Доверяя боту доступ к каналу, вы хотите быть уверены, что данные в безопасности. Расскажем, что TG2MAX делает и чего не делает с вашими данными.
Что мы НЕ делаем
Не читаем личные сообщения. TG2MAX работает только с публикациями в указанных вами каналах. Бот не имеет доступа к личным чатам, группам или другим каналам.
Не храним содержимое постов. Посты пересылаются из Telegram в MAX в реальном времени — TG2MAX выступает транспортом, а не хранилищем. Текст, фото и видео не сохраняются на наших серверах после пересылки.
Не передаём данные третьим лицам. За исключением случаев, описанных в Политике конфиденциальности: платёжная система ЮKassa (обработка платежей), Яндекс.Метрика (аналитика сайта).
Не храним данные банковских карт. Оплата обрабатывается через ЮKassa — данные карт проходят через их защищённые серверы и никогда не попадают к нам.
Какие данные мы обрабатываем
| Данные | Зачем | Где хранятся |
|---|---|---|
| Telegram ID, имя, username | Идентификация пользователя | База данных на сервере в РФ |
| ID каналов (TG + MAX) | Настройка связок | База данных на сервере в РФ |
| Параметры подписки | Управление доступом | База данных на сервере в РФ |
| Информация о платежах | Бухгалтерия, поддержка | База данных на сервере в РФ |
Это минимальный набор данных, необходимый для работы сервиса.
Серверы и законодательство
Серверы расположены в России. Первичный сбор, хранение и обработка данных — на серверах в РФ, в соответствии с требованиями 152-ФЗ «О персональных данных».
Соответствие 152-ФЗ. TG2MAX обрабатывает данные на основании согласия пользователя (при регистрации) и исполнения договора (Публичная оферта). Полный текст — в Политике конфиденциальности.
Все соединения зашифрованы. Обмен данными между вашим устройством, Telegram, MAX и нашими серверами происходит по защищённым каналам SSL/TLS.
Безопасность платежей
ЮKassa — основной платёжный провайдер. Сертифицирован по стандарту PCI DSS (безопасность платёжных данных). Поддерживает СБП, банковские карты и другие способы оплаты. Данные карт обрабатываются на стороне ЮKassa — TG2MAX их не видит и не хранит.
Telegram Stars — встроенная валюта Telegram. Оплата проходит через инфраструктуру Telegram.
Webhook-уведомления от ЮKassa принимаются только с проверенных IP-адресов ЮKassa — подделать платёж извне невозможно.
Сервисный аккаунт
В продвинутом режиме TG2MAX использует сервисный аккаунт для получения постов из Telegram-каналов.
- Аккаунт подписан только на каналы, указанные пользователями — ни на какие другие
- При удалении связки сервисный аккаунт автоматически отписывается от канала
- Аккаунт не участвует в чатах, не пишет сообщения и не читает личную переписку
Mini App и авторизация
Mini App TG2MAX (панель управления внутри Telegram) использует стандартную авторизацию Telegram WebApp — HMAC-SHA256 подпись. Это тот же механизм, который используют все мини-приложения в Telegram. Подделать авторизацию невозможно без доступа к вашему Telegram-аккаунту.
Частые вопросы
Видит ли TG2MAX мои личные сообщения?
Нет. Бот имеет доступ только к публикациям в каналах, куда он добавлен как администратор. Личные чаты, группы и другие каналы ему недоступны.
Что произойдёт, если я удалю связку?
Сервисный аккаунт отпишется от канала, все настройки связки будут удалены. Уже пересланные посты в MAX останутся — TG2MAX не может удалять посты из MAX-каналов.
Хранятся ли логи пересылки?
Да, техническая информация о пересылке (ID сообщения, время, успех/ошибка) хранится для диагностики и поддержки. Содержимое постов (текст, медиа) не логируется.
Соответствует ли TG2MAX 152-ФЗ?
Да. Данные хранятся на серверах в РФ, обработка — на основании согласия и договора. Полная информация — в Политике конфиденциальности и Публичной оферте.
Есть вопросы о безопасности? Обратитесь в поддержку — ответим в течение часа.