Политика конфиденциальности

2.1. QAstra — веб-платформа для QA-работы, управления проектами и командами, API-тестирования, работы с OpenAPI/BPMN-артефактами, тест-кейсами, чек-листами, сценариями, запусками, метриками, поддержкой и AI-помощником.

2.2. Пользователь самостоятельно определяет состав данных, которые он загружает в проекты, спецификации, тесты, запросы, комментарии, вложения и AI-запросы. Пользователь обязан не загружать в Сервис персональные данные третьих лиц без законного основания.

2.3. Если Пользователь использует Сервис от имени организации, он подтверждает наличие полномочий и обязан обеспечить законность передачи данных такой организации в Сервис.

3.1. Администратор может обрабатывать следующие данные аккаунта: имя, адрес электронной почты, пароль в виде хеша, аватар, язык интерфейса, настройки профиля, сведения о командах, проектах, ролях и правах доступа.

3.2. При использовании Сервиса обрабатываются рабочие данные: проекты, команды, задачи, истории, баги, чек-листы, тест-кейсы, BPMN-диаграммы, OpenAPI-спецификации, API-коллекции, окружения, переменные, сценарии, результаты запусков, отчеты, комментарии, вложения, страницы базы знаний и иные материалы, загруженные Пользователем.

3.3. Технические данные включают IP-адрес, дату и время запросов, сведения о браузере и устройстве, идентификаторы сессий, журналы аутентификации, audit log, события безопасности, ошибки, параметры производительности и иные технические записи, необходимые для работы и защиты Сервиса.

3.4. Для платных тарифов обрабатываются сведения о заказе и оплате: тариф, сумма, валюта, статус платежа, идентификаторы заказа и счета, промокод, события платежного провайдера и технические данные, необходимые для сверки оплаты.

3.5. Для обращений в поддержку обрабатываются текст обращения, категория проблемы, вложения, контактный email, история переписки и технический контекст, который Пользователь передает через форму поддержки.

3.6. Сервис не предназначен для обработки специальных категорий персональных данных, биометрических данных, сведений о здоровье, политических взглядах, религиозных убеждениях, интимной жизни, государственной тайны и иной информации ограниченного доступа. Пользователь не должен загружать такие данные в Сервис.

4.1. Данные обрабатываются для регистрации и аутентификации Пользователя, предоставления доступа к Сервису, исполнения пользовательского соглашения и лицензионного соглашения, управления проектами и командами, выполнения QA/API-функций, работы AI-функций, поддержки, биллинга, безопасности, предотвращения злоупотреблений, администрирования, аналитики качества продукта и исполнения требований законодательства РФ.

4.2. Правовыми основаниями обработки являются согласие Пользователя, исполнение договора с Пользователем, необходимость обработки для осуществления прав и законных интересов Администратора, а также исполнение обязанностей, предусмотренных законодательством РФ.

4.3. Администратор не принимает решений, порождающих для Пользователя юридические последствия или иным образом существенно затрагивающих его права, исключительно на основании автоматизированной обработки персональных данных.

5.1. В Сервисе доступны AI-функции: AI-ассистент проекта, генерация и анализ тест-кейсов, чек-листов, баг-репортов, оценок, OpenAPI/BPMN-артефактов, API-тестов, объяснений запусков, аналитических сигналов, переводов и иных материалов.

5.2. При использовании AI-функций в запрос могут включаться текст сообщения Пользователя, выбранный проектный контекст, загруженные файлы, части спецификаций, тестов, сценариев, результатов запусков, комментариев, страниц базы знаний и технические метаданные, необходимые для формирования ответа.

5.3. AI-запросы могут обрабатываться внешними поставщиками моделей или шлюзами, выбранными и настроенными Администратором или уполномоченным администратором аккаунта: OpenAI-совместимые API, Anthropic, OpenRouter, Google Gemini, Mistral, DeepSeek, xAI, локальные или кастомные провайдеры. Конкретный провайдер зависит от настроек Сервиса, доступности модели и выбранной функции.

5.4. Администратор хранит технические записи об AI-запросах, включая тип функции, провайдера, модель, статус, время выполнения, укороченный текст запроса и ответа, ошибки и показатели использования. Эти записи используются для отладки, лимитов, безопасности, биллинга и улучшения качества Сервиса.

5.5. Администратор не продает содержимое пользовательских проектов и AI-запросов третьим лицам. Условия хранения и использования данных внешними AI-провайдерами определяются их договорами, настройками API и политиками обработки данных. Пользователь не должен передавать в AI-запросы данные, которые запрещено передавать внешним обработчикам.

5.6. Использование AI-функций является вспомогательным. Пользователь обязан самостоятельно проверять результаты AI-ответов, тестовые данные, рекомендации, оценки и сгенерированные документы перед применением.

6.1. Сервис использует необходимые cookies и аналогичные технологии для авторизации, безопасности и сохранения интерфейсных настроек.

6.2. Refresh token хранится в защищенном httpOnly cookie и используется для обновления сессии. В браузере также могут сохраняться функциональные cookies, например язык интерфейса и состояние боковой панели.

6.3. Access token и часть пользовательских настроек могут храниться в localStorage браузера. Access token автоматически передается серверу в заголовке Authorization при обращении к защищенным API Сервиса.

6.4. В localStorage могут храниться настройки интерфейса, выбранные вкладки, размеры панелей, состояние API-workspace, согласие с cookie-уведомлением и иные локальные предпочтения. Очистка cookies или localStorage может привести к выходу из аккаунта или сбросу настроек.

6.5. На дату настоящей редакции Сервис использует внутренние продуктовые события и dataLayer/custom events для собственных аналитических целей. Если будут подключены сторонние аналитические инструменты, требующие cookies или передачи данных третьим лицам, Администратор обновит настоящую Политику и интерфейс согласия, когда такое согласие требуется законом.

7.1. Администратор может поручать обработку данных хостинг-провайдерам, поставщикам инфраструктуры, почтовым сервисам, платежным провайдерам, AI-провайдерам, сервисам мониторинга, технической поддержки и иным подрядчикам, необходимым для работы Сервиса.

7.2. Платежи могут обрабатываться платежным провайдером CryptoCloud или иным провайдером, указанным в интерфейсе оплаты. Администратор получает только сведения, необходимые для подтверждения заказа, статуса оплаты, возврата, учета и поддержки.

7.3. Передача данных государственным органам, судам и иным уполномоченным лицам осуществляется только при наличии законного основания.

7.4. Администратор не передает персональные данные третьим лицам для самостоятельной рекламы или продажи баз данных.

8.1. Основная обработка данных Сервиса ориентирована на инфраструктуру, используемую Администратором для оказания услуг. При использовании внешних AI-провайдеров, почтовых, платежных или инфраструктурных сервисов данные могут передаваться за пределы Российской Федерации.

8.2. Трансграничная передача осуществляется только при наличии правового основания и в объеме, необходимом для работы соответствующей функции. Используя функцию, связанную с внешним провайдером, Пользователь понимает, что часть данных может быть обработана таким провайдером за пределами РФ.

9.1. Данные аккаунта и проектные данные хранятся в течение срока использования аккаунта и после прекращения доступа в пределах, необходимых для восстановления, исполнения договора, разрешения споров, безопасности и соблюдения закона.

9.2. Технические журналы, audit log, AI-запросы, результаты тестовых запусков, платежные события и иные операционные данные хранятся в соответствии с внутренними политиками retention. Типовые сроки горячего хранения: AI-запросы и результаты тестовых запусков — до 180 дней, события активности — до 365 дней, audit log — до 730 дней, платежные и учетные данные — в сроки, требуемые законодательством.

9.3. По истечении сроков хранения данные могут быть удалены, обезличены или перенесены в архив. Резервные копии удаляются по циклу ротации backup-инфраструктуры; немедленное удаление данных из всех резервных копий технически не гарантируется.

10.1. Администратор применяет организационные и технические меры защиты: разграничение прав доступа, аутентификацию и 2FA, httpOnly refresh-cookie, хеширование паролей Argon2id, TLS при передаче данных, аудит действий, журналирование событий безопасности, резервное копирование, мониторинг и ограничение доступа к административным функциям.

10.2. Пользователь отвечает за сохранность своего пароля, токенов, API-ключей, данных окружений и за корректное распределение ролей внутри команды.

10.3. При подозрении на несанкционированный доступ Пользователь должен немедленно сменить пароль, завершить активные сессии и обратиться в поддержку.

11.1. Пользователь вправе получать сведения об обработке своих персональных данных, требовать уточнения, блокирования или удаления данных, отзывать согласие, возражать против обработки, обращаться к Администратору, в Роскомнадзор или в суд.

11.2. Экспорт, удаление или изменение данных выполняются через доступный функционал Сервиса либо по запросу в поддержку, если соответствующий интерфейс еще не реализован. Отдельные данные могут сохраняться после запроса на удаление, если их хранение требуется законом, необходимо для безопасности, учета, разрешения споров или защиты прав Администратора.

11.3. Запросы по персональным данным направляются на [email protected]. В запросе необходимо указать email аккаунта и суть обращения. Администратор вправе запросить подтверждение принадлежности аккаунта.

12.1. Администратор вправе изменять Политику при изменении Сервиса, законодательства, состава обработчиков или практик обработки данных. Новая редакция публикуется на странице https://qastra.app/legal/privacy.

12.2. Контакты: Администратор сайта QAstra; сайт — https://qastra.app; вопросы по персональным данным — [email protected]; поддержка — [email protected]; юридические вопросы — [email protected].