Политика использования файлов cookie Spectra AI
Дата составления: 2026-05-08 Дата ревизии: 2026-05-29 Версия: 1.0 (редакция от 2026-05-29) Применимое право: Российская Федерация Учтены: Методические рекомендации Роскомнадзора по работе с cookie-файлами; ст. 6, ст. 9 152-ФЗ (в т.ч. ред. ФЗ-519 от 28.12.2024 в силе с 01.09.2025); ст. 10, ст. 10.1 149-ФЗ.
1. Что такое cookie
Cookie — небольшой текстовый файл, который веб-сайт сохраняет в браузере Пользователя. Cookie позволяют сайту запоминать действия и предпочтения Пользователя (язык, тему интерфейса, сессию аутентификации) и обеспечивают корректную работу веб-приложения.
В соответствии с правоприменительной практикой Роскомнадзора, идентификаторы и значения некоторых cookie могут быть отнесены к персональным данным; в части обработки таких cookie применяются требования 152-ФЗ.
2. Категории cookie, используемые Сервисом
Сервис Spectra AI использует исключительно две категории cookie:
- Строго необходимые (essential) — обеспечивают базовую работу Сервиса, в том числе аутентификацию и защиту от подделки запросов. Без таких cookie Сервис функционировать не может. Согласие Пользователя для них не требуется (используются на основании ст. 6 ч. 1 п. 5 152-ФЗ — исполнение договора, и ст. 6 ч. 1 п. 7 — законный интерес обеспечения безопасности).
- Функциональные (functional) — улучшают пользовательский опыт (запоминание выбранной темы и языка). Не являются обязательными для работы Сервиса; используются на основании информированного согласия Пользователя.
Сервис НЕ использует:
- маркетинговые / рекламные cookie;
- аналитические cookie третьих сторон (any third-party analytics services — не подключены);
- профилирующие / трекинговые cookie третьих сторон;
- session-replay-cookie (Sentry — без записи сессий пользователей).
3. Полный перечень cookie
| Имя cookie | Категория | Назначение | Срок | Сторона | HttpOnly | Secure | SameSite |
|---|---|---|---|---|---|---|---|
theme | functional | Запоминание выбранной темы интерфейса (light / dark) | 365 дней | Spectra AI (first-party) | нет | да | Lax |
lang | functional | Запоминание выбранного языка интерфейса | 365 дней | Spectra AI (first-party) | нет | да | Lax |
next-auth.session-token | essential | Идентификатор сессии аутентификации (только в dev-окружении HTTP — НЕ применяется в production) | 30 дней | Spectra AI (first-party) | да | нет | Lax |
__Secure-next-auth.session-token | essential | Идентификатор сессии аутентификации в production (HTTPS, cookie с префиксом __Secure-, обязательный признак Secure=true) | 30 дней | Spectra AI (first-party) | да | да | Lax |
next-auth.csrf-token | essential | Защита от CSRF-атак при OAuth-аутентификации | сессия браузера | Spectra AI (first-party) | да | да | Lax |
next-auth.callback-url | essential | URL возврата после OAuth-аутентификации | сессия браузера | Spectra AI (first-party) | нет | да | Lax |
__Secure-next-auth.callback-url | essential | URL возврата после OAuth-аутентификации (HTTPS) | сессия браузера | Spectra AI (first-party) | нет | да | Lax |
Все cookie являются first-party (устанавливаются доменом Сервиса). Third-party cookie на стороне Сервиса не устанавливаются.
⚠️ В production-окружении для cookie сессии аутентификации применяется исключительно вариант с префиксом __Secure- (требует HTTPS и атрибут Secure=true). Вариант без префикса используется только в локальной разработке поверх HTTP и не присутствует в публичной редакции Сервиса.
⚠️ При использовании Google OAuth Пользователь перенаправляется на сайт Google (accounts.google.com), где Google может устанавливать собственные cookie в соответствии со своей политикой; эти cookie находятся вне контроля Оператора. Подробности — в политике конфиденциальности Google: https://policies.google.com/privacy и в политике по cookie: https://policies.google.com/technologies/cookies.
4. Правовые основания
| Категория | Основание (152-ФЗ) | Согласие требуется |
|---|---|---|
| Essential (NextAuth — сессия, CSRF, callback-url) | ст. 6 ч. 1 п. 5 (исполнение договора) + ст. 6 ч. 1 п. 7 (защита от CSRF — законный интерес безопасности) | нет |
| Functional (theme, lang) | ст. 6 ч. 1 п. 1 (согласие Пользователя) | да — opt-in либо чёткое информирование с возможностью отключения |
5. Иные технологии локального хранения данных
Сервис не использует механизмы localStorage и sessionStorage для хранения решения Пользователя по cookie-banner или иных согласий — соответствующие данные размещаются исключительно в first-party cookie с атрибутами, указанными в § 3 и § 6. Это решение принято намеренно: единое хранение факта согласия в cookie обеспечивает (а) серверное чтение решения при первой загрузке страницы (без задержки и FOUC), (б) единообразное удаление при отзыве согласия, (в) предсказуемые сроки хранения (Max-Age).
Если в будущих версиях Сервиса потребуется применение localStorage / sessionStorage для функций, относящихся к ПДн, настоящая Политика будет дополнена соответствующим разделом, а Cookie-banner — переотображён для получения нового согласия.
Управление сохранёнными решениями осуществляется:
- через интерфейс Сервиса — на странице «Настройки cookie» в профиле Пользователя (см. § 7), где доступна как индивидуальная настройка функциональных категорий, так и полный сброс согласия;
- через браузерные настройки — раздел Application → Cookies в DevTools (Chrome / Edge / Firefox / Safari) либо общий сброс данных сайта;
- путём отзыва общего согласия на cookie-баннере: при отзыве согласия functional-cookie немедленно удаляются.
6. Cookie-banner — текст и поведение
При первом визите на сайт Сервис отображает Cookie-баннер (banner) со следующим содержанием:
⚠️ Текст баннера (для UI):
«Сайт использует cookie для работы и сохранения ваших настроек (тема, язык). Маркетинговые и трекинговые cookie мы не используем. Подробнее — в Политике cookie.»
Кнопки: «Принять» | «Только необходимые» | «Настройки»
Поведение:
- Essential cookie устанавливаются всегда (без согласия — на основании п. 4 настоящей Политики).
- Functional cookie (
theme,lang) устанавливаются по умолчанию только после нажатия «Принять» или «Настройки» → включить. - Кнопка «Только необходимые» эквивалентна отказу от functional — Сервис продолжает работать, но настройки темы/языка сбрасываются на дефолт при каждом визите.
- Решение Пользователя сохраняется в first-party cookie
cookie-consent-v1со сроком 365 дней (атрибуты:Secure,SameSite=Lax,Path=/,Max-Age=31536000). Cookie содержит URL-encoded JSON ≤200 байт с полямиv(версия Политики),ts(Unix-метка),essential=1,functional=0|1. Этот служебный cookie не относится к маркетинговым / трекинговым технологиям и используется исключительно для хранения факта согласия (требование транспарентности по методическим рекомендациям РКН).localStorageдля этой цели не используется (см. § 5). - Баннер не отображается повторно при последующих визитах в течение срока действия решения; для пересмотра — раздел «Настройки cookie» в профиле Пользователя.
7. Отзыв согласия и управление cookie
7.1. Через интерфейс Сервиса (рекомендуемый способ)
Пользователь в любой момент может:
- открыть страницу «Настройки cookie» в профиле (
https://ai-spectra.ru/settings/cookies) - включить или выключить категорию «Функциональные»;
- изменения вступают в силу немедленно: при отзыве согласия functional cookie немедленно удаляются из браузера.
7.2. Через настройки браузера
Пользователь также может управлять cookie через настройки своего браузера: блокировать, удалять, ограничивать срок хранения. Инструкции для популярных браузеров:
- Chrome / Edge / Opera — раздел «Конфиденциальность и безопасность» → «Файлы cookie и другие данные сайтов»;
- Firefox — «Настройки» → «Приватность и защита» → «Куки и данные сайтов»;
- Safari — «Настройки» → «Конфиденциальность» → «Управление данными веб-сайтов».
⚠️ Блокировка essential-cookie приведёт к невозможности входа в Сервис.
7.3. Удаление cookie на стороне Сервиса при удалении учётной записи
При удалении учётной записи (DELETE /api/v1/users/me/account) NextAuth-сессия инвалидируется на сервере; cookie перестают быть рабочими (даже если физически остаются в браузере до следующего визита).
8. Раскрытие согласно методическим рекомендациям Роскомнадзора
Настоящая Политика разработана с учётом Методических рекомендаций Роскомнадзора по работе с cookie-файлами. Сервис обеспечивает:
- прозрачность — полный перечень cookie с указанием цели и срока хранения опубликован в настоящей Политике;
- информированность — Cookie-banner отображается до загрузки functional cookie, текст баннера не содержит вводящих в заблуждение формулировок (нет «тёмных паттернов»);
- opt-in для necessary-only сценария — Пользователь имеет возможность отказаться от functional cookie без потери функциональности входа;
- симметричность интерфейса — кнопки «Принять» и «Только необходимые» имеют визуально одинаковый вес (без визуального предпочтения «Принять»);
- отзывность согласия — отзыв возможен через интерфейс Сервиса, без направления отдельного письменного запроса.
9. Изменения в Политике cookie
Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция размещается по адресу https://ai-spectra.ru/legal/cookies. При существенных изменениях (добавление новых категорий cookie, появление third-party-провайдеров) Cookie-banner отображается повторно для получения актуального согласия.
10. Контакты
Вопросы по использованию cookie направляются на email:
privacy@ai-spectra.ru.