Privaatheidsbeleid

FixVibe word bedryf deur EGO HERO LLC (“ons”, “ons”), die databeheerder vir die persoonlike data wat in hierdie beleid beskryf word. Vir privaatheidsvrae, insluitend datasubjekversoeke onder GDPR, UK GDPR, of CCPA, kontak privacy@fixvibe.app. Vir enigiets anders, skryf aan support@fixvibe.app.

• Rekeningdata

  E-posadres, OAuth-identifiseerder (as jy met Google of GitHub aanmeld), en enige naam wat ons van jou OAuth-verskaffer ontvang. Word gebruik om jou te staaf en jou oor jou rekening te kontak. Word gehou terwyl jou rekening aktief is. Wanneer jy jou rekening verwyder, word hierdie data binne 30 dae verwyder, behalwe waar ons dit moet behou (bv. faktuurrekords onder belastingwetgewing).

  regmatige grondslag · Uitvoering van kontrak — Art. 6(1)(b) GDPR

• Skandeerteikens en bevindings

  Die URL’s wat jy skandeer, die versoeke wat ons aan daardie URL’s rig, en die bevindings wat ons produseer. Dit word teen jou organisasie gestoor. Ons verwyder rekords ouer as jou plan se behoudvenster outomaties: 30 dae (Hobby), 90 dae (Pro), 365 dae (Unlimited). Jy kan jou skandeergeskiedenis te eniger tyd vanaf Rekening → Privaatheid uitvoer of verwyder.

  regmatige grondslag · Uitvoering van kontrak — Art. 6(1)(b) GDPR

• Anonieme skanderingsessies

  As jy ’n skandering sonder aanmelding uitvoer, reik ons ’n HMAC-ondertekende koekie uit (fixvibe_anon_session, 24-uur-leeftyd) wat ’n ondeursigtige ewekansige ID hou. Ons verwyder onopgeëiste anonieme skanderingsrekords outomaties ná 24 uur. As jy binne die 24-uur-venster registreer, migreer jou skandering na jou nuwe rekening. Ons weet nie wie anonieme gebruikers is nie tensy hulle registreer.

  regmatige grondslag · Streng noodsaaklik — ePrivacy Art. 5(3)-vrystelling

• Faktuurdata

  Stripe is ons betalingsverwerker. Hulle stoor jou kaartbesonderhede op PCI-DSS-infrastruktuur; ons stoor slegs ’n Stripe-kliënt-ID, intekeningstatus, plan, periode begin/einde, en ’n klein idempotensierekord van webhook-gebeure. Sien Stripe se privaatheidskennisgewing by stripe.com/privacy.

  regmatige grondslag · Uitvoering van kontrak — Art. 6(1)(b) GDPR

• Bedienerlogboeke en ouditlogboeke

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  regmatige grondslag · Geregverdigde belang — Art. 6(1)(f) GDPR

• GitHub-integrasie (opsioneel, slegs Pro+)

  As jy ’n GitHub-rekening vanaf Rekening → Integrasies koppel, stoor ons ’n geënkripteerde OAuth-toegangstoken vir jou organisasie, jou GitHub-aanmelding + numeriese gebruikers-ID, en die toegekende scopes. Ons gebruik die token uitsluitlik om repositories te lees waarteen jy skanderings begin. Bronkode word per skandering gehaal, in geheue verwerk, en slegs individuele bevindingbewyse word behou (geen volledige bronstortings nie). Word binne 30 dae ná ontkoppeling verwyder.

  regmatige grondslag · Uitvoering van kontrak / toestemming — Art. 6(1)(b) + 6(1)(a) GDPR

• API-tokens + MCP-bediener (opsioneel)

  Tokens wat jy by Rekening → API-tokens skep, word gestoor as ’n SHA-256-hash, die eerste 8 gewone tekskarakters (vir identifikasie), die naam wat jy toegeken het, plus geskep/laas-gebruik/herroep-tydstempels. Die gewone teks word presies een keer by skepping aan jou gewys en nooit behou nie. Tokens is bearer-credentials: enigiemand met die waarde kan jou skanderings lees en nuwes begin totdat jy herroep. Die MCP-bediener by /api/mcp word deur dieselfde tokens geverifieer, stel dieselfde data bloot as wat die dashboard sou, en skep geen aparte datakategorie nie.

  regmatige grondslag · Uitvoering van kontrak — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  regmatige grondslag · Performance of contract — Art. 6(1)(b) GDPR

• Regstreekse bedreigingsopsporing (opsioneel, slegs Unlimited)

  As monitering op ’n geverifieerde domein geaktiveer is, vang ons periodiek certificate-transparency-loginskrywings, DNS-rekords, en threat-intel-lyste (Spamhaus DBL, URLhaus) vir daardie domein vas. Hierdie momentopnames bevat gasheername wat jy reeds gemagtig het dat ons skandeer en die openbare resultate van openbare naslae. Geen persoonlike data van jou eindgebruikers word vasgelê nie. Momentopnames ouer as 7 dae word outomaties verwyder; die mees onlangse basislyn word per seintipe behou.

  regmatige grondslag · Uitvoering van kontrak — Art. 6(1)(b) GDPR

• Geskeduleerde herskanderings (opsioneel, slegs Pro+)

  As jy geskeduleerde skanderings op ’n geverifieerde domein aktiveer, teken ons die kadens, laaste looptyd, volgende looptyd, en watter gebruiker die skedule geaktiveer het aan. Elke cron-geaktiveerde skandering erf die magtiging-om-te-skandeer-attestasie wat gemaak is toe die domein die eerste keer geverifieer is — jy attesteer nie weer per loop nie. Deaktiveer te eniger tyd by Domeine → Skedule.

  regmatige grondslag · Uitvoering van kontrak — Art. 6(1)(b) GDPR

• Analytics (opsioneel, deur toestemming beheer)

  As jy analytics-toestemming gee en ons analytics vir die ontplooiing wat jy gebruik gekonfigureer het, gebruik ons ’n privaatheidsrespekterende produk-analytics-verskaffer (deur ons eie domein geproksieer) om anonieme gebruik vas te lê — watter knoppies geklik word, watter kontroles mense uitvoer, waar gebruikers in die tregter uitval. Ons plaas nie URL’s wat jy skandeer, bewysinhoud, of persoonlike data in analytics-gebeure nie. Trek toestemming te eniger tyd terug via Koekie-instellings.

  regmatige grondslag · Toestemming — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Promosie-aanbod-aflossing

  Wanneer jy 'n promokode, uitnodigingskakel of verwysingskrediet aflos, stoor ons die veldtogkode, die plan en duur wat ons toegeken het, die proefbegin- en eindtydstempels, die plan wat jy voor die proeftydperk gehad het, en 'n HMAC-SHA256-hash van jou IP-adres op die tyd van aflossing (ons stoor nooit die rou IP nie — die hash bestaan net sodat ons een-aflossing-per-netwerk-limiete kan afdwing, en die rotering van die onderliggende HMAC-sleutel maak alle gestoorde hashes ongeldig sonder om iemand bloot te stel). Behou vir die lewe van die veldtog plus 18 maande vir rekeningkundige en bedrog-ondersoek-doeleindes, dan saam met die res van die veldtog-rekord uitgevee.

  regmatige grondslag · Wettige belang (bedrogvoorkoming, rekeningkunde) — Art. 6(1)(f) GDPR

• Kompetisies, sweepstakes en uitdagings

  As jy 'n FixVibe-uitdaging inskryf (soos die Sekuriteits-voorvlug-uitdaging), stoor ons die kontak-e-pos wat jy indien (vereis sodat ons jou kan bereik as jy wen), die Reddit- en Product Hunt-gebruikersname wat jy opsioneel verskaf, jou skander-ID en worteldomein, die self-gerapporteerde projektipe, stapel, en een-ding-wat-ek-geleer-het-teks wat jy opsioneel verskaf, die ontdekkingskanaal-waarde wat jy opsioneel kies, en die drie vereiste toestemming-merkblokkies wat jy aanvaar (magtiging, reëls, kontak). As jy apart die opsionele uitgelig-op-bemarking-toestemming merk, mag ons jou openbare telling, gradering, stapel, gebruikersnaam en ingediende aanhaling op die FixVibe-tuisblad, die uitdagingsblad, of 'n opsommingsplasing vertoon — nooit enige ander veld nie, en nooit sonder daardie toestemming nie. Uitdaging-inskrywings word behou vir die lewe van die Uitdaging plus 18 maande vir verifikasie- en geskil-doeleindes. Jy kan die uitgelig-op-bemarking-toestemming op enige tyd onttrek deur 'n e-pos te stuur na privacy@fixvibe.app; onttrekking beïnvloed nie wettige verwerking voor die onttrekking nie.

  regmatige grondslag · Uitvoering van kontrak (die bedryf van die Uitdaging) en toestemming (uitlig) — Art. 6(1)(b) en 6(1)(a) GDPR

• Ons verkoop nooit jou data nie.
• Ons sluit nie derdeparty-ad-tech, fingerprinting, of session-replay-skripte in nie.
• Ons plaas nie jou skandeerteiken-URL’s of bevindingbewyse in analytics-eienskappe nie — daardie data leef slegs in ons databasis, beskerm deur row-level security.
• Ons deel nie jou data met derde partye vir hulle eie bemarking nie.

Ons maak staat op die volgende sub-processors om FixVibe te bedryf:

• Vercel Inc. (USA) — toepassinghosting en edge-netwerk. Privaatheidskennisgewing: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres-databasis, verifikasie, lêerstoor, Realtime. Die FixVibe-produksiedatabasis is in die AWS us-east-1-streek. Privaatheidskennisgewing: supabase.com/privacy.
• Stripe Inc. (USA) — betalingsverwerking vir betaalde planne. Privaatheidskennisgewing: stripe.com/privacy.
• Upstash, Inc. (USA, via die Vercel Marketplace) — Redis-gesteunde koersbeperking; stoor slegs kortstondige IP-gebaseerde tellers. Privaatheidskennisgewing: upstash.com/privacy.
• PostHog Inc. (USA) — produk-analytics, slegs as jy analytics-toestemming gee en slegs wanneer analytics gekonfigureer is vir die ontplooiing wat jy gebruik. Privaatheidskennisgewing: posthog.com/privacy.
• GitHub, Inc. (USA) — slegs as jy die opsionele GitHub-integrasie koppel. Ons gebruik GitHub se API om repositories te lees waarteen jy skanderings begin. Privaatheidskennisgewing: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — aflewering van transaksionele e-pos. Ontvang jou e-posadres en die e-posliggaam wanneer ons skandering-voltooi-, geskeduleerde-skandering-, regstreekse-bedreigingwaarskuwing-, en weeklikse-samevatting-e-posse stuur. Resend behou afleweringsmetadata (tydstempels, status, bounce-rekords) vir bedryfsdoeleindes; ons stuur nooit bemarkings-e-pos deur Resend nie. Privaatheidskennisgewing: resend.com/legal/privacy-policy.

Oordragte van persoonlike data buite die EEA/UK steun op die Europese Kommissie se Standard Contractual Clauses (of die UK se International Data Transfer Addendum), aangevul deur die enkripsie-in-vervoer en enkripsie-in-rus maatreëls wat in “Sekuriteit” hieronder beskryf word.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Onder GDPR, UK GDPR, en gelykwaardige wette (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act ens.), het jy die reg om:

• toegang tot ’n kopie van jou data te kry (jy kan dit selfbedien vanaf Rekening → Privaatheid);
• jou data reggestel te kry;
• jou data verwyder te kry (ook selfbediening);
• beswaar te maak teen verwerking gebaseer op geregverdigde belange;
• toestemming vir analytics te eniger tyd via Koekie-instellings terug te trek;
• dataportabiliteit — jou uitvoer is in JSON;
• ’n klagte by jou plaaslike toesighoudende owerheid (EU/UK/EEA) of ekwivalent in te dien.

Ons reageer binne 30 dae op verifieerbare regteversoeke. Vir versoeke wat ons nie via selfbediening kan bevredig nie (regstelling van ’n veld wat ons nie blootstel nie, beperking van verwerking, beswaar), e-pos support@fixvibe.app met die onderwerpreël “Privacy request”.

Ons verkoop nie jou persoonlike inligting nie. Ons deel nie persoonlike inligting vir kruiskonteks-gedragsadvertensies nie. Analytics deur PostHog loop slegs nadat jy toestemming in ons koekiebanner gee; jy kan daardie toestemming te eniger tyd via Koekie-instellings terugtrek of deur Jou Privaatheidskeuses in die voetskrif te klik.

As jy ’n California-inwoner is, het jy ook die reg om:

• te weet watter persoonlike inligting ons insamel, die bronne, die doeleindes, en enige derde partye waarmee ons dit deel (alles hierbo uiteengesit);
• verwydering van jou persoonlike inligting te versoek (selfbediening via Rekening → Privaatheid of deur ons te e-pos);
• onakkurate persoonlike inligting reg te stel;
• die gebruik en openbaarmaking van sensitiewe persoonlike inligting te beperk — ons samel niks in buiten verifikasie-credentials en sessiemetadata nie, albei vereis om die diens te lewer;
• uit verkoop of deling te tree — nie van toepassing nie omdat ons nie een van die twee doen nie;
• nie gediskrimineer te word omdat jy enige van bogenoemde uitoefen nie.

Ons eerbiedig Global Privacy Control (GPC)-seine outomaties; die stuur van ’n GPC-kop laat ons jou besoek behandel asof jy uitdruklik uit enige toekomstige analytics-toestemming getree het.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Geen sekuriteitsprogram is perfek nie. As jy glo jy het ’n kwesbaarheid in FixVibe gevind, rapporteer dit asseblief aan support@fixvibe.app.

As ons wesenlike veranderings maak — nuwe sub-processors, nuwe kategorieë data, nuwe behoudtydperke — sal ons die datum hierbo opdateer en jou in die app in kennis stel. Klein woordkeuse-regstellings veroorsaak nie ’n kennisgewing nie.

privacy@fixvibe.app — antwoorde gewoonlik binne 5 werksdae, nooit langer as 30 dae soos vereis deur GDPR Art. 12(3).