गोपनीयता नीति

जब आप SMSCode का उपयोग करते हैं तो हम निम्नलिखित श्रेणियों का डेटा एकत्र करते हैं:

अकाउंट डेटा

• ईमेल पता (लॉगिन और नोटिफ़िकेशन के लिए उपयोग किया जाता है)।
• पासवर्ड (argon2 हैश के रूप में स्टोर किया जाता है — हम कभी भी प्लेनटेक्स्ट पासवर्ड स्टोर नहीं करते)।

Google Sign-In डेटा

यदि आप Google से साइन इन करते हैं, तो हम आपके Google अकाउंट से निम्नलिखित डेटा एक्सेस करते हैं:

• ईमेल पता — आपके अकाउंट की पहचान और सेवा संचार के लिए उपयोग किया जाता है।
• Google user ID — आपके Google अकाउंट को आपके SMSCode अकाउंट से जोड़ने के लिए उपयोग किया जाता है।

हम केवल ऑथेंटिकेशन के लिए आवश्यक न्यूनतम स्कोप का अनुरोध करते हैं (email और openid)। हम आपके Google कॉन्टैक्ट्स, कैलेंडर, ड्राइव, या किसी अन्य Google सेवाओं तक पहुँच नहीं करते।

लेनदेन डेटा

• ऑर्डर इतिहास (नंबर रेंटल, सेवा, देश, टाइमस्टैम्प, स्टेटस)।
• डिपॉज़िट इतिहास (राशि, भुगतान विधि, स्टेटस)।
• अकाउंट बैलेंस और लेनदेन रिकॉर्ड।

मोबाइल ऐप डेटा

• Firebase Cloud Messaging (FCM) डिवाइस टोकन — ऑर्डर अपडेट और अकाउंट गतिविधि के बारे में पुश नोटिफ़िकेशन भेजने के लिए उपयोग किया जाता है।
• पुश नोटिफ़िकेशन प्राथमिकताएँ (सक्षम/अक्षम)।
• डिवाइस का नाम (वैकल्पिक, आपके अकाउंट में डिवाइस की पहचान के लिए)।

उपयोग डेटा

• IP एड्रेस और अनुमानित भौगोलिक स्थान।
• डिवाइस और ब्राउज़र की जानकारी (user agent)।
• सर्वर लॉग्स (रिक्वेस्ट टाइमस्टैम्प, एक्सेस किए गए endpoint)।

API उपयोग डेटा

• API रिक्वेस्ट लॉग्स (endpoint, टाइमस्टैम्प, रिस्पॉन्स कोड)।
• Rate limit काउंटर।

• सेवा वितरण — नंबर रेंटल प्रोसेस करना, आपका बैलेंस प्रबंधित करना, और ऑर्डर पूरा करना।
• ऑथेंटिकेशन — आपका ईमेल और Google user ID (यदि Google Sign-In का उपयोग कर रहे हैं) केवल अकाउंट ऑथेंटिकेशन और पहचान के लिए उपयोग किया जाता है। हम Google उपयोगकर्ता डेटा का उपयोग विज्ञापन, प्रोफ़ाइलिंग, या SMSCode सेवा प्रदान करने से असंबंधित किसी भी उद्देश्य के लिए नहीं करते।
• पुश नोटिफ़िकेशन — FCM डिवाइस टोकन का उपयोग विशेष रूप से आपके मोबाइल डिवाइस पर ऑर्डर अपडेट, डिपॉज़िट पुष्टिकरण, और अकाउंट सुरक्षा अलर्ट भेजने के लिए किया जाता है।
• धोखाधड़ी रोकथाम — दुरुपयोग, अनधिकृत पहुँच, और नीति उल्लंघन का पता लगाना और रोकना।
• एनालिटिक्स — प्लेटफ़ॉर्म की विश्वसनीयता और प्रदर्शन में सुधार के लिए उपयोग पैटर्न को समझना।
• सपोर्ट — आपकी पूछताछ का जवाब देना और आपके अकाउंट या ऑर्डर से संबंधित समस्याओं का समाधान करना।
• संवाद — सेवा-संबंधित नोटिफ़िकेशन भेजना (ऑर्डर अपडेट, सुरक्षा अलर्ट)। हम आपकी सहमति के बिना मार्केटिंग ईमेल नहीं भेजते।

• OTP कोड अस्थायी हैं — प्राप्त SMS सामग्री (OTP कोड) आपको रीयल-टाइम में दिखाई जाती है और ऑर्डर एक्सपायर या पूरा होने के बाद लंबे समय तक स्टोर नहीं की जाती।
• फ़ोन नंबर अस्थायी हैं — किराए पर लिए गए नंबर अस्थायी होते हैं और रेंटल अवधि समाप्त होने के बाद रीसाइकल कर दिए जाते हैं। हम सक्रिय ऑर्डर से परे किराए के नंबरों को आपकी पहचान से नहीं जोड़ते।
• कोई कॉल डेटा नहीं — SMSCode केवल SMS वेरिफ़िकेशन को संभालता है; हम वॉइस कॉल या कॉल मेटाडेटा प्रोसेस नहीं करते।

• भुगतान तृतीय-पक्ष गेटवे (Duitku, Heleket) द्वारा प्रोसेस किए जाते हैं। हम आपके क्रेडिट कार्ड, बैंक अकाउंट, या भुगतान साधन का विवरण स्टोर नहीं करते।
• हम समाधान और सपोर्ट उद्देश्यों के लिए लेनदेन संदर्भ (पेमेंट गेटवे ID, राशि, स्टेटस) स्टोर करते हैं।
• पेमेंट गेटवे प्रोवाइडर की अपनी गोपनीयता नीतियाँ हैं जो यह नियंत्रित करती हैं कि वे आपकी भुगतान जानकारी को कैसे संभालते हैं।

हम केवल तभी डेटा साझा करते हैं जब सेवा प्रदान करने के लिए यह आवश्यक हो। निम्नलिखित तृतीय-पक्ष प्रसंस्करणकर्ताओं की श्रेणियों की पूरी सूची है जिन्हें हम नियुक्त करते हैं; विस्तृत परिचालन स्थान और हस्तांतरण सुरक्षा उपाय खंड 13 (अंतर्राष्ट्रीय डेटा हस्तांतरण) में वर्णित हैं।

• Cloudflare, Inc. — सामग्री वितरण नेटवर्क, DDoS सुरक्षा और निर्गमन नेटवर्किंग। IP पते, अनुरोध मेटाडेटा और पारगमन में TLS-समाप्त ट्रैफ़िक संसाधित करता है।
• Resend, Inc. — लेन-देन ईमेल वितरण (सत्यापन, पासवर्ड रीसेट, ऑर्डर सूचनाएँ)। आपके ईमेल पते और संदेश सामग्री को संसाधित करता है।
• अपस्ट्रीम SMS प्रदाता — वर्चुअल नंबर किराया और इनबाउंड SMS रूटिंग। हम किराए को पूरा करने के लिए न्यूनतम ऑर्डर पैरामीटर (देश, सेवा) भेजते हैं; हम आपकी पहचान या खाता डेटा प्रदाताओं के साथ साझा नहीं करते।
• भुगतान गेटवे — जमा पूरा करने के लिए लेन-देन डेटा भुगतान प्रोसेसर के साथ साझा किया जाता है। हम पूर्ण भुगतान-उपकरण विवरण प्राप्त या संग्रहीत नहीं करते।
• Firebase Cloud Messaging (Google) — FCM डिवाइस टोकन पुश सूचनाएँ वितरित करने के लिए Google की Firebase सेवा को भेजे जाते हैं। Firebase के साथ कोई अन्य व्यक्तिगत डेटा साझा नहीं किया जाता।
• क़ानून प्रवर्तन — हम क़ानून, न्यायालय के आदेश द्वारा आवश्यक होने पर, या SMSCode, हमारे उपयोगकर्ताओं या जनता के अधिकारों, संपत्ति या सुरक्षा की रक्षा के लिए डेटा प्रकट कर सकते हैं।

हम आपके व्यक्तिगत डेटा को तृतीय पक्षों को नहीं बेचते। हम आपके व्यक्तिगत डेटा को विज्ञापनदाताओं के साथ साझा नहीं करते। हम किसी भी डेटा ब्रोकर या विज्ञापन नेटवर्क में भाग नहीं लेते। Google Sign-In के माध्यम से प्राप्त Google उपयोगकर्ता डेटा कभी भी किसी तृतीय पक्ष के साथ साझा नहीं किया जाता और केवल SMSCode के भीतर प्रमाणीकरण के लिए विशेष रूप से उपयोग किया जाता है।

• ऑर्डर इतिहास — समाधान, सपोर्ट और ऑडिट उद्देश्यों के लिए बनाए रखा जाता है।
• OTP/SMS सामग्री — ऑर्डर एक्सपायर या पूरा होने के बाद हटा दी जाती है।
• अकाउंट डेटा — जब तक आपका अकाउंट सक्रिय है तब तक बनाए रखा जाता है।
• सर्वर लॉग्स — सुरक्षा और डिबगिंग उद्देश्यों के लिए 90 दिनों तक बनाए रखे जाते हैं।
• FCM डिवाइस टोकन — जब आप किसी डिवाइस को अनरजिस्टर करते हैं या अपना अकाउंट डिलीट करते हैं, तो तुरंत हटा दिए जाते हैं।

अकाउंट डिलीशन और डेटा क्लीनअप

आप वेब डैशबोर्ड या मोबाइल ऐप पर अकाउंट सेटिंग्स से किसी भी समय अपना अकाउंट डिलीट कर सकते हैं। जब आप अकाउंट डिलीट करते हैं:

• आपका अकाउंट तुरंत soft-delete हो जाता है (स्टेटस "Deleted" पर सेट)।
• आपका शेष बैलेंस ज़ब्त होकर अंतिम लेनदेन के रूप में रिकॉर्ड किया जाता है।
• सभी सक्रिय सेशन (वेब और मोबाइल) तुरंत रद्द कर दिए जाते हैं।
• FCM डिवाइस टोकन और पुश सब्सक्रिप्शन हटा दिए जाते हैं।
• API टोकन और webhook कॉन्फ़िगरेशन हटा दिए जाते हैं।
• 30-दिन की पुनः पंजीकरण प्रतीक्षा अवधि लागू होती है — इस अवधि के दौरान आप उसी ईमेल से नया अकाउंट नहीं बना सकते।
• 30 दिनों के बाद, एक शेड्यूल्ड टास्क आपकी व्यक्तिगत पहचान जानकारी (PII) को स्थायी रूप से हटा देता है: ईमेल को एक पहचान-रहित प्लेसहोल्डर से बदल दिया जाता है, पासवर्ड हैश मिटा दिया जाता है, और आपका Google user ID हटा दिया जाता है।
• लेनदेन इतिहास और ऑर्डर रिकॉर्ड लेखांकन और कानूनी अनुपालन के लिए अनामित रूप में बनाए रखे जाते हैं।

• हम आपके ऑथेंटिकेटेड सेशन को बनाए रखने के लिए एक httpOnly सेशन कुकी (__session) का उपयोग करते हैं। यह कुकी एन्क्रिप्टेड है और क्लाइंट-साइड स्क्रिप्ट द्वारा पढ़ी नहीं जा सकती।
• हम ट्रैकिंग कुकीज़, एडवर्टाइज़िंग कुकीज़, या तृतीय-पक्ष एनालिटिक्स कुकीज़ का उपयोग नहीं करते।
• कुकी बैनर की आवश्यकता नहीं है क्योंकि हम केवल ऑथेंटिकेशन के लिए अनिवार्य रूप से आवश्यक कुकीज़ का उपयोग करते हैं।

डेटा स्टोरेज

• इंफ़्रास्ट्रक्चर — सभी डेटा हमारे द्वारा संचालित डेडिकेटेड सर्वर पर स्टोर किया जाता है। हम उपयोगकर्ता डेटा के लिए शेयर्ड क्लाउड होस्टिंग का उपयोग नहीं करते।
• डेटाबेस — उपयोगकर्ता डेटा PostgreSQL में स्टोर किया जाता है जिसमें केवल एप्लिकेशन सर्विसेज़ को ही एक्सेस दिया गया है।
• ट्रांज़िट में एन्क्रिप्शन — आपके और हमारे सर्वर के बीच सारा ट्रैफ़िक TLS (HTTPS) के माध्यम से एन्क्रिप्ट किया जाता है।
• सेशन एन्क्रिप्शन — सेशन कुकीज़ AES-256-GCM से एन्क्रिप्ट की जाती हैं।

डेटा सुरक्षा

• पासवर्ड हैशिंग — पासवर्ड argon2 से हैश किए जाते हैं, जो ब्रूट-फ़ोर्स अटैक के प्रतिरोधी मेमोरी-हार्ड एल्गोरिदम है।
• CSRF सुरक्षा — स्टेट-चेंजिंग endpoint CSRF से सुरक्षित हैं।
• Rate limiting — दुरुपयोग रोकने के लिए API और ऑथ endpoint पर rate limit लागू हैं।
• एक्सेस कंट्रोल — आंतरिक सेवाएँ सीक्रेट कीज़ के साथ ऑथेंटिकेटेड चैनलों के माध्यम से संवाद करती हैं। डेटाबेस और कैश सेवाएँ एक प्राइवेट नेटवर्क में अलग की गई हैं जो इंटरनेट से एक्सेसिबल नहीं है।

हम इंडस्ट्री-स्टैंडर्ड सुरक्षा उपाय लागू करते हैं, लेकिन कोई भी सिस्टम 100% सुरक्षित नहीं है। यदि आपको कोई सुरक्षा कमज़ोरी मिलती है, तो कृपया इसे [email protected] पर रिपोर्ट करें।

आपको निम्नलिखित अधिकार हैं:

• एक्सेस — हमारे पास मौजूद आपके व्यक्तिगत डेटा की एक प्रति का अनुरोध करें।
• सुधार — गलत व्यक्तिगत डेटा में सुधार का अनुरोध करें।
• डिलीट — अपनी अकाउंट सेटिंग्स (वेब या मोबाइल ऐप) से सीधे अपना अकाउंट और संबंधित व्यक्तिगत डेटा डिलीट करें। डिलीट करने के 30 दिनों के भीतर व्यक्तिगत डेटा पूरी तरह हटा दिया जाता है। आप हमसे संपर्क करके भी डिलीट का अनुरोध कर सकते हैं।
• एक्सपोर्ट — अपने डेटा को पोर्टेबल फ़ॉर्मेट में अनुरोध करें।

एक्सेस, सुधार, या एक्सपोर्ट के अधिकारों का उपयोग करने के लिए, हमसे [email protected] पर संपर्क करें। हम 30 दिनों के भीतर जवाब देंगे।

यदि आप कैलिफ़ोर्निया के निवासी हैं, तो California Consumer Privacy Act (CCPA), जैसा कि California Privacy Rights Act (CPRA) द्वारा संशोधित किया गया है, आपको खंड 9 (आपके अधिकार) में उल्लिखित अधिकारों के अतिरिक्त, आपकी व्यक्तिगत जानकारी के संबंध में विशिष्ट अधिकार प्रदान करता है।

जानने का अधिकार। आप अनुरोध कर सकते हैं कि हम आपके बारे में एकत्रित की गई व्यक्तिगत जानकारी की श्रेणियाँ और विशिष्ट टुकड़े, उस जानकारी के स्रोत, एकत्र करने या प्रकट करने के उद्देश्य, और उन तृतीय पक्षों की श्रेणियाँ प्रकट करें जिनके साथ हम साझा करते हैं। हमारी द्वारा एकत्रित श्रेणियाँ खंड 1 (हम कौन सा डेटा एकत्र करते हैं) में विस्तार से दी गई हैं।

हटाने का अधिकार। आप अनुरोध कर सकते हैं कि हम आपके बारे में एकत्रित व्यक्तिगत जानकारी को हटा दें, कुछ क़ानूनी अपवादों के अधीन (उदाहरण के लिए, लेन-देन पूरा करने, सुरक्षा घटनाओं का पता लगाने, या क़ानूनी दायित्व का पालन करने के लिए)।

सुधार का अधिकार। आप अनुरोध कर सकते हैं कि हम आपके बारे में बनाए गए अशुद्ध व्यक्तिगत डेटा को सुधारें।

बिक्री या साझाकरण से बाहर निकलने का अधिकार। हम आपकी व्यक्तिगत जानकारी को तृतीय पक्षों को नहीं बेचते, और हम इसे क्रॉस-कॉन्टेक्स्ट व्यवहारिक विज्ञापन के लिए साझा नहीं करते। बाहर निकलने के लिए कुछ भी नहीं है, लेकिन हम इसे स्पष्ट रूप से बताते हैं ताकि आप जान सकें।

संवेदनशील व्यक्तिगत जानकारी के उपयोग को सीमित करने का अधिकार। हम सेवा प्रदान करने के लिए आवश्यक उद्देश्यों से परे संवेदनशील व्यक्तिगत जानकारी (जैसा कि CPRA द्वारा परिभाषित है) का उपयोग नहीं करते।

ग़ैर-भेदभाव का अधिकार। हम इन अधिकारों में से किसी का भी प्रयोग करने के लिए आपके साथ भेदभाव नहीं करेंगे। आपकी सेवा अनुभव नहीं बदलेगा, और कोई शुल्क, शर्तें, या सेवा की गुणवत्ता प्रभावित नहीं होगी।

कैसे प्रयोग करें। किसी भी CCPA अधिकार का उपयोग करने के लिए, हमसे [email protected] पर संपर्क करें। हम प्रतिक्रिया देने से पहले आपकी पहचान सत्यापित करेंगे और 45 दिनों के भीतर जवाब देंगे (उचित रूप से आवश्यक होने पर अतिरिक्त 45 दिनों तक बढ़ाया जा सकता है)।

SMSCode तृतीय-पक्ष वेब एनालिटिक्स सेवाओं, व्यवहारिक ट्रैकिंग उपकरणों, या विज्ञापन प्रौद्योगिकी का उपयोग नहीं करता है। विशेष रूप से:

• हम Google Analytics, Mixpanel, Amplitude, Hotjar, Segment या किसी समान एनालिटिक्स सेवा का उपयोग नहीं करते;
• हम किसी भी पृष्ठ पर ट्रैकिंग पिक्सेल, मार्केटिंग टैग, या रीटार्गेटिंग स्क्रिप्ट नहीं एम्बेड करते;
• हम किसी भी विज्ञापन नेटवर्क या क्रॉस-साइट विज्ञापन पारिस्थितिकी तंत्र में भाग नहीं लेते;
• हम मार्केटिंग या अनुशंसा उद्देश्यों के लिए व्यक्तिगत उपयोगकर्ताओं के व्यवहारिक प्रोफ़ाइल नहीं बनाते।

आपकी सेवा के उपयोग के बारे में हम जो एकमात्र डेटा एकत्र करते हैं वह सेवा प्रदान करने और सुरक्षित करने के लिए आवश्यक परिचालन डेटा है: सर्वर अनुरोध लॉग, रेट-लिमिट काउंटर, ऑर्डर इतिहास, और सत्र कुकीज़। ये विस्तार से खंड 1 (हम कौन सा डेटा एकत्र करते हैं), खंड 7 (कुकीज़ और सत्र), और खंड 8 (सुरक्षा उपाय) में वर्णित हैं। सर्वर लॉग सुरक्षा और डिबगिंग उद्देश्यों के लिए 90 दिनों तक बनाए रखे जाते हैं, फिर हटा दिए जाते हैं।

यदि हम भविष्य में कभी एनालिटिक्स पेश करते हैं, तो परिवर्तन लागू होने से पहले यह गोपनीयता नीति अपडेट की जाएगी, और आपको खंड 14 (इस नीति में परिवर्तन) के अनुसार सूचित किया जाएगा।

SMSCode 18 वर्ष से कम आयु के किसी भी व्यक्ति के उपयोग के लिए नहीं है। हम जानबूझकर बच्चों से व्यक्तिगत डेटा एकत्र नहीं करते। यदि आपको लगता है कि 18 वर्ष से कम आयु के किसी बच्चे ने हमें व्यक्तिगत डेटा प्रदान किया है, तो कृपया हमसे संपर्क करें और हम इसे तुरंत हटा देंगे।

Void Zero Ltd यूनाइटेड किंगडम में स्थित है, और आपके द्वारा प्रदान किया गया व्यक्तिगत डेटा मुख्य रूप से UK और यूरोपीय आर्थिक क्षेत्र (EEA) में प्रसंस्कृत किया जाता है। सेवा प्रदान करने के लिए, हम उप-प्रसंस्करणकर्ताओं और तृतीय-पक्ष अवसंरचना का उपयोग करते हैं जो आपके डेटा को अन्य अधिकार क्षेत्रों में प्रसंस्कृत कर सकते हैं, जिसमें संयुक्त राज्य अमेरिका और UK/EEA के बाहर के अन्य देश शामिल हैं।

हस्तांतरण तंत्र

जब हम UK या EEA से ऐसे देश में व्यक्तिगत डेटा हस्तांतरित करते हैं जिसे UK Information Commissioner's Office (ICO) या यूरोपीय आयोग से पर्याप्तता का निर्णय प्राप्त नहीं हुआ है, तो हम निम्नलिखित एक या अधिक सुरक्षा उपायों पर निर्भर करते हैं:

• उप-प्रसंस्करणकर्ताओं के साथ हमारे अनुबंधों में शामिल UK International Data Transfer Addendum (UK IDTA);
• EU डेटा के लिए यूरोपीय आयोग द्वारा अनुमोदित Standard Contractual Clauses (SCCs, निर्णय 2021/914);
• ऐसे अधिकार क्षेत्रों के संबंध में पर्याप्तता निर्णय जिन्हें अनिवार्य रूप से समकक्ष स्तर की सुरक्षा प्रदान करने वाला माना गया है (जिसमें Data Privacy Framework के तहत योग्य अमेरिकी प्राप्तकर्ताओं के लिए UK Data Bridge शामिल है);
• UK GDPR अनुच्छेद 46 या EU GDPR अनुच्छेद 46 के तहत मान्यता प्राप्त अन्य सुरक्षा उपाय।

आगे के हस्तांतरण नियंत्रण

आपके व्यक्तिगत डेटा को प्राप्त करने वाले सभी उप-प्रसंस्करणकर्ता लिखित अनुबंधों से बाध्य हैं जो उन्हें अपेक्षित करते हैं कि वे: (a) केवल Void Zero Ltd के प्रलेखित निर्देशों पर डेटा प्रसंस्कृत करें; (b) उपयुक्त तकनीकी और संगठनात्मक सुरक्षा उपाय लागू करें; (c) डेटा तक पहुँच रखने वाले कर्मियों की गोपनीयता सुनिश्चित करें; (d) डेटा विषय अधिकार अनुरोधों को पूरा करने में हमारी सहायता करें; और (e) अनुबंध समाप्ति पर डेटा हटाएँ या वापस करें। ये दायित्व UK GDPR अनुच्छेद 28 और EU GDPR अनुच्छेद 28 की आवश्यकताओं का पालन करते हैं।

वर्तमान उप-प्रसंस्करणकर्ता श्रेणियाँ

उप-प्रसंस्करणकर्ता जो UK/EEA के बाहर आपके डेटा को प्रसंस्कृत कर सकते हैं उनमें शामिल हैं, लेकिन इन्हीं तक सीमित नहीं हैं:

• Cloudflare, Inc. (संयुक्त राज्य अमेरिका) — सामग्री वितरण, DDoS सुरक्षा, और निर्गमन नेटवर्किंग;
• Resend, Inc. (संयुक्त राज्य अमेरिका) — लेन-देन ईमेल वितरण;
• अंतर्राष्ट्रीय स्तर पर संचालित SMS प्रदाता भागीदार — वर्चुअल नंबर किराए और आगमन SMS रूटिंग (खंड 3 देखें);
• भुगतान गेटवे — जमा राशियों के लिए लेन-देन भुगतान प्रसंस्करण (खंड 4 देखें)।

आपके अधिकार

आप [email protected] पर हमसे संपर्क करके अपने डेटा पर लागू हस्तांतरण सुरक्षा उपायों की एक प्रति का अनुरोध कर सकते हैं। हम खंड 9 (आपके अधिकार) और GDPR अनुच्छेद 12 में वर्णित अनुसार 30 दिनों के भीतर प्रतिक्रिया देंगे।

हम समय-समय पर इस गोपनीयता नीति को अपडेट कर सकते हैं। महत्वपूर्ण परिवर्तन ईमेल या प्लेटफ़ॉर्म पर नोटिस के माध्यम से सूचित किए जाएँगे। ऊपर दी गई "अंतिम अपडेट" तिथि सबसे हालिया संशोधन को दर्शाती है।

गोपनीयता-संबंधित प्रश्नों या अनुरोधों के लिए, हमसे [email protected] पर संपर्क करें।

सामान्य सपोर्ट के लिए, हमसे [email protected] पर संपर्क करें।