RemCardНавигатор ремонта
На главную

Политика резервного копирования персональных данных

Редакция 1.0 · 24 апреля 2026 г.

Скачать .md

Оператор: Индивидуальный предприниматель Аведикян Карен Самвелович ИНН: (указать в реквизитах) ОГРНИП: (указать в реквизитах) Домен: remcard.ru Редакция: 1.0 от 24 апреля 2026 года Основание: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 18.1, 19), Постановление Правительства РФ от 01.11.2012 № 1119.

1. Назначение документа

Настоящая Политика определяет правила резервного копирования, восстановления и уничтожения резервных копий информационных систем Оператора, в которых обрабатываются персональные данные (далее — ПДн), в том числе данные клиентов, партнёров и их сотрудников.

2. Область действия

Политика распространяется на все среды обработки ПДн:

  • Production-база данных — PostgreSQL под управлением Neon Inc. (регион Frankfurt, проект dawn-mountain-28018070), содержит основную БД User, Project, ClientOrder, Consent, AuditLog и иные модели, перечисленные в prisma/schema.prisma.
  • Файловое хранилище — S3-совместимое хранилище Yandex Object Storage (регион ru-central1), используется для аватаров, вложений обращений и экспортов.
  • Среды preview и development — не содержат реальных ПДн, в них используются тестовые фикстуры.

3. Режим резервного копирования

3.1. Provider-managed бэкапы PostgreSQL

Резервное копирование production-базы выполняется провайдером Neon в автоматическом режиме средствами платформы:

  • Point-in-Time Recovery (PITR) — непрерывная запись WAL-журнала, глубина восстановления — 7 календарных дней от момента обращения.
  • Именованные снапшоты — создаются Оператором перед миграциями, меняющими структуру или объём ПДн (например, pre-p120a-wipe-2026-04-23). Срок хранения снапшота — не более 14 календарных дней, после чего снапшот удаляется вручную.

3.2. Резервное копирование файлового хранилища

Yandex Object Storage обеспечивает геораспределённую репликацию объектов в пределах региона ru-central1. Версионирование включено; предыдущие версии хранятся 30 календарных дней, после чего удаляются автоматически.

3.3. Локальные дампы

Локальные дампы БД (pg_dump) на рабочих станциях Оператора запрещены. При необходимости отладки используется read-only branch в Neon, удаляется немедленно по окончании работы.

4. Защита резервных копий

  • Бэкапы Neon шифруются провайдером «в покое» алгоритмом AES-256, ключи управляются Neon (режим KMS).
  • Доступ к консоли Neon имеет только Оператор; аутентификация — OAuth через корпоративный Google-аккаунт с включённой двухфакторной аутентификацией.
  • Доступ к консоли Yandex Cloud — аналогично, под учётной записью Оператора с 2FA и SMS-подтверждением.
  • Экспорт бэкапов за пределы консоли провайдера запрещён, за исключением случаев, предусмотренных п. 5.

5. Восстановление данных

Восстановление данных из резервной копии допускается в следующих случаях:

  1. Аварийное повреждение production-базы.
  2. Ошибочное удаление или изменение данных Оператором.
  3. Запрос субъекта ПДн о восстановлении его данных, если утрата произошла по вине Оператора.
  4. Требование уполномоченного государственного органа (РКН, суд, следственные органы).

Процедура восстановления:

  1. Оператор фиксирует инцидент в журнале событий (см. Политика защиты данных, раздел «Реагирование на инциденты»).
  2. Создаётся временный branch в Neon на точку до инцидента.
  3. Проверяется целостность восстановленных данных (prisma migrate status, сверка checksums).
  4. Восстановленные данные переносятся в production через направленные SQL-операции; полный ролл-бэк прода из бэкапа допускается только при утрате работоспособности системы.
  5. По окончании временный branch удаляется; факт восстановления заносится в AuditLog с action DATA_RESTORED.

6. Уничтожение резервных копий

  • PITR-окно — 7 дней, далее старые WAL-сегменты удаляются провайдером автоматически.
  • Именованные снапшоты — удаляются Оператором вручную не позднее 14 дней после создания.
  • Версии файлов в Object Storage — удаляются автоматически через 30 дней.
  • При прекращении обработки ПДн конкретного субъекта (см. ст. 21 ФЗ-152) дополнительная очистка резервных копий не выполняется: уничтожение данных субъекта производится в production-среде; ожидается, что через 7 дней (окно PITR) сведения о субъекте исчезнут из всех активных копий естественным образом. До истечения этого срока бэкапы имеют статус «ограниченный доступ — только для восстановления».

7. Контроль исполнения

Ответственный за исполнение Политики — сам Оператор. Проверка выполнения:

  • Ежеквартально — проверка доступности и корректности PITR (создание тестового branch, SELECT count(*) FROM "User").
  • При каждом значимом инциденте — запись в AuditLog.
  • При изменении архитектуры хранения — пересмотр Политики.

8. Действие и пересмотр

Политика вступает в силу с момента утверждения и действует бессрочно. Пересмотр — не реже одного раза в год или при существенном изменении состава обрабатываемых ПДн, перечня используемых провайдеров, требований законодательства.

Утверждено: ИП Аведикян К.С., 24 апреля 2026 года.