Tulip — B2B საბითუმო ფლორისტიკა

1. მონაცემთა დამმუშავებელი

თქვენი პერსონალური მონაცემების დამმუშავებელია შპს „Nisa Flowers” (საიდენტიფიკაციო კოდი: 405801075, იურიდიული მისამართი: დიდი დიღომი, ფარსადანი #9, საქართველო).

კონფიდენციალურობასთან დაკავშირებული ნებისმიერი საკითხისთვის შეგიძლიათ დაგვიკავშირდეთ მისამართზე: info@tulip.ge.

2. რა მონაცემებს ვაგროვებთ

ჩვენ ვაგროვებთ მხოლოდ იმ მონაცემებს, რომლებიც რეალურად გვჭირდება თქვენი ანგარიშის ფუნქციონირებისთვის და შეკვეთების შესასრულებლად. ჩვენს სისტემაში დაცული პერსონალური მონაცემების სრული ჩამონათვალი ასეთია:

check_circleანგარიშის მონაცემები — ელფოსტა, სახელი, გვარი და თქვენი პაროლი (რომელიც ინახება ჰეშირებული ფორმით — argon2id ალგორითმით; ღია ტექსტში პაროლს ვერც ვხედავთ და არც ვინახავთ).
check_circleპროფილის მონაცემები — სურვილისამებრ ატვირთული პროფილის ფოტო (ავატარი).
check_circleშეკვეთების ისტორია — შეკვეთის ნომრები, შეძენილი პროდუქტები და მათი რაოდენობები, ფასები, ჯამები და თქვენი არასავალდებულო შენიშვნა შეკვეთაზე. მიწოდების მისამართი და ტელეფონის ნომერი არ შეგვიგროვებია — ისინი არც გადახდისას მოგეთხოვებათ.
check_circleსაფულის მონაცემები — თქვენი ლარის ბალანსი და საფულის ტრანზაქციების სრული ისტორია (შევსება, შესყიდვა, თანხის დაბრუნება, კორექტირება).
check_circleგადახდის ჩანაწერები — თითოეული შევსებისთვის: გამოყენებული შლუზი (საქართველოს ბანკი ან Flitt), შლუზის მხარის ტრანზაქციის ID, თანხა, ვალუტა, სტატუსი და დროის შტამპები. ბარათის ნომერს, CVV-ს ან ვადას ჩვენ ვერც ვიღებთ და ვერც ვინახავთ — ეს ველები ბანკის გვერდზე ივსება.
check_circleსესიის და უსაფრთხოების მონაცემები — IP მისამართი, ბრაუზერისა და მოწყობილობის user-agent, შესვლის და ბოლო აქტივობის დროები, წარუმატებელი შესვლების რაოდენობა და ანგარიშის დროებითი ბლოკის სტატუსი. ეს მონაცემები ანგარიშის უსაფრთხოებას ემსახურება.

3. დამუშავების მიზანი და სამართლებრივი საფუძველი

თქვენი მონაცემები მუშავდება მხოლოდ ქვემოთ ჩამოთვლილი კანონიერი მიზნებით:

check_circleხელშეკრულების შესრულება — თქვენი ანგარიშის ფუნქციონირება, შეკვეთების მიღება, საფულიდან თანხის ჩამოჭრა და საფულის შევსება ჩვენი საბანკო პარტნიორების მეშვეობით.
check_circleკანონიერი ვალდებულებების შესრულება — ფინანსური ჩანაწერების (შეკვეთები, გადახდები, საფულის ტრანზაქციები) შენახვა საქართველოს საგადასახადო და საბუღალტრო კანონმდებლობის შესაბამისად.
check_circleლეგიტიმური ინტერესი უსაფრთხოებაში — ანგარიშების ბლოკირება განმეორებითი წარუმატებელი შესვლების შემთხვევაში, რეიტ-ლიმიტის დარღვევით IP მისამართების ბლოკირება და საეჭვო აქტივობის გამოვლენა.
check_circleოპერაციული აუცილებლობა — ახალი შეკვეთის შესახებ შეტყობინების გადაცემა ჩვენი შიდა სამუშაო არხზე, რომ შეკვეთა დროულად შესრულდეს.

4. მონაცემთა გადაცემა მესამე პირებისთვის

ჩვენ არ ვყიდით თქვენს პერსონალურ მონაცემებს და არ ვუზიარებთ მათ რეკლამირების ან მესამე მხარის ანალიტიკის სერვისებს. თქვენი მონაცემები ჩვენი სერვერის გარეთ მხოლოდ შემდეგ ადგილებში იგზავნება:

check_circleსს „საქართველოს ბანკი“ (BOG) — საფულის შევსებისას BOG-ს ეგზავნება თანხის ოდენობა, ჩვენი შიდა შეკვეთის ID და დაბრუნების URL. ბარათის მონაცემები BOG-ის PCI DSS-სერტიფიცირებულ გვერდზე შეიყვანება, არა ჩვენთან.
check_circleFlitt (სს „თიბისი ბანკის“ გადახდის შლუზი) — Flitt-ით შევსებისას იგივე ინფორმაცია იქ ეგზავნება. ბარათის მონაცემები Flitt-ის PCI DSS-სერტიფიცირებულ გვერდზე შეიყვანება, არა ჩვენთან.
check_circleშიდა პერსონალი Telegram-ის მეშვეობით — შეკვეთის გაკეთების ან გაუქმების შემთხვევაში თქვენი სახელი, გვარი, ელფოსტა და შეკვეთის დეტალები იგზავნება ჩვენი შიდა Telegram-არხში, რომ თანამშრომლებმა შეძლონ შეკვეთის მომზადება და გაგზავნა. ეს შეტყობინება Telegram-ის ინფრასტრუქტურაში გადის.
check_circleსაქართველოს ეროვნული ბანკი — დღიური EUR→GEL გაცვლითი კურსის ოფიციალურ ფიდიდან ჩამოტვირთვა; მომხმარებლის მონაცემი არ ვაგზავნით.
check_circleკანონით უფლებამოსილი ორგანოები — შემოსავლების სამსახური, სასამართლო, ფინანსური მონიტორინგის სამსახური, კანონიერი მოთხოვნის შემთხვევაში.
check_circleჰოსტინგისა და ინფრასტრუქტურის მიმწოდებლები — კომპანია, რომელიც მასპინძლობს ჩვენს მონაცემთა ბაზას, აპლიკაციის სერვერსა და Redis-ის ქეშს, კონფიდენციალურობის ხელშეკრულების ფარგლებში.

5. შენახვის ვადები

აქტიური ანგარიში: მონაცემები ინახება მანამ, სანამ თქვენი ანგარიში აქტიურია.

ანგარიშის წაშლა: წაშლის მოთხოვნისთანავე ანგარიში დაუყოვნებლივ იმალება (soft-delete) და გაქვთ 30-დღიანი საშეღავათო პერიოდი, რომლის განმავლობაშიც ანგარიშის სრულად აღდგენა შეგიძლიათ ხელახალი შესვლით.

30-დღიანი ვადის გასვლის შემდეგ ორი სცენარი შესაძლებელია, იმის მიხედვით, გაქვთ თუ არა ფინანსური ისტორია:

თუ გაქვთ შეკვეთები, გადახდები ან საფულის ტრანზაქციები: საიდენტიფიკაციო მონაცემები (სახელი, ელფოსტა, პაროლი, ავატარი, სესიები, refresh ტოკენები) ჩანაწერიდან საბოლოოდ იშლება. ფინანსური ჩანაწერები (შეკვეთის ნომერი, თანხა, ტრანზაქციის ID, თარიღი) რჩება — ამას საქართველოს კანონმდებლობა მოითხოვს. ანონიმიზაციის შემდეგ ჩანაწერი თქვენთან აღარ უკავშირდება.

თუ არ გაქვთ არც შეკვეთა, არც გადახდა და არც საფულის ტრანზაქცია: თქვენი ჩანაწერი მონაცემთა ბაზიდან მთლიანად იშლება, ყველა სესიასა და refresh ტოკენთან ერთად.

შესვლის სესიები და refresh ტოკენები ავტომატურად იშლება ვადის გასვლისას, თქვენი გასვლისას ან პაროლის შეცვლისას.

6. თქვენი უფლებები

საქართველოს კანონმდებლობის თანახმად, თქვენ გაქვთ შემდეგი უფლებები:

check_circleინფორმაციის მიღების უფლება — მოითხოვოთ, თუ რა მონაცემებს ვამუშავებთ თქვენ შესახებ.
check_circleგასწორების უფლება — მოგვთხოვოთ არასწორი ან არასრული მონაცემების გასწორება. სახელის, გვარის, ელფოსტისა და პაროლის შეცვლა პროფილიდან უშუალოდაც შეგიძლიათ.
check_circleწაშლის უფლება — წაშალოთ თქვენი ანგარიში პროფილიდან. გაითვალისწინეთ: ფინანსური ჩანაწერები, რომელთა შენახვაც კანონით სავალდებულოა, წაიშლება არა მთლიანად, არამედ მე-5 პუნქტში აღწერილი წესით ანონიმიზდება.
check_circleდამუშავების შეზღუდვის უფლება — მოითხოვოთ დამუშავების დროებითი შეჩერება.
check_circleგადატანის უფლება — მიიღოთ თქვენი მონაცემები სტრუქტურირებული, წაკითხვადი ფორმატით.
check_circleთანხმობის გაუქმების უფლება — ნებისმიერ დროს გააუქმოთ წინასწარ გაცემული თანხმობა.
check_circleსაჩივრის შეტანის უფლება — მიმართოთ პერსონალურ მონაცემთა დაცვის სამსახურს (personaldata.ge).

7. ქუქი-ფაილები

ვებგვერდი იყენებს მხოლოდ სამ ქუქი-ფაილს, ყველა მათგანი ემსახურება უსაფრთხო ავტორიზაციას:

access_token — ხანმოკლე სესიის ტოკენი (დაახლოებით 15 წუთი). მონიშნულია httpOnly-ით, ანუ საიტზე გაშვებული JavaScript ვერ კითხულობს მას.

refresh_token — უფრო ხანგრძლივი ტოკენი (დაახლოებით 7 დღე), რომლითაც სესია ჩუმად ახლდება და ხელახლა შესვლის საჭიროება არ ჩნდება. ის ასევე httpOnly-ია და მოქმედებს მხოლოდ ავტორიზაციის endpoint-ზე.

auth_session — არასენსიტიური ფლეგი (მნიშვნელობა „1“), რომელიც front-end-ს ეხმარება განასხვავოს „არასდროს ვყოფილვარ შესული“ და „შესული ვარ, მაგრამ access ტოკენს ვადა გაუვიდა“.

ანალიტიკური, სარეკლამო ან მესამე მხარის თვალის სადევნებელი ქუქი-ფაილები ამჟამად არ გვაქვს. ენისა და თემის პრეფერენციები ბრაუზერის ჩვეულებრივ ცვლადებში ინახება და პერსონალურ მონაცემს არ შეიცავს.

8. უსაფრთხოება

კონკრეტული უსაფრთხოების ღონისძიებები, რომლებიც დღეს დანერგილია:

check_circleპაროლები ჰეშირებულია argon2id ალგორითმით (OWASP-ის რეკომენდირებული) 64 MB მეხსიერებითა და 3 იტერაციით. ღია ტექსტის პაროლს ვერც ვხედავთ, ვერც ვწერთ ლოგებში და ვერც ვინახავთ.
check_circleსესიის ქუქი-ფაილები მონიშნულია httpOnly-ით, ხოლო პროდაქშენში — Secure-ითა და SameSite-ით; ეს კრძალავს როგორც JavaScript-ის, ისე სხვა საიტების მიერ მათ წაკითხვას.
check_circleანგარიშის დროებითი ბლოკი: 5 წარუმატებელი მცდელობის შემდეგ ანგარიში იბლოკება 15 წუთით; 10 მცდელობის შემდეგ — 30 წუთით, 15+ მცდელობის შემდეგ — 1 საათით.
check_circleIP-ის დონეზე დაცვა: IP-ები, რომლებიც განმეორებით არღვევს რეიტ-ლიმიტს, ავტომატურად იბლოკებიან 30 წუთით; მუდმივი დარღვევის შემთხვევაში — სამუდამოდ.
check_circleRefresh ტოკენები ერთიანი ტრანზაქციით ახლდება — გამოყენებული ტოკენის ხელახალი წარდგენა ბათილს ხდის სესიას, რაც ტოკენის ქურდობას ააშკარავებს.
check_circleპროდაქშენში ყველა ტრაფიკი მიდის HTTPS/TLS-ით. ბარათის მონაცემები შეიყვანება უშუალოდ BOG-ის ან Flitt-ის გვერდზე და ჩვენს სერვერებში არასოდეს გადის.

9. საერთაშორისო გადაცემა

საქართველოს ბანკი, Flitt და საქართველოს ეროვნული ბანკი მუშაობენ საქართველოში.

Telegram (გამოიყენება შეკვეთის შესახებ შეტყობინებების მიწოდებისთვის) და ჩვენი ჰოსტინგის მიმწოდებელი შესაძლოა ფლობდნენ საქართველოს ფარგლებს გარეთ მდებარე სერვერებს. ასეთ შემთხვევაში, ვეყრდნობით მიმღები ქვეყნის ადეკვატური დაცვის დონეს ან სტანდარტულ სახელშეკრულებო პუნქტებს.

10. პოლიტიკის ცვლილება

Tulip-ის უფლება აქვს ნებისმიერ დროს განაახლოს წინამდებარე პოლიტიკა. მნიშვნელოვანი ცვლილებების შესახებ შეტყობინება გამოქვეყნდება საიტზე ცვლილების ძალაში შესვლამდე მინიმუმ 14 დღით ადრე.

1. მონაცემთა დამმუშავებელი

2. რა მონაცემებს ვაგროვებთ

check_circleანგარიშის მონაცემები — ელფოსტა, სახელი, გვარი და თქვენი პაროლი (რომელიც ინახება ჰეშირებული ფორმით — argon2id ალგორითმით; ღია ტექსტში პაროლს ვერც ვხედავთ და არც ვინახავთ).
check_circleპროფილის მონაცემები — სურვილისამებრ ატვირთული პროფილის ფოტო (ავატარი).
check_circleშეკვეთების ისტორია — შეკვეთის ნომრები, შეძენილი პროდუქტები და მათი რაოდენობები, ფასები, ჯამები და თქვენი არასავალდებულო შენიშვნა შეკვეთაზე. მიწოდების მისამართი და ტელეფონის ნომერი არ შეგვიგროვებია — ისინი არც გადახდისას მოგეთხოვებათ.
check_circleსაფულის მონაცემები — თქვენი ლარის ბალანსი და საფულის ტრანზაქციების სრული ისტორია (შევსება, შესყიდვა, თანხის დაბრუნება, კორექტირება).
check_circleგადახდის ჩანაწერები — თითოეული შევსებისთვის: გამოყენებული შლუზი (საქართველოს ბანკი ან Flitt), შლუზის მხარის ტრანზაქციის ID, თანხა, ვალუტა, სტატუსი და დროის შტამპები. ბარათის ნომერს, CVV-ს ან ვადას ჩვენ ვერც ვიღებთ და ვერც ვინახავთ — ეს ველები ბანკის გვერდზე ივსება.
check_circleსესიის და უსაფრთხოების მონაცემები — IP მისამართი, ბრაუზერისა და მოწყობილობის user-agent, შესვლის და ბოლო აქტივობის დროები, წარუმატებელი შესვლების რაოდენობა და ანგარიშის დროებითი ბლოკის სტატუსი. ეს მონაცემები ანგარიშის უსაფრთხოებას ემსახურება.

3. დამუშავების მიზანი და სამართლებრივი საფუძველი

check_circleხელშეკრულების შესრულება — თქვენი ანგარიშის ფუნქციონირება, შეკვეთების მიღება, საფულიდან თანხის ჩამოჭრა და საფულის შევსება ჩვენი საბანკო პარტნიორების მეშვეობით.
check_circleკანონიერი ვალდებულებების შესრულება — ფინანსური ჩანაწერების (შეკვეთები, გადახდები, საფულის ტრანზაქციები) შენახვა საქართველოს საგადასახადო და საბუღალტრო კანონმდებლობის შესაბამისად.
check_circleლეგიტიმური ინტერესი უსაფრთხოებაში — ანგარიშების ბლოკირება განმეორებითი წარუმატებელი შესვლების შემთხვევაში, რეიტ-ლიმიტის დარღვევით IP მისამართების ბლოკირება და საეჭვო აქტივობის გამოვლენა.
check_circleოპერაციული აუცილებლობა — ახალი შეკვეთის შესახებ შეტყობინების გადაცემა ჩვენი შიდა სამუშაო არხზე, რომ შეკვეთა დროულად შესრულდეს.

4. მონაცემთა გადაცემა მესამე პირებისთვის

check_circleსს „საქართველოს ბანკი“ (BOG) — საფულის შევსებისას BOG-ს ეგზავნება თანხის ოდენობა, ჩვენი შიდა შეკვეთის ID და დაბრუნების URL. ბარათის მონაცემები BOG-ის PCI DSS-სერტიფიცირებულ გვერდზე შეიყვანება, არა ჩვენთან.
check_circleFlitt (სს „თიბისი ბანკის“ გადახდის შლუზი) — Flitt-ით შევსებისას იგივე ინფორმაცია იქ ეგზავნება. ბარათის მონაცემები Flitt-ის PCI DSS-სერტიფიცირებულ გვერდზე შეიყვანება, არა ჩვენთან.
check_circleშიდა პერსონალი Telegram-ის მეშვეობით — შეკვეთის გაკეთების ან გაუქმების შემთხვევაში თქვენი სახელი, გვარი, ელფოსტა და შეკვეთის დეტალები იგზავნება ჩვენი შიდა Telegram-არხში, რომ თანამშრომლებმა შეძლონ შეკვეთის მომზადება და გაგზავნა. ეს შეტყობინება Telegram-ის ინფრასტრუქტურაში გადის.
check_circleსაქართველოს ეროვნული ბანკი — დღიური EUR→GEL გაცვლითი კურსის ოფიციალურ ფიდიდან ჩამოტვირთვა; მომხმარებლის მონაცემი არ ვაგზავნით.
check_circleკანონით უფლებამოსილი ორგანოები — შემოსავლების სამსახური, სასამართლო, ფინანსური მონიტორინგის სამსახური, კანონიერი მოთხოვნის შემთხვევაში.
check_circleჰოსტინგისა და ინფრასტრუქტურის მიმწოდებლები — კომპანია, რომელიც მასპინძლობს ჩვენს მონაცემთა ბაზას, აპლიკაციის სერვერსა და Redis-ის ქეშს, კონფიდენციალურობის ხელშეკრულების ფარგლებში.

5. შენახვის ვადები

6. თქვენი უფლებები

საქართველოს კანონმდებლობის თანახმად, თქვენ გაქვთ შემდეგი უფლებები:

check_circleინფორმაციის მიღების უფლება — მოითხოვოთ, თუ რა მონაცემებს ვამუშავებთ თქვენ შესახებ.
check_circleგასწორების უფლება — მოგვთხოვოთ არასწორი ან არასრული მონაცემების გასწორება. სახელის, გვარის, ელფოსტისა და პაროლის შეცვლა პროფილიდან უშუალოდაც შეგიძლიათ.
check_circleწაშლის უფლება — წაშალოთ თქვენი ანგარიში პროფილიდან. გაითვალისწინეთ: ფინანსური ჩანაწერები, რომელთა შენახვაც კანონით სავალდებულოა, წაიშლება არა მთლიანად, არამედ მე-5 პუნქტში აღწერილი წესით ანონიმიზდება.
check_circleდამუშავების შეზღუდვის უფლება — მოითხოვოთ დამუშავების დროებითი შეჩერება.
check_circleგადატანის უფლება — მიიღოთ თქვენი მონაცემები სტრუქტურირებული, წაკითხვადი ფორმატით.
check_circleთანხმობის გაუქმების უფლება — ნებისმიერ დროს გააუქმოთ წინასწარ გაცემული თანხმობა.
check_circleსაჩივრის შეტანის უფლება — მიმართოთ პერსონალურ მონაცემთა დაცვის სამსახურს (personaldata.ge).

7. ქუქი-ფაილები

8. უსაფრთხოება

კონკრეტული უსაფრთხოების ღონისძიებები, რომლებიც დღეს დანერგილია:

check_circleპაროლები ჰეშირებულია argon2id ალგორითმით (OWASP-ის რეკომენდირებული) 64 MB მეხსიერებითა და 3 იტერაციით. ღია ტექსტის პაროლს ვერც ვხედავთ, ვერც ვწერთ ლოგებში და ვერც ვინახავთ.
check_circleსესიის ქუქი-ფაილები მონიშნულია httpOnly-ით, ხოლო პროდაქშენში — Secure-ითა და SameSite-ით; ეს კრძალავს როგორც JavaScript-ის, ისე სხვა საიტების მიერ მათ წაკითხვას.
check_circleანგარიშის დროებითი ბლოკი: 5 წარუმატებელი მცდელობის შემდეგ ანგარიში იბლოკება 15 წუთით; 10 მცდელობის შემდეგ — 30 წუთით, 15+ მცდელობის შემდეგ — 1 საათით.
check_circleIP-ის დონეზე დაცვა: IP-ები, რომლებიც განმეორებით არღვევს რეიტ-ლიმიტს, ავტომატურად იბლოკებიან 30 წუთით; მუდმივი დარღვევის შემთხვევაში — სამუდამოდ.
check_circleRefresh ტოკენები ერთიანი ტრანზაქციით ახლდება — გამოყენებული ტოკენის ხელახალი წარდგენა ბათილს ხდის სესიას, რაც ტოკენის ქურდობას ააშკარავებს.
check_circleპროდაქშენში ყველა ტრაფიკი მიდის HTTPS/TLS-ით. ბარათის მონაცემები შეიყვანება უშუალოდ BOG-ის ან Flitt-ის გვერდზე და ჩვენს სერვერებში არასოდეს გადის.

9. საერთაშორისო გადაცემა

10. პოლიტიკის ცვლილება

საკონტაქტო ინფორმაცია

ნებისმიერი კითხვის ან საჩივრის შემთხვევაში, რომელიც დაკავშირებულია თქვენი პერსონალური მონაცემების დამუშავებასთან, გთხოვთ, მოგვწეროთ ქვემოთ მითითებულ არხებზე.

mailEmail: info@tulip.ge
callPhone: +995 555 458 063
placeAddress: დიდი დიღომი, ფარსადანი #9, თბილისი, საქართველო

კონფიდენციალურობის პოლიტიკა

1. მონაცემთა დამმუშავებელი

2. რა მონაცემებს ვაგროვებთ

3. დამუშავების მიზანი და სამართლებრივი საფუძველი

5. შენახვის ვადები

6. თქვენი უფლებები

7. ქუქი-ფაილები

8. უსაფრთხოება

9. საერთაშორისო გადაცემა

10. პოლიტიკის ცვლილება

საკონტაქტო ინფორმაცია

კონფიდენციალურობის პოლიტიკა

1. მონაცემთა დამმუშავებელი

2. რა მონაცემებს ვაგროვებთ

3. დამუშავების მიზანი და სამართლებრივი საფუძველი

5. შენახვის ვადები

6. თქვენი უფლებები

7. ქუქი-ფაილები

8. უსაფრთხოება

9. საერთაშორისო გადაცემა

10. პოლიტიკის ცვლილება

საკონტაქტო ინფორმაცია