Zásady ochrany soukromí

FixVibe provozuje EGO HERO LLC („my“, „nás“), správce osobních údajů popsaných v těchto zásadách. V otázkách soukromí, včetně žádostí subjektů údajů podle GDPR, UK GDPR nebo CCPA, kontaktuj privacy@fixvibe.app. Ve všem ostatním napiš na support@fixvibe.app.

• Údaje účtu

  E-mailová adresa, identifikátor OAuth (pokud se přihlašuješ přes Google nebo GitHub) a jakékoli jméno, které obdržíme od tvého poskytovatele OAuth. Používáme je k ověření tvé totožnosti a ke kontaktu ohledně účtu. Uchováváme je, dokud je tvůj účet aktivní. Když účet smažeš, tyto údaje odstraníme do 30 dnů, s výjimkou případů, kdy je musíme uchovat (např. fakturační záznamy podle daňových předpisů).

  právní základ · Plnění smlouvy — Art. 6(1)(b) GDPR

• Cíle skenování a nálezy

  URL adresy, které skenuješ, požadavky, které na tyto URL adresy odesíláme, a nálezy, které vytvoříme. Ukládají se k tvé organizaci. Automaticky mažeme záznamy starší než retenční okno tvého tarifu: 30 dní (Hobby), 90 dní (Pro), 365 dní (Unlimited). Historii skenování můžeš kdykoli exportovat nebo smazat z Účet → Soukromí.

  právní základ · Plnění smlouvy — Art. 6(1)(b) GDPR

• Anonymní skenovací relace

  Pokud spustíš sken bez přihlášení, vydáme soubor cookie podepsaný HMAC (fixvibe_anon_session, životnost 24 hodin), který obsahuje neprůhledné náhodné ID. Nepřevzaté anonymní záznamy skenů automaticky mažeme po 24 hodinách. Pokud se v tomto 24hodinovém okně zaregistruješ, sken se přesune do tvého nového účtu. Nevíme, kdo anonymní uživatelé jsou, pokud se nezaregistrují.

  právní základ · Nezbytně nutné — výjimka ePrivacy Art. 5(3)

• Fakturační údaje

  Stripe je náš zpracovatel plateb. Údaje o tvé kartě ukládá v infrastruktuře PCI-DSS; my ukládáme pouze ID zákazníka Stripe, stav předplatného, tarif, začátek a konec období a malý idempotentní záznam webhook událostí. Viz oznámení o ochraně soukromí Stripe na stripe.com/privacy.

  právní základ · Plnění smlouvy — Art. 6(1)(b) GDPR

• Serverové logy a auditní logy

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  právní základ · Oprávněný zájem — Art. 6(1)(f) GDPR

• Integrace GitHub (volitelná, pouze Pro+)

  Pokud z Účet → Integrace připojíš účet GitHub, ukládáme šifrovaný přístupový token OAuth pro tvou organizaci, tvůj login GitHub + číselné ID uživatele a udělené rozsahy. Token používáme výhradně ke čtení repozitářů, proti kterým spouštíš skeny. Zdrojový kód se načítá pro konkrétní sken, zpracovává se v paměti a ukládají se jen jednotlivé důkazy nálezů (žádné úplné výpisy zdrojového kódu). Smazáno do 30 dnů od odpojení.

  právní základ · Plnění smlouvy / souhlas — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokeny + server MCP (volitelné)

  Tokeny, které vytvoříš v Účet → API tokeny, se ukládají jako hash SHA-256, prvních 8 znaků prostého textu (pro identifikaci), název, který jsi zadal, a časové značky vytvoření, posledního použití a zneplatnění. Prostý text se ti zobrazí přesně jednou při vytvoření a nikdy se neukládá. Tokeny jsou bearer přihlašovací údaje: kdokoli s touto hodnotou může číst tvé skeny a spouštět nové, dokud token nezneplatníš. Server MCP na /api/mcp je ověřován stejnými tokeny, zpřístupňuje stejná data jako dashboard a nevytváří žádnou samostatnou kategorii dat.

  právní základ · Plnění smlouvy — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  právní základ · Performance of contract — Art. 6(1)(b) GDPR

• Živá detekce hrozeb (volitelná, pouze Unlimited)

  Pokud máš na ověřené doméně zapnuté monitorování, pravidelně zachycujeme záznamy z logů certificate-transparency, DNS záznamy a seznamy threat-intel (Spamhaus DBL, URLhaus) pro danou doménu. Tyto snímky obsahují názvy hostitelů, které jsi nám už povolil skenovat, a veřejné výsledky veřejných dotazů. Nezachycujeme žádné osobní údaje tvých koncových uživatelů. Snímky starší než 7 dní se automaticky mažou; nejnovější baseline se uchovává pro každý typ signálu.

  právní základ · Plnění smlouvy — Art. 6(1)(b) GDPR

• Plánované opakované skeny (volitelné, pouze Pro+)

  Pokud na ověřené doméně zapneš plánované skeny, zaznamenáme kadenci, čas posledního běhu, čas dalšího běhu a uživatele, který plán zapnul. Každý sken spuštěný cronem dědí potvrzení oprávnění ke skenování provedené při prvním ověření domény — nemusíš ho znovu potvrzovat při každém běhu. Kdykoli vypneš v Domény → Plán.

  právní základ · Plnění smlouvy — Art. 6(1)(b) GDPR

• Analytika (volitelná, podmíněná souhlasem)

  Pokud udělíš souhlas s analytikou a máme analytiku nakonfigurovanou pro nasazení, které používáš, používáme poskytovatele produktové analytiky respektujícího soukromí (proxovaného přes naši vlastní doménu) k záznamu anonymního používání — na která tlačítka se kliká, které kontroly lidé spouštějí, kde uživatelé v trychtýři odpadají. URL adresy, které skenuješ, obsah důkazů ani osobní údaje do analytických událostí nevkládáme. Souhlas můžeš kdykoli odvolat přes Nastavení cookies.

  právní základ · Souhlas — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Uplatnění propagační nabídky

  Když uplatníte propagační kód, pozvánkový odkaz nebo kredit za doporučení, ukládáme kód kampaně, plán a dobu trvání, kterou jsme udělili, časové razítka začátku a konce zkušebního období, plán, který jste měli před zkušebním obdobím, a HMAC-SHA256 hash vaší IP adresy v době uplatnění (nikdy neukládáme surovou IP — hash existuje pouze proto, abychom mohli vynucovat limity jedno uplatnění na síť, a rotace základního HMAC klíče zneplatní všechny uložené hashe, aniž by někoho vystavila riziku). Uchováváno po dobu trvání kampaně plus 18 měsíců pro účely účetnictví a vyšetřování podvodů, poté smazáno se zbytkem záznamu kampaně.

  právní základ · Oprávněný zájem (prevence podvodů, účetnictví) — čl. 6 odst. 1 písm. f) GDPR

• Soutěže, loterie a výzvy

  Pokud se přihlásíte do FixVibe Výzvy (jako je Bezpečnostní Preflight Výzva), ukládáme kontaktní e-mail, který odešlete (povinný, abychom vás mohli kontaktovat, pokud vyhrajete), Reddit a Product Hunt uživatelská jména, která volitelně poskytnete, vaše scan ID a kořenovou doménu, samohlášený typ projektu, stack a text jedné věci, kterou jste se naučili, který volitelně poskytnete, hodnotu kanálu objevení, kterou volitelně vyberete, a tři povinné souhlasy zaškrtávacích polí, které přijmete (oprávnění, pravidla, kontakt). Pokud zvlášť zaškrtnete volitelný souhlas prezentace v marketingu, můžeme zobrazit vaše veřejné skóre, hodnocení, stack, uživatelské jméno a odeslanou citaci na domovské stránce FixVibe, stránce výzvy nebo v rekapitulačním příspěvku — nikdy žádné jiné pole a nikdy bez tohoto opt-inu. Přihlášky do výzvy jsou uchovávány po dobu trvání Výzvy plus 18 měsíců pro účely ověření a sporů. Souhlas s prezentací v marketingu můžete kdykoli odvolat e-mailem na privacy@fixvibe.app; odvolání neovlivňuje zákonné zpracování před odvoláním.

  právní základ · Plnění smlouvy (provozování Výzvy) a souhlas (prezentace) — čl. 6 odst. 1 písm. b) a čl. 6 odst. 1 písm. a) GDPR

• Tvé údaje nikdy neprodáváme.
• Nevkládáme reklamní technologie třetích stran, fingerprinting ani skripty pro přehrávání relací.
• URL adresy cílů skenování ani důkazy nálezů nevkládáme do analytických vlastností — tato data žijí jen v naší databázi, chráněná zabezpečením na úrovni řádků.
• Tvé údaje nesdílíme s třetími stranami pro jejich vlastní marketing.

Pro provoz FixVibe spoléháme na tyto dílčí zpracovatele:

• Vercel Inc. (USA) — hosting aplikace a edge síť. Oznámení o soukromí: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — databáze Postgres, ověřování, ukládání souborů, Realtime. Produkční databáze FixVibe je v regionu AWS us-east-1. Oznámení o soukromí: supabase.com/privacy.
• Stripe Inc. (USA) — zpracování plateb pro placené tarify. Oznámení o soukromí: stripe.com/privacy.
• Upstash, Inc. (USA, přes Vercel Marketplace) — rate limiting podložený Redis; ukládá jen krátkodobé počitadla založená na IP. Oznámení o soukromí: upstash.com/privacy.
• PostHog Inc. (USA) — produktová analytika, pouze pokud udělíš souhlas s analytikou a jen když je analytika nakonfigurována pro nasazení, které používáš. Oznámení o soukromí: posthog.com/privacy.
• GitHub, Inc. (USA) — pouze pokud připojíš volitelnou integraci GitHub. Používáme API GitHub ke čtení repozitářů, proti kterým spouštíš skeny. Oznámení o soukromí: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — doručování transakčních e-mailů. Dostává tvou e-mailovou adresu a tělo e-mailu, když posíláme e-maily o dokončeném skenu, plánovaném skenu, upozornění live-threat a týdenním souhrnu. Resend uchovává metadata doručení (časové značky, stav, záznamy o odražení) pro provozní účely; přes Resend nikdy neposíláme marketingové e-maily. Oznámení o soukromí: resend.com/legal/privacy-policy.

Přenosy osobních údajů mimo EEA/UK se opírají o standardní smluvní doložky Evropské komise (nebo britský International Data Transfer Addendum), doplněné opatřeními šifrování při přenosu a v klidu popsanými níže v části „Zabezpečení“.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Podle GDPR, UK GDPR a rovnocenných zákonů (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act atd.) máš právo:

• získat kopii svých údajů (můžeš to udělat samoobslužně z Účet → Soukromí);
• nechat své údaje opravit;
• nechat své údaje smazat (také samoobslužně);
• vznést námitku proti zpracování založenému na oprávněných zájmech;
• kdykoli odvolat souhlas s analytikou přes Nastavení cookies;
• na přenositelnost údajů — tvůj export je ve formátu JSON;
• podat stížnost u místního dozorového úřadu (EU/UK/EEA) nebo jeho ekvivalentu.

Na ověřitelné žádosti o výkon práv odpovídáme do 30 dnů. U žádostí, které nemůžeme vyřídit samoobslužně (oprava pole, které nezpřístupňujeme, omezení zpracování, námitka), napiš na support@fixvibe.app s předmětem „Privacy request“.

Tvé osobní údaje neprodáváme. Osobní údaje nesdílíme pro behaviorální reklamu napříč kontexty. Analytika přes PostHog běží až poté, co udělíš souhlas v našem cookie banneru; tento souhlas můžeš kdykoli odvolat přes Nastavení cookies nebo kliknutím na Tvoje volby soukromí v patičce.

Pokud jsi obyvatelem Kalifornie, máš také právo:

• vědět, jaké osobní údaje shromažďujeme, z jakých zdrojů, za jakými účely a s jakými třetími stranami je sdílíme (vše je podrobně popsáno výše);
• požádat o smazání svých osobních údajů (samoobslužně přes Účet → Soukromí nebo e-mailem);
• opravit nepřesné osobní údaje;
• omezit používání a zveřejňování citlivých osobních údajů — žádné takové neshromažďujeme nad rámec ověřovacích přihlašovacích údajů a metadat relace, které jsou nutné k poskytování služby;
• odmítnout prodej nebo sdílení — nepoužije se, protože neděláme ani jedno;
• nebýt diskriminován za uplatnění kteréhokoli z výše uvedených práv.

Signály Global Privacy Control (GPC) respektujeme automaticky; odeslání hlavičky GPC bere tvou návštěvu tak, jako by ses výslovně odhlásil z jakéhokoli budoucího souhlasu s analytikou.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Žádný bezpečnostní program není dokonalý. Pokud se domníváš, že jsi našel zranitelnost ve FixVibe, nahlas ji prosím na support@fixvibe.app.

Pokud provedeme podstatné změny — nové dílčí zpracovatele, nové kategorie dat, nové doby uchování — aktualizujeme datum výše a upozorníme tě v aplikaci. Drobné jazykové opravy oznámení nespouštějí.

privacy@fixvibe.app — odpovědi obvykle do 5 pracovních dnů, nikdy déle než 30 dnů podle GDPR Art. 12(3).