Privaatsuspoliitika

FixVibe teenust opereerib EGO HERO LLC (“meie”, “meid”), selles poliitikas kirjeldatud isikuandmete vastutav töötleja. Privaatsusküsimuste, sealhulgas GDPR, UK GDPR või CCPA alusel esitatavate andmesubjekti taotluste puhul võta ühendust aadressil privacy@fixvibe.app. Kõige muu jaoks kirjuta aadressile support@fixvibe.app.

• Konto andmed

  E-posti aadress, OAuth identifikaator (kui logid sisse Google või GitHub kaudu) ja mis tahes nimi, mille saame sinu OAuth pakkujalt. Kasutame seda sinu autentimiseks ja sinuga konto kohta suhtlemiseks. Säilitame, kuni sinu konto on aktiivne. Kui kustutad konto, eemaldatakse need andmed 30 päeva jooksul, välja arvatud juhul, kui peame neid säilitama (nt arvelduskirjed maksuseaduse alusel).

  õiguslik alus · Lepingu täitmine — Art. 6(1)(b) GDPR

• Skannimise sihtmärgid ja leiud

  URL-id, mida skannid, päringud, mida neile URL-idele teeme, ja leiud, mille koostame. Need talletatakse sinu organisatsiooni juures. Kustutame automaatselt kirjed, mis on vanemad kui sinu plaani säilitusaken: 30 päeva (Hobby), 90 päeva (Pro), 365 päeva (Unlimited). Saad oma skannimisajaloo igal ajal eksportida või kustutada jaotises Konto → Privaatsus.

  õiguslik alus · Lepingu täitmine — Art. 6(1)(b) GDPR

• Anonüümsed skannimisseansid

  Kui käivitad skannimise sisse logimata, väljastame HMAC-allkirjastatud küpsise (fixvibe_anon_session, 24-tunnine eluiga), mis sisaldab läbipaistmatut juhuslikku ID-d. Kustutame sidumata anonüümse skannimise kirjed automaatselt 24 tunni pärast. Kui registreerud 24-tunnise akna jooksul, liigub sinu skannimine uuele kontole. Me ei tea, kes anonüümsed kasutajad on, välja arvatud juhul, kui nad registreeruvad.

  õiguslik alus · Rangelt vajalik — ePrivacy Art. 5(3) erand

• Arveldusandmed

  Stripe on meie maksetöötleja. Stripe talletab sinu kaardiandmeid PCI-DSS taristus; meie talletame ainult Stripe kliendi ID, tellimuse oleku, plaani, perioodi alguse/lõpu ja väikese webhook sündmuste idempotentsuskirje. Vaata Stripe privaatsusteadet aadressil stripe.com/privacy.

  õiguslik alus · Lepingu täitmine — Art. 6(1)(b) GDPR

• Serverilogid ja auditilogid

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  õiguslik alus · Õigustatud huvi — Art. 6(1)(f) GDPR

• GitHub integratsioon (valikuline, ainult Pro+)

  Kui ühendad GitHub konto jaotises Konto → Integratsioonid, talletame sinu organisatsiooni jaoks krüpteeritud OAuth juurdepääsutokeni, sinu GitHub kasutajanime + numbrilise kasutaja ID ning antud õiguste ulatused. Kasutame tokenit ainult nende repositooriumide lugemiseks, mille vastu skannimise algatad. Lähtekood hangitakse iga skannimise jaoks, töödeldakse mälus ning salvestatakse ainult üksikute leidude tõendid (mitte täielikke lähtekoodikoopiaid). Kustutatakse 30 päeva jooksul pärast ühenduse katkestamist.

  õiguslik alus · Lepingu täitmine / nõusolek — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokenid + MCP server (valikuline)

  Tokenid, mille lood jaotises Konto → API tokenid, talletatakse SHA-256 räsina, esimese 8 lihtteksti märgina (tuvastamiseks), sinu määratud nimena ning loomise/viimase kasutuse/tühistamise ajatemplitega. Lihttekst kuvatakse sulle loomisel täpselt üks kord ja seda ei säilitata kunagi. Tokenid on bearer-mandaadid: igaüks, kellel on väärtus, saab lugeda sinu skannimisi ja alustada uusi, kuni tokeni tühistad. MCP server aadressil /api/mcp autentitakse samade tokenitega, see avaldab samu andmeid, mida näitaks töölaud, ega loo eraldi andmekategooriat.

  õiguslik alus · Lepingu täitmine — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  õiguslik alus · Performance of contract — Art. 6(1)(b) GDPR

• Reaalajas ohutuvastus (valikuline, ainult Unlimited)

  Kui sul on kontrollitud domeenil seire lubatud, kogume perioodiliselt selle domeeni certificate-transparency logikirjeid, DNS-kirjeid ja ohuluure nimekirju (Spamhaus DBL, URLhaus). Need hetktõmmised sisaldavad hostinimesid, mille skannimiseks oled meile juba loa andnud, ja avalike päringute avalikke tulemusi. Sinu lõppkasutajate isikuandmeid ei koguta. Üle 7 päeva vanad hetktõmmised kustutatakse automaatselt; iga signaalitüübi kohta säilitatakse uusim baasjoon.

  õiguslik alus · Lepingu täitmine — Art. 6(1)(b) GDPR

• Ajastatud kordusskannimised (valikuline, ainult Pro+)

  Kui lubad kontrollitud domeenil ajastatud skannimised, salvestame sageduse, viimase käivituse aja, järgmise käivituse aja ja kasutaja, kes ajakava lubas. Iga cron-käivitatud skannimine pärib skannimisloa kinnituse, mis anti domeeni esmakordsel kontrollimisel — iga käivituse puhul uut kinnitust ei küsita. Keela igal ajal jaotises Domeenid → Ajakava.

  õiguslik alus · Lepingu täitmine — Art. 6(1)(b) GDPR

• Analüütika (valikuline, nõusoleku alusel)

  Kui annad analüütika nõusoleku ja analüütika on sinu kasutatava juurutuse jaoks seadistatud, kasutame privaatsust austavat tooteanalüütika pakkujat (vahendatud meie oma domeeni kaudu), et registreerida anonüümset kasutust — milliseid nuppe klõpsatakse, milliseid kontrolle inimesed käivitavad, kus kasutajad lehtris katkestavad. Me ei pane skannitavaid URL-e, tõendite sisu ega isikuandmeid analüütikasündmustesse. Võta nõusolek igal ajal tagasi kaudu Küpsise seaded.

  õiguslik alus · Nõusolek — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Sooduspakkumise lunastamine

  Kui lunastate sooduskoodi, kutselingi või soovituskrediidi, salvestame kampaania koodi, paketi ja kestuse, mille andsime, prooviversiooni alguse ja lõpu ajatemplid, paketi, mis teil enne prooviversiooni oli, ning teie IP-aadressi HMAC-SHA256 räsi lunastamise ajal (me ei salvesta kunagi toorest IP-d — räsi eksisteerib ainult selleks, et saaksime jõustada ühe lunastamise võrgu kohta limiite, ja aluse HMAC võtme rotatsioon kehtetuks tunnistab kõik salvestatud räsid kedagi paljastamata). Säilitatakse kampaania eluea jooksul pluss 18 kuud raamatupidamise ja pettuseuurimise eesmärkidel, seejärel kustutatakse koos ülejäänud kampaania kirjega.

  õiguslik alus · Õigustatud huvi (pettuse ennetamine, raamatupidamine) — GDPR art 6(1)(f)

• Võistlused, loosimised ja väljakutsed

  Kui osalete FixVibe Väljakutses (näiteks Security Preflight Challenge), salvestame teie esitatud kontakt-e-posti (nõutav, et saaksime teiega ühendust võtta, kui võidate), Redditi ja Product Hunti kasutajanimed, mida valikuliselt esitate, teie skanni ID ja juurdomeeni, isearuandelise projekti tüübi, stacki ja õpitud-asja teksti, mida valikuliselt esitate, avastuskanali väärtuse, mille valikuliselt valite, ning kolm nõutavat nõusoleku märkeruutu, mida nõustute (volitus, reeglid, kontakt). Kui te eraldi märgistate valikulise turunduses-esiletõstetud nõusoleku, võime kuvada teie avaliku tulemuse, reitingu, stacki, kasutajanime ja esitatud tsitaadi FixVibe avalehel, väljakutse lehel või kokkuvõttepostituses — mitte kunagi ühtegi muud välja ja mitte kunagi ilma selle valikuta. Väljakutse osavõtud säilitatakse Väljakutse eluea jooksul pluss 18 kuud kontrollimise ja vaidluste eesmärkidel. Saate turunduses-esiletõstetud nõusoleku igal ajal tagasi võtta, saates e-kirja aadressile privacy@fixvibe.app; tagasivõtmine ei mõjuta seaduslikku töötlemist enne tagasivõtmist.

  õiguslik alus · Lepingu täitmine (Väljakutse läbiviimine) ja nõusolek (esiletõstmine) — GDPR art 6(1)(b) ja 6(1)(a)

• Me ei müü kunagi sinu andmeid.
• Me ei manusta kolmandate osapoolte ad-tech, sõrmejäljestamise ega seansitaasesituse skripte.
• Me ei pane sinu skannimise siht-URL-e ega leidude tõendeid analüütika atribuutidesse — need andmed elavad ainult meie andmebaasis, mida kaitseb rea taseme turvalisus.
• Me ei jaga sinu andmeid kolmandate osapooltega nende enda turunduse jaoks.

FixVibe käitamiseks tugineme järgmistele alltöötlejatele:

• Vercel Inc. (USA) — rakenduse majutus ja edge-võrk. Privaatsusteade: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres andmebaas, autentimine, failitalletus, Realtime. FixVibe tootmisandmebaas asub AWS us-east-1 piirkonnas. Privaatsusteade: supabase.com/privacy.
• Stripe Inc. (USA) — tasuliste plaanide maksetöötlus. Privaatsusteade: stripe.com/privacy.
• Upstash, Inc. (USA, Vercel Marketplace kaudu) — Redis-põhine kiiruspiirang; talletab ainult lühiealisi IP-põhiseid loendureid. Privaatsusteade: upstash.com/privacy.
• PostHog Inc. (USA) — tooteanalüütika ainult siis, kui annad analüütika nõusoleku, ja ainult siis, kui analüütika on sinu kasutatava juurutuse jaoks seadistatud. Privaatsusteade: posthog.com/privacy.
• GitHub, Inc. (USA) — ainult siis, kui ühendad valikulise GitHub integratsiooni. Kasutame GitHub API-t, et lugeda repositooriume, mille vastu skannimise algatad. Privaatsusteade: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — tehinguliste e-kirjade kohaletoimetamine. Saab sinu e-posti aadressi ja e-kirja sisu, kui saadame skannimise lõpetamise, ajastatud skannimise, reaalajas ohuhoiatuse ja nädalakokkuvõtte e-kirju. Resend säilitab kohaletoimetamise metaandmeid (ajatemplid, olek, tagasipõrke kirjed) operatiivsetel eesmärkidel; me ei saada Resend kaudu kunagi turunduskirju. Privaatsusteade: resend.com/legal/privacy-policy.

Isikuandmete edastamine väljapoole EEA/UK piirkonda tugineb Euroopa Komisjoni Standard Contractual Clauses tingimustele (või UK International Data Transfer Addendum dokumendile), mida täiendavad allpool jaotises “Turvalisus” kirjeldatud edastamisel krüpteerimise ja puhkeolekus krüpteerimise meetmed.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR, UK GDPR ja samaväärsete seaduste (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act jne) alusel on sul õigus:

• pääseda ligi oma andmete koopiale (saad seda teha iseteeninduses kaudu Konto → Privaatsus);
• lasta oma andmeid parandada;
• lasta oma andmeid kustutada (samuti iseteeninduses);
• esitada vastuväide õigustatud huvil põhinevale töötlemisele;
• võtta analüütika nõusolek igal ajal tagasi kaudu Küpsise seaded;
• andmete ülekantavus — sinu eksport on JSON-is;
• esitada kaebus oma kohalikule järelevalveasutusele (EU/UK/EEA) või samaväärsele asutusele.

Vastame kontrollitavatele õiguste taotlustele 30 päeva jooksul. Taotluste puhul, mida me iseteeninduse kaudu rahuldada ei saa (välja parandamine, mida me ei kuva; töötlemise piiramine; vastuväide), saada e-kiri aadressile support@fixvibe.app teemareaga “Privacy request”.

Me ei müü sinu isikuandmeid. Me ei jaga isikuandmeid kontekstiülese käitumusliku reklaami jaoks. PostHog kaudu toimiv analüütika käivitub ainult pärast seda, kui annad meie küpsisebänneris nõusoleku; saad selle nõusoleku igal ajal tagasi võtta kaudu Küpsise seaded või klõpsates jaluses Sinu privaatsusvalikud.

Kui oled California elanik, on sul lisaks õigus:

• teada, milliseid isikuandmeid kogume, millistest allikatest, mis eesmärkidel ja milliste kolmandate osapooltega neid jagame (kõik on ülal üksikasjalikult kirjeldatud);
• taotleda oma isikuandmete kustutamist (iseteeninduses kaudu Konto → Privaatsus või meile e-kirja saates);
• parandada ebatäpseid isikuandmeid;
• piirata tundliku isikuandmete kasutamist ja avaldamist — me ei kogu midagi peale autentimismandaatide ja seansi metaandmete, mis mõlemad on teenuse osutamiseks vajalikud;
• loobuda müümisest või jagamisest — ei kohaldu, sest me ei tee kumbagi;
• mitte saada diskrimineeritud ühegi ülaltoodud õiguse kasutamise eest.

Austame Global Privacy Control (GPC) signaale automaatselt; GPC päise saatmine tähendab, et käsitleme sinu külastust nii, nagu oleksid selgesõnaliselt loobunud mis tahes tulevasest analüütika nõusolekust.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Ükski turbeprogramm ei ole täiuslik. Kui usud, et oled leidnud FixVibe haavatavuse, teavita sellest aadressil support@fixvibe.app.

Kui teeme olulisi muudatusi — uued alltöötlejad, uued andmekategooriad, uued säilitusperioodid — uuendame ülalolevat kuupäeva ja teavitame sind rakenduses. Väikesed sõnastusparandused teavitust ei käivita.

privacy@fixvibe.app — vastame tavaliselt 5 tööpäeva jooksul, mitte kunagi kauem kui 30 päeva, nagu nõuab GDPR Art. 12(3).