Сведения о реализуемых требованиях к защите персональных данных

1. Оператор

Индивидуальный предприниматель Поплеев Александр Александрович (ОГРНИП 323246800085139, ИНН 244315389893), адрес: 662150, Красноярский край, Ачинский район, п. Горный, ул. Центральная, д. 23.

2. Назначение документа

Настоящий документ опубликован Оператором во исполнение требований ч. 2 ст. 18.1 152-ФЗ и содержит сведения о применяемых правовых, организационных и технических мерах по обеспечению безопасности персональных данных при их обработке. Документ дополняет Политику обработки персональных данных и является её неотъемлемой частью.

3. Правовые меры

• Назначение лица, ответственного за организацию обработки персональных данных, — Индивидуальный предприниматель Поплеев Александр Александрович (контакт: skillupmixing@mail.ru).
• Издание Политики обработки персональных данных и иных локальных актов по вопросам обработки и защиты персональных данных.
• Доведение положений законодательства Российской Федерации о персональных данных и локальных актов Оператора до лиц, имеющих доступ к персональным данным.
• Оператор внесён в Реестр операторов персональных данных Роскомнадзора (уведомление от 05.05.2026, входящий № 7601/24).
• Издание приказа об утверждении настоящего документа и Политики обработки персональных данных.

4. Организационные меры

• Определение перечня лиц, имеющих доступ к персональным данным, и разграничение их прав доступа.
• Учёт носителей персональных данных и контроль их перемещения.
• Контроль наличия и актуальности согласий субъектов персональных данных.
• Ведение журнала учёта обращений субъектов персональных данных и регламентация порядка их рассмотрения.
• Периодический пересмотр (не реже одного раза в год) применяемых мер защиты и настоящего документа.
• Внутренний контроль соответствия обработки персональных данных требованиям Федерального закона № 152-ФЗ и принятых в соответствии с ним нормативных правовых актов (ч. 1 п. 4 ст. 18.1 152-ФЗ).
• Оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения положений Федерального закона № 152-ФЗ (ч. 1 п. 5 ст. 18.1 152-ФЗ).

5. Технические меры

• Шифрование каналов передачи данных: весь трафик между браузером Пользователя и серверами Оператора передаётся по защищённому протоколу транспортного уровня (TLS) с современными криптоалгоритмами; включена принудительная политика безопасной транспортировки (Strict-Transport-Security).
• Парольная защита и двухфакторная аутентификация для административного доступа к серверу и базе данных.
• Разграничение прав доступа на уровне строк в реляционной базе данных: каждый Пользователь имеет доступ только к собственным записям; административный доступ ко всем данным предоставляется через отдельный программный канал с проверкой принадлежности к роли администратора.
• Ежедневное резервное копирование базы данных с хранением копий на отдельном носителе в течение 30 (тридцати) календарных дней.
• Журналирование доступа к административным интерфейсам и серверам, хранение журналов не менее 90 (девяноста) календарных дней.
• Антивирусная защита сервера и контроль изменений системных файлов.
• Межсетевой экран на стороне инфраструктуры АО «Селектел» (Selectel, ИНН 7842393933) с ограничением входящего трафика на нестандартные порты.
• Политика безопасности контента (Content Security Policy) на стороне веб-сервера: ограничение источников исполняемого кода, запрет встраивания страниц Сайта в сторонние ресурсы (X-Frame-Options), запрет автоматического определения MIME-типа (X-Content-Type-Options).
• Ограничение частоты запросов к программным интерфейсам платежей и аутентификации для противодействия автоматизированным атакам.
• Защита от подделки межсайтовых запросов (CSRF) — обязательный токен сессии для всех изменяющих операций.
• Закрытие баз данных от прямого доступа из Интернета: база данных доступна только из локальной сети Оператора; внешние подключения принципиально невозможны.

6. Уровень защищённости персональных данных

В соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и проведённой Оператором оценкой вреда (раздел 22.1 Политики обработки персональных данных) информационная система Оператора отнесена к 4 (четвёртому) уровню защищённости:

• обрабатываются иные категории персональных данных (не специальные, не биометрические, не общедоступные);
• обрабатываются персональные данные сотрудников Оператора отсутствуют (Оператор — индивидуальный предприниматель, не имеет наёмных работников);
• количество субъектов персональных данных, не являющихся сотрудниками Оператора, — менее 100 000 (ста тысяч);
• актуальные угрозы безопасности персональных данных — угрозы 3-го типа (не связанные с наличием недокументированных возможностей в системном программном обеспечении).

Применяемые технические и организационные меры (разделы 4–5 настоящего документа) соответствуют требованиям к 4-му уровню защищённости, установленным Постановлением Правительства РФ № 1119 и Приказом ФСТЭК России от 18.02.2013 № 21.

7. Хранение данных на территории Российской Федерации

В соответствии с ч. 5 ст. 18 152-ФЗ Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации с использованием баз данных, физически размещённых на территории Российской Федерации. Серверы и резервные копии расположены в дата-центре АО «Селектел» (Selectel, ИНН 7842393933) в городе Москве, Российская Федерация. Трансграничная передача персональных данных не осуществляется.

8. Связанные документы

• Политика обработки персональных данных
• Согласие на обработку персональных данных
• Политика использования файлов куки
• Права субъектов персональных данных
• Пользовательское соглашение
• Публичная оферта

9. Контакты

По вопросам, связанным с обработкой и защитой персональных данных:
Электронная почта: skillupmixing@mail.ru
Почтовый адрес: 662150, Красноярский край, Ачинский район, п. Горный, ул. Центральная, д. 23
Срок ответа: не более 10 (десяти) рабочих дней (ч. 4 ст. 20 152-ФЗ).