AArzan Hub

Юридическая информация

Политика конфиденциальности

Обновлено: 2026-05-03

1. Кто мы

Arzan Hub («Hub», «мы») — мультитенантная коммуникационная платформа, эксплуатируемая ТОО «Arzan Cloud Qazaqstan», товариществом с ограниченной ответственностью, зарегистрированным в Республике Казахстан под БИН 251240009182, с юридическим адресом: Казахстан, Туркестанская область, Толебийский район, г. Ленгер, ул. К. Тыныбекова, д. 73, индекс 160023. Hub предоставляет API и встраиваемый UI для бизнесов («Тенантов») для управления сообщениями со своими конечными пользователями («Клиентами») через WhatsApp, Instagram, Messenger, Telegram и другие каналы.

Контакт: hello@arzan.cloud.

2. Какие данные мы обрабатываем

В зависимости от того, какие функции включает Tenant, Hub обрабатывает следующие категории персональных данных от его имени:

  • Учётные данные каналов — OAuth-токены, API-ключи и webhook-секреты подключённых каналов (WhatsApp Business, Instagram Graph API, Telegram Bot API, Green API и др.). Хранятся в зашифрованном виде.
  • Профили клиентов — номер телефона, username, имя профиля, URL аватара, локаль — в том виде, в котором их предоставляет канал.
  • Содержимое сообщений — текст, медиа (изображения, аудио, файлы), реакции, контекст ответов, статусы доставки и прочтения.
  • Метаданные диалогов — временные метки, назначенный оператор, режим AI-агента, теги, внутренние заметки.
  • Операционные данные — IP-адреса вызывающих API, audit-логи действий tenant-а, отчёты об ошибках.

Мы не продаём персональные данные, не используем их для cross-tenant рекламы и не обучаем AI-модели на сообщениях клиентов.

3. Зачем мы это делаем

  • Чтобы доставлять сообщения между Tenant-ом и его клиентами.
  • Чтобы предоставлять функцию AI-агента, когда Tenant явно включает её для канала или конкретного диалога.
  • Для поддержания надёжности, отладки сбоев, контроля злоупотреблений и rate-лимитов.
  • Чтобы соблюдать законные обязательства и правомерные запросы властей.

4. Правовое основание (GDPR ст. 6)

Hub выступает как обработчик (processor) от имени каждого Tenant-а, который является контроллером (controller) данных своих клиентов. Правовое основание — договор между Hub и Tenant-ом, а также собственное правовое основание Tenant-а в отношении его клиентов (как правило, законный интерес или согласие).

5. Субподрядчики

Мы используем следующих суб-процессоров:

  • Hetzner Online GmbH — выделенные серверы в дата-центрах ЕС (Фалькенштайн и Нюрнберг, Германия).
  • Cloudflare, Inc. — DNS, митигация DDoS и edge TLS.
  • MinIO — self-hosted объектное хранилище на той же ЕС-инфраструктуре (без сторонних облаков).
  • AI-провайдеры (OpenRouter, Anthropic, OpenAI) — только при включении AI Тенантом. Содержимое отправляется под zero-retention политиками провайдеров там, где доступно.
  • Сами провайдеры каналов: Meta Platforms (WhatsApp / Instagram / Messenger), Telegram, Green API. Связь с ними обязательна для доставки сообщений.

6. Сроки хранения

Hub хранит содержимое сообщений и профили клиентов на протяжении активной подписки Tenant-а плюс 30 дней после её прекращения, если Tenant не запросит немедленное удаление. Audit-логи хранятся 12 месяцев.

Конечные пользователи могут реализовать право на удаление через Tenant-а (контроллер) или напрямую через Hub по адресу /data-deletion.

7. Безопасность

  • TLS 1.2+ при передаче, AES-256 для credentials и медиа в покое.
  • Изоляция per-tenant: tenant_id в каждой строке БД и каждой задаче в очереди.
  • JWT-аутентификация с короткоживущими access-токенами (15 мин) и ротируемыми refresh-токенами.
  • HMAC-проверка всех входящих webhook-ов (Meta, Telegram, custom).
  • Rate-лимиты и обнаружение аномалий по tenant-у и по IP.

8. Ваши права

Если вы конечный пользователь (Customer), у вас есть право:

  • Запросить доступ к данным, которые мы обрабатываем от имени Tenant-а.
  • Запросить исправление или удаление данных.
  • Возразить против обработки или отозвать согласие.
  • Подать жалобу в надзорный орган.

Чтобы воспользоваться этими правами, обратитесь к Tenant-у, чьим сервисом вы пользовались, или напишите нам по адресу hello@arzan.cloud — мы перенаправим запрос соответствующему Tenant-у (контроллеру) либо обработаем напрямую, если контроллером является Hub (например, для нашего собственного маркетингового сайта).

9. Международные передачи

Hub обрабатывает данные на инфраструктуре, расположенной в Европейском Союзе. Если данные должны покинуть ЕС (например, AI-провайдер в США), мы опираемся на Standard Contractual Clauses и требуем от получателя контрактных обязательств, эквивалентных GDPR.

10. Cookie и трекинг

Маркетинговый сайт hub.arzan.cloud использует только необходимые cookie для безопасности и языковых настроек. Мы не используем сторонние аналитические или рекламные cookie на этом сайте. Встраиваемый inbox внутри продуктов Tenant-а наследует cookie-политику Tenant-а.

10a. Мобильное приложение (iOS / Android)

Помимо веб-инбокса мы публикуем нативное приложение Arzan Hub для iOS и Android. Это раздел про то, какие данные приложение запрашивает и как ими управлять.

Системные разрешения

Каждое разрешение запрашивается в момент использования соответствующей функции, не при первом запуске:

  • Камера — для съёмки фото и отправки в чат прямо из приложения.
  • Фото и медиатека — для выбора уже сохранённых файлов и отправки клиенту.
  • Микрофон — для записи голосовых сообщений.
  • Уведомления — для push-алертов о новых сообщениях клиентов. Можно отключить в Настройках iOS/Android.

Какие данные приложение хранит локально

  • Email и имя оператора (для отображения профиля).
  • Access и refresh JWT-токены — в системном Keychain (iOS) или EncryptedSharedPreferences (Android), не в обычном файловом хранилище.
  • Кэш переписки и черновики (для оффлайн-режима) — удаляется при logout или удалении приложения.
  • Push-токен устройства — хранится у нас на сервере для доставки уведомлений; отзывается при выходе.

Удаление аккаунта в мобильном приложении

В соответствии с требованиями Apple App Store (Guideline 5.1.1(v)) удалить аккаунт можно прямо в приложении: Профиль → «Удалить аккаунт» (нижняя красная кнопка) с двойным подтверждением. После подтверждения мы немедленно: отзываем все JWT-токены, удаляем push-токены устройства, обфусцируем email и имя в нашей БД, останавливаем уведомления. Данные компании (контакты, сделки, переписка с клиентами) остаются — они принадлежат Tenant-у, не вашему аккаунту лично. Если нужно удалить ВСЁ — обратитесь к владельцу Tenant-а или напишите нам по адресу hello@arzan.cloud.

Трекинг и реклама

Мы НЕ трекаем поведение пользователя через сторонние SDK (нет Facebook SDK, нет рекламных трекеров). Apple App Tracking Transparency запрос не показывается, потому что приложение не отслеживает вас между приложениями или сайтами. Мобильный privacy manifest (PrivacyInfo.xcprivacy) опубликован вместе с приложением.

11. Изменения

Мы публикуем существенные изменения этой политики на этой странице и уведомляем Tenant-ов по email минимум за 30 дней до вступления в силу.

12. Контакты

Вопросы, жалобы или запросы по правам субъектов данных: hello@arzan.cloud.

Политика конфиденциальности · Arzan Hub