Политика конфиденциальности

Учётные данные: email, хеш пароля (bcrypt), публичные ключи Passkey (WebAuthn), идентификаторы сессий.

Профиль: имя, фамилия, отчество, дата рождения, пол, телефон, страна и город — для верификации, KYC и работы с агентами.

Документы KYC: фотографии паспорта, номер документа, дата рождения. Используются исключительно для прохождения верификации, санкционного скрининга и хранения по требованиям AML.

Финансовые операции: суммы депозитов и выплат, реквизиты криптокошельков, идентификаторы платежей (но не реквизиты банковских карт — они обрабатываются сертифицированными платёжными провайдерами).

Данные Telegram (при привязке): Telegram User ID, имя, username, language code, ID чата с ботом — для отправки уведомлений.

Технические данные: IP-адрес, user-agent, журналы аудита действий в кабинете, геолокация (только при явном разрешении в браузере).

База данных проекта (PostgreSQL под управлением Supabase / AWS) — основное хранилище: профили, KYC, балансы, транзакции, аудит-логи.

Файловое хранилище (Supabase Storage) — фотографии паспортов с доступом только по подписанным ссылкам.

Платёжные провайдеры (PayMaster, Raiffeisen, DV.net) — обрабатывают платежи. У нас остаются только идентификаторы заказов и статусы.

Cloudflare — DNS, CDN, капча Turnstile, маршрутизация корпоративной почты (без хранения переписки).

Email-провайдер (Resend) — отправка транзакционных писем через домен notify.sunrift.kz.

Telegram — мы храним только Telegram User ID и настройки уведомлений; сами сообщения находятся на серверах Telegram.

• предоставление доступа к личному кабинету и продуктам;

• исполнение обязательств по публичной оферте (выплаты, кэшбэк, комиссии);

• верификация личности и санкционный скрининг (OFAC, UN, EU, UK, OFSI);

• противодействие мошенничеству и отмыванию денежных средств;

• отправка сервисных уведомлений по email и через Telegram;

• соблюдение применимого права Гонконга и международных норм AML/CFT.

Мы не продаём ваши данные. Передача возможна только в следующих случаях:

• платёжным процессорам и блокчейн-провайдерам — для исполнения транзакций;

• провайдерам инфраструктуры (хостинг, email, Telegram) — в объёме, необходимом для работы Сервиса;

• санкционным скрининг-сервисам — для проверки против списков OFAC и аналогичных;

• компетентным государственным органам — по обоснованному и законному запросу.

Транспорт: TLS 1.3 на всех доменах sunrift.kz и lovable.app, политика HSTS.

Хранение: шифрование at-rest (AES-256) на стороне Supabase / AWS.

Доступ: ролевая модель Row Level Security (RLS) на каждой таблице, отдельная таблица user_roles (защита от privilege escalation).

Аутентификация: проверка паролей по базе утечек HIBP, Passkeys (WebAuthn), капча Cloudflare Turnstile, OTP по email.

Аудит: все критичные действия (изменение ролей, переводы, выплаты) логируются в audit_logs.

Бэкапы: ежедневные автоматические резервные копии.

Архитектурное соответствие требованиям PCI DSS SAQ D — данные банковских карт у нас не хранятся.

Активные данные хранятся всё время существования вашего аккаунта.

После закрытия аккаунта KYC-данные и финансовая история сохраняются ещё 5 лет в соответствии с требованиями AML/CFT.

Маркетинговые данные удаляются по первому запросу пользователя.

• запросить копию ваших персональных данных;

• исправить неточности в профиле;

• запросить удаление аккаунта (при отсутствии непогашенных финансовых обязательств);

• отозвать согласие на маркетинговые рассылки;

• отвязать Telegram-аккаунт в любой момент через личный кабинет или командой /unlink в боте.

Запросы направляйте на i-n-f-o@sunrift.kz. Ответ в течение 30 дней.

Мы можем обновлять Политику. Существенные изменения публикуются за 14 дней до вступления в силу. Актуальная версия всегда доступна на странице sunrift.kz/privacy.