Option Defense (Платная версия, по всему миру) — Версия v5.1 — Последнее обновление: 3 апреля 2026 г.
N. A. Invest GmbH
Ratinger Str. 3
40213 Дюссельдорф, Германия
Торговый реестр: HRB 96136, Районный суд (Amtsgericht) Дюссельдорфа
Контакт по вопросам защиты данных: privacy@nainv.de
Сайт: https://option-defense.com
N. A. Invest GmbH ("Компания", "мы", "нас", "наш") является оператором данных в смысле статьи 4(7) Общего регламента по защите данных ("GDPR") в отношении всей обработки персональных данных, описанной в настоящей Политике конфиденциальности.
Настоящая Политика конфиденциальности применяется ко всей обработке персональных данных в связи с:
Настоящая Политика конфиденциальности применяется ко всем пользователям по всему миру независимо от местонахождения. Если в настоящей Политике есть ссылки на конкретные правовые режимы (например, GDPR, CCPA/CPRA), такие положения применяются только к тем пользователям, к которым эти режимы юридически применимы.
Настоящую Политику конфиденциальности следует читать совместно с Лицензионным соглашением с конечным пользователем ("EULA"), которое входит в установочный пакет ПО и также может быть доступно на сайте Компании по адресу https://option-defense.com. Определённые термины, используемые в настоящей Политике конфиденциальности (включая "Software", "Subscription", "Subscription Fee", "Installation Identifier", "Consumer", "Business User" и "User Account"), имеют значения, установленные в EULA, если иное прямо не определено здесь.
Компания придерживается принципа минимизации данных. Следующие категории данных не собираются, не хранятся и не передаются на серверы Компании:
ПО и инфраструктура лицензирования могут применять автоматизированные технические средства контроля (например, ограничение частоты запросов, проверку активации или механизмы предотвращения злоупотреблений). Эти меры предназначены исключительно для защиты целостности сервиса и не являются автоматизированным принятием решений, создающим правовые или аналогично значимые последствия, в смысле статьи 22 GDPR.
Компания не анализирует, не оценивает и не профилирует торговые стратегии, решения или финансовое поведение пользователя. Персональные данные не обрабатываются в целях инвестиционного анализа, оптимизации торговли или финансового профилирования.
| Категория | Элементы данных | Цель | Правовое основание (ЕС) |
|---|---|---|---|
| Данные учётной записи | Адрес электронной почты (полученный при checkout), идентификатор клиента Stripe, идентификатор подписки, идентификаторы лицензии (где применимо) | Предоставление подписки, управление лицензией, биллинг и коммуникации | Ст. 6(1)(b) GDPR — исполнение договора |
| Биллинговые данные | Данные платёжного инструмента и платёжные реквизиты передаются Пользователем напрямую в Stripe и не хранятся на серверах Компании. Чувствительные платёжные данные Компания не хранит. Компания может просматривать в Stripe отдельные записи, связанные с биллингом, включая ID транзакции, статус подтверждения оплаты, сведения по инвойсам и номер VAT, если применимо, в целях администрирования биллинга, выставления счетов, налогового комплаенса и обработки возвратов. Серверы Компании автоматически получают через checkout webhook только идентификатор клиента Stripe (хранится в хешированном виде, как описано в разделе 9.1) и адрес электронной почты, указанный при checkout (относится к данным учётной записи и также хранится в хешированном виде) | Обработка Subscription Fee, выставление счетов, налоговый комплаенс, обработка возвратов | Ст. 6(1)(b) GDPR — исполнение договора; ст. 6(1)(c) GDPR — правовая обязанность (налоги/бухгалтерия) |
| Идентификатор установки | Случайно сгенерированный псевдонимный идентификатор, передаваемый на серверы Компании при активации и проверке; Компания хранит только псевдонимизированное представление идентификатора. Не выводится из оборудования, fingerprinting ОС или характеристик устройства | Активация лицензии, проверка, предотвращение злоупотреблений, контроль одновременного использования | Ст. 6(1)(b) GDPR — исполнение договора; ст. 6(1)(f) GDPR — законный интерес (предотвращение мошенничества/злоупотреблений) |
| Данные проверки лицензии | Временные метки активации, статус лицензии, временная метка принятия EULA, версия ПО, одноразовый nonce | Предоставление лицензии, периодическая проверка, соблюдение условий EULA | Ст. 6(1)(b) GDPR — исполнение договора |
| Серверные лог-данные | IP-адрес, строка user-agent, временные метки доступа, тип запроса | Техническая поддержка, мониторинг безопасности, ограничение частоты запросов, предотвращение злоупотреблений | Ст. 6(1)(f) GDPR — законный интерес (безопасность, целостность сервиса) |
| Коммуникации поддержки | Адрес электронной почты, содержание сообщения, добровольно предоставленные вложения, временные метки; любое имя, подпись или иная идентифицирующая информация, добровольно включённая Пользователем в коммуникацию | Ответ на обращения, техническая поддержка, урегулирование жалоб | Ст. 6(1)(b) GDPR — исполнение договора |
| Данные о маркетинговом согласии | Адрес электронной почты, временная метка согласия, статус согласия, временная метка отказа | Отправка маркетинговых сообщений (обновления продукта, анонсы функций) | Ст. 6(1)(a) GDPR — согласие; § 7(3) UWG для существующих клиентов |
| Данные безопасности и предотвращения мошенничества | Счётчики rate limiting (по IP, по установке), неудачные попытки активации, записи об отзыве | Предотвращение несанкционированного доступа, выявление злоупотреблений, обеспечение соблюдения лицензионных условий | Ст. 6(1)(f) GDPR — законный интерес (безопасность, предотвращение мошенничества) |
| Данные проверки обновлений | Проверка manifest: только стандартные HTTP-заголовки (user-agent, версия ПО) — идентификаторы лицензии не передаются. Авторизация загрузки: лицензионный ключ, идентификатор установки, версия ПО | Предоставление обязательных обновлений безопасности и соответствия | Ст. 6(1)(b) GDPR — исполнение договора (обязанность поддерживать соответствие по Директиве о цифровом контенте); ст. 6(1)(f) GDPR — законный интерес (безопасность) |
ПО может генерировать и обрабатывать технический идентификатор, необходимый для активации лицензии, её проверки и поддержания целостности сервиса.
Этот идентификатор не выводится из характеристик оборудования, не идентифицирует напрямую физическое лицо и не используется для идентификации Пользователя.
Компания не использует этот идентификатор для отслеживания через сторонние сервисы.
Компания использует этот идентификатор исключительно в целях лицензирования, безопасности и предотвращения злоупотреблений, как описано в настоящей Политике конфиденциальности.
Для Пользователей, к которым применяется GDPR, Компания обрабатывает персональные данные на следующих правовых основаниях:
Обработка, необходимая для исполнения договора Subscription, включая:
Обработка, необходимая для соблюдения правовых обязательств, которым подчиняется Компания, включая:
Обработка, необходимая для законных интересов Компании, при условии, что они не перевешиваются правами и свободами Пользователя. Конкретные законные интересы следующие:
Пользователь может возражать против обработки на основании законных интересов (см. раздел 11).
Компания провела тест на баланс интересов, чтобы убедиться, что её законные интересы не перевешивают права и свободы Пользователей.
Маркетинговые коммуникации отправляются только при предварительном согласии Пользователя либо, для существующих клиентов, на основании исключения для прямого маркетинга по § 7(3) UWG. Согласие можно отозвать в любое время (см. раздел 14).
ПО содержит встроенный механизм проверки обновлений, необходимый для предоставления обновлений безопасности и обновлений соответствия, требуемых применимым правом, включая Директиву о цифровом контенте (Directive (EU) 2019/770). Этот механизм не может быть отключён там, где это необходимо для поддержания договорного соответствия и безопасности ПО.
При проверке обновлений не передаются данные сверх описанных в настоящем разделе. В частности, в рамках процесса проверки обновлений не собираются и не передаются торговые данные, информация о портфеле или параметры, настроенные Пользователем.
ПО выполняет проверки обновлений, необходимые для предоставления обновлений безопасности и поддержания юридического соответствия ПО. Передаются только минимальные технические данные, строго необходимые для этой цели. При проверках обновлений не передаются торговые данные, данные портфеля или пользовательские настройки.
ПО может передавать ограниченные операционные данные, необходимые для лицензирования и целостности сервиса. Такие данные не включают торговые данные, данные портфеля, финансовую активность или брокерские учётные данные. Эти данные не используются для поведенческого анализа, профилирования, маркетинга или монетизации.
| Категория данных | Срок хранения | Действие по истечении срока |
|---|---|---|
| Данные учётной записи | Срок Subscription + 3 года (общий срок исковой давности по § 195 BGB) | Анонимизируются или удаляются после истечения срока. Пользователь может запросить более раннее удаление; Subscription будет прекращена после обработки |
| Биллинговые и инвойсные данные | 10 лет с конца календарного года создания (§ 147 AO, § 257 HGB) | Удаляются после обязательного срока хранения. Более раннее удаление невозможно из-за обязательств по налоговому хранению |
| Идентификатор установки (HMAC на стороне сервера) | Срок активных лицензионных отношений и далее столько, сколько необходимо для безопасности, предотвращения мошенничества и разрешения споров, но не более 3 лет после прекращения Subscription | Удаляется или анонимизируется после истечения срока. Пользователь может запросить более раннее удаление через privacy@nainv.de; лицензия станет неработоспособной |
| Аудит-логи активации и лицензирования | Минимум 90 дней; дольше, если это требуется законом или необходимо для безопасности, комплаенса либо разрешения споров (п. 4.7 EULA) | Анонимизируются или удаляются после истечения срока |
| Серверные логи (IP-адрес, user-agent) | 90 дней с последующим пересмотром на предмет удаления или анонимизации. Логи, релевантные для безопасности, могут храниться дольше 90 дней, но не более 12 месяцев, если это необходимо для продолжающихся расследований, incident response или судебных разбирательств, и будут удалены или анонимизированы, когда цель отпадёт либо будет достигнут максимум 12 месяцев | Проверяются и удаляются либо анонимизируются после применимого срока хранения |
| Коммуникации поддержки | Срок Subscription + 3 года (срок давности) с периодическим пересмотром. Более длительное хранение допускается на время текущего урегулирования спора, судебного требования или при наличии правовой обязанности хранения; данные будут незамедлительно удалены или анонимизированы, как только цель отпадёт | Удаляются или анонимизируются после истечения срока, если дальнейшее хранение не требуется для продолжающегося урегулирования спора или правовой обязанности |
| Записи о маркетинговом согласии | До отзыва согласия + 3 года (доказательство согласия) | Запись о статусе согласия хранится в доказательных целях; адрес электронной почты немедленно удаляется из маркетинговых списков после отказа |
| Данные безопасности и предотвращения мошенничества | 12 месяцев с периодическим пересмотром. Срок хранения может быть продлён на время продолжающегося расследования, процедуры предотвращения мошенничества или судебного разбирательства, если требуется дальнейшее хранение; данные будут незамедлительно удалены или анонимизированы, когда цель отпадёт | Удаляются или анонимизируются после истечения срока, если дальнейшее хранение не требуется для активного расследования или судебного разбирательства |
Платежи Subscription Fee обрабатываются Stripe, Inc. ("Stripe"), 354 Oyster Point Blvd, South San Francisco, CA 94080, United States. Stripe действует от нашего имени как обработчик данных, а также как самостоятельный контролёр данных для собственных целей предотвращения мошенничества и соблюдения нормативных требований.
Когда Пользователь вводит платёжную информацию (например, данные банковской карты или биллинговые реквизиты), эти данные передаются непосредственно в Stripe и не хранятся на серверах Компании. Чувствительные платёжные данные (включая полный номер карты и код проверки карты) Компания не хранит.
Компания может иметь доступ в Stripe к отдельным биллинговым записям — включая ID транзакции, статус подтверждения оплаты, инвойсные записи и номер VAT, если применимо, — для администрирования биллинга, выставления счетов, налогового комплаенса, обработки возвратов и поддержки клиентов. Эти записи хранятся в системах Stripe и автоматически не передаются и не сохраняются на серверах Компании.
Серверы Компании автоматически получают через checkout webhook только идентификатор клиента Stripe и адрес электронной почты, указанный при checkout. Адрес электронной почты относится к данным учётной записи (см. раздел 4). И идентификатор клиента Stripe, и адрес электронной почты хранятся на серверах Компании в хешированном виде; исходные значения в открытом виде на серверах Компании не сохраняются. Подробнее о мерах безопасности см. в разделе 13.
Политика конфиденциальности Stripe доступна по адресу: https://stripe.com/privacy
Компания может привлекать субпроцессоров для хостинга, доставки электронной почты и инфраструктуры поддержки клиентов. Актуальный список субпроцессоров предоставляется по запросу на privacy@nainv.de. Каждый субпроцессор связан соглашением об обработке данных в соответствии со статьёй 28 GDPR.
Компания не передаёт персональные данные в Interactive Brokers ("IBKR"). Взаимодействие Пользователя с IBKR происходит напрямую между устройством Пользователя и API IBKR, без участия Компании. Компания не получает доступ, не хранит и не обрабатывает учётные данные IBKR, информацию о счёте или торговые данные Пользователя. IBKR не является субпроцессором Компании.
В соответствии со статьёй 13(1)(e) GDPR Компания раскрывает персональные данные следующим категориям получателей:
Stripe, Inc. для обработки платежей Subscription Fee (подробности см. в разделе 9.1).
Сторонние поставщики серверной инфраструктуры, cloud-hosting и content delivery services, необходимых для работы систем активации, лицензирования и обновлений ПО.
Сторонние поставщики транзакционной доставки электронной почты (например, биллинговые уведомления, ответы поддержки) и инфраструктуры клиентской поддержки.
При наличии необходимости — сторонние поставщики мониторинга безопасности, агрегации логов или систем обнаружения вторжений.
Персональные данные могут раскрываться налоговым органам, регулирующим органам, правоохранительным органам или судам, если Компания юридически обязана сделать это по применимому праву.
Все получатели, действующие как обработчики данных, связаны соглашениями об обработке данных в соответствии со статьёй 28 GDPR. Полный и актуальный список отдельных субпроцессоров доступен по запросу на privacy@nainv.de.
Согласно GDPR Пользователи обладают следующими правами в отношении своих персональных данных:
Пользователь имеет право получить подтверждение того, обрабатываются ли относящиеся к нему персональные данные, и, если это так, доступ к таким данным и информации, указанной в ст. 15(1) GDPR.
Пользователь имеет право требовать исправления неточных персональных данных и дополнения неполных персональных данных.
Пользователь имеет право требовать удаления персональных данных, если применимо одно из оснований ст. 17(1) GDPR. Удаление данных идентификатора установки (HMAC на стороне сервера) сделает лицензию неработоспособной. В удалении биллинговых данных может быть отказано, если их хранение требуется законом (§§ 147 AO, 257 HGB).
Пользователь имеет право требовать ограничения обработки, если применимо одно из условий ст. 18(1) GDPR.
Пользователь имеет право получить персональные данные, предоставленные Компании, в структурированном, общепринятом и машиночитаемом формате (например, JSON или CSV) и передать эти данные другому контролёру, если обработка основана на согласии или договоре и осуществляется автоматизированными средствами.
Пользователь имеет право в любое время возразить против обработки, основанной на законных интересах (ст. 6(1)(f) GDPR). Компания прекратит обработку, если только не докажет наличие убедительных законных оснований, перевешивающих интересы, права и свободы Пользователя, либо необходимость обработки для установления, осуществления или защиты правовых требований.
Если обработка основана на согласии, Пользователь может отозвать его в любое время. Отзыв не влияет на законность обработки, осуществлявшейся на основании согласия до его отзыва.
ПО и инфраструктура лицензирования могут применять автоматизированные технические меры контроля (например, rate limiting, проверку активации или механизмы предотвращения злоупотреблений). Эти меры предназначены исключительно для защиты целостности сервиса и не являются автоматизированным принятием решений, создающим правовые или аналогично значимые последствия, в смысле ст. 22 GDPR. Ни одно решение, создающее правовые последствия или аналогично существенно затрагивающее Пользователя, не основывается исключительно на автоматизированной обработке, включая профилирование.
Запросы можно направлять по адресу: privacy@nainv.de. Компания ответит в течение одного (1) месяца с момента получения, с возможным продлением ещё на два (2) месяца, если это необходимо из-за сложности или количества запросов (ст. 12(3) GDPR). Компания может проверить личность заявителя до обработки запроса. Запросы бесплатны, если только они не являются явно необоснованными или чрезмерными.
Компания находится в Германии. Персональные данные могут передаваться в страны за пределами ЕС/ЕЭЗ в следующих случаях:
Платёжные данные обрабатываются Stripe, Inc. в США. EU-U.S. Data Privacy Framework обеспечивает основание достаточности для передачи данных в Stripe, если Stripe прошла самосертификацию в рамках этого механизма. Если Data Privacy Framework не применяется, передача защищается Standard Contractual Clauses (SCCs), принятыми Европейской комиссией в соответствии со статьёй 46(2)(c) GDPR.
Если Компания привлекает субпроцессоров за пределами ЕС/ЕЭЗ, передача данных защищается одним из следующих механизмов в порядке предпочтения:
Копию применимого механизма передачи можно получить, обратившись по адресу privacy@nainv.de.
Компания реализует соответствующие технические и организационные меры для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения, включая:
Ни одна система не является полностью безопасной. Компания не может гарантировать абсолютную безопасность, но постоянно пересматривает и улучшает своё состояние безопасности.
Компания может отправлять маркетинговые коммуникации (обновления продукта, анонсы функций, промоакции) только при предварительном согласии Пользователя. Согласие получается во время checkout или через отдельный механизм opt-in.
Для существующих клиентов (Пользователей с активной или недавно истёкшей Subscription) Компания может отправлять маркетинговые письма о схожих продуктах или услугах без дополнительного согласия в соответствии с § 7(3) UWG, при условии что:
Следующие сообщения являются транзакционными сообщениями (не маркетинговыми) и отправляются без отдельного согласия, поскольку необходимы для исполнения договора Subscription:
Пользователи могут отказаться от маркетинговых коммуникаций в любое время следующим образом:
Отказ от маркетинговых коммуникаций не влияет на транзакционные сообщения.
ПО не предназначено для лиц младше 18 лет. Подписываясь на ПО, Пользователь заявляет, что ему не менее 18 лет (как того требует EULA). Компания сознательно не собирает персональные данные лиц младше 18 лет. Если Компании станет известно, что она собрала персональные данные несовершеннолетнего, такие данные будут незамедлительно удалены.
ПО является настольным приложением и не использует файлы cookie или веб-технологии отслеживания.
Сайт Компании может использовать следующие виды файлов cookie и аналогичных технологий:
Компания не использует на Сайте сторонние рекламные файлы cookie или технологии межсайтового отслеживания.
Настоящий раздел 17 применяется к жителям Калифорнии и других штатов США с комплексным законодательством о защите конфиденциальности потребителей (включая California Consumer Privacy Act ("CCPA") в редакции California Privacy Rights Act ("CPRA"), а также аналогичные законы других штатов).
За предыдущие 12 месяцев Компания собирала следующие категории персональной информации (как она определяется CCPA):
Персональная информация собирается и используется для деловых целей, описанных в разделе 4 настоящей Политики конфиденциальности.
Компания не продаёт персональную информацию. Компания не продавала персональную информацию за предыдущие 12 месяцев.
Компания не передаёт персональную информацию для межконтекстной поведенческой рекламы. Компания не передавала персональную информацию для межконтекстной поведенческой рекламы за предыдущие 12 месяцев.
С учётом применимого права жители США обладают следующими правами:
Запросы можно направить по электронной почте на privacy@nainv.de. Компания проверит личность заявителя до обработки запроса, что может потребовать сопоставления сведений, предоставленных в запросе, с информацией, уже имеющейся у Компании. Компания ответит в сроки, предусмотренные применимым правом.
Жители США могут назначить уполномоченного представителя для подачи запросов от их имени. Компания может потребовать от представителя доказательство письменного уполномочивания и отдельно проверить личность потребителя.
Пользователи из ЕС/ЕЭЗ имеют право подать жалобу в надзорный орган по защите данных (ст. 77 GDPR). Компетентным надзорным органом для Компании является:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2-4
40213 Дюссельдорф, Германия
Сайт: https://www.ldi.nrw.de
Пользователи также могут подать жалобу в надзорный орган по месту своего обычного проживания или работы.
Компания серьёзно относится к безопасности персональных данных и внедрила соответствующие технические и организационные меры для защиты персональных данных от несанкционированного доступа, случайной утраты, уничтожения или раскрытия.
В случае нарушения безопасности персональных данных Компания без неоправданной задержки и, по возможности, в течение 72 часов с момента обнаружения нарушения уведомит компетентный надзорный орган (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, LDI NRW), если только маловероятно, что такое нарушение повлечёт риск для прав и свобод физических лиц.
Если нарушение безопасности персональных данных может повлечь высокий риск для прав и свобод физических лиц, Компания без неоправданной задержки уведомит затронутых субъектов данных. Учитывая архитектуру данного ПО, персональными данными, которые с наибольшей вероятностью могут потребовать прямого уведомления, является адрес электронной почты, собранный при оформлении заказа, поскольку он представляет собой прямо идентифицирующие персональные данные. Идентификатор установки хранится на стороне сервера только как односторонний HMAC (псевдонимное значение, которое само по себе не может быть обращено для идентификации лица); поэтому нарушение, ограниченное только значениями HMAC, оценивается как маловероятно создающее высокий риск для субъектов данных и обычно не влечёт обязанности прямого уведомления по статье 34 GDPR, хотя каждый инцидент будет оцениваться по своим конкретным обстоятельствам.
Любое уведомление субъектов данных будет направлено на адрес электронной почты, указанный при оформлении заказа, и будет включать: описание характера нарушения; вероятные последствия; меры, принятые или предлагаемые для устранения; и контактные данные для получения дополнительной информации (privacy@nainv.de).
В соответствии с Директивой о цифровом контенте (Directive (EU) 2019/770) Компания обязана предоставлять обновления, необходимые для поддержания соответствия ПО в течение срока Subscription Пользователя. Обработка данных, описанная в разделах 4 и 7 настоящей Политики конфиденциальности (включая проверки обновлений), осуществляется, в частности, для исполнения этой правовой обязанности.
В частности:
Компания не обрабатывает персональные данные сверх необходимого для исполнения своих обязательств по обеспечению соответствия и обновлениям по Директиве о цифровом контенте.
Пользователи могут запросить удаление своих персональных данных по любому из следующих каналов:
Последствия удаления данных:
Компания подтвердит выполнение запроса на удаление в течение одного (1) месяца.
Настоящая Политика конфиденциальности и EULA являются взаимодополняющими документами. В случае любого конфликта между настоящей Политикой конфиденциальности и EULA по вопросам обработки персональных данных настоящая Политика конфиденциальности имеет приоритет (что также указано в пункте 5.4 EULA). В случае любого конфликта по вопросам, не относящимся к защите данных (например, условия лицензии, ответственность, оплата), приоритет имеет EULA.
Настоящая Политика конфиденциальности не создаёт каких-либо обязательств, прав или обязанностей сверх установленных EULA и применимым законодательством о защите данных. В частности, ничто в настоящей Политике конфиденциальности:
Компания не предоставляет инвестиционные советы, управление портфелем или финансовые рекомендации и не обрабатывает персональные данные для таких целей.
Компания может время от времени обновлять настоящую Политику конфиденциальности. Изменения будут обозначаться обновлением даты "Last Updated" в верхней части документа.
Незначительные или несущественные обновления (например, уточнения, изменения форматирования или типографические исправления) могут вноситься без предварительного уведомления.
В случае существенных изменений, значительно влияющих на обработку персональных данных или права пользователей, Компания:
Продолжение использования ПО после даты вступления существенного изменения в силу означает принятие обновлённой Политики конфиденциальности, кроме случаев, когда применимое право требует явного согласия Пользователя.
N. A. Invest GmbH
Ratinger Str. 3
40213 Дюссельдорф, Германия
Электронная почта: privacy@nainv.de
Сайт: https://option-defense.com
