Политика конфиденциальности
Последнее обновление: 8 апреля 2026
Редакция от 19.04.2026
1. Общие положения
Настоящая Политика определяет порядок обработки и защиты персональных данных пользователей сервиса MaxSurge (далее — «Сервис»). Оператором персональных данных является ООО «ВЕЛАР» (ОГРН 1262300018860, ИНН 2311391544, юридический адрес: 350005, Краснодарский край, г. Краснодар, ул. им. М.М. Шапиро, д. 23).
Политика разработана в соответствии с Федеральным законом №152-ФЗ «О персональных данных», Федеральным законом №149-ФЗ «Об информации, информационных технологиях и о защите информации» и применяется ко всем данным, которые Оператор может получить о Пользователе в ходе использования Сервиса.
Использование Сервиса означает безоговорочное согласие Пользователя с настоящей Политикой и условиями обработки его персональных данных.
2. Какие данные обрабатываются
Данные Пользователя (владельца аккаунта):
- email-адрес (обязательно);
- имя/ник (опционально);
- хешированный пароль (алгоритм bcrypt);
- IP-адрес, User-Agent, время входа;
- платёжная информация (история платежей, без номеров карт — их хранит платёжный агрегатор);
- токены MAX-аккаунтов, подключённых Пользователем;
- данные, загруженные Пользователем (контакты, списки, шаблоны сообщений).
Данные третьих лиц, которые Пользователь самостоятельно загружает или получает через Сервис (номера телефонов, идентификаторы, имена из открытых источников), обрабатываются исключительно по поручению Пользователя. Оператором таких данных является сам Пользователь. Обязанности по получению согласий субъектов персональных данных несёт Пользователь.
3. Цели обработки
- регистрация и аутентификация в Сервисе;
- предоставление функционала Сервиса;
- обработка платежей и формирование фискальных документов;
- техническая поддержка и уведомления о работе Сервиса;
- обеспечение безопасности (защита от брутфорса, обнаружение злоупотреблений);
- выполнение обязанностей, возложенных законодательством РФ.
Обработка данных в маркетинговых целях (рассылка рекламных писем) осуществляется только при наличии отдельного согласия Пользователя, которое может быть отозвано в любой момент через ссылку «отписаться» в письмах.
4. Правовые основания
- согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 №152-ФЗ);
- исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6);
- исполнение обязанностей, возложенных законодательством (п. 2 ч. 1 ст. 6).
5. Передача данных третьим лицам
Персональные данные не передаются третьим лицам, за исключением:
- платёжных агрегаторов (ЮKassa / Robokassa / Prodamus) — в объёме, необходимом для проведения платежа;
- хостинг-провайдера — в целях технического обслуживания серверов;
- налоговых и иных государственных органов — по мотивированному запросу в рамках законодательства;
- провайдера email-рассылок — для отправки транзакционных писем.
Трансграничная передача данных не осуществляется. Все данные хранятся на серверах на территории РФ.
6. Срок хранения
- данные учётной записи — весь период действия аккаунта и 3 года после его удаления (для налоговой отчётности и разрешения возможных споров);
- логи активности — 90 дней;
- платёжные документы — 5 лет (требование налогового законодательства);
- данные, загруженные Пользователем, — до удаления Пользователем или закрытия аккаунта.
7. Меры защиты
- TLS 1.2+ для всех соединений (сертификат Let's Encrypt);
- хеширование паролей bcrypt (cost factor 12);
- CSRF-токены на всех формах;
- защита от брутфорса (rate-limiting на /login и /register);
- двухфакторная аутентификация (TOTP) по желанию Пользователя;
- регулярное резервное копирование БД;
- ограниченный доступ сотрудников к данным (принцип минимальных привилегий).
8. Права Пользователя
В соответствии со ст. 14 №152-ФЗ Пользователь вправе:
- получить сведения об обрабатываемых данных;
- требовать уточнения, блокировки или уничтожения данных;
- отозвать согласие на обработку (путём удаления аккаунта);
- обжаловать действия Оператора в Роскомнадзор (rkn.gov.ru) или суд.
Запросы направляются на legal@maxsurge.ru. Срок рассмотрения — 10 рабочих дней.
9. Cookie
Сервис использует сессионные cookie (session_id, csrf_token) для аутентификации и защиты от CSRF. Без них вход невозможен. Аналитические и рекламные cookie не используются.
10. Изменения Политики
Актуальная редакция публикуется на /privacy. Существенные изменения доводятся до Пользователей по email не менее чем за 7 дней до вступления в силу.
11. Контакты Оператора
ООО «ВЕЛАР»
ИНН: 2311391544, ОГРН: 1262300018860
Юридический адрес: 350005, Краснодарский край, г. Краснодар, ул. им. М.М. Шапиро, д. 23
Email: legal@maxsurge.ru
Ответственный за обработку ПДн: Генеральный директор ООО «ВЕЛАР»