Политика конфиденциальности

Версия 2.1 Дата: 21 февраля 2026 г.

Связанные документы: Согласие на обработку ПДн Политика обработки ПДн Пользовательское соглашение Соглашение об уровне обслуживания

1. Общие положения

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок сбора, хранения, использования и защиты персональных данных пользователей интернет-сервиса LEXARA (далее — «Сервис»), предоставляемого Обществом с ограниченной ответственностью «ЛЕКСАРА» (регистрация в процессе оформления), далее — «Оператор».

Политика разработана во исполнение требований:

Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите ПДн»;
Приказа ФСТЭК России от 18.02.2013 № 21 (в части применимых мер защиты);
Общего регламента Европейского союза по защите данных (GDPR, Regulation (EU) 2016/679) — применительно к пользователям, находящимся в государствах ЕС.

Использование Сервиса означает, что Пользователь ознакомился с настоящей Политикой и принял её условия. Пользователь, не согласный с условиями Политики, обязан прекратить использование Сервиса.

Более подробно порядок обработки персональных данных, правовые основания и меры защиты описаны в Политике в отношении обработки персональных данных, которая является неотъемлемой частью системы документов Оператора в области персональных данных.

2. Оператор персональных данных

Наименование: ООО «ЛЕКСАРА»
Регистрационные данные: регистрация в процессе оформления
Юридический адрес: Российская Федерация (точный адрес размещения оператора уточняется на странице lexara.ru/about)
Контактный адрес по вопросам ПДн: privacy@lexara.ru
Ответственный за организацию обработки ПДн: назначается приказом оператора, актуальные контакты: privacy@lexara.ru

3. Категории персональных данных

3.1. Данные, предоставляемые Пользователем

Категория данных	Цель сбора	Обязательность
Адрес электронной почты	Регистрация, идентификация, уведомления	Обязательно
Имя и фамилия	Персонализация, идентификация в Сервисе	Обязательно
Пароль (bcrypt-хеш)	Аутентификация	Обязательно
Номер телефона	Дополнительная верификация, связь	Опционально
Наименование организации	Корпоративный профиль, выставление документов	Опционально
Данные о транзакциях*	Обработка платежей, бухгалтерский учёт	При оплате

* Полные реквизиты банковских карт (номер, CVV) на серверах Оператора не хранятся. Обработка производится сертифицированными платёжными провайдерами (ЮKassa, АО «Тинькофф Банк»), соответствующими стандарту PCI DSS.

3.2. Данные, собираемые автоматически

Категория данных	Цель сбора
IP-адрес	Безопасность, геолокация, юридическая значимость протокола документирования
Тип и версия браузера, операционная система	Техническое обеспечение, включение в протокол документирования
Разрешение экрана и параметры дисплея	Включение в протокол документирования для юридической достоверности
Дата, время, часовой пояс запросов	Временны́е метки протоколов, журналирование
URL фиксируемых страниц	Основной объект оказываемой услуги
Файлы cookie (accessToken, refreshToken, cookieConsent, i18nextLng)	Управление сессией, языковые настройки

4. Правовые основания обработки

Основание	Применяемые операции
Согласие субъекта (ст. 6 ч. 1 п. 1, ст. 9 № 152-ФЗ)	Обработка данных профиля, маркетинговые коммуникации, cookie
Исполнение договора (ст. 6 ч. 1 п. 5 № 152-ФЗ)	Предоставление услуг, аутентификация, обработка платежей
Законодательная обязанность (ст. 6 ч. 1 п. 3 № 152-ФЗ)	Хранение финансовых документов, исполнение запросов госорганов
Законный интерес (ст. 6 ч. 1 п. 5 № 152-ФЗ; ст. 6(1)(f) GDPR)	Безопасность Сервиса, предотвращение мошенничества, журналирование

5. Cookies и управление сессиями

        Важно: Функциональные cookies (accessToken, refreshToken) необходимы для входа в личный кабинет и использования Сервиса. Без них базовая функциональность недоступна.
    

5.1. Типы используемых cookies

Название	Тип	Срок	Назначение
accessToken	Строго необходимый	15 минут	Аутентификация сессии (httpOnly, Secure, SameSite=Lax)
refreshToken	Строго необходимый	7 дней	Обновление сессии (httpOnly, Secure, SameSite=Lax)
cookieConsent	Функциональный	1 год	Запись факта ознакомления с уведомлением о cookies
i18nextLng	Функциональный	1 год	Сохранение языковых предпочтений

5.2. Технические меры защиты сессий

HttpOnly — токены недоступны для JavaScript, что устраняет уязвимость XSS;
Secure — передача исключительно по HTTPS (TLS 1.3);
SameSite=Lax — защита от межсайтовых атак (CSRF);
Ротация refresh-токенов — выдача нового токена при каждом обновлении сессии;
Короткий срок действия access-токена — 15 минут с автоматическим обновлением.

6. Обработка платежей

Для приёма платежей Оператор использует сертифицированных платёжных провайдеров, соответствующих стандарту PCI DSS: ЮKassa (ООО «ЮКАССА») и АО «Тинькофф Банк». Оператор не хранит и не обрабатывает полные номера банковских карт, CVV/CVC-коды и PIN-коды.

Оператор сохраняет следующие данные о транзакциях: идентификатор транзакции, сумма и валюта, дата и время, статус (успешно/отклонено), последние 4 цифры карты для идентификации.

7. Передача персональных данных третьим лицам

Оператор не продаёт персональные данные и не передаёт их третьим лицам в коммерческих целях. Передача возможна исключительно в следующих случаях:

Платёжные провайдеры — в объёме, необходимом для проведения транзакции;
Инфраструктурные провайдеры — хостинг, облачное хранение (серверы на территории РФ);
Уполномоченные органы государственной власти — суды, органы прокуратуры, следственные органы, ФСБ России, Роскомнадзор — по законным запросам в установленном процессуальным законодательством порядке.

Трансграничная передача персональных данных в государства, не включённые в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, не осуществляется.

8. Сроки хранения персональных данных

Категория данных	Срок хранения	Основание
Данные учётной записи	До удаления аккаунта + 30 дней	Согласие, исполнение договора
Протоколы документирования веб-контента	5 лет с момента создания	Законодательство об архивном деле, доказательственное значение
Данные о транзакциях и платёжные документы	5 лет	Федеральный закон № 402-ФЗ «О бухгалтерском учёте»
Журналы безопасности (access-логи)	1 год	Законный интерес Оператора
Cookie accessToken	15 минут	Техническая необходимость
Cookie refreshToken	7 дней	Техническая необходимость

9. Защита персональных данных

Оператор реализует комплекс организационных и технических мер защиты:

Шифрование данных при передаче (TLS 1.3);
Необратимое хеширование паролей (bcrypt с индивидуальной солью);
Изоляция баз данных в закрытых сетевых сегментах;
Регулярное резервное копирование с проверкой целостности;
Мониторинг и журналирование событий безопасности;
Ограничение доступа персонала по принципу минимальных привилегий;
Регулярные оценки защищённости и устранение уязвимостей.

10. Права Пользователя

В соответствии с № 152-ФЗ Пользователь вправе:

Получить доступ к своим персональным данным и информации об их обработке (ст. 14);
Требовать уточнения неполных, неточных или устаревших данных (ст. 21);
Требовать уничтожения данных при отсутствии законных оснований для их обработки (ст. 21);
Отозвать согласие на обработку (ст. 9 ч. 2);
Получить данные в структурированном машиночитаемом формате (право на портативность — для пользователей из ЕС в рамках GDPR);
Обратиться с жалобой в Роскомнадзор (rkn.gov.ru) или в суд (ст. 17).

Для реализации прав направьте запрос на: privacy@lexara.ru. Оператор рассмотрит обращение в срок, не превышающий 30 дней.

11. Положения для пользователей из ЕС (GDPR)

Пользователи, находящиеся в государствах — членах Европейского союза, вправе дополнительно:

обратиться с жалобой в надзорный орган в области защиты данных по месту своего проживания;
требовать ограничения обработки данных в случаях, предусмотренных ст. 18 GDPR;
возражать против обработки данных, осуществляемой на основании законного интереса (ст. 21 GDPR).

Правовые основания обработки по GDPR: согласие (ст. 6(1)(a)), исполнение договора (ст. 6(1)(b)), законный интерес (ст. 6(1)(f)), соблюдение юридических обязательств (ст. 6(1)(c)).

12. Изменения настоящей Политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная версия всегда доступна по адресу lexara.ru/privacy-policy. О существенных изменениях Пользователь будет уведомлён посредством интерфейса Сервиса или по адресу электронной почты, указанному при регистрации, не менее чем за 10 дней до их вступления в силу.

13. Контактная информация

Оператор: ООО «ЛЕКСАРА»
Адрес: Российская Федерация (точный адрес уточняется на странице lexara.ru/about)
E-mail для обращений по вопросам ПДн: privacy@lexara.ru
Ответственный за организацию обработки ПДн: назначается приказом оператора, актуальные контакты: privacy@lexara.ru