Правила использования сервиса Сбер ID
Термины и определения
Автозаполнение – процедура заполнения данных Пользователя на Информационном ресурсе Партнера с помощью функционала Сервиса.
Автоматизированная система E-Invoicing (СФЕРА-Курьер) – система электронного документооборота (прием/передача электронных документов), в системе оператора «ООО «КОРУС Консалтинг СНГ» «СФЕРА Курьер», предоставляющая возможность передавать/получать юридически значимые документы с использованием УКЭП.
Аутентификация – процедура проверки данных Пользователя, обратившегося для доступа к Информационному ресурсу Партнера.
Банк – ПАО Сбербанк.
Департамент кибербезопасности Банка (ДКБ) – департамент Банка, осуществляющий Оценку Партнера.
Договор – договор об информационно-технологическом взаимодействии, в рамках которого Партнеру предоставляется Сервис Сбер ID.
Идентификатор Сбер ID – уникальный, неизменяемый идентификатор Пользователя, присваиваемый Пользователю в информационных системах/базах данных Банка и передаваемый Партнерам.
Информационный ресурс Партнера – сайт (страница сайта) в сети Интернет, мобильное приложение Партнера, предназначенные для предоставления Пользователям своих продуктов и услуг и/или информации о них.
Карточка Партнера – информационная карточка, содержащая сведения о Партнере, которые необходимы для подключения, использования Сервиса и Мониторинга Партнеров.
Компании группы Банка – компании, перечень которых размещен на Официальном сайте Банка по адресу: www.sberbank.ru/ru/person/info_partner.
Мониторинг – плановая (ежеквартальная) и внеплановая (по требованию Банка) проверка Партнера на предмет соблюдения Партнером настоящих Правил использования сервиса Сбер ID и действующего законодательства в области персональных данных.
Опросник – перечень вопросов, содержащийся в Карточке Партнера, адресуемый Партнеру с целью проверки коммерческой деятельности Партнера на предмет соответствия Правилам и требованиям действующего законодательства в области персональных данных.
Официальный сайт Банка – https://developers.sber.ru.
Оценка Партнера – комплекс мер и мероприятий, осуществляемый ДКБ и направленный на оценку соответствия Партнера требованиям законодательства в области персональных данных, в соответствии с Руководством по проведению оценки уровня зрелости кибербезопасности Партнера ПАО Сбербанк.
Портал разработчика – принадлежащая Банку, информационно-техническая платформа в сети Интернет, позволяющая Партнеру получить доступ к SberAPI, размещенная по адресу: https://api.developer.sber.ru.
Партнеры – юридические лица, в том числе Компании группы Банка и/или компании, входящие в Экосистему Банка, а также индивидуальные предприниматели, заключившие с Банком Договор. Перечень Партнеров Банка размещен на Официальном сайте Банка.
Пользователь – физическое лицо, заключившее с Банком договор банковского обслуживания¹ и/или договор о выпуске и обслуживании банковской карты ПАО Сбербанк и/или присоединившееся к условиям публичной оферты о присоединении к услуге «Удобный доступ».
Проверка UX/UI – проверка соответствия сценария спроектированного пользовательского интерфейса требованиям Банка.
Сервис Сбер ID (далее – Сервис) – сервис Банка по аутентификации пользователей, автозаполнению их данных на информационных ресурсах Банка и Партнеров в соответствии с договором о присоединении к услуге «Удобный доступ», или договором банковского обслуживания и/или договором об обслуживании банковских карт ПАО Сбербанк. Сервис Сбер ID предоставляется Партнерам на основании Договора.
Стороны – совместное наименование Банка и Партнера.
Уровень интеграции (подключения) Партнера – уровень интеграции (подключения) Партнера к Сервису, определяемый Банком на основании Карточки Партнера и Оценки Партнера. В зависимости от Карточки Партнера и Оценки Партнера, Партнеру может быть присвоен один из следующих Уровней интеграции (подключения):
- Уровень интеграции (подключения) Партнера «Light» – уровень интеграции Партнера с Сервисом для цели аутентификаций Пользователя на Информационном ресурсе Партнера. Перечень обрабатываемых персональных данных Пользователя: идентификатор пользователя; адрес электронной почты; телефон (мобильный).
Уровень интеграции (подключения) Партнера «Standart» – уровень интеграции Партнера с Сервисом для целей аутентификации и/или автозаполнения данных Пользователей на Информационном ресурсе Партнера. Перечень обрабатываемых персональных данных Пользователя: идентификатор пользователя; адрес электронной почты; телефон (мобильный/служебный); дата рождения; ФИО; пол; адрес доставки; Цифровой идентификатор карты, ее последние четыре цифры, банк-эмитент, наименование платежной системы (токены карт) (при наличии договора эквайринга, заключенного Партнером с Банком). В случае, если при Уровне интеграции Партнера «Standart» число Пользователей, зарегистрированных и/или использующих Информационный ресурс Партнера превысит 100 000,00 (сто тысяч), Банк вправе провести Оценку Партнера.
- Уровень интеграции (подключения) Партнера «Professional» – уровень интеграции Партнера с Сервисом для целей аутентификации, автозаполнения данных Пользователя на Информационном ресурсе Партнера и/или иных целей. Перечень обрабатываемых персональных данных Пользователя определяется по предварительному соглашению Банка и Партнера (может включать в себя сведения о паспортных данных; ИНН; СНИЛС; семейном положении; образовании; признаке сотрудника Банка и др.).
Подробная информация об Уровнях интеграции (подключения) Партнеров изложена в Приложении № 1 к настоящим Правилам.
Усиленная квалифицированная электронная подпись (УКЭП) – усиленная квалифицированная электронная подпись в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи».
SberAPI – программный интерфейс, предоставляемый Банком Партнеру в целях автоматизированного взаимодействия с Банком, позволяющий направлять и получать от Банка информацию по протоколу с применением защищенного соединения.
User Experience/User Interface (UX/UI) – сценарий спроектированного пользовательского интерфейса.
1. Общие положения
1.1. Настоящие Правила использования сервиса Сбер ID (далее – «Правила»), содержат условия подключения и использования Партнерами Сервиса.
1.2. Использование Партнерами Сервиса регулируется следующим перечнем документов, который не является исчерпывающим:
- Договор об информационно-технологическом взаимодействии;
- Правила;
- Соглашение о неразглашении конфиденциальной информации, заключенное Сторонами;
- Руководство по проведению оценки уровня зрелости кибербезопасности Партнера ПАО Сбербанк;
- Карточка Партнера.
1.3. Все уведомления, извещения и сообщения, а также вопросы, связанные с порядком подключения Сервиса, направляемые Партнером в адрес Банка (далее – «Корреспонденция»), должны направляться по адресу электронной почты SberID@sber.ru.
1.4. Корреспонденция считается полученной Банком в дату, указанную в подтверждении о получении сообщения на адрес электронной почты, указанный в п. 1.3. Правил, но в любом случае не позднее следующего рабочего дня с момента его отправки Партнером.
1.5. Формирование и обмен документами осуществляется Сторонами в электронном виде в Автоматизированной системе E-Invoicing. Изменение согласованного оператора системы электронного документооборота возможно только по взаимному согласию Сторон.
1.6. Документы, подписанные корректной Усиленной квалифицированной электронной подписью, доставленные через согласованного Сторонами оператора электронного документооборота, имеют юридическую значимость. При осуществлении электронного документооборота Стороны руководствуются законодательством Российской Федерации, в частности, Федеральным законом от 06.04.2011 №63-ФЗ «Об электронной подписи», а также регламентом электронного документооборота, опубликованным на официальном сайте оператора электронного документооборота.
1.7. Партнер самостоятельно несет ответственность за соблюдение им требований применимого законодательства при использовании Сервиса. Везде по тексту Правил, если явно не указано иное, под термином «Законодательство» понимается любое применимое законодательство, включая как законодательство Российской Федерации, так и законодательство места пребывания Партнера или места совершения им юридически значимых действий в соответствии с Правилами. Если использование Партнером какой-либо возможности, предоставляемой Сервисом, нарушает Законодательство, Партнер обязуется воздержаться от использования Сервиса.
1.8. Банк вправе в любое время изменять текст настоящих Правил при обязательном уведомлении Партнера о предстоящих изменениях в порядке предусмотренном п. 1.3 Правил. Новая редакция правил вступает в силу с момента ее размещения в сети Интернет на Официальном сайте Банка. Продолжение использования Сервиса после изменения Правил считается согласием с их новой редакцией. Партнер обязан прекратить использование Сервиса, в случае если Банком были внесены какие-либо изменения в настоящие Правила, с которыми Партнер не согласен.
1.9. Актуальная версия Правил размещена на Официальном сайте Банка.
2. Ограничения в использовании Сервиса
2.1. Партнер обязуется использовать Сервис исключительно в собственной коммерческой деятельности. Запрещается использование Сервиса третьими лицами.
2.2. Партнеру запрещается совершать действия, направленные на нарушение нормального функционирования Сервиса, а также использовать специальные программы, содержащие вредоносные компоненты, которые могут привести к появлению скрытых функциональных возможностей (недокументированных изменений, операций, либо внедренных «программных закладок»), или использовать специальные программы, которые заведомо предназначены для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, являющейся частью Сервиса. Партнеру запрещено использовать компьютерные вирусы, которые могут деактивировать, уничтожить или иным образом изменить данные Банка, программное или аппаратное обеспечение и оборудование Банка. Партнер обязуется использовать данные, полученные от Банка, с соблюдением действующего российского законодательства, в том числе с соблюдением норм, предусмотренных Федеральным законом от 29.07.2004 № 98-ФЗ «О коммерческой тайне», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Партнер обязуется получить отдельное согласие Пользователей для использования полученных от Банка персональных данных Пользователей в собственных целях, а также обязуется не использовать Сервис для незаконного использования/распространения конфиденциальной информации Пользователей.
2.3. До начала использования Сервиса, Партнер гарантирует Банку наличие прав на Информационный ресурс и входящие в его состав объекты интеллектуальной собственности. Партнер подтверждает, что указанные права являются действующими, неоспоримыми, отношения с авторами или работниками, участвующими в разработке Информационного ресурса или отдельных объектов интеллектуальной собственности, входящих в состав Информационного ресурса, оформлены в соответствии с действующим законодательством Российской Федерации.
2.4. Партнер не имеет права использовать Сервис для создания интернет-сервисов, программ для ЭВМ или иным образом, если такое использование влечет нарушение Законодательства, или положений документов, указанных в п. 1.3. Правил, и/или прав и законных интересов третьих лиц.
2.5. Банк оставляет за собой право изменять, исправлять или обновлять Сервис в любой момент, при обязательном уведомлении Партнера о предстоящих изменениях в порядке предусмотренном п. 1.3 Правил.
2.6. Банк имеет право по собственному усмотрению прекратить или приостановить доступ Партнера к Сервису без уведомления и без объяснения причин.
3. Порядок подключения к Сервису
3.1. В случае заинтересованности Партнера в использовании Сервиса, уполномоченный представитель Партнера должен направить соответствующий запрос на адрес электронной почты, указанный в п. 1.4. Правил. Запрос направляется в свободной форме и должен в том числе содержать контактные данные (ФИО, телефон и адрес электронной почты) представителя (-ей) Партнера.
3.2. В течение 3 (трех) рабочих дней с момента получения запроса от Партнера, Банк направляет в адрес Партнера:
- Соглашение о неразглашении конфиденциальной информации;
- Бланк Карточки Партнера;
3.3. Партнер обязуется заполнить все поля Карточки Партнера достоверными сведениями, а также подписать Соглашение о неразглашении конфиденциальной информации и направить указанные документы в Банк для ознакомления в течение 5 (пяти) рабочих дней с момента получения документов от Банка с использованием адреса электронной почты, указанной в п. 1.4 Правил.
3.4. По итогу заполнения Карточки Партнера, Банк предварительно присваивает будущему Партнеру Уровень интеграции (подключения) Партнера, который в дальнейшем будет указан в Договоре, а также принимает решение о проведении Оценки Партнера и возможности осуществить подключение Партнера к Сервису.
3.5. В случае, если Банком предварительно присваивается будущему Партнеру Уровень интеграции (подключения) «Light», то Партнер обязуется в течение 5 (пяти) рабочих дней с момента получения от Банка решения о предварительном присвоении Партнеру Уровня интеграции (подключения) «Light» пройти Оценку Партнера, предоставив Банку заполненную Карточку партнера без направления документов и материалов, подтверждающих реализацию и выполнение мер, в соответствии с требованиями ДКБ. В случае отказа Партнера от прохождения Оценки Партнера и/или невозможности пройти Оценку Партнера, дальнейшая интеграция с Сервисом невозможна.
3.6. В случае, если Банком предварительно присваивается будущему Партнеру Уровень интеграции (подключения) «Standart» и/или «Professional», то Партнер обязуется в течение 15 (пятнадцати) рабочих дней с момента получения от Банка решения о присвоении Партнеру Уровня интеграции (подключения) «Standart» или «Professional» пройти Оценку Партнера предоставив Банку заполненную Карточку партнера и направив документы и материалы, подтверждающие реализацию и выполнение мер, в соответствии с требованиями ДКБ. В случае отказа Партнера от прохождения Оценки Партнера и/или невозможности пройти Оценку Партнера, дальнейшая интеграция с Сервисом невозможна.
3.7. Решение Банка о возможности подключения будущего Партнера к Сервису направляется Партнеру с момента получения от Партнера документов, указанных в п. 3.2. Правил, а также по результатам успешного прохождения Оценки Партнера. При этом Банк вправе по своему усмотрению отказать Партнеру в подключении к Сервису без объяснения причин.
3.8. В случае положительного решения Банка о возможности подключения Партнера к Сервису, Партнеру необходимо пройти процедуру регистрации на Портале разработчика https://api.developer.sber.ru и осуществить настройку подключения Сервиса, следуя имеющимся инструкциям².
3.9. В течение 3 (трех) рабочих дней с момента принятия Банком положительного решения о возможности подключения Партнера к Сервису, Банк направляет в адрес Партнера Договор для его последующего согласования. Партнер обязуется согласовать Договор в течение 10 (десяти) рабочих дней с момента получения экземпляра Договора от Банка и направить соответствующее уведомление в Банк с использованием адреса электронной почты, указанного в п. 1.4 Правил. В случае неполучения соответствующего уведомления от Партнера, дальнейшая интеграция (подключение) Партнера к Сервису невозможна.
3.10. Стороны подписывают и обмениваются экземплярами согласованного Договора в порядке, предусмотренном в п. 1.6. Правил, в течение 3 (трех) рабочих дней с момента получения Банком соответствующего уведомления о согласовании Договора от Партнера.
3.11. Банк не хранит Карточку Партнера, а также любую иную информацию, которая была предоставлена Партнером в ходе процесса подключения Партнера к Сервису, в случае принятия Банком решения о невозможности интеграции (подключения) Партнера к Сервису.
3.12. Партнер является самостоятельным оператором персональных данных представителя (-ей) и/или работников Партнера по смыслу Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и, выступая в качестве передающей стороны, обеспечивает и гарантирует правомерность такой передачи персональных данных в Банк в соответствии с требованиями применимого законодательства.
4. Мониторинг и взаимодействие Банка и Партнера
4.1. Банк вправе проводить плановый (ежеквартальный) и/или внеплановый (по особому требованию Банка) Мониторинг Партнера на предмет соблюдения Партнером Правил.
4.2. Банк уведомляет Партнера о проведении Мониторинга за 3 (три) рабочих дня до предполагаемой даты проведения Мониторинга с использованием адресов электронной почты, указанных в Договоре.
4.3. В ходе проведения Мониторинга, Банк направляет в адрес Партнера Карточку Партнера для актуализации указанных в ней сведений о Партнере. Партнер обязуется актуализировать Карточку Партнера в течение 3 (трех) рабочих дней с момента ее получения от Банка и направить Карточку Партнера в адрес Банка с использованием адреса электронной почты, который указан в п. 1.4 Правил.
4.4. Банк осуществляет анализ сведений, предоставленных в составе Карточки Партнера в течение 10 (десяти) рабочих дней с момента ее получения.
4.5. В случае, если на стороне Партнера имели место организационно-правовые изменения и/или число Пользователей Информационного ресурса Партнера превысило 100.000,00 (сто тысяч) уникальных Пользователей, а также Партнер намерен увеличить или сократить перечень обрабатываемых персональных данных Пользователей и/или цели их обработки, Банк вправе в ходе Мониторинга провести Оценку Партнера в соответствии с Руководством по проведению оценки уровня зрелости кибербезопасности Партнера ПАО Сбербанк. При этом Партнер обязуется в течение 15 (пятнадцати) рабочих дней с момента наступления событий, указанных в настоящем пункте, пройти Оценку Партнера в соответствии с Руководством по проведению оценки уровня зрелости кибербезопасности Партнера ПАО Сбербанк. В случае отказа Партнера от прохождения Оценки Партнера и/или невозможности пройти Оценку Партнера, дальнейшая интеграция с Сервисом невозможна.
4.6. По итогу проведения Мониторинга и Оценки Партнера, Банк направляет в адрес Партнера уведомление об успешном прохождении Мониторинга (включая сообщение о изменении или не изменении Уровня интеграции (подключения) Партнера), либо о приостановке интеграции (подключения) Партнера с Сервисом или об отключении Сервиса. В случае необходимости, результаты Мониторинга и Оценки Партнера фиксируются Сторонами в соглашении, которое является дополнением к Договору.
4.7. В случае изменения сведений, указанных Партнером в Карточке Партнера в ходе подключения к Сервису, Партнер обязуется уведомить Банк в течение 15 (пятнадцать) календарных дней о намерении актуализировать Карточку Партнера и/или о вступлении таких изменений в силу с использованием адреса электронной почты, который указан в п. 1.4. Правил.
5. Отключение Сервиса
5.1. Банк вправе по своему усмотрению приостановить интеграцию (подключение) Партнера с Сервисом и/или отключить Партнера от Сервиса с направлением соответствующего уведомления Партнеру за 5 (пять) рабочих дня до приостановки интеграции и/или отключении Партнера от Сервиса.
5.2. В случае, если Партнер не прошел Оценку Партнера в соответствии с условиями, указанными в п. 4.5. настоящих Правил, Банк вправе приостановить интеграцию Партнера с Сервисом, направив Партнеру соответствующее уведомление, с использованием адресов электронной почты, указанных в п.1.4 Правил. Если Партнер не пройдет Оценку Партнера в течение 15 (пятнадцати) рабочих дней с момента получения от Банка уведомления о приостановке интеграции с Сервисом, Банк вправе расторгнуть Договор в одностороннем порядке.
5.3. В случае нарушения Партнером настоящих Правил и/или требований действующего законодательства в области персональных данных, Банк вправе по своему усмотрению приостановить интеграцию (подключение) Партнера с Сервисом и/или отключить Партнера от Сервиса с направлением соответствующего уведомления.
5.4. В случае отключения Партнера от Сервиса, Договор расторгается Банком в одностороннем порядке в соответствии с условиями Договора.
6. Интеллектуальная собственность
6.1. Исключительное право на Сервис принадлежит Банку. Настоящие Правила не предоставляют Партнеру каких-либо прав на использование Сервиса помимо тех возможностей, которые предоставляются непосредственно в интерфейсе Сервиса.
6.2. Используя Сервис, Партнер предоставляет Банку право использования логотипа, товарного знака и/или фирменного наименования Партнера в информационных целях без необходимости получения дополнительного согласия Партнера и без выплаты ему какого-либо вознаграждения за такое использование.
7. Персональные данные
7.1. Стороны принимают на себя обязательства обеспечить конфиденциальность и безопасность персональных данных, ставших известными Сторонам в ходе использования Сервиса. При этом меры, принимаемые для обеспечения безопасности персональных данных и защиты прав субъектов персональных данных, должны соответствовать требованиям законодательства Российской Федерации.
7.2. При обработке персональных данных Стороны обязуются принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с требованиями к защите обрабатываемых персональных данных, установленными статьей 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
8. Ограничение ответственности
8.1. Партнер самостоятельно и в полном объеме несет ответственность за использование и сохранность Идентификатора Сбер ID. Партнер не имеет права получать Идентификатор Сбер ID для третьих лиц, передавать или предоставлять его третьим лицам. Банк не несет ответственности за несанкционированное использование Идентификатора Сбер ID третьими лицами. Все действия, совершенные с помощью Сервиса и с использованием переданного Партнеру Идентификатора Сбер ID, считаются совершенными Партнером.
8.2. Банк не несет ответственности за действия или бездействия Партнера, в том числе если такие действия или бездействие привели к разглашению информации, обмен которой происходил с помощью Сервиса.
Приложение № 1 к Правилам использования сервиса Сбер ID
Уровни интеграции (подключения) Партнера
| Наименование уровня | Перечень передаваемых персональных данных | Цели передачи данных | Требования к партнеру |
|---|---|---|---|
| Light |
| Аутентификация | Пройти Оценку партнера |
| Standart |
| Аутентификация и автозаполнение данных | Пройти Оценку партнера. Направить документы и материалы, подтверждающие реализацию и выполнение мер, в соответствии с требованиями ДКБ.³ |
| Professional |
| Аутентификация и автозаполнение данных Иные цели обработки данных⁵ | Пройти Оценку партнера и направить документы и материалы, подтверждающие реализацию и выполнение мер, в соответствии с требованиями ДКБ. |
¹ Условия договора размещены по ссылке
Запрос кода авторизации web и app
Запрос получения данных (User Info)
Перечень данных возможных к передаче
³ - Иные цели обработки персональных данных предварительно согласуются с Банком.
⁴ - Перечень передаваемых персональных данных предварительно согласуются Сторонами.
⁵ - В случае если число Пользователей, зарегистрированных и/или использующих Информационный ресурс Партнера превысит 100.000,00 (сто тысяч).