Политика конфиденциальности

Сервис cryptoalert.report (далее — «Сервис») управляется компанией KYT GROUP LIMITED, зарегистрированной в Гонконге (Business Registration Number: 76814411), адрес: Unit 2A, 17/F Glenealy Tower, No.1 Glenealy, Central, Hong Kong (далее — «Оператор», «мы»).

Оператор является контроллером персональных данных пользователей в соответствии с Personal Data (Privacy) Ordinance (Cap. 486) Гонконга и, применительно к пользователям из ЕС и Великобритании, в соответствии с GDPR / UK GDPR.

По любым вопросам, связанным с обработкой персональных данных (доступ, исправление, удаление, жалобы), пишите на [email protected]. Мы отвечаем в течение 30 дней.

Мы собираем только тот минимум данных, который необходим для работы Сервиса:

• При регистрации через email — адрес электронной почты (для отправки magic-ссылок и уведомлений о безопасности).
• При входе через Google / GitHub — email, имя и уникальный идентификатор провайдера (возвращается OAuth-провайдером при вашем согласии). Пароли от Google/GitHub мы не видим и не храним.
• Техническая информация — IP-адрес, строка User-Agent, время запроса. Используется для защиты от атак, rate-limit и поддержания сессии.
• Session cookie — строго необходимый cookie ca_session, HttpOnly+Secure, срок жизни 30 дней. Без него вход невозможен.
• Данные, которые вы создаёте в Сервисе — список наблюдаемых блокчейн-адресов (watchlist), метки к ним, настройки алертов. Публичные blockchain-адреса сами по себе не являются персональными данными, но в комбинации с вашим аккаунтом мы обращаемся с ними как с персональными.
• Telegram chat ID — если вы привяжете Telegram-бота к аккаунту (функция готовится). Хранится только числовой идентификатор, не сам чат.
• Данные о платежах — когда будут введены платные тарифы, мы будем работать через внешний процессинг (планируется CryptoCloud). Мы не храним реквизиты криптокошельков плательщиков; нам возвращается только факт оплаты, сумма, идентификатор транзакции.

• Аутентификация и поддержание сессии.
• Отправка служебных писем (magic-ссылки, безопасность аккаунта).
• Предоставление функций Сервиса (алерты по watchlist, аналитика, API).
• Защита от злоупотреблений: rate-limit, обнаружение подозрительной активности.
• Соблюдение применимых юридических требований.

Правовые основания (для пользователей под GDPR): исполнение договора (art. 6(1)(b) GDPR) — для работы Сервиса; законный интерес (art. 6(1)(f)) — для защиты от атак и обеспечения безопасности; согласие (art. 6(1)(a)) — для любых маркетинговых рассылок (на данный момент таких рассылок нет).

Мы не продаём ваши данные. Мы делимся минимумом, необходимым для работы, со следующими обработчиками:

• Resend (Resend, Inc., USA; обработка в регионе eu-west-1, Ireland) — доставка email с magic-ссылками. Передаём: email-адрес, содержание письма.
• Google и GitHub — провайдеры OAuth-входа. Они получают сам факт запроса входа с нашего домена; мы получаем от них подтверждённый email и имя (только при вашем явном согласии на окне OAuth).
• Cloudflare, Inc. (USA) — DNS, TLS-терминация, защита от DDoS для части доменов. Видит IP-адрес и метаданные HTTP-запросов.
• QuickNode, Inc. (USA) — RPC-провайдер блокчейн-данных Ethereum и TRON. Персональные данные пользователей не передаём; получаем только публичные on-chain-данные.
• MVPS.net (VPS-провайдер, Bulgaria) — хостинг серверов Сервиса. Видит трафик в рамках обычной работы сети.
• CryptoCloud (при запуске платных тарифов) — процессинг криптоплатежей. Передадим: email, сумма, идентификатор плана.

Со всеми обработчиками у нас действуют стандартные договорные меры защиты. При передаче данных за пределы ЕЭЗ используются признанные механизмы (SCC или эквивалент).

• Magic-токены входа: 15 минут, после использования удаляются.
• Сессии: 30 дней с момента последнего использования; после — удаляются.
• Данные аккаунта (email, OAuth identity, watchlist): хранятся пока аккаунт активен. Удаляются по вашему запросу или после 24 месяцев полной неактивности.
• Логи запросов (IP, User-Agent, endpoint): 90 дней, после — обезличиваются или удаляются.
• Финансовые записи (когда появятся платные тарифы): хранятся в соответствии с требованиями бухгалтерского учёта Гонконга (7 лет).

Независимо от того, где вы находитесь, по запросу на [email protected] вы можете:

• получить копию ваших персональных данных;
• потребовать исправления неточных данных;
• потребовать удаления аккаунта и связанных данных (право на забвение);
• получить выгрузку ваших данных в машиночитаемом формате (data portability);
• ограничить или возразить против отдельных видов обработки;
• отозвать ранее данное согласие.

Если вы считаете, что мы нарушаем ваши права, вы можете также подать жалобу в PCPD (Hong Kong) или в свой национальный надзорный орган (если применимо).

Мы используем только строго необходимые cookies — session-cookie ca_session для поддержания входа. Мы не используем рекламные cookies, не подключаем аналитические трекеры третьих сторон (Google Analytics, Facebook Pixel и подобные). Поэтому баннер согласия не требуется.

• Весь трафик идёт по HTTPS (TLS 1.2+, автоматическое обновление сертификатов).
• Пароли мы не храним — вход только по magic-ссылке или OAuth.
• Session cookies — HttpOnly, Secure, SameSite=Lax.
• Magic-токены одноразовые, с TTL 15 минут.
• База данных изолирована во внутренней сети Docker, недоступна из публичной сети.

Сервис не предназначен для лиц младше 18 лет. Мы сознательно не собираем данные несовершеннолетних. Если вы считаете, что несовершеннолетний предоставил нам данные, напишите на [email protected] — мы удалим их.

Мы можем обновлять эту политику. Существенные изменения будут анонсированы на сайте и отправлены на email зарегистрированным пользователям не менее чем за 7 дней до вступления в силу. Дата последнего обновления указана в начале документа.

Настоящая политика регулируется законодательством Гонконга. Споры, возникающие в связи с обработкой персональных данных, рассматриваются компетентными судами Гонконга, если иное не предусмотрено императивными нормами законодательства страны вашего проживания.