FixVibe

// privacitat

Política de Privacitat

última actualització · 2026-05-17

Qui som

FixVibe és operat per EGO HERO LLC («nosaltres»), el responsable del tractament de les dades personals descrites en aquesta política. Per a preguntes de privacitat, incloses les sol·licituds dels interessats sota GDPR, UK GDPR o CCPA, contacta amb privacy@fixvibe.app. Per a qualsevol altra cosa, escriu a support@fixvibe.app.

Què recollim, per què i durant quant temps ho conservem

  • Dades del compte

    Adreça de correu electrònic, identificador OAuth (si inicies sessió amb Google o GitHub) i qualsevol nom que rebem del teu proveïdor OAuth. S’utilitza per autenticar-te i contactar-te sobre el teu compte. Es conserva mentre el teu compte és actiu. Quan elimines el compte, aquestes dades se suprimeixen dins de 30 dies, excepte quan se’ns exigeix conservar-les (p. ex., registres de facturació sota la legislació fiscal).

    base jurídica · Execució del contracte — Art. 6(1)(b) GDPR

  • Objectius d’escaneig i troballes

    Les URL que escaneges, les sol·licituds que fem a aquestes URL i les troballes que produïm. S’emmagatzemen contra la teva organització. Eliminem automàticament els registres més antics que la finestra de retenció del teu pla: 30 dies (Hobby), 90 dies (Pro), 365 dies (Unlimited). Pots exportar o eliminar l’historial d’escaneigs en qualsevol moment des de Compte → Privacitat.

    base jurídica · Execució del contracte — Art. 6(1)(b) GDPR

  • Sessions d’escaneig anònim

    Si executes un escaneig sense iniciar sessió, emetem una galeta signada amb HMAC (fixvibe_anon_session, vida útil de 24 hores) que conté un ID aleatori opac. Eliminem automàticament els registres d’escaneig anònim no reclamats després de 24 hores. Si et registres dins de la finestra de 24 hores, l’escaneig migra al teu compte nou. No sabem qui són els usuaris anònims tret que es registrin.

    base jurídica · Estrictament necessària — exempció ePrivacy Art. 5(3)

  • Dades de facturació

    Stripe és el nostre processador de pagaments. Emmagatzema les dades de la teva targeta en infraestructura PCI-DSS; nosaltres només emmagatzemem un ID de client de Stripe, l’estat de la subscripció, el pla, l’inici/final del període i un petit registre d’idempotència dels esdeveniments de webhook. Consulta l’avís de privacitat de Stripe a stripe.com/privacy.

    base jurídica · Execució del contracte — Art. 6(1)(b) GDPR

  • Registres de servidor i registres d’auditoria

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    base jurídica · Interès legítim — Art. 6(1)(f) GDPR

  • Integració de GitHub (opcional, només Pro+)

    Si connectes un compte de GitHub des de Compte → Integracions, emmagatzemem un token d’accés OAuth xifrat per a la teva organització, el teu inici de sessió de GitHub + ID d’usuari numèric i els permisos concedits. Fem servir el token només per llegir els repositoris contra els quals inicies escaneigs. El codi font es recupera per escaneig, es processa en memòria i només es conserva evidència de troballes individuals (cap abocament complet del codi font). S’elimina dins dels 30 dies posteriors a la desconnexió.

    base jurídica · Execució del contracte / consentiment — Art. 6(1)(b) + 6(1)(a) GDPR

  • Tokens API + servidor MCP (opcional)

    Els tokens que crees a Compte → Tokens API s’emmagatzemen com a hash SHA-256, els primers 8 caràcters en text clar (per identificar-los), el nom assignat i marques de temps de creació/darrer ús/revocació. El text clar se’t mostra exactament una vegada en crear-lo i mai no es conserva. Els tokens són credencials bearer: qualsevol persona amb el valor pot llegir els teus escaneigs i iniciar-ne de nous fins que el revoquis. El servidor MCP a /api/mcp s’autentica amb els mateixos tokens, exposa les mateixes dades que el tauler i no crea cap categoria de dades separada.

    base jurídica · Execució del contracte — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    base jurídica · Performance of contract — Art. 6(1)(b) GDPR

  • Detecció d’amenaces en directe (opcional, només Unlimited)

    Si tens el monitoratge activat en un domini verificat, capturem periòdicament entrades de registres de transparència de certificats, registres DNS i llistats d’intel·ligència d’amenaces (Spamhaus DBL, URLhaus) per a aquest domini. Aquestes instantànies contenen noms d’amfitrió que ja ens has autoritzat a escanejar i els resultats públics de consultes públiques. No es captura cap dada personal dels teus usuaris finals. Les instantànies de més de 7 dies s’eliminen automàticament; es conserva la línia base més recent per tipus de senyal.

    base jurídica · Execució del contracte — Art. 6(1)(b) GDPR

  • Reescaneigs programats (opcional, només Pro+)

    Si actives escaneigs programats en un domini verificat, registrem la cadència, l’hora de l’última execució, l’hora de la pròxima execució i quin usuari va activar la programació. Cada escaneig activat per cron hereta l’atestació d’autorització per escanejar feta quan el domini es va verificar per primera vegada — no cal que tornis a atestar en cada execució. Desactiva-ho en qualsevol moment a Dominis → Programació.

    base jurídica · Execució del contracte — Art. 6(1)(b) GDPR

  • Analítica (opcional, subjecta a consentiment)

    Si concedeixes consentiment d’analítica i tenim analítica configurada per al desplegament que fas servir, usem un proveïdor d’analítica de producte respectuós amb la privacitat (proxificat a través del nostre propi domini) per registrar ús anònim — quins botons es cliquen, quines comprovacions executa la gent, on abandonen els usuaris dins de l’embut. No posem URL que escaneges, contingut d’evidència ni dades personals en esdeveniments d’analítica. Retira el consentiment en qualsevol moment via .

    base jurídica · Consentiment — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Bescanvi d'oferta promocional

    Quan bescanvieu un codi promocional, enllaç d'invitació o crèdit de recomanació, emmagatzemem el codi de campanya, el pla i la durada que hem atorgat, les marques de temps d'inici i final de la prova, el pla que teníeu abans de la prova i un hash HMAC-SHA256 de la vostra adreça IP en el moment del bescanvi (mai no emmagatzemem la IP en brut — el hash existeix només perquè puguem fer complir els límits d'un-bescanvi-per-xarxa, i la rotació de la clau HMAC subjacent invalida tots els hashes emmagatzemats sense exposar ningú). Es conserva durant la vida de la campanya més 18 mesos per a finalitats de comptabilitat i investigació de frau, després es suprimeix amb la resta del registre de campanya.

    base jurídica · Interès legítim (prevenció del frau, comptabilitat) — Art. 6(1)(f) GDPR

  • Concursos, sortejos i reptes

    Si us inscriviu a un Repte de FixVibe (com el Repte de Comprovació Prèvia de Seguretat), emmagatzemem el correu electrònic de contacte que envieu (necessari perquè us puguem contactar si guanyeu), els noms d'usuari de Reddit i Product Hunt que opcionalment proporcioneu, el vostre Scan ID i domini arrel, el tipus de projecte autoinformat, la pila i el text d'"una cosa que he après" que opcionalment proporcioneu, el valor del canal de descobriment que opcionalment seleccioneu, i les tres caselles de consentiment requerides que accepteu (autorització, normes, contacte). Si separadament marqueu el consentiment opcional destacat-en-màrqueting, podem mostrar la vostra puntuació pública, valoració, pila, nom d'usuari i cita enviada a la pàgina d'inici de FixVibe, la pàgina del repte o una publicació de resum — mai cap altre camp, i mai sense aquest consentiment opcional. Les inscripcions al repte es conserven durant la vida del Repte més 18 mesos per a finalitats de verificació i disputa. Podeu retirar el consentiment destacat-en-màrqueting en qualsevol moment enviant un correu a privacy@fixvibe.app; la retirada no afecta el processament legítim anterior a la retirada.

    base jurídica · Execució de contracte (organització del Repte) i consentiment (destacar) — Art. 6(1)(b) i 6(1)(a) GDPR

Allò que NO recollim

  • No venem mai les teves dades.
  • No incorporem ad-tech de tercers, fingerprinting ni scripts de reproducció de sessió.
  • No posem les URL dels teus objectius d’escaneig ni l’evidència de troballes en propietats d’analítica — aquestes dades viuen només a la nostra base de dades, protegides per seguretat a nivell de fila.
  • No compartim les teves dades amb tercers per al seu propi màrqueting.

Subencarregats

Confiem en els subencarregats següents per fer funcionar FixVibe:

  • Vercel Inc. (USA) — allotjament de l’aplicació i xarxa edge. Avís de privacitat: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — base de dades Postgres, autenticació, emmagatzematge de fitxers, Realtime. La base de dades de producció de FixVibe és a la regió AWS us-east-1. Avís de privacitat: supabase.com/privacy.
  • Stripe Inc. (USA) — processament de pagaments per als plans de pagament. Avís de privacitat: stripe.com/privacy.
  • Upstash, Inc. (USA, via Vercel Marketplace) — limitació de velocitat amb suport Redis; emmagatzema només comptadors de curta durada basats en IP. Avís de privacitat: upstash.com/privacy.
  • PostHog Inc. (USA) — analítica de producte, només si concedeixes consentiment d’analítica i només quan l’analítica està configurada per al desplegament que fas servir. Avís de privacitat: posthog.com/privacy.
  • GitHub, Inc. (USA) — només si connectes la integració opcional de GitHub. Fem servir l’API de GitHub per llegir els repositoris contra els quals inicies escaneigs. Avís de privacitat: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — lliurament de correu electrònic transaccional. Rep la teva adreça de correu electrònic i el cos del correu quan enviem correus d’escaneig completat, escaneig programat, alerta d’amenaça en directe i resum setmanal. Resend conserva metadades de lliurament (marques de temps, estat, registres de rebot) per a finalitats operatives; no enviem mai correu de màrqueting a través de Resend. Avís de privacitat: resend.com/legal/privacy-policy.

Les transferències de dades personals fora de l’EEA/UK es basen en les Standard Contractual Clauses de la European Commission (o l’International Data Transfer Addendum del UK), complementades per les mesures de xifratge en trànsit i xifratge en repòs descrites a “Seguretat” més avall.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Els teus drets

Sota GDPR, UK GDPR i lleis equivalents (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act, etc.), tens dret a:

  • accedir a una còpia de les teves dades (pots fer-ho en autoservei des de Compte → Privacitat);
  • fer corregir les teves dades;
  • fer eliminar les teves dades (també en autoservei);
  • oposar-te al tractament basat en interessos legítims;
  • retirar el consentiment d’analítica en qualsevol moment via ;
  • portabilitat de les dades — la teva exportació és en JSON;
  • presentar una reclamació davant la teva autoritat de control local (EU/UK/EEA) o equivalent.

Responem a les sol·licituds verificables de drets dins de 30 dies. Per a sol·licituds que no podem satisfer via autoservei (rectificació d’un camp que no exposem, restricció del tractament, oposició), envia un correu a support@fixvibe.app amb l’assumpte “Sol·licitud de privacitat”.

Residents de Califòrnia (CCPA / CPRA)

No venem la teva informació personal. No compartim informació personal per a publicitat conductual entre contextos. L’analítica a través de PostHog només s’executa després que concedeixis consentiment al nostre bàner de galetes; pots retirar aquest consentiment en qualsevol moment via o fent clic a Les teves opcions de privacitat al peu de pàgina.

Si ets resident de Califòrnia, també tens dret a:

  • saber quina informació personal recollim, les fonts, els propòsits i qualsevol tercer amb qui la compartim (tot detallat més amunt);
  • sol·licitar l’eliminació de la teva informació personal (autoservei via Compte → Privacitat o enviant-nos un correu);
  • corregir informació personal inexacta;
  • limitar l’ús i la divulgació d’informació personal sensible — no en recollim cap més enllà de les credencials d’autenticació i les metadades de sessió, totes dues necessàries per prestar el servei;
  • oposar-te a la venda o compartició — no aplicable, ja que no fem cap de les dues coses;
  • no patir discriminació per exercir qualsevol dels drets anteriors.

Respectem automàticament els senyals Global Privacy Control (GPC); enviar una capçalera GPC tracta la teva visita com si haguessis optat explícitament per excloure’t de qualsevol consentiment futur d’analítica.

Seguretat

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Cap programa de seguretat és perfecte. Si creus que has trobat una vulnerabilitat a FixVibe, informa’n a support@fixvibe.app.

Canvis en aquesta política

Si fem canvis materials — subencarregats nous, categories de dades noves, períodes de retenció nous — actualitzarem la data de més amunt i t’ho notificarem dins de l’aplicació. Les correccions menors de redacció no activen cap notificació.

Contacte

privacy@fixvibe.app — les respostes solen arribar dins de 5 dies hàbils, mai més tard de 30 dies com exigeix GDPR Art. 12(3).

Política de Privacitat · FixVibe