Helios

Политика конфиденциальности

Действует с 11.05.2026. Последнее обновление — 11.05.2026.

1. Кто мы

Сервис Helios (далее — «Сервис», «мы», «нас») — мобильное приложение и веб-платформа лояльности StarPoints, предоставляющая бонусные баллы (SP), розыгрыши, реферальную программу и обмен баллов у партнёров-вендоров. Оператор данных и владелец сервиса несёт ответственность за обработку персональных данных в соответствии с применимым законодательством.

2. Какие данные мы собираем

2.1. При регистрации и использовании учётной записи

• Имя — то, что вы указали в форме регистрации;
• Номер телефона — используется как основной идентификатор и для отправки OTP-кодов;
• Email — опционально, для отправки уведомлений и альтернативного канала OTP;
• Пароль — хранится только в виде криптографического хеша (bcrypt), исходный пароль нам не известен;
• Язык интерфейса;
• Страна (если выбрана).

2.2. Об устройстве

• Идентификатор устройства (UUID, Android ID, identifierForVendor на iOS) — для привязки одного аккаунта к одному устройству;
• Тип устройства (ios / android);
• FCM-токен Firebase Cloud Messaging — для отправки push-уведомлений;
• IP-адрес и User-Agent — фиксируются при попытках входа для аудита безопасности.

2.3. О действиях в приложении

• Транзакции бонусных баллов (SP): начисления, списания, причины, истечение срока;
• История обменов (redeem) у партнёров-вендоров: вендор, товар, количество SP;
• Ежедневные чек-ины и streak-серия;
• Участие в Spin & Win и Lucky Draw, выигранные призы;
• Реферальная программа: кто вас пригласил и кого пригласили вы;
• Заявки на сервисные услуги (имя, телефон, email, описание);
• Обращения в поддержку и переписка по тикетам;
• История просмотров товаров и категорий — для рекомендаций.

2.4. Технические и аудит-данные

• Попытки входа: время, IP, причина отказа (неверный пароль, деактивирован, чужое устройство и т.д.);
• Серверные логи запросов;
• Срок действия и статус OTP-кодов (хеши, не сами коды).

3. Цели обработки

• Идентификация и аутентификация пользователя, защита от фрода;
• Начисление и обмен бонусных баллов, ведение балансов и журнала транзакций;
• Отправка push-уведомлений (начисления, статусы обменов, маркетинг — с возможностью отключения);
• Отправка SMS / WhatsApp / email с OTP-кодами и сервисными сообщениями;
• Реферальная программа и розыгрыши;
• Обработка обращений в поддержку и сервисных заявок;
• Аналитика и улучшение продукта;
• Соблюдение законодательства и защита прав сервиса в спорах.

4. Правовое основание

• Договор — обработка нужна для предоставления вам услуг (создание аккаунта, начисление SP, обмен у вендоров);
• Согласие — для маркетинговых push, отправки уведомлений на дополнительные каналы. Согласие можно отозвать в любой момент в настройках приложения;
• Законный интерес — безопасность аккаунта (аудит логинов, привязка устройства), защита от злоупотреблений;
• Юридические обязательства — где это требуется применимым законодательством.

5. Передача третьим лицам

Мы передаём минимально необходимый набор данных следующим обработчикам:

• Google Firebase Cloud Messaging — FCM-токены и содержимое push-уведомлений для доставки на устройство;
• SMS-провайдеры (включая MessageBird) — номер телефона и OTP-код;
• WhatsApp Business API — номер телефона и OTP-код, если выбран канал WhatsApp;
• SMTP / email-провайдер — email-адрес и текст письма;
• Backblaze B2 — изображения и файлы, которые вы загружаете (аватары, баннеры и т.п.);
• Партнёры-вендоры — при обмене SP вендор получает ваш Account ID, Transaction ID и код подтверждения для верификации операции;
• OpenAI — только для авто-перевода интерфейса администратором, ваши персональные данные туда не отправляются.

Мы не продаём и не передаём ваши персональные данные третьим лицам в рекламных или иных коммерческих целях, не связанных с предоставлением услуг Helios.

6. Хранение и сроки

• Данные аккаунта — пока аккаунт активен; после удаления — в течение срока, требуемого законом для финансовой и налоговой отчётности;
• OTP-коды — до 5 минут (затем хеш удаляется или истекает);
• Сессионные токены — до 30 дней (мобильные) или до 1 дня (админ-панель);
• Журнал попыток входа — для аудита безопасности;
• SP-транзакции — на весь срок действия бонусной программы плюс архивный период.

7. Безопасность

• Пароли хранятся как bcrypt-хеши с cost=12;
• HTTPS / TLS-шифрование для всех соединений;
• Один аккаунт привязан к одному устройству; смена устройства требует подтверждения через службу поддержки;
• Sanctum-токены с ограниченным сроком жизни и областями (abilities);
• Аудит-журнал попыток входа с причиной отказа и IP;
• Ограничение частоты запросов (rate limiting) на чувствительных эндпоинтах.

8. Ваши права

В соответствии с применимым законодательством вы имеете право:

• Получить копию своих персональных данных;
• Запросить исправление неточных данных;
• Запросить удаление аккаунта и связанных данных (за исключением информации, которую мы обязаны хранить по закону);
• Возразить против обработки или ограничить её;
• Отозвать согласие на маркетинговые уведомления — в настройках приложения или письмом на наш контактный адрес;
• Подать жалобу в надзорный орган по защите данных.

9. Дети

Сервис не предназначен для лиц младше 16 лет. Мы не собираем сознательно данные несовершеннолетних. Если вы являетесь родителем или опекуном и обнаружили, что ребёнок предоставил нам данные, свяжитесь с нами — мы удалим эти данные.

10. Трансграничная передача

Часть наших обработчиков (Firebase, OpenAI, Backblaze) располагается за пределами Казахстана. Передача данных осуществляется с применением стандартных договорных условий и иных правовых механизмов, обеспечивающих надлежащий уровень защиты.

11. Изменения политики

Мы можем обновлять эту политику. При существенных изменениях мы уведомим вас через приложение или email до вступления изменений в силу. Дата последнего обновления указана в начале документа.

12. Контакты