Daman

Политика конфиденциальности

Дата публикации: 9 мая 2026 г. Версия: 2.2

1. Общие положения

Настоящая Политика определяет порядок обработки персональных данных (далее — ПДн) пользователей сайта daman.tools (далее — Сайт) и связанного с ним программного обеспечения (плагин Daman для QGIS, далее — Плагин).

Оператор ПДн: Плахотнюк Александр Алексеевич (далее — Оператор). ИНН: 243904939834. Контакт: support@daman.tools. Регистрационный номер в реестре операторов Роскомнадзора: 78-26-209247 (приказ № 88 от 19.03.2026, последнее изменение — приказ № 138 от 05.05.2026 на основании информационного письма № 100271402 от 02.05.2026; в обработке информационное письмо № 100279332 от 08.05.2026).

2. Категории обрабатываемых персональных данных

2.1. Данные при регистрации и в личном кабинете

Категория субъектов: Клиенты (зарегистрированные пользователи).

  • Имя — обязательно, для обращения к пользователю.
  • Адрес электронной почты — обязательно, для авторизации и уведомлений.
  • Пароль — обязательно, хранится в виде криптографического хеша scrypt (RFC 7914) с уникальной случайной солью; исходный пароль Оператору недоступен.
  • Фамилия, отчество — опционально, по выбору субъекта.
  • Наименование организации — опционально, по выбору субъекта.
  • Идентификатор в мессенджере Telegram — опционально, для коммуникации через бот поддержки.
  • Лицензионный ключ программного продукта — формируется при выдаче лицензии.

2.2. Данные сессий авторизованных пользователей

Категория субъектов: Клиенты.

  • IP-адрес и User-Agent сессии — записываются автоматически системой аутентификации Better Auth для обеспечения целостности сессии, защиты от её перехвата и расследования инцидентов безопасности.

2.3. Данные форм обратной связи

Категория субъектов: Клиенты и Посетители сайта.

При отправке формы обратной связи на странице /contacts Оператор обрабатывает:

  • Имя — указывается субъектом, по выбору.
  • Адрес электронной почты — обязателен для направления ответа.
  • Текст сообщения.
  • IP-адрес отправителя — фиксируется в логе обращений для предотвращения злоупотреблений.

Обработка обращений осуществляется в рамках Цели № 1 (коммуникация с пользователями) — см. раздел 3.

2.4. Данные, передаваемые Плагином

Категория субъектов: Клиенты.

  • Идентификатор устройства (hardware ID) — привязка лицензии к оборудованию, предотвращение передачи ключа третьим лицам.
  • Версия Плагина, версия QGIS, наименование операционной системы — диагностика совместимости.
  • События и ошибки Плагина — стек-трейсы, коды ошибок, метаданные выполняемых операций для диагностики и улучшения работы.

2.5. Данные информационной безопасности и обезличенной аналитики посещаемости

Категория субъектов: Клиенты и Посетители сайта.

  • IP-адрес и User-Agent источников подозрительной активности (anomaly_event) — фиксируются системой защиты от автоматизированных атак (CrowdSec, rate limiting, обнаружение аномалий).
  • Криптографический хеш IP-адреса (SHA-256) + URL посещённой страницы (page_view) — для агрегированной обезличенной аналитики посещаемости.

2.6. Данные веб-аналитики и записи сессий (Яндекс.Метрика)

Категория субъектов: Клиенты и Посетители сайта.

Сбор начинается только после явного согласия пользователя через cookie-баннер (см. раздел 8). До получения согласия данные не собираются, скрипт счётчика не загружается, cookies _ym_* не устанавливаются.

После получения согласия Оператор обрабатывает:

  • Cookies _ym_* — идентификатор посетителя, метки сессии, опции просмотра, устанавливаются скриптом Яндекс.Метрики на стороне пользователя.
  • IP-адрес, User-Agent, Referer, URL посещений.
  • Технические данные браузера и устройства — разрешение экрана, тип устройства, операционная система.
  • Производная геоинформация на основе IP-адреса — страна, регион, город (определяются Яндекс.Метрикой автоматически по IP).
  • Поведенческие данные: клики, скроллинг, движения мыши, события фокуса и отправки форм.
  • Запись действий пользователя (Webvisor) — последовательные снимки DOM-структуры страницы и события взаимодействия, воспроизводимые в плеере как видеозапись сессии.

Содержимое полей форм с персональными данными в Я.Метрику не передаётся, защита двухслойная:

  1. На стороне сервиса Я.Метрики: в настройках счётчика опция «Записывать все поля» отключена (10.05.2026). Нажатия клавиш (keystroke) при заполнении любых полей форм не передаются в Я.Метрику с любой страницы Сайта.
  2. На стороне Сайта: формы с персональными данными (/login, /register, /forgot-password, /contacts, активация лицензии в /dashboard) дополнительно помечены атрибутом ym-hide-content. Это исключает значения полей из периодических DOM-снимков Webvisor — даже если поле уже было заполнено к моменту снимка, его содержимое в записи не попадает.

Webvisor продолжает фиксировать факт фокуса, клика, отправки формы (без содержимого).

2.7. Служебные данные Оператора

  • Служебные пометки (notes) — краткие технические отметки Оператора о пользователе или лицензии в рамках поддержки. По запросу пользователя предоставляются или удаляются.
  • Журнал административных действий (audit log) — фиксирует действия администраторов в отношении учётных записей и лицензий для обеспечения целостности учёта.

3. Цели обработки и правовые основания

ЦельКатегории субъектовПравовое основание
1Регистрация и аутентификация пользователей, предоставление доступа к функциям личного кабинета, лицензионное сопровождение, оказание технической поддержки, диагностика технической телеметрии Плагина, коммуникация с пользователями, в том числе рассмотрение обращений, поступивших через форму обратной связи на СайтеКлиенты, Посетители сайтап. 1 ч. 1 ст. 6 152-ФЗ (согласие); п. 5 ч. 1 ст. 6 152-ФЗ (исполнение договора-оферты); п. 7 ч. 1 ст. 6 152-ФЗ (законный интерес Оператора в части рассмотрения обращений)
2Обеспечение информационной безопасности Сайта, защита от автоматизированных атак, brute-force и аномальной активности; обезличенная аналитика посещаемостиКлиенты, Посетители сайтап. 7 ч. 1 ст. 6 152-ФЗ (законный интерес Оператора)
3Анализ посещаемости и поведения пользователей Сайта, улучшение пользовательского опыта и контента — через сервис Яндекс.Метрика, включая запись действий пользователя (Webvisor)Клиенты, Посетители сайтап. 1 ч. 1 ст. 6 152-ФЗ (согласие, выраженное активацией кнопки «Принять» в cookie-баннере)

4. Сроки хранения

КатегорияСрок
Учётная запись и связанные данные профиляДо удаления аккаунта пользователем + 30 дней (grace period для отмены удаления)
Лицензии и данные об активацииСрок действия лицензии + 3 года (бухгалтерская отчётность)
Сессии Better AuthДо выхода пользователя или истечения срока действия (по умолчанию 7 суток)
JWT blacklist ПлагинаДо истечения срока токена
События телеметрии Плагина30 дней
Обезличенная аналитика (page_view)30 дней
События безопасности (anomaly_event)30 дней
Сообщения формы обратной связиДо рассмотрения и направления ответа + 1 год
Метрика — записи сессий (Webvisor)15 дней
Метрика — агрегированная аналитикаПо срокам Яндекс.Метрики (стандартный срок сервиса)
Резервные копии базы данных10 последних ротируемых копий
Журнал административных действий (audit_log)Бессрочно (для обеспечения целостности учёта)

Автоматическое удаление устаревших записей производится ежедневной задачей.

5. Место обработки и хранения

Все ПДн обрабатываются и хранятся на серверах, расположенных на территории Российской Федерации. Инфраструктуру предоставляет хостинг-провайдер ООО «Бегет» (Beget LLC, Санкт-Петербург). Хостинг-провайдер не является лицом, осуществляющим обработку ПДн по поручению Оператора в смысле ч. 3 ст. 6 152-ФЗ, и не совершает с ПДн самостоятельных действий.

Данные сервиса Яндекс.Метрика обрабатываются на серверах ООО «Яндекс» на территории Российской Федерации.

Трансграничная передача персональных данных не осуществляется.

6. Лица, осуществляющие обработку по поручению Оператора (ч. 3 ст. 6 152-ФЗ)

ОбработчикСервисНазначениеЮрисдикция
ООО «Яндекс» (ИНН 7736207543, ОГРН 1027700229193, 119021, Москва, ул. Льва Толстого, 16)Яндекс SmartCaptchaЗащита форм регистрации, входа, восстановления пароля и обратной связи от автоматизированных атакРоссия
ООО «Яндекс» (ИНН 7736207543, ОГРН 1027700229193, 119021, Москва, ул. Льва Толстого, 16)Яндекс.Метрика (включая Webvisor 2.0)Веб-аналитика посещаемости и поведения пользователей, запись сессий с маскированием полей ПДнРоссия

Обработчики по поручению обязаны соблюдать требования 152-ФЗ и ограничения, установленные Оператором. Условия обработки ПДн ООО «Яндекс» определены публичной офертой Яндекс.Метрики (включая пункт о статусе обработчика по поручению по ч. 3 ст. 6 152-ФЗ).

7. Меры защиты (ст. 18.1 и 19 152-ФЗ)

  • Шифрование передачи данных (TLS 1.2/1.3, сертификаты Let's Encrypt).
  • Хеширование паролей (scrypt с уникальной случайной солью).
  • Ограничение доступа к базе данных на уровне PostgreSQL.
  • Аутентификация по SSH-ключам, нестандартный SSH-порт.
  • Межсетевой экран UFW.
  • Защита от автоматизированных атак: CrowdSec, rate limiting на уровне nginx и приложения.
  • Контроль целостности файлов (AIDE, ежедневная проверка).
  • Регулярное резервное копирование с ротацией.
  • Своевременное обновление системного и прикладного ПО (unattended-upgrades).
  • Минимальная длина пароля при регистрации — 12 символов.
  • Маскирование содержимого форм с ПДн от записи в Webvisor (атрибут ym-hide-content).

Уровень защищённости ПДн — УЗ-4 (приказ ФСТЭК России № 21 от 18.02.2013).

8. Файлы cookie, локальное хранилище и согласие на веб-аналитику

Сайт использует:

  • Сессионные cookie системы аутентификации Better Auth — технически необходимые для поддержания авторизации зарегистрированного пользователя. Не требуют отдельного согласия по ст. 9 152-ФЗ (обработка для исполнения договора).
  • Запись в localStorage браузера с ключом cookie-consent — фиксирует выбор пользователя в cookie-баннере (значения accepted / declined). Запись не покидает устройство пользователя.
  • Cookies Яндекс.Метрики (_ym_*) — устанавливаются только после явного согласия пользователя (нажатие кнопки «Принять» в cookie-баннере). До согласия скрипт Метрики не загружается.

Cookie-баннер и opt-in

При первом визите Сайта показывается cookie-баннер с двумя кнопками: «Принять» и «Отклонить».

  • «Принять» — даётся согласие на обработку ПДн в Целях 3 (Яндекс.Метрика, включая Webvisor). Скрипт Метрики загружается, начинают устанавливаться cookies _ym_*.
  • «Отклонить» — Метрика не подключается, поведенческие данные не собираются. Сайт продолжает работать в полном объёме.

Отзыв согласия

Пользователь может отозвать согласие в любое время:

  1. Очистить запись cookie-consent в локальном хранилище браузера (DevTools → Application → Local Storage) и удалить cookies _ym_* для домена daman.tools. При следующем визите cookie-баннер появится снова.
  2. Использовать функцию очистки сайтов в настройках браузера.
  3. Использовать функцию приватного режима / режима инкогнито.

Аналитические, рекламные и трекинговые cookie сторонних сервисов, кроме перечисленных выше, не используются.

9. Уведомление поисковых систем (IndexNow)

Сайт использует протокол IndexNow для уведомления поисковых систем (Yandex, Bing, Naver, Seznam, Yep и партнёры) о появлении или обновлении страниц. По протоколу передаются только URL страниц Сайта — никакие персональные данные пользователей в IndexNow не передаются. Раздел приведён исключительно для прозрачности; обработкой ПДн не является.

10. Права субъекта персональных данных

В соответствии со ст. 14–21 152-ФЗ субъект имеет право:

  • Получить сведения об обработке своих ПДн.
  • Требовать уточнения, блокирования или уничтожения своих ПДн.
  • Отозвать согласие на обработку ПДн.
  • Обжаловать действия Оператора в Роскомнадзоре и в судебном порядке.

Способы реализации прав

  1. Удаление аккаунта. В личном кабинете доступна функция «Удалить аккаунт». После её вызова данные помечаются к удалению и через 30 дней безвозвратно уничтожаются (кроме сведений, требуемых законом для налоговой и бухгалтерской отчётности). В течение grace period пользователь может отменить удаление, обратившись в поддержку.
  2. Запросы и обращения. Любой запрос, связанный с правами субъекта (копия данных, уточнение, блокирование, отзыв согласия), направляется на адрес support@daman.tools с адреса, указанного при регистрации. Срок ответа Оператора — 30 дней с даты получения запроса (ч. 1 ст. 20 152-ФЗ).
  3. Жалоба в надзорный орган. Субъект вправе обратиться в территориальное управление Роскомнадзора по Северо-Западному федеральному округу: 190098, Санкт-Петербург, ул. Галерная, д. 27, литера А.

11. Отзыв согласия

Субъект может отозвать согласие на обработку ПДн в любое время:

  • Цели 1 и 2 (учётная запись, безопасность): удалив аккаунт или направив запрос на support@daman.tools. После отзыва Оператор прекращает обработку в течение 30 рабочих дней, за исключением данных, обработка которых осуществляется на ином правовом основании (исполнение договора, законный интерес, требования законодательства).
  • Цель 3 (Яндекс.Метрика): очистив запись cookie-consent в localStorage браузера и cookies _ym_* (см. раздел 8). Сбор Метрикой прекращается немедленно при следующей загрузке Сайта.

12. Несовершеннолетние пользователи

Сервис не предназначен для использования лицами, не достигшими 18 лет. Оператор не собирает намеренно данные несовершеннолетних. При обнаружении таких данных они удаляются.

13. Изменения Политики

Оператор вправе вносить изменения в Политику. Актуальная версия всегда размещается по адресу https://daman.tools/privacy с указанием даты публикации и версии. Пользователю рекомендуется периодически проверять страницу на наличие обновлений.

Связанные материалы