Политика конфиденциальности

«Buyka» («Сервис», «мы», «нас») оперирует B2B-маркетплейсом buyka.io для товаров, услуг и инвестиционных возможностей в сферах нанотехнологий, робототехники, зелёной энергетики и других инновационных сегментов.

Данная политика описывает, какие персональные данные мы обрабатываем о посетителях и зарегистрированных пользователях (покупателях, поставщиках, инвесторах, инноваторах, администраторах), зачем мы их обрабатываем, с кем делимся и какие у вас есть права.

• Данные аккаунта: email, хэш пароля (Argon2), локаль, роль.
• Данные компании: юридическое название, VAT/ИНН, страна, KYC-документы, информация о бенефициарных владельцах (только для поставщиков).
• Деловая активность: RFQ, котировки, записи сделок, сообщения, вложения, отзывы, рейтинги.
• Платёжные данные: обрабатываются исключительно Stripe — мы храним только метаданные (id подписки, id счёта, последние 4 цифры карты).
• Технические данные: IP, user-agent, сессионные cookies, записи аудит-лога (попытки входа, смена ролей, действия по спорам).
• Использование AI: израсходованные токены, сценарий, модель, задержка, стоимость (хранится 90 дней).

• Исполнение договора — предоставление маркетплейса, RFQ, сделок, мессенджера, поддержки.
• Юридическая обязанность — KYC (AML/CTF), налоговые счета, проверка по санкционным спискам.
• Законный интерес — предотвращение мошенничества, аудит безопасности, улучшение продукта.
• Согласие — маркетинговые письма, опциональные AI-сценарии (отзывается в любой момент в /dashboard/settings).

• Финансовые и биллинговые записи: 7 лет (регуляторно).
• Аудит-лог безопасности: 1 год.
• Общий аудит-лог: 90 дней.
• События использования AI: 90 дней.
• KYC-документы: 5 лет после последней активности компании.
• Данные аккаунта: до запроса на удаление (ст. 17 GDPR) — см. §8 ниже.

Мы никогда не продаём персональные данные. Делимся только с обработчиками, помогающими работе платформы, на основе Data Processing Agreement (DPA):

• Платежи: Stripe (США, EU-филиал для EU-клиентов).
• KYC: Sumsub (EU) / Veriff (EU).
• Email: Resend / Postmark.
• SMS: Twilio.
• AI: OpenAI Enterprise / Anthropic / DeepL Pro, все с контрактным условием data_retention=0.
• Облачная инфраструктура: AWS (EU-резидентность для EU-пользователей).
• Мониторинг: Sentry (ошибки), Cloudflare (CDN/WAF).

Данные резидентов EU по умолчанию остаются в eu-central-1 (Франкфурт). Трансграничные передачи (например, в OpenAI USA) основаны на Standard Contractual Clauses (SCC, 2021/914) и наших дополнительных мерах.

Мы используем минимум cookies, необходимых для аутентификации (buyka_refresh, buyka_session), плюс опциональные аналитические cookies, которыми вы управляете через cookie-баннер. Никаких рекламных cookies или трекеров третьих сторон.

• Доступ: GET /api/v1/compliance/export — JSON-снимок всего, что мы храним о вас.
• Исправление: отредактируйте профиль в кабинете.
• Удаление: DELETE /api/v1/compliance/account — мягкое удаление + анонимизация PII (аудит-лог сохраняется согласно §4).
• Ограничение / возражение: пишите на privacy@buyka.io.
• Переносимость данных: тот же export-эндпоинт, машиночитаемый JSON.
• CCPA «Не продавать и не передавать»: POST /api/v1/compliance/do-not-sell или переключатель в /dashboard/settings.
• Право пожаловаться: в Роскомнадзор (РФ) или в местный надзорный орган по защите данных.

Применяем TLS 1.3 при передаче, AES-256 при хранении KYC-документов, Argon2id для хэшей паролей, контроли OWASP Top 10, SAST (Semgrep) и DAST (OWASP ZAP) в CI. Политика раскрытия уязвимостей — /security-policy.

Buyka — B2B-сервис, предназначенный для юридических лиц и их представителей. Мы намеренно не собираем данные лиц младше 16 лет.

О существенных изменениях объявляем по email + баннером в приложении минимум за 30 дней до вступления в силу. Прошлые версии архивируются по запросу.