Who we are
«Weft» = оператор payment hub MCP сервиса по адресу weft.91-98-116-15.nip.io.
Operating entity: pre-incorporation. Информация об операторе и data controller будет опубликована после официального оформления юр. лица.
До момента инкорпорации все запросы по защите данных адресуй через GitHub Issues: github.com/holasergio/weft/issues.
Scope
Эта политика покрывает обработку персональных данных на платформе Weft — для tenant'ов (devs/operators) и end-users сервисов через Weft.
What data we process
| Category | Examples | Source | Why |
|---|---|---|---|
| Account identifiers | Bearer токен, tenant alias, optional Telegram chat_id | At sign-up | Auth, notifications |
| Service usage logs | tenant + service id + amount + timestamp + request id | On each call | Billing, audit, fraud |
| On-chain addresses | HD-derived deposit/withdraw адреса | Derived from operator mnemonic + alias | Settlement on Base |
| Webhook delivery logs | tenant + URL + status | On webhook event | Visibility |
| Service provider metadata | service id, title, description, endpoint, owner, price | At registration | Public registry |
Мы не собираем:
- Реальные имена, адреса, банковские карты (нет fiat в V0.x).
- Cookies (нет website tracking).
- Email content или conversations.
- Browser fingerprints, behavioral analytics.
Legal basis (GDPR Art. 6)
- Создание аккаунта, аутентификация:
Performance of contract (6.1.b) - Usage logs, billing:
Performance of contract (6.1.b) - Audit trails, fraud prevention:
Legitimate interest (6.1.f) - Operational notifications via Telegram:
Consent (6.1.a)— opt-in only - Webhook delivery:
Performance of contract (6.1.b)
Retention
- Tenant balance state — until 1 year after account closure
- Ledger entries — 7 years (financial audit)
- On-chain transaction records — permanent (blockchain immutable)
- Webhook delivery logs — 90 days
- Backups (encrypted) — daily 14d, weekly 6mo, monthly 7y
Sharing
Мы делимся данными с:
- Blockchain network operators (Base, Ethereum) — implicit by nature of public blockchain.
- RPC providers (Alchemy, Infura, public Base RPC) — to read/write blockchain.
- Cloud infrastructure (Hetzner, EU/Germany) — server hosting. Hetzner is GDPR-compliant.
- Webhook destinations — выбираешь сам как tenant.
- Telegram — только если opt-in через
subscribe_telegram.
Мы не продаём пользовательские данные.
International transfers
Если ты в EU, твои данные обрабатываются преимущественно в Германии (Hetzner Nürnberg). On-chain operations involve global blockchain infrastructure которая crosses jurisdictions. RPC providers могут иметь US presence.
Для EU→US: standard contractual clauses (SCCs) apply where applicable.
Your rights (GDPR Art. 15-22)
Ты можешь:
- Access — запросить копию tenant-данных через GitHub Issue: открыть issue
- Rectify — исправить inaccurate data
- Erase — закрыть аккаунт; on-chain записи остаются by nature of blockchain (мы не можем удалить с цепи)
- Restrict — pause processing
- Portability — получить данные в machine-readable JSON
- Object — возразить против legitimate-interest processing
- Lodge a complaint — с твоей local data protection authority
Ответ в течение 30 дней.
Security
- Bearer токены hashed (roadmap V1); сейчас demo mode plaintext per-tenant
- HD master mnemonic — file mode 0600, server-side, никогда не передаётся
- HTTPS via Let's Encrypt (TLS 1.3)
- Rate limiting (60 req/min/IP)
- Daily encrypted backups (AES-256 GPG symmetric)
- SOC 2 Type 1 audit: planned within 3 months of incorporation
Smart contract caveat
Funds депонированные в WeftEscrow контракт governed by contract code, не нашей policy. Контракт open-source и externally auditable. У нас admin-полномочия (a) charge user balances on calls, (b) rotate operator key — но cannot withdraw user funds to ourselves или beyond routes encoded в контракте.
Changes
Material changes анонсируются:
- Email всем tenant'ам
- Telegram channel announcement
- GitHub repository changelog
Contact
- Запросы по защите данных: GitHub Issue
- Все security-incidents: Security advisory
- DPO будет назначен post-incorporation.