— ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

Политика описывает обработку данных пользователями MonkeyMachine во всех регионах, кроме специальных норм РФ — они дополняются «Политикой обработки ПДн РФ».

— Учётные: имя, e‑mail, настройки.

— Технические: IP, User‑Agent, идентификаторы устройства, логи событий.

— Контент: чаты/файлы/медиа, метаданные.

— Биллинг‑метаданные: статусы и идентификаторы у платёжных провайдеров.

— Аналитика/SDK (по согласию).

Возраст <18 не обслуживаем.

— Исполнение договора: предоставление функций, биллинг, поддержка.

— Легитимный интерес: безопасность, антифрод, улучшение качества (минимально необходимая обработка).

— Согласие: маркетинг/аналитика/куки/обучение моделей (opt‑in).

— Правовая обязанность: бухгалтерия/налоги.

— По умолчанию не используем клиентский контент для обучения; только opt‑in.

— Перед передачей в AI‑API применяем минимизацию и маскирование; спецкатегории (здоровье, биометрия) отправлять запрещено.

— Human‑review у провайдеров запрещается, если доступна настройка.

— Ретеншн: контент промптов/ответов — 7 дней; метаданные — 30–90 дней; Strict‑mode «не хранить вовсе» — нет.

— РФ: локализация первичной записи в РФ‑кластере; трансграничная передача допустима по согласию/договору/закону.

— ЕС/UK: обработка в ЕС/UK; передачи по SCC/UK Addendum.

— Прочие регионы: ближайший доступный регион.

Баннер с категориями (Necessary/Analytics/Marketing). В ЕС/UK — Analytics/Marketing выключены до согласия; вне ЕС — Analytics может быть включена по умолчанию. Поддерживаем GPC/Do Not Track как отказ от не‑necessary.

Аккаунт/биллинг — 5 лет после закрытия; операционные логи — 90 дней; аудит‑трейл — 2 года; история чатов — 12 мес; файлы R2 — до удаления сущности; бэкапы: дневные 30 дн, недельные 3 мес, месячные 12 мес; soft‑delete 30 дн → hard‑delete; следы удаляются из бэкапов по ротации.

TLS 1.3/HSTS; шифрование at‑rest; pgcrypto для чувствительных полей; принцип наименьших привилегий; RLS/изоляция мульти‑тенант; централизация логов; SAST/DAST; бэкапы/DR (RPO ≤24ч; RTO ≤8ч); WAF/Rate‑limit; staff‑MFA.

Криптографические средства: Используются криптографические средства на основе алгоритмов AES-256-GCM (шифрование данных в кэше и полей БД), bcrypt (хеширование паролей), HMAC-SHA256 (подписи и верификация). Указанные средства не являются сертифицированными СКЗИ в соответствии с требованиями ФСБ России и не относятся к классам КС1-КС3, КВ, КА.

Доступ/копия; исправление; удаление; ограничение; возражение; переносимость; отзыв согласия.

Канал: ЛК + privacy@monkeymachine.ru.

Срок ответа: 30 дней (+30 при сложности).

Верификация: e‑mail/2FA; B2B — owner/admin.

Экспорт: JSON/CSV/ZIP; SLA — до 7 дней.

Публичный реестр: /legal/subprocessors; уведомление об изменениях за 30 дней, право возражения/отключения по возможности.

Уведомляем затронутых лиц ≤72 часов; каналы: e‑mail + баннер + статус‑страница.

Содержание: описание, категории, масштабы, меры, рекомендации, контакты security@/privacy@.

privacy@monkeymachine.ru; право жалобы в регулятор ЕС/UK по месту жительства пользователя (при применимости).