Политика конфиденциальности
Последнее обновление: 14 апреля 2026 г.
Настоящая Политика конфиденциальности (далее — «Политика») описывает порядок сбора, обработки, хранения и защиты персональных данных пользователей платформы CroPay (далее — «Платформа», «мы», «нас»). Используя Платформу, вы подтверждаете согласие с настоящей Политикой.
1. Основные понятия
- Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных).
- Обработка персональных данных — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
- Оператор — CroPay, осуществляющий обработку персональных данных.
- Пользователь — физическое или юридическое лицо, использующее Платформу.
- Мерчант — пользователь, подключивший приём платежей через API Платформы.
2. Какие данные мы собираем
2.1. Данные, предоставляемые пользователем
| Категория | Данные | Цель сбора |
|---|---|---|
| Регистрация | Имя, адрес электронной почты, пароль (в зашифрованном виде) | Создание и аутентификация учётной записи |
| Профиль мерчанта | Название компании, веб-сайт, Telegram | Идентификация мерчанта, связь |
| Платёжные реквизиты | Реквизиты для вывода средств (номер карты/счёта) | Осуществление выплат |
| Обращения | Содержание обращений в поддержку | Решение вопросов пользователя |
2.2. Данные, собираемые автоматически
| Данные | Цель сбора |
|---|---|
| IP-адрес | Безопасность, предотвращение мошенничества, ведение журнала активности |
| Дата и время входа в систему | Аудит безопасности |
| Информация о платежах (сумма, метод, статус) | Проведение транзакций, отчётность |
| Технические данные (тип браузера, ОС) | Обеспечение корректной работы сервиса |
2.3. Данные плательщиков
При проведении платежей через Платформу мы можем обрабатывать адрес электронной почты плательщика, если он указан мерчантом при создании платежа. Мы не собираем и не храним данные банковских карт плательщиков.
3. Правовые основания обработки
Мы обрабатываем персональные данные на следующих основаниях:
- Договор — обработка необходима для исполнения соглашения с пользователем (регистрация, оказание услуг).
- Согласие — пользователь даёт согласие при регистрации на Платформе.
- Законный интерес — обеспечение безопасности, предотвращение мошенничества, улучшение сервиса.
- Юридическая обязанность — соблюдение требований законодательства (AML/KYC, налоговая отчётность).
4. Как мы используем данные
Персональные данные используются исключительно для:
- Регистрации и аутентификации пользователей.
- Проведения платёжных операций и расчётов.
- Обеспечения безопасности: обнаружение и предотвращение мошенничества, несанкционированного доступа.
- Связи с пользователем по вопросам обслуживания.
- Соблюдения требований законодательства.
- Улучшения качества сервиса и устранения технических неполадок.
Мы не используем персональные данные для рекламных рассылок, профилирования в маркетинговых целях и не передаём данные рекламным сетям.
5. Хранение и защита данных
5.1. Меры безопасности
Мы применяем комплекс организационных и технических мер для защиты данных:
- Шифрование — пароли хешируются алгоритмом bcrypt, конфиденциальные данные шифруются AES-256-GCM.
- Протокол HTTPS — все данные передаются по зашифрованному каналу (TLS 1.2/1.3).
- Двухфакторная аутентификация (2FA) — доступна для всех учётных записей через TOTP.
- Контроль доступа — ролевая модель (администратор, мерчант), JWT-токены с ограниченным сроком действия.
- Ограничение запросов — rate limiting для предотвращения brute-force атак.
- IP-фильтрация — возможность ограничить доступ к API по белому списку IP-адресов.
- HMAC-подписи — проверка подлинности API-запросов и вебхуков.
- Журналирование — ведение журнала всех действий для аудита безопасности.
5.2. Сроки хранения
| Тип данных | Срок хранения |
|---|---|
| Данные учётной записи | До удаления аккаунта пользователем или по запросу |
| Данные о транзакциях | 5 лет с момента проведения (требования законодательства) |
| Журнал активности (IP, входы) | 12 месяцев |
| Обращения в поддержку | 3 года |
6. Передача данных третьим лицам
Мы не продаём и не передаём персональные данные третьим лицам, за исключением следующих случаев:
- Платёжные провайдеры — для проведения операций мы можем передавать необходимый минимум данных (сумма, метод оплаты, идентификатор заказа) вышестоящему платёжному провайдеру.
- Требования закона — по запросу уполномоченных государственных органов в порядке, установленном законодательством.
- Защита прав — для предотвращения мошенничества, защиты прав и безопасности пользователей.
При передаче данных вышестоящему платёжному провайдеру мы не передаём контактные данные пользователей (email, телефон, Telegram). Передаются только данные, необходимые для проведения конкретной транзакции.
7. Файлы cookie
Платформа использует минимально необходимые технические средства хранения в браузере:
- sessionStorage — для хранения токена аутентификации на время сессии. Данные удаляются при закрытии вкладки браузера.
Мы не используем cookie для отслеживания, аналитики или рекламы. Сторонние cookie не устанавливаются.
8. Права пользователя
Вы имеете право:
- Доступ — запросить информацию о том, какие персональные данные мы обрабатываем.
- Исправление — потребовать исправления неточных или неполных данных.
- Удаление — запросить удаление персональных данных (с учётом обязательных сроков хранения транзакционных данных).
- Ограничение обработки — потребовать ограничения обработки данных.
- Переносимость — получить свои данные в структурированном, машиночитаемом формате.
- Отзыв согласия — отозвать согласие на обработку данных в любое время.
Для реализации указанных прав воспользуйтесь официальным интерфейсом платформы. Мы обработаем запрос в течение 30 календарных дней.
9. Обработка данных несовершеннолетних
Платформа не предназначена для лиц младше 18 лет. Мы сознательно не собираем персональные данные несовершеннолетних. Если нам станет известно о сборе таких данных, они будут незамедлительно удалены.
10. Трансграничная передача данных
В случае размещения серверов за пределами Российской Федерации или передачи данных в иные юрисдикции, мы обеспечиваем соответствие требованиям законодательства о защите персональных данных, включая применение надлежащих мер защиты.
11. Изменение Политики
Мы оставляем за собой право вносить изменения в настоящую Политику. Актуальная версия всегда доступна на данной странице с указанием даты последнего обновления. В случае существенных изменений мы уведомим пользователей по электронной почте или через уведомление на Платформе.
12. Обращения
По вопросам, связанным с обработкой персональных данных, используйте доступные внутри платформы каналы обслуживания и официальный интерфейс после авторизации.