AltHub Project

Политика конфиденциальности и обработки персональных данных AltHub Project

RUРусскийENEnglish

Дата вступления в силу: 07.05.2026 г. Адрес публикации: https://althub.pro/privacy

1. Общие положения

1.1. Настоящая Политика конфиденциальности и обработки персональных данных, далее - Политика, определяет порядок обработки персональных данных и иных пользовательских данных в сайтах, приложениях, сервисах, информационных системах, игровых, community и технических проектах, предоставляемых под брендом AltHub Project.

1.2. Оператором персональных данных является:

Индивидуальный предприниматель Юдаев Ярослав Дмитриевич ОГРНИП: 325774600179830 Дата присвоения ОГРНИП: 18.03.2025 ИНН: 773584163180 Электронная почта по вопросам конфиденциальности и персональных данных: privacy@althub.pro

1.3. AltHub Project является брендом, используемым Оператором для обозначения сервисов, приложений, технической инфраструктуры, игровых и community-проектов, а также иных связанных продуктов и услуг.

1.4. Настоящая Политика применяется ко всем сайтам, приложениям, сервисам и информационным системам AltHub Project, включая домены и поддомены:

  • althub.pro
  • althub.tech
  • althub.space

а также иные домены, поддомены, приложения, API, внутренние и внешние сервисы, если они предоставляются Оператором, используются в рамках AltHub Project или ссылаются на настоящую Политику.

1.5. Политика применяется, в том числе, к следующим категориям сервисов:

  • сервисы централизованной авторизации и управления доступом
  • мобильные приложения AltHub Project
  • сервисы разработки, репозитории, CI/CD и управления проектами
  • базы знаний, wiki, документация и внутренние порталы
  • игровые и community-сервисы
  • панели управления, боты и интеграции
  • сайты, лендинги и формы обратной связи
  • технические API и служебные сервисы
  • системы мониторинга, логирования, аудита и безопасности
  • иные существующие и будущие сервисы AltHub Project

1.6. Часть сервисов AltHub Project является приватной или доступна ограниченному кругу пользователей. Ограниченный доступ к сервису не отменяет обработку персональных данных, если такие данные используются для регистрации, авторизации, предоставления доступа, безопасности, администрирования, поддержки или иной работы сервиса.

1.7. Основная юрисдикция деятельности Оператора - Российская Федерация. Основная аудитория сервисов AltHub Project находится в Российской Федерации. При этом отдельные сервисы могут быть технически доступны пользователям из других стран.

2. Термины

2.1. Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.

2.2. Пользователь - физическое лицо, использующее сайты, приложения, сервисы, игровые, community, технические или иные системы AltHub Project.

2.3. Оператор - ИП Юдаев Ярослав Дмитриевич, самостоятельно или совместно с привлеченными лицами организующий и осуществляющий обработку персональных данных.

2.4. Обработка персональных данных - любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.

2.5. Сервис AltHub Project - любой сайт, приложение, API, информационная система, внутренняя или внешняя платформа, игровой, community, технический или иной сервис, предоставляемый Оператором в рамках AltHub Project.

2.6. AltHub IdP - сервис централизованной идентификации, авторизации и управления доступом пользователей к сервисам AltHub Project.

2.7. Мобильное приложение AltHub IdP - приложение для Android и iOS, предназначенное для использования Mobile Push MFA в AltHub Project IdP. Особенности обработки данных в мобильном приложении описаны в Приложении 1 к настоящей Политике.

2.8. Тенант - организация, проект, клиент, сообщество или иное пространство доступа, в рамках которого пользователю может предоставляться учетная запись, роль, группа, право доступа или MFA-привязка.

3. Принципы обработки данных

3.1. Оператор обрабатывает персональные данные законно, добросовестно и в объеме, необходимом для достижения конкретных целей обработки.

3.2. Оператор не стремится собирать избыточные данные и не использует персональные данные для продажи третьим лицам, скрытого рекламного профилирования или рекламного ретаргетинга.

3.3. Оператор принимает организационные и технические меры для защиты персональных данных от неправомерного доступа, утраты, изменения, раскрытия или уничтожения.

3.4. Обработка персональных данных осуществляется с использованием средств автоматизации и без их использования.

3.5. Состав обрабатываемых данных зависит от конкретного сервиса, роли пользователя, выданных доступов, используемых функций и действий самого пользователя.

4. Возрастные ограничения

4.1. Сервисы AltHub Project не предназначены для лиц младше 18 лет, за исключением случаев, когда использование сервиса осуществляется с согласия законного представителя или в ином порядке, допустимом применимым законодательством.

4.2. Если Оператору станет известно, что персональные данные лица младше 18 лет обрабатываются без необходимого согласия или иного законного основания, Оператор вправе ограничить доступ такого пользователя, запросить подтверждение согласия законного представителя, заблокировать учетную запись или удалить данные в установленном порядке.

5. Категории субъектов персональных данных

5.1. Оператор может обрабатывать персональные данные следующих категорий субъектов:

  • пользователи сайтов, приложений и сервисов AltHub Project
  • пользователи AltHub IdP
  • пользователи мобильного приложения AltHub IdP
  • участники команд, проектов, сообществ и игровых сервисов
  • администраторы, модераторы, волонтеры и иные лица, участвующие в работе сервисов
  • заказчики, представители заказчиков, партнеры и потенциальные клиенты
  • лица, направляющие обращения через формы, email, тикеты, порталы поддержки и иные каналы связи
  • подрядчики, самозанятые, индивидуальные предприниматели, будущие сотрудники и иные лица, привлекаемые к работе над сервисами
  • представители организаций, тенантов, клиентов и иных пространств доступа
  • иные лица, чьи данные могут быть переданы Оператору пользователями, организациями, тенантами или третьими лицами при использовании сервисов AltHub Project

5.2. Состав обрабатываемых данных зависит от категории субъекта, используемого сервиса, роли пользователя, выданных доступов, действий пользователя и целей обработки.

6. Категории обрабатываемых данных

6.1. Данные учетной записи и профиля

Оператор может обрабатывать данные, необходимые для создания, настройки, сопровождения и администрирования учетной записи пользователя, включая:

  • фамилию, имя, отчество
  • имя пользователя
  • никнейм
  • отображаемое имя
  • адрес электронной почты
  • номер телефона
  • аватар
  • идентификаторы в сторонних сервисах
  • сведения о группах, ролях, правах доступа и членстве в командах
  • сведения о статусе учетной записи
  • сведения о блокировках, ограничениях доступа и административных действиях
  • иные данные, которые пользователь предоставляет при регистрации, настройке профиля или использовании сервисов

6.2. Данные авторизации, аутентификации и безопасности

В рамках работы AltHub IdP и связанных сервисов Оператор может обрабатывать:

  • логин, email, username и иные идентификаторы пользователя
  • пароль в виде криптографического хеша
  • данные сессий
  • IP-адреса
  • user-agent
  • дату и время входа
  • сведения об успешных и неуспешных попытках входа
  • сведения о многофакторной аутентификации
  • данные, необходимые для работы TOTP, WebAuthn, passkeys, recovery codes, SMS-кодов, push MFA и иных способов проверки
  • сведения о выданных токенах, приложениях, клиентах OAuth2/OIDC/SAML/LDAP/API
  • сведения о действиях пользователя и администратора
  • audit logs
  • события безопасности
  • данные, необходимые для расследования инцидентов и предотвращения злоупотреблений

6.3. Данные, создаваемые пользователями в сервисах

При использовании сервисов AltHub Project пользователь может создавать, загружать, изменять или передавать данные, которые могут содержать персональные данные самого пользователя или третьих лиц.

К таким данным могут относиться:

  • тексты сообщений, комментариев, задач, тикетов и обращений
  • страницы, документы, заметки и история изменений
  • вложения, файлы и изображения
  • исходный код, коммиты, описания изменений, задачи и обсуждения
  • игровые сообщения, игровые действия и игровые логи
  • обращения в community-сервисах
  • модераторские записи, жалобы, предупреждения и сведения о нарушениях
  • иные пользовательские материалы, созданные или переданные через сервисы AltHub Project

Пользователь не должен размещать в сервисах AltHub Project избыточные персональные данные третьих лиц, специальные категории персональных данных, секреты, токены, пароли или иную информацию, не предназначенную для хранения в соответствующем сервисе.

6.4. Данные форм обратной связи и обращений

При использовании форм обратной связи, email, тикетов и иных каналов связи Оператор может обрабатывать:

  • фамилию, имя, отчество
  • адрес электронной почты
  • номер телефона
  • название компании, если пользователь указал его добровольно
  • текст сообщения
  • вложения, если они предусмотрены конкретной формой или каналом связи
  • дату и время обращения
  • технические данные отправки обращения
  • историю обработки обращения
  • ответы Оператора и последующую переписку

Данные из формы обратной связи могут передаваться и храниться в Яндекс Трекере для обработки обращения, ведения истории взаимодействия, исполнения договорных или преддоговорных отношений, защиты прав Оператора и соблюдения требований законодательства.

6.5. Данные игровых, community-сервисов и интеграций

В игровых, community и связанных с ними сервисах Оператор может обрабатывать:

  • никнейм
  • идентификаторы игровых аккаунтов
  • Steam ID и аналогичные идентификаторы
  • Discord ID
  • Telegram ID
  • username и display name в сторонних платформах
  • роли, группы, whitelist, права доступа и сведения об участии в сообществах
  • IP-адрес
  • HWID или иные технические идентификаторы, если они используются конкретным сервисом
  • игровые логи
  • чат
  • обращения в тикетах
  • жалобы
  • модераторские логи
  • сведения о предупреждениях, блокировках и иных мерах модерации
  • сведения о пожертвованиях, заказах или иных связанных операциях, если они применимы к конкретному сервису

Discord, Telegram, Steam и иные сторонние платформы действуют на основании собственных правил и политик конфиденциальности. Оператор не является владельцем таких платформ, но может обрабатывать данные, полученные через их OAuth, API, ботов, панели управления или иные интеграции, если это необходимо для работы конкретного сервиса AltHub Project.

6.6. Технические данные, логи и мониторинг

При использовании сайтов, приложений и сервисов AltHub Project Оператор может обрабатывать технические данные, включая:

  • IP-адрес
  • user-agent
  • дату и время запроса
  • URL, endpoint или иной технический маршрут запроса
  • HTTP-статус
  • идентификатор пользователя
  • email, username или иной идентификатор, если он попал в лог
  • события входа и выхода
  • неуспешные попытки входа
  • действия администратора
  • ошибки приложения
  • диагностические данные
  • технические метрики
  • сведения о безопасности и инцидентах

Оператор может использовать системы мониторинга, логирования, сбора ошибок, аудита, резервного копирования и защиты инфраструктуры. Конкретный состав таких систем может изменяться.

Для сбора ошибок может использоваться self-hosted Sentry или иная внутренняя система сбора ошибок, размещенная на инфраструктуре Оператора.

6.7. Данные разработки, CI/CD и технической инфраструктуры

В сервисах разработки, управления проектами, CI/CD, registry, хранения артефактов и иных технических системах Оператор может обрабатывать:

  • данные учетной записи пользователя
  • email, username и отображаемое имя
  • ключи доступа, если они добавлены пользователем или необходимы для работы сервиса
  • историю действий пользователя
  • задачи, комментарии, обсуждения и иные материалы
  • исходный код, коммиты и историю изменений
  • логи сборки, тестирования и деплоя
  • артефакты, пакеты, контейнерные образы и иные технические материалы
  • сведения о правах доступа к проектам, группам и ресурсам
  • audit logs и события безопасности

Технические логи, артефакты, пакеты и иные материалы могут содержать персональные данные, если такие данные были внесены пользователем, попали в логи в результате настройки процесса или содержатся в исходных материалах.

6.8. Платежные, договорные и бухгалтерские данные

Если пользователь, заказчик или иное лицо взаимодействует с Оператором по вопросам услуг, заказов, оплаты или договоров, Оператор может обрабатывать:

  • фамилию, имя, отчество
  • контактные данные
  • сведения о компании
  • реквизиты, необходимые для заключения или исполнения договора
  • сведения о заказе или услуге
  • платежный статус
  • сведения о документах, счетах, актах и иных договорных материалах

Оператор не хранит данные банковских карт. Обработка платежей может осуществляться с привлечением Точка Банка и иных платежных или банковских организаций. Оператор может получать от таких организаций сведения о статусе платежа и данные, необходимые для учета, исполнения договора и соблюдения законодательства.

6.9. Cookies и локальное хранилище

Сайты и сервисы AltHub Project могут использовать cookies, localStorage, sessionStorage и аналогичные технологии для:

  • авторизации
  • сохранения сессии
  • защиты от несанкционированного доступа
  • работы интерфейса
  • сохранения технических настроек
  • предотвращения злоупотреблений
  • обеспечения работы конкретного сервиса

Оператор не использует рекламные cookies, рекламные пиксели, ретаргетинг и маркетинговую аналитику, если иное прямо не указано в конкретном сервисе.

Отдельные программные продукты, используемые в инфраструктуре AltHub Project, могут применять собственные технические cookies и механизмы локального хранения в соответствии со своей функциональностью.

7. Специальные категории данных и биометрия

7.1. Оператор специально не запрашивает и не собирает сведения о здоровье, политических взглядах, религиозных убеждениях, интимной жизни, расовой или национальной принадлежности, а также иные специальные категории персональных данных, если такая обработка прямо не требуется законом или не вытекает из конкретного обращения пользователя.

7.2. Если пользователь самостоятельно указывает такие сведения в форме, тикете, wiki, чате, обращении, игровом сервисе или ином канале связи, Оператор обрабатывает их только в объеме, необходимом для рассмотрения обращения, модерации, безопасности, исполнения закона или защиты прав Оператора.

7.3. Оператор не получает и не хранит биометрические персональные данные пользователя. Если пользователь использует Face ID, Touch ID, биометрическую разблокировку устройства, passkey, WebAuthn или аналогичные механизмы, биометрическая проверка выполняется средствами устройства, операционной системы или платформы. Оператор получает только технический результат проверки или криптографическое подтверждение, необходимое для авторизации.

8. Цели обработки данных

Оператор обрабатывает персональные данные для следующих целей:

  • регистрация и управление учетными записями
  • идентификация и авторизация пользователей
  • предоставление доступа к сервисам AltHub Project
  • работа централизованного IdP
  • обеспечение многофакторной аутентификации
  • работа мобильных приложений AltHub Project
  • обработка обращений через формы, email, тикеты и иные каналы связи
  • предоставление технической поддержки
  • администрирование игровых, community, технических и внутренних сервисов
  • управление ролями, правами доступа, группами и разрешениями
  • обеспечение безопасности пользователей, сервисов и инфраструктуры
  • предотвращение злоупотреблений, атак, несанкционированного доступа и нарушений правил
  • расследование инцидентов
  • ведение audit logs и технических журналов
  • исполнение договорных и преддоговорных отношений
  • обработка заказов, заявок, платежей и бухгалтерских документов
  • выполнение требований законодательства
  • защита прав и законных интересов Оператора, пользователей, тенантов и третьих лиц
  • развитие, сопровождение, отладка и улучшение сервисов
  • резервное копирование и восстановление данных

9. Правовые основания обработки

9.1. Оператор обрабатывает персональные данные на основании одного или нескольких следующих оснований:

  • согласие пользователя
  • заключение и исполнение договора или преддоговорных отношений
  • выполнение обязанностей, предусмотренных законодательством
  • осуществление прав и законных интересов Оператора, пользователей, тенантов или третьих лиц, если при этом не нарушаются права и свободы субъекта персональных данных
  • необходимость обеспечения безопасности, аудита, предотвращения злоупотреблений и защиты инфраструктуры
  • иные основания, предусмотренные применимым законодательством

9.2. При отправке формы обратной связи пользователь выражает согласие на обработку персональных данных путем совершения активного действия, например установки отметки в чекбоксе согласия и отправки формы.

9.3. Отзыв согласия не влияет на законность обработки, выполненной до его отзыва, а также не препятствует обработке данных, если такая обработка необходима Оператору на ином законном основании.

10. Передача данных третьим лицам

10.1. Оператор может передавать или поручать обработку персональных данных следующим категориям лиц и организаций:

  • хостинг-провайдерам
  • поставщикам облачной и серверной инфраструктуры
  • поставщикам почтовых сервисов
  • поставщикам push-уведомлений
  • платежным и банковским организациям
  • сервисам обработки заявок и тикетов
  • подрядчикам, самозанятым, индивидуальным предпринимателям, будущим сотрудникам и членам команды, привлекаемым к работе над сервисами
  • администраторам, модераторам и лицам, которым доступ необходим для исполнения обязанностей
  • владельцам тенантов, администраторам организаций и уполномоченным лицам, если данные обрабатываются в рамках соответствующего пространства доступа
  • правоохранительным органам, судам, государственным органам и иным уполномоченным лицам при наличии законного основания
  • иным лицам, если это необходимо для исполнения договора, обработки обращения, обеспечения безопасности или соблюдения закона

10.2. Лица, получающие доступ к внутренним данным, обязуются соблюдать конфиденциальность и подписывают соответствующее соглашение, NDA или иной документ, регулирующий доступ к таким данным.

10.3. Оператор не продает персональные данные пользователей и не передает их третьим лицам для рекламного профилирования.

11. Сторонние сервисы

11.1. Для работы сервисов AltHub Project могут использоваться, в том числе:

  • Firebase / Google
  • Google Play
  • Apple App Store / TestFlight
  • Яндекс 360
  • Яндекс Трекер
  • Точка Банк
  • Cloud.ru
  • Discord
  • Telegram
  • GitHub
  • GitLab.com, если используется в отдельных процессах или интеграциях
  • программные продукты и компоненты, размещенные на инфраструктуре Оператора, включая self-hosted Sentry и self-hosted Mailcow
  • иные инфраструктурные, коммуникационные, платежные и технические сервисы

11.2. Сторонние сервисы могут обрабатывать данные на основании собственных правил и политик конфиденциальности. Оператор не отвечает за самостоятельную обработку данных такими сервисами за пределами поручения или контроля Оператора.

11.3. Если пользователь переходит на сайт, в приложение или сервис третьего лица, дальнейшая обработка данных таким третьим лицом регулируется его собственными документами.

12. Трансграничная передача данных

12.1. Основные базы данных AltHub Project размещаются на территории Российской Федерации.

12.2. Отдельные данные могут передаваться за пределы Российской Федерации, если это необходимо для:

  • работы мобильных приложений
  • доставки push-уведомлений
  • публикации и сопровождения приложений в Google Play и Apple App Store
  • работы сторонних платформ и интеграций
  • коммуникаций с пользователями
  • обработки обращений
  • исполнения договора
  • соблюдения законодательства
  • защиты прав Оператора, пользователей, тенантов или третьих лиц

12.3. Трансграничная передача персональных данных осуществляется при наличии правового основания и после выполнения процедур, предусмотренных применимым законодательством Российской Федерации, включая направление уведомлений в уполномоченный орган, если такое уведомление требуется.

12.4. Если конкретный сторонний сервис используется только как технический посредник или поставщик инфраструктуры, состав передаваемых данных ограничивается объемом, необходимым для работы соответствующей функции, например доставки push-уведомления, публикации приложения, авторизации, коммуникации или обработки обращения.

13. Хранение данных

13.1. Персональные данные хранятся не дольше, чем это необходимо для достижения целей обработки, если более длительный срок хранения не предусмотрен законом, договором, требованиями безопасности, необходимостью аудита, предотвращения злоупотреблений, расследования инцидентов, защиты прав Оператора, пользователей, тенантов или третьих лиц.

13.2. Если цель обработки персональных данных достигнута и отсутствуют иные законные основания для дальнейшей обработки, Оператор прекращает обработку таких данных и обеспечивает их уничтожение или обезличивание в сроки, предусмотренные применимым законодательством.

13.3. Учетные записи пользователей по умолчанию могут быть сначала деактивированы или заблокированы, а не удалены немедленно, если это необходимо для предотвращения злоупотреблений, сохранения истории безопасности, аудита, расследования инцидентов, защиты от повторных нарушений, исполнения договора, соблюдения требований законодательства или защиты прав Оператора, пользователей, тенантов или третьих лиц.

13.4. При наличии законных оснований данные деактивированной учетной записи могут храниться до 1-2 лет с момента деактивации, если более длительный срок не требуется законом, договором, спором, расследованием инцидента, требованиями безопасности, аудитом или защитой прав Оператора, пользователей, тенантов или третьих лиц.

13.5. Если законные основания для дальнейшего хранения отсутствуют, данные подлежат удалению, уничтожению или обезличиванию в порядке и сроки, предусмотренные применимым законодательством.

13.6. Технические логи обычно хранятся до 1 года, если иной срок не требуется для безопасности, расследования инцидентов, защиты прав Оператора, исполнения договора или соблюдения законодательства.

13.7. Резервные копии обычно хранятся до 1 года. Данные из резервных копий не удаляются выборочно по индивидуальному запросу пользователя, но удаляются в рамках штатной ротации резервных копий. Доступ к резервным копиям ограничен.

13.8. Пользовательские материалы, история изменений, история действий, технические записи, игровые и community-данные могут храниться длительно, если это необходимо для сохранения целостности сервисов, истории изменений, авторства, аудита, безопасности, исполнения договоров, защиты прав Оператора или соблюдения закона.

13.9. Заявки и обращения, включая данные из Яндекс Трекера, могут храниться длительно, пока это необходимо для обработки обращения, истории взаимодействия, исполнения договора, защиты прав Оператора или соблюдения законодательства.

14. Удаление, блокирование и обезличивание данных

14.1. Пользователь может обратиться к Оператору с запросом на удаление, блокирование, исправление или предоставление информации о своих персональных данных.

14.2. Оператор рассматривает такие запросы с учетом технической возможности, требований законодательства, целей обработки, договорных обязательств, безопасности, аудита и необходимости защиты прав Оператора, пользователей, тенантов или третьих лиц.

14.3. В отдельных случаях вместо удаления может применяться деактивация, блокирование или обезличивание данных, если полное удаление невозможно, нарушает целостность сервисов или противоречит законным основаниям хранения.

14.4. После удаления или деактивации учетной записи часть данных может сохраняться в архивных логах, audit logs, резервных копиях, истории изменений, пользовательских материалах, тикетах, обращениях, модераторских журналах и иных системах, если такое хранение необходимо для безопасности, аудита, защиты прав Оператора или соблюдения закона.

14.5. Отвязка MFA-устройства приводит к прекращению использования соответствующего push token и технических данных привязки для будущих MFA-запросов, однако исторические события безопасности могут сохраняться в audit logs.

15. Права пользователя

15.1. Пользователь вправе обратиться к Оператору для:

  • получения информации об обработке своих персональных данных
  • уточнения или исправления данных
  • удаления данных, если отсутствуют законные основания для их дальнейшей обработки
  • отзыва согласия на обработку
  • ограничения обработки, если применимо
  • отвязки MFA-устройства
  • запроса сведений об активных сессиях, если такая возможность доступна технически
  • получения копии данных, если это возможно технически и не нарушает права третьих лиц, безопасность или закон

15.2. Запросы направляются на адрес:

support@althub.pro

15.3. По вопросам конфиденциальности, персональных данных и инцидентов безопасности можно также обращаться на адрес:

privacy@althub.pro

15.4. Оператор вправе запросить подтверждение личности пользователя перед исполнением запроса, если это необходимо для предотвращения несанкционированного доступа к данным, удаления чужой учетной записи или раскрытия информации третьим лицам.

15.5. Запросы субъектов персональных данных рассматриваются в сроки, предусмотренные применимым законодательством. Если законодательством установлен специальный срок ответа или выполнения действия, применяется такой специальный срок.

15.6. Общие обращения пользователей, не являющиеся формальными запросами субъекта персональных данных, рассматриваются в срок до 30 календарных дней с момента получения обращения, если иной срок не установлен законом, договором или правилами конкретного сервиса.

15.7. Оператор стремится отвечать на обращения быстрее, если это возможно.

16. Удаление аккаунта и данных

16.1. Запрос на удаление, деактивацию, блокирование, обезличивание или изменение учетной записи и связанных данных может быть направлен через страницу:

https://althub.pro/account-deletion

через портал поддержки:

https://support.althub.pro

или по адресу:

support@althub.pro

16.2. Если учетная запись используется в рамках организации, тенанта, проекта, клиента, community-сервиса или иного пространства доступа, управление такой учетной записью, ее деактивация, изменение прав доступа или удаление серверной MFA-привязки может выполняться владельцем соответствующего пространства доступа, администратором организации, уполномоченным лицом или службой поддержки AltHub Project.

16.3. В запросе необходимо указать учетную запись, сервис, контактный email и сведения, позволяющие подтвердить принадлежность аккаунта пользователю или наличие полномочий на выполнение соответствующего действия.

16.4. Оператор, владелец тенанта или администратор вправе запросить подтверждение личности, подтверждение принадлежности учетной записи или подтверждение полномочий перед выполнением запроса.

16.5. Оператор может сначала заблокировать или деактивировать аккаунт, а удаление или обезличивание выполнить позднее, если это необходимо для безопасности, аудита, предотвращения злоупотреблений, исполнения закона или защиты прав Оператора, пользователей, тенанта или третьих лиц.

16.6. Если аккаунт используется для доступа к нескольким сервисам, удаление или деактивация учетной записи AltHub IdP может привести к невозможности входа в связанные сервисы.

16.7. Аккаунты и данные в связанных сервисах удаляются, блокируются или обезличиваются по возможности, с учетом технической реализации конкретного сервиса, правового основания обработки, требований безопасности и необходимости сохранения целостности сервисов.

16.8. В некоторых случаях данные могут сохраняться в истории изменений, пользовательских материалах, логах, audit logs, security logs, резервных копиях, тикетах, обращениях, модераторских журналах и иных системах.

16.9. Удаление мобильного приложения AltHub IdP с устройства не означает автоматическое удаление учетной записи, серверной MFA-привязки или данных, хранящихся на стороне AltHub Project, организации или тенанта.

17. Сервисные уведомления

17.1. Оператор может направлять пользователю сервисные уведомления, связанные с:

  • безопасностью учетной записи
  • входами и попытками входа
  • MFA-запросами
  • изменением доступов
  • техническими событиями
  • ответами на обращения
  • договорными или платежными вопросами
  • изменениями, влияющими на использование сервисов

17.2. Оператор не осуществляет рекламные или маркетинговые рассылки по электронной почте. Если такие рассылки появятся в будущем, для них будет использоваться отдельное основание и, при необходимости, отдельное согласие пользователя.

18. Безопасность данных

18.1. Оператор применяет разумные организационные и технические меры защиты данных, включая:

  • HTTPS/TLS
  • хеширование паролей
  • разграничение доступа по ролям
  • обязательную 2FA для администраторов
  • audit logs
  • резервное копирование
  • firewall/VPN
  • изоляцию сервисов
  • хранение секретов в защищенных переменных и хранилищах
  • регулярные обновления
  • мониторинг и логирование
  • процедуры реагирования на инциденты
  • ограничение доступа к данным только для лиц, которым такой доступ необходим

18.2. Все администраторы обязаны использовать 2FA.

18.3. Оператор не может гарантировать абсолютную безопасность данных, поскольку ни один способ передачи или хранения информации не является полностью защищенным. При этом Оператор принимает меры для снижения рисков и реагирования на инциденты.

18.4. О возможных инцидентах безопасности, утечках, уязвимостях или нарушениях конфиденциальности можно сообщить на адрес:

privacy@althub.pro

или руководству проекта:

core@althub.pro

19. Доступ подрядчиков, команды и администраторов

19.1. Доступ к персональным данным и внутренним системам может предоставляться Оператору, подрядчикам, самозанятым, индивидуальным предпринимателям, будущим сотрудникам, администраторам, модераторам и отдельным членам команды AltHub Project, если такой доступ необходим для работы сервисов.

19.2. Доступ предоставляется в пределах задач соответствующего лица и может быть ограничен, изменен или отозван.

19.3. Лица, имеющие доступ к внутренним данным, подписывают соглашение о конфиденциальности, NDA или иной документ, регулирующий порядок работы с такими данными.

20. Локализация данных

20.1. Основные базы данных AltHub Project размещаются на территории Российской Федерации.

20.2. При обработке данных граждан Российской Федерации Оператор учитывает требования законодательства Российской Федерации о персональных данных, включая требования к локализации, если они применимы к конкретной обработке.

20.3. Использование отдельных иностранных сервисов, магазинов приложений, push-провайдеров, коммуникационных платформ или интеграций может приводить к передаче отдельных технических или пользовательских данных за пределы Российской Федерации в порядке, описанном в разделе о трансграничной передаче.

21. Изменение Политики

21.1. Оператор вправе изменять настоящую Политику при изменении законодательства, состава сервисов, способов обработки данных, технической архитектуры, сторонних поставщиков или иных обстоятельств.

21.2. Новая редакция Политики вступает в силу с момента публикации по адресу:

https://althub.pro/privacy

если в самой Политике не указан иной срок вступления в силу.

21.3. Пользователь может самостоятельно отслеживать актуальную редакцию Политики по адресу ее публикации. При существенных изменениях Оператор может уведомить пользователей дополнительным способом, если это технически возможно и целесообразно.

22. Контакты

По вопросам обработки персональных данных, конфиденциальности и инцидентов безопасности:

privacy@althub.pro

По вопросам поддержки, доступа, удаления аккаунта и пользовательских обращений:

support@althub.pro

По вопросам, требующим обращения к руководству проекта:

core@althub.pro

Приложение 1. Особенности обработки данных в мобильном приложении AltHub IdP

1. Назначение приложения

1.1. Мобильное приложение AltHub IdP предназначено для использования Mobile Push MFA в AltHub Project IdP.

1.2. Приложение используется для привязки устройства к уже существующей учетной записи, получения MFA-запросов и подтверждения или отклонения таких запросов.

1.3. Приложение не предназначено для самостоятельного создания учетных записей пользователей.

1.4. Приложение не управляет удалением корпоративных, организационных или tenant-аккаунтов. Учетная запись обычно используется в рамках организации, тенанта, проекта или иного пространства доступа.

1.5. Удаление учетной записи, блокирование учетной записи, удаление серверной MFA-привязки или изменение прав доступа выполняется владельцем соответствующего тенанта, администратором или службой поддержки AltHub Project.

1.6. Приложение может локально удалить MFA-привязку с устройства, однако такое действие не является удалением учетной записи пользователя и не всегда означает удаление серверной записи о привязке, audit logs или иных данных, связанных с безопасностью.

2. Какие данные обрабатывает приложение

2.1. Для работы Mobile Push MFA приложение и серверная часть AltHub Project IdP могут обрабатывать следующие данные:

  • FCM token
  • app instance UUID
  • binding UUID
  • публичные ключи
  • login учетной записи
  • display name учетной записи
  • issuer
  • server
  • сведения о MFA-привязке
  • metadata MFA-запроса
  • статус решения по MFA-запросу: approve или deny
  • timestamps
  • IP-адрес
  • user-agent
  • сведения о приложении
  • сведения о сервисе, по которому был создан MFA-запрос
  • challenge detail в объеме, необходимом для отображения и проверки MFA-запроса
  • локальная история MFA-событий
  • технические диагностические данные, необходимые для работы, отладки и безопасности приложения

2.2. Состав обрабатываемых данных может зависеть от версии приложения, операционной системы, настроек устройства, настроек сервера, конфигурации тенанта и функций, используемых пользователем.

2.3. Локальная история MFA-событий ограничивается последними 100 MFA-событиями на устройстве, если иное не предусмотрено настройками приложения или будущими версиями приложения.

2.4. Серверные security logs, audit logs и иные журналы безопасности хранятся в соответствии с настоящей Политикой, политиками AltHub Project и, если применимо, политиками соответствующего тенанта или организации.

3. Ключи и защищенное хранилище

3.1. Приложение может использовать криптографические ключи для подтверждения MFA-операций и защиты привязки устройства.

3.2. Private key material не покидает системное защищенное хранилище устройства, такое как Android Keystore, iOS Keychain, Secure Enclave или иные механизмы, предоставляемые операционной системой и устройством.

3.3. На сервер могут передаваться публичные ключи, криптографические подтверждения, подписи или иные технические данные, необходимые для проверки подлинности устройства и MFA-операции.

3.4. Секреты и чувствительные технические данные приложения хранятся локально с использованием защищенного хранилища устройства, если такая возможность предоставляется операционной системой.

4. Использование камеры

4.1. Приложение использует камеру только для сканирования QR-кодов при привязке MFA или учетной записи.

4.2. Изображения с камеры не сохраняются Оператором, не используются для идентификации личности и не передаются на сервер как фото или видео.

4.3. На сервер передается только технический результат сканирования QR-кода и данные, необходимые для настройки MFA-привязки.

5. Push-уведомления

5.1. Приложение может использовать Firebase Cloud Messaging для доставки push-уведомлений на Android, а также в случаях, когда push-инфраструктура приложения на iOS использует Firebase.

5.2. Приложение может использовать Apple Push Notification service для доставки push-уведомлений на iOS.

5.3. Для работы push-уведомлений могут использоваться Google Play Services, Firebase SDK, инфраструктура Google Play, App Store и иные системные сервисы платформ Android и iOS.

5.4. Push-уведомления используются для доставки MFA-запросов, уведомлений безопасности и иных технических сообщений, необходимых для работы Mobile Push MFA.

5.5. Push-уведомления не предназначены для передачи фамилии, имени, отчества, email, текста личных сообщений или иных избыточных персональных данных.

5.6. В push-уведомлениях и связанных технических данных могут использоваться сведения, необходимые для маршрутизации, отображения и проверки MFA-запроса, включая идентификаторы запроса, сведения о сервере, приложении или сервисе.

6. Биометрия устройства

6.1. Приложение не собирает и не передает Оператору биометрические персональные данные пользователя.

6.2. Если пользователь использует Face ID, Touch ID, биометрическую разблокировку устройства или аналогичные механизмы, такая проверка выполняется средствами операционной системы и устройства.

6.3. Биометрия может использоваться операционной системой только для подтверждения операции подписи или доступа к защищенному ключу.

6.4. Оператор получает только технический результат проверки, криптографическую подпись или иное подтверждение, необходимое для авторизации или подтверждения MFA-операции.

7. Цели обработки данных приложения

7.1. Данные мобильного приложения AltHub IdP используются для следующих целей:

  • работа основных функций приложения
  • привязка устройства к учетной записи
  • доставка push-уведомлений
  • подтверждение и отклонение MFA-запросов
  • защита учетной записи
  • предотвращение мошенничества и злоупотреблений
  • предотвращение несанкционированного доступа
  • ведение MFA audit logs
  • отладка и диагностика ошибок
  • расследование инцидентов безопасности
  • обеспечение целостности и надежности Mobile Push MFA

8. Передача данных и поставщики сервисов

8.1. Для работы мобильного приложения и Mobile Push MFA могут использоваться следующие поставщики сервисов:

  • Firebase Cloud Messaging
  • Apple Push Notification service
  • Google Play Services
  • Firebase SDK
  • Google Play
  • Apple App Store
  • TestFlight
  • инфраструктура распространения приложений Google и Apple
  • серверная инфраструктура AltHub Project

8.2. Указанные поставщики могут обрабатывать технические данные в соответствии со своими правилами, политиками конфиденциальности и условиями использования.

8.3. Оператор не использует мобильное приложение для рекламы, продажи данных, передачи данных data brokers, рекламного профилирования, cross-app tracking, ATT/IDFA tracking или иных аналогичных целей.

9. Передача и защита данных

9.1. Передача данных между приложением и серверной частью AltHub Project IdP выполняется с использованием HTTPS/TLS.

9.2. Оператор применяет технические и организационные меры защиты, направленные на предотвращение несанкционированного доступа к MFA-привязкам, push-токенам, ключам, challenge data и иным данным безопасности.

9.3. Безопасность устройства пользователя также зависит от настроек самого устройства, операционной системы, наличия блокировки экрана, актуальности обновлений и действий пользователя.

10. Локальное удаление привязки

10.1. Пользователь может удалить MFA-привязку с устройства средствами приложения, если соответствующая функция доступна в используемой версии приложения.

10.2. Локальное удаление MFA-привязки с устройства означает удаление локальных данных привязки на данном устройстве, но не является удалением учетной записи пользователя.

10.3. Локальное удаление MFA-привязки может не удалять серверную запись о привязке, audit logs, security logs, историю MFA-событий, резервные копии и иные данные, которые хранятся в соответствии с настоящей Политикой.

10.4. Для удаления или блокирования серверной MFA-привязки пользователь должен обратиться к администратору соответствующего тенанта, владельцу организации или в поддержку AltHub Project.

11. Удаление аккаунта и серверных данных

11.1. Приложение AltHub IdP не выполняет самостоятельное удаление корпоративных, организационных или tenant-аккаунтов.

11.2. Запрос на удаление, деактивацию, блокирование или изменение учетной записи может быть направлен владельцу соответствующего тенанта, администратору организации или в поддержку AltHub Project.

11.3. Запросы в поддержку AltHub Project могут направляться через:

https://support.althub.pro

или по адресу:

support@althub.pro

11.4. Запрос на удаление аккаунта и связанных данных также может быть направлен через страницу:

https://althub.pro/account-deletion

11.5. Перед выполнением запроса Оператор, администратор или владелец тенанта может запросить подтверждение личности, подтверждение принадлежности учетной записи или иные сведения, необходимые для предотвращения удаления чужой учетной записи или несанкционированного доступа к данным.

11.6. Удаление приложения с устройства не означает автоматическое удаление учетной записи AltHub Project, серверной MFA-привязки, audit logs или иных серверных данных.

11.7. Часть данных, связанных с безопасностью, MFA, audit logs, security logs, резервными копиями, расследованием инцидентов и защитой прав Оператора, может сохраняться в порядке, установленном настоящей Политикой.

12. Контакты

12.1. По вопросам поддержки, удаления, деактивации, отвязки MFA или доступа к учетной записи можно обращаться:

https://support.althub.pro

support@althub.pro

12.2. По вопросам конфиденциальности, персональных данных и инцидентов безопасности можно обращаться:

privacy@althub.pro

12.3. Полная Политика конфиденциальности и обработки персональных данных AltHub Project доступна по адресу:

https://althub.pro/privacy