FixVibe

// privacy

Πολιτική Απορρήτου

τελευταία ενημέρωση · 2026-05-17

Ποιοι είμαστε

Το FixVibe λειτουργεί από την EGO HERO LLC (“εμείς”, “εμάς”), τον υπεύθυνο επεξεργασίας για τα προσωπικά δεδομένα που περιγράφονται σε αυτήν την πολιτική. Για ερωτήσεις απορρήτου, συμπεριλαμβανομένων αιτημάτων υποκειμένων δεδομένων βάσει GDPR, UK GDPR ή CCPA, επικοινώνησε στο privacy@fixvibe.app. Για οτιδήποτε άλλο, γράψε στο support@fixvibe.app.

Τι συλλέγουμε, γιατί και για πόσο το διατηρούμε

  • Δεδομένα λογαριασμού

    Διεύθυνση email, OAuth αναγνωριστικό, αν συνδεθείς με Google ή GitHub, και οποιοδήποτε όνομα λαμβάνουμε από τον OAuth πάροχό σου. Χρησιμοποιείται για να σε ταυτοποιούμε και να επικοινωνούμε μαζί σου σχετικά με τον λογαριασμό σου. Διατηρείται όσο ο λογαριασμός σου είναι ενεργός. Όταν διαγράψεις τον λογαριασμό σου, αυτά τα δεδομένα αφαιρούνται εντός 30 ημερών, εκτός αν απαιτείται να τα διατηρήσουμε, για παράδειγμα αρχεία τιμολόγησης βάσει φορολογικής νομοθεσίας.

    νόμιμη βάση · Εκτέλεση σύμβασης — Art. 6(1)(b) GDPR

  • Στόχοι σάρωσης και ευρήματα

    Τα URL που σαρώνεις, τα αιτήματα που κάνουμε προς αυτά τα URL και τα ευρήματα που παράγουμε. Αποθηκεύονται στην οργάνωσή σου. Διαγράφουμε αυτόματα εγγραφές παλαιότερες από το παράθυρο διατήρησης του πακέτου σου: 30 ημέρες (Hobby), 90 ημέρες (Pro), 365 ημέρες (Unlimited). Μπορείς να εξάγεις ή να διαγράψεις το ιστορικό σαρώσεών σου ανά πάσα στιγμή από Λογαριασμός → Απόρρητο.

    νόμιμη βάση · Εκτέλεση σύμβασης — Art. 6(1)(b) GDPR

  • Ανώνυμες συνεδρίες σάρωσης

    Αν εκτελέσεις σάρωση χωρίς να συνδεθείς, εκδίδουμε ένα cookie υπογεγραμμένο με HMAC, fixvibe_anon_session, διάρκειας 24 ωρών, που περιέχει ένα αδιαφανές τυχαίο ID. Διαγράφουμε αυτόματα αζήτητες ανώνυμες εγγραφές σάρωσης μετά από 24 ώρες. Αν εγγραφείς μέσα στο 24ωρο παράθυρο, η σάρωσή σου μεταφέρεται στον νέο λογαριασμό σου. Δεν γνωρίζουμε ποιοι είναι οι ανώνυμοι χρήστες, εκτός αν εγγραφούν.

    νόμιμη βάση · Απολύτως απαραίτητο — εξαίρεση ePrivacy Art. 5(3)

  • Δεδομένα χρέωσης

    Η Stripe είναι ο επεξεργαστής πληρωμών μας. Αποθηκεύει τα στοιχεία της κάρτας σου σε υποδομή PCI-DSS· εμείς αποθηκεύουμε μόνο Stripe customer ID, κατάσταση συνδρομής, πακέτο, αρχή και τέλος περιόδου και ένα μικρό ιδιοδύναμο αρχείο webhook γεγονότων. Δες τη δήλωση απορρήτου της Stripe στο stripe.com/privacy.

    νόμιμη βάση · Εκτέλεση σύμβασης — Art. 6(1)(b) GDPR

  • Αρχεία καταγραφής server και audit logs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    νόμιμη βάση · Έννομο συμφέρον — Art. 6(1)(f) GDPR

  • Ενσωμάτωση GitHub, προαιρετική, μόνο Pro+

    Αν συνδέσεις λογαριασμό GitHub από Λογαριασμός → Ενσωματώσεις, αποθηκεύουμε για την οργάνωσή σου ένα κρυπτογραφημένο OAuth access token, το GitHub login σου και το αριθμητικό user ID, καθώς και τα scopes που χορηγήθηκαν. Χρησιμοποιούμε το token αποκλειστικά για να διαβάζουμε repositories για τα οποία ξεκινάς σάρωση. Ο πηγαίος κώδικας ανακτάται ανά σάρωση, επεξεργάζεται στη μνήμη και διατηρούνται μόνο μεμονωμένα αποδεικτικά ευρημάτων, χωρίς πλήρη source dumps. Διαγράφεται εντός 30 ημερών από την αποσύνδεση.

    νόμιμη βάση · Εκτέλεση σύμβασης / συγκατάθεση — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server, προαιρετικά

    Τα tokens που δημιουργείς στο Λογαριασμός → API tokens αποθηκεύονται ως SHA-256 hash, οι πρώτοι 8 χαρακτήρες απλού κειμένου για αναγνώριση, το όνομα που όρισες, καθώς και χρονικές σημάνσεις δημιουργίας, τελευταίας χρήσης και ανάκλησης. Το απλό κείμενο σου εμφανίζεται ακριβώς μία φορά κατά τη δημιουργία και δεν διατηρείται ποτέ. Τα tokens είναι bearer credentials: οποιοσδήποτε έχει την τιμή μπορεί να διαβάσει τις σαρώσεις σου και να ξεκινήσει νέες μέχρι να το ανακαλέσεις. Ο MCP server στο /api/mcp ταυτοποιείται με τα ίδια tokens, εκθέτει τα ίδια δεδομένα που θα έδειχνε το dashboard και δεν δημιουργεί ξεχωριστή κατηγορία δεδομένων.

    νόμιμη βάση · Εκτέλεση σύμβασης — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    νόμιμη βάση · Performance of contract — Art. 6(1)(b) GDPR

  • Ζωντανή ανίχνευση απειλών, προαιρετική, μόνο Unlimited

    Αν έχεις ενεργοποιήσει παρακολούθηση σε επαληθευμένο domain, καταγράφουμε περιοδικά εγγραφές certificate-transparency logs, DNS records και threat-intel listings (Spamhaus DBL, URLhaus) για αυτό το domain. Αυτά τα snapshots περιέχουν hostnames που έχεις ήδη εξουσιοδοτήσει να σαρώσουμε και τα δημόσια αποτελέσματα δημόσιων αναζητήσεων. Δεν συλλέγονται προσωπικά δεδομένα των τελικών χρηστών σου. Snapshots παλαιότερα από 7 ημέρες διαγράφονται αυτόματα· η πιο πρόσφατη baseline διατηρείται ανά τύπο σήματος.

    νόμιμη βάση · Εκτέλεση σύμβασης — Art. 6(1)(b) GDPR

  • Προγραμματισμένες επανασαρώσεις, προαιρετικές, μόνο Pro+

    Αν ενεργοποιήσεις προγραμματισμένες σαρώσεις σε επαληθευμένο domain, καταγράφουμε τη συχνότητα, την ώρα τελευταίας εκτέλεσης, την ώρα επόμενης εκτέλεσης και ποιος χρήστης ενεργοποίησε το πρόγραμμα. Κάθε σάρωση που ενεργοποιείται από cron κληρονομεί τη δήλωση εξουσιοδότησης για σάρωση που έγινε όταν επαληθεύτηκε για πρώτη φορά το domain — δεν επαναβεβαιώνεις ανά εκτέλεση. Απενεργοποίησε οποιαδήποτε στιγμή από Domains → Πρόγραμμα.

    νόμιμη βάση · Εκτέλεση σύμβασης — Art. 6(1)(b) GDPR

  • Analytics, προαιρετικά, με συγκατάθεση

    Αν δώσεις συγκατάθεση για analytics και έχουμε analytics ρυθμισμένα για το deployment που χρησιμοποιείς, χρησιμοποιούμε έναν πάροχο product analytics που σέβεται το απόρρητο και περνά μέσω του δικού μας domain, για να καταγράφουμε ανώνυμη χρήση — ποια κουμπιά πατιούνται, ποιοι έλεγχοι εκτελούνται, σε ποιο σημείο του funnel αποχωρούν οι χρήστες. Δεν βάζουμε URL που σαρώνεις, περιεχόμενο αποδεικτικών ή προσωπικά δεδομένα σε analytics events. Ανάκλησε τη συγκατάθεση οποιαδήποτε στιγμή μέσω .

    νόμιμη βάση · Συγκατάθεση — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Διεκδίκηση προωθητικής προσφοράς

    Όταν διεκδικείτε κωδικό προωθητικής ενέργειας, σύνδεσμο πρόσκλησης ή πίστωση παραπομπής, αποθηκεύουμε τον κωδικό καμπάνιας, το πακέτο και τη διάρκεια που χορηγήσαμε, τις χρονοσημάνσεις έναρξης και λήξης δοκιμής, το πακέτο που είχατε πριν τη δοκιμή και ένα hash HMAC-SHA256 της διεύθυνσης IP σας τη στιγμή της διεκδίκησης (ποτέ δεν αποθηκεύουμε την ακατέργαστη IP — το hash υπάρχει μόνο για να μπορούμε να επιβάλλουμε όρια μιας-διεκδίκησης-ανά-δίκτυο, και η περιστροφή του υποκείμενου κλειδιού HMAC ακυρώνει όλα τα αποθηκευμένα hashes χωρίς να εκθέτει κανέναν). Διατηρείται για τη διάρκεια ζωής της καμπάνιας συν 18 μήνες για λογιστικούς και ερευνητικούς σκοπούς απάτης, στη συνέχεια διαγράφεται μαζί με την υπόλοιπη εγγραφή καμπάνιας.

    νόμιμη βάση · Έννομο συμφέρον (πρόληψη απάτης, λογιστική) — Άρθρο 6(1)(στ) GDPR

  • Διαγωνισμοί, κληρώσεις και προκλήσεις

    Αν συμμετάσχετε σε μια Πρόκληση FixVibe (όπως η Security Preflight Challenge), αποθηκεύουμε το email επικοινωνίας που υποβάλλετε (απαιτείται για να μπορέσουμε να σας επικοινωνήσουμε αν κερδίσετε), τα ονόματα χρηστών Reddit και Product Hunt που παρέχετε προαιρετικά, το scan ID και το root domain σας, τον αυτο-αναφερόμενο τύπο έργου, stack και κείμενο ενός-πράγματος-που-έμαθα που παρέχετε προαιρετικά, την τιμή καναλιού ανακάλυψης που επιλέγετε προαιρετικά και τα τρία απαιτούμενα checkboxes συναίνεσης που αποδέχεστε (εξουσιοδότηση, κανόνες, επικοινωνία). Αν τσεκάρετε ξεχωριστά τη συναίνεση παρουσίαση-στο-μάρκετινγκ, μπορεί να εμφανίσουμε τη δημόσια βαθμολογία, βαθμολόγηση, stack, όνομα χρήστη και υποβληθείσα παράθεσή σας στην αρχική σελίδα FixVibe, σελίδα πρόκλησης ή ανάρτηση ανακεφαλαίωσης — ποτέ άλλα πεδία και ποτέ χωρίς αυτό το opt-in. Οι συμμετοχές πρόκλησης διατηρούνται για τη διάρκεια ζωής της Πρόκλησης συν 18 μήνες για σκοπούς επαλήθευσης και διαφωνίας. Μπορείτε να ανακαλέσετε τη συναίνεση παρουσίαση-στο-μάρκετινγκ οποτεδήποτε στέλνοντας email στο privacy@fixvibe.app· η ανάκληση δεν επηρεάζει νόμιμη επεξεργασία πριν την ανάκληση.

    νόμιμη βάση · Εκτέλεση σύμβασης (διεξαγωγή της Πρόκλησης) και συναίνεση (παρουσίαση) — Άρθρο 6(1)(β) και 6(1)(α) GDPR

Τι ΔΕΝ συλλέγουμε

  • Δεν πουλάμε ποτέ τα δεδομένα σου.
  • Δεν ενσωματώνουμε τρίτη ad-tech, fingerprinting ή session-replay scripts.
  • Δεν βάζουμε τα URL στόχων σάρωσης ή τα αποδεικτικά ευρημάτων σου σε analytics properties — αυτά τα δεδομένα ζουν μόνο στη βάση δεδομένων μας, προστατευμένα από row-level security.
  • Δεν μοιραζόμαστε τα δεδομένα σου με τρίτους για το δικό τους marketing.

Υπο-εκτελούντες την επεξεργασία

Βασιζόμαστε στους παρακάτω υπο-εκτελούντες για τη λειτουργία του FixVibe:

  • Vercel Inc. (ΗΠΑ) — φιλοξενία εφαρμογής και edge network. Δήλωση απορρήτου: vercel.com/legal/privacy-policy.
  • Supabase Inc. (ΗΠΑ) — Postgres database, authentication, file storage, Realtime. Η production database του FixVibe βρίσκεται στην περιοχή AWS us-east-1. Δήλωση απορρήτου: supabase.com/privacy.
  • Stripe Inc. (ΗΠΑ) — επεξεργασία πληρωμών για πληρωμένα πακέτα. Δήλωση απορρήτου: stripe.com/privacy.
  • Upstash, Inc. (ΗΠΑ, μέσω του Vercel Marketplace) — rate limiting με βάση Redis· αποθηκεύει μόνο βραχύβιους μετρητές με βάση IP. Δήλωση απορρήτου: upstash.com/privacy.
  • PostHog Inc. (ΗΠΑ) — product analytics, μόνο αν δώσεις συγκατάθεση για analytics και μόνο όταν analytics είναι ρυθμισμένα για το deployment που χρησιμοποιείς. Δήλωση απορρήτου: posthog.com/privacy.
  • GitHub, Inc. (ΗΠΑ) — μόνο αν συνδέσεις την προαιρετική ενσωμάτωση GitHub. Χρησιμοποιούμε το GitHub API για να διαβάζουμε repositories για τα οποία ξεκινάς σάρωση. Δήλωση απορρήτου: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (ΗΠΑ) — αποστολή transactional email. Λαμβάνει τη διεύθυνση email σου και το σώμα του email όταν στέλνουμε μηνύματα για ολοκληρωμένη σάρωση, προγραμματισμένη σάρωση, ειδοποίηση live threat και εβδομαδιαίο digest. Η Resend διατηρεί μεταδεδομένα παράδοσης, όπως χρονικές σημάνσεις, κατάσταση και bounce records, για λειτουργικούς σκοπούς· δεν στέλνουμε ποτέ marketing email μέσω Resend. Δήλωση απορρήτου: resend.com/legal/privacy-policy.

Οι μεταφορές προσωπικών δεδομένων εκτός ΕΟΧ/UK βασίζονται στις Τυποποιημένες Συμβατικές Ρήτρες της Ευρωπαϊκής Επιτροπής ή στο UK International Data Transfer Addendum, συμπληρωμένες από τα μέτρα κρυπτογράφησης κατά τη μεταφορά και σε κατάσταση ηρεμίας που περιγράφονται παρακάτω στην ενότητα “Ασφάλεια”.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Τα δικαιώματά σου

Βάσει GDPR, UK GDPR και ισοδύναμων νόμων (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act κ.λπ.), έχεις δικαίωμα να:

  • αποκτήσεις πρόσβαση σε αντίγραφο των δεδομένων σου (μπορείς να το κάνεις self-serve από Λογαριασμός → Απόρρητο);
  • διορθώσεις τα δεδομένα σου;
  • διαγράψεις τα δεδομένα σου (επίσης self-serve);
  • αντιταχθείς σε επεξεργασία που βασίζεται σε έννομα συμφέροντα;
  • ανακαλέσεις συγκατάθεση για analytics οποιαδήποτε στιγμή μέσω ;
  • φορητότητα δεδομένων — η εξαγωγή σου είναι σε JSON;
  • υποβάλεις καταγγελία στην τοπική εποπτική αρχή σου (EU/UK/ΕΟΧ) ή σε ισοδύναμο φορέα.

Απαντάμε σε επαληθεύσιμα αιτήματα δικαιωμάτων εντός 30 ημερών. Για αιτήματα που δεν μπορούμε να ικανοποιήσουμε self-serve, όπως διόρθωση πεδίου που δεν εκθέτουμε, περιορισμός επεξεργασίας ή αντίρρηση, στείλε email στο support@fixvibe.app με θέμα “Αίτημα απορρήτου”.

Κάτοικοι Καλιφόρνιας (CCPA / CPRA)

Δεν πουλάμε τις προσωπικές πληροφορίες σου. Δεν μοιραζόμαστε προσωπικές πληροφορίες για cross-context behavioral advertising. Τα analytics μέσω PostHog εκτελούνται μόνο αφού δώσεις συγκατάθεση στο cookie banner μας· μπορείς να ανακαλέσεις αυτή τη συγκατάθεση οποιαδήποτε στιγμή μέσω ή κάνοντας κλικ στο Οι επιλογές απορρήτου σου στο footer.

Αν είσαι κάτοικος Καλιφόρνιας, έχεις επίσης δικαίωμα να:

  • γνωρίζεις ποιες προσωπικές πληροφορίες συλλέγουμε, τις πηγές, τους σκοπούς και τυχόν τρίτους με τους οποίους τις μοιραζόμαστε, όλα αναλυτικά παραπάνω;
  • ζητήσεις διαγραφή των προσωπικών πληροφοριών σου, self-serve μέσω Λογαριασμός → Απόρρητο ή στέλνοντάς μας email;
  • διορθώσεις ανακριβείς προσωπικές πληροφορίες;
  • περιορίσεις τη χρήση και αποκάλυψη ευαίσθητων προσωπικών πληροφοριών — δεν συλλέγουμε καμία πέρα από credentials ταυτοποίησης και μεταδεδομένα συνεδρίας, τα οποία απαιτούνται για την παροχή της υπηρεσίας;
  • εξαιρεθείς από πώληση ή κοινοποίηση — δεν εφαρμόζεται, επειδή δεν κάνουμε κανένα από τα δύο;
  • μην υποστείς διακρίσεις για την άσκηση οποιουδήποτε από τα παραπάνω.

Τιμούμε αυτόματα τα σήματα Global Privacy Control (GPC)· η αποστολή GPC header αντιμετωπίζει την επίσκεψή σου σαν να είχες ρητά εξαιρεθεί από οποιαδήποτε μελλοντική συγκατάθεση για analytics.

Ασφάλεια

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Κανένα πρόγραμμα ασφάλειας δεν είναι τέλειο. Αν πιστεύεις ότι βρήκες ευπάθεια στο FixVibe, παρακαλούμε ανέφερέ την στο support@fixvibe.app.

Αλλαγές σε αυτήν την πολιτική

Αν κάνουμε ουσιώδεις αλλαγές — νέους υπο-εκτελούντες, νέες κατηγορίες δεδομένων ή νέες περιόδους διατήρησης — θα ενημερώσουμε την παραπάνω ημερομηνία και θα σε ειδοποιήσουμε μέσα στην εφαρμογή. Μικρές διορθώσεις διατύπωσης δεν ενεργοποιούν ειδοποίηση.

Επικοινωνία

privacy@fixvibe.app — απαντήσεις συνήθως εντός 5 εργάσιμων ημερών, ποτέ περισσότερο από 30 ημέρες όπως απαιτείται από GDPR Art. 12(3).

Πολιτική Απορρήτου · FixVibe