Политика за поверителност

FixVibe се управлява от EGO HERO LLC („ние“, „нас“), администраторът на личните данни, описани в тази политика. За въпроси относно поверителността, включително искания на субекти на данни по GDPR, UK GDPR или CCPA, се свържи с privacy@fixvibe.app. За всичко останало пиши на support@fixvibe.app.

• Данни за акаунта

  Имейл адрес, OAuth идентификатор (ако влизаш с Google или GitHub) и всяко име, което получим от твоя OAuth доставчик. Използват се, за да те удостоверим и да се свързваме с теб относно акаунта ти. Пазят се, докато акаунтът ти е активен. Когато изтриеш акаунта си, тези данни се премахват в рамките на 30 дни, освен когато сме длъжни да ги запазим (например счетоводни записи по данъчно право).

  правно основание · Изпълнение на договор — Art. 6(1)(b) GDPR

• Цели на сканиране и находки

  URL адресите, които сканираш, заявките, които изпращаме към тези URL адреси, и находките, които създаваме. Съхраняват се към твоята организация. Автоматично изтриваме записи, по-стари от прозореца за съхранение на твоя план: 30 дни (Hobby), 90 дни (Pro), 365 дни (Unlimited). Можеш да експортираш или изтриеш историята на сканиранията си по всяко време от Акаунт → Поверителност.

  правно основание · Изпълнение на договор — Art. 6(1)(b) GDPR

• Анонимни сесии за сканиране

  Ако стартираш сканиране без вход, издаваме HMAC-подписана бисквитка (fixvibe_anon_session, живот 24 часа), която съдържа непрозрачно произволно ID. Автоматично изтриваме непоискани анонимни записи от сканирания след 24 часа. Ако се регистрираш в рамките на 24-часовия прозорец, сканирането ти мигрира в новия ти акаунт. Не знаем кои са анонимните потребители, освен ако не се регистрират.

  правно основание · Строго необходимо — изключение по ePrivacy Art. 5(3)

• Данни за фактуриране

  Stripe е нашият обработващ плащания. Stripe съхранява данните на картата ти в PCI-DSS инфраструктура; ние съхраняваме само Stripe клиентско ID, статус на абонамента, план, начало и край на периода и малък idempotency запис на webhook събития. Виж уведомлението за поверителност на Stripe на stripe.com/privacy.

  правно основание · Изпълнение на договор — Art. 6(1)(b) GDPR

• Сървърни логове и одитни логове

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  правно основание · Легитимен интерес — Art. 6(1)(f) GDPR

• Интеграция GitHub (по избор, само Pro+)

  Ако свържеш GitHub акаунт от Акаунт → Интеграции, съхраняваме криптиран OAuth токен за достъп за твоята организация, твоя GitHub login + числов потребителски ID и предоставените scopes. Използваме токена единствено за четене на хранилища, срещу които инициираш сканирания. Изходният код се изтегля за всяко сканиране, обработва се в паметта и се запазват само отделни доказателства за находки (без пълни dump-ове на изходния код). Изтрива се в рамките на 30 дни след прекъсване на връзката.

  правно основание · Изпълнение на договор / съгласие — Art. 6(1)(b) + 6(1)(a) GDPR

• API токени + MCP сървър (по избор)

  Токените, които създаваш в Акаунт → API токени, се съхраняват като SHA-256 hash, първите 8 знака в plain text (за идентификация), името, което си задал, плюс времеви печати за създаване, последна употреба и отмяна. Plain text стойността се показва точно веднъж при създаване и никога не се запазва. Токените са bearer credentials: всеки със стойността може да чете сканиранията ти и да стартира нови, докато не ги отмениш. MCP сървърът на /api/mcp се удостоверява със същите токени, излага същите данни като dashboard-а и не създава отделна категория данни.

  правно основание · Изпълнение на договор — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  правно основание · Performance of contract — Art. 6(1)(b) GDPR

• Откриване на заплахи на живо (по избор, само Unlimited)

  Ако имаш включен мониторинг за проверен домейн, периодично записваме записи от certificate-transparency логове, DNS записи и threat-intel списъци (Spamhaus DBL, URLhaus) за този домейн. Тези снимки съдържат hostname-и, които вече си ни упълномощил да сканираме, и публичните резултати от публични заявки. Не се улавят лични данни на твоите крайни потребители. Снимки, по-стари от 7 дни, се изтриват автоматично; най-новият baseline се пази за всеки тип сигнал.

  правно основание · Изпълнение на договор — Art. 6(1)(b) GDPR

• Планирани повторни сканирания (по избор, само Pro+)

  Ако включиш планирани сканирания за проверен домейн, записваме честотата, часа на последното изпълнение, часа на следващото изпълнение и кой потребител е включил графика. Всяко сканиране, задействано от cron, наследява удостоверението за разрешение за сканиране, направено при първата проверка на домейна — не удостоверяваш повторно при всяко изпълнение. Изключи по всяко време от Домейни → График.

  правно основание · Изпълнение на договор — Art. 6(1)(b) GDPR

• Аналитика (по избор, със съгласие)

  Ако дадеш съгласие за аналитика и имаме конфигурирана аналитика за deployment-а, който използваш, използваме доставчик на продуктова аналитика, който уважава поверителността (прокснат през наш собствен домейн), за да записваме анонимна употреба — кои бутони се кликват, кои проверки се стартират, къде потребителите отпадат във funnel-а. Не поставяме URL адресите, които сканираш, съдържание на доказателства или лични данни в аналитични събития. Оттегли съгласието по всяко време чрез Настройки на бисквитките.

  правно основание · Съгласие — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Осребряване на промоционална оферта

  Когато осребрявате промо код, линк за покана или реферален кредит, съхраняваме кода на кампанията, плана и продължителността, които сме предоставили, времевите печати за начало и край на пробния период, плана, на който сте били преди пробния период, и HMAC-SHA256 хеш на Вашия IP адрес в момента на осребряването (никога не съхраняваме суровия IP — хешът съществува само за да можем да прилагаме лимитите за едно осребряване на мрежа, а ротирането на основния HMAC ключ обезсилва всички съхранени хешове, без да излага никого). Запазва се за времето на кампанията плюс 18 месеца за счетоводни и фрод-разследващи цели, след което се изтрива заедно с останалата част от записа на кампанията.

  правно основание · Легитимен интерес (предотвратяване на измами, счетоводство) — Чл. 6(1)(е) GDPR

• Конкурси, лотарии и предизвикателства

  Ако се запишете в FixVibe Предизвикателство (като Security Preflight Challenge), съхраняваме имейла за контакт, който подавате (задължителен, за да можем да се свържем с Вас, ако спечелите), Reddit и Product Hunt потребителските имена, които опционално предоставяте, Вашия scan ID и root домейн, самоотчетените тип проект, стек и едно-нещо-което-научих текст, които опционално предоставяте, стойността на канала за откриване, която опционално избирате, и трите задължителни чекбокса за съгласие, които приемате (упълномощаване, правила, контакт). Ако отделно отметнете опционалното представено-в-маркетинга съгласие, можем да покажем Вашия публичен резултат, рейтинг, стек, потребителско име и подаден цитат на началната страница на FixVibe, страницата на предизвикателството или пост с обобщение — никога никое друго поле и никога без този opt-in. Записите за предизвикателство се запазват за времето на Предизвикателството плюс 18 месеца за цели на верификация и спорове. Можете да оттеглите съгласието за представено-в-маркетинга по всяко време, като изпратите имейл на privacy@fixvibe.app; оттеглянето не засяга законното обработване преди оттеглянето.

  правно основание · Изпълнение на договор (провеждане на Предизвикателството) и съгласие (представяне) — Чл. 6(1)(б) и 6(1)(а) GDPR

• Никога не продаваме твоите данни.
• Не вграждаме рекламни технологии на трети страни, fingerprinting или скриптове за session-replay.
• Не поставяме URL адресите на целите за сканиране или доказателствата за находки в аналитични свойства — тези данни живеят само в нашата база данни, защитени чрез сигурност на ниво ред.
• Не споделяме твоите данни с трети страни за техен собствен маркетинг.

Разчитаме на следните подобработващи, за да работи FixVibe:

• Vercel Inc. (САЩ) — хостинг на приложението и edge мрежа. Уведомление за поверителност: vercel.com/legal/privacy-policy.
• Supabase Inc. (САЩ) — Postgres база данни, удостоверяване, файлово хранилище, Realtime. Продукционната база данни на FixVibe е в региона AWS us-east-1. Уведомление за поверителност: supabase.com/privacy.
• Stripe Inc. (САЩ) — обработка на плащания за платени планове. Уведомление за поверителност: stripe.com/privacy.
• Upstash, Inc. (САЩ, чрез Vercel Marketplace) — rate limiting, базиран на Redis; съхранява само краткотрайни броячи, базирани на IP. Уведомление за поверителност: upstash.com/privacy.
• PostHog Inc. (САЩ) — продуктова аналитика, само ако дадеш съгласие за аналитика и само когато аналитиката е конфигурирана за deployment-а, който използваш. Уведомление за поверителност: posthog.com/privacy.
• GitHub, Inc. (САЩ) — само ако свържеш опционалната интеграция GitHub. Използваме API на GitHub за четене на хранилищата, срещу които инициираш сканирания. Уведомление за поверителност: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (САЩ) — доставка на транзакционни имейли. Получава твоя имейл адрес и тялото на имейла, когато изпращаме имейли за завършено сканиране, планирано сканиране, live-threat alert и седмичен digest. Resend пази метаданни за доставката (времеви печати, статус, bounce записи) за оперативни цели; никога не изпращаме маркетингов имейл чрез Resend. Уведомление за поверителност: resend.com/legal/privacy-policy.

Трансферите на лични данни извън EEA/UK се основават на Стандартните договорни клаузи на Европейската комисия (или International Data Transfer Addendum на UK), допълнени от мерките за криптиране при пренос и криптиране в покой, описани по-долу в „Сигурност“.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Съгласно GDPR, UK GDPR и еквивалентни закони (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act и др.) имаш право да:

• получиш достъп до копие на данните си (можеш да го направиш самостоятелно от Акаунт → Поверителност);
• поправиш данните си;
• изтриеш данните си (също самостоятелно);
• възразиш срещу обработка, основана на легитимни интереси;
• оттеглиш съгласие за аналитика по всяко време чрез Настройки на бисквитките;
• преносимост на данните — твоят експорт е в JSON;
• подадеш жалба до местния надзорен орган (EU/UK/EEA) или еквивалентен орган.

Отговаряме на проверими искания за права в рамките на 30 дни. За искания, които не можем да удовлетворим самостоятелно (корекция на поле, което не показваме, ограничаване на обработката, възражение), изпрати имейл на support@fixvibe.app с тема „Privacy request“.

Не продаваме личната ти информация. Не споделяме лична информация за поведенческа реклама в различни контексти. Аналитиката чрез PostHog работи само след като дадеш съгласие в нашия cookie банер; можеш да оттеглиш това съгласие по всяко време чрез Настройки на бисквитките или като кликнеш Твоите избори за поверителност във footer-а.

Ако си жител на Калифорния, имаш също право да:

• знаеш каква лична информация събираме, източниците, целите и всички трети страни, с които я споделяме (всичко е подробно описано по-горе);
• поискаш изтриване на личната си информация (самостоятелно чрез Акаунт → Поверителност или като ни изпратиш имейл);
• поправиш неточна лична информация;
• ограничиш използването и разкриването на чувствителна лична информация — не събираме такава извън удостоверителни данни и метаданни за сесията, които са необходими за предоставяне на услугата;
• се откажеш от продажба или споделяне — неприложимо, тъй като не правим нито едното;
• не бъдеш дискриминиран за упражняване на което и да е от горните права.

Уважаваме автоматично сигналите Global Privacy Control (GPC); изпращането на GPC header третира посещението ти така, сякаш изрично си се отказал от бъдещо съгласие за аналитика.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Нито една програма за сигурност не е съвършена. Ако смяташ, че си намерил уязвимост във FixVibe, моля, докладвай я на support@fixvibe.app.

Ако направим съществени промени — нови подобработващи, нови категории данни, нови периоди на съхранение — ще актуализираме датата по-горе и ще те уведомим в приложението. Дребни поправки на формулировки не задействат уведомление.

privacy@fixvibe.app — отговори обикновено в рамките на 5 работни дни, никога повече от 30 дни, както се изисква от GDPR Art. 12(3).