Политика конфиденциальности

1. Введение

Cenkle Digital («Компания», «мы», «нас» или «наш»), компания, учрежденная в Турции, управляет мобильным приложением Tapstice (далее «Приложение» или «Сервис») и веб-сайтом tapstice.com. Настоящая Политика конфиденциальности объясняет, как мы собираем, используем, раскрываем и защищаем ваши данные при использовании нашего Приложения и сайта.

Скачивая, устанавливая или используя Tapstice, вы соглашаетесь на сбор и использование информации в соответствии с настоящей Политикой. Если вы не согласны с условиями, пожалуйста, не используйте Приложение.

Мы оставляем за собой право вносить изменения в настоящую Политику в любое время. О любых изменениях мы сообщаем, обновляя дату «Последнее обновление». Рекомендуем периодически просматривать эту страницу.

Эта Политика применяется к пользователям по всему миру, включая пользователей в Европейской экономической зоне (ЕЭЗ), Великобритании, США (включая Калифорнию), Бразилии, Канаде, Турции и других юрисдикциях. Положения для отдельных юрисдикций описаны в соответствующих разделах ниже.

2. Информация, которую мы собираем

2.1 Информация, которую вы предоставляете напрямую

• Данные учетной записи: при создании аккаунта мы собираем ваш адрес электронной почты, отображаемое имя и фото профиля (если предоставлено через социальный вход).
• Данные профиля: имя пользователя, выбор аватара и настройки персонализации в Приложении.
• Коммуникации: при обращении в поддержку мы собираем информацию из ваших сообщений.
• Пользовательский контент: загружаемые фото профиля, которые проходят автоматическую и ручную модерацию.
• Записи согласий: сведения о согласии с Условиями использования, Политикой конфиденциальности и настройками cookies (версии и временные метки).
• Данные реферальной программы: если вы участвуете в реферальной программе, мы собираем использование вашего реферального кода и связанный идентификатор устройства для предотвращения дублирования.

2.2 Информация, собираемая автоматически

• Информация об устройстве: тип устройства, производитель, модель, версия ОС, уникальные идентификаторы (например, IDFA на iOS, Android Advertising ID), разрешение экрана и языковые настройки.
• Данные использования: результаты, достижения, прогресс, длительность сессий, используемые функции, действия в приложении, паттерны взаимодействия, предпочтения режимов, использование усилений.
• Журнальные данные: IP-адрес, время доступа, сбои приложения и диагностические данные, системная активность, рефереры.
• Данные о местоположении: приблизительное местоположение по IP (только страна/регион). Мы не собираем точные GPS-координаты.
• Данные датчиков: акселерометр и гироскоп, используемые для механик игры и античита.
• Информация о батарее: уровень заряда и статус зарядки для оптимизации производительности и расхода батареи.
• Сеть: статус подключения (Wi‑Fi, мобильная сеть, офлайн) для оптимизации синхронизации.
• Целостность устройства: признаки root/jailbreak и сигналы целостности для безопасности и античита.
• Токены push-уведомлений: зашифрованные токены Firebase Cloud Messaging (FCM) для доставки push-уведомлений.
• Данные производительности: время запуска приложения, производительность рендеринга экранов и метрики сетевой задержки.

2.3 Биометрическая информация

Если вы выбираете биометрическую аутентификацию (Face ID, Touch ID или отпечаток) для защиты аккаунта, биометрические данные обрабатываются полностью на вашем устройстве операционной системой. Мы не собираем, не храним и не имеем доступа к вашим биометрическим данным. Мы получаем лишь сигнал успех/ошибка от защищенного модуля устройства.

2.4 Информация от третьих лиц

• Провайдеры социального входа: если вы входите через Google или Apple, мы получаем ваше имя, e‑mail и фото профиля от этих провайдеров.
• Игровые сервисы: Apple Game Center и Google Play Games могут предоставлять игровой профиль, достижения и данные таблиц лидеров.
• Платежные системы: Apple App Store и Google Play Store обрабатывают покупки и предоставляют подтверждения транзакций, IDs заказов и статус подписки (мы не получаем и не храним данные банковских карт).
• Рекламные партнеры: наши рекламные партнеры (Google AdMob, Meta Audience Network) могут предоставлять агрегированные сведения об аудитории.

3. Как мы используем информацию

Мы используем собранную информацию для следующих целей:

• Предоставление и поддержка сервиса: работа приложения, аутентификация, сохранение прогресса и синхронизация между устройствами.
• Персонализация: запоминание предпочтений и предоставление персонализированного опыта.
• Социальные функции: таблицы лидеров, челленджи с друзьями, PvP‑дуэли и другие социальные взаимодействия.
• Коммуникации: push‑уведомления (с вашего согласия), сообщения в приложении, напоминания о ежедневных наградах и ответы поддержки.
• Аналитика: понимание поведения пользователей и улучшение сервиса. Данные аналитики могут экспортироваться в Google BigQuery для агрегированного анализа.
• Реклама: показ релевантной рекламы (которую можно отключить покупкой). Мы используем Google User Messaging Platform (UMP) для управления согласием на рекламу.
• Безопасность и античит: выявление и предотвращение мошенничества, читов, манипуляций счетом и несанкционированного доступа, включая серверную проверку результатов и валидацию токенов сессий.
• Модерация контента: проверка контента пользователей (фото профиля, имена) автоматическими инструментами (Google Cloud Vision API) и вручную.
• Проверка покупок: серверная проверка покупок, предотвращение дублей транзакций, управление подписками и обработка возвратов.
• Соблюдение закона: выполнение применимых законов и правовых процедур.

4. Правовые основания обработки (пользователи ЕЭЗ/Великобритании)

Если вы находитесь в Европейской экономической зоне (ЕЭЗ) или Великобритании, мы обрабатываем персональные данные на следующих правовых основаниях в соответствии с GDPR:

• Исполнение договора (ст. 6(1)(b)): обработка, необходимая для предоставления приложения и функций, включая аккаунт, прогресс и покупки.
• Законные интересы (ст. 6(1)(f)): аналитика, безопасность, предотвращение мошенничества, античит, модерация и улучшение сервиса — при условии, что ваши права не преобладают. Оценка законных интересов доступна по запросу.
• Согласие (ст. 6(1)(a)): обработка на основании явного согласия (push‑уведомления, персонализированная реклама, необязательные cookies). Согласие можно отозвать в любой момент.
• Юридическая обязанность (ст. 6(1)(c)): обработка для соблюдения правовых требований, например налогового учета транзакций.

5. Сторонние сервисы и обмен данными

Мы передаем информацию следующим категориям третьих лиц. Мы требуем от поставщиков услуг соблюдать безопасность персональных данных и применять надлежащие меры защиты.

5.1 Поставщики услуг

5.2 Мы не продаем ваши данные

Мы не продаем, не сдаем в аренду и не обмениваем ваши персональные данные третьим лицам для их маркетинга. Это действует в рамках применимых законов о конфиденциальности, включая CCPA/CPRA, LGPD и KVKK.

5.3 Передача бизнеса

В случае слияния, приобретения, реорганизации, банкротства или продажи всех либо части активов ваши персональные данные могут быть переданы приобретающей стороне. Мы уведомим вас через приложение и/или по электронной почте до того, как ваши данные начнут регулироваться иной политикой.

5.4 Требования закона

Мы можем раскрыть информацию, если этого требует закон, судебный акт или запрос госорганов, либо если считаем добросовестно, что раскрытие необходимо для: (a) защиты наших прав или собственности; (b) защиты безопасности пользователей или общества; (c) предотвращения мошенничества или иной незаконной деятельности; (d) соблюдения юридических обязанностей.

5.5 Агрегированные данные

Мы можем делиться агрегированными, обезличенными данными, которые не позволяют разумно идентифицировать вас, для исследований, аналитики или бизнес‑целей. Такие данные не считаются персональными в рамках применимых законов.

6. Реклама

В нашем Приложении показывается реклама от Google AdMob и Meta Audience Network. Эти сервисы могут собирать и использовать данные для показа персонализированной рекламы.

6.1 Согласие на рекламу

Перед показом персонализированной рекламы мы получаем ваше согласие, если это требуется законом. Мы используем Google UMP для соответствия GDPR/ePrivacy и Apple App Tracking Transparency (ATT) на iOS 14.5 и выше.

6.2 Персонализированная реклама

Рекламные сети могут использовать идентификаторы устройства, cookies и похожие технологии, чтобы показывать рекламу, основанную на ваших интересах и поведении в приложениях и на сайтах. Если вы откажетесь от персонализации, реклама будет показываться, но не будет адаптирована под ваши интересы.

6.3 Отказ (opt‑out)

• iOS: Настройки > Конфиденциальность и безопасность > Отслеживание > отключить «Разрешить приложениям запрашивать отслеживание»
• Android: Настройки > Google > Реклама > включить «Отключить персонализацию рекламы» или удалить рекламный идентификатор
• В приложении: приобрести опцию отключения рекламы или любую VIP‑подписку, чтобы убрать рекламу
• Настройки конфиденциальности: использовать форму «Параметры конфиденциальности» в настройках приложения для управления согласием на рекламу

6.4 Политики конфиденциальности рекламных сетей

• Политика конфиденциальности Google AdMob
• Политика конфиденциальности Meta

7. Хранение данных

Мы храним персональные данные столько, сколько необходимо для целей, описанных в этой Политике, если более длительный срок не требуется или не допускается законом. Сроки хранения зависят от типа данных, юридических обязательств, а также необходимости предотвращения мошенничества и обеспечения безопасности. Конкретные сроки:

• Активные аккаунты: данные хранятся, пока аккаунт активен и вы используете сервис.
• Удаленные аккаунты: по запросу удаления мы удаляем или анонимизируем данные в течение 30 дней, включая прогресс, достижения, результаты, записи таблиц лидеров, фото профиля и связанные записи. Часть данных может храниться дольше, если это требуется законом или необходимо для защиты прав и законных интересов.
• Записи транзакций: данные заказов хранятся 90 дней для операционных целей (поддержка и восстановление); агрегированные финансовые записи — 7 лет для налоговой и правовой отчетности.
• Логи подозрительной активности: записи античита и подозрительных результатов — 30 дней, чтобы расследовать злоупотребления и предотвращать мошенничество.
• Неудачные покупки: 30 дней для восстановления и сверки транзакций.
• Логи модерации: решения модерации — до 1 года для обеспечения безопасности и повторных проверок.
• Логи безопасности: до 1 года для расследования инцидентов и мониторинга.
• Аналитика: агрегированные обезличенные данные (включая экспорт подписочных событий в BigQuery) могут храниться бессрочно для статистики и улучшения сервиса.
• Неактивность: неактивные аккаунты могут получать напоминания; мы можем удалить аккаунты после длительной неактивности в рамках минимизации данных и безопасности.

8. Безопасность данных

Мы применяем технические и организационные меры защиты, включая:

• Шифрование данных при передаче (TLS/SSL) и при хранении
• Безопасные механизмы аутентификации с проактивным обновлением токенов
• Шифрованное хранение чувствительных данных (FCM‑токены, токены сессий) с использованием защищенного хранилища платформы
• Серверная валидация токенов сессий с использованием HMAC‑SHA256
• Хэширование purchase‑tokens перед хранением
• Маскирование ID пользователя в серверных логах
• Принудительное использование Firebase App Check для серверных функций
• Ограничение частоты запросов (rate limiting) для чувствительных API
• Валидация и очистка входных данных на сервере
• Контроль доступа и роли
• Регулярные оценки безопасности и мониторинг
• Безопасная облачная инфраструктура (Google Cloud Platform)
• Проверка root/jailbreak
• Определение эмуляторов для предотвращения мошенничества

Однако ни один метод передачи данных через интернет или электронного хранения не является на 100% безопасным. Хотя мы стремимся применять коммерчески приемлемые меры защиты, мы не можем гарантировать абсолютную безопасность.

8.1 Уведомление о нарушении безопасности

Если нарушение безопасности данных вероятно приведет к риску для ваших прав и свобод, мы:

• уведомим соответствующий надзорный орган в течение 72 часов с момента обнаружения (GDPR, ст. 33)
• уведомим затронутых пользователей без неоправданной задержки при высоком риске
• задокументируем инцидент, его последствия и предпринятые меры
• предоставим уведомление по электронной почте (если возможно) и/или через приложение

Для пользователей в юрисдикциях со специальными требованиями (например, Калифорния, Бразилия) мы соблюдаем местные сроки и процедуры.

9. Международные передачи данных

Cenkle Digital учреждена в Турции. Ваши данные могут передаваться и обрабатываться в странах, отличных от страны вашего проживания, включая США и другие страны, где находятся центры обработки данных наших поставщиков (Google, Meta, Apple).

Для передач из ЕЭЗ/Великобритании мы используем:

• Стандартные договорные положения (SCC), утвержденные Европейской комиссией
• решения об адекватности (если применимо)
• ваше явное согласие (если требуется)
• обязательные корпоративные правила (Binding Corporate Rules, BCR) поставщиков (если доступны)

Для передач из Турции мы соблюдаем требования закона № 6698 (KVKK), включая получение явного согласия или использование иных законных механизмов передачи.

Для передач из Бразилии мы соблюдаем требования LGPD.

Вы можете запросить информацию о применяемых мерах защиты, написав нам на privacy@tapstice.com.

10. Ваши права

10.1 Права всех пользователей

Независимо от вашего местоположения, у вас есть следующие права:

• Доступ: запросить копию ваших персональных данных и информацию о том, как они используются
• Исправление: запросить исправление неточных или неполных данных
• Удаление: запросить удаление аккаунта и связанных данных (с учетом исключений, предусмотренных законом)
• Переносимость: получить данные в переносимом машиночитаемом формате, где это применимо
• Отказ: отказаться от маркетинговых сообщений и push‑уведомлений (через настройки устройства и/или приложения)

10.2 Дополнительные права для пользователей ЕЭЗ/Великобритании (GDPR)

Согласно GDPR вы также имеете право:

• Ограничение: ограничить обработку ваших данных
• Возражение: возразить против обработки на основании законных интересов или прямого маркетинга
• Отзыв согласия: отозвать согласие в любое время без влияния на законность обработки на основании согласия до момента отзыва
• Автоматизированные решения: не быть объектом решений, основанных исключительно на автоматизированной обработке (см. раздел 13)
• Жалоба: подать жалобу в местный орган по защите данных. Список доступен на edpb.europa.eu

10.3 Дополнительные права для жителей Калифорнии (CCPA/CPRA)

Если вы житель Калифорнии, согласно California Consumer Privacy Act (CCPA) и California Privacy Rights Act (CPRA) вы имеете право:

• Знать: какие данные собираются, используются, передаются или продаются
• Удалить: запросить удаление персональных данных
• Отказ от продажи/передачи: мы не «продаем» и не «делимся» персональными данными в смысле CCPA/CPRA; мы не передаем персональные данные для межконтекстной поведенческой рекламы
• Недискриминация: не подвергаться дискриминации за осуществление прав
• Исправление: исправить неточные данные
• Ограничить использование: ограничить использование чувствительных персональных данных

Категории данных (последние 12 месяцев): идентификаторы, интернет/электронная активность, грубая геолокация, коммерческая информация (покупки), выводы на основе этих данных.

Вы можете назначить уполномоченного представителя. Мы можем запросить подтверждение полномочий.

10.4 Права пользователей Бразилии (LGPD)

Если вы находитесь в Бразилии, вы имеете право:

• Подтверждение: подтвердить, обрабатываем ли мы данные
• Доступ: получить доступ к данным
• Исправление: исправить неполные/неточные/устаревшие данные
• Анонимизация/блокировка/удаление: для ненужных или избыточных данных
• Переносимость: перенести данные другому провайдеру
• Удаление: удалить данные, обработанные на основании согласия
• Информация: о публичных и частных организациях, с которыми мы делимся данными
• Отзыв согласия: и информация о последствиях
• Возражение: против обработки с нарушением LGPD
• Пересмотр автоматизированных решений: запросить пересмотр решений, принятых только автоматизированно

Правовые основания включают: согласие, законный интерес, исполнение договора и соблюдение требований закона.

Жалобу можно подать в ANPD: www.gov.br/anpd.

10.5 Права пользователей Канады (PIPEDA)

Если вы находитесь в Канаде, вы имеете право:

• Доступ: запросить доступ к вашим данным
• Исправление: исправить неточные/неполные данные
• Отзыв согласия: на сбор/использование/раскрытие — с учетом юридических и договорных ограничений
• Жалоба: в OPC: www.priv.gc.ca

Мы собираем, используем и раскрываем персональные данные только с вашего ведома и согласия, кроме случаев, разрешенных или требуемых законом.

10.6 Права пользователей Турции (KVKK)

Если вы находитесь в Турции, вы имеете право:

• Узнать: обрабатываются ли ваши данные
• Запросить информацию: об обработке
• Цель: узнать цель обработки и соответствие цели
• Третьи лица: узнать, кому передаются данные
• Исправление: исправить неполные или неточные данные
• Удаление: удалить/уничтожить данные на условиях ст. 7 KVKK
• Уведомление: уведомить третьих лиц об исправлениях/удалениях
• Возражение: против результатов исключительно автоматизированного анализа
• Компенсация: требовать возмещения ущерба

Жалобу можно подать в KVKK: www.kvkk.gov.tr.

10.7 Как реализовать права

Вы можете реализовать права:

• используя функцию «Удалить аккаунт» в настройках приложения
• написав нам на privacy@tapstice.com
• указав ID пользователя (в настройках) или e‑mail аккаунта, чтобы мы могли идентифицировать вашу учетную запись

Мы ответим в течение 30 дней (или в иные сроки по закону: 15 дней для LGPD, 30 дней для KVKK, 45 дней для CCPA/CPRA). Мы можем запросить подтверждение личности. При необходимости продления срока мы сообщим причину и новый срок.

11. Конфиденциальность детей

Tapstice не предназначен для детей младше 13 лет (или 16 лет в ЕЭЗ/Великобритании). Мы не собираем персональные данные детей этих возрастов намеренно.

Соблюдение COPPA (США): Мы не собираем персональные данные детей младше 13 лет в США. Если родитель/опекун узнает, что ребенок предоставил нам данные без согласия, он должен связаться с нами. Мы удалим такие данные как можно скорее.

Права родителей: Родители/опекуны могут связаться с нами, чтобы: (a) просмотреть данные ребенка; (b) запросить удаление; (c) отказать в дальнейшем сборе. Пишите на privacy@tapstice.com с темой «Запрос по конфиденциальности ребенка (Child Privacy Request)».

Если нам станет известно, что мы собрали данные ребенка без проверенного согласия, мы предпримем шаги для удаления в течение 48 часов с момента обнаружения.

12. Сигналы «Не отслеживать» (DNT)

Некоторые браузеры поддерживают функцию «Do Not Track» (DNT), которая сообщает сайтам и приложениям, что вы не хотите, чтобы ваша онлайн‑активность отслеживалась. Наше приложение в настоящее время не реагирует на сигналы DNT, поскольку отсутствует единый отраслевой стандарт обработки таких сигналов в мобильных приложениях.

Однако мы учитываем сигнал Global Privacy Control (GPC), если это требуется законом, включая CCPA/CPRA. Если мы обнаружим GPC, мы будем считать его действительным отказом от продажи/передачи персональных данных.

13. Автоматизированные решения и профилирование

Мы используем некоторые автоматизированные процессы, которые могут влиять на ваш опыт:

• Античит: серверы автоматически анализируют результаты и данные сессий для выявления подозрительной активности. Подозрительные результаты могут быть отклонены или отправлены на проверку. При накоплении нарушений возможны автоматические блокировки (3 нарушения: блокировка на 7 дней; 5+ нарушений: постоянная блокировка).
• Модерация контента: фото профиля автоматически проверяются Google Cloud Vision API. Непрошедшие проверки фото блокируются. Имена пользователей проверяются фильтрами.
• Персонализация рекламы: рекламные партнеры могут использовать профилирование для показа персонализированной рекламы.

Ваши права: согласно GDPR (ст. 22), LGPD и KVKK вы можете: (a) запросить вмешательство человека; (b) выразить свою точку зрения; (c) оспорить решение. Для этого пишите на privacy@tapstice.com.

14. Ссылки на сторонние ресурсы

Приложение может содержать ссылки на сторонние сайты или сервисы (Apple App Store, Google Play Store, социальные сети) или открывать их страницы в браузере. Мы не контролируем и не несем ответственности за их контент, политики конфиденциальности или практики обработки данных. Мы рекомендуем изучать политику конфиденциальности каждого сайта/сервиса, который вы посещаете, прежде чем предоставлять ему какую‑либо информацию.

15. Изменения политики

Мы можем периодически обновлять эту Политику. О существенных изменениях мы уведомляем:

• публикацией обновленной Политики на этой странице
• обновлением даты «Последнее обновление»
• уведомлением в приложении и/или по e‑mail при значимых изменениях
• запросом повторного согласия в приложении, если требуется

Продолжая использовать приложение после изменений, вы соглашаетесь с обновленной Политикой. Если вы не согласны, прекратите использование и запросите удаление аккаунта.

16. Контакты

Если у вас есть вопросы или запросы, свяжитесь с нами:

• Конфиденциальность: privacy@tapstice.com
• Поддержка: support@tapstice.com
• Юридические вопросы: legal@tapstice.com
• Сайт: tapstice.com

Оператор данных:

• Компания: Cenkle Digital
• Адрес: Icerenköy Mah., Atasehir, Istanbul, Turkey
• Эл. почта: privacy@tapstice.com

Ответственный за защиту данных (DPO) / Представитель в ЕС (GDPR, ст. 27):

• Имя: Cenk Yagmur
• Адрес: Icerenköy Mah., Atasehir, Istanbul, Turkey
• Эл. почта: privacy@tapstice.com

Для пользователей Бразилии: жалобы можно направлять в ANPD: www.gov.br/anpd.

Для пользователей Канады: жалобы можно направлять в OPC: www.priv.gc.ca.

Для пользователей Турции: жалобы можно направлять в KVKK: www.kvkk.gov.tr.