Версия для мобильного приложения · English version
Редакция от 18 мая 2026 г., версия 2.0. г. Чебоксары. Документ описывает обработку персональных данных на веб-сайте online.chuvsu.ru и связанных веб-сервисах Университета.
1.1. Оператор персональных данных: Федеральное государственное бюджетное образовательное учреждение высшего образования «Чувашский государственный университет имени И.Н. Ульянова» (далее – Университет, Оператор).
1.2. Юридический и фактический адрес: 428015, Чувашская Республика, г. Чебоксары, Московский проспект, д. 15. Учредитель – Министерство науки и высшего образования Российской Федерации. Дата создания Университета: 1 сентября 1967 г. Образовательная деятельность осуществляется на основании лицензии № 2276 от 19 июля 2016 г.
1.3. Контакты Университета:
1.4. Правовые основания обработки персональных данных:
1.5. Действие настоящей редакции распространяется на веб-сайт
online.chuvsu.ru и его поддомены, на которых размещены сервисы Университета,
предназначенные для обучающихся и работников.
1.6. Пользуясь сайтом, пользователь подтверждает, что ознакомлен с настоящей Политикой. Согласие на использование cookie аналитики, а также на сохранение паролей внешних систем в личном Хранилище учётных данных (Credential Vault, см. п. 3.5), даётся отдельным явным действием в интерфейсе сайта и может быть отозвано в любой момент.
akey.chuvsu.ru и реализованная на платформе
Keycloak (протокол OpenID Connect / OAuth 2.0).HttpOnly, Secure).При входе через корпоративную систему аутентификации сайт получает следующие сведения о пользователе:
sub);
Сведения, имеющие чувствительный характер (фамилия, имя, отчество, адрес электронной почты,
номер зачётной книжки), хранятся в базе данных сайта в зашифрованном виде с использованием
механизма Crypt::encryptString платформы Laravel.
User-Agent);RequestId), момент времени;HttpOnly, Secure,
SameSite=Lax (kc_access, kc_refresh, kc_id_token);firebase-messaging-sw.js.
Сервер сайта ведёт журналы запросов и ошибок в файлах
storage/logs/single_DD_MM_YYYY.log. В журналах могут фиксироваться идентификатор
пользователя, логин, IP-адрес, маршрут запроса и контекст возникшей ошибки. Перед записью
автоматически удаляются:
Authorization,
Cookie, Set-Cookie);password, token,
secret, key, auth;img.chuvsu.online через прокси-сервис Thumbor);portald.chuvsu.ru.
Пользователь может добровольно сохранить в Хранилище учётные записи (логин и пароль) от внешних
информационных систем Университета – модуля БРС (brs.chuvsu.ru), Личного кабинета
обучающегося (lk.chuvsu.ru) и иных. Сохранение учётной записи активируется отдельным
явным действием пользователя.
Хранилище реализовано в соответствии с архитектурным решением ADR-007 и обеспечивает двухуровневое шифрование:
PIN-код не сохраняется и не передаётся на сервер Университета в открытом виде. Без ввода PIN-кода ни администрация сайта, ни автоматические процессы доступа к содержимому Хранилища получить не могут. Защита от подбора: не более 5 неуспешных попыток ввода PIN-кода, после чего Хранилище блокируется на 80 минут.
Пользователь вправе в любой момент удалить любую сохранённую учётную запись или Хранилище целиком. Утеря PIN-кода не позволяет восстановить сохранённые пароли – пользователь должен ввести их повторно.
Сайт обращается к внешним информационным системам Университета (БРС, Личный кабинет, расписание, учебный портал, портал справок) и кэширует полученные сведения для ускорения работы:
Кешируемые сведения, имеющие чувствительный характер (содержимое профиля обучающегося, идентификаторы, результаты обучения), хранятся в зашифрованном виде в системе хранилища ключей и значений Redis, развёрнутой в инфраструктуре Университета. Сайт не является первоисточником этих сведений; их первоисточник – соответствующая информационная система Университета.
tt.chuvsu.ru);lk.chuvsu.ru);portald.chuvsu.ru);bitrix24.chuvsu.ru); содержимое обращений и сведения о пользователе, необходимые
для рассмотрения обращения, передаются в указанную систему.
Сведения о научных достижениях обучающихся, участии в студенческом научном обществе и связанных
с этим документах хранятся в отдельной базе данных db-module-sno. Содержимое (ФИО
обучающегося, факультет, дата достижения, ссылка на подтверждающий документ) хранится
в зашифрованном виде с применением сертификата формата PKCS#12 (алгоритм RSA). Доступ к указанной
базе данных предоставляется ограниченному кругу должностных лиц Университета, ответственных
за научную работу.
| Категория | Назначение | Срок жизни | Требует согласия |
|---|---|---|---|
Технические (kc_access, kc_refresh, kc_id_token,
cookie сессии Laravel, CSRF-токен) |
Сохранение сессии входа, защита от подделки запросов | До завершения сессии или до истечения срока действия токена | Не требуется (необходимы для работы сайта) |
| Функциональные (выбранный язык, тема оформления, предпочитаемая подгруппа) | Сохранение пользовательских настроек | До явного изменения пользователем | Не требуется (применяются по действию пользователя) |
| Аналитические (Яндекс Метрика – счётчик № 87481519, Mail.ru – счётчик № 3607308) | Обезличенный сбор сведений о посещаемости и поведении на сайте | В соответствии с правилами Яндекс Метрики и Mail.ru | Подключаются только в производственной среде |
| Антибот (Yandex SmartCaptcha, Google reCAPTCHA) | Защита от автоматизированных запросов на формах входа и восстановления пароля | До завершения сессии | Подключаются только при обращении к защищаемой форме |
Рекламные cookie на сайте не используются. Профилирование пользователей в целях автоматизированного принятия решений, имеющих юридические последствия, не производится.
Пользователь может отказаться от аналитических cookie стандартными средствами браузера (раздел настроек конфиденциальности или приватный режим) либо средствами расширений-блокировщиков. Отказ не влияет на доступ к функциям сайта.
Сохранение пароля от внешней информационной системы Университета в Credential Vault (п. 3.5) производится только после явного подтверждения пользователем намерения сохранить пароль и ввода им PIN-кода. Сохранённую учётную запись пользователь может удалить в любой момент в разделе «Настройки → Хранилище учётных данных».
Запрашивается отдельно средствами браузера в момент первой попытки сайта отправить уведомление. Может быть в любой момент отозвано через системные настройки браузера; функциональность сайта при этом сохраняется, кроме самих уведомлений.
| Сервис | Назначение | Состав передаваемых данных |
|---|---|---|
akey.chuvsu.ru – система единого входа «ЧувГУ Ключ» (Keycloak) |
Аутентификация пользователей, выдача и обновление токенов | Логин, пароль (вводятся непосредственно на странице Keycloak, сайту не передаются), идентификатор сессии |
brs.chuvsu.ru – балльно-рейтинговая система |
Получение оценок, посещаемости, итогов сессий | Идентификатор обучающегося, учётные данные (только при добровольном использовании Credential Vault, см. п. 3.5) |
lk.chuvsu.ru – Личный кабинет обучающегося / Портфолио |
Получение профиля, достижений, портфолио, фотографии | Идентификатор обучающегося, учётные данные (только при добровольном использовании Credential Vault) |
tt.chuvsu.ru – система расписания |
Получение расписания занятий и его изменений | Идентификатор группы, идентификатор обучающегося |
study.chuvsu.ru – учебный портал |
Получение учебных сведений | Идентификатор обучающегося |
portald.chuvsu.ru – портал заявок на справки |
Подача и обработка заявок на справки | Идентификатор обучающегося, тип справки, контактные сведения |
img.chuvsu.online – Thumbor (обработка изображений) |
Подготовка миниатюр аватаров пользователей | Идентификатор пользователя в источнике изображения, URL источника |
bitrix24.chuvsu.ru – корпоративная система поддержки |
Регистрация и обработка обращений в техническую поддержку | Идентификатор и контактные данные пользователя, текст обращения, файлы вложений |
bugtracker.chuvsu.online – система регистрации ошибок |
Диагностика и устранение программных ошибок | Сообщение об ошибке, контекст возникновения. Чувствительные заголовки удаляются
до отправки; настройка send_default_pii отключена |
| Сервис | Назначение | Состав передаваемых данных |
|---|---|---|
| ООО «Яндекс» – счётчик Яндекс Метрика № 87481519 | Обезличенный сбор посещаемости | Технические сведения о визите, переходах между страницами |
| ООО «ВК» (сервис Mail.ru) – счётчик № 3607308 | Обезличенный сбор посещаемости | Технические сведения о визите, переходах между страницами |
Указанные счётчики подключаются только в производственной среде сайта и не передают сведения, указанные в п. 3.1, 3.5–3.8.
| Сервис | Назначение | Когда подключается |
|---|---|---|
| Yandex SmartCaptcha (ООО «Яндекс») | Защита от автоматизированных запросов на формах входа и восстановления пароля | При обращении к защищаемой форме (если включено в конфигурации сайта) |
| Google reCAPTCHA (Google LLC) | Защита от автоматизированных запросов на формах восстановления пароля устаревших версий API сайта | При обращении к соответствующим формам |
В рамках работы антибот-сервисов сторонним организациям передаётся технический ответ браузера (токен капчи) и сведения об IP-адресе. Сведения, перечисленные в пп. 3.1, 3.4–3.8, в указанные сервисы не передаются.
Сайт является источником push-уведомлений, направляемых на мобильные устройства пользователей и в их браузеры. Техническая доставка уведомлений осуществляется через следующих обработчиков:
В сервис доставки передаётся технический токен устройства пользователя и содержимое уведомления (заголовок, текст, идентификатор объекта, к которому относится уведомление). Идентификатор пользователя и сведения, указанные в пп. 3.1, 3.5–3.8, в сервис доставки не передаются.
Доставка уведомлений на адрес электронной почты пользователя осуществляется через ООО «Яндекс» (сервис Яндекс Почта для бизнеса, корпоративный SMTP). Состав передаваемых сведений ограничен текстом уведомления и адресом получателя.
Сервисы Google (Firebase Cloud Messaging для веб-PWA и для рассылок на устройства с сервисами Google; Google reCAPTCHA) обрабатывают передаваемые им технические идентификаторы и события на серверах, расположенных за пределами Российской Федерации. Передача осуществляется на основании согласия пользователя на использование функций push-уведомлений и подлежит уведомлению уполномоченного органа по защите прав субъектов персональных данных в порядке, установленном статьёй 12 152-ФЗ. Состав сведений, передаваемых за рубеж, ограничен техническим токеном устройства и содержимым уведомления; персональные данные, перечисленные в пп. 3.1, 3.5–3.8, в указанные сервисы не передаются.
Сайт может встраивать публичные материалы официальных сообществ Университета в социальной сети «ВКонтакте» (видеозаписи, объявления). Указанные материалы загружаются из публичного API социальной сети по идентификатору сообщества Университета и не предполагают идентификацию пользователя со стороны социальной сети. Социальная сеть «ВКонтакте» не используется как поставщик аутентификации.
Базы данных и кеш сайта размещены в инфраструктуре Университета на территории Российской Федерации. Сведения, относящиеся к учётной записи и образовательному процессу, хранятся в течение срока, установленного локальными актами Университета о сроках хранения учётной и образовательной документации, и приведённого в соответствие с требованиями ГОСТ Р 7.0.97-2016 и нормативными актами Минобрнауки России.
Ориентировочные сроки по техническим категориям:
В соответствии со статьями 14, 18.1, 20, 21 152-ФЗ пользователь имеет право:
7.1. Получать сведения об обработке своих персональных данных, в том числе:
7.2. Требовать уточнения, блокирования или уничтожения персональных данных в случаях, когда они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.3. Отозвать согласие на обработку. Отзыв согласия в отношении персональных данных, обработка которых необходима для исполнения договора об образовании или для целей, прямо предусмотренных законодательством, может повлечь невозможность исполнения соответствующих обязательств Оператором.
7.4. Отказаться от аналитических cookie стандартными средствами браузера (п. 4.2); данное действие не влияет на доступ к основным функциям сайта.
7.5. Удалить учётные данные, сохранённые в Credential Vault (п. 3.5), полностью или частично, в любой момент через интерфейс сайта.
7.6. Запросить удаление учётной записи и связанных с ней персональных данных в порядке, установленном внутренним регламентом Университета. Запрос направляется на адрес online@chuvsu.ru; срок исполнения – не более 30 календарных дней с момента поступления.
7.7. Получить копию обрабатываемых данных в структурированном машиночитаемом формате (право на переносимость данных). Запрос направляется на адрес поддержки и исполняется в объёме, технически реализуемом на стороне сайта.
7.8. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
8.1. Все запросы между браузером пользователя и серверами Университета осуществляются по защищённому протоколу HTTPS (TLS).
8.2. Пароли учётной записи в системе единого входа «ЧувГУ Ключ» хранятся в Keycloak в виде хеша, не позволяющего восстановить исходный пароль.
8.3. Чувствительные сведения в базе данных сайта (фамилия, имя, отчество, электронная почта, номер зачётной книжки) хранятся в зашифрованном виде. Кешированный профиль обучающегося в Redis (п. 3.6) шифруется. Содержимое Хранилища учётных данных (п. 3.5) шифруется с применением PIN-кода пользователя по схеме AES-256 + PBKDF2 (ADR-007). Сведения о научных достижениях (п. 3.8) шифруются с применением сертификата формата PKCS#12.
8.4. Доступ к административному разделу сайта предоставляется ограниченному кругу должностных лиц Университета по принципу наименьших привилегий и осуществляется через единую систему «ЧувГУ Ключ» по ролям, назначенным Университетом.
8.5. Журналы запросов и ошибок (п. 3.3) проходят автоматическое удаление
чувствительных заголовков и параметров перед записью. Передача в систему регистрации ошибок
(bugtracker.chuvsu.online) производится с отключённой настройкой
send_default_pii.
8.6. При обнаружении инцидента, связанного с нарушением конфиденциальности, целостности или доступности персональных данных, Оператор уведомляет уполномоченный орган в порядке и сроки, установленные статьёй 21 152-ФЗ.
Сайт предназначен для обучающихся, работников и иных лиц, чьи отношения с Университетом подтверждены в системе учётных записей. Согласие на обработку персональных данных лиц, не достигших возраста 14 лет, даётся их законными представителями.
10.1. Университет вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её размещения по адресу online.chuvsu.ru/doc/privacy_policy.
10.2. История редакций ведётся в репозитории документации Университета. Существенные изменения, затрагивающие состав обрабатываемых данных или круг третьих лиц, сопровождаются информированием пользователей через интерфейс сайта.