Политика конфиденциальности — КОД·УСПЕХА (club_webapp)
Дата вступления: 2026-05-16 Версия: 2.0 152-ФЗ ст. 14, ст. 18, ст. 21
1. Оператор персональных данных
ИП Даниил Лепёхин (или организация-владелец проекта) — далее «Оператор».
2. Какие данные мы собираем
| Категория | Поля | Источник | Цель | Хранение |
|---|---|---|---|---|
| Идентификация | telegram_id, username, first_name, last_name, photo_url, language_code | Telegram Bot API при /start | Аутентификация в Mini App | Пока активен аккаунт |
| Контакты | email, phone | Сам пользователь при checkout/registration | Доставка чека, OTP-вход в PWA | Пока активен аккаунт |
| Профиль | city, level, experience, energies, streak, settings | Активность пользователя в Mini App | Геймификация и адресация в чатах | Пока активен аккаунт |
| Подписка | is_pro, subscription_expires, first_purchase_date, auto_renewal_enabled | Платёжные провайдеры (webhook) | Управление доступом | 5 лет после последнего платежа |
| Платежи | payments table (provider, amount, fee, status, external_id) | Платёжные провайдеры | Финансовая отчётность, returns | 5 лет (НК РФ) |
| Поведение | bot_incoming_messages, energy_transactions, decade_members | Боты/UI events | Аналитика, retention, защита от ботов | 90 дней (cleanup-cron) |
| Аналитика | frontend_events, app_errors | Браузер пользователя | Debug, observability | 90 дней |
3. Передача данных третьим лицам
| Получатель | Цель | Объём передаваемых данных |
|---|---|---|
| CloudPayments LLC | Обработка платежей | name, email, phone, amount, telegram_id |
| LavaTop / Lava Top OÜ | Обработка платежей | name, email, phone, amount |
| Telegram Bot API | Доставка сообщений | telegram_id, текст сообщения |
Exim4 SMTP (DKIM successkod.com) | Доставка transactional email (OTP, чеки) | email, текст письма |
Аналитика не передаётся Google Analytics, Yandex Metrica, Meta Pixel — у нас только собственный analytics в нашу же БД.
4. Права субъекта ПДн (152-ФЗ ст. 14, 21)
4.1 Право на доступ к данным
GET https://app.successkod.com/api/v1/users/me/export (требует JWT auth) — выгрузка всех данных пользователя в JSON, включая profile, payments, energy_transactions, messages, payment_analytics. Реализовано в backend/src/modules/users/me-data-rights.ts.
4.2 Право на удаление
DELETE https://app.successkod.com/api/v1/users/me (требует JWT auth) — мгновенная деактивация аккаунта + soft-delete tombstone в users.metadata. Physical delete через 30 дней (grace для restore при ошибочном удалении). Реализовано там же.
4.3 Право на исправление
Email и телефон обновляются через бота @SuccessKODBot командой /setemail или через support.
4.4 Право на отзыв согласия
Кнопка «Отписаться» в нижней части любого email; для Telegram — /stop боту.
5. Безопасность
- TLS 1.2+ для всех связей.
- JWT-токены 30 дней, поворот при logout.
- Webhook secrets HMAC SHA-256 для подтверждения подлинности callback'ов.
- Backup БД ежедневно (pg_dump 18, retention 7 дней pre-deploy + S3 retention при активации).
- Rate-limiter fail-closed (отказ при недоступности Redis вместо bypass).
- DKIM-подписи для исходящей почты (selector
mail._domainkey.successkod.com). - Audit log append-only (миграция 0055) для финансовых операций.
6. Cookies и localStorage
Используем минимум, без рекламных или трекинговых cookie:
auth-storage(localStorage) — JWT auth token (30 дней), TTL соблюдается черезtokenExpiresAt.- Service Worker cache — для offline-режима PWA.
Согласие на cookies запрашивается при первом визите на successkod.com (cookie consent banner).
7. Изменения политики
Существенные изменения политики анонсируются в Telegram-канале клуба за 7 дней до вступления.
8. Контакты
- Email: club@successkod.com
- Bot: https://t.me/SuccessKODBot
- Юридический адрес: указывается в оферте отдельно.
История изменений:
- v2.0 (2026-05-16): добавлен раздел про права субъекта ПДн (export/delete endpoints), уточнён список processors, добавлен audit-log immutability.
- v1.0 (initial): базовая политика для запуска клуба.