Політика конфіденційності

Ця Політика конфіденційності (далі - «Політика») описує, як хмарна CRM-платформа «БізХаб» (далі - «Платформа») збирає, використовує, зберігає та захищає ваші персональні дані.

Використовуючи Платформу, ви погоджуєтесь з обробкою ваших даних відповідно до цієї Політики. Якщо ви не погоджуєтесь з умовами обробки даних, будь ласка, не використовуйте Платформу.

Ми збираємо такі категорії персональних даних:

Дані при реєстрації:

• Ім'я та прізвище
• Email-адреса
• Номер телефону (необов'язково)
• Тип акаунту (Бізнес або Клієнт)
• Тип бізнесу (для бізнес-акаунтів)

Дані профілю (додатково):

• Фото профілю
• Назва бізнесу та логотип
• Адреса та місто
• Геолокація (координати для відображення на карті та в каталозі)
• Веб-сайт та Instagram
• Опис бізнесу
• Галерея зображень бізнесу

Дані з OAuth-провайдерів (при вході через Google, Facebook або Telegram):

• Ідентифікатор користувача у провайдера
• Email-адреса (Google, Facebook)
• Ім'я та прізвище
• Фото профілю
• Telegram ID та username (при вході через Telegram)

Дані відгуків та рейтингів:

• Текст відгуку та оцінка (1-5 зірок)
• Відповідь майстра на відгук
• Дата створення відгуку та відповіді

Дані реферальної програми:

• Персональний реферальний код клієнта
• Історія нарахованих балів та використаних знижок
• Зв'язок між реферером та запрошеним клієнтом

Дані пакетів послуг та подарункових сертифікатів:

• Придбані пакети послуг (кількість сесій, термін дії)
• Подарункові сертифікати (код, сума/послуга, ім'я покупця, ім'я отримувача, персональне повідомлення)
• Дані погашення сертифікатів

Документи згод:

• Скановані копії підписаних згод клієнтів (PDF, зображення)
• Тип згоди, дата підписання, примітки

Дані скарг на відгуки:

• Причина скарги (фейковий, образливий, спам, інше)
• Текст коментаря до скарги
• Статус модерації скарги

Дані блокування клієнтів:

• Факт та дата блокування клієнта майстром
• Причина блокування (необов'язково)

Розширені дані клієнтів:

• Стать клієнта (необов'язково)
• Додатковий номер телефону клієнта (необов'язково)
• Теги для категоризації (категорія та мітка)
• Довільні поля, створені майстром (назва, значення)

Журнал візитів:

• Нотатки майстра до кожного візиту
• Фотографії до та після процедури
• Використані продукти та формули

Дані інвентарю:

• Назва, кількість та ціна матеріалів та обладнання
• Фото інвентарю
• Закріплення за майстрами та статуси обладнання

Дані аналітики:

• Агреговані показники (доходи, кількість записів, завантаженість)
• Статистика є похідною від інших даних та не містить додаткової персональної інформації

Дані пов'язані з онлайн-платежами:

• API-ключі платіжного провайдера Майстра (зберігаються у зашифрованому вигляді AES-256-GCM)
• Обраний платіжний провайдер та режим оплати (повна / передоплата / без оплати)
• Мета-дані платежів: сума, статус, ідентифікатор транзакції провайдера, дата оплати та повернення
• Ім'я та контакти Клієнта при оплаті - для прив'язки платежу до конкретного запису

Дані, які ми НЕ збираємо та НЕ зберігаємо (онлайн-платежі):

• Номери банківських карток
• CVV / CVC коди
• PIN-коди та інші секретні реквізити карток
• Будь-яку платіжну інформацію, що підпадає під стандарт PCI DSS

Введення платіжних даних відбувається виключно на захищеній сторінці платіжного провайдера (Monobank Acquiring або LiqPay - залежно від вибору Майстра). Дані картки ніколи не проходять через сервери Платформи.

Дані чайових:

• Сума та статус чайових
• Зв'язок з записом та майстром
• Дані є підмножиною платіжних даних і зберігаються аналогічно

Дані групових записів:

• Список учасників групового сеансу (ім'я, контактні дані)
• Індивідуальний статус та оплата кожного учасника
• Параметри повторюваних серій (періодичність, дати)

Дані запрошень клієнтів:

• Email-адреса запрошеного клієнта
• Коментар майстра до запрошення
• Статус запрошення (очікує, прийнято, відхилено)
• Email-адреса, залишена гостем після першого запису (за бажанням гостя)

Дані заявок на дзвінок (callback-запити):

• Ім'я та контакт клієнта (телефон, email - за бажанням)
• Обрані послуги, які цікавлять клієнта (необов'язково)
• Бажаний час дзвінка та текст запиту/побажання (необов'язково)
• Статус опрацювання заявки майстром

Налаштування доставки сповіщень:

• Для кожного типу події збережено, якими каналами (у застосунку, email, Telegram) воно надсилається

Дані використання:

• IP-адреса та інформація про пристрій (User-Agent)
• Дані сесій (для безпеки акаунту)
• Дата прийняття Умов використання та версія прийнятих умов
• Одноразовий токен активації бізнес-профілю з обмеженим строком дії (при повторній реєстрації наявного акаунта як бізнес)

Ми обробляємо ваші персональні дані з такими цілями:

• Надання доступу до функціоналу Платформи
• Ідентифікація та аутентифікація користувачів
• Управління записами, клієнтами та послугами
• Відображення інформації на публічній сторінці та в каталозі майстрів
• Надсилання сповіщень про записи та нагадувань (у застосунку, email та через Telegram)
• Підтвердження email-адреси та скидання паролю
• Забезпечення безпеки акаунту
• Відображення та модерація відгуків
• Функціонування реферальної програми (нарахування балів, знижки)
• Облік пакетів послуг та подарункових сертифікатів
• Зберігання документів згод клієнтів
• Модерація скарг на відгуки та забезпечення якості контенту
• Управління блокуванням клієнтів для захисту бізнес-користувачів
• Ведення журналу візитів та збереження фотографій процедур
• Облік інвентарю (матеріали, обладнання)
• Формування аналітики та бізнес-звітів
• Експорт фінансових даних на запит користувача (CSV)
• Формування платіжних посилань через API платіжного провайдера (Monobank Acquiring або LiqPay)
• Відстеження статусу оплати та повернення коштів
• Автоматичне створення фінансових записів на підставі підтверджених оплат
• Забезпечення цілісності даних між записами, оплатами та фіскальними чеками
• Управління груповими записами та повторюваними сеансами
• Обробка чайових через онлайн-оплату
• Надсилання запрошень клієнтам по email від імені майстра
• Надсилання одноразових email-повідомлень гостям після першого запису (за згодою)
• Обробка заявок на дзвінок з публічної сторінки та формування черги лідів майстра
• Активація бізнес-профілю для наявних акаунтів через підтвердження email
• Автоматичне списання сесій абонемента при завершенні запису та сповіщення клієнта про це
• Покращення якості Платформи

Ваші дані зберігаються на серверах Amazon Web Services (AWS) у регіоні ЄС (eu-central-1, Франкфурт). Зображення зберігаються в AWS S3.

Ми застосовуємо такі заходи безпеки:

• Шифрування паролів (bcrypt)
• HTTPS-з'єднання для передачі даних
• JWT-токени для аутентифікації з обмеженим терміном дії
• HttpOnly cookies для refresh-токенів
• Обмеження кількості запитів (rate limiting)
• API-ключі платіжних провайдерів зберігаються з використанням шифрування AES-256-GCM; ключ шифрування зберігається окремо від зашифрованих даних
• Доступ до зашифрованих платіжних ключів здійснюється тільки в момент виконання API-виклику до провайдера
• API-ключі ніколи не відображаються у відкритому вигляді в інтерфейсі Платформи (тільки маскована форма)
• Callback-дані від платіжних провайдерів зберігаються для аудиту та вирішення спорів

Платформа використовує:

• JWT Access Token - зберігається виключно в оперативній пам'яті браузера (не в localStorage чи cookies), термін дії 15 хвилин. Використовується для аутентифікації API-запитів. При перезавантаженні сторінки токен відновлюється через Refresh Token.
• Refresh Token - зберігається в HttpOnly cookie (недоступний для JavaScript), термін дії 30 днів. Використовується для оновлення access-токена.
• localStorage - зберігає базову інформацію про сесію (ім'я, тип акаунту) для роботи інтерфейсу. Не містить токенів доступу.

Платформа не використовує рекламні або аналітичні cookies третіх сторін.

Платформа використовує такі сервіси третіх сторін:

• Google OAuth - для входу через Google-акаунт. Передаються: ідентифікатор, email, ім'я, фото.
  Політика конфіденційності Google
• Facebook OAuth - для входу через Facebook-акаунт. Передаються: ідентифікатор, email, ім'я.
  Політика конфіденційності Facebook
• Telegram Login Widget - для входу через Telegram-акаунт та отримання сповіщень. Передаються: Telegram ID, username, номер телефону (якщо доступний).
  Політика конфіденційності Telegram
• Google reCAPTCHA v3 - для захисту від ботів при реєстрації, вході та онлайн-записі. Google може збирати дані відповідно до своєї політики.
  Умови використання reCAPTCHA
• Amazon Web Services (S3) - для зберігання зображень (фото послуг, профілю, галереї бізнесу), документів згод та подарункових сертифікатів.
• Monobank Acquiring (АТ «Універсал Банк») - для обробки онлайн-платежів за послуги Майстрів, якщо Майстер обрав цього провайдера. Передаються: сума платежу, валюта, опис (назви послуг), ідентифікатор замовлення, redirect URL, дані позицій кошика. Персональні дані Клієнта (номер картки, CVV, PIN) не передаються через сервери Платформи - вводяться безпосередньо на захищеній сторінці Monobank.
  Політика конфіденційності Monobank
• LiqPay (АТ КБ «ПриватБанк») - для обробки онлайн-платежів за послуги Майстрів, якщо Майстер обрав цього провайдера. Передаються: сума платежу, валюта, опис (назви послуг), ідентифікатор замовлення, redirect URL. Персональні дані Клієнта (номер картки, CVV, PIN) не передаються через сервери Платформи - вводяться безпосередньо на захищеній сторінці LiqPay.
  Політика конфіденційності LiqPay
• Checkbox (ПРРО) - для автоматичної фіскалізації розрахунків Майстрів, якщо Майстер активував інтеграцію з Checkbox. Передаються: перелік послуг, сума, форма оплати, ідентифікатор запису. Персональні дані Клієнта не передаються.
  Політика конфіденційності Checkbox

Платформа дотримується принципу мінімізації даних: збирає та зберігає виключно ті дані, які необхідні для функціонування сервісу.

• Дані банківських карток ніколи не проходять через сервери Платформи - уся обробка відбувається на стороні сертифікованого платіжного провайдера (Monobank Acquiring або LiqPay, обидва відповідають стандарту PCI DSS Level 1)
• API-ключі Майстрів захищені шифруванням на рівні application (AES-256-GCM) і не доступні іншим Користувачам або адміністраторам Платформи у відкритому вигляді
• Callback-комунікації з платіжними провайдерами верифікуються криптографічним підписом для захисту від підробки даних
• Логи платіжних операцій доступні тільки відповідному Майстру та використовуються для аудиту, вирішення спорів та формування фінансової звітності

Наступні дані можуть бути публічно доступними без авторизації:

• Інформація на публічній сторінці майстра (ім'я, назва бізнесу, опис, послуги, ціни, фото, розташування на карті)
• Відгуки та рейтинги майстрів
• Інформація в каталозі майстрів (назва, місто, тип бізнесу, рейтинг)
• Сторінка link-in-bio (посилання, контакти, послуги)

Бізнес-користувач самостійно вирішує, чи активувати публічну сторінку та каталог. QR-коди та матеріали для соціальних мереж, згенеровані Платформою, можуть бути розповсюджені користувачем на власний розсуд.

Ви маєте такі права щодо своїх персональних даних:

• Право на доступ - ви можете переглянути свої дані на сторінці профілю
• Право на виправлення - ви можете оновити свої дані в будь-який момент
• Право на видалення - ви можете запросити повне видалення акаунту та всіх пов'язаних даних
• Право на обмеження обробки - ви можете звернутися до нас для обмеження обробки даних
• Право на портативність - ви можете запросити експорт ваших даних

Для реалізації цих прав зверніться до нас за контактною інформацією, вказаною нижче.

Ми зберігаємо ваші персональні дані протягом:

• Активного використання акаунту - без обмеження терміну
• Після видалення акаунту - дані видаляються протягом 30 днів
• Логи безпеки (IP-адреси, сесії) - до 90 днів

У разі блокування акаунту дані можуть зберігатися до вирішення питання або до закінчення терміну блокування.

Платформа не призначена для осіб віком до 16 років. Ми свідомо не збираємо персональні дані дітей. Якщо ви дізнаєтесь, що дитина надала нам свої дані, зверніться до нас для їх видалення.

Ми можемо оновлювати цю Політику конфіденційності. Про суттєві зміни ми повідомимо через Платформу. Дата останнього оновлення вказана на початку цього документа.

З питань щодо обробки персональних даних або реалізації ваших прав ви можете зв'язатися з нами:

• Email: support@beezhub.cloud

• v2.2 (16 травня 2026) - Додано категорії даних: заявки на дзвінок (callback-запити), налаштування доставки сповіщень, додатковий телефон клієнта, токен активації бізнес-профілю; уточнено канали доставки сповіщень (застосунок, email, Telegram); додано цілі обробки: обробка лідів, активація бізнес-профілю, авто-списання абонемента.
• v2.1 (6 квітня 2026) - Додано категорії даних: чайові, групові записи, запрошення клієнтів; розширено перелік цілей обробки даних.
• v2.0 (5 квітня 2026) - Додано опис платіжних даних, цілей їх обробки та шифрування API-ключів; додано LiqPay та Checkbox до переліку інтеграцій; додано секцію «Безпека платіжних даних».
• v1.0 (1 березня 2026) - Початкова версія Політики конфіденційності.