Политика конфиденциальности

1. Оператор персональных данных

Юридическое лицо, ответственное за обработку ваших персональных данных («контролёр данных» согласно GDPR или «обработчик персональной информации» согласно PIPL):

• Юридическое лицо: CoinKirin.com
• Общий контакт по конфиденциальности: Privacy@coinkirin.com
• Ответственный за защиту данных (DPO): dpo@coinkirin.com
• Представитель в ЕС (ст. 27 GDPR): Мы находимся в процессе назначения представителя в ЕС. До назначения, пожалуйста, свяжитесь с нами по адресу privacy@coinkirin.com.
• Представитель PIPL в Китае: Ещё не назначен. Китайские пользователи могут связаться с privacy@coinkirin.com с темой «PIPL Request».

2. Категории собираемых персональных данных

Мы собираем минимальные данные, необходимые для работы Сервиса. В частности, мы обрабатываем следующие категории персональных данных:

Данные аккаунта

Адрес электронной почты, пароль (хранится только как bcrypt-хеш с коэффициентом стоимости 12 — мы никогда не видим и не храним открытый текст), секрет TOTP для двухфакторной аутентификации (зашифрован в покое AES-GCM), отображаемое имя, временная метка создания аккаунта.

Предпочтения пользователя

Язык, тема, регион, предпочтения уведомлений, предпочтение валюты.

Финансовые данные (вводимые пользователем)

Активы портфеля, записи watchlist, правила оповещений о ценах. Эти данные вводятся вами добровольно и никогда не передаются внешним брокерам или биржам — они используются исключительно для запрошенных вами функций.

Данные устройства и технические данные

IP-адрес (обрезанный до /24 перед использованием в аналитике), строка User-Agent, отпечаток устройства / идентификатор устройства токена обновления, разрешение экрана и язык (опционально, только на стороне клиента).

Данные использования

Просмотренные страницы, использованные функции, поисковые запросы, события кликов, Core Web Vitals (LCP, CLS, INP) и анонимизированные отчёты об ошибках.

Cookie и похожие технологии

Строго необходимые cookie (сессия, CSRF, язык), cookie предпочтений (тема) и — только с вашего явного согласия — cookie аналитики. См. нашу Политику cookie для полного списка.

Мы намеренно не собираем данные особых категорий (раса, религия, здоровье, сексуальная ориентация, политические взгляды, биометрические или генетические данные). Пожалуйста, не отправляйте нам такие данные.

3. Как мы собираем ваши данные

Мы получаем персональные данные следующими способами:

Напрямую от вас

Когда вы регистрируете аккаунт, редактируете свой профиль, вводите активы портфеля, отправляете запрос в поддержку или иным образом взаимодействуете с Сервисом.

Автоматически

Через cookie, серверные логи и аналитику использования, когда вы посещаете Сервис.

От третьих сторон

Cloudflare предоставляет нам приблизительную информацию о стране, выведенную из вашего IP-адреса, для целей безопасности и локализации. Мы не приобретаем персональные данные у брокеров данных.

4. Цели и правовые основания обработки

Согласно статье 6 GDPR, мы обрабатываем ваши персональные данные только когда применяется хотя бы одно правовое основание. В таблице ниже перечислены наши цели и соответствующее правовое основание:

5. Хранение данных

Мы храним персональные данные только столько, сколько необходимо для выполнения описанных выше целей или требуется законом. В частности:

• Данные аккаунта: на протяжении срока активности вашего аккаунта. После запроса удаления ваш аккаунт входит в 30-дневный льготный период мягкого удаления, в течение которого вы можете его восстановить; после этого он безвозвратно удаляется.
• Логи аудита (общие): 1 год.
• Логи аудита для критических событий (действия администратора, удаления аккаунтов, инциденты безопасности): до 7 лет, где это требуется для соответствия регуляторным требованиям.
• Клиентские отчёты об ошибках: 90 дней (автоматический TTL).
• Данные аналитики: 90 дней (автоматический TTL), после чего они удаляются или полностью агрегируются/анонимизируются.
• Токены обновления: максимум 30 дней; истёкшие токены очищаются автоматически.
• Резервные копии: до 35 дней, зашифрованы в покое, затем ротация.

6. Как мы передаем ваши данные

Мы не продаём ваши персональные данные. Мы не передаём ваши персональные данные для поведенческой рекламы между контекстами, как определено CCPA/CPRA.

Мы полагаемся на ограниченное число доверенных субобработчиков, которые действуют по нашим инструкциям по письменным соглашениям об обработке данных (DPA) со Стандартными договорными положениями (SCC), где применимо:

Активные субобработчики

О новых субобработчиках мы сообщаем не менее чем за 30 дней до активации через запись в блоге и эту страницу. Согласно ст. 28(2) GDPR вы имеете право возражать против нового субобработчика.

Планируемые / условные субобработчики

Следующие сервисы в настоящее время не задействованы, но присутствуют в нашей дорожной карте. При активации уведомим за 30 дней.

• Grafana Labs, Inc. (Облако Grafana) — При переходе observability с самохоста
• Anthropic, PBC — При запуске функций ИИ / MCP

Не являются субобработчиками

Следующие поставщики не обрабатывают персональные данные пользователей и поэтому не перечислены как субобработчики: GitHub (только хостинг кода), npm / Go module proxy (зависимости), Let's Encrypt (сертификаты TLS), Docker Hub (раздача образов).

Ваше право возражать

Вы можете в любой момент возразить против нового субобработчика, написав на dpo@coinkirin.com. Если мы не сможем разумно удовлетворить ваше возражение, вы сохраняете право предварительно экспортировать данные и удалить аккаунт.

Юридические раскрытия

Мы можем раскрывать персональные данные, когда это требуется применимым законом, судебным приказом или действительным юридическим процессом — например, в ответ на повестку или регуляторный запрос. Где это юридически разрешено, мы уведомим затронутых пользователей перед раскрытием.

Передача бизнеса

Если CoinKirin участвует в слиянии, поглощении или продаже активов, ваши персональные данные могут быть переданы в рамках этой транзакции. Мы уведомим пользователей и предоставим значимый выбор, где это требуется по закону.

7. Международная передача данных

Резервные копии и инфраструктура субобработчиков также могут находиться в Соединённых Штатах.

Для пользователей в Европейской экономической зоне, Соединённом Королевстве и Швейцарии передача персональных данных в Соединённые Штаты основывается на Стандартных договорных положениях (SCC) Европейской комиссии как надлежащей гарантии согласно статье 46 GDPR. Копию SCC можно запросить по адресу privacy@coinkirin.com.

Для пользователей Великобритании мы полагаемся на UK International Data Transfer Addendum к SCC.

Для пользователей в Китайской Народной Республике ваша персональная информация будет передана, сохранена и обработана за пределами материкового Китая, в основном в Соединённых Штатах. Создавая аккаунт и используя CoinKirin, вы явно соглашаетесь на эту трансграничную передачу вашей персональной информации, как это требуется статьями 38–39 PIPL. Вы можете отозвать это согласие в любое время, удалив свой аккаунт; обратите внимание, что мы не можем предоставлять Сервис без такой передачи.

8. Ваши права

В зависимости от вашего места проживания, у вас есть следующие права в отношении ваших персональных данных. Мы соблюдаем эти права для всех пользователей в максимально возможной степени, независимо от юрисдикции.

Право на доступ / право знать

Вы можете запросить копию персональных данных, которые мы храним о вас. Зарегистрированные пользователи могут экспортировать свои данные в любое время через /api/v1/auth/me/export («Экспортировать мои данные» в настройках профиля). (Ст. 15 GDPR / право знать CCPA / ст. 45 PIPL.)

Право на исправление

Вы можете исправить неточные или неполные персональные данные через страницу профиля. Для данных, которые вы не можете редактировать напрямую, свяжитесь с privacy@coinkirin.com. (Ст. 16 GDPR.)

Право на стирание / право на удаление

Вы можете удалить свой аккаунт со страницы профиля. Удаление запускает 30-дневный период мягкого удаления, после которого ваш аккаунт и связанные персональные данные безвозвратно стираются из производственных систем. Резервные копии, содержащие ваши данные, уходят из ротации в течение 35 дней. (Ст. 17 GDPR / право на удаление CCPA / ст. 47 PIPL.)

Право на ограничение обработки

Вы можете попросить нас ограничить обработку ваших персональных данных в определённых ситуациях (например, пока вы оспариваете их точность). Свяжитесь с privacy@coinkirin.com. (Ст. 18 GDPR.)

Право на переносимость данных

Конечная точка экспорта данных возвращает ваши данные в структурированном, общепринятом, машиночитаемом формате JSON. (Ст. 20 GDPR / ст. 45 PIPL.)

Право на возражение

Вы можете возразить против обработки, основанной на законных интересах, включая прямой маркетинг. Каждое маркетинговое письмо содержит ссылку отписки в один клик. (Ст. 21 GDPR.)

Право отозвать согласие

Где обработка основана на согласии (например, аналитические cookie, маркетинговые письма), вы можете отозвать согласие в любое время через наш баннер cookie («Отклонить все») или отписавшись.

Право в отношении автоматизированного принятия решений

Мы не подвергаем пользователей решениям, основанным исключительно на автоматизированной обработке, которые производят правовые или аналогичные значимые последствия.

Специфические права Калифорнии (CCPA/CPRA)

Жители Калифорнии могут дополнительно запросить раскрытие категорий собираемой персональной информации, источников такой информации, деловой цели её сбора и категорий третьих сторон, с которыми она передаётся. Мы не продаём вашу персональную информацию и не делали этого в предыдущие 12 месяцев.

Специфические права PIPL

Пользователи в Китае имеют права, эквивалентные вышеуказанным, плюс право на передачу копии их персональной информации другому обработчику, а также право подать жалобу в Администрацию киберпространства Китая (CAC).

Право подать жалобу

Вы можете подать жалобу в ваш местный Орган защиты данных. Пользователи ЕС могут найти свой DPA на https://edpb.europa.eu/about-edpb/about-edpb/members_en. Мы были бы признательны за возможность сначала напрямую обратиться к вашим опасениям — пожалуйста, напишите на privacy@coinkirin.com.

Как реализовать эти права

Где возможно, мы встроили инструменты самообслуживания в Сервис (экспорт, удаление, отписка). Для всех других запросов напишите на privacy@coinkirin.com. Мы ответим в течение 30 дней (GDPR / PIPL) или 45 дней (CCPA). Мы можем попросить вас подтвердить личность перед действиями по запросу.

9. Данные детей

CoinKirin не предназначен для лиц младше 18 лет, и мы сознательно не направляем Сервис на них. В частности, мы сознательно не собираем персональную информацию от детей младше 13 лет (COPPA в США) или младше 16 лет (ст. 8 GDPR в ЕС). Если мы узнаем, что собрали персональные данные от ребёнка без родительского согласия, мы незамедлительно удалим их и, где это уместно, уведомим родителя или опекуна. Если вы считаете, что мы собрали данные от ребёнка, свяжитесь с privacy@coinkirin.com.

10. Меры безопасности

Мы реализуем соответствующие технические и организационные меры для защиты ваших персональных данных от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа, включая:

• Шифрование TLS 1.2+ для всех данных при передаче.
• Шифрование AES-GCM в покое для секретов TOTP и других высокочувствительных полей.
• Пароли хешированы с bcrypt при коэффициенте стоимости 12 — никогда не хранятся и не передаются в открытом виде.
• Только HTTPS, HSTS preloaded, строгая Content Security Policy (CSP) и современные заголовки безопасности.
• Ограничение скорости, CAPTCHA Cloudflare Turnstile на чувствительных конечных точках и опциональная двухфакторная аутентификация TOTP для пользовательских аккаунтов.
• Всеобъемлющее логирование аудита для всех административных действий.
• Принцип наименьших привилегий для доступа сотрудников, с проверками доступа и разрешениями на основе ролей.
• Регулярное сканирование зависимостей и патчи безопасности.

Хотя мы серьёзно относимся к безопасности, ни одна система не является безопасной на 100%. Вы несёте ответственность за сохранение конфиденциальности учётных данных вашего аккаунта.

11. Уведомление о нарушении данных

В маловероятном случае нарушения персональных данных мы уведомим компетентный надзорный орган без неоправданной задержки и, если это возможно, в течение 72 часов с момента, когда нам стало известно о нарушении, в соответствии со статьёй 33 GDPR. Если нарушение, вероятно, повлечёт высокий риск для ваших прав и свобод, мы также уведомим вас напрямую по электронной почте и через уведомление в приложении без неоправданной задержки.

12. Изменения в настоящей Политике

Мы можем время от времени обновлять эту Политику конфиденциальности, чтобы отражать изменения в наших практиках, технологиях, юридических требованиях или других факторах. Существенные изменения будут сообщены зарегистрированным пользователям по электронной почте (если у нас есть адрес) и через заметное уведомление в Сервисе не менее чем за 14 дней до вступления в силу. Дата «Последнее обновление» вверху этой страницы всегда отражает текущую версию.

Предыдущие версии этой Политики архивируются. Чтобы запросить копию исторической версии, напишите на privacy@coinkirin.com.

13. Как связаться с нами

По любому вопросу, связанному с конфиденциальностью, или для реализации ваших прав, пожалуйста, используйте соответствующий канал ниже:

• Общие запросы о конфиденциальности: Privacy@coinkirin.com
• Ответственный за защиту данных: dpo@coinkirin.com
• Запросы CCPA Калифорнии: privacy@coinkirin.com — тема: «CCPA Request»
• Запросы PIPL Китая: privacy@coinkirin.com — тема: «PIPL Request»
• Почтовая корреспонденция: Свяжитесь с нами сначала по электронной почте; почтовый адрес будет предоставлен по запросу.