Политика конфиденциальности

Редакция от 19 мая 2026 г.

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных при использовании сервиса ТотКод, его веб-интерфейса (Личный кабинет) и встраиваемых виджетов для сайтов (далее совместно — «Сервис»), предоставляемых Индивидуальным предпринимателем Новиковым Антоном Александровичем (ИНН: 632405354695, ОГРНИП: 317631300113782) (далее — «Исполнитель», «мы»).

Политика разработана в соответствии с законодательством Российской Федерации, включая Федеральный закон № 152-ФЗ «О персональных данных». Используя Сервис, вы подтверждаете, что ознакомились с настоящей Политикой.

1. Кому адресована Политика и роли сторон

1.1. Клиенты Личного кабинета (регистрация, биллинг, поддержка). В отношении их персональных данных Исполнитель действует как оператор персональных данных.

1.2. Пользователи клиентов (посетители сайтов Клиентов, проходящие верификацию через наш виджет). В отношении их персональных данных Исполнитель действует как лицо, обрабатывающее данные по поручению Клиента (обработчик). Клиент выступает как оператор персональных данных своих пользователей и самостоятельно обеспечивает наличие правовой основы (согласие/иная база).

2. Обрабатываемые данные и цели

2.1. Данные Клиентов ЛК (мы — оператор)

• Идентификация аккаунта: имя, e-mail, пароль/хэш пароля.
• Договорные/расчётные: история тарифов и оплат, статусы платежей.
• Поддержка/переписка: обращения, журнал действий в ЛК.
• Техданные: IP-адрес, user-agent, таймстемпы, логины/лог-ауты, события интерфейса, cookie.

Цели: регистрация и администрирование аккаунта, предоставление доступа к Сервису, расчёты и документооборот, техподдержка, информационные сообщения о работе Сервиса, соблюдение закона, обеспечение безопасности.

Правовые основания: заключение и исполнение договора (Публичная оферта / Пользовательское соглашение), исполнение требований закона; отдельное согласие — где прямо запрашивается.

2.2. Данные Пользователей клиентов (мы — обработчик по поручению)

• Минимально необходимые для верификации: номер телефона (только РФ, +7), факт/результат проверки кода (успех/ошибка), ID интеграции/сессии, таймстемпы.
• Техметаданные доставки: статус сообщения/вызова, IP-адрес, user-agent.
• Журналы событий: количество попыток, причины отказа/ошибки, данные для антифрода (Черный список).

Важное про OTP (одноразовые пароли):
Значения одноразовых кодов (OTP) принципиально не сохраняются в наши базы данных. Мы используем безопасную архитектуру без сохранения состояния (Stateless) на базе JWT-токенов. Код существует исключительно в оперативной памяти сервера в долю секунды при генерации и внутри зашифрованного токена на стороне браузера пользователя. В базу данных для статистики и защиты от спама записываются только факты событий (например: «Код отправлен», «Код введен верно», «Неверный код») без фиксации самих цифр кода.

Цели: генерация и доставка OTP (через Telegram/Звонки), подтверждение владения номером, журналирование для биллинга и аудита, антифрод/антиспам защита, расследование инцидентов.

Правовые основания: документированное поручение Клиента в рамках его отношений с Пользователем; наличие у Клиента правовой основы (согласие Пользователя Клиента на его сайте).

3. Источники данных

• непосредственно от субъекта (регистрация в ЛК, ввод номера в виджете);
• от платёжных провайдеров (статусы оплат);
• от телеком-провайдеров и мессенджеров (статусы доставки, ошибки от шлюзов).

4. Платежи и финансовая информация

Оплата услуг производится через платёжный сервис ЮKassa. Мы не храним полные номера банковских карт и CVV. Платёжные данные обрабатываются на защищенной стороне платёжного провайдера; мы получаем только статусы, идентификаторы транзакций и обезличенные токены, необходимые для учёта и работы функции автопродления.

5. Передача третьим лицам и субобработчикам

5.1. Для оказания услуг данные могут передаваться третьим лицам в необходимых пределах:

• Провайдерам связи / операторам (например, SigmaSMS) / платформам (Telegram) — для доставки OTP/вызовов;
• Платёжным провайдерам (ЮKassa) — для приёма оплат;
• Поставщикам серверной инфраструктуры — для хостинга, логирования и защиты Сервиса.

5.2. Субобработчики привлекаются на основании договоров с жесткими требованиями по защите данных.

5.3. Персональные данные не продаются и не передаются третьим лицам для маркетинговых целей, несовместимых с настоящей Политикой.

6. Локализация, хранение, сроки и удаление

6.1. Локализация. Запись, систематизация, накопление персональных данных граждан РФ осуществляются на территории РФ в базах данных, используемых Исполнителем.

6.2. Сроки хранения:

• OTP-коды (пароли) — не подлежат хранению ни на одном из этапов обработки. Верификация проходит «на лету» без записи самих паролей на жесткие диски серверов;
• Данные аккаунта Клиента и расчётные документы — на срок действия договора и до 3 лет после (если иное не требуется законом);
• Технические логи (auth_logs) — хранятся строго ограниченное время: до 180 календарных дней (для обеспечения работы биллинга, аудита и антиспам-системы), после чего автоматически и безвозвратно удаляются;
• Черный список (user_bans) — хранится до момента удаления записи Клиентом в Личном кабинете или до полного удаления аккаунта Клиента.

6.3. Удаление. По достижении целей обработки и/или по истечении сроков хранения данные удаляются. По запросу Клиента (как оператора) Исполнитель удаляет данные Пользователей Клиента в пределах технической возможности и закона.

7. Трансграничная передача

7.1. Для доставки сообщений/вызовов и обеспечения работы Сервиса (например, при маршрутизации сообщений через глобальную инфраструктуру мессенджера Telegram) может осуществляться трансграничная передача данных.

7.2. Передача осуществляется при соблюдении требований законодательства РФ. Клиент со своей стороны обеспечивает информирование субъектов (Пользователей) о возможной трансграничной передаче.

8. Безопасность

Мы применяем организационные и технические меры защиты, разумные для данного класса услуг, включая: использование защищённых каналов связи (TLS), шифрование секретов (пароли Клиентов хэшируются), разграничение доступа к базе данных, защиту от подделки межсайтовых запросов (CSRF-токены). Исходные OTP-коды физически не записываются в логи и базы данных, что полностью исключает возможность их утечки или компрометации со стороны Исполнителя.

9. Права субъектов данных и контакт

9.1. Клиенты ЛК вправе: получать сведения об обработке, требовать уточнения/блокирования/уничтожения недостоверных или незаконно обрабатываемых данных, отзывать согласия.

9.2. Пользователи клиентов. Запросы по их персональным данным (номер телефона, IP-адрес, логи и т.п.) направляются соответствующему Клиенту (оператору данных, владельцу сайта). Мы, как обработчик, исполняем запросы на удаление исключительно по документированным инструкциям Клиента в пределах закона.

9.3. Как связаться:

• E-mail: info@tot-kod.ru

Срок ответа — до 30 дней с даты получения запроса (если иной срок не установлен законом).

10. Файлы cookie и аналогичные технологии

10.1. Сервис использует файлы cookie и аналогичные технологии для обеспечения работоспособности веб-сайта, безопасности пользователей, а также для анализа посещаемости и проведения маркетинговых активностей. Мы используем следующие категории файлов cookie:

• Технические cookie: необходимы для обеспечения процесса авторизации (сохранения сессии Клиента), безопасности (CSRF-токены) и корректной работы интерфейсов Личного кабинета. Вы можете управлять cookie через настройки браузера, однако полная блокировка данных файлов приведет к невозможности авторизации и работы в Личном кабинете Сервиса.
• Аналитические cookie: используются для сбора обезличенной статистики посещаемости, оценки эффективности рекламных кампаний и анализа поведения пользователей на сайте с целью улучшения интерфейса и пользовательского опыта.
• Маркетинговые cookie и инструменты взаимодействия: используются для анализа источников трафика, оптимизации маркетинговых активностей и отслеживания эффективности Сервиса в поисковых системах.

10.2. Наши партнёры и иные сторонние сервисы, которые связаны с работой веб-сайта, также могут устанавливать собственные файлы cookie и получать доступ к обезличенным техническим данным (список может дополняться):

• metrika.yandex.ru (Яндекс.Метрика) — используется для сбора аналитических данных, оценки юзабилити и эффективности рекламных каналов.
• webmaster.yandex.ru (Яндекс.Вебмастер) — используется для корректной индексации веб-сайта поисковыми системами и мониторинга его технического состояния.

10.3. Вы можете самостоятельно управлять файлами cookie (блокировать, удалять или настраивать правила их приема) через встроенные настройки вашего интернет-браузера. Однако помните, что полное отключение cookie приведет к невозможности авторизации и полноценной работы в Личном кабинете Сервиса.

11. Несовершеннолетние

Сервис не предназначен для самостоятельного использования несовершеннолетними. Если Клиент верифицирует несовершеннолетних Пользователей на своих сайтах, он самостоятельно обеспечивает получение согласий законных представителей и соблюдение специальных требований применимого законодательства.

12. Обязанности Клиента как оператора данных своих Пользователей

Клиент обязуется:

• иметь правовую основу обработки (например, явно получить согласие Пользователя на обработку номера телефона и IP-адреса для целей верификации и защиты от спама);
• отобразить в интерфейсе своей формы заявки/регистрации ссылку на свою политику конфиденциальности (если есть) и ссылку на настоящую Политику;
• по запросу Исполнителя предоставлять подтверждение наличия правовой основы обработки данных.

13. Маркетинговые и сервисные сообщения

Мы вправе направлять Клиентам ЛК сервисные сообщения (о сбросе пароля, транзакциях, инцидентах, изменениях Сервиса или окончании тарифа) без отдельного согласия. Маркетинговые сообщения направляются только при наличии согласия; от них можно отказаться по ссылке в письме.

14. Ограничение ответственности

Мы не контролируем и не отвечаем за содержание и законность работы Клиента со своими Пользователями, за корректность номеров, а также за доступность сторонних сервисов (операторов связи, Telegram, платёжных систем). Предел ответственности Исполнителя определяется Публичной офертой и Пользовательским соглашением.

15. Изменения Политики

Мы вправе обновлять настоящую Политику. Новая редакция вступает в силу с момента публикации на сайте Сервиса и применяется к отношениям после её публикации.