Политика конфиденциальности

Настоящая Политика конфиденциальности (далее — «Политика») регулирует порядок обработки персональных данных пользователей информационного ресурса gadmap.online (далее — «Сервис», «Платформа») и определяет организационно-технические меры, направленные на обеспечение конфиденциальности, целостности и доступности обрабатываемой информации в соответствии с применимым законодательством и общепринятыми международными стандартами защиты приватности (ISO/IEC 27001, GDPR — в применимой части).

Используя Сервис, пользователь подтверждает факт ознакомления с настоящей Политикой, выражает безусловное согласие с её положениями и предоставляет своё информированное согласие на обработку персональных данных в объёме и порядке, определённых ниже. В случае несогласия с любым из положений настоящей Политики пользователь обязан незамедлительно прекратить использование Сервиса.

Оператором обработки персональных данных является администрация информационного ресурса gadmap.online (далее — «Оператор»). Контактная информация для направления запросов, обращений и уведомлений размещается на странице /rules; обращения принимаются через форму поддержки на сайте. Оператор осуществляет обработку персональных данных как с использованием средств автоматизации, так и без таковых, в соответствии с принципами законности, добросовестности, целевой направленности, минимизации и точности.

Оператор осуществляет сбор, систематизацию, накопление, хранение, уточнение, использование и иные операции со следующими категориями данных:

• Идентификаторы Telegram: числовой идентификатор пользователя (tg_id), публичное имя пользователя (username), отображаемое имя — получаемые исключительно через официальный механизм Telegram Login Widget с криптографической верификацией подписи HMAC-SHA256;
• Игровой никнейм: добровольно указываемое пользователем имя персонажа в Minecraft, используемое для авторизации на игровом сервере и идентификации в whitelist;
• Платёжная информация: метаданные о фактах совершения платежей (идентификатор транзакции, сумма, валюта, временная метка, статус) — Оператор не хранит и не имеет технической возможности получить реквизиты банковских карт, криптовалютных кошельков или иные конфиденциальные платёжные данные плательщика; обработка указанных реквизитов осуществляется исключительно на стороне сертифицированных платёжных провайдеров (PCI DSS Level 1);
• Технические данные сессии: IP-адрес, User-Agent, временные метки запросов, идентификатор сессионной cookie, защищённой алгоритмом HMAC-SHA256 с использованием серверного секрета;
• Поведенческая аналитика: история активности на игровом сервере, статистика приобретений внутриигровых ассетов (фоны профиля, обводки), баланс игровой валюты («кристаллы»);
• Пользовательский контент: текст биографии профиля (с автоматической премодерацией на предмет ссылок и запрещённой лексики).

Обработка персональных данных осуществляется исключительно в следующих целях, неразрывно связанных с предоставлением Сервиса:

• идентификация и аутентификация пользователя при входе в личный кабинет;
• исполнение обязательств по договору (предоставление доступа к игровому серверу Minecraft, выдача приобретённых цифровых товаров);
• обеспечение функционирования системы лояльности, рейтингов, кастомизации профиля;
• проведение взаиморасчётов с пользователями посредством сертифицированных платёжных систем;
• обеспечение информационной безопасности Сервиса, противодействие мошенничеству и злоупотреблениям;
• исполнение обязанностей, возложенных на Оператора применимым законодательством.

Правовыми основаниями для обработки персональных данных являются:

• согласие субъекта персональных данных, выраженное конклюдентным действием — началом использования Сервиса;
• необходимость исполнения договора, стороной которого является пользователь;
• достижение целей, предусмотренных международными договорами или нормативно-правовыми актами;
• осуществление прав и законных интересов Оператора при условии соблюдения баланса интересов.

Оператор применяет комплекс организационных, технических и криптографических мер, обеспечивающих защиту персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий:

• шифрование транспортного уровня TLS 1.3 (сертификат Let's Encrypt, ECDSA P-256);
• проксирование через CDN с защитой от DDoS-атак (Cloudflare);
• криптографическая подпись сессионных cookie алгоритмом HMAC-SHA256 с серверным секретом длиной 256 бит, генерируемым с использованием криптографически стойкого ГПСЧ;
• хранение данных в реляционной СУБД SQLite с режимом WAL и периодическим резервным копированием;
• принцип минимальных привилегий для всех серверных процессов;
• сегментация платёжных операций — Оператор не имеет прямого доступа к реквизитам платёжных инструментов;
• журналирование действий администраторов с привязкой к учётной записи и временной метке;
• периодический аудит исходного кода на предмет уязвимостей классов OWASP Top 10.

Оператор не осуществляет передачу персональных данных третьим лицам, за исключением случаев, прямо предусмотренных применимым законодательством либо необходимых для исполнения обязательств перед пользователем. К числу таких случаев относятся:

• передача платёжных идентификаторов сертифицированным платёжным провайдерам (CryptoBot, Telegram Stars, Platega) — исключительно в объёме, необходимом для проведения транзакции;
• передача игрового никнейма на сторону хостинга Minecraft-сервера для внесения в whitelist;
• предоставление информации по запросу уполномоченных государственных органов в порядке, установленном законодательством.

Трансграничная передача персональных данных не осуществляется.

Персональные данные обрабатываются и хранятся в течение всего срока действия учётной записи пользователя. После прекращения использования Сервиса данные подлежат обезличиванию или уничтожению в течение 30 (тридцати) календарных дней, за исключением информации, которая должна быть сохранена в силу требований применимого законодательства (в частности, данные о финансовых операциях — 5 лет с момента совершения транзакции).

Сервис использует строго необходимые cookie-файлы, без которых функционирование Платформы невозможно: сессионная cookie с криптографической подписью (срок жизни — 30 дней). Использование рекламных, маркетинговых или трекинговых cookie третьих сторон не осуществляется. Оператор не использует Google Analytics, Яндекс.Метрику, Facebook Pixel или иные системы поведенческой аналитики.

Пользователь имеет право:

• получать информацию об обработке своих персональных данных;
• требовать уточнения, блокирования или уничтожения данных в случае их неполноты, неактуальности или неправомерной обработки;
• отозвать согласие на обработку персональных данных в любой момент;
• обжаловать действия Оператора в уполномоченный орган по защите прав субъектов персональных данных;
• требовать переносимости данных в машиночитаемом формате.

Запросы направляются через форму поддержки на сайте и подлежат рассмотрению в срок не более 30 дней.

Сервис ориентирован на пользователей, достигших возраста 16 лет. Лица, не достигшие указанного возраста, вправе использовать Сервис исключительно с согласия и под контролем законных представителей. Оператор не осуществляет осознанный сбор данных о несовершеннолетних младше 16 лет; в случае выявления факта обработки таких данных они подлежат немедленному удалению.

Оператор оставляет за собой право вносить изменения в настоящую Политику. Актуальная редакция всегда доступна по адресу gadmap.online/privacy. Существенные изменения подлежат предварительному уведомлению пользователей через официальные каналы коммуникации не менее чем за 7 дней до вступления в силу. Продолжение использования Сервиса после вступления изменений в силу означает согласие с новой редакцией.

Все обращения, связанные с обработкой персональных данных, реализацией прав субъекта персональных данных, уведомления о возможных нарушениях направляются через форму поддержки на сайте (система тикетов). Оператор обязуется обеспечить рассмотрение обращений в установленные законом сроки.