Політика конфіденційності TopMatch
Документ описує, які персональні дані збирає платформа TopMatch, з якою метою, як вони зберігаються та захищаються. Оператор дотримується вимог Загального регламенту захисту даних (GDPR) Європейського Союзу та законодавства Кюрасао у сфері обробки персональної інформації. Реєстрація або подальше використання сервісу означає згоду користувача з усіма положеннями цієї Політики та дозвіл на обробку даних у межах, необхідних для роботи платформи. Передача персональної інформації третім сторонам у маркетингових цілях без окремої згоди користувача не здійснюється.
1. Які дані збираються
TopMatch збирає три категорії даних: ідентифікаційні відомості користувача, технічні характеристики пристрою та інформацію про фінансові операції. Обсяг інформації обмежений мінімально необхідним для надання послуг, верифікації особи та виконання регуляторних вимог у сфері протидії відмиванню коштів. Відмова від надання окремих категорій даних може обмежити доступ до частини функціоналу — зокрема до депозитів або виведення виграшів.
1.1. Ідентифікаційні дані
При реєстрації фіксуються: повне ім'я та прізвище згідно з документами, дата народження для підтвердження повноліття, стать (опціонально), адреса електронної пошти як основний канал зв'язку, номер мобільного телефону у міжнародному форматі. У процесі KYC додатково збираються: номер документа, що посвідчує особу (паспорт або ID-карта), адреса проживання, громадянство та країна податкового резидентства. Фотокопії документів зберігаються у зашифрованому вигляді на захищених серверах з доступом виключно для співробітників служби безпеки та комплаєнсу.
1.2. Технічні дані пристрою
При кожному відвідуванні сайту автоматично фіксуються: IP-адреса для геолокації та блокування заборонених юрисдикцій, тип і версія браузера (Chrome, Firefox, Safari), операційна система (Windows, macOS, iOS, Android), роздільна здатність екрану, мовні налаштування. Cookies та локальне сховище застосовуються для збереження сесій авторизації, налаштувань профілю та історії переглянутих ігор. Відбиток пристрою (device fingerprint) формується з апаратних характеристик і використовується для виявлення мультиакаунтингу та шахрайства.
1.3. Фінансові та транзакційні дані
Під час депозитів фіксуються: платіжний метод (Visa, Mastercard, Bitcoin), останні 4 цифри номера карти або адреса криптогаманця, сума та валюта, дата й час операції, унікальний ідентифікатор платежу від провайдера. Повні реквізити карт на серверах TopMatch не зберігаються — обробка відбувається через сертифіковані PCI DSS платіжні шлюзи з токенізацією. Історія ставок включає: назву гри, розмір ставки, результат раунду, суму виграшу або програшу, RTP сесії.
1.4. Активність в особистому кабінеті
Система веде журнал дій у профілі: час входу та виходу, зміни налаштувань, активовані бонуси та промокоди, участь у турнірах і акціях. Історія ігрових сесій зберігається 5 років відповідно до ліцензійних вимог. Переписка з підтримкою через чат, email або Telegram архівується для контролю якості та вирішення конфліктів; записи можуть використовуватися як доказова база при розгляді скарг.
2. Цілі обробки даних
Персональна інформація обробляється виключно у межах, необхідних для надання послуг, дотримання законодавства та захисту інтересів обох сторін. Використання даних в інших цілях без окремої згоди користувача не допускається. Персоналізація контенту здійснюється на основі аналізу ігрових вподобань з можливістю відмови через налаштування приватності.
2.1. Верифікація особи та безпека
Процедура KYC (Know Your Customer) є обов'язковою вимогою ліцензії Curacao eGaming для запобігання відмиванню коштів, фінансуванню тероризму та шахрайству. Перевірка підтверджує, що акаунт належить реальній особі віком 18+, яка має право на участь в азартних іграх у своїй юрисдикції. Зіставлення документів, платіжних реквізитів і IP-адрес виявляє спроби мультиакаунтингу для зловживання бонусною системою.
2.2. Проведення платежів
Фінансові дані необхідні для обробки депозитів і виведень через інтегровані платіжні системи. Інформація передається провайдерам (Visa, Mastercard, криптобіржі) через захищені API з шифруванням TLS 1.3. Історія транзакцій зберігається 7 років відповідно до вимог податкового законодавства Кюрасао та міжнародних стандартів AML. Автоматичні системи моніторингу аналізують патерни операцій для виявлення ознак структурування платежів.
2.3. Персоналізація сервісу
Аналіз ігрових вподобань формує рекомендації слотів і настільних ігор на основі раніше запущених позицій та часу, проведеного в різних категоріях каталогу. Бонусні пропозиції таргетуються відповідно до рівня активності, середніх ставок і обраних провайдерів. Налаштування інтерфейсу (мова, валюта, улюблені ігри) синхронізуються між пристроями. Персоналізовані рекомендації можна вимкнути в налаштуваннях приватності без обмеження доступу до основного функціоналу.
2.4. Виконання регуляторних вимог
Gaming Services Provider N.V. як регулятор Кюрасао має право запитувати доступ до даних користувачів, ігрових раундів і транзакцій для аудиту відповідності ліцензійним умовам. Податкові органи отримують агреговані звіти про виплачені виграші без деталізації по окремих акаунтах — крім випадків офіційних розслідувань. Правоохоронні органи отримують доступ до персональних даних лише на підставі судового ордеру або запиту в рамках процедур міжнародної правової допомоги. Про підозрілі транзакції оператор зобов'язаний повідомляти фінансовий моніторинг (FIU) Кюрасао відповідно до вимог AML.
3. Зберігання та захист даних
Персональні дані розміщуються на захищених серверах у дата-центрах рівня Tier III з резервним живленням і цілодобовою фізичною охороною. Доступ до баз даних надається лише авторизованим співробітникам через багатофакторну автентифікацію з логуванням усіх дій. Щоденне резервне копіювання з шифруванням AES-256 та зберіганням копій на географічно розподілених серверах захищає від втрати даних через техногенні події або кібератаки.
3.1. Шифрування та захищені протоколи
З'єднання між браузером і серверами захищене протоколом HTTPS з SSL-сертифікатом TLS 1.3 і 256-бітним ключем. Паролі зберігаються у хешованому вигляді з використанням алгоритму bcrypt з індивідуальною сіллю — навіть адміністратори не мають доступу до вихідних значень. Фінансові дані токенізуються при передачі до платіжних провайдерів: замість реквізитів карт передаються унікальні ідентифікатори без можливості зворотного декодування. Двофакторна автентифікація через Google Authenticator або SMS-коди захищає акаунт навіть у разі компрометації пароля.
3.2. Терміни зберігання
Ідентифікаційна інформація та документи KYC зберігаються 7 років з моменту останньої активності в акаунті відповідно до вимог ліцензії та податкового законодавства. Записи ігрових раундів і транзакцій архівуються на 5 років для розгляду спорів і аудитів регулятора. Cookies та дані сесій видаляються через 30 днів неактивності або при ручному очищенні кешу. Після закриття акаунта персональні дані видаляються протягом 90 днів, за винятком інформації, обов'язкової до зберігання за законом: документів KYC та історії транзакцій (7 років).
3.3. Фізичні та цифрові заходи безпеки
Дата-центри обладнані системами біометричного контролю доступу, відеоспостереженням 24/7 і металодетекторами. Сервери розміщені у захищених стійках із окремими замками та сигналізацією. Мережева безпека забезпечується багатошаровими фаєрволами, системами виявлення та запобігання вторгненням (IDS/IPS) і DDoS-захистом. Регулярні пентести та аудити вразливостей проводяться зовнішніми кібербезпековими компаніями.
4. Передача даних третім сторонам
TopMatch не продає, не здає в оренду і не передає персональні дані у маркетингових цілях без окремої письмової згоди користувача. Передача можлива лише у випадках, передбачених цією Політикою: платіжним провайдерам для проведення транзакцій, провайдерам ігрового ПЗ для роботи слотів і live-казино, регуляторним органам для виконання ліцензійних вимог. Усі треті сторони зобов'язані дотримуватися стандартів конфіденційності не нижчих за вимоги цієї Політики.
4.1. Платіжні провайдери
Обробка депозитів і виведень здійснюється через сертифіковані PCI DSS шлюзи Visa, Mastercard, Skrill, Neteller, Coinbase, які отримують мінімально необхідний обсяг даних для авторизації. Повні реквізити карт на серверах TopMatch не зберігаються — кожному платіжному методу присвоюється унікальний токен. Криптовалютні транзакції обробляються через blockchain без передачі особистих даних завдяки псевдонімності адрес. Платіжні провайдери можуть запитувати додаткові документи для власних KYC-процедур.
4.2. Регулятори та ліцензійні органи
Gaming Services Provider N.V. (Кюрасао) має право запитувати повний доступ до даних користувачів і фінансових операцій для перевірки відповідності ліцензії. Податкові органи Кюрасао отримують агреговані звіти про виплачені виграші без деталізації по окремих акаунтах — крім випадків офіційних розслідувань. Організації фінансового моніторингу (FIU) отримують повідомлення про підозрілі транзакції з даними користувача за наявності ознак незаконних схем.
4.3. Технічні партнери та інфраструктура
Хостинг-провайдери (AWS, Google Cloud) надають серверну інфраструктуру з обмеженим доступом до зашифрованих баз даних без можливості читання вмісту. CDN-сервіси (Cloudflare) кешують статичний контент і фільтрують DDoS-атаки без доступу до персональних даних. Email-провайдери (SendGrid, Amazon SES) обробляють транзакційні листи з шифруванням каналів передачі. Аналітичні платформи (Google Analytics) збирають анонімізовані дані про відвідуваність без прив'язки до персональних ідентифікаторів.
5. Cookie-файли та аналітика
Сайт використовує cookies для збереження сесій авторизації, налаштувань інтерфейсу, історії переглянутих ігор та аналізу поведінки. Файли поділяються на необхідні для роботи сервісу, функціональні для зручності та аналітичні для статистики. Дозволами на використання cookies можна керувати через налаштування браузера або банер згоди при першому відвідуванні. Блокування необхідних cookies може призвести до неможливості авторизації та втрати налаштувань.
5.1. Функціональні cookies
Файли сесій зберігають токен авторизації для автоматичного входу без повторного введення логіна та пароля в межах обраного терміну «Запам'ятати мене». Налаштування інтерфейсу (мова, валюта, тема) зберігаються у локальному сховищі для синхронізації між відвідуваннями. Список улюблених ігор і нещодавно запущених слотів кешується для швидкого доступу. Ці cookies є критично важливими для роботи сервісу і не можуть бути вимкнені без втрати базового функціоналу.
5.2. Аналітичні cookies
Google Analytics відстежує анонімізовані дані про відвідуваність сторінок, тривалість сесій і джерела трафіку для оптимізації маркетингу та покращення конверсії. Heatmap-інструменти (Hotjar) фіксують рухи курсору, кліки та прокрутки для аналізу UX/UI і виявлення проблемних елементів. A/B-тестування розподіляє користувачів між версіями сторінок для порівняння ефективності рішень. Аналітичні дані агрегуються без прив'язки до персональних ідентифікаторів і зберігаються 26 місяців відповідно до політики Google Analytics.
5.3. Управління дозволами
Банер при першому відвідуванні дозволяє обрати категорії cookies: лише необхідні, функціональні, аналітичні або всі одночасно. Змінити налаштування можна у будь-який момент через розділ «Cookies» у футері або через меню браузера. Повне блокування призведе до неможливості авторизації та обмеження функціоналу кабінету. Рекомендується залишити активними мінімум необхідні та функціональні файли з можливістю вимкнення аналітичних.
6. Права користувача щодо персональних даних
Відповідно до GDPR кожен користувач має право на доступ до своїх даних, їх коригування, видалення або обмеження обробки. Запити розглядаються протягом 30 днів з моменту отримання письмового звернення на [email protected] з підтвердженням особи через документи KYC. Видалення інформації, яку необхідно зберігати за законодавством (верифікаційні документи, транзакції за останні 7 років), може бути відхилено. Право на портативність даних дозволяє отримати копію особистої інформації у форматі CSV або JSON для передачі іншому сервісу.
6.1. Доступ до даних
Повний звіт про зібрану інформацію надсилається на запит через [email protected] із зазначенням email та імені акаунта. Протягом 30 днів оператор формує архів з копіями документів KYC, транзакцій, ігрових сесій і переписки з підтримкою у форматах PDF або CSV. Звіт містить перелік категорій даних, цілі їх обробки, список третіх сторін і терміни зберігання. Один запит на рік — безкоштовно; додаткові звернення можуть тарифікуватися (до 50 EUR).
6.2. Коригування даних
Email, номер телефону та адресу можна змінити самостійно в розділі «Профіль» з підтвердженням через SMS або email-посилання. ПІБ і дата народження після проходження KYC не редагуються самостійно — зміна можлива лише через підтримку з наданням підтверджуючих документів (наприклад, при зміні прізвища після одруження). Платіжні методи оновлюються через додавання нового реквізиту з автоматичною деактивацією старого після 90 днів неактивності.
6.3. Видалення та обмеження обробки
Запит на видалення акаунта та даних подається на [email protected] з підтвердженням особи. Акаунт деактивується протягом 72 годин, повне видалення відбувається через 90 днів. Інформація, обов'язкова до зберігання за законом (KYC-документи, транзакції), залишається на термін до 7 років. Для тимчасової заморозки обробки без видалення акаунта — звернення до підтримки із зазначенням причини та бажаного терміну.
7. Відповідальність щодо захисту даних
TopMatch вживає всіх розумних заходів для захисту персональних даних — шифрування, багатофакторна автентифікація, регулярні аудити безпеки. Разом з тим платформа не може гарантувати абсолютний захист від зовнішніх кібератак або злому через вразливості третіх сторін. Відповідальність за компрометацію даних внаслідок фішингу, кейлоггерів на пристрої користувача або розголошення пароля третім особам самим користувачем оператор не несе. Рекомендується використовувати унікальні складні паролі, активувати 2FA та не переходити за посиланнями з підозрілих листів.
8. Оновлення Політики конфіденційності
Оператор має право вносити зміни до Політики для відповідності новим регуляторним вимогам, покращення захисту або інтеграції нових сервісів. Повідомлення про суттєві зміни надсилається на email не менш ніж за 14 днів до їх набуття чинності з коротким описом оновлень. Актуальна версія публікується на сайті TopMatch із датою останньої редакції у верхній частині. Продовження використання сервісу після набуття змін чинності означає автоматичне прийняття нових умов. При незгоді — закрити акаунт і подати запит на видалення даних протягом 30 днів.
9. Контактна інформація
Питання щодо обробки персональних даних і запити на доступ до інформації надсилайте на [email protected] — відповідь протягом 30 днів. З питань безпеки акаунта (підозра на злом, несанкціонований доступ) звертайтеся до чату підтримки 24/7 або на [email protected] — обробка протягом 24 годин. Офіційні запити від регуляторів та правоохоронних органів надсилаються на [email protected] з реквізитами організації та правовими підставами для доступу.