FixVibe

// privacy

Палітыка прыватнасці

апошняе абнаўленне · 2026-05-17

Хто мы

FixVibe кіруецца EGO HERO LLC (“мы”, “нас”), кантролёрам дадзеных для персанальных дадзеных, апісаных у гэтай палітыцы. Па пытаннях прыватнасці, уключаючы запыты суб’ектаў дадзеных паводле GDPR, UK GDPR або CCPA, звяртайся на privacy@fixvibe.app. Па ўсіх іншых пытаннях пішы на support@fixvibe.app.

Што мы збіраем, навошта і як доўга захоўваем

  • Дадзеныя акаўнта

    Электронны адрас, OAuth ідэнтыфікатар (калі ты ўваходзіш праз Google або GitHub) і любое імя, якое мы атрымліваем ад твайго OAuth правайдэра. Выкарыстоўваецца для тваёй аўтэнтыфікацыі і сувязі з табой наконт акаўнта. Захоўваецца, пакуль твой акаўнт актыўны. Калі ты выдаляеш акаўнт, гэтыя дадзеныя выдаляюцца на працягу 30 дзён, за выключэннем выпадкаў, калі мы абавязаны іх захоўваць (напрыклад, бухгалтарскія запісы паводле падатковага заканадаўства).

    прававая падстава · Выкананне дагавора — Art. 6(1)(b) GDPR

  • Мэты сканіравання і вынікі

    URL-адрасы, якія ты сканіруеш, запыты, якія мы робім да гэтых URL-адрасоў, і вынікі, якія мы ствараем. Захоўваюцца ў межах тваёй арганізацыі. Мы аўтаматычна выдаляем запісы, старэйшыя за акно захавання твайго плана: 30 дзён (Hobby), 90 дзён (Pro), 365 дзён (Unlimited). Ты можаш у любы час экспартаваць або выдаліць гісторыю сканіравання з Акаўнт → Прыватнасць.

    прававая падстава · Выкананне дагавора — Art. 6(1)(b) GDPR

  • Ананімныя сеансы сканіравання

    Калі ты запускаеш сканіраванне без уваходу, мы выдаём HMAC-падпісаны cookie (fixvibe_anon_session, 24-гадзінны тэрмін дзеяння), які змяшчае непразрысты выпадковы ID. Мы аўтаматычна выдаляем незапатрабаваныя ананімныя запісы сканіравання праз 24 гадзіны. Калі ты рэгіструешся ў межах 24-гадзіннага акна, тваё сканіраванне пераносіцца ў новы акаўнт. Мы не ведаем, хто ананімныя карыстальнікі, калі яны не рэгіструюцца.

    прававая падстава · Строга неабходна — ePrivacy Art. 5(3) выключэнне

  • Плацежныя дадзеныя

    Stripe з’яўляецца нашым апрацоўшчыкам плацяжоў. Stripe захоўвае дадзеныя тваёй карты ў PCI-DSS інфраструктуры; мы захоўваем толькі Stripe customer ID, статус падпіскі, план, пачатак/канец перыяду і невялікі ідэмпатэнтны запіс webhook падзей. Глядзі паведамленне аб прыватнасці Stripe на stripe.com/privacy.

    прававая падстава · Выкананне дагавора — Art. 6(1)(b) GDPR

  • Серверныя журналы і журналы аўдыту

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    прававая падстава · Законны інтарэс — Art. 6(1)(f) GDPR

  • Інтэграцыя GitHub (неабавязкова, толькі Pro+)

    Калі ты падключаеш GitHub акаўнт з Акаўнт → Інтэграцыі, мы захоўваем зашыфраваны OAuth токен доступу для тваёй арганізацыі, твой GitHub лагін + лікавы ID карыстальніка і прадастаўленыя scopes. Мы выкарыстоўваем токен толькі для чытання рэпазіторыяў, супраць якіх ты ініцыюеш сканіраванне. Зыходны код атрымліваецца для кожнага сканіравання, апрацоўваецца ў памяці, і захоўваюцца толькі асобныя доказы вынікаў (без поўных дампаў зыходнага кода). Выдаляецца на працягу 30 дзён пасля адключэння.

    прававая падстава · Выкананне дагавора / згода — Art. 6(1)(b) + 6(1)(a) GDPR

  • API токены + MCP сервер (неабавязкова)

    Токены, якія ты ствараеш у Акаўнт → API токены, захоўваюцца як SHA-256 хэш, першыя 8 сімвалаў адкрытага тэксту (для ідэнтыфікацыі), прызначаная табой назва, а таксама пазнакі часу стварэння/апошняга выкарыстання/адклікання. Адкрыты тэкст паказваецца табе роўна адзін раз пры стварэнні і ніколі не захоўваецца. Токены з’яўляюцца bearer ўліковымі дадзенымі: кожны, хто мае значэнне, можа чытаць твае сканіраванні і пачынаць новыя, пакуль ты не адклічаш токен. MCP сервер на /api/mcp аўтэнтыфікуецца тымі ж токенамі, паказвае тыя ж дадзеныя, што і панэль кіравання, і не стварае асобнай катэгорыі дадзеных.

    прававая падстава · Выкананне дагавора — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    прававая падстава · Performance of contract — Art. 6(1)(b) GDPR

  • Жывое выяўленне пагроз (неабавязкова, толькі Unlimited)

    Калі для верыфікаванага дамена ўключаны маніторынг, мы перыядычна фіксуем certificate-transparency журнальныя запісы, DNS-запісы і спісы threat-intel (Spamhaus DBL, URLhaus) для гэтага дамена. Гэтыя здымкі змяшчаюць імёны хастоў, якія ты ўжо дазволіў нам сканіраваць, і публічныя вынікі публічных запытаў. Персанальныя дадзеныя тваіх канчатковых карыстальнікаў не збіраюцца. Здымкі старэйшыя за 7 дзён аўтаматычна выдаляюцца; захоўваецца найноўшая базавая лінія для кожнага тыпу сігналу.

    прававая падстава · Выкананне дагавора — Art. 6(1)(b) GDPR

  • Запланаваныя паўторныя сканіраванні (неабавязкова, толькі Pro+)

    Калі ты ўключаеш запланаваныя сканіраванні для верыфікаванага дамена, мы запісваем перыядычнасць, час апошняга запуску, час наступнага запуску і карыстальніка, які ўключыў расклад. Кожнае сканіраванне, запушчанае cron, наследуе пацвярджэнне дазволу на сканіраванне, зробленае пры першай верыфікацыі дамена — паўторнае пацвярджэнне для кожнага запуску не патрабуецца. Адключыць можна ў любы час у Дамены → Расклад.

    прававая падстава · Выкананне дагавора — Art. 6(1)(b) GDPR

  • Аналітыка (неабавязкова, толькі са згодай)

    Калі ты даеш згоду на аналітыку і аналітыка настроена для разгортвання, якім ты карыстаешся, мы выкарыстоўваем правайдэра прадуктавай аналітыкі, які паважае прыватнасць (праксіруецца праз наш уласны дамен), каб запісваць ананімнае выкарыстанне — якія кнопкі націскаюцца, якія праверкі запускаюць людзі, дзе ў варонцы карыстальнікі сыходзяць. Мы не змяшчаем URL-адрасы, якія ты сканіруеш, змесціва доказаў або персанальныя дадзеныя ў падзеі аналітыкі. Адклікай згоду ў любы час праз .

    прававая падстава · Згода — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Атрыманне прамоцыйнай прапановы

    Калі вы атрымліваеце промакод, спасылку-запрашэнне ці рэферальны крэдыт, мы захоўваем код кампаніі, план і працягласць, якія мы прадаставілі, часавыя адзнакі пачатку і заканчэння пробнага перыяду, план, які вы мелі да пробнага перыяду, і HMAC-SHA256 хэш вашага IP-адраса на момант атрымання (мы ніколі не захоўваем сыры IP — хэш існуе толькі для таго, каб мы маглі забяспечыць абмежаванні адно-атрыманне-на-сетку, і змена базавага HMAC-ключа робіць несапраўднымі ўсе захаваныя хэшы без раскрыцця кагосьці). Захоўваецца на працягу тэрміну дзеяння кампаніі плюс 18 месяцаў для бухгалтарскіх мэт і мэт расследавання махлярства, затым выдаляецца разам з астатнімі запісамі кампаніі.

    прававая падстава · Законны інтарэс (прадухіленне махлярства, бухгалтарскі ўлік) — Арт. 6(1)(f) GDPR

  • Конкурсы, латарэі і выпрабаванні

    Калі вы ўваходзіце ў Конкурс FixVibe (такі як Конкурс Security Preflight), мы захоўваем кантактны email, які вы падаяце (патрабуецца, каб мы маглі звязацца з вамі ў выпадку перамогі), імёны карыстальнікаў Reddit і Product Hunt, якія вы неабавязкова падаяце, ваш scan ID і каранёвы дамен, тып праекту, стэк і тэкст пра адну вывучаную рэч, якія вы неабавязкова падаяце, значэнне канала адкрыцця, якое вы неабавязкова выбіраеце, і тры абавязковыя сцяжкі згоды, якія вы прымаеце (аўтарызацыя, правілы, кантакт). Калі вы асобна адзначыце неабавязковую згоду прадстаўлена-ў-маркетынгу, мы можам адлюстроўваць ваш публічны бал, рэйтынг, стэк, імя карыстальніка і пададзеную цытату на галоўнай старонцы FixVibe, старонцы конкурсу або ў паведамленні-падсумаванні — ніколі іншае поле і ніколі без гэтай згоды. Заяўкі на конкурс захоўваюцца на працягу тэрміну дзеяння Конкурсу плюс 18 месяцаў для мэт праверкі і спрэчак. Вы можаце адклікаць згоду на прадстаўленне-ў-маркетынгу ў любы час, напісаўшы на privacy@fixvibe.app; адкліканне не закранае законную апрацоўку да адклікання.

    прававая падстава · Выкананне кантракта (правядзенне Конкурсу) і згода (прадстаўленне) — Арт. 6(1)(b) і 6(1)(a) GDPR

Што мы НЕ збіраем

  • Мы ніколі не прадаём твае дадзеныя.
  • Мы не ўбудоўваем староннія ad-tech, fingerprinting або session-replay скрыпты.
  • Мы не змяшчаем URL-адрасы мэтаў сканіравання або доказы вынікаў у аналітычныя ўласцівасці — гэтыя дадзеныя жывуць толькі ў нашай базе дадзеных, абароненай бяспекай на ўзроўні радкоў.
  • Мы не перадаём твае дадзеныя трэцім бакам для іх уласнага маркетынгу.

Падапрацоўшчыкі

Для працы FixVibe мы абапіраемся на наступных падапрацоўшчыкаў:

  • Vercel Inc. (USA) — хостынг прыкладання і edge-сетка. Паведамленне аб прыватнасці: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres база дадзеных, аўтэнтыфікацыя, захоўванне файлаў, Realtime. Вытворчая база дадзеных FixVibe знаходзіцца ў рэгіёне AWS us-east-1. Паведамленне аб прыватнасці: supabase.com/privacy.
  • Stripe Inc. (USA) — апрацоўка плацяжоў для платных планаў. Паведамленне аб прыватнасці: stripe.com/privacy.
  • Upstash, Inc. (USA, праз Vercel Marketplace) — абмежаванне хуткасці на базе Redis; захоўвае толькі кароткатэрміновыя лічыльнікі на аснове IP. Паведамленне аб прыватнасці: upstash.com/privacy.
  • PostHog Inc. (USA) — прадуктавая аналітыка, толькі калі ты даеш згоду на аналітыку і толькі калі аналітыка настроена для разгортвання, якім ты карыстаешся. Паведамленне аб прыватнасці: posthog.com/privacy.
  • GitHub, Inc. (USA) — толькі калі ты падключаеш неабавязковую інтэграцыю GitHub. Мы выкарыстоўваем GitHub API для чытання рэпазіторыяў, супраць якіх ты ініцыюеш сканіраванне. Паведамленне аб прыватнасці: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — дастаўка транзакцыйнай электроннай пошты. Атрымлівае твой электронны адрас і цела ліста, калі мы адпраўляем лісты пра завершанае сканіраванне, запланаванае сканіраванне, папярэджанне аб жывой пагрозе і штотыднёвы дайджэст. Resend захоўвае метаданыя дастаўкі (часавыя пазнакі, статус, запісы bounce) для аперацыйных мэт; мы ніколі не адпраўляем маркетынгавую пошту праз Resend. Паведамленне аб прыватнасці: resend.com/legal/privacy-policy.

Перадачы персанальных дадзеных за межы EEA/UK абапіраюцца на Standard Contractual Clauses Еўрапейскай камісіі (або UK International Data Transfer Addendum), дапоўненыя мерамі шыфравання пры перадачы і шыфравання пры захоўванні, апісанымі ніжэй у раздзеле “Бяспека”.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Твае правы

Згодна з GDPR, UK GDPR і эквівалентнымі законамі (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act і інш.) ты маеш права:

  • атрымаць доступ да копіі сваіх дадзеных (ты можаш зрабіць гэта самастойна праз Акаўнт → Прыватнасць);
  • патрабаваць выпраўлення сваіх дадзеных;
  • патрабаваць выдалення сваіх дадзеных (таксама самастойна);
  • пярэчыць супраць апрацоўкі на падставе законных інтарэсаў;
  • у любы час адклікаць згоду на аналітыку праз ;
  • пераноснасць дадзеных — твой экспарт у JSON;
  • падаць скаргу ў мясцовы наглядны орган (EU/UK/EEA) або эквівалентны орган.

Мы адказваем на правяраемыя запыты аб правах на працягу 30 дзён. Для запытаў, якія мы не можам задаволіць самастойна (выпраўленне поля, якое мы не паказваем, абмежаванне апрацоўкі, пярэчанне), напішы на support@fixvibe.app з тэмай “Privacy request”.

Жыхары Каліфорніі (CCPA / CPRA)

Мы не прадаём тваю персанальную інфармацыю. Мы не перадаём персанальную інфармацыю для міжкантэкстнай паводзіннай рэкламы. Аналітыка праз PostHog запускаецца толькі пасля таго, як ты даеш згоду ў нашым банеры cookies; ты можаш адклікаць гэтую згоду ў любы час праз або націснуўшы Твае выбары прыватнасці у футары.

Калі ты жыхар Каліфорніі, ты таксама маеш права:

  • ведаць, якую персанальную інфармацыю мы збіраем, крыніцы, мэты і трэція бакі, з якімі мы ёй дзелімся (усё падрабязна апісана вышэй);
  • запытаць выдаленне тваёй персанальнай інфармацыі (самастойна праз Акаўнт → Прыватнасць або па электроннай пошце да нас);
  • выправіць недакладную персанальную інфармацыю;
  • абмежаваць выкарыстанне і раскрыццё адчувальнай персанальнай інфармацыі — мы не збіраем нічога, акрамя ўліковых дадзеных аўтэнтыфікацыі і метаданых сеанса, абодва неабходныя для прадастаўлення паслугі;
  • адмовіцца ад продажу або перадачы — не прымяняецца, бо мы не робім ні таго, ні іншага;
  • не падвяргацца дыскрымінацыі за ажыццяўленне любога з вышэйпералічаных правоў.

Мы аўтаматычна выконваем сігналы Global Privacy Control (GPC); адпраўка GPC загалоўка азначае, што твой візіт разглядаецца так, нібы ты выразна адмовіўся ад любой будучай згоды на аналітыку.

Бяспека

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Ніводная праграма бяспекі не ідэальная. Калі ты лічыш, што знайшоў уразлівасць у FixVibe, калі ласка, паведамі пра яе на support@fixvibe.app.

Змены ў гэтай палітыцы

Калі мы ўнясём істотныя змены — новыя падапрацоўшчыкі, новыя катэгорыі дадзеных, новыя тэрміны захавання — мы абновім дату вышэй і паведамім табе ў праграме. Нязначныя выпраўленні фармулёвак не выклікаюць паведамлення.

Кантакт

privacy@fixvibe.app — адказы звычайна на працягу 5 рабочых дзён, ніколі даўжэй за 30 дзён, як патрабуе GDPR Art. 12(3).

Палітыка прыватнасці · FixVibe