Редакция от 10 мая 2026 г. Вступает в силу с 10 мая 2026 г. В соответствии с Федеральным законом № 152-ФЗ «О персональных данных».
1.1. Настоящая Политика определяет порядок обработки и защиты персональных данных (далее — ПД) пользователей сервиса TenderPulse (далее — Сервис), размещённого по адресу https://pulsetender.ru.
1.2. Использование Сервиса означает согласие пользователя с настоящей Политикой и условиями обработки его персональных данных.
1.3. В случае несогласия с условиями пользователь должен прекратить использование Сервиса.
1.4. Настоящая Политика распространяется исключительно на Сервис pulsetender.ru. Ссылки на сторонние сайты (ЕИС, площадки, агрегаторы) на нашу Политику не распространяются.
2.1. Оператором персональных данных является индивидуальный предприниматель Джафаров Виталий Талатович, осуществляющий деятельность под торговым наименованием TenderPulse.
Реквизиты Оператора:
ИП Джафаров Виталий Талатович
ИНН: 311702687045
ОГРНИП: 326310000040354
Дата регистрации ИП: 15.05.2026
ОКВЭД основной: 62.01 — Разработка компьютерного программного обеспечения
Адрес регистрации: 309640, Белгородская область, Новооскольский район, ул. Молодежная, д. 4
Email для обращений по обработке ПД: support@pulsetender.ru
Регистрационный номер в реестре операторов персональных данных Роскомнадзора будет указан после получения уведомления (заявка подана 2026-05-17, ориентировочный срок 30 дней).
2.2. Адрес электронной почты для обращений по вопросам обработки ПД: support@pulsetender.ru
2.3. Функции ответственного за обработку ПД исполняет непосредственно Оператор.
2.4. TenderPulse предназначен для предпринимательской деятельности. Мы не обрабатываем данные лиц младше 18 лет. Если вам известно о регистрации несовершеннолетнего, направьте обращение на support@pulsetender.ru — аккаунт будет закрыт.
3.1. Учётные данные: адрес электронной почты, пароль (в виде bcrypt-хэша, cost-factor 12 — исходный пароль мы не храним), номер телефона (при указании).
3.2. Профильные и деловые данные: ФИО или имя, наименование организации, ИНН, регион деятельности, налоговая система (УСН / ОСНО и т.д.), роль в компании, специализация по ОКПД2, ставки накладных расходов и прибыли (rate cards).
3.3. Данные о поведении в Сервисе: сохранённые фильтры поиска, избранные тендеры, скрытые тендеры, сохранённые поисковые запросы, история поиска.
3.4. Данные AI-анализа: результаты анализа тендеров (включая оценку маржи, комментарии модели), пользовательские примечания к тендерам (product_note), жизненный цикл заявок (ставка, дата, результат).
3.5. Настройки уведомлений: Telegram Chat ID (при подключении), предпочтения по типам уведомлений и расписанию.
3.6. Данные об использовании AI: агрегированная статистика (количество вызовов, сумма в USD, временные метки). Текст конкретных запросов к AI не хранится как персональные данные в нашей БД.
3.7. Технические данные: IP-адрес при входе и запросах, User-Agent браузера, временные метки действий, cookies (см. раздел 11).
3.8. Финансовые данные: метаданные платежей (ID транзакции ЮKassa, сумма, статус, тариф). Реквизиты банковских карт мы не обрабатываем и не храним — они принимаются напрямую ЮKassa.
3.9. Данные обращений в поддержку: текст обращения, вложения, переписка.
3.10. Данные согласий: тип согласия, дата и время выдачи, версия документа, IP-адрес.
4.1. Идентификация пользователя при регистрации и авторизации.
4.2. Предоставление доступа к функциям Сервиса согласно тарифу.
4.3. Информирование о тендерах, соответствующих сохранённым фильтрам.
4.4. Отправка транзакционных сообщений (подтверждение email, восстановление пароля, уведомления).
4.5. Проведение AI-анализа тендеров: данные о специализации пользователя и rate cards передаются в модель для персонализации результата (см. раздел 8).
4.6. Обработка обращений в поддержку.
4.7. Проведение платежей и выполнение обязательств по подписке.
4.8. Исполнение требований законодательства РФ (в том числе 152-ФЗ, НК РФ, Федерального закона № 402-ФЗ «О бухгалтерском учёте»).
4.9. Выявление и предотвращение мошеннических действий.
5.1. Согласие субъекта ПД (ст. 6 ч. 1 п. 1 152-ФЗ), выраженное при регистрации.
5.2. Исполнение договора (Публичная оферта TenderPulse), стороной которого является субъект ПД (ст. 6 ч. 1 п. 5 152-ФЗ).
5.3. Исполнение обязанностей, предусмотренных законодательством РФ (ст. 6 ч. 1 п. 2 152-ФЗ).
Статья 14 и следующие статьи 152-ФЗ предоставляют вам следующие права. Для каждого права указан конкретный способ его реализации в Сервисе.
Право на доступ к своим данным (ст. 14 152-ФЗ)
Вы можете получить машиночитаемый JSON-архив всех ваших персональных данных, которые мы обрабатываем.
Как воспользоваться: отправьте запрос на endpoint POST /api/users/me/data-export (доступно из личного кабинета — Настройки → Мои данные). Архив формируется немедленно.
Ограничение частоты: не более одного экспорта за 24 часа. Причина: для защиты от автоматизированного сбора данных через этот endpoint.
Право на удаление (ст. 21 152-ФЗ)
Вы можете потребовать удаления вашего аккаунта и всех связанных персональных данных.
Как воспользоваться: отправьте запрос на endpoint POST /api/users/me/data-deletion-request (доступно в Настройки → Удаление аккаунта).
Срок исполнения: удаление выполняется автоматически не позднее чем через 30 дней с момента запроса (в соответствии со ст. 21 152-ФЗ). 30-дневный период предоставляется для урегулирования возможных споров по платежам.
Отмена: до истечения 30-дневного периода вы можете отозвать запрос через endpoint POST /api/users/me/data-deletion-request/cancel или обратившись на support@pulsetender.ru.
Что сохраняется после удаления: финансовые записи (6 лет — НК РФ), данные о согласиях (3 года — для доказательства законности обработки), криптографический хэш email (SHA-256) в таблице аудита — без возможности восстановить исходный адрес. Подробнее — в разделе 7.
Право на исправление данных (ст. 15 152-ФЗ)
Вы можете в любое время исправить неточные данные самостоятельно.
Как воспользоваться: через страницы «Профиль» и «Настройки» в личном кабинете. Если исправление требует изменения email — обратитесь на support@pulsetender.ru. Срок ответа: в течение 7 рабочих дней.
Право на ограничение обработки (ст. 18.1 152-ФЗ)
Вы можете потребовать приостановления обработки ваших ПД в случаях, предусмотренных законом (например, пока оспаривается точность данных).
Как воспользоваться: направьте письменный запрос на support@pulsetender.ru с указанием основания. Срок рассмотрения: 30 дней.
Право на возражение и отзыв согласия (ст. 9 ч. 2 152-ФЗ)
Вы можете отозвать согласие на обработку ПД. Отзыв согласия влечёт прекращение обработки и (по выбору пользователя) удаление аккаунта.
Как воспользоваться: направьте запрос на support@pulsetender.ru или воспользуйтесь формой удаления аккаунта (см. право на удаление выше). Обработка прекращается в течение 30 дней, кроме данных, хранение которых обязательно по закону.
Право на обжалование
Если вы считаете, что Оператор нарушает ваши права, вы можете обратиться в Роскомнадзор (www.rkn.gov.ru) или в суд по месту вашего нахождения.
7.1. Данные активного аккаунта — обрабатываются в течение всего срока действия аккаунта.
7.2. После удаления аккаунта:
— AI-анализы тендеров, сохранённые фильтры, избранные, скрытые, rate cards, настройки уведомлений — удаляются немедленно (каскадное удаление).
— Данные обращений в поддержку — удаляются немедленно.
— Финансовые записи (платежи, подписки) — хранятся 6 лет с момента транзакции (ст. 23 НК РФ, ст. 29 Федерального закона № 402-ФЗ). Запись обезличена (связь с пользователем разрывается через FK SET NULL).
— Записи о согласиях (user_consents) — хранятся 3 года после удаления аккаунта. Это необходимо, чтобы мы могли доказать регулятору, что обработка велась с согласия субъекта (ст. 9 152-ФЗ).
— Криптографический хэш email (SHA-256 от нижнего регистра адреса) в таблице users_deleted_archive — хранится 6 лет для аудита (ст. 7 152-ФЗ). Хэш необратим: восстановить email по хэшу невозможно без перебора. Исходный email не хранится.
— Журналы административных действий (audit_log) — хранятся 3 года.
— Журнал запросов на экспорт и удаление (data_privacy_requests) — хранится 6 лет (аудит соответствия 152-ФЗ).
7.3. Технические журналы (IP, User-Agent, временные метки запросов к API) — 90 дней.
7.4. По истечении сроков хранения данные удаляются или анонимизируются.
8.1. Оператор не продаёт персональные данные третьим лицам. Передача происходит только в объёме, необходимом для работы Сервиса.
8.2. Перечень третьих лиц (субпроцессоров):
Anthropic PBC (США) — через OpenRouter
Цель: AI-анализ тендеров. Передаём: текст технического задания тендера (до 32 тыс. символов), выдержки из договора и извещения, пользовательские примечания (product_note), регион, ставки накладных расходов. Персональные идентификаторы пользователя (email, имя) не передаются.
Политика конфиденциальности: anthropic.com/legal/privacy
OpenRouter (США)
Цель: маршрутизация запросов к языковым моделям (промежуточный прокси между нашим сервером и Anthropic). Передаём те же данные, что и Anthropic выше.
Политика конфиденциальности: openrouter.ai/privacy
Tavily (США)
Цель: веб-поиск для верификации данных тендеров AI-моделью. Передаём: поисковые запросы, сформированные на основе содержания тендера (на русском языке). Персональные данные пользователя не передаются.
Политика конфиденциальности: tavily.com/privacy
DaData (Россия)
Цель: обогащение данных о заказчике по ИНН (наименование организации, реквизиты). Передаём: ИНН заказчика тендера (публичные данные ЕГРЮЛ).
Политика конфиденциальности: dadata.ru/legal/policy
ЮKassa / ООО НКО «ЮMoney» (Россия)
Цель: обработка платежей. Передаём: email пользователя (для чека), сумма, идентификатор заказа. Банковские карты обрабатываются напрямую ЮKassa, мы их не видим.
Политика конфиденциальности: yookassa.ru/docs/support
Яндекс 360 SMTP (Россия)
Цель: доставка транзакционных писем (подтверждение email, восстановление пароля, уведомления о тендерах). Передаём: email адресата, текст письма.
Политика конфиденциальности: yandex.ru/legal/confidential
sms.ru (Россия)
Цель: отправка SMS-кодов верификации телефона. Передаём: номер телефона пользователя, текст кода.
Политика конфиденциальности: sms.ru/privacy
RuVDS (Россия, Москва)
Цель: хостинг серверной инфраструктуры и баз данных. IP сервера: 194.87.236.182. Физически данные размещены в России.
Политика конфиденциальности: ruvds.com/ru/privacy
Selectel S3 (Россия, СПб/Москва)
Цель: внешнее объектное хранилище для шифрованных (GPG, ключ только у Оператора) копий баз данных. Удалённый доступ только у Оператора. Срок хранения 90 дней, далее автоматическое удаление.
Политика конфиденциальности: selectel.ru/about/personal-data
Sentry (США / Ирландия) — мониторинг ошибок
Цель: автоматическая фиксация исключений серверной и клиентской частей Сервиса для устранения дефектов. Передаём: тип ошибки, стек, хэш идентификатора пользователя (SHA-256, не сам ID), маршрут запроса, временна́я метка. Не передаём email, телефон, ИНН, JWT-токены, пароли, тело запросов /auth/*, /billing/*, /password-reset, /2fa, /api-keys — всё это удаляется на стороне клиента/сервера ДО отправки события (см. функцию _scrub_pii в app/observability/sentry_init.py). По умолчанию интеграция выключена; включается только после явной настройки серверных правил Data Scrubbing на стороне Sentry.
Политика конфиденциальности: sentry.io/privacy
Яндекс.Метрика (Россия)
Цель: статистика посещений (количество визитов, источники переходов, географические агрегаты). Передаются обезличенные cookies/идентификаторы браузера; персональные данные пользователя (email, ИНН, телефон) НЕ передаются. Режим «Вебвизор» (запись действий с DOM/клавиатурой) — отключён. По умолчанию интеграция выключена; включается только после явной настройки VITE_YANDEX_METRIKA_ID.
Политика конфиденциальности: yandex.ru/legal/metrica_termsofuse
8.3. Что НИКОГДА не передаётся третьим лицам: пароли (даже хэши), секреты двухфакторной аутентификации, номера банковских карт (мы их не обрабатываем).
9.1. Основная база данных (PostgreSQL) и резервные копии размещены на серверах RuVDS в Москве, Россия. Все персональные данные, согласно ст. 18.1 152-ФЗ, первично собираются и хранятся на территории РФ.
9.2. Трансграничная передача осуществляется в следующих случаях:
— AI-анализ тендеров: фрагменты данных тендеров и пользовательских настроек передаются в Anthropic (США) и через OpenRouter (США). Передача производится на основании согласия, полученного при регистрации.
— Веб-поиск: поисковые запросы передаются в Tavily (США). Передача производится на основании того же согласия.
— Мониторинг ошибок (только когда включён, см. п. 8.2): обезличенные события об ошибках Сервиса передаются в Sentry (США/Ирландия) после удаления персональных данных функцией _scrub_pii.
9.3. Со стороны Anthropic, OpenRouter, Tavily и Sentry — юрисдикция США/ЕС. Уровень защиты может отличаться от российского. Принимая условия Сервиса, вы даёте согласие на такую передачу.
9.4. Резервное копирование: ежедневные копии базы данных на VPS-сервере RuVDS (хранение 7 дней) и еженедельные шифрованные копии (GPG) на внешнее объектное хранилище Selectel S3 (РФ, хранение 90 дней). Резервные копии используются только для аварийного восстановления.
10.1. Шифрование трафика: TLS 1.2/1.3 (сертификат Let's Encrypt).
10.2. Пароли: bcrypt-хэш с cost-factor 12. Исходный пароль не хранится.
10.3. Секреты TOTP (2FA): шифруются AES-256-GCM перед записью в базу данных.
10.4. Доступ к базе данных ограничен локальной сетью сервера.
10.5. Ограничение частоты запросов (rate limiting): Бесплатный — 50 запросов/мин, Pro — 200 запросов/мин, Business — 500 запросов/мин. Попытки авторизации: не более 5/мин с одного IP.
10.6. Защита от SSRF (Server-Side Request Forgery): блокировка обращений к приватным IP-диапазонам; принудительное разрешение DNS с проверкой IP при перенаправлениях.
10.7. Журнал аудита: все административные действия в отношении ПД фиксируются в audit_log с указанием исполнителя, времени и контекста.
10.8. Регулярное обновление системного ПО и зависимостей, включая зависимости с выявленными CVE.
11.1. Сервис использует cookies следующих категорий:
— Необходимые: авторизация, сессия, настройки темы. Не требуют согласия.
— Аналитические: агрегированная статистика использования. При включённой интеграции с Яндекс.Метрикой (см. п. 8) cookies счётчика устанавливаются на стороне сервиса Яндекса. Режим «Вебвизор» отключён, персональные данные пользователя (email, ИНН, телефон) в Метрику не передаются.
11.2. Пользователь управляет согласием через баннер cookies при первом посещении. Аналитические cookies можно отключить без потери функциональности.
11.3. Google Analytics не используется. Интеграция с Яндекс.Метрикой включается оператором условно, по умолчанию отключена. Список подключённых сторонних обработчиков всегда отражён в п. 8 настоящей Политики.
12.1. Оператор вправе изменять настоящую Политику. Актуальная редакция публикуется по адресу https://pulsetender.ru/privacy. Дата редакции указана в начале документа.
12.2. О существенных изменениях пользователи уведомляются по email не позднее чем за 10 рабочих дней до вступления изменений в силу.
12.3. История изменений документа отражена в git-истории репозитория. Архив предыдущих редакций специально не ведётся; если вам необходима предыдущая версия — направьте запрос на support@pulsetender.ru.
По всем вопросам обработки персональных данных: support@pulsetender.ru
Для юридических лиц, заключающих Business-подписку: Шаблон договора о совместной обработке данных (DPA)
Мы используем cookies для работы авторизации и сохранения настроек. Дополнительно — обезличенная аналитика использования. Подробнее в политике конфиденциальности.