Политика конфиденциальности Smart Travel
Последнее обновление: 25 мая 2026 г.
1. Кто мы и что регулирует эта Политика
Платформа «Smart Travel» (далее — «мы», «Платформа») действует на территории Кыргызской Республики и обрабатывает персональные данные пользователей сайта smarttravel.kg в соответствии с Законом Кыргызской Республики «О персональных данных» от 14 апреля 2008 года № 58 и иными нормативными актами КР.
Настоящая Политика объясняет, какие данные мы собираем, зачем, кому передаём, сколько храним и какие у вас есть права.
Используя Платформу, вы выражаете согласие на обработку ваших персональных данных в объёме и на условиях, описанных ниже. Если вы не согласны — пожалуйста, не регистрируйтесь и не передавайте нам свои данные.
2. Какие данные мы собираем
Мы собираем только те данные, которые нужны для работы сервиса:
- При регистрации: имя, email, номер телефона, пароль (хранится только в виде хеша argon2id, расшифровать невозможно).
- В профиле (по желанию): пол, дата рождения, предпочитаемый язык интерфейса.
- При бронировании: детали брони (отель, даты, гости, сумма) и данные платежа (id транзакции от платёжного шлюза; номера карт мы не получаем).
- При использовании сервиса попутчиков: предпочтения (город, даты, интересы, языки, предпочитаемый пол попутчика, диапазон возраста), переписка с другими пользователями.
- При использовании ИИ-чата: текст ваших сообщений (передаётся в Anthropic для генерации ответа), история сессий.
- При создании маршрутов: точки маршрута, заметки, координаты старта.
- При оставлении отзывов: текст отзыва, рейтинг.
- Технические данные: IP-адрес и user-agent (только в журналах безопасности и аудита), JWT-токен в localStorage браузера, идентификатор сессии.
3. Зачем мы это собираем (правовые основания)
| Цель | Основание |
|---|---|
| Создание и работа аккаунта | Исполнение договора (Условия использования) |
| Передача данных Поставщику для оформления брони | Исполнение договора |
| Списание оплаты через платёжный шлюз | Исполнение договора |
| Защита от мошенничества, лимиты, аудит | Законный интерес Платформы |
| ИИ-помощник, подбор попутчиков | Ваше согласие, исполнение договора |
| Уведомления о статусе брони, просьбы оставить отзыв | Исполнение договора |
4. Кому мы передаём данные
Мы передаём данные третьим лицам строго в объёме, необходимом для работы сервиса:
- Поставщикам услуг (гостиницы — через систему HOS, гиды — через TOS): имя, телефон, email, детали брони. Без этого Поставщик не сможет вас принять.
- АО «Финик» (платёжный шлюз, Кыргызская Республика): сумма, id брони, ваше имя при инициации платежа. Реквизиты вашей карты обрабатываются Фиником напрямую и к нам не поступают.
- Anthropic, PBC (США) — обработка текста ваших сообщений в ИИ-чате. Anthropic является обработчиком и работает по своей политике конфиденциальности. Тексты могут использоваться для обеспечения работы сервиса; для обучения моделей по умолчанию не используются.
- Voyage AI (США) — генерация векторных эмбеддингов для семантического поиска (запросы и описания мест/туров).
- Mapbox, Inc. (США) — отображение карт. При просмотре карты ваш браузер передаёт IP-адрес и текущее положение карты в Mapbox.
- openrouteservice / Nominatim (OpenStreetMap) — построение маршрутов и геокодирование. Передаются координаты точек маршрута.
- Хостинг-провайдеры: Supabase (база данных в дата-центре AWS, регион Мумбаи), Railway (приложение), Vercel (фронтенд). Это технические подрядчики, не использующие ваши данные в своих интересах.
Мы не продаём ваши данные, не передаём их в маркетинговые сети и не используем в целях рекламы третьих сторон.
5. Где хранятся данные
Основная база данных размещена в дата-центре Amazon Web Services в регионе ap-south-1 (Мумбаи, Индия) через сервис Supabase. Резервные копии могут реплицироваться в иные регионы инфраструктуры провайдера.
В соответствии со ст. 24 Закона КР «О персональных данных», трансграничная передача осуществляется в страны, обеспечивающие надлежащий уровень защиты, либо на основании вашего согласия (которое вы даёте, принимая настоящую Политику).
6. Сколько мы храним данные
- Активный аккаунт — пока он не удалён.
- Данные о бронированиях, оплатах и финансовые документы — 3 (три) года с момента совершения операции, как требует Закон КР «О бухгалтерском учёте».
- Логи безопасности и аудита (IP, user-agent, действия с аккаунтом) — 1 (один) год.
- Содержимое чата с ИИ — пока сессия не удалена пользователем; кэшированные ответы — до 7 дней.
- Заявки на попутчиков — пока заявка не отменена; история переписки — до удаления аккаунта.
После удаления аккаунта мы обезличиваем оставшиеся записи: имена и контакты в исторических бронированиях заменяются на «удалённый пользователь», но идентификатор для целей бухгалтерии сохраняется.
7. Безопасность
Мы применяем разумные технические и организационные меры защиты:
- пароли хранятся только в виде argon2id-хеша с уникальной солью;
- все соединения — по HTTPS/TLS 1.2+;
- JWT-токены с ограниченным сроком действия (30 минут на access, 7 дней на refresh);
- rate-limiting на регистрации, входе, восстановлении пароля и чате;
- HMAC-подписи и проверка таймстампа на всех вебхуках от партнёров;
- аудит-логи всех критических действий пользователя и системы.
Несмотря на это, ни одна система не является абсолютно защищённой. В случае утечки данных, затрагивающей вашу информацию, мы уведомим вас в разумный срок и сообщим о принимаемых мерах.
8. Ваши права
В соответствии с Законом КР «О персональных данных» вы имеете право:
- получить подтверждение, какие ваши данные мы обрабатываем, и получить их копию;
- требовать исправления неточных данных;
- требовать удаления данных, если их обработка более не требуется для целей, для которых они собирались, или если вы отзываете своё согласие (за исключением данных, которые мы обязаны хранить по закону);
- в любой момент отозвать согласие на обработку — это приведёт к удалению аккаунта;
- обжаловать действия Платформы в уполномоченный орган по защите персональных данных Кыргызской Республики или в суд.
Для реализации этих прав свяжитесь с нами по телефону +996 770 17 20 08. Мы ответим в течение 30 (тридцати) календарных дней.
9. Дети
Платформа не предназначена для лиц младше 16 лет. Использование сервиса «Попутчики» доступно с 18 лет. Если вы являетесь родителем или законным представителем и обнаружили, что ребёнок зарегистрировался без вашего согласия, свяжитесь с нами — мы удалим аккаунт.
10. Cookies и хранилища браузера
Мы используем localStorage браузера для хранения JWT-токена авторизации и пользовательских настроек (выбранный язык, выбор мест для маршрута, черновики отзывов). Аналитические или рекламные cookies не устанавливаются.
Третьи стороны (например, Mapbox) могут устанавливать собственные cookies при загрузке их ресурсов — обратитесь к политике конфиденциальности соответствующего сервиса.
11. Изменения политики
Мы можем обновлять настоящую Политику. Существенные изменения публикуются не позднее чем за 7 (семь) календарных дней до вступления в силу. Дата последнего обновления указана в начале документа.
12. Контакты
По всем вопросам, связанным с обработкой ваших данных: +996 770 17 20 08.