Политика конфиденциальности
Divergent Market

Контроллером персональных данных в значении Регламента (ЕС) 2016/679 (GDPR) и аналогичных норм других юрисдикций выступает Divergent Digital Holdings Ltd., юрисдикция Saint Vincent and the Grenadines. Все запросы по данным направляйте на privacy@divergent.market.

Настоящая Политика распространяется на все интерфейсы Сервиса Divergent Market — веб-сайт, Telegram-бот, API. Использование Сервиса без согласия с настоящей Политикой невозможно.

2.1 Регистрационные данные

• Имя пользователя (username) — выбирается вами и публично видно другим пользователям.
• Хеш пароля — производная функция Argon2id с индивидуальным salt. Исходный пароль на сервер не возвращается и не восстанавливается.
• Telegram ID (опционально) — числовой идентификатор, предоставленный Telegram при использовании deep-link авторизации. Никаких других данных Telegram-профиля (имя, фото, username) мы не сохраняем постоянно.
• Язык интерфейса (ru / en).
• Роль аккаунта (buyer / seller / admin).

2.2 Технические данные сессий

• IP-адрес последней сессии — для антифрод-проверок и защиты от перебора.
• User-Agent браузера — для совместимости и антифрода.
• Идентификатор сессии (httpOnly cookie gm_session) — срок жизни 30 дней.
• Предпочитаемый язык (cookie lang).

2.3 Транзакционные данные

• История пополнений и списаний с Баланса (внутренние записи).
• ID инвойсов NOWPayments — чтобы сверять поступление по ним.
• Криптоадрес, сгенерированный процессинговым провайдером для конкретного инвойса. Мы не храним адресы ваших личных кошельков.
• Факт покупки конкретного листинга и момент выдачи credentials.

2.4 Данные обращений в поддержку

• Текст тикета и вложения, прикреплённые вами добровольно.
• Внутренние примечания агента поддержки.

Мы обрабатываем персональные данные на следующих основаниях GDPR art. 6:

• Исполнение договора (art. 6(1)(b)) — всё, что необходимо для работы вашего аккаунта, выполнения покупки и выдачи credentials.
• Законный интерес (art. 6(1)(f)) — предотвращение мошенничества, защита инфраструктуры, аудит операций. Ваш интерес всегда сопоставляется с нашим; вы можете возразить (см. раздел 10).
• Юридическая обязанность (art. 6(1)(c)) — соблюдение обязательных требований в юрисдикции Оператора.
• Согласие (art. 6(1)(a)) — для опциональных возможностей, например, привязка Telegram или подписка на уведомления.

• Предоставление Сервиса: регистрация, авторизация, покупка, выдача credentials, тикеты.
• Безопасность: обнаружение брутфорса, мультиаккаунтинга, попыток фрода, защиты от DDoS.
• Работа с платежами: сверка инвойсов, антифрод процессингового провайдера.
• Улучшение Сервиса: агрегированная статистика использования каталога (без привязки к личности).
• Юридическая защита: доказательная база при спорах, жалобах, регуляторных запросах.

Мы используем функциональные cookies и обезличенную веб-аналитику Яндекс.Метрика и Google Analytics — чтобы понимать, сколько посетителей приходит и из каких источников. Рекламных пикселей и трекеров рекламных сетей нет.

• gm_session — идентификатор сессии. HttpOnly, Secure (в production), SameSite=Lax. Срок — 30 дней.
• lang — сохранённый язык интерфейса. Срок — 1 год.
• NEXT_LOCALE — служебная cookie next-intl. Срок — сессия.
• _ym_* — Яндекс.Метрика: обезличенная статистика посещений (уникальность визита, источник перехода). Срок — до 1 года. Видеозаписи сессий (Вебвизор) мы не ведём.
• _ga, _ga_* — Google Analytics: обезличенная статистика посещений (различение визитов, источник перехода). Срок — до 2 лет.

Отключение cookies делает работу Сервиса невозможной: без идентификатора сессии вы не сможете оставаться авторизованы. Удалить cookies можно в настройках браузера.

Мы передаём минимум необходимых данных лишь тем контрагентам, которые обеспечивают работу Сервиса:

• NOWPayments OÜ (Эстония) — создание и обработка крипто-инвойсов. Передаём: внутренний ID заказа, сумму в USD. Не передаём: username, IP, историю покупок.
• Telegram Messenger Inc. — доставка сообщений бота и deep-link авторизации. Передаём: минимум для работы бота. Обработка данных регулируется собственной политикой Telegram.
• Хостинг-провайдер — инфраструктура для выполнения серверных операций. Провайдер обязан соблюдать конфиденциальность в силу договора.
• Anti-DDoS / CDN провайдер (при использовании) — базовая технологическая маршрутизация запросов.
• Уполномоченные органы — только по официальному запросу в рамках действующего законодательства юрисдикции Оператора.

Инфраструктура Сервиса расположена за пределами Европейской экономической зоны. Передача персональных данных в третьи страны осуществляется на основании стандартных договорных оговорок Европейской комиссии (Standard Contractual Clauses 2021/914) и/или решения о наличии адекватной защиты.

При передаче данных криптопроцессингу соблюдаются требования провайдера о защите данных, применимых в его юрисдикции (Эстония / ЕС).

• Регистрационные данные — до удаления аккаунта пользователем либо 24 месяцев после последнего входа, в зависимости от того, что наступит раньше.
• Сессии — 30 дней или до принудительного выхода.
• Транзакционные данные — 5 лет от даты транзакции (требования антифрод/налогового аудита).
• Тикеты поддержки — 12 месяцев после закрытия тикета.
• Audit-логи безопасности — 24 месяца.
• Credentials проданных аккаунтов — зашифрованы и доступны покупателю в личном кабинете. По запросу покупателя или по истечении 24 месяцев — удаляются.

По истечении срока данные либо безвозвратно удаляются, либо анонимизируются так, что обратное восстановление невозможно.

• Argon2id с индивидуальным salt и актуальными параметрами — для хранения пароля пользователя.
• AES-256-GCM с версионированным ключом шифрования — для хранения credentials продаваемых аккаунтов. Ключ не хранится в БД.
• HTTPS/TLS принудительно на всех публичных эндпоинтах. HSTS preload-политика.
• HTTP-заголовки безопасности: X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin, Permissions-Policy (отключены camera/microphone/geolocation).
• Rate-limiting на чувствительные эндпоинты (логин, регистрация, создание заказов) — защита от брутфорса.
• Принцип наименьших привилегий: у процессов только те права, которые им строго нужны.
• Раздельные контуры для админских операций — не смешаны с пользовательским трафиком.
• Регулярные off-site бэкапы в зашифрованном виде.

В отношении ваших персональных данных вы обладаете следующими правами:

• Право на доступ (GDPR art. 15) — получить копию данных, которыми мы располагаем.
• Право на исправление (art. 16) — скорректировать неточную информацию.
• Право на удаление / быть забытым (art. 17) — удалить аккаунт и связанные данные, за исключением тех, хранение которых требуется нам в рамках законных интересов и обязательств.
• Право на ограничение обработки (art. 18).
• Право на переносимость (art. 20) — получить ваши данные в машиночитаемом формате.
• Право на возражение (art. 21) против обработки на основе законного интереса.
• Право отозвать согласие в любой момент, если обработка была основана на согласии.
• Право подать жалобу в надзорный орган по защите данных в вашей стране.

Запросы направляйте на privacy@divergent.market. Мы отвечаем в срок до 30 календарных дней. Для верификации личности мы вправе попросить подтверждение владения аккаунтом (например, сообщение из привязанного Telegram).

Сервис не предназначен для лиц младше 18 лет, и мы не собираем сознательно их данные. Если вы являетесь родителем или опекуном и узнали, что ребёнок зарегистрировался на Платформе, сообщите по адресу privacy@divergent.market — мы безусловно удалим аккаунт и связанные данные.

Мы не принимаем решений, влекущих правовые последствия для вас, исключительно на основании автоматической обработки. Антифрод-эвристики (rate-limit, флаги аномальной активности) используются как вспомогательные; итоговое решение о блокировке или возврате принимается человеком-оператором при вашем обращении.

При обнаружении инцидента, представляющего риск для прав и свобод субъектов данных, мы уведомим надзорный орган в течение 72 часов и затронутых пользователей — без неоправданной задержки — через Telegram-бота либо на странице входа. Уведомление будет содержать описание инцидента, вероятных последствий и принятых мер.

Мы можем периодически обновлять настоящую Политику. Актуальная версия всегда по адресу /privacy с указанием даты. Существенные изменения выделяются баннером на Сервисе при следующем входе и вступают в силу через 7 календарных дней после публикации.

По любым вопросам, связанным с обработкой персональных данных: privacy@divergent.market. По общим юридическим вопросам: legal@divergent.market. Службы поддержки также доступна в Telegram: @divergentmarket_bot.