Настройки

Українська

العربية

中文

English

Eesti

Français

Deutsch

Ελληνικά

हिन्दी

Italiano

日本語

Қазақ

Latviešu

Lietuvių

Polski

Português

Español

ไทย

Главная
Политика конфиденциальности

Политика конфиденциальности

Настоящая Политика конфиденциальности («Политика») определяет, как компания Costless Inc. («Costless», «мы») собирает, использует и защищает информацию, обрабатываемую в рамках платформы Costless для бизнеса, доступной по адресу https://costless.business, через конечные точки API Costless, а также через любые связанные панели управления, мобильные или десктопные приложения, используемые для администрирования Бизнес-Аккаунтов (вместе — «Сервис»). ПОЖАЛУЙСТА, ВНИМАТЕЛЬНО ПРОЧТИТЕ ЭТУ ПОЛИТИКУ. СОЗДАВАЯ ИЛИ ИСПОЛЬЗУЯ БИЗНЕС-АККАУНТ ИЛИ ИНТЕГРИРУЯСЬ С НАШИМ API, ВЫ СОГЛАШАЕТЕСЬ С ОБРАБОТКОЙ, ОПИСАННОЙ НИЖЕ. ЕСЛИ ВЫ НЕ СОГЛАСНЫ — НЕ РЕГИСТРИРУЙТЕСЬ В СЕРВИСЕ И НЕ ИСПОЛЬЗУЙТЕ НАШ API. Настоящая Политика применяется к информации, обрабатываемой в связи с платными и пробными Бизнес-Аккаунтами. Она не распространяется на costless.online (потребительский сайт) — у этого ресурса есть собственная Политика конфиденциальности. 1. Кто мы (Контролёр и контактная информация) Сервис предоставляется: Costless Inc. 1207 Delaware Avenue, 2979, Wilmington, DE 19806, USA Общие вопросы: mail@costless.online Запросы по защите данных: data.controller@costless.online В отношении Данных Аккаунта (персональные данные администраторов, контактных лиц по оплате и авторизованных пользователей вашего аккаунта) Costless выступает «Контролёром» в соответствии с Общим регламентом защиты данных ЕС (GDPR), GDPR Великобритании и аналогичными законами. В отношении данных, которые вы загружаете, передаёте или иным образом поручаете нам обрабатывать от вашего имени — например, изображения чеков, отправленные в API верификации чеков, электронные адреса клиентов, зарегистрированных в вашей программе лояльности 5+1, или фотографии ценников, сделанные вашими сотрудниками («Клиентские Данные») — Costless выступает «Обработчиком», а вы (владелец Бизнес-Аккаунта) — «Контролёром». Стандартные условия обработки данных, применимые к этим отношениям, включены в наши Условия и положения и могут быть дополнены отдельным Соглашением об обработке данных по запросу. 2. Определения «Бизнес-Аккаунт» означает платную или пробную подписку на Сервис, зарегистрированную на юридическое лицо (или физическое лицо-предпринимателя, действующего в коммерческих целях). «Данные Аккаунта» означают информацию о вашем Бизнес-Аккаунте и физических лицах, авторизованных для его использования, включая название компании, адрес выставления счетов, НДС/EIN/ИНН, имя администратора, бизнес-электронную почту, телефон, должность, пароль (хранится в виде хеша с солью), токены аутентификации и журналы административных действий. «Клиентские Данные» означают данные, которые вы (или ваши Конечные Клиенты по вашему поручению) загружаете в Сервис или генерируете через него, включая изображения чеков и извлечённые из них структурированные данные, бонусы и уровни лояльности Конечных Клиентов, фотографии ценников, фиды цен на товары, передаваемые через API передачи данных, а также метаданные кампаний. «Конечный Клиент» означает физическое лицо — клиента вашего бизнеса (например, участника программы лояльности 5+1 или покупателя, чей чек обрабатывается в вашей кампании), персональные данные которого вы обрабатываете с помощью Сервиса. «Персональные Данные» имеют значение, указанное в GDPR (статья 4(1)). «Субобработчик» означает любую третью сторону, привлечённую Costless, которая обрабатывает Клиентские Данные от нашего имени. 3. Категории информации, которую мы обрабатываем 3.1 Данные Аккаунта (мы — Контролёр) - Идентификация: полное имя и бизнес-электронная почта администраторов и авторизованных пользователей; должность; язык интерфейса. - Информация о компании: полное юридическое наименование, адрес регистрации, адрес выставления счетов, НДС/EIN/ИНН или эквивалентный налоговый идентификатор, имя и электронная почта контактного лица по оплате. - Аутентификация и безопасность: хешированные пароли, JWT-токены сессий, API-ключи (хешируются при хранении), секреты 2FA, токены восстановления паролей, IP-адрес и user-agent последних входов, CSRF-токены. - Биллинг: тип способа оплаты (бренд карты, последние четыре цифры и срок действия хранит Stripe — полные номера карт никогда не попадают в Costless), история счетов, тариф подписки и его статус, дата продления. - Поддержка и коммуникация: сообщения, отправленные на mail@costless.online, тикеты поддержки, обращения через контактную форму, а также транскрипты телефонных или видео-звонков, если вы решите их записать. 3.2 Данные использования Сервиса (мы — Контролёр) - Телеметрия: время и путь каждого авторизованного запроса к панели или API, код ответа, задержка, код ошибки (если есть), размер запроса. - Устройство и соединение: IP-адрес (укорачивается для аналитики), user-agent браузера, операционная система, размер экрана, тип устройства. - Cookies и подобные технологии: см. раздел 9. 3.3 Клиентские Данные (вы — Контролёр, Costless — Обработчик) - API верификации чеков: изображения чеков, загруженные вашими Конечными Клиентами или вашими сотрудниками; структурированные данные, которые мы извлекаем (позиции, цены, итоги, фискальные номера, способ оплаты, идентификатор магазина, время); оценки уверенности; любой идентификатор Конечного Клиента, который вы передаёте вместе с чеком (например, внутренний идентификатор клиента, хеш номера телефона или электронный адрес). - Лояльность 5+1: идентификатор Конечного Клиента (обычно электронная почта или телефон), количество штампов, уровень, история обменов, место каждого события начисления штампа, QR-токен, использованный для сканирования, и бариста/сотрудник, зафиксировавший штамп. - Кампания ценников: фотографии ценников, сделанные вашими сотрудниками в магазинах, геолокация съёмки (если ваши сотрудники предоставили соответствующее разрешение), распознанный SKU и цена. - Аналитика / Производители: списки SKU, фиды цен, календари акций и любые другие коммерческие данные, которые вы передаёте нам для мониторинга или моделирования. - Данные чеков и аннотаций из мобильного приложения: когда вы поручаете поделиться чеком с вашим бизнесом через приложение Конечного Клиента, мы получаем копию чека и идентификатор Конечного Клиента. Мы обрабатываем Клиентские Данные только так, как это задокументировано в вашей подписке и в наших письменных инструкциях; мы не получаем доступ и не используем Клиентские Данные для собственных целей, кроме: (a) предоставления Сервиса; (b) выставления счетов и планирования мощностей в агрегированном виде; (c) безопасности и предотвращения мошенничества; (d) выполнения требований закона; (e) статистических исследований с использованием полностью анонимизированных данных. 4. Почему мы обрабатываем информацию (цели и правовые основания) Для Данных Аккаунта мы опираемся на следующие правовые основания GDPR: - Исполнение договора (ст. 6(1)(b)): для регистрации Бизнес-Аккаунта, аутентификации администраторов, предоставления Сервиса, выставления счетов и сбора платежей. - Законный интерес (ст. 6(1)(f)): для функционирования, защиты, отладки и улучшения Сервиса; выявления и предотвращения мошенничества или злоупотреблений; ведения резервных копий; исполнения Условий; защиты правовых требований; отправки сервисных уведомлений и ограниченного бизнес-релевантного маркетинга функций, дополняющих то, чем вы уже пользуетесь. - Юридическое обязательство (ст. 6(1)(c)): сохранение биллинговых записей для налоговых целей; реагирование на правомерные запросы компетентных органов. - Согласие (ст. 6(1)(a)): при необходимости — для неосновных cookies и для маркетинговых писем неклиентам. Согласие можно отозвать в любое время. Для Клиентских Данных правовым основанием являются ваши письменные инструкции в Условиях и в конфигурации вашей подписки. Вы подтверждаете, что у вас есть правомерное основание в соответствии с применимым законодательством о защите данных, чтобы предоставлять нам Клиентские Данные и поручать нам их обрабатывать. 5. Как мы делимся информацией Мы не продаём Персональные Данные и не передаём их рекламодателям. Раскрываем информацию только так, как описано ниже. 5.1 Субобработчики Мы привлекаем следующие категории Субобработчиков по письменным соглашениям, включающим условия ст. 28 GDPR и Стандартные Договорные Положения ЕС, где это применимо: - Облачная инфраструктура: Amazon Web Services, Inc. (регионы Франкфурт и Ирландия для европейских Клиентских Данных; Северная Вирджиния для неевропейских Клиентских Данных) — хостинг, объектное хранилище, доставка контента. - Платежи: Stripe, Inc. и её аффилированные лица в ЕС и Великобритании — обработка платежей по подписке. Stripe выступает независимым Контролёром для своих собственных целей предотвращения мошенничества. - Edge / защита от DDoS: Cloudflare, Inc. — TLS-терминация, веб-фаервол, защита от ботов, обфускация email-адресов. - Машинное обучение: Google Cloud Platform / Vertex AI — OCR чеков, OCR ценников, классификация изображений. Данные, отправляемые в эти сервисы, шифруются при передаче и не используются провайдером для обучения его моделей общего назначения. - Транзакционная электронная почта: Amazon SES (или сопоставимый провайдер) — доставка писем восстановления паролей, биллинг-уведомлений, счетов, плановых отчётов. - Инструменты поддержки клиентов и аналитика: аналитика на costless.business, уважающая приватность (серверная, без сторонних трекеров по умолчанию). Актуальный перечень Субобработчиков и регионов, в которых они работают, предоставляется по запросу на адрес data.controller@costless.online. Мы будем заранее уведомлять вас о привлечении нового Субобработчика, обрабатывающего Клиентские Данные. 5.2 Иные категории получателей - Аффилированные лица: компании группы Costless, на условиях, не менее защитных, чем настоящая Политика. - Профессиональные консультанты: юристы, аудиторы, бухгалтеры, страховщики в связи с ведением нашего бизнеса. - Правопреемники: в связи со слиянием, приобретением, продажей активов или несостоятельностью, с соблюдением конфиденциальности и продолжением действия настоящей Политики. - Исполнение требований закона: суды, регуляторы и правоохранительные органы в случае, когда этого требует закон или когда раскрытие необходимо для защиты прав, жизни, безопасности или имущества. 6. Международная передача данных Costless зарегистрирована в США. Данные Аккаунта и часть Клиентских Данных могут обрабатываться за пределами Европейской экономической зоны, Великобритании или вашей страны нахождения. При передаче Персональных Данных за пределы ЕЭЗ или Великобритании мы опираемся на: - Стандартные Договорные Положения Европейской Комиссии (2021/914) и Дополнение о передаче данных Великобритании; - Рамочное соглашение ЕС-США о защите данных (EU-US Data Privacy Framework), если получатель сертифицирован; - Дополнительные технические меры (шифрование при передаче и хранении, журналирование доступа, принцип минимальных привилегий). Если вам нужна копия мер защиты, применимых к конкретной передаче — обращайтесь по адресу data.controller@costless.online. 7. Сроки хранения - Данные Аккаунта: хранятся в течение срока существования Бизнес-Аккаунта и до 36 месяцев после его прекращения, после чего удаляются или анонимизируются, за исключением учётных и налоговых записей, которые хранятся в течение срока, предусмотренного применимым законодательством о бухгалтерском учёте (обычно 7 лет). - Изображения чеков и ценников: по умолчанию хранятся 90 дней после обработки, если ваш тариф не предусматривает иной срок или вы письменно не поручите удалить их раньше. - Извлечённые данные чеков и записи лояльности: хранятся в течение срока существования Бизнес-Аккаунта и удаляются в течение 90 дней после его прекращения, если вы заранее не воспользуетесь правом экспорта данных, описанным в разделе 8. - Сервисные журналы: хранятся до 90 дней для безопасности и планирования мощностей. - Резервные копии: шифрованные резервные копии хранятся на 35-дневном цикле ротации. Вы можете запросить более раннее удаление в любое время, с учётом обязательных по закону сроков хранения и технических ограничений вашей подписки. 8. Ваши права и права ваших Конечных Клиентов В соответствии с GDPR, GDPR Великобритании и подобными законами лица, чьи Персональные Данные мы обрабатываем, имеют право на: доступ; исправление; удаление; ограничение обработки; возражение против обработки; перенос данных; подачу жалобы в компетентный надзорный орган (в ЕС — в национальный орган защиты данных; в Великобритании — в Information Commissioner's Office). В отношении Данных Аккаунта — обращайтесь по адресу data.controller@costless.online; мы ответим в течение 30 дней. В отношении Клиентских Данных — запросы должны в первую очередь адресоваться вам (Контролёру). Если ваш Конечный Клиент обратится напрямую в Costless, мы перенаправим его к вам и поможем вам, по вашему разумному запросу и на условиях, согласованных в подписке, ответить на такие запросы. Резиденты Калифорнии (CCPA / CPRA): вы имеете право знать, удалять, исправлять и ограничивать; право отказаться от «продажи» или «передачи» персональной информации; право не подвергаться дискриминации за реализацию этих прав. Costless не продаёт и не передаёт Персональные Данные в значении CCPA/CPRA. Запросы направляйте на data.controller@costless.online или на почтовый адрес, указанный в разделе 1. 9. Cookies и подобные технологии на costless.business Мы используем только cookies, строго необходимые для работы панели (аутентификация, защита CSRF, настройки языка и валюты). На costless.business мы не размещаем рекламные cookies. Анонимная аналитика работает на серверной стороне и не требует согласия. Если мы когда-либо введём опциональные аналитические или маркетинговые cookies, мы покажем баннер согласия, соответствующий требованиям ePrivacy ЕС/Великобритании, и обработка будет зависеть от вашего согласия (opt-in). 10. Безопасность Мы поддерживаем технические и организационные меры, соответствующие рискам нашей обработки, включая: - шифрование данных при передаче (TLS 1.2+) и изображений чеков и ценников при хранении; - хеширование паролей с солью с помощью функции с высокими требованиями к памяти; - принцип минимальных привилегий для доступа персонала; журналирование доступа; ежеквартальный пересмотр прав доступа; - сетевое ограничение частоты запросов, веб-фаервол, обнаружение ботов; - разделённые среды для разработки, тестирования и продакшна; - регулярное сканирование уязвимостей и обновление зависимостей; - задокументированные процедуры реагирования на инциденты, включая уведомление пострадавших Контролёров без необоснованной задержки и в сроки, предусмотренные применимым законом. Ни одна мера безопасности не является идеальной. Вы отвечаете за сохранность учётных данных администраторов и выданных вам API-ключей, за обновление операционных систем и браузеров, используемых для доступа к Сервису, а также за оперативное уведомление нас о любом подозреваемом компрометировании. 11. Дети Сервис не предназначен для детей младше 16 лет, и мы сознательно не собираем Персональные Данные детей. Если вы считаете, что ребёнок зарегистрировался или взаимодействовал с Бизнес-Аккаунтом, обращайтесь на data.controller@costless.online — мы примем соответствующие меры. 12. Автоматизированное принятие решений Costless не принимает решений, имеющих правовые или подобные значимые последствия для субъектов данных, исключительно на основе автоматизированной обработки. Оценки уверенности, выдаваемые нашими API верификации чеков и OCR ценников, являются оценками, призванными помочь вашему ручному пересмотру; их не следует рассматривать как замену вашего делового суждения. 13. Изменения настоящей Политики Мы можем время от времени обновлять настоящую Политику. Дата обновления внизу обозначает текущую версию. Если мы вносим существенные изменения, влияющие на ваши права или категории обрабатываемых данных, мы уведомим администраторов Бизнес-Аккаунта по электронной почте и разместим баннер в панели не менее чем за 14 дней до вступления в силу. Продолжение использования Сервиса после даты вступления в силу означает ваше согласие. 14. Контакты Costless Inc. 1207 Delaware Avenue, 2979 Wilmington, DE 19806, USA Общие вопросы: mail@costless.online Защита данных: data.controller@costless.online Дата последнего обновления: 29 апреля 2026 года.