Политика конфиденциальности

Настоящая Политика описывает, как сервис DevQuest (далее — «Сервис», доступен на домене dev-quest.ru) обрабатывает персональные данные пользователей в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006 г.

Используя Сервис, вы подтверждаете, что ознакомились с настоящей Политикой и даёте согласие на обработку ваших персональных данных на условиях, описанных ниже.

На текущей стадии закрытого pre-launch оператором является физическое лицо — основатель проекта. После регистрации индивидуального предпринимателя реквизиты оператора будут обновлены здесь и в Реестре операторов персональных данных Роскомнадзора.

Связаться по вопросам обработки данных можно через бота @quesdev_bot в Telegram (раздел «Поддержка»).

• Данные авторизации Telegram: идентификатор Telegram (telegram_id), имя и username — получаются от Telegram Bot API при входе. Используются исключительно для авторизации в Сервисе.
• Идентификаторы сеанса: JWT access-токен и refresh-токен хранятся в localStorage вашего браузера. На сервере храним SHA-256 хэш refresh-токена для возможности отзыва.
• Данные обучения: ваши попытки решения задач, ответы на квизы и mock-интервью, заработанный XP, streak, ачивки. Это нужно для работы геймификации и подбора индивидуального плана улучшения.
• События активности: метки времени входа, старта daily / mock, прохождения узлов skill tree, IP-адрес и user-agent при выпуске refresh-токена. Используются для безопасности (детектор подозрительной активности) и анонимной продуктовой аналитики.
• Данные оплаты (когда подключим реальный провайдер): сумма, период, статус транзакции. Реквизиты карт мы не храним — их обрабатывает платёжный провайдер (ЮKassa).

• предоставление функциональности Сервиса (авторизация, обучение, mock-интервью);
• персонализация контента и рекомендаций;
• выставление счёта и приём оплаты подписки;
• обеспечение безопасности (защита от ботов, выявление абуза);
• анонимная агрегированная аналитика для улучшения Сервиса;
• исполнение требований применимого законодательства.

Согласие пользователя (ст. 6 ч. 1 п. 1 152-ФЗ), исполнение договора-оферты (п. 5), законные интересы оператора по обеспечению безопасности (п. 7).

Для работы Сервис передаёт минимально необходимые данные:

• Telegram (api.telegram.org): идентификация при входе через бота.
• polza.ai: текст ответов кандидата анонимизированно отправляется AI-модели (Claude / GPT) для оценки качества mock-интервью и генерации индивидуального плана. Аудио на этапе STT отправляется в Whisper-API через polza.ai.
• ЮKassa (после подключения реального биллинга): приём платежей и обработка возвратов.
• Yandex.Metrika (если будет подключена): анонимная веб-аналитика. Подключение произойдёт только после отдельного согласия в баннере cookies.

Данные хранятся, пока активен ваш аккаунт. После запроса удаления — удаляются в течение 30 дней (кроме данных, которые оператор обязан хранить по закону: транзакции — 5 лет согласно ФЗ «О бухучёте»).

• получить информацию о том, какие данные о вас обрабатываются;
• требовать уточнения, блокирования или удаления данных;
• отозвать согласие на обработку (это приведёт к удалению аккаунта);
• обжаловать действия оператора в Роскомнадзоре или в суде.

Запрос направляется через @quesdev_bot. Срок ответа — не более 30 дней.

Передача данных по сети — через TLS 1.2+. Пароли (когда появятся) хешируются bcrypt. Refresh-токены в БД хранятся как SHA-256 хэш. Доступ к серверу — только по SSH-ключу. Резервные копии БД создаются ежедневно.

Сервис использует localStorage для хранения JWT-токенов (необходимо для входа) и согласия с настоящей Политикой. Без этого Сервис работать не может. Аналитические cookies (если подключим Yandex.Metrika) ставятся только после явного согласия в баннере при первом визите.

Оператор вправе вносить изменения в Политику. О существенных изменениях вы будете уведомлены в Сервисе и через бот. Использование Сервиса после внесения изменений означает ваше согласие с новой редакцией.