Политика конфиденциальности

При использовании SMSCode мы собираем следующие категории данных:

Данные аккаунта

• Адрес электронной почты (используется для входа и уведомлений).
• Пароль (хранится в виде хеша argon2 — мы никогда не храним пароли в открытом виде).

Данные Google Sign-In

Если вы входите через Google, мы получаем следующие данные из вашего аккаунта Google:

• Адрес электронной почты — используется как идентификатор вашего аккаунта и для сервисных уведомлений.
• Идентификатор пользователя Google — используется для привязки вашего аккаунта Google к аккаунту SMSCode.

Мы запрашиваем только минимально необходимые разрешения для аутентификации (email и openid). Мы не получаем доступ к вашим контактам, календарю, диску или другим сервисам Google.

Данные транзакций

• История заказов (аренда номеров, сервис, страна, временные метки, статус).
• История пополнений (суммы, способ оплаты, статус).
• Баланс аккаунта и записи о транзакциях.

Данные мобильного приложения

• Токены устройств Firebase Cloud Messaging (FCM) — используются для доставки push-уведомлений об обновлениях заказов и активности аккаунта.
• Настройки push-уведомлений (включены/отключены).
• Название устройства (необязательно, для идентификации устройств в вашем аккаунте).

Данные об использовании

• IP-адрес и приблизительная геолокация.
• Информация об устройстве и браузере (user agent).
• Серверные логи (временные метки запросов, используемые endpoint).

Данные об использовании API

• Логи API-запросов (endpoint, временные метки, коды ответов).
• Счётчики rate limit.

• Оказание услуг — Обработка аренды номеров, управление балансом и выполнение заказов.
• Аутентификация — Ваш адрес электронной почты и идентификатор Google (при использовании Google Sign-In) применяются исключительно для аутентификации и идентификации аккаунта. Мы не используем данные Google для рекламы, профилирования или каких-либо целей, не связанных с предоставлением сервиса SMSCode.
• Push-уведомления — Токены устройств FCM используются исключительно для доставки уведомлений об обновлениях заказов, подтверждений пополнений и предупреждений безопасности на ваше мобильное устройство.
• Предотвращение мошенничества — Выявление и предотвращение злоупотреблений, несанкционированного доступа и нарушений правил.
• Аналитика — Анализ паттернов использования для повышения надёжности и производительности платформы.
• Поддержка — Ответы на ваши обращения и решение проблем с аккаунтом или заказами.
• Коммуникация — Отправка сервисных уведомлений (обновления заказов, предупреждения безопасности). Мы не отправляем маркетинговые рассылки без вашего согласия.

• OTP-коды являются временными — Содержимое полученных SMS (OTP-коды) отображается в реальном времени и не хранится длительное время после истечения или завершения заказа.
• Телефонные номера временные — Арендованные номера являются временными и возвращаются в пул после окончания срока аренды. Мы не связываем арендованные номера с вашей личностью за пределами активного заказа.
• Без данных о звонках — SMSCode работает только с SMS-верификацией; мы не обрабатываем голосовые вызовы или метаданные звонков.

• Платежи обрабатываются сторонними шлюзами (Duitku, Heleket). Мы не храним данные вашей банковской карты, банковского счёта или платёжных инструментов.
• Мы сохраняем ссылки на транзакции (идентификаторы платёжного шлюза, суммы, статусы) для сверки и поддержки.
• Платёжные шлюзы имеют собственные политики конфиденциальности, регулирующие обработку ваших платёжных данных.

Мы передаём данные только тогда, когда это необходимо для предоставления Сервиса. Ниже приводится полный перечень категорий сторонних обработчиков, которых мы привлекаем; детализированные операционные места и гарантии передачи описаны в Разделе 13 (Международная передача данных).

• Cloudflare, Inc. — сеть доставки контента, защита от DDoS и выходная сеть. Обрабатывает IP-адреса, метаданные запросов и TLS-завершённый трафик при передаче.
• Resend, Inc. — доставка транзакционной электронной почты (подтверждение, сброс пароля, уведомления о заказах). Обрабатывает ваш адрес электронной почты и содержание сообщения.
• Вышестоящие SMS-провайдеры — аренда виртуальных номеров и маршрутизация входящих SMS. Мы передаём минимальные параметры заказа (страна, сервис) для выполнения аренды; мы не передаём провайдерам вашу личность или данные учётной записи.
• Платёжные шлюзы — данные транзакций передаются платёжным процессорам для завершения пополнений. Мы не получаем и не храним полные данные платёжных инструментов.
• Firebase Cloud Messaging (Google) — токены устройств FCM отправляются в сервис Firebase компании Google для доставки push-уведомлений. Никакие другие персональные данные в Firebase не передаются.
• Правоохранительные органы — Мы можем раскрыть данные, если этого требует закон, судебное решение или необходимость защиты прав, собственности или безопасности SMSCode, наших пользователей или общества.

Мы не продаём ваши персональные данные третьим лицам. Мы не передаём ваши персональные данные рекламодателям. Мы не участвуем в каких-либо брокерах данных или рекламных сетях. Данные пользователей Google, полученные через Google Sign-In, никогда не передаются третьим лицам и используются исключительно для аутентификации в рамках SMSCode.

• История заказов — Хранится для целей сверки, поддержки и аудита.
• Содержимое OTP/SMS — Удаляется после истечения или завершения заказа.
• Данные аккаунта — Хранятся, пока ваш аккаунт активен.
• Серверные логи — Хранятся до 90 дней для обеспечения безопасности и отладки.
• Токены устройств FCM — Удаляются немедленно при отвязке устройства или удалении аккаунта.

Удаление аккаунта и очистка данных

Вы можете удалить свой аккаунт в любое время через настройки аккаунта на веб-панели или в мобильном приложении. При удалении аккаунта:

• Ваш аккаунт немедленно помечается как удалённый (статус «Удалён»).
• Оставшийся баланс аннулируется и фиксируется как финальная транзакция.
• Все активные сессии (веб и мобильные) немедленно отзываются.
• Токены устройств FCM и подписки на push-уведомления удаляются.
• API-токены и настройки вебхуков удаляются.
• Действует 30-дневный период ожидания для повторной регистрации — в течение этого срока вы не можете создать новый аккаунт с тем же адресом электронной почты.
• По истечении 30 дней запланированная задача безвозвратно удаляет ваши персональные данные (PII): адрес электронной почты заменяется неидентифицируемым значением, хеш пароля очищается, идентификатор Google удаляется.
• История транзакций и записи о заказах сохраняются в обезличенном виде для целей бухгалтерского учёта и юридического соответствия.

• Мы используем единственный httpOnly cookie сессии (__session) для поддержания вашей аутентифицированной сессии. Этот cookie зашифрован и недоступен для клиентских скриптов.
• Мы не используем трекинговые cookies, рекламные cookies или cookies сторонней аналитики.
• Баннер согласия на cookies не требуется, поскольку мы используем только строго необходимые cookies для аутентификации.

Хранение данных

• Инфраструктура — Все данные хранятся на выделенных серверах, управляемых нами. Мы не используем общий облачный хостинг для пользовательских данных.
• База данных — Пользовательские данные хранятся в PostgreSQL с доступом, ограниченным только сервисами приложения.
• Шифрование при передаче — Весь трафик между вами и нашими серверами шифруется через TLS (HTTPS).
• Шифрование сессий — Cookies сессий зашифрованы с использованием AES-256-GCM.

Защита данных

• Хеширование паролей — Пароли хешируются алгоритмом argon2, устойчивым к атакам перебора.
• Защита от CSRF — Endpoint, изменяющие состояние, защищены от межсайтовой подделки запросов.
• Rate limiting — API и endpoint аутентификации защищены ограничениями на количество запросов.
• Контроль доступа — Внутренние сервисы взаимодействуют через аутентифицированные каналы с использованием секретных ключей. Базы данных и кеш изолированы в частной сети, недоступной из интернета.

Несмотря на применение стандартных мер безопасности, ни одна система не защищена на 100%. Если вы обнаружили уязвимость, сообщите нам по адресу [email protected].

Вы имеете право на:

• Доступ — Запросить копию хранящихся у нас персональных данных.
• Исправление — Запросить исправление неточных персональных данных.
• Удаление — Удалить свой аккаунт и связанные персональные данные непосредственно через настройки аккаунта (веб-панель или мобильное приложение). Персональные данные безвозвратно удаляются в течение 30 дней после удаления аккаунта. Вы также можете запросить удаление, связавшись с нами.
• Экспорт — Запросить ваши данные в переносимом формате.

Для реализации прав на доступ, исправление или экспорт свяжитесь с нами по адресу [email protected]. Мы ответим в течение 30 дней.

Если вы являетесь жителем Калифорнии, California Consumer Privacy Act (CCPA), с изменениями, внесёнными California Privacy Rights Act (CPRA), предоставляет вам специальные права в отношении вашей персональной информации в дополнение к правам, изложенным в Разделе 9 (Ваши права).

Право знать. Вы можете запросить раскрытие категорий и конкретных фрагментов персональной информации, которую мы собрали о вас, источников этой информации, целей её сбора или раскрытия и категорий третьих лиц, с которыми мы ею делимся. Категории собираемых данных подробно описаны в Разделе 1 (Какие данные мы собираем).

Право на удаление. Вы можете запросить удаление персональной информации, которую мы собрали о вас, при условии некоторых юридических исключений (например, для завершения транзакции, обнаружения инцидентов безопасности или соблюдения юридических обязательств).

Право на исправление. Вы можете запросить исправление неточной персональной информации, которую мы храним о вас.

Право отказаться от продажи или обмена. Мы не продаём вашу персональную информацию третьим лицам и не передаём её для кросс-контекстной поведенческой рекламы. Отказываться не от чего, но мы заявляем об этом явно, чтобы вы знали.

Право ограничить использование чувствительной персональной информации. Мы не используем чувствительную персональную информацию (как определено CPRA) в целях, выходящих за рамки необходимых для предоставления Сервиса.

Право на недискриминацию. Мы не будем дискриминировать вас за осуществление любых из этих прав. Ваш опыт использования Сервиса не изменится, и никакие сборы, условия или качество обслуживания не будут затронуты.

Как осуществить. Чтобы осуществить любое право по CCPA, свяжитесь с нами по адресу [email protected]. Мы проверим вашу личность перед ответом и ответим в течение 45 дней (с возможным продлением ещё на 45 дней, если это разумно необходимо).

SMSCode не использует сторонние сервисы веб-аналитики, инструменты поведенческого отслеживания или рекламные технологии. В частности:

• Мы не используем Google Analytics, Mixpanel, Amplitude, Hotjar, Segment или какой-либо аналогичный сервис аналитики;
• Мы не внедряем пиксели отслеживания, маркетинговые теги или ретаргетинговые скрипты на каких-либо страницах;
• Мы не участвуем в каких-либо рекламных сетях или межсайтовых рекламных экосистемах;
• Мы не строим поведенческие профили отдельных пользователей для маркетинговых или рекомендательных целей.

Единственные данные, которые мы собираем об использовании Сервиса, — это операционные данные, необходимые для его предоставления и обеспечения безопасности: серверные логи запросов, счётчики rate-limit, история заказов и сессионные cookie. Они подробно описаны в Разделе 1 (Какие данные мы собираем), Разделе 7 (Cookies и сессии) и Разделе 8 (Меры безопасности). Серверные логи хранятся до 90 дней для обеспечения безопасности и отладки, после чего удаляются.

Если мы когда-либо введём аналитику в будущем, настоящая Политика конфиденциальности будет обновлена до вступления изменения в силу, и вы будете уведомлены в соответствии с Разделом 14 (Изменения политики).

SMSCode не предназначен для использования лицами младше 18 лет. Мы сознательно не собираем персональные данные детей. Если вы считаете, что ребёнок младше 18 лет предоставил нам свои данные, свяжитесь с нами, и мы оперативно их удалим.

Void Zero Ltd базируется в Соединённом Королевстве, и персональные данные, которые вы предоставляете, обрабатываются преимущественно в UK и Европейской экономической зоне (EEA). Для предоставления Сервиса мы используем суб-обработчиков и стороннюю инфраструктуру, которые могут обрабатывать ваши данные в других юрисдикциях, включая Соединённые Штаты и другие страны за пределами UK/EEA.

Механизм передачи

Если мы передаём персональные данные из UK или EEA в страну, которая не получила решения об адекватности от UK Information Commissioner's Office (ICO) или Европейской комиссии, мы полагаемся на одну или несколько из следующих гарантий:

• UK International Data Transfer Addendum (UK IDTA), включённый в наши контракты с суб-обработчиками;
• Стандартные договорные положения (SCCs), утверждённые Европейской комиссией (Решение 2021/914) для данных EU;
• решения об адекватности в отношении юрисдикций, признанных обеспечивающими по существу эквивалентный уровень защиты (включая UK Data Bridge для соответствующих получателей в США в рамках Data Privacy Framework);
• иные гарантии, признанные в соответствии со Статьёй 46 UK GDPR или Статьёй 46 EU GDPR.

Контроль последующих передач

Все суб-обработчики, получающие ваши персональные данные, связаны письменными контрактами, которые обязывают их: (a) обрабатывать данные только по документированным инструкциям Void Zero Ltd; (b) внедрять надлежащие технические и организационные меры безопасности; (c) обеспечивать конфиденциальность персонала, имеющего доступ к данным; (d) помогать нам в выполнении запросов о правах субъектов данных; и (e) удалять или возвращать данные при прекращении контракта. Эти обязательства соответствуют требованиям Статьи 28 UK GDPR и Статьи 28 EU GDPR.

Текущие категории суб-обработчиков

Суб-обработчики, которые могут обрабатывать ваши данные за пределами UK/EEA, включают, но не ограничиваются:

• Cloudflare, Inc. (Соединённые Штаты) — доставка контента, защита от DDoS и выходная сеть;
• Resend, Inc. (Соединённые Штаты) — доставка транзакционной электронной почты;
• Партнёры-провайдеры SMS, работающие на международном уровне, — аренда виртуальных номеров и маршрутизация входящих SMS (см. Раздел 3);
• Платёжные шлюзы — транзакционная обработка платежей для депозитов (см. Раздел 4).

Ваши права

Вы можете запросить копию применимых к вашим данным гарантий передачи, связавшись с нами по адресу [email protected]. Мы ответим в течение 30 дней, как описано в Разделе 9 (Ваши права) и Статье 12 GDPR.

Мы можем обновлять настоящую Политику конфиденциальности. О существенных изменениях мы уведомим по электронной почте или через уведомление на платформе. Дата «Обновлено» в верхней части отражает последнюю редакцию.

По вопросам конфиденциальности обращайтесь по адресу [email protected].

По общим вопросам пишите на [email protected].