Политика конфиденциальности

1. Какие данные мы собираем

При использовании Wealthon мы собираем следующие данные:

Данные аккаунта

• Email — для входа, восстановления пароля и приглашений
• Имя — для отображения в интерфейсе и приглашениях
• Пароль — хранится в зашифрованном виде (bcrypt), мы не имеем доступа к вашему паролю

При входе через Google

• Email, имя и ссылка на аватар из вашего профиля Google
• Идентификатор Google-аккаунта для привязки

Мы не получаем доступ к вашим контактам, файлам или другим данным Google.

2. Финансовые данные

Вы самостоятельно вносите в Сервис следующую информацию:

• Транзакции: сумма, дата, описание, категория
• Категории: название, тип (доход/расход/депозит), иконка, цвет
• Бюджеты: дневной лимит, переопределения на конкретные даты
• Начальный баланс доски

Все финансовые данные принадлежат вам. Мы не анализируем, не продаём и не передаём ваши финансовые данные третьим лицам.

3. Импорт банковских выписок

При импорте PDF-выписки из Kaspi Gold:

• Файл загружается на сервер для обработки
• Из PDF извлекаются: даты, суммы, описания операций и баланс
• На основе описаний автоматически подбираются или создаются категории
• После извлечения транзакций файл PDF не сохраняется на сервере

4. Как мы используем данные

Ваши данные используются исключительно для:

• Предоставления функций Сервиса (учёт, аналитика, импорт)
• Аутентификации и авторизации
• Отправки служебных email (сброс пароля, приглашения на доски)
• Ведения журнала операций для истории ваших действий

Мы не отправляем маркетинговые рассылки и не используем ваши данные для рекламы.

5. Совместный доступ к данным

Если вы используете совместные доски:

• Все участники доски видят транзакции, категории и аналитику этой доски
• При приглашении участника на доску ему отправляется email с вашим именем и названием доски
• Ваши данные на других досках (включая персональную) остаются приватными

6. Безопасность

Мы применяем следующие меры защиты:

• Пароли хешируются алгоритмом bcrypt и не хранятся в открытом виде
• Аутентификация через JWT-токены в защищённых HTTP-only cookies
• Access-токен действует 15 минут, refresh-токен — 7 дней
• Ограничение частоты запросов (rate limiting) на эндпоинтах авторизации
• Проверка принадлежности к доске при каждом запросе к данным
• Передача данных по зашифрованному каналу HTTPS

7. Хранение и удаление данных

Ваши данные хранятся на защищённых серверах на протяжении всего срока существования аккаунта.

• При удалении доски удаляются все её транзакции, категории, бюджеты и журнал операций
• При удалении аккаунта удаляются все связанные данные, включая созданные доски
• Токены сброса пароля автоматически истекают через 1 час
• Приглашения на доски истекают через 7 дней

8. Файлы cookies

Мы используем только функциональные cookies, необходимые для работы Сервиса:

• access_token — JWT-токен для аутентификации (15 минут)
• refresh_token — токен для обновления сессии (7 дней)

Мы не используем рекламные, аналитические или отслеживающие cookies.

9. Третьи стороны

Для работы Сервиса мы используем следующие сторонние сервисы:

• Google OAuth — для аутентификации через Google-аккаунт. Данные обрабатываются в соответствии с политикой конфиденциальности Google.
• Resend — для отправки служебных email (сброс пароля, приглашения). Передаётся только email-адрес получателя и содержимое письма.

Мы не передаём ваши финансовые данные каким-либо третьим сторонам.

10. Ваши права

Вы имеете право:

• Получить доступ к своим данным через интерфейс Сервиса
• Изменить или удалить свои транзакции, категории и доски
• Запросить полное удаление аккаунта и всех связанных данных
• Покинуть совместную доску в любой момент

Для запроса удаления аккаунта или выгрузки данных обратитесь по адресу: isabekovabylay100@gmail.com

11. Изменения политики

Мы можем обновлять настоящую Политику конфиденциальности. При существенных изменениях мы уведомим вас через Сервис. Дата последнего обновления указана в начале документа.

12. Контакты

По вопросам защиты персональных данных обращайтесь: isabekovabylay100@gmail.com