Политика конфиденциальности CashMind

Действует с 18 мая 2026 г. · Разработчик: CashMind (rynpro.ru) · Контакт: support@rynpro.ru

1. Какие данные мы собираем

Аккаунт: email-адрес, пароль (хранится исключительно в виде bcrypt-хэша, оригинал нам не известен), дата регистрации, дата последнего входа.
Финансовые данные: названия и иконки счетов и кошельков, транзакции (сумма, дата, заметка, категория, валюта), бюджеты, долги, цели накоплений — всё то, что вы вводите сами.
Содержимое AI-чата: сообщения, отправленные финансовому AI-советнику, и его ответы. Также короткая профилирующая анкета (имя, город, источник дохода, основная финансовая проблема, ежемесячный доход), если вы её заполнили, и факты, которые вы добровольно сообщили в ходе диалога.
Технические данные: IP-адрес (используется только для rate-limiting и не сохраняется в базе долгосрочно), User-Agent браузера (в логах nginx, ротация 14 дней).
Локально на устройстве (localStorage): JWT токен сессии, выбранный язык интерфейса, тема (светлая/тёмная), кэш истории AI-чата и базовая валюта.

2. Зачем мы используем данные

Аутентификация и восстановление доступа к аккаунту (email + код подтверждения).
Отображение ваших финансовых данных в приложении.
Расчёт балансов, статистики, прогресса по целям и бюджетам.
Формирование ответов AI-советника на основе вашего финансового контекста.
Защита от автоматизированных атак (rate limits, fingerprinting нескольких неудачных входов).

3. Передача третьим лицам

Мы используем следующих доверенных партнёров (data processors):

OpenAI L.L.C. (США) — для генерации ответов AI-чата мы передаём в [OpenAI Chat Completions API](https://platform.openai.com/docs/api-reference) (модель GPT-4o-mini) сообщение пользователя, краткую сводку его финансового контекста (балансы счетов, последние транзакции, активные бюджеты, цели и долги), а также сохранённые в AI-чате факты. Обработка регулируется OpenAI Privacy Policy. Согласно политике OpenAI, данные из API не используются для обучения моделей по умолчанию.
SMTP-провайдер (mail.ru / Mail.Ru Group) — для отправки кода подтверждения регистрации и смены email на ваш email-адрес. Передаётся только адрес получателя и 4-значный код. Содержимое писем не логируется.
Центральный банк РФ (cbr-xml-daily.ru) — публичный источник курсов валют (без передачи персональных данных).

Мы не продаём ваши данные, не используем их для рекламы и не передаём третьим лицам кроме случаев, прямо указанных выше или предусмотренных законом.

4. AI-функциональность — что именно мы передаём

Согласие требуется. При первом открытии вкладки AI вы видите диалог с явным выбором «Согласиться» / «Отказаться». Без согласия AI-советник недоступен; остальные функции приложения работают как обычно. Изменить решение можно в любой момент в Настройки → AI-советник.

При каждом сообщении в AI-чате мы передаём в OpenAI Chat Completions API (модель GPT-4o):

текст вашего сообщения;
балансы ваших счетов (в базовой валюте);
до 100 последних транзакций текущего месяца (сумма, дата, заметка, категория, валюта);
активные бюджеты, цели накоплений и долги;
сохранённый профиль AI (имя, город, источник дохода, основная финансовая проблема, ежемесячный доход — только если вы его заполнили);
факты, которые вы добровольно сообщили AI в ходе предыдущих диалогов;
банковскую выписку (PDF), если вы загрузили её для анализа трат. Сам файл обрабатывается в памяти и не сохраняется на сервере — после разбора остаётся только агрегированный профиль (суммы по категориям, без отдельных операций).

Email-адрес, пароль и платёжные данные в OpenAI не передаются. Согласно политике OpenAI, данные из API не используются для обучения моделей по умолчанию. Ответы AI генерируются автоматически и могут содержать неточности — не используйте их как замену профессиональной финансовой консультации.

5. Хранение и безопасность

Данные хранятся на сервере в России (хостинг ihc.ru / Selectel), что соответствует требованиям локализации хранения по 152-ФЗ.
Соединение защищено HTTPS (TLS 1.2+, сертификаты Let's Encrypt).
Пароли хранятся только в виде bcrypt-хэша (cost 12).
JWT токены сессии передаются через httpOnly Secure cookie с SameSite=Lax.
Бэкапы базы шифруются и хранятся отдельно от продакшен-сервера.
Доступ к базе имеет только разработчик-владелец.

6. Соответствие российскому законодательству (152-ФЗ)

Обработка персональных данных российских пользователей осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Правовое основание — согласие субъекта персональных данных, выраженное при регистрации (галочка «Согласен с Политикой конфиденциальности»). Данные граждан РФ хранятся на территории Российской Федерации. Оператор обработки персональных данных — индивидуальный предприниматель Рындин А.С., контакт: support@rynpro.ru.

7. Ваши права

Право доступа: запросить выгрузку всех ваших данных в формате JSON — напишите на support@rynpro.ru, ответ в течение 30 дней.
Право на удаление: в приложении: Настройки → Удалить аккаунт. После подтверждения паролем удаляются: учётная запись, все финансовые данные, история AI-чата, сохранённый профиль AI, использование AI. Удаление необратимо.
Право на исправление: отредактировать email или пароль можно в Настройки → Безопасность.
Право отозвать согласие: равнозначно удалению аккаунта.
Право пожаловаться: в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или другой регулятор по вашему месту жительства.

8. Сроки хранения

Активная учётная запись — пока вы пользуетесь приложением.
После удаления аккаунта — все данные удаляются немедленно, бэкапы автоматически перезаписываются в течение 90 дней.
Логи nginx — 14 дней, потом автоматически ротируются.

9. Дети

Приложение не предназначено для пользователей младше 18 лет. Мы сознательно не собираем данные несовершеннолетних. Если вы узнали, что ребёнок предоставил нам свои данные — напишите на support@rynpro.ru, мы их удалим.

10. Изменения политики

При существенных изменениях мы уведомим вас по email и через push-уведомление в приложении за 30 дней до вступления в силу. Дата последнего изменения указана в начале документа.

11. Контакты

По всем вопросам конфиденциальности: support@rynpro.ru

CashMind Privacy Policy

Effective 18 May 2026 · Developer: CashMind (rynpro.ru) · Contact: support@rynpro.ru

1. What we collect

Account: email address, password (stored only as a bcrypt hash, the original is never accessible to us), registration date, last login date.
Financial data: account and wallet names and icons, transactions (amount, date, note, category, currency), budgets, debts, savings goals — everything you enter yourself.
AI chat content: messages you send to the AI financial advisor and its responses. Also a short profile questionnaire (name, city, income source, main financial problem, monthly income) if you fill it in, and facts you voluntarily share during the conversation.
Technical data: IP address (used only for rate-limiting, not stored long-term), User-Agent (in nginx logs, 14-day rotation).
On-device only (localStorage): session JWT token, interface language, theme (light/dark), AI chat history cache and base currency.

2. How we use it

Authentication and account recovery (email + verification code).
Displaying your financial data in the app.
Calculating balances, statistics, goal and budget progress.
Generating AI advisor responses based on your financial context.
Protecting against automated attacks (rate limits, brute-force detection).

3. Third-party sharing

We use the following trusted data processors:

OpenAI L.L.C. (USA) — for AI chat responses we send to the OpenAI Chat Completions API (GPT-4o-mini model) your message, a short summary of your financial context (account balances, recent transactions, active budgets, goals and debts), and saved chat memory facts. Processing is governed by the OpenAI Privacy Policy. According to OpenAI policy, API data is not used to train models by default.
SMTP provider (mail.ru / Mail.Ru Group) — to send registration confirmation codes and email change codes to your address. Only the recipient address and a 4-digit code are transmitted. Email content is not logged.
Central Bank of Russia (cbr-xml-daily.ru) — public source of currency exchange rates (no personal data is shared).

We do not sell your data, do not use it for advertising, and do not share it with any other third parties except as explicitly stated above or required by law.

4. AI functionality — exactly what we send

Consent is required. The first time you open the AI tab, an explicit "Allow" / "Decline" dialog appears. Without consent the AI advisor is unavailable; all other app features continue to work. You can change this choice anytime in Settings → AI Advisor.

With every chat message we send to the OpenAI Chat Completions API (GPT-4o model):

your message text;
your account balances (in base currency);
up to 100 recent transactions of the current month (amount, date, note, category, currency);
your active budgets, savings goals, and debts;
your saved AI profile (name, city, income source, main financial problem, monthly income — only if you filled it in);
facts you voluntarily shared with the AI in previous conversations;
a bank statement (PDF), if you upload one for spending analysis. The file is processed in memory and is not stored on our server — only an aggregated profile (category totals, without individual transactions) is kept after parsing.

We do not send your email, password, or payment information to OpenAI. According to OpenAI policy, API data is not used to train models by default. AI responses are generated automatically and may contain inaccuracies — do not use them as a substitute for professional financial advice.

5. Storage and security

Data is stored on a server located in Russia (ihc.ru / Selectel hosting), in compliance with Russian Federal Law 152-FZ data localization requirements.
All connections secured via HTTPS (TLS 1.2+, Let's Encrypt certificates).
Passwords stored only as bcrypt hashes (cost 12).
Session JWT tokens transmitted via httpOnly Secure cookies with SameSite=Lax.
Database backups are encrypted and stored separately from the production server.
Only the developer-owner has database access.

6. Compliance with Russian Federal Law 152-FZ

Processing of personal data of Russian users is carried out in accordance with Federal Law No. 152-FZ of 27 July 2006 «On Personal Data». Legal basis — consent of the data subject, expressed at registration (checkbox «I agree with the Privacy Policy»). Data of Russian citizens is stored on the territory of the Russian Federation. Personal data operator — individual entrepreneur Ryndin A.S., contact: support@rynpro.ru.

7. Your rights

Right of access: request a JSON export of all your data — write to support@rynpro.ru, response within 30 days.
Right to deletion: in app: Settings → Delete account. After password confirmation, the following are deleted: user account, all financial data, AI chat history, saved AI profile, AI usage records. Deletion is irreversible.
Right to rectification: edit email or password in Settings → Security.
Right to withdraw consent: equivalent to account deletion.
Right to complain: to the supervisory authority for personal data protection in your jurisdiction (Roskomnadzor for Russia, the local data protection authority for the EU, etc.).

8. Retention periods

Active account — for as long as you use the app.
After account deletion — all data is deleted immediately; encrypted backups are overwritten automatically within 90 days.
nginx logs — 14 days, then automatically rotated.

9. Children

The app is not intended for users under 18. We do not knowingly collect data from minors. If you discover that a child has provided us with data, please contact support@rynpro.ru and we will delete it.

10. Changes to this policy

For material changes, we will notify you by email and via in-app push notification 30 days before the change takes effect. The date of the latest revision is shown at the top of this document.

11. Contact

For any privacy questions: support@rynpro.ru