Политика обработки персональных данных

Редакция от 1 мая 2026 г. · GDPR-compliant, локальное законодательство страны регистрации мерчанта применимо.

1.Оператор обработки персональных данных

balancedpay — платёжная инфраструктура. Юридическое лицо-оператор указано в публичной оферте. E-mail для общих обращений: hello@balancedpay.pro.

2.Контакт DPO (Data Protection Officer)

Ответственный за организацию обработки персональных данных и контроль соответствия требованиям — Data Protection Officer.

  • E-mail: dpo@balancedpay.pro
  • Срок ответа на запросы субъектов ПД — 30 календарных дней (GDPR Art. 12)

3.Цели и основания обработки

  • Идентификация и аутентификация пользователей кабинета — на основании договора (GDPR Art. 6(1)(b))
  • Проведение KYC/AML-проверок — на основании закона (GDPR Art. 6(1)(c))
  • Обработка платежей и выплат — на основании договора с мерчантом
  • Маркетинговые рассылки — на основании отдельного согласия, отзывается в один клик

4.Категории обрабатываемых данных

  • Контактные данные (e-mail, телефон, имя)
  • Реквизиты компании (tax id, регистрационные данные, юридический адрес, банковские реквизиты)
  • Документы для верификации (загружаемые сканы)
  • Данные платежей: сумма, метод, идентификатор операции, рамочные параметры. PAN/CVV/CVC и track-data balancedpay не хранит — обработка происходит у банка-эквайера (PCI DSS scope reduction).

5.Сроки хранения

  • Платёжные операции — 5 лет (требование PCI DSS + applicable local law)
  • Audit log — 7 лет (PCI DSS req. 10.7)
  • Анонимизация удалённого аккаунта — 365 дней с момента DSAR-запроса

6.Права субъекта данных (GDPR Art. 15–22)

Вы можете в любой момент:

  • Скачать все свои данные одним JSON-файлом — /cabinet/security → «Скачать данные»
  • Запросить удаление аккаунта — /cabinet/security → «Удалить аккаунт»
  • Отозвать согласие на обработку — письмом DPO
  • Запросить перечень обрабатываемых данных, цели, сроки

7.Меры защиты

  • Хранение паролей — bcrypt cost 12; API-ключей — SHA-256
  • TLS 1.3 на всех публичных эндпоинтах; HSTS preload
  • JWT с TTL ≤ 8 ч., MFA TOTP для всех ролей
  • Audit log неизменяемый, ретеншн 7 лет
  • Соответствие: PCI DSS, ISO 27001, GDPR
  • Регулярные внешние пентесты и ASV-сканы

8.Передача данных третьим лицам

Передача только при наличии правового основания: банкам-эквайерам и операторам платёжных систем (для проведения платежа), контролирующим органам (по запросу), облачным провайдерам (с DPA-соглашением).

9.Изменения политики

О существенных изменениях уведомляем по e-mail и в кабинете за 14 дней до вступления в силу. Архив редакций — по запросу DPO.