Политика конфиденциальности
Сервис ai-xodim.uz (далее — «Сервис») помогает бизнесу автоматически отвечать клиентам в Telegram, Instagram Direct и через веб-чат. Эта страница описывает, какие данные мы собираем, зачем и как пользователь может ими управлять.
1. Какие данные мы обрабатываем
- Учётная запись мерчанта: имя, email, пароль (в хэшированном виде) — для входа в личный кабинет.
- Настройки AI-агента: название, промпт, выбранная OpenAI-модель, токены ботов (хранятся зашифрованно).
- Instagram-аккаунт бота: IG Business Account ID, username, access token (зашифрованно), дата истечения токена. Данные получаем через Instagram OAuth после явного согласия владельца аккаунта.
- Сообщения клиентов: текст входящих и исходящих сообщений в Telegram/Instagram DM/веб-чате, идентификаторы отправителей (Telegram chat_id, Instagram scoped user ID, session token веб-чата), временные метки.
- Технические логи: IP-адрес, User-Agent, ошибки запросов — для диагностики и безопасности. Логи хранятся не более 30 дней.
2. Зачем мы используем данные
- Автоматически отвечать клиентам мерчанта через OpenAI API.
- Показывать мерчанту историю переписки его клиентов с его AI-агентом.
- Считать статистику: количество диалогов, расход токенов OpenAI, стоимость ответов.
- Обеспечивать работу вебхуков Meta/Instagram (валидация подписи, авто-обновление long-lived токенов).
3. Кому мы передаём данные
- OpenAI — текст сообщения и история диалога для генерации ответа. Обработка — согласно Privacy Policy OpenAI.
- Telegram / Meta (Instagram) — исходящие ответы бота, чтобы они дошли до клиента.
- Никому больше — мы не продаём, не сдаём в аренду и не передаём данные третьим сторонам для рекламы.
4. Хранение и защита
- Данные хранятся на VPS в датацентре провайдера Linode (США).
- Пароли — bcrypt. Токены ботов и Instagram access tokens — зашифрованы (Laravel encrypted casts, ключ в переменной окружения сервера).
- Соединение с сайтом — только HTTPS, вебхук Meta проверяется по X-Hub-Signature-256 с Instagram App Secret.
5. Сроки хранения
- История диалогов — пока мерчант не удалит агента или запись, либо не запросит удаление.
- Токены ботов — пока мерчант не нажмёт «Отключить».
- Технические логи — до 30 дней.
- Удаление аккаунта влечёт полное удаление всех связанных данных в течение 30 дней.
6. Ваши права
Вы можете запросить:
- Экспорт всех данных, связанных с вашим аккаунтом.
- Удаление аккаунта и всех связанных данных.
- Отключение любого подключённого бота (Telegram, Instagram) — кнопка «Отключить» в кабинете, либо письмом.
Для запроса напишите на brandbox.uz@mail.ru.
7. Удаление данных по требованию Meta
Если вы — пользователь Instagram и хотите, чтобы мы удалили данные, собранные о вас через Instagram-бота мерчанта (ваш IG scoped user ID и тексты сообщений), напишите на brandbox.uz@mail.ru с темой «Instagram data deletion» и укажите username IG-аккаунта бота, с которым вы переписывались. Мы подтвердим удаление в течение 30 дней.
8. Cookies
Сайт использует только функциональные cookies: сессия авторизации, выбранный язык интерфейса. Cookies для аналитики или рекламы не используются.
9. Изменения
Актуальная версия этой политики всегда доступна по адресу ai-xodim.uz/privacy. Дата последнего обновления указана вверху страницы.
Privacy Policy (English summary)
ai-xodim.uz provides AI-assistant bots for businesses on Telegram, Instagram Direct, and an embeddable web chat widget.
Data we collect
- Merchant account: name, email, hashed password.
- Agent configuration: name, prompt, chosen OpenAI model, bot tokens (stored encrypted).
- Instagram: Business Account ID, username, access token (encrypted), token expiry. Obtained via Instagram OAuth with explicit owner consent.
- Customer messages: inbound and outbound text in Telegram / Instagram DM / web chat; sender identifiers; timestamps.
- Technical logs: IP, User-Agent, request errors — kept up to 30 days.
How we use it
- Generate replies via OpenAI API.
- Show the merchant their customers' conversation history.
- Track usage stats (tokens, cost).
- Operate Meta/Instagram webhooks (signature validation, long-lived token refresh).
Third parties
- OpenAI — receives message content to generate replies (see OpenAI Privacy Policy).
- Telegram / Meta — receive outbound replies so they reach the customer.
- We do not sell, rent, or share data with advertising third parties.
Storage and security
- Data stored on a VPS (Linode, US region).
- Passwords: bcrypt. Bot and Instagram access tokens: Laravel encrypted casts; encryption key stored in server environment.
- HTTPS only; Meta webhook validated via X-Hub-Signature-256 with the Instagram App Secret.
Retention
- Conversation history: until the merchant deletes it or requests deletion.
- Bot tokens: until disconnected.
- Technical logs: up to 30 days.
- Account deletion removes all related data within 30 days.
Your rights
You may request export, deletion, or disconnection of any bot. Email brandbox.uz@mail.ru.
Instagram data deletion
If you are an Instagram user and would like us to delete data collected about you through a merchant's Instagram bot (your IG scoped user ID and message content), email brandbox.uz@mail.ru with subject "Instagram data deletion" and the bot's IG username. We will confirm deletion within 30 days.
Cookies
Functional only: auth session and UI language preference. No analytics or advertising cookies.
Updates
The current version is always available at ai-xodim.uz/privacy.