FixVibe

// privacy

Política de Privacidad

última actualización · 2026-05-17

Quiénes somos

FixVibe es operado por EGO HERO LLC (“nosotros”, “nos”), el responsable del tratamiento de los datos personales descritos en esta política. Para preguntas de privacidad, incluidas solicitudes de interesados bajo GDPR, UK GDPR o CCPA, contacta con privacy@fixvibe.app. Para cualquier otra cosa, escribe a support@fixvibe.app.

Qué recopilamos, por qué y durante cuánto tiempo lo conservamos

  • Datos de cuenta

    Dirección de correo electrónico, identificador OAuth (si inicias sesión con Google o GitHub) y cualquier nombre que recibamos de tu proveedor OAuth. Se usan para autenticarte y contactarte sobre tu cuenta. Se conservan mientras tu cuenta esté activa. Cuando eliminas tu cuenta, estos datos se eliminan en un plazo de 30 días, salvo cuando estemos obligados a conservarlos (p. ej., registros de facturación conforme a la legislación fiscal).

    base jurídica · Ejecución del contrato — Art. 6(1)(b) GDPR

  • Objetivos de análisis y hallazgos

    Las URL que analizas, las solicitudes que hacemos a esas URL y los hallazgos que generamos. Se almacenan en tu organización. Eliminamos automáticamente los registros que superan la ventana de retención de tu plan: 30 días (Hobby), 90 días (Pro), 365 días (Unlimited). Puedes exportar o eliminar tu historial de análisis en cualquier momento desde Cuenta → Privacidad.

    base jurídica · Ejecución del contrato — Art. 6(1)(b) GDPR

  • Sesiones de análisis anónimas

    Si ejecutas un análisis sin iniciar sesión, emitimos una cookie firmada con HMAC (fixvibe_anon_session, duración de 24 horas) que contiene un ID aleatorio opaco. Eliminamos automáticamente los registros de análisis anónimos no reclamados después de 24 horas. Si te registras dentro de esa ventana de 24 horas, tu análisis migra a tu nueva cuenta. No sabemos quiénes son los usuarios anónimos salvo que se registren.

    base jurídica · Estrictamente necesario — exención ePrivacy Art. 5(3)

  • Datos de facturación

    Stripe es nuestro procesador de pagos. Stripe almacena los datos de tu tarjeta en infraestructura PCI-DSS; nosotros solo almacenamos un ID de cliente de Stripe, el estado de la suscripción, el plan, el inicio/fin del periodo y un pequeño registro de idempotencia de eventos de webhook. Consulta el aviso de privacidad de Stripe en stripe.com/privacy.

    base jurídica · Ejecución del contrato — Art. 6(1)(b) GDPR

  • Registros del servidor y registros de auditoría

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    base jurídica · Interés legítimo — Art. 6(1)(f) GDPR

  • Integración de GitHub (opcional, solo Pro+)

    Si conectas una cuenta de GitHub desde Cuenta → Integraciones, almacenamos un token de acceso OAuth cifrado para tu organización, tu login de GitHub + ID numérico de usuario y los alcances concedidos. Usamos el token únicamente para leer los repositorios sobre los que inicias análisis. El código fuente se obtiene por análisis, se procesa en memoria y solo se conserva la evidencia individual de los hallazgos (sin volcados completos del código fuente). Se elimina en un plazo de 30 días tras la desconexión.

    base jurídica · Ejecución del contrato / consentimiento — Art. 6(1)(b) + 6(1)(a) GDPR

  • Tokens de API + servidor MCP (opcional)

    Los tokens que creas en Cuenta → Tokens de API se almacenan como un hash SHA-256, los primeros 8 caracteres en texto plano (para identificación), el nombre que asignaste y marcas de tiempo de creación/último uso/revocación. El texto plano se te muestra exactamente una vez al crearlo y nunca se conserva. Los tokens son credenciales bearer: cualquier persona con el valor puede leer tus análisis e iniciar otros nuevos hasta que los revoques. El servidor MCP en /api/mcp se autentica con los mismos tokens, expone los mismos datos que mostraría el panel y no crea una categoría de datos separada.

    base jurídica · Ejecución del contrato — Art. 6(1)(b) GDPR

  • Webhooks salientes (opcionales, planes de pago)

    Si creas endpoints de webhook desde Cuenta → Webhooks, almacenamos la URL del endpoint, los tipos de eventos seleccionados, el estado de entrega, extractos cortos de respuesta y un secreto de firma cifrado. Enviamos metadatos de escaneos, hallazgos, alertas de monitor y ejecuciones programadas a los endpoints que configures. Esos endpoints son destinatarios elegidos por tu organización, no subprocesadores de FixVibe.

    base jurídica · Ejecución de contrato — Art. 6(1)(b) RGPD

  • Detección de amenazas en vivo (opcional, solo Unlimited)

    Si tienes la monitorización activada en un dominio verificado, capturamos periódicamente entradas de registros de transparencia de certificados, registros DNS y listados de inteligencia de amenazas (Spamhaus DBL, URLhaus) para ese dominio. Estas instantáneas contienen nombres de host que ya nos has autorizado a analizar y los resultados públicos de consultas públicas. No se captura ningún dato personal de tus usuarios finales. Las instantáneas de más de 7 días se eliminan automáticamente; se conserva la línea base más reciente por tipo de señal.

    base jurídica · Ejecución del contrato — Art. 6(1)(b) GDPR

  • Reanálisis programados (opcional, solo Pro+)

    Si activas análisis programados en un dominio verificado, registramos la cadencia, la hora de la última ejecución, la hora de la próxima ejecución y qué usuario activó la programación. Cada análisis disparado por cron hereda la declaración de autorización para analizar realizada cuando el dominio se verificó por primera vez — no vuelves a declarar autorización en cada ejecución. Desactívalo en cualquier momento en Dominios → Programación.

    base jurídica · Ejecución del contrato — Art. 6(1)(b) GDPR

  • Analítica (opcional, sujeta a consentimiento)

    Si otorgas consentimiento para analítica y tenemos analítica configurada para el despliegue que estás usando, utilizamos un proveedor de analítica de producto respetuoso con la privacidad (con proxy a través de nuestro propio dominio) para registrar uso anónimo — qué botones se pulsan, qué comprobaciones ejecuta la gente, en qué punto del embudo abandonan los usuarios. No incluimos las URL que analizas, contenido de evidencia ni datos personales en eventos de analítica. Revoca el consentimiento en cualquier momento mediante .

    base jurídica · Consentimiento — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Redención de oferta promocional

    Cuando redimes un código promocional, enlace de invitación o crédito de referencia, almacenamos el código de la campaña, el plan y la duración que concedimos, las marcas de tiempo de inicio y fin de la prueba, el plan que tenías antes de la prueba y un hash HMAC-SHA256 de tu dirección IP en el momento de la redención (nunca almacenamos la IP cruda — el hash existe únicamente para que podamos aplicar los límites de una-redención-por-red, y rotar la clave HMAC subyacente invalida todos los hashes almacenados sin exponer a nadie). Se conserva durante toda la vida de la campaña más 18 meses para fines contables y de investigación de fraude, luego se elimina junto con el resto del registro de la campaña.

    base jurídica · Interés legítimo (prevención de fraude, contabilidad) — Art. 6(1)(f) GDPR

  • Concursos, sorteos y desafíos

    Si te inscribes en un Desafío de FixVibe (como el Desafío Security Preflight), almacenamos el correo de contacto que envías (requerido para que podamos contactarte si ganas), los nombres de usuario de Reddit y Product Hunt que opcionalmente proporciones, tu ID de escaneo y dominio raíz, el tipo de proyecto autoreportado, stack y texto de la-única-cosa-que-aprendí que opcionalmente proporciones, el valor del canal-de-descubrimiento que opcionalmente selecciones y las tres casillas de consentimiento requeridas que aceptas (autorización, reglas, contacto). Si marcas por separado el consentimiento opcional destacar-en-marketing, podemos mostrar tu puntuación pública, calificación, stack, nombre de usuario y cita enviada en la página principal de FixVibe, en la página del desafío o en una publicación recapitulativa — nunca ningún otro campo y nunca sin esa aceptación. Las inscripciones a desafíos se conservan durante toda la vida del Desafío más 18 meses para fines de verificación y disputa. Puedes retirar el consentimiento destacar-en-marketing en cualquier momento enviando un correo a privacy@fixvibe.app; retirar no afecta el procesamiento lícito previo al retiro.

    base jurídica · Ejecución del contrato (organización del Desafío) y consentimiento (destacar) — Art. 6(1)(b) y 6(1)(a) GDPR

Lo que NO recopilamos

  • Nunca vendemos tus datos.
  • No incrustamos ad-tech de terceros, fingerprinting ni scripts de reproducción de sesiones.
  • No colocamos las URL objetivo de tus análisis ni la evidencia de hallazgos en propiedades de analítica — esos datos viven solo en nuestra base de datos, protegidos por seguridad a nivel de fila.
  • No compartimos tus datos con terceros para su propio marketing.

Subencargados

Dependemos de los siguientes subencargados para operar FixVibe:

  • Vercel Inc. (EE. UU.) — alojamiento de la aplicación y red edge. Aviso de privacidad: vercel.com/legal/privacy-policy.
  • Supabase Inc. (EE. UU.) — base de datos Postgres, autenticación, almacenamiento de archivos, Realtime. La base de datos de producción de FixVibe está en la región AWS us-east-1. Aviso de privacidad: supabase.com/privacy.
  • Stripe Inc. (EE. UU.) — procesamiento de pagos para planes de pago. Aviso de privacidad: stripe.com/privacy.
  • Upstash, Inc. (EE. UU., a través de Vercel Marketplace) — limitación de tasa respaldada por Redis; almacena solo contadores de corta duración basados en IP. Aviso de privacidad: upstash.com/privacy.
  • PostHog Inc. (EE. UU.) — analítica de producto, solo si otorgas consentimiento de analítica y solo cuando la analítica está configurada para el despliegue que estás usando. Aviso de privacidad: posthog.com/privacy.
  • GitHub, Inc. (EE. UU.) — solo si conectas la integración opcional de GitHub. Usamos la API de GitHub para leer los repositorios sobre los que inicias análisis. Aviso de privacidad: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (EE. UU.) — entrega de correo electrónico transaccional. Recibe tu dirección de correo electrónico y el cuerpo del mensaje cuando enviamos correos de análisis completado, análisis programado, alerta de amenaza en vivo y resumen semanal. Resend conserva metadatos de entrega (marcas de tiempo, estado, registros de rebote) con fines operativos; nunca enviamos correos de marketing a través de Resend. Aviso de privacidad: resend.com/legal/privacy-policy.

Las transferencias de datos personales fuera del EEE/Reino Unido se basan en las Cláusulas Contractuales Tipo de la Comisión Europea (o el International Data Transfer Addendum del Reino Unido), complementadas por las medidas de cifrado en tránsito y cifrado en reposo descritas en “Seguridad” más abajo.

Actualizaremos esta lista y avisaremos a los clientes en la app si añadimos un nuevo subprocesador que trate datos personales por nuestra cuenta. Los endpoints de webhooks salientes configurados por el cliente son destinatarios elegidos por el cliente, no subprocesadores de FixVibe.

Tus derechos

Conforme a GDPR, UK GDPR y leyes equivalentes (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act, etc.), tienes derecho a:

  • acceder a una copia de tus datos (puedes hacerlo en autoservicio desde Cuenta → Privacidad);
  • que tus datos sean corregidos;
  • que tus datos sean eliminados (también en autoservicio);
  • oponerte al tratamiento basado en intereses legítimos;
  • retirar el consentimiento para analítica en cualquier momento mediante ;
  • portabilidad de datos — tu exportación está en JSON;
  • presentar una reclamación ante tu autoridad supervisora local (UE/Reino Unido/EEE) o equivalente.

Respondemos a solicitudes verificables de derechos en un plazo de 30 días. Para solicitudes que no podamos satisfacer en autoservicio (rectificación de un campo que no exponemos, limitación del tratamiento, oposición), envía un correo a support@fixvibe.app con el asunto “Privacy request”.

Residentes de California (CCPA / CPRA)

No vendemos tu información personal. No compartimos información personal para publicidad conductual de contexto cruzado. La analítica mediante PostHog solo se ejecuta después de que otorgues consentimiento en nuestro banner de cookies; puedes retirarlo en cualquier momento mediante o haciendo clic en Tus opciones de privacidad en el pie de página.

Si eres residente de California, también tienes derecho a:

  • saber qué información personal recopilamos, las fuentes, los fines y cualquier tercero con quien la compartimos (todo detallado arriba);
  • solicitar la eliminación de tu información personal (autoservicio desde Cuenta → Privacidad o enviándonos un correo);
  • corregir información personal inexacta;
  • limitar el uso y la divulgación de información personal sensible — no recopilamos ninguna más allá de credenciales de autenticación y metadatos de sesión, ambos necesarios para prestar el servicio;
  • optar por no participar en venta o intercambio — no aplica porque no hacemos ninguna de las dos cosas;
  • no sufrir discriminación por ejercer cualquiera de los derechos anteriores.

Respetamos automáticamente las señales Global Privacy Control (GPC); enviar una cabecera GPC trata tu visita como si hubieras optado explícitamente por excluirte de cualquier consentimiento futuro de analítica.

Seguridad

Forzamos row-level security en cada tabla de la base de datos; los usuarios solo ven registros de las organizaciones a las que pertenecen. Los headers de escaneo autenticado, cuando se proporcionan, se cifran en reposo con AES-256-GCM y se eliminan cuando termina el escaneo. Los payloads de webhooks de Stripe se verifican con HMAC antes de procesarse, y los secretos de firma de webhooks salientes de clientes se cifran en reposo. La credencial service-role de la base de datos solo existe en el runtime del servidor y nunca se expone al navegador. Todo el tráfico entre tú y FixVibe, y entre FixVibe y nuestros subprocesadores, usa TLS 1.2 o superior.

Ningún programa de seguridad es perfecto. Si crees que has encontrado una vulnerabilidad en FixVibe, infórmala a support@fixvibe.app.

Cambios en esta política

Si hacemos cambios materiales — nuevos subencargados, nuevas categorías de datos, nuevos periodos de retención — actualizaremos la fecha anterior y te notificaremos dentro de la aplicación. Las correcciones menores de redacción no activan una notificación.

Contacto

privacy@fixvibe.app — respuestas normalmente en un plazo de 5 días hábiles, nunca más de 30 días según exige GDPR Art. 12(3).

Política de Privacidad · FixVibe