Cosa raccogliamo.
Cosa non chiediamo.

Panoramica

Cryptocardium gestisce un programma carte finanziato in criptovaluta. Questa informativa sulla privacy spiega quali dati raccogliamo, come li utilizziamo, con chi li condividiamo e quali sono i tuoi diritti. Si applica a chiunque visiti cryptocardium.com, apra un account o utilizzi una delle nostre API.

La nostra architettura è costruita attorno all'assenza di verifica dell'identità. Non richiediamo KYC, quindi l'elenco dei dati di seguito è genuinamente breve. Leggilo; metti in discussione qualsiasi elemento mancante.

Cosa raccogliamo

L'elenco completo dei dati che conserviamo su un account:

• Indirizzo email — l'unico identificativo che richiediamo. Utilizzato per l'accesso, il recupero dell'account e le risposte ai ticket.
• Hash della password — bcrypt, costo 12. Il testo in chiaro non tocca mai il disco e viene eliminato dalla memoria dopo ogni richiesta.
• Segreto TOTP (se 2FA abilitato) — cifrato a riposo con una chiave ruotata ogni 90 giorni.
• Codici di backup (se 2FA abilitato) — con hash bcrypt, consumati una volta ciascuno, mai mostrati nuovamente dopo la generazione.
• Saldo treasury — denominato in USDT, aggiornato ad ogni ricarica, carico e prelievo.
• Registrazioni di ricarica — importo, asset, chain, indirizzo di deposito, txid on-chain, timestamp, stato.
• Metadati carta — BIN, ultime 4 cifre, stato, limiti, regole MCC, blocchi geografici. Il PAN completo non viene mai conservato a riposo dalla nostra parte; lo detiene l'emittente.
• Eventi transazione — registrazioni di autorizzazione, cattura, rimborso e rifiuto inviate dall'emittente.
• IP di accesso — conservati per 90 giorni per la difesa antifrode e il rate-limiting.
• Metadati chiave API — nome, chiave con hash sha256, prefisso (visibile), timestamp ultimo utilizzo + IP.
• Cronologia ticket di supporto — oggetto, corpo, stato, risposte, allegati.

Cosa non raccogliamo

Altrettanto importante — l'elenco delle cose che non chiediamo mai e non conserviamo mai:

• Documento d'identità governativo, passaporto, patente di guida, permesso di soggiorno
• Selfie, video di verifica della presenza, dati biometrici
• Nome reale, data di nascita, codice fiscale
• Prova di residenza (bollette, contratto d'affitto, estratto conto bancario)
• Dichiarazione sulla provenienza dei fondi, dichiarazione del reddito, informazioni sul datore di lavoro
• Numero di telefono (il pannello funziona senza)
• Numero di previdenza sociale, numero di documento d'identità nazionale
• Preferenze di marketing, dati di tracciamento comportamentale, ID cookie di terze parti

Come lo utilizziamo

Ogni dato che raccogliamo serve uno di tre scopi:

1. Gestione del tuo account — autenticazione, visualizzazione del saldo, instradamento delle autorizzazioni carta.
2. Prevenzione delle frodi — rate-limiting sui tentativi di accesso falliti, scoring antifrode sulle ricariche e le autorizzazioni carta, rilevamento delle anomalie sull'utilizzo dell'API.
3. Analisi aggregata — anonimizzata, mai ricondotta a singoli account. Misuriamo metriche a livello di piattaforma (carte emesse al giorno, latenza mediana di autorizzazione, tassi di rifiuto) per le decisioni di prodotto.

Non utilizziamo i tuoi dati per pubblicità, profilazione, targeting comportamentale né per alcun scopo di marketing di terze parti.

Condivisione & terze parti

Il breve elenco delle terze parti che vedono mai i tuoi dati:

• Emittente carta (emittente BIN sponsorizzato PCI DSS Livello 1) — riceve i metadati della carta, gli importi di ricarica e gli eventi transazione. Strettamente necessario per gestire il programma carte.
• Reti blockchain — i depositi di ricarica sono pubblici on-chain per natura. Gli indirizzi di deposito che generiamo sono univoci per ogni ricarica per evitare di collegare le tue attività tra loro.
• Fornitori di infrastrutture — hosting cloud, CDN, monitoraggio. Elaborano i dati per nostro conto nell'ambito di accordi standard di trattamento dei dati.
• Autorità legali — rispettiamo i processi legali validi. Non condividiamo volontariamente i dati con inserzionisti, data broker, piattaforme di marketing o qualsiasi parte che correlerebbe la tua attività al di fuori di Cryptocardium.

Conservazione

• Account attivi — dati conservati finché l'account è attivo.
• Account chiusi — 12 mesi di conservazione dopo la chiusura per la sovrapposizione della difesa antifrode, poi anonimizzati. Le tracce di audit richieste dalla normativa finanziaria vengono conservate per 7 anni in forma anonimizzata.
• Log IP di accesso — 90 giorni.
• Log richieste API — 30 giorni.
• Log di consegna webhook — 30 giorni.
• Cronologia ticket di supporto — conservata finché l'account è attivo; eliminata alla chiusura dell'account.

I tuoi diritti

Puoi richiedere l'accesso, la rettifica, la cancellazione o la limitazione del trattamento dei tuoi dati tramite il sistema di ticket autenticato. Ove richiesto dalla legge (GDPR, CCPA e simili), evadiamo queste richieste entro i termini di legge.

Cookie

Utilizziamo un solo cookie: CCMSESS. È un cookie di sessione httpOnly, Secure, SameSite=Lax utilizzato per l'accesso. Nessun cookie di tracciamento. Nessun cookie pubblicitario. Nessun cookie di terze parti di alcun tipo.

Il local storage del browser contiene il tuo token CSRF e le preferenze dello stato UI del pannello. Nulla nel local storage viene inviato a noi — rimane sul tuo dispositivo.

Sicurezza

Tutti i dati in transito sono protetti da TLS 1.3. Le password vengono memorizzate come hash bcrypt. I saldi delle carte sono custoditi presso il nostro partner emittente certificato PCI DSS Level 1 in conti segregati. Consulta la pagina sicurezza per l'architettura completa.

Contattaci

Per domande sulla privacy, apri un ticket dal pannello autenticato. Rispondiamo entro 7 giorni per le richieste standard, e più rapidamente per questioni di sicurezza o violazioni dei dati.

Modifiche a questa politica

Potremmo aggiornare questa informativa sulla privacy. Le modifiche sostanziali saranno comunicate con almeno 14 giorni di anticipo tramite la dashboard e via e-mail. La versione più recente è sempre accessibile su /privacy.