Übersicht
Cryptocardium betreibt ein kryptogeldfinanziertes Kartenprogramm. Diese Datenschutzrichtlinie erläutert, welche Daten wir erfassen, wie wir sie verwenden, an wen wir sie weitergeben und welche Rechte Sie haben. Sie gilt für alle, die cryptocardium.com besuchen, ein Konto eröffnen oder eine unserer APIs nutzen.
Unsere Architektur ist um das Fehlen einer Identitätsprüfung herum aufgebaut. Da wir kein KYC verlangen, ist die nachstehende Datenliste tatsächlich kurz. Lesen Sie sie; hinterfragen Sie alles, was fehlt.
Was wir erfassen
Die vollständige Liste der Daten, die wir über ein Konto speichern:
- E-Mail-Adresse — der einzige Identifikator, den wir verlangen. Wird für die Anmeldung, Kontowiederherstellung und Ticket-Antworten verwendet.
- Passwort-Hash — bcrypt, Kostenfaktor 12. Der Klartext berührt nie die Festplatte und wird nach jeder Anfrage aus dem Speicher entfernt.
- TOTP-Geheimnis (bei aktivierter 2FA) — im Ruhezustand verschlüsselt mit einem alle 90 Tage rotierten Schlüssel.
- Backup-Codes (bei aktivierter 2FA) — bcrypt-gehasht, jeweils einmalig verwendbar, nach der Generierung nie erneut angezeigt.
- Treasury-Guthaben — USDT-denominiert, bei jeder Aufladung, jedem Laden und jeder Auszahlung aktualisiert.
- Auflade-Aufzeichnungen — Betrag, Asset, Chain, Einzahlungsadresse, On-Chain-Txid, Zeitstempel, Status.
- Karten-Metadaten — BIN, letzte 4 Ziffern, Status, Limits, MCC-Regeln, Geo-Sperren. Die vollständige PAN wird nie im Ruhezustand auf unserer Seite gespeichert; der Aussteller hält sie.
- Transaktionsereignisse — Autorisierungs-, Buchungs-, Rückerstattungs- und Ablehnungsaufzeichnungen, die vom Aussteller übermittelt werden.
- Anmelde-IPs — 90 Tage lang aufbewahrt zur Betrugsabwehr und Ratenbegrenzung.
- API-Schlüssel-Metadaten — Name, sha256-gehashter Schlüssel, Präfix (sichtbar), Zeitstempel der letzten Nutzung + IP.
- Support-Ticket-Verlauf — Betreff, Text, Status, Antworten, Anhänge.
Was wir nicht erfassen
Ebenso wichtig — die Liste der Dinge, die wir nie verlangen und nie speichern:
- Personalausweis, Reisepass, Führerschein, Aufenthaltserlaubnis
- Selfie, Liveness-Video, biometrische Daten
- Echter Name, Geburtsdatum, Steueridentifikationsnummer
- Adressnachweis (Nebenkostenabrechnung, Mietvertrag, Kontoauszug)
- Mittelherkunftsnachweis, Einkommenserklärung, Arbeitgeberinformation
- Telefonnummer (das Panel funktioniert ohne eine solche)
- Sozialversicherungsnummer, nationale Identifikationsnummer
- Marketing-Präferenzen, Verhaltens-Tracking-Daten, Drittanbieter-Cookie-IDs
Wie wir es verwenden
Jedes Datenelement, das wir erfassen, dient einem von drei Zwecken:
- Betrieb Ihres Kontos — Authentifizierung, Guthabenanzeige, Kartenauthorisierungs-Routing.
- Betrugsprävention — Ratenbegrenzung fehlgeschlagener Anmeldungen, Anti-Betrugs-Scoring bei Aufladungen und Kartenautorisierungen, Anomalieerkennung bei API-Nutzung.
- Aggregierte Analysen — anonymisiert, nie auf einzelne Konten zurückführbar. Wir messen plattformweite Kennzahlen (täglich ausgestellte Karten, mittlere Autorisierungslatenz, Ablehnungsraten) für Produktentscheidungen.
Wir verwenden Ihre Daten nicht für Werbung, Profilerstellung, verhaltensbasiertes Targeting oder andere Drittanbieter-Marketingzwecke.
Weitergabe & Dritte
Die kurze Liste der Dritten, die jemals Ihre Daten sehen:
- Kartenaussteller (PCI DSS Level 1 geförderter BIN-Aussteller) — erhält Karten-Metadaten, Aufladebeträge und Transaktionsereignisse. Zwingend erforderlich für den Betrieb des Kartenprogramms.
- Blockchain-Netzwerke — Einzahlungen per Aufladung sind by nature On-Chain öffentlich. Die von uns generierten Einzahlungsadressen sind pro Aufladung einmalig, um eine Verknüpfung Ihrer Aktivitäten zu vermeiden.
- Infrastrukturanbieter — Cloud-Hosting, CDN, Monitoring. Diese verarbeiten Daten in unserem Auftrag unter standardmäßigen Datenverarbeitungsverträgen.
- Behörden — Wir kooperieren mit gültigen rechtlichen Verfahren. Wir geben Daten nicht freiwillig an Werbe-, Datenhandels- oder Marketingplattformen oder andere Parteien weiter, die Ihre Aktivitäten außerhalb von Cryptocardium korrelieren würden.
Aufbewahrung
- Aktive Konten — Daten werden aufbewahrt, solange das Konto aktiv ist.
- Geschlossene Konten — 12 Monate Aufbewahrung nach Schließung für Überlappung der Betrugsabwehr, dann anonymisiert. Durch Finanzregulierung vorgeschriebene Prüfpfade werden 7 Jahre in anonymisierter Form aufbewahrt.
- Anmelde-IP-Protokolle — 90 Tage.
- API-Anfrage-Protokolle — 30 Tage.
- Webhook-Lieferprotokolle — 30 Tage.
- Support-Ticket-Verlauf — aufbewahrt, solange das Konto aktiv ist; bei Kontoschließung gelöscht.
Ihre Rechte
Sie können über das authentifizierte Ticket-System Zugang, Berichtigung, Löschung oder Einschränkung der Verarbeitung Ihrer Daten beantragen. Soweit gesetzlich vorgeschrieben (GDPR, CCPA und ähnliche Regelungen), erfüllen wir diese Anfragen innerhalb der gesetzlichen Fristen.
Cookies
Wir verwenden ein Cookie: CCMSESS. Es ist ein httpOnly-, Secure-, SameSite=Lax-Session-Cookie, der für die Anmeldung verwendet wird. Keine Tracking-Cookies. Keine Werbe-Cookies. Keine Drittanbieter-Cookies jedweder Art.
Der Browser-Local-Storage enthält Ihren CSRF-Token und die UI-Zustandspräferenzen des Panels. Nichts im Local-Storage wird an uns gesendet — es verbleibt auf Ihrem Gerät.
Sicherheit
Alle Daten während der Übertragung sind durch TLS 1.3 geschützt. Passwörter werden als bcrypt-Hashes gespeichert. Kartenguthaben liegen bei unserem PCI DSS Level 1-zertifizierten ausgebenden Partner in segregierten Konten. Die vollständige Architektur finden Sie unter Sicherheit.
Kontakt
Bei datenschutzrelevanten Fragen öffnen Sie bitte ein Ticket über das authentifizierte Panel. Wir antworten innerhalb von 7 Tagen auf Standardanfragen und schneller bei Sicherheits- oder Datenschutzverletzungen.
Änderungen dieser Richtlinie
Wir können diese Datenschutzrichtlinie aktualisieren. Wesentliche Änderungen werden mindestens 14 Tage im Voraus über das Dashboard und per E-Mail angekündigt. Die aktuelle Version ist stets unter /privacy abrufbar.