Replyo

Compliance и безопасность

Как Replyo обрабатывает данные, где они хранятся, как мы соответствуем 152-ФЗ и чем помогаем Клиентам соответствовать самим.

Где хранятся данные

  • Первичная запись и хранение — серверы Яндекс.Облака в регионе ru-central1 (РФ). Соответствует ч. 5 ст. 18 152-ФЗ в ред. от 01.07.2025.
  • AI-обработка запросов — передаётся подпроцессорам-AI-провайдерам (полный список в DPA) только в объёме текста вопроса, без персонифицирующих данных. В памяти запроса, не сохраняется у провайдеров.
  • Резервное копирование — отдельное хранилище в Яндекс.Облаке (другой регион для отказоустойчивости), тоже РФ.

Что мы считаем персональными данными

Следуем жёсткой позиции Роскомнадзора:

  • IP-адреса посетителей
  • Cookies / session ID
  • Тексты сообщений в чате (если содержат идентифицирующую информацию)
  • Имя, email, телефон, оставленные в форме

Реестр операторов ПДн

Replyo зарегистрирован в реестре операторов, обрабатывающих ПДн, Роскомнадзора: pd.rkn.gov.ru. Номер уведомления публикуется в футере сайта.

DPA — договор поручения для Клиентов

В отношении данных посетителей клиентского сайта мы выступаем как лицо, обрабатывающее ПДн по поручению оператора (Клиента) в соответствии с ч. 3 ст. 6 152-ФЗ.

Публичный DPA автоматически применяется при заключении договора. Для корпоративных клиентов — готовы заключить отдельное соглашение с подписью и печатью.

Шифрование и защита

  • TLS 1.3 на всех каналах (HTTP, WebSocket, API)
  • Шифрование чувствительных полей (email, телефон) при хранении (AES-256)
  • Ролевое разграничение доступа, полная изоляция данных Клиентов
  • Журналирование всех операций с ПДн (audit log, хранится 6 месяцев)
  • Регулярные пенетрационные тесты (раз в 6 месяцев, Q2 2027)

Что должен сделать Клиент

Чтобы соответствовать 152-ФЗ со стороны Клиента:

  1. Разместите на своём сайте уведомление о работе AI-бота (шаблон предоставляется в dashboard Replyo).
  2. Опубликуйте свою Политику обработки ПДн, в ней укажите Replyo как обработчика по поручению.
  3. Получите согласие посетителей на обработку ПДн (cookie-banner или форма согласия).
  4. Обеспечьте реализацию прав субъектов (доступ, удаление, исправление) — через dashboard Replyo это делается в 2 клика.
  5. Для юрлиц — акцептуйте DPA при оплате (происходит автоматически).

Реакция на инциденты

При обнаружении утечки или несанкционированного доступа:

  • Уведомляем Клиента в течение 24 часов
  • Уведомляем Роскомнадзор в течение 24 часов (ст. 21 152-ФЗ)
  • Уведомляем Субъектов в разумный срок
  • Принимаем меры по локализации инцидента, готовим post-mortem

Status page (планируется Q2 2026): status.replyo.su — показывает аптайм, инциденты, запланированные maintenance.

Часто задаваемые compliance-вопросы

Можно ли использовать Replyo для банков / госорганов?

Сертификации ФСТЭК у нас пока нет. Для крупных корпоративных клиентов в 2027 будем рассматривать на тарифе Бизнес+: аттестация инфраструктуры, private tenant, аудит кода, on-prem деплой в вашем контуре.

Где хранятся AI-ответы?

Текст вопроса и ответа хранится в transcripts в РФ. Метаданные (latency, model used) — тоже в РФ. Промежуточный вычислительный контекст AI-провайдера не сохраняется нигде.

Выдаёте ли вы данные государственным органам?

Только по официальному запросу в соответствии с законом РФ. Уведомляем Клиента о запросе, за исключением случаев, когда уведомление запрещено законом.