Политика обработки персональных данных

Редакция от 6 мая 2026 г.

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и описывает порядок обработки персональных данных пользователей Сервиса XZAPRET оператором — самозанятым Соколовым Виталием Николаевичем (плательщиком налога на профессиональный доход, далее — Оператор).

1. Оператор персональных данных

Самозанятый Соколов Виталий Николаевич (плательщик налога на профессиональный доход)
ИНН 632122779538
Россия, Самарская область
Контакт по вопросам обработки данных: support@xzapret.com

2. Правовые основания обработки

• Согласие субъекта персональных данных, выраженное путём акцепта Публичной оферты и продолжения использования Сервиса.
• Заключение и исполнение договора, стороной которого является субъект (ст. 6 ч. 1 п. 5 ФЗ-152).
• Соблюдение требований налогового и платёжного законодательства Российской Федерации.

3. Какие данные мы собираем

• Telegram-id — идентификатор пользователя в Telegram, используется как первичный ключ учётной записи.
• Telegram-username и имя (при наличии в профиле) — для отображения в служебных сообщениях.
• Статус и срок действия подписки.
• Хеш ключа доступа (не сам ключ) — для технического разрешения доступа.
• Идентификаторы платежей от платёжных провайдеров — для подтверждения транзакций.
• Логи технического характера (IP-адрес последнего подключения) — для диагностики и предотвращения злоупотреблений; срок хранения — 30 дней.
• Техническая телеметрия клиентского приложения (heartbeat) — собирается при запуске приложения не чаще раза в 6 часов: платформа (android/ios/macos/windows), версия приложения (например, 1.5.5), версия операционной системы (Android SDK level / iOS major), модель устройства (например, «Xiaomi 13T»), идентификатор пользователя XZAPRET. Назначение — определять, какие версии клиентов в активном использовании, чтобы решать о выкатке обновлений и broadcast-рассылок об актуальной версии. Данные хранятся одной актуальной строкой на пользователя (без истории), обновляются при каждом heartbeat.

4. Какие данные мы НЕ собираем

• Содержимое передаваемого через Сервис трафика.
• Историю посещаемых ресурсов, доменов, URL.
• Полные платёжные реквизиты (номер карты, CVV).
• Имя, отчество, фамилию, паспортные данные, домашний адрес, фактическое местоположение.

5. Цели обработки

• Идентификация пользователя и привязка подписки.
• Предоставление и техническая поддержка Сервиса.
• Учёт и проведение расчётов за услуги.
• Информирование о состоянии подписки (истечение, продление).
• Защита Сервиса от несанкционированного использования.

6. Разрешения, запрашиваемые приложением на устройстве (Android)

Клиентское Android-приложение запрашивает минимально необходимый набор системных разрешений. Полный перечень и обоснование каждого:

• INTERNET — установление зашифрованного соединения с серверной инфраструктурой XZAPRET. Без этого разрешения сервис принципиально не может работать.
• FOREGROUND_SERVICE и FOREGROUND_SERVICE_SPECIAL_USE — поддержание VPN-туннеля в активном состоянии в фоне (требование Android 14+ для long-running VPN-сервисов).
• POST_NOTIFICATIONS — отображение постоянной нотификации о статусе VPN-туннеля и одноразовых уведомлений о состоянии подписки. Это требование Android 13+, без нотификации фоновый сервис не разрешён ОС.
• ACCESS_NETWORK_STATE — обнаружение переключения сети (Wi-Fi ↔ мобильная) для оперативного переподключения туннеля без потери трафика.
• RECEIVE_BOOT_COMPLETED — автоматический запуск сервиса после перезагрузки устройства, если пользователь явно включил эту опцию в настройках приложения.
• QUERY_ALL_PACKAGES — отображение списка установленных приложений в настройках «Какие приложения пускать в обход VPN» (split-tunnel). Список приложений никуда не передаётся, обрабатывается локально.
• REQUEST_INSTALL_PACKAGES — установка обновлений приложения (новый APK), скачанных в фоне после уведомления пользователя.

Приложение не запрашивает: доступ к контактам, геолокации, камере, микрофону, файлам пользователя, истории звонков и SMS. Полный список разрешений виден в Settings → Apps → XZAPRET → Permissions любого Android-устройства.

6.1. Цифровая подпись APK (целостность установщика)

Все официальные релизы Android-приложения XZAPRET, начиная с версии 1.5.5, подписаны единым закрытым ключом издателя (самозанятый Соколов В.Н.). Это позволяет Android-системе автоматически проверять, что устанавливаемое или обновляемое приложение получено от того же издателя, что и предыдущая версия — подмена APK третьим лицом будет отклонена операционной системой.

SHA-256 отпечаток сертификата подписи:
19:4A:02:22:08:94:07:C9:38:C3:2F:F2:7D:27:02:93:C2:EC:0B:55:33:63:EE:AA:DE:1C:A6:B3:14:E0:F9:9B
SHA-1: 35:16:9A:65:38:51:9D:EE:59:94:FA:A4:11:54:EA:4D:82:A5:9B:42
Алгоритм: SHA256withRSA, 2048 бит. Срок действия: до 4 мая 2051 года.

Проверить отпечаток установленного APK можно через утилиту apksigner verify --print-certs xzap.apk из Android SDK или через сторонние приложения-инспекторы (например, «APK Info»). Совпадение SHA-256 с указанным выше — подтверждение подлинности установщика.

7. Передача данных третьим лицам

Передача персональных данных третьим лицам осуществляется только в следующих случаях:

• Платёжным провайдерам (Cardlink, Telegram Payments) — в объёме, минимально необходимом для проведения транзакции (Telegram-id, идентификатор тарифа, сумма).
• По законному запросу уполномоченных государственных органов.

Данные не передаются для целей маркетинга, не продаются и не предоставляются третьим лицам в иных целях.

8. Хранение и защита

• Данные хранятся на серверах Оператора и его технологических партнёров с применением шифрования при передаче (TLS).
• Доступ к данным имеет ограниченный круг сотрудников, обязанных сохранять конфиденциальность.
• Срок хранения — на период действия подписки и до 12 месяцев после её окончания (для целей бухгалтерской отчётности и разбора возможных споров), либо до получения запроса на удаление от субъекта.

9. Права субъекта персональных данных

В соответствии с ФЗ-152 субъект имеет право:

• Получить сведения о составе обрабатываемых о нём данных.
• Требовать уточнения, блокирования или уничтожения данных в случае их неполноты, неточности, незаконности обработки.
• Отозвать согласие на обработку — путём направления заявления на support@xzapret.com. Отзыв влечёт прекращение оказания Сервиса, поскольку обработка указанных данных — техническая основа оказания услуги.
• Обжаловать действия Оператора в Роскомнадзоре или в суде.

10. Cookies и аналитика

Сайт xzapret.com не использует рекламные cookies, не устанавливает трекеры третьих лиц и не передаёт данные посетителей в системы аналитики. Используются только технические cookies, необходимые для функционирования сайта.

11. Изменение Политики

Оператор вправе вносить изменения в настоящую Политику. Действующая редакция всегда доступна по адресу https://xzapret.com/privacy.html.

12. Контакты по вопросам обработки персональных данных

E-mail: support@xzapret.com
Адрес: Россия, Самарская область (самозанятый Соколов В.Н.).