FixVibe

// privacy

Privatlivspolitik

senest opdateret · 2026-05-17

Hvem vi er

FixVibe drives af EGO HERO LLC (“vi”, “os”), den dataansvarlige for de personoplysninger, der beskrives i denne politik. For privatlivsspørgsmål, herunder anmodninger fra registrerede efter GDPR, UK GDPR eller CCPA, kontakt privacy@fixvibe.app. For alt andet, skriv til support@fixvibe.app.

Hvad vi indsamler, hvorfor, og hvor længe vi gemmer det

  • Kontodata

    E-mailadresse, OAuth-identifikator (hvis du logger ind med Google eller GitHub) og ethvert navn, vi modtager fra din OAuth-udbyder. Bruges til at autentificere dig og kontakte dig om din konto. Gemmes, mens din konto er aktiv. Når du sletter din konto, fjernes disse data inden for 30 dage, undtagen hvor vi er forpligtet til at gemme dem (f.eks. faktureringsoplysninger efter skattelovgivning).

    retsgrundlag · Opfyldelse af kontrakt — Art. 6(1)(b) GDPR

  • Scanningsmål og fund

    De URL’er, du scanner, de anmodninger vi foretager til disse URL’er, og de fund vi producerer. Gemmes mod din organisation. Vi sletter automatisk poster, der er ældre end dit plans opbevaringsvindue: 30 dage (Hobby), 90 dage (Pro), 365 dage (Unlimited). Du kan eksportere eller slette din scanningshistorik når som helst fra Konto → Privatliv.

    retsgrundlag · Opfyldelse af kontrakt — Art. 6(1)(b) GDPR

  • Anonyme scanningssessioner

    Hvis du kører en scanning uden at logge ind, udsteder vi en HMAC-signeret cookie (fixvibe_anon_session, levetid på 24 timer), der indeholder et uigennemsigtigt tilfældigt ID. Vi sletter automatisk uafhentede anonyme scanningsposter efter 24 timer. Hvis du tilmelder dig inden for 24-timersvinduet, migreres din scanning ind i din nye konto. Vi ved ikke, hvem anonyme brugere er, medmindre de tilmelder sig.

    retsgrundlag · Strengt nødvendigt — undtagelse efter ePrivacy Art. 5(3)

  • Faktureringsdata

    Stripe er vores betalingsbehandler. Stripe gemmer dine kortoplysninger på PCI-DSS-infrastruktur; vi gemmer kun et Stripe-kunde-ID, abonnementsstatus, plan, periodestart/-slut og en lille idempotenspost for webhookhændelser. Se Stripes privatlivsmeddelelse på stripe.com/privacy.

    retsgrundlag · Opfyldelse af kontrakt — Art. 6(1)(b) GDPR

  • Serverlogs og revisionslogs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    retsgrundlag · Legitim interesse — Art. 6(1)(f) GDPR

  • GitHub-integration (valgfri, kun Pro+)

    Hvis du forbinder en GitHub-konto fra Konto → Integrationer, gemmer vi en krypteret OAuth access token for din organisation, dit GitHub-login + numeriske bruger-ID og de tildelte scopes. Vi bruger kun tokenet til at læse repositories, som du initierer scanninger imod. Kildekode hentes pr. scanning, behandles i hukommelsen, og kun individuelle beviser for fund gemmes (ingen fulde kildekodedumps). Slettes inden for 30 dage efter afbrydelse.

    retsgrundlag · Opfyldelse af kontrakt / samtykke — Art. 6(1)(b) + 6(1)(a) GDPR

  • API-tokens + MCP-server (valgfrit)

    Tokens, du opretter under Konto → API-tokens, gemmes som en SHA-256-hash, de første 8 tegn i klartekst (til identifikation), det navn du tildelte, plus tidsstempler for oprettet/sidst brugt/tilbagekaldt. Klarteksten vises for dig præcis én gang ved oprettelse og gemmes aldrig. Tokens er bearer credentials: enhver med værdien kan læse dine scanninger og starte nye, indtil du tilbagekalder. MCP-serveren på /api/mcp autentificeres af de samme tokens, eksponerer de samme data som dashboardet ville gøre og opretter ingen separat datakategori.

    retsgrundlag · Opfyldelse af kontrakt — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    retsgrundlag · Performance of contract — Art. 6(1)(b) GDPR

  • Live trusselsdetektion (valgfri, kun Unlimited)

    Hvis du har overvågning aktiveret på et verificeret domæne, indsamler vi periodisk certificate-transparency-logposter, DNS-poster og threat-intel-lister (Spamhaus DBL, URLhaus) for det domæne. Disse snapshots indeholder værtsnavne, som du allerede har autoriseret os til at scanne, og de offentlige resultater af offentlige opslag. Ingen personoplysninger om dine slutbrugere indsamles. Snapshots ældre end 7 dage slettes automatisk; den seneste baseline bevares pr. signaltype.

    retsgrundlag · Opfyldelse af kontrakt — Art. 6(1)(b) GDPR

  • Planlagte genscanninger (valgfrit, kun Pro+)

    Hvis du aktiverer planlagte scanninger på et verificeret domæne, registrerer vi kadencen, seneste kørselstid, næste kørselstid og hvilken bruger der aktiverede tidsplanen. Hver cron-udløst scanning arver attestationen om autorisation til scanning, der blev afgivet, da domænet først blev verificeret — du attesterer ikke igen pr. kørsel. Deaktiver når som helst under Domæner → Tidsplan.

    retsgrundlag · Opfyldelse af kontrakt — Art. 6(1)(b) GDPR

  • Analyser (valgfrit, kræver samtykke)

    Hvis du giver samtykke til analyser, og vi har analyser konfigureret for den deployment, du bruger, anvender vi en privatlivsvenlig produktanalyseleverandør (proxied gennem vores eget domæne) til at registrere anonym brug — hvilke knapper der klikkes på, hvilke checks folk kører, hvor i tragten brugere falder fra. Vi lægger ikke URL’er, du scanner, bevisindhold eller personoplysninger ind i analysehændelser. Tilbagekald samtykke når som helst via .

    retsgrundlag · Samtykke — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Indløsning af kampagnetilbud

    Når du indløser en promo-kode, et invitationslink eller en henvisningskredit, gemmer vi kampagnekoden, planen og varigheden vi tildelte, start- og sluttidsstemplerne for prøveperioden, den plan du havde før prøveperioden, og en HMAC-SHA256-hash af din IP-adresse på tidspunktet for indløsning (vi gemmer aldrig den rå IP — hashen eksisterer kun, så vi kan håndhæve grænserne for én indløsning per netværk, og rotation af den underliggende HMAC-nøgle ugyldiggør alle gemte hashes uden at eksponere nogen). Opbevares i kampagnens levetid plus 18 måneder til regnskabs- og bedrageriundersøgelsesformål, derefter slettet sammen med resten af kampagne-recorden.

    retsgrundlag · Legitim interesse (bedrageriforebyggelse, regnskab) — Art. 6(1)(f) GDPR

  • Konkurrencer, lodtrækninger og udfordringer

    Hvis du deltager i en FixVibe-udfordring (såsom Security Preflight Challenge), gemmer vi den kontakt-email, du indsender (påkrævet, så vi kan kontakte dig, hvis du vinder), de Reddit- og Product Hunt-brugernavne, du valgfrit angiver, dit scan-ID og rod-domæne, den selvrapporterede projekttype, stack og en-ting-jeg-lærte-tekst, du valgfrit angiver, opdagelseskanal-værdien du valgfrit vælger, og de tre krævede samtykkeafkrydsningsfelter, du accepterer (autorisation, regler, kontakt). Hvis du separat markerer det valgfri fremhæves-på-marketing-samtykke, kan vi vise din offentlige score, rating, stack, brugernavn og indsendte citat på FixVibe's hjemmeside, udfordringssiden eller en opsummeringspost — aldrig noget andet felt og aldrig uden det opt-in. Udfordringstilmeldinger opbevares i Udfordringens levetid plus 18 måneder til verifikations- og tvistformål. Du kan trække fremhæves-på-marketing-samtykket tilbage når som helst ved at sende en email til privacy@fixvibe.app; tilbagetrækning påvirker ikke lovlig behandling før tilbagetrækningen.

    retsgrundlag · Opfyldelse af kontrakt (kørsel af Udfordringen) og samtykke (fremhævelse) — Art. 6(1)(b) og 6(1)(a) GDPR

Hvad vi IKKE indsamler

  • Vi sælger aldrig dine data.
  • Vi indlejrer ikke tredjeparts ad-tech, fingerprinting eller session-replay-scripts.
  • Vi lægger ikke dine scanningsmåls-URL’er eller beviser for fund ind i analyseegenskaber — disse data findes kun i vores database, beskyttet af row-level security.
  • Vi deler ikke dine data med tredjeparter til deres egen markedsføring.

Underdatabehandlere

Vi bruger følgende underdatabehandlere til at drive FixVibe:

  • Vercel Inc. (USA) — applikationshosting og edge-netværk. Privatlivsmeddelelse: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres-database, autentificering, fillagring, Realtime. FixVibes produktionsdatabase ligger i regionen AWS us-east-1. Privatlivsmeddelelse: supabase.com/privacy.
  • Stripe Inc. (USA) — betalingsbehandling for betalte planer. Privatlivsmeddelelse: stripe.com/privacy.
  • Upstash, Inc. (USA, via Vercel Marketplace) — Redis-understøttet rate limiting; gemmer kun kortlivede IP-baserede tællere. Privatlivsmeddelelse: upstash.com/privacy.
  • PostHog Inc. (USA) — produktanalyse, kun hvis du giver analysesamtykke, og kun når analyser er konfigureret for den deployment, du bruger. Privatlivsmeddelelse: posthog.com/privacy.
  • GitHub, Inc. (USA) — kun hvis du forbinder den valgfrie GitHub-integration. Vi bruger GitHubs API til at læse repositories, som du initierer scanninger imod. Privatlivsmeddelelse: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — levering af transaktionel e-mail. Modtager din e-mailadresse og e-mailens brødtekst, når vi sender e-mails om fuldført scanning, planlagt scanning, live trusselsalarm og ugentlig opsummering. Resend bevarer leveringsmetadata (tidsstempler, status, bounce-poster) til driftsformål; vi sender aldrig marketingmail gennem Resend. Privatlivsmeddelelse: resend.com/legal/privacy-policy.

Overførsler af personoplysninger uden for EØS/Storbritannien bygger på Europa-Kommissionens standardkontraktbestemmelser (eller Storbritanniens International Data Transfer Addendum), suppleret af de krypteringsforanstaltninger under transport og i hvile, der er beskrevet under “Sikkerhed” nedenfor.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Dine rettigheder

Efter GDPR, UK GDPR og tilsvarende love (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act osv.) har du ret til at:

  • få adgang til en kopi af dine data (du kan gøre dette selv fra Konto → Privatliv);
  • få dine data rettet;
  • få dine data slettet (også via selvbetjening);
  • gøre indsigelse mod behandling baseret på legitime interesser;
  • tilbagekalde samtykke til analyser når som helst via ;
  • dataportabilitet — din eksport er i JSON;
  • indgive en klage til din lokale tilsynsmyndighed (EU/Storbritannien/EØS) eller tilsvarende.

Vi svarer på verificerbare rettighedsanmodninger inden for 30 dage. For anmodninger, vi ikke kan opfylde via selvbetjening (rettelse af et felt, vi ikke eksponerer, begrænsning af behandling, indsigelse), send en e-mail til support@fixvibe.app med emnelinjen “Privatlivsanmodning”.

Indbyggere i Californien (CCPA / CPRA)

Vi sælger ikke dine personlige oplysninger. Vi deler ikke personlige oplysninger til kontekstoverskridende adfærdsbaseret annoncering. Analyser via PostHog kører kun, efter at du giver samtykke i vores cookie-banner; du kan tilbagekalde samtykket når som helst via eller ved at klikke på Dine privatlivsvalg i sidefoden.

Hvis du er bosat i Californien, har du også ret til at:

  • vide, hvilke personlige oplysninger vi indsamler, kilderne, formålene og eventuelle tredjeparter, som vi deler dem med (alt beskrevet ovenfor);
  • anmode om sletning af dine personlige oplysninger (selvbetjening via Konto → Privatliv eller ved at sende os en e-mail);
  • rette unøjagtige personlige oplysninger;
  • begrænse brugen og videregivelsen af følsomme personlige oplysninger — vi indsamler ingen ud over autentificeringsoplysninger og sessionsmetadata, som begge kræves for at levere tjenesten;
  • fravælge salg eller deling — ikke relevant, da vi ikke gør nogen af delene;
  • ikke blive diskrimineret for at udøve nogen af ovenstående rettigheder.

Vi respekterer automatisk Global Privacy Control (GPC)-signaler; afsendelse af en GPC-header behandler dit besøg, som om du udtrykkeligt havde fravalgt ethvert fremtidigt analysesamtykke.

Sikkerhed

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Intet sikkerhedsprogram er perfekt. Hvis du mener, at du har fundet en sårbarhed i FixVibe, bedes du rapportere den til support@fixvibe.app.

Ændringer af denne politik

Hvis vi foretager væsentlige ændringer — nye underdatabehandlere, nye datakategorier, nye opbevaringsperioder — opdaterer vi datoen ovenfor og giver dig besked i appen. Mindre sproglige rettelser udløser ikke en meddelelse.

Kontakt

privacy@fixvibe.app — svar normalt inden for 5 arbejdsdage, aldrig længere end 30 dage som krævet af GDPR Art. 12(3).

Privatlivspolitik · FixVibe