PRIVACY POLICY

BlackVault Management LLC
Last updated: 13/12/2025

1. Introduction

BlackVault Management LLC ("BlackVault", "we", "us") places the highest importance on the confidentiality, integrity, and security of personal data entrusted to it.

This Privacy Policy describes:

• what personal data we collect,
• how and why we process it,
• with whom it may be shared,
• how long it is retained,
• and the rights of data subjects.

This English version prevails legally. A French informational version is provided below for convenience.

BlackVault processes personal data in compliance with:

• the EU General Data Protection Regulation (GDPR), and
• the UAE Personal Data Protection Law (PDPL),
  as applicable to the nature of the services and the client’s jurisdiction.

2. Data Collected

We may collect and process the following categories of personal and corporate data:

2.1 Identification & Personal Data

• Full name
• Nationality
• Date and place of birth
• Passport or government-issued ID
• Proof of address

2.2 Contact Data

• Email address
• Telephone number
• Physical address

2.3 Corporate & Business Data

• Company incorporation documents
• Ownership and control structure
• UBO (Ultimate Beneficial Owner) information
• Business activity descriptions
• Shareholding and management information

2.4 Compliance & Regulatory Data

• Tax identification numbers
• IRS forms (including but not limited to W-7, SS-4, BOI filings)
• Tax and compliance documentation
• KYC / KYB documentation
• AML risk assessments

2.5 Technical & Usage Data

• IP address
• Device and browser information
• Website usage logs

2.6 Signatures & Authorizations

• Digital or handwritten signatures
• Mandates and powers of attorney

3. Legal Basis & Purpose of Processing

Personal data is processed strictly for legitimate and defined purposes, including:

• Provision and execution of contracted services
• Company formation and corporate administration
• Regulatory and compliance filings
• Tax-related administrative assistance
• KYC / AML compliance obligations
• Communication with clients
• Maintenance of legally required records

We apply strict data minimization principles and only collect data necessary for the requested services.

4. Data Sharing & Disclosure

Personal data may be disclosed only when strictly necessary to:

• Payment processors (e.g., Stripe, Airwallex)
• Secure internal service infrastructure (hosting, email, internal systems)
• Competent authorities and administrations strictly concerned by the request (e.g., IRS, state registries, Free Zone authorities)

BlackVault does not sell, rent, trade, or monetize personal data.

BlackVault does not subcontract its core services. All services including administrative assistance, compliance handling, and tax-related preparation support are performed internally by BlackVault.

Data is never shared with unrelated third parties, advertising networks, or external administrations not directly involved in the client’s matter.

5. Payment Information

When payments are made by card or electronic means:

• Transactions are processed exclusively via Stripe or Airwallex, depending on the service and jurisdiction.
• Banking and card data never transit through BlackVault’s servers.
• BlackVault does not collect, store, or process full card numbers, CVV codes, or banking credentials.
• All payment information is handled directly by PCI-DSS compliant payment institutions.

6. Data Storage & Security

Personal data is stored on secure, access-controlled infrastructure.

Security measures include, without limitation:

• Encryption at rest using AES-256 standards
• Encryption in transit (TLS)
• Role-based and least-privilege access controls
• Segregation of environments and logical isolation
• Continuous monitoring, logging, and audit trails

Our infrastructure and service providers adhere to SOC 2–certified or SOC 2–aligned security frameworks.

7. International Data Transfers

Given the international nature of BlackVault’s operations, personal data may be transferred and processed across multiple jurisdictions.

We ensure that appropriate safeguards are in place to maintain an equivalent level of data protection, regardless of geographic location.

8. Data Retention

Personal data is retained only for as long as necessary to:

• Fulfill contractual obligations
• Meet legal and regulatory requirements
• Satisfy compliance and audit obligations

Retention periods vary depending on the type of service, jurisdiction, and applicable laws.

9. Data Subject Rights

Where applicable under GDPR or equivalent regulations, data subjects may request:

• Access to their personal data
• Rectification of inaccurate or incomplete data
• Erasure (where legally permissible)
• Restriction or objection to processing

Requests may be submitted to:
compliance@blackvaultstrategies.com

10. Children’s Privacy

BlackVault services are intended exclusively for individuals 18 years or older, unless explicitly authorized under exceptional circumstances.

11. DPO / Privacy Contact

Requests may be submitted to:
legal@blackvaultstrategies.com

12. Data Controller / Processor

For the purposes of applicable data protection laws, BlackVault Management LLC acts as the Data Controller.
Third-party service providers (such as payment institutions) act as Data Processors solely for the execution of their services.

13. Policy Updates

BlackVault reserves the right to amend this Privacy Policy to reflect regulatory, legal, or operational changes. The latest version will always prevail.

‍

POLITIQUE DE CONFIDENTIALITÉ

BlackVault Management LLC
Date de mise à jour : 13/12/2025

Cette version française est fournie à titre strictement informatif.
La version anglaise prévaut juridiquement.

1. Introduction

BlackVault Management LLC (« BlackVault », « nous ») accorde une importance primordiale à la confidentialité, à l’intégrité et à la sécurité des données personnelles qui lui sont confiées.

La présente politique de confidentialité décrit :

• les données personnelles collectées,
• les modalités et finalités de leur traitement,
• les destinataires éventuels,
• les durées de conservation,
• ainsi que les droits des personnes concernées.

BlackVault traite les données personnelles conformément :

• au Règlement Général sur la Protection des Données (RGPD – Union européenne),
• et à la Personal Data Protection Law (PDPL – Émirats Arabes Unis),

selon la nature des services fournis et la juridiction du client.

2. Données collectées

BlackVault peut être amenée à collecter et traiter les catégories de données personnelles et professionnelles suivantes :

2.1 Données d’identification personnelle

• Nom et prénom
• Nationalité
• Date et lieu de naissance
• Passeport ou pièce d’identité officielle
• Justificatif de domicile

2.2 Données de contact

• Adresse e-mail
• Numéro de téléphone
• Adresse postale

2.3 Données professionnelles et sociétaires

• Documents de constitution de société
• Structure de détention et de contrôle
• Informations relatives aux bénéficiaires effectifs (UBO)
• Description des activités
• Données relatives aux actionnaires et dirigeants

2.4 Données fiscales et réglementaires

• Numéros d’identification fiscale
• Formulaires fiscaux et administratifs (notamment W-7, SS-4, BOI)
• Documents fiscaux et de conformité
• Documents KYC / KYB
• Évaluations de risques AML

2.5 Données techniques et d’utilisation

• Adresse IP
• Informations relatives à l’appareil et au navigateur
• Journaux de consultation du site

2.6 Signatures et autorisations

• Signatures manuscrites ou électroniques
• Mandats, pouvoirs et autorisations

3. Bases légales et finalités du traitement

Les données personnelles sont traitées exclusivement pour des finalités légitimes et déterminées, notamment :

• l’exécution des services contractés,
• la création et l’administration de sociétés,
• les obligations réglementaires et déclaratives,
• l’assistance administrative à caractère fiscal,
• le respect des obligations KYC / AML,
• la communication avec les clients,
• la conservation de documents légalement requis.

BlackVault applique des principes stricts de minimisation des données et ne collecte que les informations strictement nécessaires à l’exécution des services demandés.

4. Partage et communication des données

Les données personnelles peuvent être communiquées uniquement lorsque cela est strictement nécessaire à :

• des prestataires de paiement (tels que Stripe ou Airwallex),
• l’infrastructure interne sécurisée (hébergement, messagerie, systèmes internes),
• les autorités et administrations directement concernées par la demande (IRS, registres d’État, autorités de Free Zone, etc.).

BlackVault ne vend, ne loue, n’échange ni ne monétise les données personnelles.

BlackVault ne sous-traite pas ses services cœur. L’ensemble des prestations, y compris l’assistance administrative, la gestion de la conformité et la préparation des éléments fiscaux, est réalisé en interne par BlackVault.

Les données ne sont jamais transmises à des tiers non concernés, à des réseaux publicitaires ou à des administrations sans lien direct avec le dossier du client.

5. Informations de paiement

Lorsque les paiements sont effectués par carte ou voie électronique :

• les transactions sont traitées exclusivement par Stripe ou Airwallex, selon le service et la juridiction concernée,
• les données bancaires et de carte ne transitent jamais par les serveurs de BlackVault,
• BlackVault ne collecte ni ne stocke les numéros de carte, codes CVV ou identifiants bancaires,
• l’ensemble des données de paiement est traité par des établissements conformes aux normes PCI-DSS.

6. Stockage et sécurité des données

Les données personnelles sont stockées sur une infrastructure sécurisée et à accès restreint.

Les mesures de sécurité mises en œuvre incluent notamment :

• chiffrement des données au repos (AES-256),
• chiffrement des données en transit (TLS),
• contrôles d’accès fondés sur les rôles et le principe du moindre privilège,
• cloisonnement logique des environnements,
• surveillance continue, journalisation et traçabilité.

L’infrastructure et les prestataires techniques utilisés respectent des standards de sécurité SOC 2 certifiés ou alignés SOC 2.

7. Transferts internationaux de données

Compte tenu du caractère international des activités de BlackVault, certaines données peuvent être traitées ou transférées dans plusieurs juridictions.

Des garanties appropriées sont mises en place afin d’assurer un niveau de protection équivalent, quelle que soit la localisation géographique.

8. Durée de conservation

Les données personnelles sont conservées uniquement pendant la durée nécessaire pour :

• l’exécution des obligations contractuelles,
• le respect des obligations légales et réglementaires,
• les exigences de conformité et d’audit.

Les durées de conservation varient selon la nature du service, la juridiction et la réglementation applicable.

9. Droits des personnes concernées

Conformément à la réglementation applicable, les personnes concernées peuvent exercer les droits suivants :

• droit d’accès à leurs données,
• droit de rectification,
• droit à l’effacement (dans les limites prévues par la loi),
• droit de limitation ou d’opposition au traitement.

Toute demande peut être adressée à :
compliance@blackvaultstrategies.com

10. Données des mineurs

Les services de BlackVault sont exclusivement destinés aux personnes âgées de 18 ans ou plus, sauf autorisation exceptionnelle expresse.

11. Contact protection des données (DPO / Privacy)

Toute demande peut être adressée à :
legal@blackvaultstrategies.com

12. Responsable et sous-traitant du traitement

Au sens des réglementations applicables en matière de protection des données, BlackVault Management LLC agit en qualité de responsable du traitement.

Les prestataires tiers strictement nécessaires (notamment les établissements de paiement) interviennent uniquement en tant que sous-traitants, pour l’exécution de leurs missions spécifiques.

13. Mise à jour de la politique

BlackVault se réserve le droit de modifier la présente politique de confidentialité afin de refléter toute évolution réglementaire, juridique ou opérationnelle. La version la plus récente prévaut.