← Към началото

Политика за поверителност

Версия beta · Последна актуализация: 2 май 2026 г.

Този документ е изготвен в beta етапа на продукта и подлежи на юридически преглед преди публичен launch. Той описва добросъвестно текущите практики на Sainaa Awaken. При въпроси: пиши на [email protected].

1. Кои сме ние

Sainaa Awaken е уеб приложение за жени в перименопауза, базирано на тибетско-монголската медицинска традиция (Sowa Rigpa). Услугата се предоставя от Sainaa Health (наричан по-долу „ние", „нас" или „Sainaa").

Контакт за въпроси относно поверителността: [email protected]

2. Какви данни събираме

При регистрация

  • Email адрес (задължителен — за вход и комуникация)
  • Име (по избор)
  • Година на раждане (за определяне на жизнения етап)
  • Текуща фаза на цикъла (редовен / нередовен / спрял / никога)
  • Парола (съхранявана само като bcrypt hash, не в чист вид)

От конституционния тест

  • 30 отговора на въпроси (5 опции на въпрос)
  • Изчислените резултати: тип (Хий / Шар / Бадган), проценти, перименопаузален симптомен профил

От ежедневния check-in

  • Самооценка на физическо състояние и енергия (1–5)
  • Часове сън и ниво на стрес (плъзгачи)
  • Маркирани симптоми (от 14-те ключа на v3.2)

Друго

  • Feedback на препоръки („Полезно", „Не за мен", „Твърде трудно")
  • Въпроси към „Питай Sainaa" (само за beta потребителки)
  • Логове на изпратени email-и (тип, статус, дата — без съдържание)

Не събираме: IP адреси за tracking, browser fingerprint, geolocation, контакти, снимки, видео, гласови записи, банкова информация. Не свързваме данните с други онлайн профили.

3. Защо обработваме тези данни

  • Персонализация на седмичния план — основанието е изпълнение на договора за услугата (GDPR чл. 6, ал. 1, б. „б").
  • Реактивни препоръки на база на check-in данни — за по-точно адресиране на текущите ти симптоми.
  • Комуникация — изпращане на седмични планове и onboarding email-и; можеш да се отпишеш от Settings.
  • Подобряване на услугата — анонимна агрегирана аналитика (без индивидуална идентификация).
  • Сигурност — rate limiting и логиране на неуспешни опити за вход.

4. Кой има достъп до данните ти

  • Ти — пълен достъп през приложението.
  • Екипът на Sainaa — Валентин (developer/founder), Сайнаа Нацагдорж (медицински експерт). Не препродаваме данните.
  • Технически доставчици (data processors):
    • Railway (хостинг + база данни PostgreSQL, US/EU regions)
    • Resend (transactional emails, US-base)
    • Sentry (error tracking — само ако активирано; данните са анонимизирани)
    • Plausible (privacy-friendly анонимна аналитика — без cookies, без личен tracking)

Никога не споделяме данни с рекламодатели, data brokers, third-party tracker-и или социални мрежи.

Какво конкретно вижда екипът на Sainaa

Бъди наясно с реалността: тъй като приложението работи с твоите данни (за да генерира персонализиран план), членовете на екипа технически могат да четат всичко, което приложението вижда. По-долу е честната картина:

  • Виждаме (необходимо за продукта):
    • Отговорите ти от теста (нужни за classification + анализ на reliability на въпросника)
    • Ежедневните check-ins (нужни за reactive engine + plan generator + history chart)
    • Calibration отговорите (нужни за soft re-rank algorithm)
    • Седмични планове (system-generated; виждаме за audit и improvement)
  • Виждаме (за обслужване):
    • Съобщения в „Питай Sainaa" — Сайнаа Нацагдорж ги чете, за да отговори
    • Beta feedback — за да подобрим продукта (user.id e анонимизиран до първите 8 знака в admin viewer-а)
    • Бележки под препоръките („Полезно/Не за мен/Твърде трудно" + free text) — за curation на съдържанието
  • НЕ виждаме:
    • Паролата ти — съхранена като bcrypt hash (cost 10), невъзможна за reverse
    • Session token-ът — съхранен като SHA-256 hash, не се чете
    • Reset password токените — hash-нати, single-use
    • „Вечерно разтоварване" / „Brain dump" — текстът никога не се запазва (deliberate non-saving)

Как ограничаваме операционен достъп

  • Админ роля: само users с явно зададенаrole=adminмогат да видят данни през admin panel
  • Шифроване в покой: базата данни (PostgreSQL на Railway) е шифрована at rest автоматично
  • Шифроване в transit: HTTPS/TLS 1.3 за всички connections; Postgres вътрешна мрежа е шифрована
  • Минимизация: не събираме повече от нужното; IP адреси не се съхраняват за tracking

Бъдещи подобрения (post-beta)

  • Admin audit log: кой и кога е чел кои данни (за accountability)
  • 2FA за admin акаунти: допълнителен слой защита
  • Личен дневник: ако се появи в бъдеща версия — ще бъде end-to-end шифрован с ключ на твоето устройство. Сайнаа екипът няма да може да чете записите ти. (Засега тази функционалност не съществува.)

5. Колко дълго пазим данните ти

  • Активен акаунт: докато го ползваш.
  • Sessions: 30 дни от login (token е SHA-256 hash-нат в DB).
  • Reset токени: 1 час, после автоматично невалидни.
  • Email logs: до 12 месеца за debug/audit.
  • След изтриване на акаунт: всички свързани данни се изтриват каскадно — професионален профил, check-ins, седмични планове, feedback, въпроси, email logs, sessions, reset токени. Backup-ите на доставчика се ротират в рамките на 30 дни.

6. Твоите права (GDPR)

Като субект на лични данни в ЕС имаш следните права:

  • Право на достъп (чл. 15) — виждаш всички свои данни в приложението по всяко време.
  • Право на корекция (чл. 16) — можеш да промениш име, парола, имейл препоръки от Settings.
  • Право на портативност (чл. 20) — изтегли пълен JSON архив на данните си от Settings → Твоите данни → Изтегли моите данни.
  • Право на изтриване (чл. 17, „да бъдеш забравена") — изтриване на акаунт + всички свързани данни от Settings → Изтриване на акаунт. Действието е невъзвратимо.
  • Право на ограничаване (чл. 18) — пиши на [email protected].
  • Право на възражение (чл. 21) — можеш да се отпишеш от email-и (Settings) или да поискаш спиране на обработка.
  • Право на жалба до КЗЛД — Комисия за защита на личните данни (България): cpdp.bg.

7. Деца и непълнолетни

Sainaa Awaken е насочено към жени над 16 години (legal minimum за GDPR consent). Регистрацията е блокирана за year-of-birth показващ възраст под 16 години. Не събираме съзнателно данни от деца.

8. Cookies и tracking

  • Session cookie (`sainaa_session`) — необходимо за вход. HTTPOnly, SameSite=Lax, Secure (HTTPS), 30 дни.
  • Plausible Analytics — agregirana, без cookies, без личен tracking. Виж privacy политиката на Plausible.

Не ползваме Google Analytics, Facebook Pixel, или други third-party trackers.

9. Сигурност

  • HTTPS навсякъде (TLS 1.2+)
  • Пароли — bcrypt hash (cost factor 10)
  • Session tokens — SHA-256 hash в база данни
  • Rate limiting на login / signup / forgot
  • Security headers (X-Frame-Options, HSTS, Permissions-Policy)
  • Periodic security review + post-beta external pen-test

10. Прехвърляне на данни извън ЕС

Резерачни доставчици (Railway, Resend) могат да съхраняват данни на сървъри в САЩ. При такова прехвърляне се прилагат стандартните договорни клаузи (Standard Contractual Clauses) според решение на Европейската комисия.

11. Промени в тази политика

При значителни промени ще те уведомим чрез email и dashboard banner. Текущата версия е винаги достъпна на тази страница.

12. Контакт

Въпроси, права, оплаквания → пиши на [email protected]. Стремим се да отговорим в рамките на 7 работни дни.

Виж също: Общи условия· Безопасност· Философията