Pulitica di Privatezza

FixVibe hè operatu da EGO HERO LLC (“noi”, “ci”), u cuntrollore di dati per i dati persunali descritti in sta pulitica. Per dumande di privatezza, cumpresi e richieste di l’interessati sottu GDPR, UK GDPR, o CCPA, cuntatta privacy@fixvibe.app. Per tuttu u restu, scrivi à support@fixvibe.app.

• Dati di contu

  Indirizzu email, identificatore OAuth (se accedi cù Google o GitHub), è qualsiasi nome chì ricevemmu da u to fornituri OAuth. Usatu per autentificatti è cuntattatti nantu à u to contu. Cunservatu mentre u to contu hè attivu. Quandu elimini u to contu, sti dati sò rimossi in 30 ghjorni, eccettu induve simu obligati à cunservalli (per esempiu, registri di fatturazione sottu à a lege fiscale).

  basa legale · Esecuzione di u cuntrattu — Art. 6(1)(b) GDPR

• Obiettivi di scansione è risultati

  L’URL chì scansioni, e dumande chì femu à quelli URL, è i risultati chì pruducemu. Cunservati contr’à a to urganizazione. Eliminiamu automaticamente i registri più vechji chè a finestra di ritenzione di u to pianu: 30 ghjorni (Hobby), 90 ghjorni (Pro), 365 ghjorni (Unlimited). Puoi esportà o eliminà a to storia di scansioni in ogni mumentu da Contu → Privatezza.

  basa legale · Esecuzione di u cuntrattu — Art. 6(1)(b) GDPR

• Sessioni di scansione anonime

  Se lanci una scansione senza accede, emettemu un cookie firmatu HMAC (fixvibe_anon_session, durata di 24 ore) chì cuntene un ID aleatoriu opacu. Eliminiamu automaticamente i registri di scansioni anonime non rivendicate dopu 24 ore. Se ti iscrivi in quella finestra di 24 ore, a to scansione migra in u to novu contu. Ùn sapemu micca quale sò l’utilizatori anonimi finu à ch’elli si iscrivenu.

  basa legale · Strettamente necessariu — eccezione ePrivacy Art. 5(3)

• Dati di fatturazione

  Stripe hè u nostru processatore di pagamenti. Conservanu i dettagli di a to carta nantu à infrastruttura PCI-DSS; noi cunservemu solu un ID cliente Stripe, u statu di l’abbonamentu, u pianu, l’iniziu/fine di u periodu, è un picculu registru d’idempotenza di l’eventi webhook. Vedi l’avvisu di privatezza di Stripe à stripe.com/privacy.

  basa legale · Esecuzione di u cuntrattu — Art. 6(1)(b) GDPR

• Log di server è log d’auditu

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  basa legale · Interessu legittimu — Art. 6(1)(f) GDPR

• Integrazione GitHub (opzionale, solu Pro+)

  Se cunnetti un contu GitHub da Contu → Integrazioni, cunservemu un token d’accessu OAuth cifratu per a to urganizazione, u to login GitHub + ID numericu d’utilizatore, è i scopes cuncessi. Usemu u token solu per leghje i repositorii contra i quali inizi scansioni. U codice sorgente hè recuperatu per scansione, trattatu in memoria, è solu e prove individuali di risultatu sò persistite (micca dump cumpleti di sorgente). Eliminatu in 30 ghjorni dopu a disconnessione.

  basa legale · Esecuzione di u cuntrattu / cunsensu — Art. 6(1)(b) + 6(1)(a) GDPR

• Token API + server MCP (opzionale)

  I token chì crei da Contu → Token API sò cunservati cum’è hash SHA-256, i primi 8 caratteri in testu chjaru (per identificazione), u nome chì hai assignatu, più marcatori di tempu di creazione/ultimu usu/revoca. U testu chjaru ti hè mostratu esattamente una volta à a creazione è ùn hè mai persistitu. I token sò credenziali bearer: chiunque abbia u valore pò leghje e to scansioni è inizià ne di nove finu à chì u revochi. U server MCP à /api/mcp hè autentificatu da i stessi token, espone i stessi dati chì u dashboard esporrebbe, è ùn crea alcuna categuria di dati separata.

  basa legale · Esecuzione di u cuntrattu — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  basa legale · Performance of contract — Art. 6(1)(b) GDPR

• Rilevazione di minacce in direttu (opzionale, solu Unlimited)

  Se hai u monitoraghju attivatu nantu à un duminiu verificatu, catturemu periodicamente entrate di log certificate-transparency, registri DNS, è liste threat-intel (Spamhaus DBL, URLhaus) per quellu duminiu. Questi snapshot cuntenenu nomi d’host chì ci hai digià autorizatu à scansionà è i risultati publichi di lookup publichi. Nisun datu persunale di i to utilizatori finali hè catturatu. Snapshot più vechji di 7 ghjorni sò eliminati automaticamente; a baseline più recente hè cunservata per tipu di segnale.

  basa legale · Esecuzione di u cuntrattu — Art. 6(1)(b) GDPR

• Ri-scansioni pianificate (opzionale, solu Pro+)

  Se abiliti scansioni pianificate nantu à un duminiu verificatu, registremu a cadenza, l’ultima esecuzione, a prossima esecuzione, è quale utilizatore hà abilitatu a pianificazione. Ogni scansione attivata da cron eredita l’attestazione d’autorizazione à scansionà fatta quandu u duminiu hè statu verificatu per a prima volta — ùn devi micca riattestà à ogni esecuzione. Disabilita in ogni mumentu da Duminii → Pianificazione.

  basa legale · Esecuzione di u cuntrattu — Art. 6(1)(b) GDPR

• Analitiche (opzionale, subordinate à cunsensu)

  Se dai u cunsensu à l’analitiche è l’analitiche sò cunfigurate per u deployment chì stai usando, usemu un fornituri d’analitiche di pruduttu rispettosu di a privatezza (proxatu attraversu u nostru propiu duminiu) per registrà usu anonimu — quali buttoni sò cliccati, quali cuntrolli a ghjente esegue, induve l’utilizatori abbandonanu u funnel. Ùn mettemu micca URL chì scansioni, cuntenutu di prove, o dati persunali in eventi d’analitiche. Ritira u cunsensu in ogni mumentu via Parametri di cookie.

  basa legale · Cunsensu — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Redenzione d'offerta prumuziunale

  Quandu riscattate un codice promo, ligame d'invitu, o creditu di rinviu, archivemu u codice di campagna, u pianu è durata chì avemu cuncessu, e marche temporali di principiu è fine di prova, u pianu chì tenevate prima di a prova, è un hash HMAC-SHA256 di u vostru indirizzu IP à u mumentu di a redenzione (ùn archivemu mai l'IP crudu — l'hash esiste solu cusì pudemu applicà i limiti d'una-redenzione-per-reta, è ruotà a chjave HMAC sottustante invalida tutti l'hash archiviati senza espone à nimu). Mantenutu per a vita di a campagna più 18 mesi per scopi di cuntabilità è investigazione di frode, dopu cancellatu cù u restu di u registru di campagna.

  basa legale · Interessu legittimu (prevenzione di frode, cuntabilità) — Art. 6(1)(f) GDPR

• Cuncorsi, lotterie, è sfide

  Sì entrate in una Sfida FixVibe (cum'è a Sfida di Preflight di Sicurezza), archivemu l'email di cuntattu chì sottumettite (richiestu cusì pudemu cuntattavvi sì vincite), i nomi d'utilizatore Reddit è Product Hunt chì furnite facultativamente, u vostru scan ID è duminiu radica, u tippu di prughjettu auto-dichjaratu, stack, è testu d'una-cosa-chì-aghju-amparatu chì furnite facultativamente, u valore di canale di scuperta chì selezziunate facultativamente, è e trè caselle di cunsensu richieste chì accettate (auturizazione, regule, cuntattu). Sì tickate separatamente u cunsensu facultativu messa in evidenza-nantu-à-marketing, pudemu visualizà u vostru puntu publicu, valutazione, stack, nome d'utilizatore, è citazione sottumessa nantu à a pagina d'accolta FixVibe, a pagina di sfida, o un post di ricapitulazione — mai qualsiasi altru campu, è mai senza quellu opt-in. L'iscrizzioni di sfida sò mantenute per a vita di a Sfida più 18 mesi per scopi di verificazione è disputa. Pudete ritirà u cunsensu di messa in evidenza-nantu-à-marketing in qualsiasi mumentu mandendu un email à privacy@fixvibe.app; ritirassi ùn affetta micca u trattamentu legale prima di u ritiru.

  basa legale · Esekuzione di cuntrattu (eseguisce a Sfida) è cunsensu (messa in evidenza) — Art. 6(1)(b) è 6(1)(a) GDPR

• Ùn vendemu mai i to dati.
• Ùn integremu micca tecnulugia publicitaria di terze parti, fingerprinting, o script di session-replay.
• Ùn mettemu micca l’URL di destinazione di scansione o e prove di risultati in proprietà d’analitiche — quelli dati campanu solu in a nostra basa di dati, prutetti da sicurezza à livellu di riga.
• Ùn spartemu micca i to dati cù terze parti per u so propiu marketing.

Ci basemu nantu à i seguenti sub-trattatori per gestisce FixVibe:

• Vercel Inc. (USA) — hosting d’applicazione è rete edge. Avvisu di privatezza: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — basa di dati Postgres, autentificazione, archiviazione di file, Realtime. A basa di dati di pruduzzione FixVibe hè in a regione AWS us-east-1. Avvisu di privatezza: supabase.com/privacy.
• Stripe Inc. (USA) — trattamentu di pagamenti per piani pagati. Avvisu di privatezza: stripe.com/privacy.
• Upstash, Inc. (USA, via Vercel Marketplace) — limitazione di tariffa basata annantu à Redis; cunserva solu contatori IP di breve durata. Avvisu di privatezza: upstash.com/privacy.
• PostHog Inc. (USA) — analitiche di pruduttu, solu se dai cunsensu à l’analitiche è solu quandu l’analitiche sò cunfigurate per u deployment chì stai usando. Avvisu di privatezza: posthog.com/privacy.
• GitHub, Inc. (USA) — solu se cunnetti l’integrazione opzionale GitHub. Usemu l’API di GitHub per leghje i repositorii contra i quali inizi scansioni. Avvisu di privatezza: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — consegna di email transazionali. Riceve u to indirizzu email è u corpu di l’email quandu mandemu email di scansione finita, scansione pianificata, alertu di minaccia in direttu, è digest settimanale. Resend conserva metadati di consegna (marcatori di tempu, statu, registri di bounce) per scopi operativi; ùn mandemu mai email marketing attraversu Resend. Avvisu di privatezza: resend.com/legal/privacy-policy.

I trasferimenti di dati persunali fora di l’EEA/UK si basanu nantu à e Standard Contractual Clauses di a Cumissione Europea (o l’International Data Transfer Addendum di u UK), supplementate da e misure di cifratura in transitu è à riposu descritte in “Sicurezza” quì sottu.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Sottu GDPR, UK GDPR, è lege equivalenti (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act ecc.), hai u dirittu di:

• accede à una copia di i to dati (puoi fà què self-serve da Contu → Privatezza);
• fà corregge i to dati;
• fà eliminà i to dati (ancu self-serve);
• oppuniti à u trattamentu basatu annantu à interessi legittimi;
• ritirà u cunsensu per l’analitiche in ogni mumentu via Parametri di cookie;
• portabilità di dati — u to esportu hè in JSON;
• presentà una lagnanza à a to autorità di supervisione lucale (EU/UK/EEA) o equivalente.

Rispundemu à richieste di diritti verificabili in 30 ghjorni. Per richieste chì ùn pudemu satisfà via self-serve (rettificazione di un campu chì ùn esponemu, restrizione di trattamentu, opposizione), manda un email à support@fixvibe.app cù l’oggettu “Privacy request”.

Ùn vendemu micca e to infurmazione persunali. Ùn spartemu micca infurmazione persunali per publicità cumpurtamentale cross-cuntestu. L’analitiche via PostHog funzionanu solu dopu chì dai cunsensu in u nostru banner cookie; puoi ritirà quellu cunsensu in ogni mumentu via Parametri di cookie o clicchendu E to Scelte di Privatezza in u footer.

Se sì residente di California, hai ancu u dirittu di:

• sapè chì infurmazione persunali raccogliemu, e fonti, i scopi, è qualsiasi terze parti cù quale a spartemu (tuttu dettagliatu sopra);
• dumandà l’eliminazione di a to infurmazione persunali (self-serve via Contu → Privatezza o mandendu ci un email);
• corregge infurmazione persunali inesatta;
• limitare l’usu è a divulgazione d’infurmazione persunali sensitiva — ùn raccogliemu nunda al di là di credenziali d’autenticazione è metadati di sessione, tramindui richiesti per furnisce u serviziu;
• rinunzià à vendita o condivisione — micca applicabile perchè ùn femu nè l’una nè l’altra;
• ùn esse discriminatu per l’eserciziu di qualsiasi di questi diritti.

Rispettemu automaticamente i segnali Global Privacy Control (GPC); mandà un header GPC tratta a to visita cum’è se avessi esplicitamente rinunziatu à qualsiasi futuru cunsensu d’analitiche.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Nisun prugramma di sicurezza hè perfettu. Se credi d’avè trovu una vulnerabilità in FixVibe, per piacè segnalala à support@fixvibe.app.

Se femu cambiamenti materiali — novi sub-trattatori, nove categurie di dati, novi periodi di ritenzione — aghjurneremu a data sopra è ti avviseremu in-app. Piccule correzioni di formulazione ùn attivanu micca una notificazione.

privacy@fixvibe.app — risposte di solitu in 5 ghjorni lavorativi, mai più di 30 ghjorni cum’è richiestu da GDPR Art. 12(3).