収集するデータ。
収集しないデータ。

概要

Cryptocardium は暗号資産で資金調達するカードプログラムを運営しています。このプライバシーポリシーでは、収集するデータ・利用方法・共有先・あなたの権利について説明します。cryptocardium.com を訪問する方・アカウントを開設する方・API を使用する方すべてに適用されます。

私たちのアーキテクチャは本人確認の不在を前提に構築されています。KYC を求めないため、以下のデータリストは本当に短いです。読んでみてください。欠けているものがあれば質問してください。

収集するデータ

アカウントについて保存するデータの完全なリスト：

• メールアドレス — 私たちが求める唯一の識別子。サインイン・アカウント回復・チケット返信に使用。
• パスワードハッシュ — bcrypt、コスト 12。プレーンテキストはディスクに触れることなく、各リクエスト後にメモリから削除されます。
• TOTP シークレット（2FA 有効時） — 90 日ごとにローテーションされるキーで保存時に暗号化されます。
• バックアップコード（2FA 有効時） — bcrypt ハッシュ化され、各コードは一度しか使用できず、生成後は再表示されません。
• トレジャリー残高 — USDT 建て、すべてのトップアップ・入金・出金時に更新。
• トップアップ記録 — 金額・資産・チェーン・預入アドレス・オンチェーン txid・タイムスタンプ・ステータス。
• カードメタデータ — BIN・下 4 桁・ステータス・上限・MCC ルール・ジオロック。フル PAN は私たちの側では保存されません；発行会社が保管します。
• 取引イベント — 発行会社からプッシュされる承認・キャプチャ・返金・拒否の記録。
• サインイン IP — 不正防止とレート制限のために 90 日間保存。
• API キーメタデータ — 名前・sha256 ハッシュ化されたキー・プレフィックス（可視）・最終使用タイムスタンプ + IP。
• サポートチケット履歴 — 件名・本文・ステータス・返信・添付ファイル。

収集しない情報

同様に重要 — 私たちが決して求めず、保存しないもののリスト：

• 政府発行 ID・パスポート・運転免許証・居住許可証
• 自撮り写真・顔認証ビデオ・生体認証データ
• 本名・生年月日・税務識別番号
• 住所証明（公共料金の請求書・賃貸契約書・銀行明細書）
• 資金源の証明・収入申告書・雇用主情報
• 電話番号（パネルは電話番号なしで動作します）
• 社会保障番号・国民 ID 番号
• マーケティング設定・行動追跡データ・第三者 Cookie ID

利用方法

収集するすべてのデータは、次の 3 つの目的のいずれかのために使用されます：

1. アカウントの運営 — 認証・残高表示・カード認証ルーティング。
2. 不正防止 — サインイン失敗のレート制限・トップアップとカード認証の不正スコアリング・API 使用の異常検知。
3. 集計分析 — 匿名化され、個別のアカウントに紐付けられることはありません。プロダクト決定のためにプラットフォーム全体の指標（1 日あたりの発行カード数・認証レイテンシの中央値・拒否率）を測定します。

あなたのデータを広告・プロファイリング・行動ターゲティング・第三者のマーケティング目的に使用することは しません。

共有 & 第三者

あなたのデータを見る第三者の短いリスト：

• カード発行会社（PCI DSS レベル 1 スポンサード BIN 発行会社）— カードメタデータ・トップアップ金額・取引イベントを受信します。カードプログラムの運営に厳密に必要です。
• ブロックチェーンネットワーク — トップアップ預金はその性質上オンチェーンで公開されています。私たちが生成する預入アドレスはトップアップごとに固有で、活動を相互に紐付けないようにします。
• インフラプロバイダー — クラウドホスティング・CDN・モニタリング。標準的なデータ処理契約に基づき、私たちの代わりにデータを処理します。
• 法的機関 — 有効な法的手続きに従います。広告主・データブローカー・マーケティングプラットフォーム・あなたの活動を Cryptocardium の外で相関させる第三者とは自発的にデータを共有しません。

保存期間

• 有効なアカウント — アカウントが有効な間はデータを保存。
• 閉鎖されたアカウント — 不正防止のオーバーラップのため閉鎖後 12 ヶ月間保存、その後匿名化。金融規制が要求する監査証跡は匿名化された形で 7 年間保存。
• サインイン IP ログ — 90 日間。
• API リクエストログ — 30 日間。
• Webhook 配信ログ — 30 日間。
• サポートチケット履歴 — アカウントが有効な間は保存；アカウント閉鎖時に削除。

あなたの権利

認証済みチケットシステムを通じて、お客様のデータへのアクセス、訂正、削除、または処理の制限を請求することができます。法律（GDPR、CCPA 等）で義務付けられている場合、当社は法定期限内にこれらの請求に対応します。

Cookie

私たちが使用する Cookie は 1 つのみです：CCMSESS。サインインに使用される httpOnly・Secure・SameSite=Lax のセッション Cookie です。追跡 Cookie はありません。広告 Cookie もありません。いかなる種類の第三者 Cookie もありません。

ブラウザのローカルストレージには、CSRF トークンとパネルの UI 状態設定が保持されます。ローカルストレージの内容は私たちに送信されません — あなたのデバイスに留まります。

セキュリティ

転送中のすべてのデータは TLS 1.3 で保護されています。パスワードは bcrypt ハッシュとして保存されます。カード残高は、PCI DSS Level 1 認定を取得した発行パートナーの分別管理口座に保管されています。完全なアーキテクチャについては セキュリティ ページをご覧ください。

お問い合わせ

プライバシーに関するお問い合わせは、認証済みパネルからチケットをご作成ください。標準的なリクエストには 7 日以内に、セキュリティや情報漏洩に関する懸念にはより迅速に対応いたします。

このポリシーの変更

本プライバシーポリシーは更新される場合があります。重要な変更については、ダッシュボードおよびメールにて少なくとも 14 日前にお知らせします。最新版は常に /privacy でご確認いただけます。