Resumen
Cryptocardium opera un programa de tarjetas financiado con cripto. Esta política de privacidad explica qué datos recopilamos, cómo los usamos, con quién los compartimos y cuáles son tus derechos. Se aplica a todas las personas que visiten cryptocardium.com, abran una cuenta o usen cualquiera de nuestras APIs.
Nuestra arquitectura está construida en torno a la ausencia de verificación de identidad. No pedimos KYC, por lo que la lista de datos a continuación es genuinamente corta. Léela; cuestiona cualquier cosa que falte.
Qué recopilamos
La lista completa de datos que almacenamos sobre una cuenta:
- Dirección de email — el único identificador que pedimos. Se usa para iniciar sesión, recuperar la cuenta y responder tickets.
- Hash de contraseña — bcrypt, coste 12. El texto plano nunca toca el disco y se elimina de la memoria tras cada solicitud.
- Secreto TOTP (si se activa 2FA) — cifrado en reposo con una clave que rota cada 90 días.
- Códigos de copia de seguridad (si se activa 2FA) — con hash bcrypt, consumidos una vez cada uno, nunca vueltos a mostrar tras la generación.
- Saldo de tesorería — denominado en USDT, actualizado en cada recarga, carga y retirada.
- Registros de recarga — importe, activo, cadena, dirección de depósito, txid en cadena, marcas de tiempo, estado.
- Metadatos de tarjeta — BIN, últimos 4 dígitos, estado, límites, reglas MCC, geobloqueos. El PAN completo nunca se almacena en reposo de nuestra parte; el emisor lo guarda.
- Eventos de transacción — registros de autorización, captura, reembolso y rechazo enviados por el emisor.
- IPs de inicio de sesión — conservadas 90 días para defensa contra fraude y limitación de tasa.
- Metadatos de clave API — nombre, clave con hash sha256, prefijo (visible), marca de tiempo del último uso + IP.
- Historial de tickets de soporte — asunto, cuerpo, estado, respuestas, adjuntos.
Lo que no recopilamos
Igual de importante — la lista de cosas que nunca pedimos y nunca almacenamos:
- DNI, pasaporte, permiso de conducir, permiso de residencia
- Selfi, vídeo de prueba de vida, datos biométricos
- Nombre real, fecha de nacimiento, número de identificación fiscal
- Justificante de domicilio (factura de suministros, contrato de arrendamiento, extracto bancario)
- Declaración de origen de fondos, declaración de ingresos, información del empleador
- Número de teléfono (el panel funciona sin uno)
- Número de seguridad social, número de identificación nacional
- Preferencias de marketing, datos de seguimiento conductual, IDs de cookies de terceros
Cómo lo usamos
Cada dato que recopilamos sirve para uno de tres propósitos:
- Gestionar tu cuenta — autenticación, visualización de saldo, enrutamiento de autorización de tarjeta.
- Prevenir el fraude — limitación de tasa en inicios de sesión fallidos, puntuación antifraude en recargas y autorizaciones de tarjeta, detección de anomalías en el uso de la API.
- Analítica agregada — anónima, nunca vinculada a cuentas individuales. Medimos métricas a nivel de plataforma (tarjetas emitidas por día, latencia mediana de autorización, tasas de rechazo) para decisiones de producto.
No usamos tus datos para publicidad, elaboración de perfiles, segmentación conductual ni ningún propósito de marketing de terceros.
Compartición & terceros
La lista reducida de terceros que acceden a tus datos:
- Emisor de tarjetas (emisor BIN patrocinado PCI DSS Nivel 1) — recibe metadatos de tarjeta, importes de recarga y eventos de transacción. Estrictamente necesario para operar el programa de tarjetas.
- Redes de blockchain — los depósitos de recarga son públicos en cadena por naturaleza. Las direcciones de depósito que generamos son únicas por recarga para evitar vincular tu actividad.
- Proveedores de infraestructura — hosting cloud, CDN, monitorización. Procesan datos en nuestro nombre bajo acuerdos estándar de procesamiento de datos.
- Autoridades legales — cumplimos con el proceso legal válido. No compartimos datos voluntariamente con anunciantes, intermediarios de datos, plataformas de marketing ni ninguna parte que correlacione tu actividad fuera de Cryptocardium.
Retención
- Cuentas activas — datos conservados mientras la cuenta está activa.
- Cuentas cerradas — 12 meses de retención tras el cierre para solapamiento de defensa contra fraude, luego anonimizados. Los registros de auditoría requeridos por la regulación financiera se conservan durante 7 años en forma anonimizada.
- Registros de IP de inicio de sesión — 90 días.
- Registros de solicitudes API — 30 días.
- Registros de entrega de webhooks — 30 días.
- Historial de tickets de soporte — conservado mientras la cuenta está activa; eliminado al cerrar la cuenta.
Tus derechos
Puedes solicitar el acceso, la rectificación, la eliminación o la restricción del tratamiento de tus datos a través del sistema de tickets autenticado. Cuando así lo exija la ley (GDPR, CCPA y similares), atendemos estas solicitudes dentro de los plazos legales establecidos.
Cookies
Usamos una cookie: CCMSESS. Es una cookie de sesión httpOnly, Secure, SameSite=Lax usada para el inicio de sesión. Sin cookies de seguimiento. Sin cookies publicitarias. Sin cookies de terceros de ningún tipo.
El almacenamiento local del navegador guarda tu token CSRF y las preferencias de estado de la interfaz del panel. Nada en el almacenamiento local se nos envía — permanece en tu dispositivo.
Seguridad
Todos los datos en tránsito están protegidos por TLS 1.3. Las contraseñas se almacenan como hashes bcrypt. Los saldos de las tarjetas están custodiados por nuestro socio emisor certificado PCI DSS Level 1 en cuentas segregadas. Consulta la página de seguridad para conocer la arquitectura completa.
Contáctanos
Para consultas sobre privacidad, abre un ticket desde el panel autenticado. Respondemos en un plazo de 7 días para solicitudes estándar, y con mayor rapidez ante problemas de seguridad o brechas de datos.
Cambios en esta política
Podemos actualizar esta política de privacidad. Los cambios relevantes se anunciarán con al menos 14 días de antelación a través del panel y por correo electrónico. La versión más reciente siempre estará disponible en /privacy.