

Если ребёнку 14-18 лет — необходимо согласие родителей/опекунов.

Если выявлено, что аккаунт принадлежит ребёнку младше 14 лет — данные удаляются.

#11. Биометрические персональные данные

11.1. Статус данных

Пользователь уведомлён и согласен с тем, что загружаемые им изображения лиц являются биометрическими персональными данными в значении ст. 11 ФЗ «О персональных данных».

11.2. Цели обработки

Биометрические данные обрабатываются Компанией исключительно в следующих целях:

  • генерация Результата средствами искусственного интеллекта;
  • техническое функционирование Сервиса.

11.3. Ограничения использования

Биометрические данные не используются Компанией для:

  • идентификации личности Пользователя или иных лиц;
  • передачи в Единую биометрическую систему (ЕБС);
  • передачи третьим лицам, за исключением ИИ-провайдера в целях обработки;
  • любых иных целей, не предусмотренных настоящим Соглашением.

11.4. Сроки хранения

  • загруженные изображения лиц и Результаты хранятся в защищённом объектном хранилище Компании и автоматически удаляются по истечении срока, установленного политикой жизненного цикла хранилища (в настоящее время — не более 12 месяцев);
  • Результаты Пользователь может удалить из Учётной записи в любой момент; при удалении Учётной записи все связанные данные удаляются;
  • передача изображений ИИ-провайдеру осуществляется исключительно для обработки в момент генерации; сроки хранения на стороне ИИ-провайдера регулируются его собственной политикой конфиденциальности.

11.5. Право на удаление

Пользователь вправе в любой момент потребовать удаления своих биометрических данных, направив запрос на legal@cruxa.app.

#12. Изменения политики

Cruxa вправе изменять Политику. Изменения публикуются на сайте.

При существенных изменениях (новые цели обработки, новые получатели данных) — уведомление по email за 14 дней.

История версий политики хранится по запросу.

#13. Контакты

Оператор персональных данных:

ИП Липадат Евгений Анатольевич ИНН: 772838486467 Юридический адрес: 108834, г. Москва, р-н Коммунарка, ул. Эдварда Грига, д. 17, кв. 529

По вопросам персональных данных:

  • Email DPO: dpo@cruxa.app
  • Email юридических вопросов: legal@cruxa.app

Регулятор:

  • Роскомнадзор: https://rkn.gov.ru/
  • Адрес для жалоб: rsoc_in@rkn.gov.ru
Исполнитель

ИП Липадат Евгений Анатольевич

ОГРНИП
326774600334271
ИНН
772838486467
Адрес
108834, г. Москва, р-н Коммунарка, ул. Эдварда Грига, д. 17, кв. 529
Email
legal@aureth.ru
Ссылка скопирована
Политика конфиденциальности · Cruxa | Cruxa