Hebi

Политика конфиденциальности

Версия от 10 мая 2026 г.

Hebi — программа для управления стоматологическими клиниками (запись пациентов, ведение карт, отчётность). Эта политика объясняет, какие данные обрабатывает приложение и веб-сервис, где они хранятся и как их удалить.

1. Кто оператор

Оператором персональных данных выступает клиника, которая зарегистрировалась в Hebi и завела учётные записи своих сотрудников и пациентов. Hebi предоставляет инфраструктуру для хранения и обработки.

Контакт по вопросам конфиденциальности: aidarkadyraliev7@gmail.com.

2. Какие данные мы собираем

2.1. Данные сотрудников клиники

имя, фамилия, email, телефон;
роль в клинике (Admin, HeadDoctor, Doctor, Individual);
цвет в календаре, рабочее время;
пароль (хранится только в виде хеша).

2.2. Данные пациентов

имя, фамилия, телефон, дата рождения, пол;
тип карты (взрослая 32 зуба или детская 20 молочных);
медицинская информация: жалобы, анамнез, диагноз, назначения, прикус, рентген, статусы зубов;
история визитов (записи на приём, услуги, цены);
баланс счёта пациента и транзакции (списания за услуги, пополнения).

2.3. Технические данные

идентификатор устройства и тип ОС (для мобильного приложения);
логи входов в систему и токены аутентификации (хранятся в зашифрованном хранилище устройства).

Мы не собираем данные о геолокации, контактах из телефонной книги, фотогалерею, микрофон или рекламные идентификаторы.

3. Как мы используем данные

аутентификация и разграничение доступа по ролям;
ведение карт пациентов, расчёт расписания, формирование отчётов клиники;
автоматическое списание средств с баланса пациента при переходе записи в статус «Пришёл» (фоновая задача AppointmentStatusWorker);
обеспечение работы сервиса, отладка и поддержка.

Мы не используем данные для рекламы, продажи третьим лицам или профилирования.

4. Где и как долго мы храним

Хостинг Серверы DigitalOcean (регион Frankfurt, Germany). Соединение TLS 1.2+.

База данных PostgreSQL, изоляция между клиниками на уровне строк (clinic_id), пароли — bcrypt-хеш.

Резервные копии Ежедневные снапшоты на стороне DigitalOcean, хранятся 7 дней.

Срок хранения Пока клиника пользуется сервисом + 30 дней после удаления учётной записи (для возможного восстановления).

5. С кем мы делимся данными

Данные доступны только сотрудникам той клиники, которая их завела (по JWT с claim'ом clinic_id). Мы не передаём данные рекламодателям, аналитическим сервисам или третьим компаниям. Передача государственным органам — только при наличии законного запроса.

Технические подрядчики, имеющие доступ к инфраструктуре:

DigitalOcean, Inc. — облачный хостинг.

6. Дети

Сервисом пользуются стоматологи, ведущие карты в том числе детей до 13 лет. Детская карта помечается флагом «Молочные зубы» и обрабатывается так же, как взрослая, с теми же мерами защиты. Сами дети напрямую с приложением не взаимодействуют — данные за них вносит врач или родитель/опекун в кабинете.

7. Ваши права

посмотреть, какие данные о вас сохранены;
исправить неточные данные;
попросить удалить аккаунт и связанные данные;
отозвать согласие на обработку.

Чтобы удалить аккаунт, напишите на hello@hebi.kg с почты, которая использовалась при регистрации. Мы удалим учётную запись в течение 30 дней.

8. Безопасность

HTTPS на всех публичных эндпоинтах;
пароли хранятся как bcrypt-хеши;
JWT-токены с коротким временем жизни и refresh-токенами в защищённом хранилище;
фильтрация запросов по clinic_id на уровне репозиториев;
централизованное логирование (Loki + Grafana) для аудита.

9. Изменения политики

Если мы существенно поменяем политику, мы уведомим пользователей через приложение и обновим дату в шапке. Продолжая пользоваться сервисом после публикации новой версии, вы соглашаетесь с её условиями.

10. Контакты

Email: hello@hebi.kg
По любым вопросам о ваших данных — пишите туда.

Hebi

Privacy Policy

Last updated: May 10, 2026.

Hebi is a software platform for dental clinics (patient scheduling, electronic health records, reporting). This policy explains what data the application and web service process, where it is stored, and how to delete it.

1. Who is the controller

The data controller is the clinic that has registered with Hebi and created accounts for its staff and patients. Hebi provides the infrastructure for storage and processing.

Privacy contact: hello@hebi.kg.

2. What we collect

2.1. Clinic staff

first and last name, email, phone;
role (Admin, HeadDoctor, Doctor, Individual);
calendar colour, working hours;
password (hashed only).

2.2. Patients

first and last name, phone, date of birth, sex;
card type (adult — 32 permanent teeth, or child — 20 primary teeth);
medical information: complaints, history, diagnosis, prescriptions, occlusion, X-ray notes, tooth status;
visit history (appointments, services, prices);
patient wallet balance and transactions (auto-debits per visit, manual top-ups).

2.3. Technical data

device identifier and OS type (mobile app only);
sign-in logs and authentication tokens stored in the device's encrypted secure storage.

We do not collect location, phonebook contacts, photo gallery, microphone or advertising identifiers.

3. How we use data

authentication and role-based access control;
maintaining patient records, scheduling, generating clinic reports;
automatic debit from the patient wallet when an appointment transitions to the "Came" status (handled by the AppointmentStatusWorker background job);
operating, debugging and supporting the service.

We do not use data for advertising, sale to third parties, or profiling.

4. Where and how long

Hosting DigitalOcean servers (Frankfurt, Germany region). TLS 1.2+ in transit.

Database PostgreSQL, row-level isolation between clinics (clinic_id), passwords are bcrypt-hashed.

Backups Daily snapshots on the DigitalOcean side, kept for 7 days.

Retention For as long as the clinic uses the service, plus 30 days after account deletion (for possible recovery).

5. Sharing

Data is only accessible to staff of the clinic that owns it (enforced by JWT with the clinic_id claim). We do not share data with advertisers, analytics services, or third-party companies. Disclosure to government authorities only on lawful request.

Technical subprocessors with infrastructure access:

DigitalOcean, Inc. — cloud hosting.

6. Children

Dentists who use Hebi keep records for patients including children under 13. A child card is flagged with the "primary teeth" toggle and is processed with the same safeguards as an adult card. Children themselves do not interact with the app directly — records are entered by the doctor (or by a parent/guardian inside the clinic).

7. Your rights

see what data we hold about you;
correct inaccurate data;
request account deletion together with associated data;
withdraw consent to processing.

To delete your account, email hello@hebi.kg from the address used during registration. We will delete the account within 30 days.

8. Security

HTTPS on all public endpoints;
passwords stored as bcrypt hashes;
short-lived JWT access tokens with refresh tokens kept in secure device storage;
request filtering by clinic_id at the repository level;
centralised logging (Loki + Grafana) for audit.

9. Changes

If we make material changes to this policy, we will notify users in the app and update the date at the top. Continued use of the service after a new version is published constitutes acceptance.

10. Contact

Email: hello@hebi.kg
Get in touch with any question about your data.