Политика конфиденциальности

Последнее обновление: 2 мая 2026 г.

Monoid построен на одном принципе: собирать только необходимое, сразу минимизировать идентификаторы и избегать профилей посетителей. Эта политика объясняет, какие данные мы обрабатываем, зачем и как.

1. Кто мы

Monoid управляется Izac Cavalheiro (monoid@monoid.website), зарегистрированным в Бразилии. По вопросам этой политики свяжитесь с нами по этому адресу.

Monoid в настоящее время не имеет представительства в ЕС, Великобритании или ЕЭЗ и не назначал представителя согласно Art. 27 GDPR или UK GDPR. Это исключение применяется, поскольку обработка данных субъектов из ЕС/Великобритании/ЕЭЗ не является крупномасштабной, не включает специальные категории данных и вряд ли приведёт к высокому риску для физических лиц. Мы отслеживаем ежемесячный объём субъектов данных из ЕС/ЕЭЗ. Если обработка постоянно превышает 5 000 различных субъектов данных ЕС/ЕЭЗ в календарный месяц, мы назначим представителя ЕС согласно Art. 27 GDPR (и отдельно представителя Великобритании согласно Art. 27 UK GDPR, и швейцарского представителя согласно Art. 14 nFADP) до того, как этот порог будет устойчиво превышен.

2. Данные посетителей, которые мы собираем от вашего имени

Когда посетители загружают страницу на сайте, инструментированном Monoid, JavaScript-трекер отправляет запрос на просмотр страницы, содержащий:

  • ID сайта, настроенный в теге скрипта
  • Путь страницы, например /pricing
  • Имя хоста источника, если доступно
  • Ширину экрана, сообщённую браузером
  • Производный код страны из грубых edge-метаданных
  • Широкий тип устройства, определённый по шаблону User-Agent и грубой ширине экрана
  • Односторонний ежедневный хеш, используемый только для подсчёта уникальных посетителей
  • Имена пользовательских событий и опциональные числовые значения, когда ваш сайт вызывает window.monoid('event', ...) или включает автоматическое отслеживание взаимодействий
  • Длительность страницы в миллисекундах при смене маршрута или выгрузке страницы, используется для расчёта среднего времени на сайте

Что мы не храним: IP-адреса, полные строки User-Agent, cookie, фингерпринты устройств, точное местоположение или постоянные межсуточные идентификаторы посетителей.

Уникальный хеш посетителя вычисляется как SHA-256(IP + User-Agent + SALT + YYYY-MM-DD). Компонент даты означает, что хеш меняется каждую полночь по UTC. Секретный SALT делает обратное восстановление непрактичным из сохранённых аналитических строк. Хеш используется как сигнал ежедневного подсчёта, а не как постоянный профиль посетителя.

3. Данные учётной записи, которые мы собираем

Когда вы создаёте или используете учётную запись Monoid, мы собираем:

  • Ваш email-адрес (для входа и транзакционных писем)
  • Пароль, сохранённый как одностороннее хеширование с солью, если вы регистрируетесь по email/паролю
  • Идентификаторы OAuth-провайдеров, если вы используете социальный вход (Google, GitHub, Microsoft или Facebook, когда включено) — мы никогда не получаем ваши OAuth-пароли
  • Ваши зарегистрированные доменные имена
  • Настройки дашборда, такие как диапазоны дат, типы графиков и видимые панели
  • Токены сброса пароля в хешированном виде, пока ссылка сброса действительна
  • Сообщения контактов и поддержки, которые вы нам отправляете
  • Биллинговую информацию, обрабатываемую полностью Stripe — мы никогда не видим и не храним номера карт

4. Cookie и хранилище

Скрипт трекера не использует cookie, localStorage и sessionStorage.

Дашборд Monoid использует httpOnly сессионную cookie (user_token) для поддержания вашего входа до 30 дней. Эти cookie строго необходимы для приложения и не отслеживают вас на других сайтах.

5. Как мы используем ваши данные

  • Данные посетителей — для предоставления агрегированной аналитики в вашем дашборде.
  • Email учётной записи — для отправки приветственных писем, активации сайта, сброса пароля и сервисных писем.
  • Настройки дашборда — для запоминания выбранной вами раскладки дашборда и настроек графиков.
  • Сообщения контактов и поддержки — для ответа на ваши запросы.
  • Биллинговые данные — для обработки платежей через Stripe и соответствия требованиям финансового учёта.

Мы не используем ваши данные для рекламы, профилирования посетителей или каких-либо целей помимо работы Сервиса.

6. Передача данных

Мы передаём данные:

  • Управляемая edge-инфраструктура — сбор данных и хостинг приложения.
  • Stripe — для обработки платежей.
  • Resend — для доставки транзакционных писем и сообщений контактов/поддержки.
  • OAuth-провайдеры — только когда вы выбираете социальный вход, для завершения аутентификации.

Мы не продаём данные. Мы не передаём данные рекламодателям, брокерам данных или третьим сторонам помимо поставщиков услуг, необходимых для работы Monoid.

6a. Международная передача данных

Cloudflare, Stripe и Resend — компании, расположенные в США. Передача персональных данных этим поставщикам покрывается Стандартными договорными положениями ЕС (SCC) и Рамкой защиты данных ЕС–США, Швейцарско-США Рамкой защиты данных (для резидентов Швейцарии) и Соглашением о международной передаче данных Великобритании или Дополнением Великобритании к SCC ЕС (для резидентов Великобритании). Вы можете ознакомиться с механизмами передачи каждого поставщика: Cloudflare (cloudflare.com/trust-hub/gdpr/), Stripe (stripe.com/legal/dpa), Resend (resend.com/legal/dpa).

6b. Правовое основание для обработки

Мы обрабатываем персональные данные на следующих правовых основаниях (EU/UK GDPR Art. 6; Swiss nFADP Art. 6):

  • Аналитика посетителей (хешированная, без cookie, с ежедневной ротацией) — Законный интерес (Art. 6(1)(f)): предоставление аналитики аудитории с сохранением приватности владельцам сайтов является нашим основным сервисом, а дизайн минимизирует воздействие на отдельных субъектов данных.
  • Регистрация учётной записи и предоставление сервиса — Исполнение договора (Art. 6(1)(b)).
  • Транзакционные письма — Исполнение договора (Art. 6(1)(b)).
  • Биллинговые записи — Законное обязательство (Art. 6(1)(c)): финансовые регуляции требуют сохранения платёжных записей.
  • Логирование безопасности и данные ограничения скорости — Законный интерес (Art. 6(1)(f)): защита платформы от злоупотреблений и несанкционированного доступа.

7. Хранение данных

  • Данные просмотров страниц и пользовательских событий — отчётность дашборда поддерживает до 2 лет (730 дней) истории; строки старше 730 дней удаляются процессом очистки. Окно 2 года также является полным окном хранения — более старые данные не хранятся, и ваш экспорт данных отражает этот полный набор данных.
  • Данные учётной записи, сайты, настройки дашборда, OAuth-связи, ожидающие регистрации, связанные просмотры страниц и пользовательские события — удаляются из активной базы данных, когда вы удаляете свою учётную запись.
  • Токены сброса пароля — действительны 1 час и удаляются или аннулируются при замене или использовании.
  • Состояние OAuth-входа — действительно 10 минут и удаляется после обработки callback.
  • Биллинговые записи — сохраняются в соответствии с применимыми финансовыми регуляциями (обычно 7 лет).

8. Ваши права

В зависимости от вашей юрисдикции у вас могут быть права:

  • Получить доступ к персональным данным, которые мы храним о вас
  • Исправить неточные данные — обновите свой email напрямую со страницы настроек учётной записи
  • Удалить вашу учётную запись и все связанные данные
  • Экспортировать ваши аналитические данные в структурированном формате
  • Возразить против обработки на основе законных интересов (Art. 21 GDPR / UK GDPR)
  • Подать жалобу в национальный надзорный орган по защите данных

Для аналитики посетителей мы полагаемся на Законный интерес (Art. 6(1)(f)). Наша Оценка законного интереса (LIA) применяет трёхчастный тест EDPB: (1) Тест цели — предоставление аналитики аудитории с сохранением приватности является законным интересом как Monoid, так и его клиентов; (2) Тест необходимости — каждое сохранённое поле (путь страницы, имя хоста источника, код страны, категория устройства, семейство браузера, ежедневный хеш посетителя, дата) индивидуально необходимо, и ничего более точного не хранится; IP-адреса и полные строки User-Agent используются только в памяти и никогда не записываются в хранилище; (3) Тест баланса — ежедневно ротируемый SHA-256 хеш практически необратим без одновременного доступа к IP, User-Agent посетителя и нашему секретному ключу; межсуточное профилирование невозможно; сигналы DNT соблюдаются; никакие cookie или постоянные идентификаторы не устанавливаются на устройстве посетителя. В целом обработка несёт минимальный риск для физических лиц, обеспечивая при этом основную функцию сервиса. Вы можете запросить копию полного документа LIA, написав на monoid@monoid.website.

Резиденты ЕС/ЕЭЗ могут связаться со своим национальным DPA (список на edpb.europa.eu). Резиденты Великобритании могут связаться с ICO (ico.org.uk). Резиденты Швейцарии могут связаться с FDPIC (fdpic.ch). Владельцы учётных записей Monoid могут удалить свою учётную запись и все данные напрямую со страницы настроек учётной записи.

Для запросов на доступ к данным, исправление, переносимость или возражение пишите на monoid@monoid.website. Мы отвечаем в течение 30 дней. Резиденты Швейцарии также могут осуществить права согласно nFADP Art. 25 (информация, доступ, исправление, удаление) по тому же контакту.

8b. Автоматизированная обработка и применение лимитов плана

Monoid применяет автоматизированное соблюдение лимитов плана: если сайт превышает свой месячный лимит просмотров, дополнительные строки просмотров не записываются до следующего периода биллинга. Это решение принимается автоматически на основе совокупного количества просмотров для вашей учётной записи, а не на основе профилирования отдельных посетителей сайта. Оно не представляет собой автоматизированное решение с существенными правовыми или аналогичными последствиями для субъектов данных в смысле GDPR Art. 22 или UK GDPR Art. 22. Если вы используете аналитические данные Monoid для принятия автоматизированных решений о ваших собственных пользователях, вы должны раскрыть это отдельно в собственном уведомлении о конфиденциальности.

9. Безопасность

Все данные передаются через HTTPS. Пароли никогда не хранятся в открытом виде; они хранятся с использованием одностороннего хеширования паролей с солью. Сессионные cookie помечены как httpOnly, а аутентифицированные запросы API ограничены проверками origin. Мы логируем события, значимые для безопасности, такие как неудачные попытки входа, сбросы паролей и подтверждения удаления учётной записи.

10. Приватность детей

Сервис не направлен и не предназначен для использования лицами младше 16 лет. Monoid — это бизнес-платформа аналитики для владельцев сайтов и разработчиков. Создавая учётную запись, вы подтверждаете, что вам исполнилось 16 лет. Мы сознательно не собираем данные от детей. Если вы считаете, что ребёнок создал учётную запись, свяжитесь с нами, и мы оперативно её удалим.

11. Изменения этой политики

О существенных изменениях будет сообщено по email не менее чем за 14 дней до вступления в силу. Дата «последнего обновления» выше всегда отражает текущую версию.

12. Контакты

Вопросы о конфиденциальности, запросы данных или опасения: monoid@monoid.website