अवलोकन
Cryptocardium एक क्रिप्टो-फंडेड कार्ड प्रोग्राम संचालित करता है। यह गोपनीयता नीति बताती है कि हम कौन सा डेटा एकत्र करते हैं, इसका उपयोग कैसे करते हैं, इसे किसके साथ साझा करते हैं, और आपके अधिकार क्या हैं। यह उन सभी पर लागू होती है जो cryptocardium.com विज़िट करते हैं, खाता खोलते हैं, या हमारे किसी API का उपयोग करते हैं।
हमारी आर्किटेक्चर पहचान सत्यापन की अनुपस्थिति के इर्द-गिर्द बनी है। हम KYC नहीं माँगते, इसलिए नीचे दी गई डेटा सूची वास्तव में छोटी है। इसे पढ़ें; जो कुछ भी गायब हो उस पर सवाल उठाएँ।
हम क्या एकत्र करते हैं
किसी खाते के बारे में हम जो डेटा संग्रहीत करते हैं उसकी पूर्ण सूची:
- ईमेल पता — एकमात्र पहचानकर्ता जो हम माँगते हैं। साइन-इन, खाता पुनर्प्राप्ति, टिकट उत्तरों के लिए उपयोग किया जाता है।
- पासवर्ड हैश — bcrypt, कॉस्ट 12। प्लेनटेक्स्ट कभी डिस्क को नहीं छूता और प्रत्येक रिक्वेस्ट के बाद मेमोरी से हटा दिया जाता है।
- TOTP सीक्रेट (यदि 2FA सक्षम है) — हर 90 दिनों में रोटेट होने वाली कुंजी से आराम पर एन्क्रिप्ट।
- बैकअप कोड (यदि 2FA सक्षम है) — bcrypt-हैश, एक बार प्रत्येक का उपयोग, जनरेशन के बाद कभी पुनः नहीं दिखाए जाते।
- ट्रेज़री बैलेंस — USDT-अंकित, हर टॉप-अप, लोड और निकासी पर अपडेट।
- टॉप-अप रिकॉर्ड — राशि, एसेट, चेन, डिपॉज़िट एड्रेस, ऑन-चेन txid, टाइमस्टैम्प, स्टेटस।
- कार्ड मेटाडेटा — BIN, अंतिम 4 अंक, स्टेटस, सीमाएँ, MCC नियम, जियो-लॉक। पूर्ण PAN हमारी तरफ आराम पर कभी संग्रहीत नहीं होता; जारीकर्ता इसे रखता है।
- लेन-देन इवेंट — जारीकर्ता द्वारा पुश किए गए auth, capture, refund, decline रिकॉर्ड।
- साइन-इन IP — धोखाधड़ी सुरक्षा और दर-सीमा के लिए 90 दिन रखे जाते हैं।
- API key मेटाडेटा — नाम, sha256-हैश्ड key, प्रिफ़िक्स (दृश्यमान), अंतिम-उपयोग टाइमस्टैम्प + IP।
- सपोर्ट टिकट इतिहास — विषय, बॉडी, स्टेटस, उत्तर, अटैचमेंट।
हम क्या एकत्र नहीं करते
समान रूप से महत्वपूर्ण — उन चीज़ों की सूची जो हम कभी नहीं माँगते और कभी संग्रहीत नहीं करते:
- सरकारी ID, पासपोर्ट, ड्राइविंग लाइसेंस, निवास परमिट
- सेल्फी, लाइवनेस वीडियो, बायोमेट्रिक डेटा
- असली नाम, जन्म तिथि, कर पहचान संख्या
- पते का प्रमाण (उपयोगिता बिल, लीज़, बैंक स्टेटमेंट)
- धन के स्रोत का प्रमाण, आय घोषणा, नियोक्ता जानकारी
- फोन नंबर (पैनल इसके बिना काम करता है)
- सामाजिक सुरक्षा संख्या, राष्ट्रीय ID संख्या
- मार्केटिंग प्राथमिकताएँ, व्यवहार ट्रैकिंग डेटा, तृतीय-पक्ष कुकी ID
हम इसका उपयोग कैसे करते हैं
हम जो प्रत्येक डेटा एकत्र करते हैं वह तीन उद्देश्यों में से एक की पूर्ति करता है:
- आपका खाता चलाना — प्रमाणीकरण, बैलेंस प्रदर्शन, कार्ड प्राधिकरण रूटिंग।
- धोखाधड़ी रोकना — विफल साइन-इन पर दर-सीमा, टॉप-अप और कार्ड ऑथ पर एंटी-फ्रॉड स्कोरिंग, API उपयोग पर विसंगति पहचान।
- समग्र विश्लेषण — अनाम, कभी व्यक्तिगत खातों से नहीं जोड़ा। हम उत्पाद निर्णयों के लिए प्लेटफॉर्म-व्यापी मेट्रिक्स मापते हैं (प्रति दिन जारी कार्ड, मध्यिका auth विलंबता, अस्वीकृति दरें)।
हम आपके डेटा का उपयोग विज्ञापन, प्रोफाइलिंग, व्यवहार लक्ष्यीकरण, या किसी तृतीय-पक्ष मार्केटिंग उद्देश्य के लिए नहीं करते।
साझाकरण और तृतीय पक्ष
तृतीय पक्षों की संक्षिप्त सूची जो कभी आपका डेटा देखते हैं:
- कार्ड जारीकर्ता (PCI DSS Level 1 प्रायोजित BIN जारीकर्ता) — कार्ड मेटाडेटा, टॉप-अप राशि और लेन-देन इवेंट प्राप्त करता है। कार्ड प्रोग्राम चलाने के लिए सख्त रूप से आवश्यक।
- ब्लॉकचेन नेटवर्क — टॉप-अप डिपॉज़िट प्रकृति से ऑन-चेन सार्वजनिक हैं। हम जो डिपॉज़िट एड्रेस जनरेट करते हैं वे आपकी गतिविधि को आपस में जोड़ने से बचने के लिए प्रति टॉप-अप अद्वितीय हैं।
- इन्फ्रास्ट्रक्चर प्रदाता — क्लाउड होस्टिंग, CDN, मॉनिटरिंग। वे मानक डेटा-प्रोसेसिंग समझौतों के तहत हमारी ओर से डेटा प्रोसेस करते हैं।
- कानूनी प्राधिकरण — हम वैध कानूनी प्रक्रिया का पालन करते हैं। हम विज्ञापनदाताओं, डेटा दलालों, मार्केटिंग प्लेटफॉर्म, या किसी भी पक्ष के साथ स्वेच्छा से डेटा साझा नहीं करते जो Cryptocardium के बाहर आपकी गतिविधि को सहसंबंधित करे।
प्रतिधारण
- सक्रिय खाते — खाता सक्रिय रहते तक डेटा बनाए रखा जाता है।
- बंद खाते — धोखाधड़ी-सुरक्षा ओवरलैप के लिए बंद होने के बाद 12 महीने का प्रतिधारण, फिर अनाम। वित्तीय विनियमन द्वारा आवश्यक ऑडिट ट्रेल 7 वर्षों के लिए अनाम रूप में बनाए रखे जाते हैं।
- साइन-इन IP लॉग — 90 दिन।
- API अनुरोध लॉग — 30 दिन।
- वेबहुक डिलीवरी लॉग — 30 दिन।
- सपोर्ट टिकट इतिहास — खाता सक्रिय रहते तक बनाए रखा; खाता बंद होने पर हटाया जाता है।
आपके अधिकार
आप प्रमाणित टिकट प्रणाली के माध्यम से अपने डेटा तक पहुंच, सुधार, हटाने या प्रसंस्करण प्रतिबंध का अनुरोध कर सकते हैं। जहां कानून द्वारा आवश्यक हो (GDPR, CCPA और समान नियम), हम इन अनुरोधों को वैधानिक समय-सीमा के भीतर पूरा करते हैं।
कुकीज़
हम एक कुकी उपयोग करते हैं: CCMSESS। यह साइन-इन के लिए उपयोग की जाने वाली एक httpOnly, Secure, SameSite=Lax सेशन कुकी है। कोई ट्रैकिंग कुकी नहीं। कोई विज्ञापन कुकी नहीं। किसी भी प्रकार की कोई तृतीय-पक्ष कुकी नहीं।
ब्राउज़र लोकल स्टोरेज आपका CSRF टोकन और पैनल की UI स्टेट प्राथमिकताएँ रखता है। लोकल स्टोरेज में कुछ भी हमें नहीं भेजा जाता — यह आपके डिवाइस पर रहता है।
सुरक्षा
ट्रांजिट में सभी डेटा TLS 1.3 द्वारा सुरक्षित है। पासवर्ड bcrypt हैश के रूप में संग्रहीत हैं। कार्ड बैलेंस हमारे PCI DSS Level 1 प्रमाणित जारीकर्ता भागीदार के पास अलग-अलग खातों में रखे जाते हैं। पूर्ण आर्किटेक्चर के लिए सुरक्षा देखें।
हमसे संपर्क करें
गोपनीयता संबंधी प्रश्नों के लिए, प्रमाणित पैनल से टिकट खोलें। मानक अनुरोधों के लिए हम 7 दिनों के भीतर उत्तर देते हैं, और सुरक्षा या उल्लंघन संबंधी चिंताओं के लिए इससे भी तेज।
इस नीति में परिवर्तन
हम इस गोपनीयता नीति को अपडेट कर सकते हैं। महत्वपूर्ण बदलावों की घोषणा डैशबोर्ड और ईमेल के माध्यम से कम से कम 14 दिन पहले की जाएगी। नवीनतम संस्करण हमेशा /privacy पर उपलब्ध रहता है।