WEB SAFE AUDIT
Сканировать
РЕДАКЦИЯ 3.02026-04-01152-ФЗ · GDPR

Конфиденциальность.

Мы храним только то, что нужно для работы сервиса. Не продаём данные. Не используем ваши отчёты для обучения чужих моделей. Этот документ описывает, что именно собирается, зачем и как это можно удалить.

Сервис в стадии открытого бета-тестирования. Документ носит информационный характер, не является публичной офертой и не порождает договорных обязательств между пользователем и владельцем сервиса. Полные юридически обязывающие документы (с реквизитами оператора, ИНН, уведомлением Роскомнадзора и т. п.) будут опубликованы после регистрации сервиса в установленном порядке.

§ 01Кратко · 30 секунд

  • Аккаунт: e-mail, имя, organization-id. Источник — SSO или ваша регистрация.
  • Использование: промежуточные логи сканов, IP-адрес и таймстемпы. Хранятся 31 день, после чего автоматически удаляются.
  • Результаты сканов: findings, evidence, score. Хранятся до явного удаления пользователем из /reports или до удаления аккаунта (по «Удалить аккаунт» в Настройках). Восстановление невозможно.
  • Платежи: в бета-периоде сервис бесплатный, платёжные обработчики не подключены. Обработчик платежей и условия будут указаны здесь после запуска платных тарифов.
  • Никаких: рекламных трекеров, сторонних аналитик с cookies, продажи данных, обучения внешних моделей на ваших данных.

§ 02Какие данные мы собираем

2.1 — Регистрационные

E-mail, имя (если предоставлено через SSO), хеш пароля (если используется password-логин), идентификатор организации, роль в организации.

2.2 — Эксплуатационные

IP-адрес последнего входа, fingerprint браузера (для anti-fraud), таймстемпы действий, действия в аудит-логе организации.

2.3 — Результаты сканов

Подтверждённые цели (домены), параметры сканирования, findings, evidence (HTTP-запросы и ответы, нужные для воспроизведения), скоринг, история score.

2.4 — Платёжные

Last-4 карты, имя плательщика, страна. Полный PAN, CVV, срок действия — у нас не хранятся.

§ 03Зачем

Каждый параметр сбора оправдан целью.

  • Регистрационные — аутентификация и связь с организацией.
  • Эксплуатационные — выполнение сервиса, биллинг, безопасность аккаунта, ответ на инциденты.
  • Результаты сканов — собственно работа продукта; вы это и покупаете.
  • Платёжные — обработка подписки и возвратов.

§ 04Где и сколько хранится

ДанныеГдеСрок
АккаунтRU · DC1, DC2пока активен + 30 дней
Промежуточные логи скановRU · основной DC31 день · далее авто-удаление
Журнал админских действийRU · основной DCappend-only · ротация ~90 дней после ввода в прод
Результаты скановRU · основной DCдо явного удаления пользователем
Бэкапы БД (ежедневный pg_dump)RU · cold-storage2 дня
Web-сессииRU · in-memory (Redis)3 дня idle · 90 дней при «Запомнить меня»

Все основные данные хранятся в дата-центрах на территории РФ (Москва, Санкт-Петербург). Резервные копии — там же.

§ 05Кто видит ваши данные

5.1 — Внутри Web Safe Audit

Доступ к production-данным имеет ограниченное число инженеров (на момент редакции — 4 человека). Все доступы логируются, попадают в ваш аудит-лог при использовании impersonation, и возможны только при подтверждённом тикете поддержки.

5.2 — Сторонние процессоры

  • Yandex Cloud — инфраструктура. ЦОД в РФ, ISO 27001.
  • ЮKassa, CloudPayments — обработка платежей.
  • Postmark RU — транзакционные e-mail.
  • Plausible (self-hosted) — аналитика без cookies, без PII.

5.3 — Государственные органы

Данные передаются только по мотивированному официальному запросу, оформленному в соответствии с законом. Каждый такой запрос фиксируется в нашем ежегодном transparency-отчёте.

§ 06Что мы НЕ делаем

  • Не используем рекламные трекеры третьих сторон. Никаких Google Analytics, Facebook Pixel, VK Pixel.
  • Не продаём, не сдаём в аренду, не обмениваем ваши данные.
  • Не используем ваши отчёты или evidence для обучения чужих ML-моделей. Внутренний классификатор false-positives обучается на деперсонализированных данных и только при вашем явном opt-in в настройках.
  • Не показываем рекламу. Никогда. Это просто другая бизнес-модель.

§ 07Ваши права

В соответствии с 152-ФЗ и GDPR (если применимо) вы имеете право:

  • Получить копию своих данных в машиночитаемом виде (JSON/CSV) — кнопка «Экспорт» в «Настройки → Профиль».
  • Удалить аккаунт и все связанные данные — кнопка «Удалить» там же. Удаление вступает в силу через 30 дней (период «передумать»), полностью завершается через 180 дней (бэкапы).
  • Запросить корректировку или ограничение обработки — через privacy@webaudit.tech.
  • Подать жалобу в Роскомнадзор или соответствующий орган.

§ 08Cookies и localStorage

Мы используем минимальный набор cookies — только функциональные:

  • wba_session — токен сессии, HttpOnly, Secure, SameSite=Lax. Срок — 30 дней.
  • wba_csrf — защита от CSRF.
  • localStorage: настройки UI (тема, плотность таблиц, последняя выбранная организация).

Никаких cookies третьих сторон, никакого трекинга, никакого cookie-банера — потому что нам нечего у вас спрашивать.

§ 09Безопасность хранения

TLS 1.3 для всех соединений. Данные на диске зашифрованы AES-256. Бэкапы — отдельным ключом. Доступ инженеров — через bastion с 2FA + audit-log. Pen-test внешним подрядчиком — раз в год. Bug bounty — по запросу security@webaudit.tech.

§ 10Контакты DPO

Назначенный data protection officer: Анастасия Петрова. Электронная почта — dpo@webaudit.tech. Юридический адрес — см. «Условия использования» § 12.

Предыдущая редакция (2.4) от 01.10.2025 — архив PDF.