Политика конфиденциальности

Кратко: мы собираем минимум данных, нужных для работы платформы и соответствия требованиям. Мы не продаём ваши данные. Большинство финансовых данных хранит наш партнёр Bridge.xyz, а не мы. Вы можете запросить копию своих данных или их удаление в любой момент.

1. О документе

Эта Политика описывает, как Areg Money LLC, юр.лицо штата Вайоминг («Areg», «мы», «нас», «наш»), собирает, использует, передаёт и защищает ваши персональные данные при использовании сайта https://aregmoney.com и платформы Areg Money (далее — «Сервисы Areg»).

Документ соответствует:

• Регламенту GDPR (Регламент ЕС 2016/679);
• UK GDPR и Data Protection Act 2018;
• Калифорнийскому CCPA с поправками CPRA;
• Законам о приватности других штатов США (VCDPA Вирджинии, CPA Колорадо, CTDPA Коннектикута, UCPA Юты, Техас, Орегон и др.);
• Связке MiCA с GDPR в части приватности;
• Другим применимым законам о защите данных.

Если у вас есть вопросы или вы хотите воспользоваться своими правами — пишите на privacy@aregmoney.com.

2. Контролёр данных и DPO

2.1 Контролёр

Контролёр персональных данных, обрабатываемых через Сервисы:

Areg Money LLC
Cheyenne, Wyoming, United States
Email: privacy@aregmoney.com

2.2 Представитель в ЕС / ЕЭП

Где это требует Статья 27 GDPR, мы назначим представителя в ЕС и обновим этот раздел.

2.3 Data Protection Officer (DPO)

В настоящее время DPO по Статье 37 GDPR обязательно не требуется. Мы тем не менее назначили контакт по приватности: privacy@aregmoney.com. Если масштаб обработки достигнет уровня, при котором DPO нужен — мы его назначим.

3. Какие данные мы собираем

3.1 Данные, которые вы предоставляете напрямую

При создании учётной записи, прохождении проверки или использовании функций вы можете предоставить:

• Идентификация: полное имя, дата рождения, пол, гражданство, фото, номер документа, изображение паспорта / национального ID / водительских прав, селфи / liveness.
• Контакты: email, телефон, почтовый адрес.
• Бизнес-данные (KYB): название компании, регистрационный номер, юридический адрес, устав, декларации бенефициаров, данные директоров и должностных лиц.
• Финансовые данные: банковские реквизиты или данные карты (при регистрации направления для вывода — собираются Bridge, у Areg в исходной форме не хранятся), налоговые идентификаторы, декларации об источнике средств.
• Аутентификация: пароль (в виде хеша), секреты 2FA.
• Контент: списки команды, описания контракторов, позиции счетов, внутренние заметки, которые вы вносите в Платформу.
• Коммуникации: содержимое писем, тикетов поддержки, любых сообщений нам.

3.2 Данные, собираемые автоматически

При использовании Сервисов автоматически собираются:

• Устройство и подключение: IP-адрес, user-agent, тип устройства, ОС, тип и версия браузера, язык, часовой пояс.
• Использование: посещённые страницы, использованные функции, клики, длительность сессии, реферер, логи ошибок.
• Cookies и аналогичные технологии: описаны в Политике cookies.
• Геолокация: приблизительная по IP-адресу (точные GPS-координаты не собираем).

3.3 Данные от третьих сторон

Мы получаем данные от:

• Bridge.xyz — статус проверки, записи транзакций, идентификаторы кошельков, баланс, решения KYC/AML;
• Провайдеров идентификации (Sumsub, Persona) — результаты проверки, сигналы риска мошенничества;
• Провайдеров проверки санкций и политически значимых лиц — результаты совпадений по санкционным спискам, спискам политически значимых лиц и негативным упоминаниям в СМИ;
• Платёжных партнёров — подтверждение входящих / исходящих транзакций, валидация счёта;
• Провайдеров аутентификации (Clerk) — события входа, подтверждения связи аккаунтов;
• Маркетинговых и аналитических провайдеров — агрегированный трафик сайта и данные конверсии;
• Публично доступных источников — реестры компаний, соцсети, публичные записи (для обогащения KYB).

4. Как мы используем данные и юридические основания

Под GDPR ст. 6 мы обрабатываем ваши данные по следующим основаниям:

• Создание и обслуживание вашей учётной записи, оказание Сервисов, поддержка — исполнение договора (ст. 6(1)(б)).
• Проверка личности, предотвращение мошенничества, проверки против санкционных списков, списков политически значимых лиц и негативных упоминаний в СМИ — соблюдение обязательства закона (ст. 6(1)(в)); законный интерес в предотвращении мошенничества (ст. 6(1)(е)).
• Соблюдение AML, антитеррористических и налоговых обязательств — соблюдение обязательства закона (ст. 6(1)(в)).
• Обнаружение, расследование и предотвращение инцидентов безопасности, злоупотреблений, противоправной деятельности — законный интерес в безопасности платформы (ст. 6(1)(е)).
• Отправка сервисных уведомлений, транзакционных писем, оповещений по учётной записи — исполнение договора (ст. 6(1)(б)).
• Отправка маркетинговых писем (если вы не отказались) и продуктовых обновлений — законный интерес в продвижении услуг (ст. 6(1)(е)); согласие где требуется (ст. 6(1)(а)).
• Улучшение и развитие Сервисов, аналитика — законный интерес в улучшении продукта (ст. 6(1)(е)).
• Обеспечение исполнения Условий, разрешение споров, защита юридических претензий — законный интерес в защите прав (ст. 6(1)(е)).
• Соблюдение постановлений судов, запросов властей, применимого законодательства — соблюдение обязательства закона (ст. 6(1)(в)).

Для специальных категорий данных (например, биометрии из селфи / liveness) основания:

• Явное согласие (ст. 9(2)(а)) при отправке материалов проверки;
• Существенный публичный интерес в предотвращении финансовых преступлений (ст. 9(2)(g)) где разрешено законом.

5. Кому мы передаём данные

Передача только тщательно выбранным третьим лицам по необходимости.

5.1 Bridge.xyz и его субпроцессоры

Bridge — регулируемый поставщик финансовых сервисов, который обеспечивает кошелёк, KYC и инфраструктуру движения денег. Bridge обрабатывает данные как отдельный контролёр по собственной политике конфиденциальности на https://www.bridge.xyz/legal.

Bridge привлекает субпроцессоров, включая:

• Sumsub (Sum and Substance Ltd., UK) — идентификация и AML-скрининг;
• Persona (Persona Identities, Inc., USA) — идентификация;
• Chainalysis (USA) — блокчейн-аналитика и санкционный скрининг;
• Банковских партнёров и эмитентов карт где применимо.

5.2 Субпроцессоры Areg

Мы привлекаем следующих субпроцессоров как обработчиков данных по ст. 28 GDPR (список актуален на дату вступления в силу; обновляется на aregmoney.com/legal/privacy-policy):

• Vercel Inc. — хостинг, CDN, Web Analytics, Speed Insights (USA; SCC + дополнительные меры).
• Supabase Inc. — managed Postgres (USA или EU по региону; SCC).
• Clerk — аутентификация (USA; SCC).
• Resend — транзакционная почта (USA; SCC).
• Cloudflare — DNS, CDN, защита от DDoS (Global; SCC).
• Stripe — обработка платежей за комиссии Areg (если применимо) (USA; SCC).
• Anthropic / OpenAI — AI-инструменты для поддержки с no-training clause на клиентские данные (USA; SCC + no-training clause).
• PostHog или аналогичный провайдер — продуктовая аналитика (USA или EU; SCC).

Каждый субпроцессор обязан поддерживать надлежащие технические и организационные меры и обрабатывать данные только по нашим документированным инструкциям.

5.3 Другие получатели

• Государственные органы, регуляторы, суды, правоохранительные органы — когда мы юридически обязаны раскрыть, или когда добросовестно считаем, что раскрытие необходимо для защиты прав, собственности или безопасности.
• Профессиональные консультанты — юристы, бухгалтеры, аудиторы, страховщики — под обязательствами конфиденциальности.
• Приобретатели в корпоративных сделках — при слиянии, поглощении, финансировании или продаже активов, с сохранением конфиденциальности и защиты ваших данных.
• Другие Пользователи — ограниченная информация, необходимая для завершения транзакции (например, имя получателя отправителю).

Мы не продаём ваши данные в смысле CCPA, GDPR или любого применимого закона. Мы не занимаемся cross-context behavioral advertising.

6. Международные передачи

Areg находится в США. Bridge и большинство наших субпроцессоров — тоже в США.

При передаче персональных данных лиц из ЕС, ЕЭП, Великобритании или Швейцарии за пределы этих регионов мы опираемся на одно или несколько из следующих оснований:

• Сертификация по EU-US Data Privacy Framework (где получатель сертифицирован);
• Стандартные договорные положения (SCC), утверждённые Еврокомиссией;
• UK International Data Transfer Addendum (IDTA) или UK Addendum к SCC;
• Решения об адекватности по ст. 45 GDPR (где применимо);
• Дополнительные меры — шифрование в передаче и при хранении, контроль доступа, договорные ограничения на раскрытие правительствам сверх требуемого законом.

Копию действующих SCC можно запросить на privacy@aregmoney.com.

7. Сроки хранения

Мы храним данные столько, сколько нужно для цели сбора, или сколько требует закон.

• Профиль учётной записи (имя, контакты, логин): длительность аккаунта + 5 лет после закрытия.
• KYC/KYB документы и данные: 5 лет с конца деловых отношений (AML в ЕС, UK, US).
• Записи и метаданные транзакций: 5 лет с даты транзакции; дольше — где требует налоговое или бухгалтерское законодательство.
• Коммуникации (тикеты поддержки, email): 3 года с даты сообщения.
• Cookies и сессионные данные: см. Политику cookies (большинство сессионных cookies истекают при выходе).
• Маркетинговые данные (подписки на рассылку): до отписки или 3 года неактивности, что наступит раньше.
• Серверные логи и security telemetry: 12 месяцев.
• Бэкапы: до 90 дней; данные в бэкапах восстанавливаются только при disaster recovery.

Когда данные больше не нужны, мы их удаляем или необратимо анонимизируем для использования в агрегированной аналитике без идентификации вас.

8. Ваши права

8.1 Права по GDPR / UK GDPR

Если вы находитесь в ЕС, ЕЭП, Великобритании или Швейцарии, у вас есть следующие права при выполнении применимых условий:

• Право доступа (ст. 15) — получить подтверждение и копию ваших данных у нас.
• Право на исправление (ст. 16) — исправить неточные или неполные данные.
• Право на удаление (ст. 17, «право на забвение») — запросить удаление с учётом юридических обязательств хранения (например, 5-летние AML-записи нельзя удалить раньше).
• Право на ограничение (ст. 18) — ограничить обработку в определённых обстоятельствах.
• Право на переносимость данных (ст. 20) — получить ваши данные в структурированном, машиночитаемом формате.
• Право на возражение (ст. 21) — возразить против обработки на основании законного интереса, включая прямой маркетинг.
• Право не быть объектом автоматизированных решений (ст. 22) — мы используем автоматическую проверку на мошенничество и санкции; у вас есть право требовать человеческого пересмотра любого решения с юридическим или существенным эффектом.
• Право отозвать согласие (ст. 7) — в любое время; это не влияет на законность обработки до отзыва.
• Право подать жалобу в местный надзорный орган. Список органов в ЕС — на edpb.europa.eu.

Чтобы воспользоваться правами, пишите на privacy@aregmoney.com. Ответим в течение одного месяца (с возможностью продления ещё на 2 месяца для сложных запросов).

8.2 Права по CCPA/CPRA (Калифорния)

Если вы резидент Калифорнии, у вас есть право:

• знать, какие категории данных мы собираем, откуда, для чего и кому передаём;
• получить доступ к конкретным данным о вас;
• удалить данные с учётом исключений по обязательствам хранения;
• исправить неточные данные;
• отказаться от продажи или «sharing» данных — мы не продаём и не shar'им в смысле CCPA;
• ограничить использование sensitive personal information;
• не подвергаться дискриминации за реализацию прав.

Чтобы воспользоваться, пишите на privacy@aregmoney.com.

8.3 Другие штаты США

Жители Вирджинии, Колорадо, Коннектикута, Юты, Техаса, Орегона и других штатов с применимыми законами имеют аналогичные права — доступ, удаление, исправление, переносимость (где применимо), отказ от targeted advertising и profiling.

8.4 Уполномоченные агенты

Вы можете воспользоваться правами через уполномоченного агента. Мы потребуем письменного подтверждения полномочий и подтверждения вашей личности.

9. Безопасность

Мы внедряем разумные технические и организационные меры:

• Шифрование в передаче (TLS 1.2+) и при хранении (AES-256 или эквивалент);
• Контроль доступа — role-based и least-privilege;
• Многофакторная аутентификация для сотрудников и административного доступа;
• Сегментация сети и firewall;
• Регулярные security-обзоры — code review, dependency scanning, vulnerability monitoring;
• Процедуры реагирования на инциденты — включая уведомление надзорным органам в течение 72 часов по ст. 33 GDPR;
• Due diligence субпроцессоров — договорно требуем эквивалентных мер.

Ни одна система не защищена на 100%. При подозрении компрометации аккаунта пишите на security@aregmoney.com.

10. Дети

Сервисы Areg не направлены на детей младше 18 лет. Мы заведомо не собираем данные несовершеннолетних. Если мы узнаем о таком сборе — удалим данные. Родители и опекуны могут связаться с нами по privacy@aregmoney.com.

11. Автоматизированные решения

Мы используем автоматические системы для:

• Проверки личности (KYC) — Bridge и его провайдеры сравнивают ваши документы с внешними базами. Отрицательный результат можно оспорить и запросить человеческий пересмотр.
• Проверки санкционных списков, политически значимых лиц и негативных упоминаний в СМИ — совпадения проверяются сотрудниками по соответствию требованиям; у вас есть право человеческого пересмотра любого отказа.
• Обнаружения мошенничества и необычной активности — паттерны выше порога риска могут вызвать заморозку транзакции или проверку аккаунта; вы можете запросить человеческий пересмотр.

Информацию о логике, значимости и последствиях этих решений можно запросить на privacy@aregmoney.com.

12. Cookies

Используем cookies и аналогичные технологии. Подробности — в Политике cookies.

Категории:

• Строго необходимые — для работы платформы (аутентификация, безопасность). Согласие не требуется.
• Функциональные — preference cookies (язык, регион).
• Аналитические — Vercel Web Analytics, Speed Insights, опционально PostHog.
• Маркетинговые — только с вашего согласия.

Пользователям в ЕС / UK показываем cookie-баннер перед установкой неосновных cookies.

13. Прямой маркетинг

Мы можем отправлять продуктовые обновления, рассылки, анонсы. Отписаться можно в любое время:

• Кликом «unsubscribe» в любом маркетинговом письме;
• Письмом на privacy@aregmoney.com.

Транзакционные письма (подтверждения, security alert'ы, чеки транзакций) не относятся к маркетингу и неотключаемы пока существует аккаунт.

Cross-context behavioral advertising не ведём.

14. Изменения политики

Мы можем периодически обновлять Политику. О существенных изменениях уведомляем по email минимум за 14 дней до вступления в силу. Дата «Последнее обновление» в начале документа обновляется.

Рекомендуем периодически просматривать Политику.

15. Контакты

По любым вопросам приватности, запросам или жалобам:

• Email: privacy@aregmoney.com
• Инциденты безопасности: security@aregmoney.com
• Юридические вопросы: legal@aregmoney.com
• Почтовый адрес: Areg Money LLC, Cheyenne, Wyoming, United States

Также можно подать жалобу в местный надзорный орган. Резиденты ЕС — в орган своей страны; UK — в Information Commissioner's Office (ICO) на https://ico.org.uk.