RMEX
rmex .io

Политика конфиденциальности

Privacy Policy · Дата публикации: 13 марта 2026 г.

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика», Privacy Policy) определяет порядок обработки и защиты персональных данных пользователей платформы rmex.io (далее — «Платформа», «Оператор»).

1.2. Обработка персональных данных осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации.

1.3. Регистрируясь на Платформе, Пользователь даёт согласие на обработку своих персональных данных на условиях, изложенных в настоящей Политике.

2. Категории собираемых данных

2.1. Данные, предоставляемые Пользователем

  • Адрес электронной почты (email) — используется как логин
  • Пароль — хранится в виде хеша (bcrypt), никогда не хранится и не передаётся в открытом виде
  • Название компании
  • ИНН (индивидуальный номер налогоплательщика) — заполняется опционально в настройках
  • Торговая марка (brand name) — для Рекламодателей
  • Контактный email — может отличаться от логина
  • URL для постбэк-уведомлений (postback URL)
  • Категория бизнеса

2.2. Данные, собираемые автоматически (при кликах по рекламным размещениям)

При каждом клике по рекламному размещению Платформа автоматически фиксирует:

  • IP-адрес (IPv4/IPv6)
  • User-Agent — строка идентификации браузера и ОС
  • Геолокация по IP — страна, регион, город, часовой пояс (определяется через GeoIP-сервис)
  • Язык браузера
  • HTTP Referer — адрес страницы, с которой совершён переход
  • Тип устройства

2.3. Детальные данные устройства (собираются через JavaScript)

Для целей антифрод-защиты через sendBeacon API дополнительно собираются:

  • Характеристики устройства: объём памяти, количество ядер CPU, разрешение экрана, плотность пикселей, глубина цвета, наличие тачскрина, архитектура CPU, GPU renderer
  • Сетевые данные: ASN, ISP, тип подключения, флаги датацентра и Tor

2.4. Цифровые отпечатки (fingerprinting)

Для идентификации устройства и борьбы с мошенничеством собираются:

  • Canvas fingerprint — отпечаток рендеринга Canvas API
  • Audio fingerprint — отпечаток AudioContext API
  • Math fingerprint — отпечаток математических операций
  • WebGL fingerprint — отпечаток WebGL-рендеринга
  • Fonts fingerprint — отпечаток установленных шрифтов
  • Общий хеш отпечатка (fp_hash) — агрегированный идентификатор устройства

Цифровые отпечатки хранятся в виде хешей и не позволяют восстановить исходные данные.

2.5. Поведенческие данные

  • Наличие и характеристики движения мыши (количество событий, энтропия)
  • Наличие прокрутки страницы
  • Наличие клавиатурной активности

Поведенческие данные собираются исключительно для антифрод-анализа и не содержат ввод пользователя (тексты, пароли).

2.6. UTM-параметры

Из URL могут быть извлечены: utm_source, utm_medium, utm_campaign, utm_content, utm_term — для атрибуции трафика.

3. Цели обработки данных

  • Исполнение договора — регистрация, аутентификация, предоставление доступа к функциям Платформы, биллинг.
  • Антифрод-защита — обнаружение и предотвращение мошеннических кликов, защита интересов Рекламодателей и Поставщиков.
  • Отправка уведомлений — верификация email, системные уведомления, информирование о событиях платформы (при согласии Пользователя).
  • Аналитика и отчётность — формирование статистики по рекламным кампаниям.
  • Исполнение требований законодательства — налоговый учёт (ИНН), хранение данных по требованиям регуляторов.

4. Автоматизированное принятие решений

4.1. Платформа использует автоматизированную антифрод-систему, которая на основании собранных данных (IP, fingerprint, поведенческие сигналы) присваивает каждому клику числовую оценку мошенничества (fraud score, от 0 до 100 баллов).

4.2. На основании этой оценки автоматически принимается решение:

  • < 40 баллов (ALLOW) — клик признаётся валидным.
  • 40–54 балла (ALLOW_WARN) — клик оплачивается с предупреждением.
  • 55–69 баллов (MANUAL) — клик направляется на ручную проверку.
  • ≥ 70 баллов (BLOCK) — клик автоматически блокируется и не оплачивается.

4.3. Данные решения имеют юридические последствия: они влияют на оплату кликов Поставщику и списание средств Рекламодателя.

4.4. Пользователь вправе оспорить автоматизированное решение, обратившись к Оператору. Оспоренные клики направляются на ручной пересмотр.

5. Правовые основания обработки

  • Согласие субъекта данных (п. 1 ч. 1 ст. 6 ФЗ-152) — при регистрации.
  • Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152) — предоставление услуг Платформы, биллинг.
  • Законный интерес оператора (п. 7 ч. 1 ст. 6 ФЗ-152) — антифрод-защита, обеспечение безопасности.
  • Исполнение обязанностей, предусмотренных законом (п. 2 ч. 1 ст. 6 ФЗ-152) — налоговый учёт.

6. Передача данных третьим лицам

6.1. Оператор передаёт данные следующим третьим лицам:

Получатель Назначение Передаваемые данные
Resend (resend.com) Отправка email-уведомлений Email-адрес, тема и содержимое письма
GeoIP-сервис (MaxMind / IP2Location) Определение геолокации IP-адреса

6.2. Трансграничная передача данных. Сервис Resend может обрабатывать данные на серверах за пределами Российской Федерации. Передача осуществляется с обеспечением надлежащего уровня защиты данных в соответствии со ст. 12 ФЗ-152.

6.3. Оператор не продаёт и не передаёт персональные данные третьим лицам в рекламных целях.

6.4. Данные могут быть предоставлены государственным органам по их законному запросу.

7. Сроки хранения данных

Категория данных Срок хранения Основание
Учётные записи До удаления пользователем Договорные отношения
Данные кликов Бессрочно (помесячные партиции) Биллинг, аудит, антифрод
Инвойсы Бессрочно Налоговый учёт
Аудит-логи Бессрочно Комплаенс
Токены верификации Удаляются после использования Временные данные

8. Меры безопасности

  • Хеширование паролей (bcrypt) и API-ключей (SHA256)
  • CSRF-защита на всех формах
  • Content Security Policy (CSP)
  • Ограничение сессий (максимум 3 на пользователя)
  • Защита от фиксации сессий (session ID меняется при входе)
  • Rate limiting на API-эндпоинтах
  • HMAC-SHA256 токены для защиты клик-трекинга (TTL 5 минут)
  • Referrer-Policy: STRICT_ORIGIN_WHEN_CROSS_ORIGIN
  • Permissions-Policy: камера, микрофон, геолокация отключены

9. Права субъектов данных

В соответствии с ФЗ-152 «О персональных данных» Пользователь имеет право:

  • Право на доступ — получить информацию об обрабатываемых персональных данных.
  • Право на исправление — потребовать уточнения или исправления неполных/неточных данных.
  • Право на удаление — потребовать уничтожения персональных данных (с учётом ограничений, связанных с налоговым учётом и аудитом).
  • Право на ограничение обработки — потребовать блокирования данных в определённых случаях.
  • Право на отзыв согласия — отозвать согласие на обработку данных в любое время.
  • Право на оспаривание автоматизированных решений — потребовать ручного пересмотра решений антифрод-системы.

Для реализации своих прав Пользователь может обратиться к Оператору по email: privacy@rmex.io. Срок ответа — не более 30 календарных дней.

10. Обработка данных посетителей рекламных площадок

10.1. При клике по рекламному размещению на площадке Поставщика инвентаря Платформа собирает данные посетителя (IP, fingerprint, поведенческие данные) для целей антифрод-проверки и биллинга.

10.2. Поставщик инвентаря обязан уведомить посетителей своих площадок о наличии рекламного трекинга и предоставить ссылку на настоящую Политику.

10.3. Платформа выступает оператором в отношении данных посетителей, собранных через трекинг-код.

11. Изменения Политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная версия всегда доступна по адресу rmex.io/privacy. При существенных изменениях Пользователи уведомляются по email.

12. Контактная информация

  • Платформа: rmex.io
  • По вопросам обработки данных: privacy@rmex.io
  • Общие вопросы: legal@rmex.io
Пользовательское соглашение Cookie Policy Регистрация