Политика конфиденциальности

Mastak — облачная SaaS-платформа, которая подключается к вашим аккаунтам Instagram и Telegram, автоматизирует ответы в директе с помощью ИИ и ведёт продажи от вашего имени. Сайт: mastak.app. Эта политика охватывает всё, что происходит при использовании нашего сервиса.

Здесь описано: какие персональные данные мы собираем, с какой целью, с кем делимся, как долго храним и какие права у вас есть. По вопросам — [email protected].

• Данные аккаунта: имя, адрес электронной почты, хэш пароля (не сам пароль) при регистрации.
• Данные подключённых аккаунтов: идентификаторы страниц/аккаунтов Instagram и OAuth-токены доступа от Meta, а также токены Telegram-ботов. Всё хранится в зашифрованном виде (AES-256).
• Содержимое переписки: текст входящих сообщений в директе и ответов ИИ от Mastak — хранится по тредам. Это необходимо для того, чтобы ИИ помнил контекст диалога.
• Данные контактов (ваши лиды): никнеймы Instagram и Telegram-идентификаторы пользователей, которые взаимодействуют с вашими автоматическими сообщениями. Это ваша аудитория, а не клиенты Mastak.
• Файлы базы знаний: документы, PDF и тексты, которые вы загружаете как RAG-базу знаний для ИИ. Хранятся в Cloudflare R2, изолированно для каждого клиента.
• Платёжные метаданные: тариф, статус подписки, идентификаторы транзакций. Номера карт мы не храним — это делают платёжные системы.
• Данные использования: количество API-запросов, расход токенов по диалогам, логи функций, логи ошибок.
• Технические данные: IP-адреса, тип браузера и устройства, токены сессий — используются для безопасности и защиты от злоупотреблений.

• Работа сервиса: подключение к Meta Graph API и Telegram Bot API, маршрутизация вебхуков, обработка диалогов через ИИ-пайплайн.
• ИИ-функции: поддержание контекста диалога, RAG-запросы к вашей базе знаний, генерация ответов через OpenRouter.
• Биллинг: управление подпиской и отправка уведомлений об оплате.
• Безопасность: обнаружение злоупотреблений, ограничение частоты запросов, защита данных клиентов от несанкционированного доступа.
• Коммуникации: сервисные письма (приветствие, уведомления об истечении токенов, счета) через Brevo; рассылки, если вы подписались через beehiiv.
• Соблюдение закона: хранение записей в объёме, предусмотренном применимым законодательством.

Для работы Mastak мы используем следующие сервисы. Каждый из них обрабатывает определённые данные от нашего имени.

• Meta / Instagram — Meta Graph API получает токены доступа к вашим страницам и отправляет/принимает сообщения от вашего имени. Обработка на стороне Meta регулируется их собственной политикой конфиденциальности.
• Telegram — Telegram Bot API получает токены ботов из вашего аккаунта и отправляет/принимает сообщения. Действует политика конфиденциальности Telegram.
• OpenRouter — маршрутизация LLM-запросов. Тексты диалогов передаются в OpenRouter для обработки ИИ-моделью (по умолчанию: GPT-4o mini). OpenRouter может перенаправлять к провайдерам — OpenAI, Anthropic и другим. Согласно условиям API OpenRouter, данные диалогов не используются для обучения моделей.
• Cloudflare — CDN, защита от DDoS, R2-хранилище для файлов базы знаний и бэкапов базы данных. Данные обрабатываются в соответствии с DPA Cloudflare.
• PostgreSQL (собственный сервер, Dallas VPS — Virtarix/HIVELOCITY) — основная база данных. Наша собственная инфраструктура.
• Redis (собственный сервер) — очереди и данные сессий. Наша собственная инфраструктура.
• Brevo — транзакционная email-рассылка (приветствие, уведомления о биллинге и истечении токенов).
• beehiiv — email-рассылки, если вы подписались на обновления Mastak.
• ЮKassa — приём платежей по картам российских банков.
• PayPro Global — приём международных платежей.
• NOWPayments — приём криптовалютных платежей.
• Better Stack — мониторинг доступности (получает только ping-запросы о работоспособности; пользовательские данные не передаются).

• Данные аккаунта: хранятся, пока аккаунт активен. Удаляются в течение 30 дней после запроса на удаление аккаунта.
• Логи переписки: хранятся 12 месяцев с момента создания, затем автоматически удаляются. Вы можете запросить досрочное удаление.
• Файлы базы знаний: хранятся до тех пор, пока вы их не удалите или не закроете аккаунт.
• Платёжные записи: хранятся в течение срока, установленного финансовым законодательством — как правило, от 5 до 7 лет.
• Логи использования: хранятся 90 дней, затем агрегируются и обезличиваются.
• Резервные копии: бэкапы базы данных хранятся в Cloudflare R2 в течение 30 дней, затем удаляются.

• Доступ: вы можете запросить копию персональных данных, которые мы о вас храним.
• Исправление: вы можете потребовать исправить неточные данные.
• Удаление: вы можете запросить удаление вашего аккаунта и персональных данных. Напишите на [email protected].
• Экспорт: вы можете запросить выгрузку ваших данных в машиночитаемом формате.
• Отказ от маркетинга: вы можете отписаться от рассылок в любой момент по ссылке в письме.

GDPR (пользователи из ЕС/ЕЭЗ): в дополнение к перечисленным правам вы вправе возражать против обработки, ограничивать её и подавать жалобы в надзорный орган своей страны.

Пользователи из России (152-ФЗ): Mastak обрабатывает персональные данные граждан России в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных». Первичная база данных с персональными данными российских граждан размещена на серверах в России. Вы вправе обратиться по адресу [email protected] для реализации прав на доступ, исправление или удаление своих персональных данных.

Мы отвечаем на все запросы о правах в течение 30 дней.

• Сессионные куки: используются для поддержания вашей авторизации. Истекают при завершении сессии или выходе из аккаунта.
• Настройки интерфейса: выбранный язык сохраняется в localStorage или в куке.

Мы не используем рекламные куки третьих сторон. Мы не продаём данные рекламным сетям. Для аналитики мы можем использовать инструменты, работающие только с агрегированными обезличенными данными. Google Analytics мы не используем.

• Токены доступа Meta и Telegram шифруются алгоритмом AES-256 перед сохранением.
• Все данные в транзите передаются по TLS. HTTPS принудительно обеспечивается режимом Cloudflare Full Strict.
• Данные клиентов изолированы на уровне базы данных с помощью Row Level Security (RLS в PostgreSQL).
• Содержимое сообщений в директе не записывается в серверные логи в открытом виде.

Сертификации SOC 2 и ISO 27001 у нас пока нет. Mastak — продукт на раннем этапе; по мере роста мы будем получать соответствующие сертификаты.

Mastak не предназначен для детей до 16 лет. Мы намеренно не собираем персональные данные несовершеннолетних. Если вы считаете, что мы получили данные ребёнка, свяжитесь с нами по адресу [email protected] — мы немедленно их удалим.

Мы можем обновлять эту политику по мере появления новых функций или изменений в законодательстве. О существенных изменениях мы уведомим активных пользователей по email не менее чем за 14 дней до вступления в силу. Дата в шапке страницы отражает текущую версию документа.

По вопросам конфиденциальности, запросам на удаление данных и реализации прав:

• Email: [email protected] — укажите тему «Privacy Request»
• Instagram: @mastak.app
• Telegram: t.me/mastakapp