Безопасность данных
Эта страница описывает, какие данные собирает сервис «Рестики», для каких целей, как они защищены и где хранятся. Соответствует требованиям App Store Data Safety, Google Play Data Safety и Федерального закона № 152-ФЗ «О персональных данных».
1. Где хранятся ваши данные
Все персональные данные пользователей-резидентов РФ хранятся и обрабатываются на серверах, физически расположенных на территории Российской Федерации. Это соответствует требованию Федерального закона № 242-ФЗ от 21.07.2014 о локализации обработки персональных данных граждан РФ.
Инфраструктура: Beget LLC (AS198610, Москва), Российская Федерация. Резервные копии — в том же физическом контуре. Трансграничной передачи персональных данных не осуществляется.
2. Какие данные мы собираем
- Идентификаторы аккаунта: телефон, email, имя, фотография профиля.
- Учётные данные: пароль (только bcrypt-хеш), токены сессии.
- Данные устройства: модель, ОС, push-токен (для уведомлений), IP-адрес, язык, часовой пояс.
- Действия в приложении: заказы, оплаты, отзывы, чаевые, выбранные позиции меню.
- Платежи: только идентификатор и статус транзакции — данные карты обрабатываются на стороне Т-Банка / ЮKassa, мы их не видим и не сохраняем.
- Геолокация: только город (текст), для подбора релевантных ресторанов. Точные координаты не собираем.
3. Зачем нам эти данные
- Функциональность: приём и оплата заказов, доставка push-уведомлений о статусе.
- Аналитика партнёра: статистика по выручке, времени выполнения, топ-блюдам — для ресторана-партнёра.
- Безопасность: фрод-предотвращение, расследование злоупотреблений, защита от ботов.
- Соблюдение закона: хранение финансовых документов в установленные НК РФ сроки.
4. С кем мы делимся
- Партнёр-ресторан: минимум, необходимый для приготовления заказа (имя, контакт, позиции, комментарии).
- Платёжные сервисы: Т-Банк (АО «ТБанк»), ЮKassa (ООО «НКО ЮMoney») — для процессинга платежей.
- Apple и Google: токены устройств для доставки push-уведомлений через APNs и FCM (отправляем токен и текст уведомления).
- По запросу уполномоченных органов: только при наличии законного основания.
Мы не продаём ваши данные. Не используем для таргетированной рекламы у внешних сервисов. Не передаём в страны, где уровень защиты ниже российского.
5. Как мы защищаем
- Шифрование передачи: TLS 1.2+ на всех соединениях клиент↔сервер.
- Шифрование хранения: пароли — bcrypt с cost factor 14, токены — HMAC SHA-256.
- Изоляция доступа: row-level security в PostgreSQL — каждый партнёр видит только свои данные, гость — только свои заказы, админ — всё с записью в журнал доступа.
- Резервные копии: ежедневные снимки БД с retention 30 дней.
- Мониторинг: журналы аутентификации, подозрительная активность, аномалии в платежах.
- Закрытая инфраструктура: все сервисы за reverse-proxy с auto-SSL (Let's Encrypt через DNS-01 challenge), порты БД и внутренних сервисов не выставлены наружу.
- Подписанные мобильные приложения: iOS — через Apple App Store с code signing, Android — через Google Play Signing.
6. Удаление данных
Вы можете удалить свои данные в любой момент:
- В приложении: Профиль → Удалить аккаунт. Удалятся профиль, заказы, отзывы, фотографии, push-токены.
- Письменно на support@restikiapp.ru. Срок исполнения — до 30 календарных дней с даты получения.
Часть данных сохраняется по требованию закона: финансовые документы, чеки — в течение установленных НК РФ сроков (до 5 лет).
7. Дети
Сервис не предназначен для лиц младше 18 лет без согласия законного представителя. Мы не собираем целенаправленно данные несовершеннолетних.
8. Уязвимости и инциденты
Если вы нашли уязвимость в безопасности — пожалуйста, сообщите на support@restikiapp.ru с темой «Security». Мы рассматриваем такие сообщения в приоритетном порядке.
В случае инцидента, затрагивающего ваши персональные данные, мы уведомим вас в течение 72 часов с момента обнаружения, как того требует 152-ФЗ.
9. Контакты по безопасности
ИП Щучко Анатолий Анатольевич (ИНН 772428322137). Письма по защите персональных данных и инцидентам — на support@restikiapp.ru.