Privacy Policy

Политика конфиденциальности

Действует с 21 мая 2026 г.

Avenux («мы», «нас», «сервис») уважает вашу приватность. Этот документ объясняет, какие данные мы собираем при использовании сайта avenux.pro и приложения lk.avenux.pro (далее вместе — «Сервис»), зачем мы их собираем, с кем делимся и какие у вас есть права.

Используя Сервис, вы соглашаетесь с условиями этой Политики. Если вы не согласны — пожалуйста, не используйте Сервис.

1. Кратко (TL;DR)

• Мы НЕ требуем имя, паспорт, селфи, ИНН или другие KYC-документы.
• Минимум данных — только то, без чего сервис не работает.
• Для горячих кошельков ключи шифруются на сервере (Argon2id + AES-256-GCM) и недоступны без вашей расшифровки.
• Для холодных кошельков ключи никогда не покидают ваш браузер.
• Все транзакции TRON публичны по своей природе и навсегда сохраняются в блокчейне — мы не можем их «удалить».
• Мы не продаём ваши данные третьим лицам. Никогда.

2. Какие данные мы собираем

2.1. Данные, которые вы предоставляете напрямую

• Логин и пароль. Логин хранится в открытом виде, пароль — только в виде криптографического хэша (Argon2id). Мы НЕ можем узнать или восстановить ваш пароль.
• Имена кошельков (label). Например «Основной», «Запасной» — нужны вам для удобства.
• Пароль от backup seed-фразы (только для холодных кошельков с backup на сервере). Никогда не покидает ваш браузер в открытом виде, используется только для расшифровки seed на устройстве. Мы храним лишь зашифрованный blob.
• Telegram chat_id — если вы привязали Telegram для 2FA или уведомлений о входе. Это нужно чтобы знать, куда отправить код.

2.2. Данные, которые собираются автоматически

• IP-адрес и user-agent — для защиты от атак (rate limiting, fail2ban), журналирования и привязки сессии. Хранятся в server-логах nginx до 30 дней.
• Метаданные сессии — время логина, идентификатор сессии (jti), привязка к IP. Нужны для обнаружения смены IP в активной сессии и принудительного перелогина.
• WebAuthn / passkey credential ID — публичная часть ключа, привязанная к вашему устройству. Сам ключ остаётся в безопасном хранилище устройства (Secure Enclave, TPM, etc.) — мы его не видим.
• Адреса кошельков и история транзакций. Адреса сгенерированы из ваших ключей. История транзакций индексируется нашим TRON-узлом и хранится в нашей БД для отображения в интерфейсе.

2.3. Данные, которые мы НЕ собираем

• Имя, фамилия, паспортные данные.
• Адрес проживания, номер телефона.
• Геолокация (мы НЕ запрашиваем permissions у браузера).
• Контакты вашего телефона.
• Биометрия — Face ID/Touch ID обрабатывается локально на устройстве через WebAuthn.
• Доступ к камере — только если вы сами тапнули кнопку «QR-сканер».

3. Как мы используем ваши данные

• Аутентифицировать вас и поддерживать сессию.
• Подписывать транзакции и взаимодействовать с блокчейном TRON.
• Списывать комиссию Avenux Energy (см. Terms of Use §6) и арендовать газ через energy market.
• Отправлять уведомления о входящих переводах (push в браузер и/или Telegram).
• Защищать от взлома, спама и финансовых злоупотреблений.
• Отвечать на ваши обращения в поддержку.
• Выполнять обязательства по применимому закону.

4. Хранение ключей и seed-фраз

Это самая важная секция — пожалуйста, прочтите внимательно.

4.1. Горячий (custodial) кошелёк

Seed-фраза генерируется на нашем сервере, шифруется симметричным ключом (AES-256-GCM с KDF Argon2id), и хранится в зашифрованном виде в нашей БД. Ключ шифрования хранится отдельно в защищённом окружении сервера. Сервер использует ключ при подписи транзакции от вашего имени — поэтому горячий кошелёк удобен (не нужно ничего подписывать вручную), но требует доверия к нам как к оператору сервиса.

В случае компрометации нашего сервера злоумышленник теоретически может получить доступ к шифрованным seed-blob'ам и к ключу шифрования. Поэтому: не держите в горячем кошельке больше, чем готовы потерять.

4.2. Холодный (non-custodial) кошелёк

Seed-фраза генерируется и шифруется в вашем браузере вашим личным паролем (Argon2id + AES-256-GCM). Мы видим только зашифрованный blob и параметры KDF (соль, итерации, IV). Без вашего пароля расшифровать невозможно — ни нам, ни любой третьей стороне.

Если вы забудете пароль или потеряете seed — мы НЕ сможем восстановить доступ. Это фундаментальное свойство non-custodial крипто-кошельков.

5. С кем мы делимся данными

5.1. Никогда не передаём:

• Третьим лицам для рекламы или маркетинга.
• Партнёрам по сторонним программам (affiliate, ad networks).
• Брокерам данных (data brokers).

5.2. Делимся с поставщиками, без которых сервис не работает:

• Хостинг-провайдер — на чьих серверах развёрнут наш бэкенд и БД.
• Telegram — если вы привязали аккаунт. Им передаётся ваш chat_id и текст сообщения с кодом 2FA или уведомлением.
• Сеть TRON — все транзакции публичны по природе блокчейна. Любой человек может увидеть ваши адреса и историю на tronscan.org.
• Energy market — для аренды energy/bandwidth под ваши USDT-переводы (если вы выбрали Avenux Energy). Им передаётся: ваш кошелёк-источник и нужное количество energy.

5.3. Раскрытие по требованию закона

В случае законного запроса от компетентных государственных органов мы обязаны передать данные, которые у нас есть. Поскольку мы не собираем имя/паспорт, объём раскрываемых данных ограничен: логин, IP-логи, адреса кошельков, история транзакций (которая и так публична on-chain).

6. Файлы cookie и аналогичные технологии

Мы используем только функциональные cookie:

• access_token — JWT, httpOnly + Secure + SameSite=Lax. Используется для авторизации.
• CSRF token — против межсайтовой подделки запросов.

Мы НЕ используем cookie для рекламы, ретаргетинга или отслеживания вас между сайтами. Мы НЕ подключаем Google Analytics, Meta Pixel или аналогичные третьесторонние трекеры.

7. Хранение и удаление данных

• Аккаунт и кошельки — пока активны. После удаления аккаунта данные стираются в течение 30 дней (кроме on-chain транзакций — их нельзя удалить).
• Server-логи (nginx access/error, backend audit) — до 30 дней.
• Метрики и snapshots — до 90 дней.
• On-chain транзакции — навечно (свойство блокчейна, не наш выбор).

8. Безопасность

Мы применяем следующие меры:

• HTTPS (TLS 1.3) для всех соединений.
• Argon2id KDF + AES-256-GCM для шифрования seed.
• WebAuthn / passkey как опциональный 2FA-механизм.
• Telegram-бот 2FA с подтверждением через эмодзи.
• Rate limiting и fail2ban против перебора паролей.
• IP-pin для сессий — смена IP мгновенно инвалидирует токен.
• Регулярные бэкапы базы, автоматический failover.

Тем не менее, никакая система не защищена на 100%. Мы не можем гарантировать абсолютную безопасность. См. также раздел «Риски» в Terms of Use.

9. Ваши права

Вы можете в любой момент:

• Посмотреть свои данные — всё что мы храним, видно в интерфейсе lk.avenux.pro.
• Изменить логин, пароль, label кошельков, привязку Telegram, passkey.
• Экспортировать seed-фразу холодного кошелька (если знаете пароль) и историю транзакций.
• Удалить аккаунт — напишите в @avenux_pro. Перед удалением выведите все средства, иначе они станут недоступны.

Если вы находитесь в юрисдикции, где применяется GDPR, 152-ФЗ или аналогичное законодательство — у вас могут быть дополнительные права (на портабельность данных, ограничение обработки и т.д.). Свяжитесь с нами для реализации этих прав.

10. Возраст пользователей

Сервис не предназначен для лиц младше 18 лет. Используя Avenux, вы подтверждаете, что вам исполнилось 18 лет и вы юридически дееспособны. Если вы узнали, что несовершеннолетний пользуется Сервисом — пожалуйста, сообщите в @avenux_pro, мы заблокируем аккаунт.

11. Международная передача данных

Наши сервера расположены в Европе. Если вы подключаете Telegram для уведомлений, ваши данные дополнительно проходят через серверы Telegram, расположение которых определяется этим сервисом и не контролируется нами.

12. Изменения этой Политики

Мы можем обновлять эту Политику. О существенных изменениях мы уведомим через интерфейс (баннер в LK) или в Telegram-канале. Продолжение использования Сервиса после обновления означает согласие с новой редакцией.

13. Контакты

Вопросы по приватности, запросы на удаление, отчёты о нарушениях:

• Telegram: @avenux_pro

Этот документ описывает работу сервиса по состоянию на дату публикации. Он не является публичной офертой и не заменяет применимый закон. При возникновении противоречия между этим документом и обязательным законодательством — применяется закон.