Сколько времени занимает запуск?

Стандартный запуск — 7 рабочих дней с момента получения материалов. На тарифе Бизнес можно ускорить до 5 дней.

Бот работает только по скрипту?

Бот отвечает строго в рамках ваших инструкций и базы знаний. Если вопрос выходит за рамки — уведомляет менеджера в Telegram с контекстом диалога.

Какая гарантия возврата?

14 дней после запуска. Если результат не соответствует ТЗ — возвращаем 100% предоплаты.

Какие CRM поддерживаются?

Интеграция работает через webhook — подходит для любой CRM с поддержкой входящих вебхуков. Входит в тарифы Бизнес и Корпорация.

Можно ли изменить скрипт после запуска?

Да, в любой момент через личный кабинет. Изменения применяются мгновенно.

Что будет, если мы перестанем платить?

Бот переводится в архив. Все настройки и базу знаний сохраняем. При возобновлении — восстановление без потерь.

Как бот обрабатывает нестандартные вопросы?

Уведомляет менеджера в Telegram с контекстом переписки. Полный диалог доступен в CRM.

Compliance

152-ФЗ compliance чек-лист для AI-чатбота

12 обязательных шагов для соответствия 152-ФЗ при внедрении чат-бота в 2026 году. С актуальными ссылками на статьи закона и примерами реализации. Для владельцев бизнеса, РЗПД и интеграторов.

Уведомить Роскомнадзор о намерении обрабатывать ПДн

Подать уведомление через Госуслуги (бесплатно)
Указать цель обработки: «автоматизированная обработка обращений клиентов»
Перечислить категории ПДн: имя, телефон, email, история диалога
Срок: до начала обработки
Штраф за неподачу: 75 000-300 000 ₽ для юрлица

Получить письменное согласие на обработку ПДн

Добавить checkbox в форму на сайте с текстом согласия
Первое сообщение бота должно включать ссылку на Политику обработки ПД
Хранить timestamp согласия в БД + IP + user-agent
Шаблон согласия опубликовать в открытом доступе на /privacy
Для медицинских данных — дополнительное письменное согласие в бумажном виде

Обеспечить хранение ПДн на серверах в РФ (242-ФЗ)

Использовать Yandex Cloud, Sber Cloud, VK Cloud, Selectel или собственные сервера в РФ
НЕ использовать AWS, Google Cloud, Azure, DigitalOcean (серверы вне РФ)
Проверить геолокацию серверов провайдера — запросить подтверждение
В договоре с провайдером зафиксировать локализацию

Обезличивание ПДн перед отправкой в LLM

Перед отправкой текста в OpenAI/Anthropic/Google — заменить имена, телефоны, адреса, номера карт на плейсхолдеры
Пример: «Иванов Иван» → «[ИМЯ]», «+7999...» → «[ТЕЛЕФОН]»
Для LLM внутри РФ (GigaChat, YandexGPT) — обезличивание опционально
Реализовать regex-based PII detector + LLM-based fallback

Audit log с immutability

Таблица audit_log с колонками: timestamp, user_id, action, data_accessed
PostgreSQL trigger блокирует UPDATE и DELETE на audit_log
Хранение минимум 3 года
Доступ только для РЗПД (ответственный за защиту ПДн)
Периодический audit — раз в квартал

Реализовать команды /my_data и /delete_my_data (RTBF)

Пользователь может в любой момент запросить свои данные (ст. 14)
Срок исполнения: 30 дней (ст. 20)
Команда /my_data должна выдать JSON/CSV со всеми ПДн пользователя
Команда /delete_my_data должна удалить ПДн из БД + логов + LLM-провайдера
Уведомить пользователя о факте удаления в течение 30 дней

Подписать DPA с провайдером (если SaaS)

DPA = Data Processing Agreement, доп. соглашение об обработке ПДн
В DPA: роли (оператор vs обработчик), категории данных, срок хранения, процедуры в случае утечки
Обязательно для SaaS-ботов (Salebot, BotHelp, Tyaga Lab Бизнес)
НЕ требуется для Edge-Node (где провайдер не получает ПДн)
Шаблон DPA запросить у провайдера

Назначить ответственного за обработку ПДн (РЗПД)

Обязательно для юрлица-оператора ПДн (ст. 18.1)
Приказом по организации — назначить сотрудника
Его обязанности: контроль соблюдения, обучение сотрудников, взаимодействие с РКН
Контакты РЗПД опубликовать на сайте в разделе Политика обработки ПД

Data retention — ограничить срок хранения

Ст. 21: ПДн хранятся «не дольше, чем этого требуют цели обработки»
Конкретные сроки в Политике обработки ПД (например, «диалоги — 90 дней»)
Автоматическое удаление через cron-job: daily скрипт чистит устаревшее
После удаления — запись в audit_log

Шифрование at rest + in transit

TLS 1.3 для всех соединений клиент-сервер (Let's Encrypt)
Шифрование базы данных (PostgreSQL pgcrypto или TDE)
Шифрование бэкапов (gpg + отдельный ключ)
Secret management через Vault / Sber Secret / 1Password

Процедура реагирования на утечку

Инцидент-план: кто принимает решение, кто уведомляет РКН, кто уведомляет пользователей
Уведомление РКН — в течение 24 часов с момента обнаружения (ст. 21, ч. 12)
Уведомление пользователей — согласно регламенту
Регламент утверждается РЗПД и обновляется ежегодно

Для медицинских/юр. фирм — дополнительные требования

Медданные — спецкатегория ПДн (ст. 10): письменное согласие обязательно
242-ФЗ о телемедицине запрещает боту ставить диагноз/назначать лечение — добавить stop-list
Для юр. фирм: адвокатская тайна требует отдельного режима конфиденциальности
Рекомендуется Edge-Node — ПДн не покидают контур клиента
Compliance Pack в договоре: DPA, NDA, audit, 152-ФЗ аудит

Нужна помощь с реализацией?

Весь чек-лист реализован в Tyaga Lab Корпоратив и Enterprise тарифах из коробки. Compliance Pack (DPA + NDA + audit + Edge-Node) включён.

Обсудить пилот К ресурсам