FixVibe

// privatnost

Pravila privatnosti

posljednje ažuriranje · 2026-05-17

Ko smo mi

FixVibe upravlja EGO HERO LLC (“mi”, “nas”), voditelj obrade podataka za lične podatke opisane u ovoj politici. Za pitanja o privatnosti, uključujući zahtjeve ispitanika prema GDPR-u, UK GDPR-u ili CCPA-u, kontaktirajte privacy@fixvibe.app. Za sve ostalo, pišite na support@fixvibe.app.

Šta prikupljamo, zašto i koliko dugo čuvamo

  • Podaci računa

    E-mail adresa, OAuth identifikator (ako se prijavljujete preko Google ili GitHub) i svako ime koje primimo od vašeg OAuth pružatelja. Koristi se za autentifikaciju i kontakt u vezi s vašim računom. Čuva se dok je vaš račun aktivan. Kada izbrišete račun, ti podaci se uklanjaju u roku od 30 dana, osim gdje ih moramo zadržati (npr. evidencija naplate prema poreznom zakonu).

    pravni osnov · Izvršenje ugovora — čl. 6(1)(b) GDPR

  • Ciljevi skeniranja i nalazi

    URL-ovi koje skenirate, zahtjevi koje šaljemo tim URL-ovima i nalazi koje proizvodimo. Pohranjeno uz vašu organizaciju. Automatski brišemo zapise starije od perioda zadržavanja vašeg plana: 30 dana (Hobby), 90 dana (Pro), 365 dana (Unlimited). Historiju skeniranja možete izvesti ili izbrisati u bilo kojem trenutku iz Račun → Privatnost.

    pravni osnov · Izvršenje ugovora — čl. 6(1)(b) GDPR

  • Anonimne sesije skeniranja

    Ako pokrenete skeniranje bez prijave, izdajemo HMAC-potpisani kolačić (fixvibe_anon_session, vijek trajanja 24 sata) koji sadrži neproziran nasumični ID. Automatski brišemo nezatražene anonimne zapise skeniranja nakon 24 sata. Ako se registrujete unutar tog 24-satnog perioda, vaše skeniranje prelazi u vaš novi račun. Ne znamo ko su anonimni korisnici osim ako se registruju.

    pravni osnov · Strogo neophodno — izuzeće prema ePrivacy čl. 5(3)

  • Podaci za naplatu

    Stripe je naš procesor plaćanja. Oni čuvaju podatke vaše kartice na PCI-DSS infrastrukturi; mi čuvamo samo Stripe ID korisnika, status pretplate, plan, početak/kraj perioda i mali idempotentni zapis webhook događaja. Pogledajte Stripe obavijest o privatnosti na stripe.com/privacy.

    pravni osnov · Izvršenje ugovora — čl. 6(1)(b) GDPR

  • Serverski zapisi i revizijski zapisi

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    pravni osnov · Legitimni interes — čl. 6(1)(f) GDPR

  • GitHub integracija (opcionalno, samo Pro+)

    Ako povežete GitHub račun iz Račun → Integracije, čuvamo šifrirani OAuth pristupni token za vašu organizaciju, vaš GitHub login + numerički korisnički ID i odobrene scopes. Token koristimo isključivo za čitanje repozitorija protiv kojih pokrenete skeniranja. Izvorni kod se preuzima po skeniranju, obrađuje u memoriji i pohranjuju se samo pojedinačni dokazi nalaza (bez potpunih dumpova izvora). Briše se u roku od 30 dana nakon prekida veze.

    pravni osnov · Izvršenje ugovora / pristanak — čl. 6(1)(b) + 6(1)(a) GDPR

  • API tokeni + MCP server (opcionalno)

    Tokeni koje kreirate u Račun → API tokeni pohranjuju se kao SHA-256 hash, prvih 8 plaintext znakova (za identifikaciju), ime koje ste dodijelili, plus vremenske oznake kreiranja/zadnje upotrebe/opoziva. Plaintext se prikazuje tačno jednom pri kreiranju i nikada se ne pohranjuje. Tokeni su bearer vjerodajnice: svako ko ima vrijednost može čitati vaša skeniranja i pokretati nova dok ih ne opozovete. MCP server na /api/mcp autentificira se istim tokenima, izlaže iste podatke koje bi izložila kontrolna ploča i ne stvara zasebnu kategoriju podataka.

    pravni osnov · Izvršenje ugovora — čl. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    pravni osnov · Performance of contract — Art. 6(1)(b) GDPR

  • Otkrivanje prijetnji uživo (opcionalno, samo Unlimited)

    Ako imate uključeno praćenje na verificiranoj domeni, periodično hvatamo unose iz certificate-transparency logova, DNS zapise i threat-intel liste (Spamhaus DBL, URLhaus) za tu domenu. Ti snimci sadrže nazive hostova koje ste nam već odobrili za skeniranje i javne rezultate javnih pretraga. Ne hvataju se lični podaci vaših krajnjih korisnika. Snimci stariji od 7 dana automatski se brišu; najnovija osnovna vrijednost zadržava se po vrsti signala.

    pravni osnov · Izvršenje ugovora — čl. 6(1)(b) GDPR

  • Zakazana ponovna skeniranja (opcionalno, samo Pro+)

    Ako omogućite zakazana skeniranja na verificiranoj domeni, bilježimo ritam, vrijeme zadnjeg pokretanja, vrijeme sljedećeg pokretanja i koji korisnik je omogućio raspored. Svako skeniranje pokrenuto cron-om nasljeđuje potvrdu ovlaštenja za skeniranje datu kada je domena prvi put verificirana — ne potvrđujete ponovno za svako pokretanje. Isključite bilo kada u Domene → Raspored.

    pravni osnov · Izvršenje ugovora — čl. 6(1)(b) GDPR

  • Analitika (opcionalno, uz pristanak)

    Ako date pristanak za analitiku i imamo analitiku konfiguriranu za deployment koji koristite, koristimo pružatelja analitike proizvoda koji poštuje privatnost (proksiranog kroz našu domenu) za bilježenje anonimne upotrebe — koji se dugmići klikću, koje provjere ljudi pokreću, gdje korisnici ispadaju iz funnel-a. U analitičke događaje ne stavljamo URL-ove koje skenirate, sadržaj dokaza ili lične podatke. Pristanak možete povući bilo kada putem .

    pravni osnov · Pristanak — čl. 6(1)(a) GDPR / ePrivacy čl. 5(3)

  • Preuzimanje promotivne ponude

    Kada preuzmete promo kod, pozivni link ili kredit za preporuku, čuvamo kod kampanje, plan i trajanje koje smo odobrili, vremenske oznake početka i kraja trial-a, plan koji ste imali prije trial-a i HMAC-SHA256 hash vaše IP adrese u trenutku preuzimanja (nikada ne čuvamo sirovu IP — hash postoji samo kako bismo mogli provoditi ograničenja jednog-preuzimanja-po-mreži, a rotiranje osnovnog HMAC ključa poništava sve sačuvane hash-eve bez izlaganja bilo koga). Zadržava se za trajanje kampanje plus 18 mjeseci za računovodstvene svrhe i svrhe istraživanja prijevara, zatim se briše s ostatkom zapisa kampanje.

    pravni osnov · Legitimni interes (sprečavanje prijevara, računovodstvo) — Čl. 6(1)(f) GDPR

  • Takmičenja, nagradne igre i izazovi

    Ako se prijavite na FixVibe Izazov (poput Sigurnosnog Preflight Izazova), čuvamo email za kontakt koji podnesete (obavezan kako bismo vas mogli kontaktirati ako pobijedite), Reddit i Product Hunt korisnička imena koja opcionalno date, vaš scan ID i korijensku domenu, samoizvještavajući tip projekta, stack i tekst jedne-stvari-koju-sam-naučio koje opcionalno date, vrijednost kanala otkrivanja koju opcionalno odaberete i tri potrebne čekboks potvrde koje prihvatite (ovlaštenje, pravila, kontakt). Ako zasebno označite opcionalni featured-on-marketing pristanak, možemo prikazati vaš javni rezultat, ocjenu, stack, korisničko ime i predani citat na FixVibe početnoj stranici, stranici izazova ili rekapitulaciji — nikada bilo koje drugo polje, i nikada bez tog opt-in pristanka. Prijave za izazov zadržavaju se za trajanje Izazova plus 18 mjeseci za svrhe verifikacije i sporova. Možete povući featured-on-marketing pristanak u bilo koje vrijeme slanjem emaila na privacy@fixvibe.app; povlačenje ne utiče na zakonitu obradu prije povlačenja.

    pravni osnov · Izvršenje ugovora (vođenje Izazova) i pristanak (isticanje) — Čl. 6(1)(b) i 6(1)(a) GDPR

Šta NE prikupljamo

  • Nikada ne prodajemo vaše podatke.
  • Ne ugrađujemo oglasnu tehnologiju trećih strana, fingerprinting ili session-replay skripte.
  • Ne stavljamo URL-ove ciljeva skeniranja ili dokaze nalaza u analitičke property-je — ti podaci žive samo u našoj bazi podataka, zaštićeni row-level security pravilima.
  • Ne dijelimo vaše podatke s trećim stranama za njihov vlastiti marketing.

Podizvršioci obrade

Oslanjamo se na sljedeće podizvršioce obrade za rad FixVibe:

  • Vercel Inc. (USA) — hosting aplikacije i edge mreža. Obavijest o privatnosti: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres baza podataka, autentifikacija, pohrana datoteka, Realtime. Produkcijska baza podataka FixVibe nalazi se u regiji AWS us-east-1. Obavijest o privatnosti: supabase.com/privacy.
  • Stripe Inc. (USA) — obrada plaćanja za plaćene planove. Obavijest o privatnosti: stripe.com/privacy.
  • Upstash, Inc. (USA, putem Vercel Marketplace) — rate limiting podržan Redisom; pohranjuje samo kratkotrajne brojače zasnovane na IP adresi. Obavijest o privatnosti: upstash.com/privacy.
  • PostHog Inc. (USA) — analitika proizvoda, samo ako date pristanak za analitiku i samo kada je analitika konfigurirana za deployment koji koristite. Obavijest o privatnosti: posthog.com/privacy.
  • GitHub, Inc. (USA) — samo ako povežete opcionalnu GitHub integraciju. Koristimo GitHub API za čitanje repozitorija protiv kojih pokrenete skeniranja. Obavijest o privatnosti: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — isporuka transakcijske e-pošte. Prima vašu e-mail adresu i tijelo e-pošte kada šaljemo e-poštu o završenom skeniranju, zakazanom skeniranju, upozorenju na prijetnju uživo i sedmičnom pregledu. Resend zadržava metapodatke isporuke (vremenske oznake, status, bounce zapise) u operativne svrhe; nikada ne šaljemo marketinšku e-poštu preko Resend. Obavijest o privatnosti: resend.com/legal/privacy-policy.

Prijenosi ličnih podataka izvan EEA/UK oslanjaju se na Standardne ugovorne klauzule Evropske komisije (ili UK International Data Transfer Addendum), dopunjene mjerama šifriranja u prijenosu i šifriranja u mirovanju opisanim u odjeljku “Sigurnost” ispod.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Vaša prava

Prema GDPR-u, UK GDPR-u i ekvivalentnim zakonima (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act itd.), imate pravo da:

  • pristupite kopiji svojih podataka (to možete samostalno uraditi iz Račun → Privatnost);
  • ispravite svoje podatke;
  • izbrišete svoje podatke (također samostalno);
  • uložite prigovor na obradu zasnovanu na legitimnim interesima;
  • povučete pristanak za analitiku u bilo kojem trenutku putem ;
  • prenosivost podataka — vaš izvoz je u JSON formatu;
  • podnesete žalbu lokalnom nadzornom organu (EU/UK/EEA) ili ekvivalentnom organu.

Na provjerljive zahtjeve za prava odgovaramo u roku od 30 dana. Za zahtjeve koje ne možemo zadovoljiti samoposluživanjem (ispravka polja koje ne izlažemo, ograničenje obrade, prigovor), pošaljite e-mail na support@fixvibe.app s naslovom “Zahtjev za privatnost”.

Rezidenti Kalifornije (CCPA / CPRA)

Ne prodajemo vaše lične podatke. Ne dijelimo lične podatke za međukontekstualno bihevioralno oglašavanje. Analitika preko PostHog pokreće se samo nakon što date pristanak u našem baneru za kolačiće; taj pristanak možete povući bilo kada putem ili klikom na Vaši izbori privatnosti u podnožju.

Ako ste rezident Kalifornije, imate i pravo da:

  • znate koje lične podatke prikupljamo, izvore, svrhe i sve treće strane s kojima ih dijelimo (sve je detaljno navedeno iznad);
  • zatražite brisanje svojih ličnih podataka (samoposluživanje preko Račun → Privatnost ili slanjem e-pošte nama);
  • ispravite netačne lične podatke;
  • ograničite upotrebu i otkrivanje osjetljivih ličnih podataka — ne prikupljamo ništa osim vjerodajnica za autentifikaciju i metapodataka sesije, oboje potrebno za pružanje usluge;
  • odustanete od prodaje ili dijeljenja — nije primjenjivo jer ne radimo ni jedno ni drugo;
  • ne budete diskriminisani zbog ostvarivanja bilo čega od navedenog.

Automatski poštujemo Global Privacy Control (GPC) signale; slanje GPC header-a tretira vašu posjetu kao da ste izričito odbili svaki budući pristanak na analitiku.

Sigurnost

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Nijedan sigurnosni program nije savršen. Ako vjerujete da ste pronašli ranjivost u FixVibe, prijavite je na support@fixvibe.app.

Promjene ove politike

Ako napravimo materijalne promjene — novi podizvršioci obrade, nove kategorije podataka, novi periodi zadržavanja — ažurirat ćemo datum iznad i obavijestiti vas u aplikaciji. Manje jezičke ispravke ne pokreću obavijest.

Kontakt

privacy@fixvibe.app — odgovori obično stižu u roku od 5 radnih dana, nikada duže od 30 dana kako zahtijeva GDPR čl. 12(3).

Pravila privatnosti · FixVibe