Политика конфиденциальности

2.1. QAstra — веб-платформа для управления QA-процессами, проектами и командами, API-тестирования, работы с OpenAPI/BPMN-артефактами, тест-кейсами, чек-листами, сценариями, запусками, метриками, технической поддержкой и AI-помощником.

2.2. Пользователь самостоятельно определяет состав материалов, которые загружает в Сервис: проекты, спецификации, тесты, комментарии, вложения, обращения, переменные, токены тестовых окружений и AI-запросы. Пользователь обязан иметь законное основание для передачи таких данных в Сервис.

2.3. Если Пользователь действует от имени организации, он подтверждает наличие полномочий и обязан обеспечить, чтобы использование Сервиса не нарушало внутренние правила такой организации, договоры с третьими лицами и применимое законодательство.

2.4. Сервис не предназначен для хранения государственной тайны, коммерческой тайны без надлежащего режима, медицинских данных, биометрии, специальных категорий персональных данных и иной информации, для которой требуется специальный правовой режим, если Администрация сервиса отдельно письменно не подтвердила возможность такой обработки.

3.1. Данные аккаунта: имя или отображаемое имя, адрес электронной почты, хеш пароля, аватар, язык интерфейса, настройки внешнего вида, уведомления, роли, права доступа, данные двухфакторной аутентификации, активные сессии и история входов.

3.2. Рабочие данные: проекты, команды, задачи, истории, баги, чек-листы, тест-кейсы, BPMN-диаграммы, OpenAPI-спецификации, API-коллекции, окружения, переменные, сценарии, результаты запусков, отчеты, комментарии, вложения, страницы базы знаний и иные материалы, созданные или загруженные Пользователем.

3.3. Технические данные: IP-адрес, дата и время запросов, URL, тип браузера и устройства, идентификаторы сессий, cookies, localStorage-параметры, события безопасности, audit log, ошибки, показатели производительности, сведения о лимитах и технические журналы.

3.4. Платежные и тарифные данные: выбранный тариф, сумма, валюта, статус платежа, период подписки, промокод, идентификаторы заказа, счета и события платежного провайдера. Полные данные банковских карт Сервис не хранит, если иное прямо не предусмотрено используемым платежным провайдером.

3.5. Данные поддержки: тема обращения, текст сообщения, категория проблемы, вложения, история переписки, контактный email, технический контекст, статус тикета и действия сотрудников поддержки.

3.6. Данные AI-функций: текст запроса, выбранный проектный контекст, фрагменты спецификаций, тестов, результатов запусков, вложений и ответов модели, сведения о провайдере, модели, времени обработки, токенах, ошибках и лимитах.

4.1. Данные обрабатываются для регистрации и аутентификации Пользователя, предоставления доступа к функциям Сервиса, исполнения пользовательского соглашения и лицензионного соглашения, управления проектами и командами, работы QA/API-инструментов, поддержки, биллинга, уведомлений, безопасности, предотвращения злоупотреблений, аналитики качества продукта и исполнения требований законодательства.

4.2. Правовыми основаниями обработки являются согласие Пользователя, заключение и исполнение договора с Пользователем, необходимость осуществления прав и законных интересов Администрации сервиса, а также исполнение обязанностей, установленных законодательством РФ.

4.3. Обработка осуществляется с соблюдением принципов законности, справедливости, ограничения целей, минимизации, точности, ограниченного срока хранения и обеспечения безопасности, предусмотренных статьей 5 Федерального закона № 152-ФЗ.

4.4. Администрация сервиса не принимает решений, порождающих для Пользователя юридические последствия или иным образом существенно затрагивающих его права, исключительно на основании автоматизированной обработки персональных данных.

5.1. В Сервисе доступны AI-функции: генерация и анализ тест-кейсов, чек-листов, баг-репортов, сценариев, OpenAPI/BPMN-артефактов, API-тестов, объяснений запусков, аналитических сигналов, переводов и иных материалов.

5.2. Для формирования ответа AI-модели в запрос может включаться пользовательский текст и выбранный контекст проекта. Пользователь обязан самостоятельно исключать из AI-запросов секреты, персональные данные третьих лиц, ключи доступа, конфиденциальные документы и сведения, которые запрещено передавать внешним обработчикам.

5.3. AI-запросы могут обрабатываться внешними поставщиками моделей или шлюзами, выбранными Администрацией сервиса или администратором аккаунта: OpenAI-совместимые API, Anthropic, OpenRouter, Google Gemini, Mistral, DeepSeek, xAI, локальные или кастомные провайдеры. Конкретный провайдер зависит от настроек, доступности модели и выбранной функции.

5.4. Администрация сервиса использует технические записи об AI-запросах для отладки, лимитов, безопасности, биллинга и улучшения качества Сервиса. Такие записи могут включать тип функции, провайдера, модель, статус, время выполнения, укороченный текст запроса и ответа, ошибки и показатели использования.

5.5. AI-ответы являются вспомогательными. Пользователь обязан проверять их корректность, полноту, безопасность и пригодность для своего проекта до применения в работе, коде, документации или бизнес-процессах.

6.1. Сервис использует cookies, localStorage и аналогичные технологии для сессий, аутентификации, защиты от злоупотреблений, сохранения интерфейсных настроек, выбранного проекта, языка, темы, акцентного цвета и технической диагностики.

6.2. Пользователь может ограничить cookies настройками браузера, но отдельные функции Сервиса, включая вход, безопасность сессии и сохранение настроек, могут работать некорректно.

6.3. Обезличенная и агрегированная аналитика используется для оценки стабильности, производительности, востребованности функций, качества интерфейса и планирования развития Сервиса.

7.1. Администрация сервиса может передавать данные хостинг-провайдерам, поставщикам инфраструктуры, почтовым сервисам, платежным провайдерам, AI-провайдерам, сервисам мониторинга, аналитики и технической поддержки только в объеме, необходимом для работы Сервиса и достижения целей обработки.

7.2. Передача данных государственным органам, судам, правоохранительным органам и регуляторам осуществляется только в случаях и порядке, предусмотренных законодательством.

7.3. Трансграничная передача персональных данных возможна при использовании внешних инфраструктурных, платежных, почтовых или AI-провайдеров и осуществляется с учетом статьи 12 Федерального закона № 152-ФЗ. Если для такой передачи требуется отдельное действие или согласие, Администрация сервиса обеспечивает его получение либо ограничивает передачу.

7.4. Администрация сервиса не продает пользовательские проекты, персональные данные и AI-запросы третьим лицам.

8.1. Администрация сервиса принимает правовые, организационные и технические меры для защиты информации от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий в понимании статьи 16 Федерального закона № 149-ФЗ и статьи 19 Федерального закона № 152-ФЗ.

8.2. К таким мерам относятся разграничение прав доступа, аутентификация, двухфакторная аутентификация, хеширование паролей, TLS-соединения, журналирование событий безопасности, резервное копирование, контроль административных действий, ограничение доступа сотрудников и подрядчиков по принципу необходимости, мониторинг ошибок и реагирование на инциденты.

8.3. При определении состава мер защиты Администрация сервиса учитывает характер данных, актуальные угрозы, уровень защищенности информационных систем персональных данных по Постановлению Правительства РФ № 1119 и применимые организационные и технические меры из Приказа ФСТЭК России № 21.

8.4. Пользователь отвечает за сохранность своих учетных данных, резервных кодов, токенов, ключей API, паролей тестовых окружений и иных секретов, которые он размещает или использует в Сервисе.

9.1. Персональные данные хранятся не дольше, чем этого требуют цели обработки, договорные отношения, требования законодательства, защита прав Администрации сервиса и техническая необходимость восстановления Сервиса.

9.2. Рабочие данные проекта хранятся до удаления Пользователем, администратором аккаунта или Администрацией сервиса при прекращении доступа, если более длительный срок не требуется для исполнения закона, разрешения спора, восстановления после сбоя или предотвращения злоупотреблений.

9.3. Технические журналы, audit log, события безопасности, платежные события, письма и обращения поддержки могут храниться в течение сроков, необходимых для безопасности, бухгалтерского учета, налогового учета, защиты прав и подтверждения действий в Сервисе.

9.4. После достижения целей обработки данные удаляются, уничтожаются, блокируются или обезличиваются. Под обезличиванием понимаются действия, в результате которых невозможно без дополнительной информации определить принадлежность данных конкретному субъекту персональных данных.

9.5. Резервные копии удаляются по циклам ротации. Из-за особенностей резервного копирования данные могут сохраняться в backup-контуре ограниченное время после удаления из активной системы, но не используются для обычной обработки.

10.1. Пользователь вправе получать сведения об обработке своих персональных данных, требовать уточнения, блокирования или уничтожения данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

10.2. Пользователь вправе отозвать согласие на обработку персональных данных. Отзыв согласия может повлечь невозможность дальнейшего предоставления отдельных функций или всего Сервиса, если обработка необходима для исполнения договора или требований законодательства.

10.3. Пользователь вправе направить запрос Администрации сервиса через интерфейс поддержки или контактные каналы, указанные в Сервисе. Запрос должен позволять идентифицировать Пользователя и его аккаунт.

10.4. Пользователь вправе обжаловать действия или бездействие Администрации сервиса в уполномоченный орган по защите прав субъектов персональных данных или в суд в порядке, установленном законодательством РФ.

11.1. Пользователь обязуется предоставлять достоверные данные, своевременно обновлять сведения аккаунта, не передавать доступ третьим лицам, не загружать запрещенные материалы и не использовать Сервис для незаконной обработки персональных данных.

11.2. Если Пользователь загружает данные третьих лиц, он самостоятельно отвечает за получение согласий, уведомлений, договорных оснований или иных правовых оснований для такой обработки и передачи данных в Сервис.

11.3. Пользователь обязан незамедлительно уведомить Администрацию сервиса о подозрении на компрометацию аккаунта, утечку токенов, несанкционированный доступ или инцидент безопасности, связанный с использованием Сервиса.

12.1. Администрация сервиса вправе изменять Политику при развитии Сервиса, изменении законодательства, состава обработчиков, практик безопасности, AI-функций, тарифов или бизнес-процессов. Новая редакция публикуется на странице https://qastra.app/legal/privacy.

12.2. Пользователь соглашается, что Администрация сервиса может вносить изменения в Политику без повторного индивидуального подписания документа. Продолжение использования Сервиса после публикации новой редакции означает принятие измененной Политики, если законодательство не требует отдельного согласия.

12.3. По вопросам обработки персональных данных Пользователь может обратиться через форму технической поддержки или иные контактные каналы, опубликованные в Сервисе.