Политика конфиденциальности
Какие данные обрабатывает сервис bank2excel, сколько они хранятся, кому передаются и как защищены.
Настоящая Политика конфиденциальности (далее — «Политика») описывает порядок сбора, обработки, хранения и защиты персональных данных пользователей сервиса bank2excel, расположенного по адресу bank2excel.schetnaoplatu.kz, и связанного с ним Telegram-бота @Bank2ExcelBot (далее совместно — «Сервис»), управляемых индивидуальным предпринимателем Алибековым (далее — «Оператор», «мы»).
Политика разработана в соответствии с Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» и применяется ко всем пользователям Сервиса.
Кратко — три принципа, которым мы следуем:
1. Мы не сохраняем ваш PDF. Файл обрабатывается в оперативной памяти и сразу удаляется. На диск сервера он не записывается.
2. Никакого ИИ и никакого обучения моделей. Парсеры написаны вручную. Ваши документы и извлечённые данные не передаются и не будут передаваться в обучение нейросетей или языковых моделей — ни нами, ни нашими подрядчиками.
3. Мы не продаём ваши данные. Содержимое ваших выписок остаётся у нас и удаляется в течение часа. Однако для оценки эффективности нашей рекламы мы передаём ограниченный набор идентификаторов (Telegram ID, имя пользователя, имя профиля, хеш номера телефона при наличии) и событий (заход на сайт, успешная оплата) рекламным платформам — Meta (Facebook, Instagram), Google, TikTok, Яндекс и другим аналогичным площадкам. Эти платформы могут использовать полученные данные согласно собственным политикам конфиденциальности, на которые мы не имеем влияния. Подробнее — разделы 2 и 4.
Важное уведомление. Сервис не является продуктом, подразделением, партнёром или аффилированным лицом АО «Kaspi Bank», АО «Народный банк Казахстана» (Halyk Bank), АО «Bank CenterCredit», АО «Freedom Bank Kazakhstan», АО «Alatau City Bank» или иных банков. Названия банков и их продуктов («Kaspi», «Kaspi Gold», «Kaspi Pay», «Halyk», «Homebank», «OnlineBank», «BCC», «ЦентрКредит», «Freedom», «Alatau City Bank») являются товарными знаками своих правообладателей и используются исключительно в информационных целях для описания функциональности Сервиса (формат поддерживаемых выписок).
1Какие данные мы обрабатываем
Мы стараемся обрабатывать минимум данных, необходимых для оказания услуги. Принципиально мы не сохраняем оригинал PDF-выписки и не имеем к нему доступа после завершения парсинга.
| Категория | Состав данных | Когда собирается |
|---|---|---|
| PDF-файл выписки | Файл, который вы загружаете на сайт или отправляете боту. Обрабатывается исключительно в оперативной памяти процесса и удаляется сразу после завершения парсинга. На диск сервера не записывается. | В момент загрузки; уничтожается в течение нескольких секунд после ответа. |
| Разобранные данные выписки | Структурированный результат: банк, период, валюта, список транзакций (дата, сумма, тип операции, контрагент, описание), агрегированная сводка (доход, расход, итог, топ контрагентов). | На время от загрузки PDF до получения Excel в Telegram-боте, но не более 1 (одного) часа. |
| Идентификаторы Telegram | Telegram ID, имя пользователя (username), имя в профиле — передаются Telegram при использовании бота. Используются для идентификации, оказания услуги и маркетинговых активностей самого Сервиса (см. раздел 2). | При первом обращении к боту и при последующих взаимодействиях. |
| Номер телефона | Передаётся в случае, если вы добровольно поделились контактом через Telegram (кнопка «Поделиться номером» или эквивалент). Без вашего явного действия номер мы не получаем. | Только при добровольной передаче контакта через Telegram. |
| Состояние тарифа | Тип тарифа (разовая конвертация / месячный безлимит), дата активации, дата окончания безлимита, факт использования разового пакета. | После успешной валидации платёжного чека. |
| Платёжный чек Kaspi | PDF-чек об оплате, который пользователь отправляет боту для активации тарифа. Передаётся на сервис проверки чеков (см. раздел 4) и не сохраняется на нашей стороне. | Только в момент валидации платежа. |
| Технические данные | IP-адрес, user-agent, метаданные HTTP-запросов, технические журналы (логи) сервера и обратного прокси. | При каждом обращении к Сервису. |
| Данные Cloudflare Turnstile | Технические сигналы антибот-защиты, собираемые виджетом Cloudflare Turnstile при загрузке файла на сайт. | В момент прохождения проверки на сайте. |
Мы не собираем и не запрашиваем: ФИО владельца счёта или карты, паспортные данные, ИИН/ИНН пользователя, номера и реквизиты банковских карт, пароли от банковских приложений, фотографии, голосовые сообщения, список контактов и геолокацию.
2Цели обработки
2.1. Оказание услуги
- Преобразование PDF-выписки в файл Excel (xlsx) — основная функция Сервиса.
- Доставка результата пользователю через Telegram-бот.
- Учёт активного тарифа (разовая конвертация / безлимит) и контроль права доступа к функциональности.
- Валидация платёжного чека Kaspi через сервис проверки чеков.
- Защита Сервиса от автоматизированных атак, спама и злоупотреблений (Cloudflare Turnstile, ограничение частоты запросов).
- Техническая диагностика, мониторинг работоспособности и устранение ошибок.
- Исполнение обязательств по публичной оферте.
2.2. Маркетинг и продвижение Сервиса
Для измерения эффективности нашей рекламы и привлечения новых пользователей мы передаём рекламным и аналитическим платформам (далее — «Рекламные партнёры») ограниченный набор данных:
- Идентификаторы: Telegram ID, имя пользователя, имя профиля, номер телефона (если получен от Telegram). Где это технически возможно, идентификаторы передаются в хешированном виде (SHA-256).
- События: заход на сайт, начало работы с Telegram-ботом, успешная оплата тарифа («событие конверсии»), активация безлимита.
- Технические данные: IP-адрес, user-agent, источник перехода (UTM-метки, реферер), идентификаторы рекламного клика (например, fbclid, gclid).
К Рекламным партнёрам относятся, в том числе: Meta Platforms, Inc. (Facebook, Instagram, WhatsApp Business — Meta Pixel / Conversions API), Google LLC (Google Ads, Google Analytics), TikTok Pte. Ltd., ООО «Яндекс» (Яндекс.Метрика, Яндекс.Директ) и иные аналогичные платформы, к которым мы можем подключиться в дальнейшем.
Цели передачи:
- атрибуция конверсий и измерение стоимости привлечения пользователя;
- формирование собственных и похожих аудиторий для показа рекламы Сервиса bank2excel;
- ремаркетинг и ретаргетинг — повторный показ вам нашей рекламы на сторонних площадках;
- оптимизация рекламных кампаний (определение эффективных каналов, креативов, аудиторий).
Важно про последующее использование данных Рекламными партнёрами. После того как идентификаторы и события переданы Рекламному партнёру, дальнейшая обработка осуществляется в соответствии с собственной политикой конфиденциальности этого партнёра, на которую мы не имеем влияния и которую не можем гарантировать. Рекламные партнёры могут использовать полученные данные для своих собственных целей (включая улучшение собственных рекламных алгоритмов, формирование внутренних профилей пользователей, кросс-сервисную аналитику). Перед использованием Сервиса рекомендуем ознакомиться с политиками: Meta, Google, TikTok, Яндекс.
Помимо передачи данных Рекламным партнёрам, мы используем те же идентификаторы (Telegram ID, имя пользователя, номер телефона) для отправки маркетинговых сообщений через Telegram-бот: информирование о новых поддерживаемых банках, обновлении парсеров, акциях, изменениях тарифов, опросах и сборе обратной связи.
Право отказаться от маркетинга. Вы вправе в любой момент:
- отказаться от получения маркетинговых сообщений через Telegram-бот;
- отозвать согласие на передачу ваших идентификаторов Рекламным партнёрам для построения аудиторий и ретаргетинга.
Для этого направьте запрос через контакты в разделе 11. Технические уведомления, необходимые для оказания услуги (валидация платежа, доставка Excel-файла, уведомление об окончании тарифа), будут продолжать поступать — отказ от них означает невозможность пользоваться Сервисом.
Дополнительно вы можете напрямую управлять рекламными настройками на стороне самих платформ — через Meta Accounts Center, Google My Ad Center и аналогичные интерфейсы.
2.3. Что мы делать НЕ будем
Никакого ИИ и никакого обучения моделей на ваших документах. Парсеры выписок написаны вручную и работают по детерминированным правилам — мы не применяем нейросети, большие языковые модели или внешние ИИ-API при обработке ваших файлов. Содержимое загруженных PDF-выписок и разобранные транзакции не передаются Рекламным партнёрам, не передаются в обучение моделей искусственного интеллекта и не используются ни для каких целей, кроме оказания вам основной услуги (см. раздел 2.1).
Маркетинговая передача данных, описанная в пункте 2.2, касается исключительно идентификаторов и фактов событий (зашли на сайт, оплатили тариф) и не включает содержимого ваших банковских выписок, сумм отдельных транзакций, контрагентов или иных финансовых данных.
Мы также не продаём ваши персональные данные за деньги и не публикуем их в открытом доступе.
3Хранение и сроки
- PDF-выписка. Никогда не записывается на диск сервера в продуктивной среде. Существует исключительно в оперативной памяти процесса до момента завершения парсинга, после чего гарантированно уничтожается сборщиком мусора. Размер загружаемого файла ограничен 5 МБ.
- Разобранные данные. Сохраняются в локальной базе данных SQLite в зашифрованном виде (симметричное шифрование Fernet, AES-128 в режиме CBC с HMAC-SHA256) и автоматически удаляются фоновой задачей в течение 1 (одного) часа с момента создания.
- Excel-файл (xlsx). Не сохраняется на сервере. Формируется по запросу и отправляется пользователю через Telegram, после чего удаляется из памяти процесса.
- Состояние тарифа и идентификаторы Telegram. Хранятся в локальной базе данных до момента удаления аккаунта по запросу пользователя. Месячный безлимит привязан к Telegram ID и действует 30 календарных дней с момента активации.
- Платёжные чеки. Не сохраняются на нашей стороне. После валидации удаляются из памяти процесса. Сервис проверки чеков может хранить технические записи о факте проверки в соответствии со своей политикой.
- Технические журналы. Логи сервера и обратного прокси хранятся не более 30 (тридцати) дней и автоматически ротируются.
4Передача третьим лицам
Мы передаём данные третьим лицам только в объёме и для целей, необходимых для функционирования Сервиса:
| Получатель | Что передаётся | Зачем |
|---|---|---|
| Telegram FZ-LLC | Telegram ID, имя пользователя, текст сообщений бота, файлы Excel (xlsx), отправляемые пользователю. | Доставка сообщений и файлов Telegram-бота конечному пользователю. |
| ProverkaCheka.kz (ИП Алибеков) | PDF платёжного чека Kaspi, Telegram ID плательщика, ожидаемая сумма, ИИН/БИН получателя. | Валидация платёжного чека (соответствие суммы, продавца и срока давности) перед активацией тарифа. |
| Cloudflare, Inc. | IP-адрес, user-agent, метаданные HTTP-запросов, сигналы виджета Turnstile. | Защита от DDoS-атак, фильтрация ботов, доставка статических ресурсов (CDN), TLS-терминация. |
| Хостинг-провайдер | Все данные, обрабатываемые Сервисом (в зашифрованном или открытом виде в зависимости от типа). | Размещение серверной инфраструктуры. |
| Рекламные и аналитические платформы (Meta, Google, TikTok, Яндекс и аналогичные) | Идентификаторы (Telegram ID, имя пользователя, имя профиля, хеш номера телефона), события (заход на сайт, успешная оплата), технические данные (IP, user-agent, идентификаторы рекламного клика). Содержимое выписок и разобранные транзакции не передаются. | Измерение эффективности рекламы, формирование рекламных аудиторий, ретаргетинг — продвижение Сервиса bank2excel. Подробнее — пункт 2.2. |
Мы не продаём за деньги ваши персональные данные и не передаём их иным третьим лицам, не указанным выше, за исключением случаев, прямо предусмотренных законодательством Республики Казахстан (например, по обязательному запросу уполномоченного государственного органа).
Ограничение нашей ответственности за действия Рекламных партнёров. После передачи данных Рекламному партнёру в соответствии с пунктом 2.2 их дальнейшая обработка регулируется политикой конфиденциальности этого партнёра. Мы прилагаем разумные усилия для выбора партнёров, обеспечивающих адекватный уровень защиты, и для использования технических средств минимизации (хеширование идентификаторов, передача только необходимых событий), однако не контролируем и не гарантируем то, как именно эти партнёры используют полученные данные внутри своих систем.
5Трансграничная передача данных
Серверная инфраструктура и часть используемых нами сервисов расположены за пределами Республики Казахстан. В связи с этим в рамках работы Сервиса осуществляется трансграничная передача персональных данных следующим получателям, обеспечивающим, по нашей оценке, адекватный уровень защиты:
| Получатель | Юрисдикция | Цель |
|---|---|---|
| Хостинг-провайдер серверной инфраструктуры | Европейский союз | Размещение серверов, баз данных и резервных копий. |
| Telegram FZ-LLC | ОАЭ / Великобритания | Доставка сообщений и файлов через Telegram-бот. |
| Cloudflare, Inc. | США (с использованием сети POP по всему миру) | Защита от атак, антибот-проверка, CDN, TLS. |
| Meta Platforms, Inc. | США / Ирландия (ЕС) | Атрибуция конверсий, формирование рекламных аудиторий, ретаргетинг (Facebook, Instagram, WhatsApp Business). |
| Google LLC | США / Ирландия (ЕС) | Атрибуция конверсий, формирование рекламных аудиторий, веб-аналитика (Google Ads, Google Analytics). |
| TikTok Pte. Ltd. | Сингапур / США / Ирландия (ЕС) | Атрибуция конверсий, формирование рекламных аудиторий, ретаргетинг. |
| ООО «Яндекс» | Российская Федерация | Веб-аналитика, атрибуция конверсий, ретаргетинг (Яндекс.Метрика, Яндекс.Директ). |
Трансграничная передача осуществляется в соответствии со статьёй 16 Закона Республики Казахстан «О персональных данных и их защите».
Используя Сервис (загружая файл на сайт или отправляя сообщения боту), вы предоставляете информированное согласие на трансграничную передачу ваших персональных данных указанным получателям в указанных объёмах и для указанных целей. Если вы не согласны с такой передачей, прекратите использование Сервиса.
6Защита данных
Мы применяем разумные технические и организационные меры для защиты ваших данных:
- Шифрование всего трафика по протоколу HTTPS (TLS 1.2+).
- Защита от ботов и автоматизированных атак через Cloudflare Turnstile и фильтры обратного прокси.
- Симметричное шифрование разобранных данных в покое (Fernet, AES-128-CBC + HMAC-SHA256).
- Автоматическое удаление разобранных данных в течение 1 часа фоновой задачей.
- Ограничение размера загружаемых файлов (до 5 МБ) и потокового счётчика для предотвращения переполнения.
- Принудительная обработка PDF в оперативной памяти; запрет на запись оригинала на диск в продуктивной среде на уровне конфигурации и проверки при старте процесса.
- Ограничение доступа к серверу и базе данных кругом уполномоченных администраторов.
- Контроль подлинности входящих обновлений Telegram через секретный токен webhook.
- Минимизация хранимых данных — мы не сохраняем то, что нам не нужно.
Однако ни одна система не обеспечивает абсолютной защиты. Передача данных по сети Интернет и их обработка на удалённых серверах сопряжены с неустранимыми рисками. Мы прилагаем разумные усилия для обеспечения сохранности данных, но не можем гарантировать абсолютную защищённость от несанкционированного доступа, технических сбоев, действий третьих лиц или иных непредвиденных обстоятельств. Вы используете Сервис на свой страх и риск; пределы нашей ответственности за возможный ущерб установлены в разделе 4 Публичной оферты.
7Файлы cookie и аналитика
Сайт использует следующие категории файлов cookie и аналогичных технологий:
- Строго необходимые: технические cookie для работы Cloudflare Turnstile (антибот-защита), поддержания состояния пользовательской сессии при загрузке файла и обеспечения безопасности. Эти cookie не требуют согласия и не могут быть отключены без потери функциональности.
- Аналитические и рекламные: пиксели и теги рекламных платформ (Meta Pixel, Google Tag, TikTok Pixel, Яндекс.Метрика и аналогичные), используемые для измерения эффективности рекламы, формирования аудиторий и ретаргетинга — в соответствии с пунктом 2.2.
Telegram-бот файлы cookie не использует.
Вы можете управлять cookie через настройки своего браузера, а также напрямую отказаться от рекламных трекеров на стороне самих платформ (см. ссылки в пункте 2.2). Отключение строго необходимых cookie может привести к невозможности использования Сервиса.
8Ваши права
В соответствии с Законом Республики Казахстан «О персональных данных и их защите» и общепринятой международной практикой вы имеете право:
- на доступ: получить информацию о составе ваших персональных данных, которые мы обрабатываем, и о целях обработки;
- на исправление: требовать уточнения, дополнения или исправления неполных, неточных или устаревших данных;
- на блокирование: требовать временного приостановления обработки данных, если их корректность оспаривается или если обработка была начата с нарушением требований законодательства;
- на удаление: требовать уничтожения ваших персональных данных, если они получены незаконно, не являются необходимыми для заявленной цели или если вы отозвали согласие на их обработку;
- на отзыв согласия: в любой момент отозвать ранее данное согласие на обработку персональных данных, в том числе на трансграничную передачу;
- на возражение: возразить против обработки данных по основаниям, связанным с вашей конкретной ситуацией;
- на отказ от маркетинга: в любой момент отказаться от получения маркетинговых сообщений через Telegram-бот и от использования ваших идентификаторов для построения рекламных аудиторий и ретаргетинга (см. пункт 2.2). Это не отменяет получения технических уведомлений, необходимых для оказания услуги;
- на портативность: получить ваши данные, которые вы предоставили нам, в структурированном машинно-читаемом формате (для разобранных выписок — в формате xlsx);
- на обжалование: обжаловать действия или бездействие Оператора в уполномоченном органе по защите персональных данных Республики Казахстан и в судебном порядке.
Для реализации ваших прав направьте запрос в свободной форме через контакты, указанные в разделе 11. Мы рассмотрим запрос в течение 15 (пятнадцати) рабочих дней с даты получения. Для проверки вашей идентичности мы можем запросить дополнительную информацию.
9Дети
Сервис не предназначен для использования лицами младше 18 лет. Мы не запрашиваем и не собираем сознательно данные несовершеннолетних. Если вам стало известно, что несовершеннолетний предоставил нам данные, свяжитесь с нами — мы удалим их.
10Изменения политики
Мы оставляем за собой право обновлять настоящую Политику. Актуальная редакция всегда доступна по адресу bank2excel.schetnaoplatu.kz/privacy.html. Дата актуальной редакции указана в начале документа. Существенные изменения вступают в силу не ранее чем через 7 (семь) календарных дней с момента публикации. Продолжение использования Сервиса после публикации означает согласие с обновлённой Политикой.
11Контакты
Оператор: ИП Алибеков
Юрисдикция: Республика Казахстан
Сервис: bank2excel.schetnaoplatu.kz
Telegram-бот: @Bank2ExcelBot
Telegram для связи: @sanzhar