Политика конфиденциальности

Настоящая Политика регулирует сбор, хранение, использование и защиту персональных данных пользователей сервиса Qrbon (сайт qrbon.io и мобильное приложение Qrbon Ops, далее — «Сервис»). Сервис принадлежит и управляется компанией ZiyaraGo Technologies («Компания», «мы»). Использование Сервиса означает согласие с настоящей Политикой.

1. Какие данные мы обрабатываем

Мы собираем минимальный набор данных, необходимый для работы Сервиса:

• Идентификация: название заведения, ФИО владельца / сотрудника, должность.
• Контакты: номер телефона, email, физический адрес заведения.
• Аккаунт: логин, пароль (хеш), история активности.
• Платёжные данные: частично маскированные данные карт для безналичной оплаты подписки.
• Технические данные: IP-адрес, тип устройства, cookies, журналы приложения.
• Операционные данные: заказы, статусы, истории доставок (необходимо для функционирования платформы).
• Push-токены: FCM token (Android) и APNs token (iOS) — только для доставки уведомлений о заказах.

Мы не собираем биометрические данные, политические взгляды, религиозные убеждения, данные о здоровье, геолокацию устройства, контакты, фото/видео из галереи, рекламные идентификаторы и ATT-трекинг.

2. Цели обработки

• Создание и ведение аккаунтов;
• Предоставление доступа к QR-витрине, заказам, логистике и интеграциям;
• Обработка платежей и подписок;
• Уведомления о заказах и системных событиях (push, email);
• Улучшение Сервиса и техническая поддержка;
• Соблюдение требований законодательства (KSA PDPL, Узбекистан «О персональных данных», ЕС GDPR — если применимо).

3. Третьи стороны (sub-processors)

Мы передаём данные следующим обработчикам исключительно для целей, перечисленных выше:

• Google Firebase (Cloud Messaging, Firestore) — push-уведомления и синхронизация заказов. Юрисдикция: США / ЕС.
• Apple APNs — доставка push на iOS. Юрисдикция: США.
• OpenStreetMap — отображение карт (передаётся только IP).
• Платёжные провайдеры (Payme, Click, mada, Apple Pay) — обработка платежей в рамках соответствующих юрисдикций.
• Хостинг-провайдер — Hetzner Online GmbH (ЕС, Германия).

4. Правовые основания

• Исполнение договора — для всех данных, связанных с подпиской и работой платформы;
• Согласие пользователя — для push-уведомлений (системный диалог iOS / Android);
• Законный интерес — для аналитики и безопасности;
• Требования законодательства — налоговый и бухгалтерский учёт.

5. Сроки хранения

• JWT-токены в приложении — до выхода из аккаунта или истечения refresh-токена;
• Аккаунт и заведение — до отзыва доступа администратором;
• История заказов и финансов — 3 года (бухгалтерия);
• Push-токены — до удаления приложения или logout (отзываются автоматически).

6. Ваши права

Вы вправе: получить доступ к своим данным, исправить их, удалить, ограничить или возразить против обработки, подать жалобу в надзорный орган (Saudi Data & AI Authority в KSA; Агентство по защите персональных данных в Узбекистане). Запрос направляйте на [email protected].

7. Безопасность

• Все сетевые запросы — HTTPS / TLS 1.2+;
• Пароли хранятся только в виде хеша (bcrypt);
• Токены в мобильном приложении — в Keychain (iOS) / EncryptedSharedPreferences (Android);
• Бэкенд требует Bearer JWT для всех закрытых endpoint'ов.

8. Дети

Сервис предназначен только для лиц старше 18 лет — сотрудников коммерческих заведений. Мы не обрабатываем данные несовершеннолетних умышленно.

9. Изменения политики

Существенные изменения мы анонсируем в приложении и/или по email не менее чем за 7 дней до вступления в силу. Дата последней редакции — в начале документа.