WWeCase Analytics
ВойтиНачать бесплатно

Соглашение об обработке данных (DPA)

Data Processing Agreement · 152-ФЗ «О персональных данных»

Редакция от 23 апреля 2026 г.

Стороны:

Оператор — ИП Зугунов Магомед Мурадович, ИНН 054705387733, ОГРНИП 321057100101671 (далее — «WeCase»).
Заказчик — юридическое лицо или ИП, использующее сервис WeCase Analytics на основании публичной Оферты.

1. Предмет соглашения

1.1. Настоящее соглашение регулирует порядок обработки WeCase персональных данных (далее — ПД), переданных Заказчиком в процессе использования сервиса.

1.2. WeCase выступает в роли обработчика (processor) персональных данных. Заказчик является оператором (controller) в отношении ПД своих клиентов и сотрудников.

2. Категории обрабатываемых данных

2.1. В рамках сервиса обрабатываются следующие категории данных:

  • Данные пользователя сервиса: email, хеш пароля, имя (если указано), IP-адрес сессии, тип устройства.
  • API-ключи маркетплейсов: зашифрованные токены доступа к Wildberries, Ozon, Яндекс Маркет. Хранятся в БД в зашифрованном виде (Fernet/AES-128-CBC).
  • Бизнес-данные: SKU, цены, себестоимость, остатки, выручка, заказы, история продаж. Получены из API маркетплейсов.
  • Платёжные данные: суммы и даты платежей через YooKassa. Данные карт не хранятся — токенизация полностью на стороне YooKassa.
  • Данные рефералов: email приглашённых, с маскированием для публичного просмотра.

3. Цели обработки

3.1. Обработка осуществляется исключительно для:

  • Оказания услуг сервиса аналитики (расчёт показателей, построение отчётов)
  • Транзакционной коммуникации (чеки, уведомления о подписке, технические оповещения)
  • Технической поддержки и устранения инцидентов
  • Исполнения требований законодательства (54-ФЗ, 402-ФЗ, 152-ФЗ)

3.2. Данные НЕ передаются третьим лицам для маркетинговых целей, не продаются, не используются для обучения ИИ-моделей за пределами аккаунта Заказчика.

4. Технические и организационные меры защиты

  • Шифрование при передаче: TLS 1.2+ для всех соединений (HTTPS)
  • Шифрование при хранении: API-ключи маркетплейсов — AES-128-CBC (Fernet). БД защищена на уровне файловой системы сервера
  • Аутентификация: JWT-токены с ограниченным временем жизни (60 мин access, 30 дней refresh), хеширование паролей bcrypt с индивидуальной солью
  • Изоляция данных: каждый Заказчик видит только свои данные через row-level фильтры в каждом запросе
  • Резервное копирование: каждые 6 часов, off-site шифрованное хранение
  • Аудит: все административные действия и платёжные операции логируются в отдельной таблице
  • Rate limiting: защита от брутфорса и DoS-атак на всех чувствительных endpoints

5. Субобработчики

5.1. Для оказания услуг WeCase привлекает следующих субобработчиков:

  • YooKassa (ООО «НКО ЮMoney») — обработка платежей, токенизация карт
  • Resend (Resend Inc., США) — транзакционная email-рассылка
  • Cloudflare Inc. — защита от DDoS, прокси для сторонних API
  • Хостинг-провайдер российской юрисдикции — размещение серверов с данными

5.2. С каждым субобработчиком заключены соответствующие соглашения о защите данных. Полный список и условия доступны по запросу на support@analytics-wecase.ru.

6. Срок хранения

6.1. Персональные данные пользователя — в течение срока действия учётной записи + 1 год.

6.2. Финансовые документы (чеки, акты, платёжная история) — не менее 5 лет в соответствии со ст. 29 402-ФЗ «О бухгалтерском учёте».

6.3. При удалении аккаунта WeCase производит анонимизацию/удаление ПД в течение 30 календарных дней. Финансовые документы сохраняются с обезличиванием привязки к пользователю.

7. Права субъектов ПД

7.1. Субъект ПД имеет право:

  • Получить информацию об обрабатываемых ПД
  • Требовать уточнения, блокирования или уничтожения ПД
  • Отозвать согласие на обработку
  • Обратиться в Роскомнадзор при нарушении прав

7.2. Запросы обрабатываются в течение 30 календарных дней. Канал: support@analytics-wecase.ru.

8. Уведомление об инцидентах

8.1. В случае утечки или несанкционированного доступа к ПД WeCase обязуется уведомить Заказчика в течение 72 часов с момента обнаружения инцидента с указанием: характера инцидента, затронутых категорий ПД, мер по устранению и минимизации последствий.

9. Трансграничная передача

9.1. Первичное хранение ПД — серверы на территории РФ.

9.2. Некоторые субобработчики (Resend, Cloudflare) обрабатывают отдельные категории данных на территории других стран в соответствии с Приказом Роскомнадзора №274 от 2015 г.

Для заключения индивидуального DPA на условиях, отличающихся от настоящего соглашения, свяжитесь с нами: support@analytics-wecase.ru.