Политика персональных данных

1. Назначение политики и применимое право

Настоящая политика объясняет, какие персональные данные могут обрабатываться при использовании сайта VPOS.am, AMOBIT-сервисов, платежных и интеграционных модулей, API, webhooks, CRM/ERP/CMS-коннекторов, merchant console, поддержки и коммуникации с командой.

VPOS.am работает на территории Республики Армения. При обработке персональных данных мы ориентируемся на законодательство Республики Армения, включая Закон РА «О защите личных данных», а также на договоры с клиентами, требования платежных провайдеров, банков, фискальных сервисов и применимые правила безопасности.

Если между вами и компанией подписан договор, DPA, техническое задание, счет или отдельное соглашение об обработке данных, такой документ имеет приоритет в части конкретного проекта, роли сторон, состава данных, сроков и обязанностей.

2. Кто является оператором данных

Для сервисов VPOS.am и международного контура AMOBIT-Мир оператором персональных данных является ООО "Гулян Диджитал" / Gulian Digital LLC, зарегистрированное в Республике Армения. Для российского направления AMOBIT-Россия оператором или участником обработки может выступать ИП Гулян Арарат Гарегинович, если это прямо следует из счета, договора, оферты или коммуникации по проекту.

В проектах платежной orchestration и интеграций клиент VPOS.am или AMOBIT обычно остается самостоятельным оператором данных своих покупателей, сотрудников, менеджеров и клиентов. VPOS.am/AMOBIT в таком случае обрабатывает часть данных как уполномоченное лицо или технический подрядчик в пределах договора и согласованного workflow.

• по сайту, заявкам и продажам мы обычно выступаем оператором данных;
• по merchant-интеграциям мы часто обрабатываем данные по поручению клиента;
• платежные провайдеры, банки, кошельки и фискальные сервисы могут быть самостоятельными операторами своих частей обработки.

3. Чьи данные могут обрабатываться

В зависимости от сценария мы можем обрабатывать данные посетителей сайта, заявителей, представителей компаний, партнеров, пользователей merchant console, технических администраторов, сотрудников клиента, сотрудников поддержки, покупателей или клиентов merchant-проекта, а также контактных лиц в CRM/ERP/CMS-системах.

Мы не стремимся получать лишние данные о конечных покупателях. В платежном контуре обрабатывается только тот бизнес-контекст, который нужен для создания платежа, проверки статуса, доставки webhook-события, фискализации, сверки, поддержки или расследования инцидента.

4. Какие данные собираются на сайте

Когда вы отправляете форму, пишете нам, запрашиваете пилот, консультацию или поддержку, мы можем получить данные, которые вы добровольно указываете, а также технические данные, необходимые для защиты сайта и корректной обработки запроса.

• имя, фамилия, должность, компания, сайт, регион, страна, язык общения;
• email, телефон, мессенджер, содержание сообщения, вложения и история коммуникации;
• тип проекта, CMS/CRM/ERP, платежный сценарий, выбранный банк или провайдер, ожидаемые валюты и каналы продаж;
• source URL, referrer, UTM-метки, IP-адрес, user agent, дата и время обращения, технические события формы;
• согласия, отказы, статусы заявки, комментарии менеджеров и support-история.

5. Данные аккаунта, организации и доступа

Если клиенту или партнеру предоставляется доступ к сервису, API, merchant console, тестовой среде, документации, платежным ссылкам или интеграционному кабинету, мы можем обрабатывать данные, необходимые для создания организации, выдачи ролей и контроля безопасности.

• данные организации, юридического лица, проекта, домена, сайта, магазина или приложения;
• пользователи, роли, права доступа, invitations, статусы onboarding и provisioning;
• billing-контекст, тариф, счет, договор, акты, налоговые и бухгалтерские идентификаторы, если они нужны для документов;
• API keys, webhook URLs, callback URLs, технические настройки, provider route, среда sandbox/production;
• журналы входов, изменения настроек, создание payment links, события безопасности и действия операторов.

6. Данные платежных и AMOBIT-сервисов

VPOS.am и связанные AMOBIT-сервисы могут обрабатывать данные, необходимые для payment orchestration, payment links, QR/hosted checkout, server-side status verification, refund/capture/void contracts, fiscal queue, reconciliation, provider callbacks и операционного аудита.

Мы не просим передавать нам полные данные банковской карты. Ввод карточных данных должен происходить на стороне банка, платежного провайдера, кошелька или другого сертифицированного платежного интерфейса. Если провайдер возвращает masked card data, token, transaction id, auth code, payment reference или иные платежные атрибуты, мы используем их только для статуса, сверки, поддержки, возвратов, расследования ошибок и аудита.

• merchant order id, invoice id, payment id, provider id, amount, currency, статус, причина отказа, дата и время события;
• customer context, если он нужен бизнес-процессу: имя, телефон, email, customer id, CRM lead/deal/contact id, комментарий к заказу;
• данные товара, услуги, заказа, подписки, бронирования или счета в минимальном объеме, необходимом для платежного и учетного workflow;
• webhook payloads, callback payloads, idempotency keys, correlation id, trace id, retry status, fiscal job status, reconciliation result;
• данные о возвратах, частичных возвратах, спорных платежах, отменах, ошибках фискализации и ручной проверке.

7. Интеграции с CRM, ERP, CMS и внутренними API

Для проектов AMOBIT и VPOS.am могут подключаться Bitrix24, amoCRM/Kommo, 1C, МойСклад, Altegio, WordPress/WooCommerce, OpenCart, Tilda, Laravel/Yii2/Next.js-приложения, мобильные приложения, внутренние API клиента и другие системы. Состав данных зависит от конкретной интеграции и должен быть ограничен техническим заданием, договором или настройками клиента.

Такие интеграции часто требуют передачи статуса платежа в CRM/ERP, создания или обновления сделки, счета, заказа, контакта, записи склада, уведомления менеджера, фискальной задачи или reconciliation-записи. Мы стараемся не передавать raw provider payload туда, где достаточно нормализованного business-safe события.

• CRM: лиды, сделки, контакты, ответственные, стадии, комментарии, invoice/payment link context;
• ERP/учет: заказ, счет, контрагент, валюта, сумма, статус оплаты, статус возврата, сверка, акт или fiscal status;
• CMS/e-commerce: order id, basket/order context, checkout status, customer contact, delivery/payment metadata;
• внутренние API: только согласованные поля, подписи событий, idempotency, retry policy и audit logs.

8. Цели обработки

Мы обрабатываем персональные данные только для заранее понятных и законных целей. Один и тот же набор данных может использоваться для нескольких связанных целей, если это необходимо для работы сервиса, договора, поддержки, безопасности или требований закона.

• ответить на запрос, подготовить консультацию, коммерческое предложение, пилот или интеграционный план;
• заключить и исполнить договор, выставить счет, акт, оферту, обеспечить бухгалтерский и юридический документооборот;
• создать аккаунт, выдать доступы, настроить API, webhooks, provider routes, CMS/CRM/ERP-коннекторы и тестовую среду;
• создать платежную сессию, проверить статус, обработать callback/webhook, выполнить фискализацию, возврат, сверку и операционный аудит;
• обеспечить поддержку, расследовать ошибки, спорные платежи, дубли, инциденты безопасности и недоставленные события;
• улучшать документацию, надежность, безопасность и качество сервиса на основе обезличенной или агрегированной аналитики там, где это возможно;
• выполнять требования законодательства, банков, платежных провайдеров, налогового учета, договоров и законных запросов уполномоченных органов.

9. Правовые основания обработки

В зависимости от конкретного сценария обработка может основываться на добровольной передаче данных и согласии, заключении или исполнении договора, необходимости выполнить требования закона, обработке данных из общедоступных источников, поручении клиента как оператора данных, а также на технической необходимости обеспечить безопасность и корректную работу сервиса.

Если отдельная операция требует письменного, электронного или иного явно выраженного согласия, мы запрашиваем его в применимой форме. Если данные переданы клиентом в рамках интеграции, клиент отвечает за законность получения этих данных и за наличие оснований передать их VPOS.am/AMOBIT для обработки по согласованному workflow.

10. Cookies, аналитика и технические идентификаторы

Сайт может использовать технически необходимые cookies, local storage или похожие механизмы для языка, сессии, безопасности, антиспама, корректной работы формы и запоминания интерфейсных настроек.

Аналитические или маркетинговые инструменты, если они подключены, используются для понимания источников заявок, качества страниц и эффективности коммуникации. Мы не используем аналитику для принятия юридически значимых решений о пользователе. Если для конкретного инструмента требуется согласие, он должен использоваться только при наличии применимого механизма согласия.

11. Кому могут передаваться данные

Мы не продаем персональные данные. Передача данных допускается только в рамках целей, описанных в этой политике, договоре, техническом задании или требованиях закона.

• компаниям AMOBIT и Gulian Digital, сотрудникам и подрядчикам, которым нужен доступ для продаж, внедрения, поддержки, разработки, безопасности, бухгалтерии или юридической работы;
• платежным провайдерам, банкам, кошелькам, фискальным сервисам, SMS/email/push-провайдерам и другим участникам конкретного платежного или уведомительного процесса;
• CRM, ERP, CMS, e-commerce, складским и внутренним API клиента, если клиент сам подключил такую интеграцию или поручил нам ее настроить;
• хостинг-провайдерам, облачным сервисам, системам логирования, мониторинга, антиспама, аналитики, support desk и документооборота;
• государственным органам, судам, регуляторам, полиции или уполномоченному органу по защите персональных данных в случаях, предусмотренных законом.

12. Международная передача и хранение

Сервис работает для проектов в Армении, но отдельные технические системы, подрядчики, облачная инфраструктура, support-инструменты, CRM/ERP клиента, платежные провайдеры или участники AMOBIT-группы могут находиться за пределами Армении. Такая передача допускается только для заявленных целей и с учетом применимого права, договора и мер защиты.

Если клиент подключает внешнюю CRM, ERP, CMS, облако, платежного провайдера или внутренний API за пределами Армении, клиент отвечает за законность такой передачи в своем контуре, а VPOS.am/AMOBIT действует в пределах согласованной интеграции.

13. Сроки хранения

Мы храним персональные данные не дольше, чем это необходимо для целей обработки, договора, поддержки, безопасности, бухгалтерии, налогового учета, фискальных требований, разрешения споров, расследования инцидентов или выполнения требований закона.

Ориентировочные сроки могут отличаться по проекту: заявки и переписка хранятся до завершения коммуникации и разумного периода после нее; аккаунт и сервисные данные — на срок действия договора и последующего учета; платежные, webhook, fiscal и reconciliation logs — на срок, необходимый для статусов, возвратов, сверки, аудита и спорных ситуаций; технические security logs — обычно ограниченный период, если не требуется расследование.

Backups и архивы удаляются по циклам хранения. При достижении цели обработки, отзыве применимого согласия или законном требовании субъекта данные удаляются, блокируются или обезличиваются, если их дальнейшее хранение не требуется по закону, договору, бухгалтерии, безопасности или защите прав.

14. Безопасность данных

Мы применяем организационные и технические меры защиты, соответствующие характеру данных и рискам обработки. Для платежных и интеграционных сценариев это особенно важно, потому что ошибка в статусе или webhook может повлиять на заказ, CRM, фискальный чек или бухгалтерскую сверку.

• server-side verification платежных статусов; frontend redirect не считается финальным доказательством оплаты;
• подписанные webhooks, idempotency keys, correlation id, audit trail и ограниченные retry policies;
• role-based access, минимально необходимые права, контроль доступа к API keys, callback URLs и provider credentials;
• маскирование чувствительных полей, запрет хранения полных карточных данных в наших формах и интеграциях;
• логирование критичных операций, мониторинг ошибок, резервное копирование и ограничение доступа к raw payloads;
• разделение sandbox/production и fail-closed подход для платежных возможностей, которые не готовы к live-режиму.

15. Права субъекта данных

Субъект персональных данных может запросить информацию о наличии и обработке своих данных, целях, основаниях, способах обработки, составе данных, источниках, сроках, возможных получателях, а также попросить ознакомиться с данными, исправить, обновить, заблокировать или уничтожить данные, если они неполные, неточные, устаревшие, получены незаконно или больше не нужны для целей обработки.

Запрос можно направить на info@amobit.ru. Для защиты данных мы можем попросить уточнить контекст: email, телефон, компанию, заявку, аккаунт, проект, payment/order id или иные данные, которые помогут идентифицировать запись без раскрытия чужой информации.

Если данные обрабатываются нами по поручению клиента как оператора данных, мы можем перенаправить запрос клиенту или обработать его совместно с клиентом, потому что именно клиент определяет часть целей и состава данных в своем merchant-контуре.

16. Отзыв согласия, ограничение и удаление

Если обработка основана на согласии, вы можете отозвать его в применимой форме. Отзыв согласия не влияет на законность обработки, выполненной до отзыва, и не отменяет хранение данных, которое требуется по закону, договору, бухгалтерии, безопасности, расследованию инцидента или защите прав.

Если законные основания для обработки отпали, мы прекращаем обработку, удаляем, блокируем или обезличиваем данные в применимые сроки. В отдельных случаях вместо удаления может применяться ограничение обработки, если данные нужны для спора, учета, безопасности или выполнения правовой обязанности.

17. Утечки и инциденты

Если произойдет инцидент безопасности или утечка персональных данных из электронных систем, мы действуем по внутреннему incident response процессу: ограничиваем доступ, сохраняем доказательства, оцениваем затронутые данные, устраняем причину и уведомляем заинтересованных лиц и органы в случаях, предусмотренных законодательством Республики Армения.

Для платежных сценариев дополнительно проверяются provider callbacks, webhooks, API keys, callback URLs, журналы доступа, изменения настроек и возможные последствия для заказов, фискализации, возвратов и сверки.

18. Запросы, жалобы и контакт

По вопросам персональных данных, исправления, блокирования, удаления, отзыва согласия, передачи запроса клиента или уточнения роли сторон пишите на info@amobit.ru. По технической поддержке и инцидентам сервиса используйте support@amobit.io.

Если вы считаете, что обработка нарушает ваши права, вы можете обратиться к нам для досудебного урегулирования, а также использовать механизмы защиты, предусмотренные законодательством Республики Армения, включая обращение в уполномоченный орган по защите персональных данных или суд.