FixVibe

// pribatutasuna

Pribatutasun Politika

azken eguneraketa · 2026-05-17

Nor garen

FixVibe EGO HERO LLC enpresak operatzen du («gu», «gure»), politika honetan deskribatutako datu pertsonalen datu-kontrolatzailea. Pribatutasunari buruzko galderetarako, GDPR, UK GDPR edo CCPA arauen araberako datu-subjektuen eskaerak barne, jarri harremanetan privacy@fixvibe.app helbidearekin. Beste edozertarako, idatzi support@fixvibe.app helbidera.

Zer biltzen dugun, zergatik eta zenbat denboraz gordetzen dugun

  • Kontuko datuak

    Helbide elektronikoa, OAuth identifikatzailea (Google edo GitHub bidez saioa hasten baduzu) eta zure OAuth hornitzailearengandik jasotzen dugun edozein izen. Zu autentifikatzeko eta zure kontuari buruz zurekin harremanetan jartzeko erabiltzen da. Zure kontua aktibo dagoen bitartean gordetzen da. Kontua ezabatzen duzunean, datu hauek 30 eguneko epean kentzen dira, gordetzera behartuta gauden kasuetan izan ezik (adib., zerga-legearen araberako fakturazio-erregistroak).

    legezko oinarria · Kontratua betetzea — Art. 6(1)(b) GDPR

  • Eskaneatze-helburuak eta aurkikuntzak

    Eskaneatzen dituzun URLak, URL horietara egiten ditugun eskaerak eta sortzen ditugun aurkikuntzak. Zure erakundeari lotuta gordetzen dira. Zure planaren atxikipen-leihoa baino zaharragoak diren erregistroak automatikoki ezabatzen ditugu: 30 egun (Hobby), 90 egun (Pro), 365 egun (Unlimited). Zure eskaneatze-historia edozein unetan esportatu edo ezaba dezakezu Kontua → Pribatutasuna ataletik.

    legezko oinarria · Kontratua betetzea — Art. 6(1)(b) GDPR

  • Eskaneatze anonimoen saioak

    Saioa hasi gabe eskaneatze bat exekutatzen baduzu, HMAC bidez sinatutako cookie bat igortzen dugu (fixvibe_anon_session, 24 orduko iraupena) ausazko ID opaku bat gordetzeko. Erreklamatu gabeko eskaneatze anonimoen erregistroak automatikoki ezabatzen ditugu 24 orduren ondoren. 24 orduko leihoaren barruan erregistratzen bazara, eskaneatzea zure kontu berrira migratzen da. Ez dakigu nor diren erabiltzaile anonimoak erregistratzen ez badira.

    legezko oinarria · Behar-beharrezkoa — ePrivacy Art. 5(3) salbuespena

  • Fakturazio-datuak

    Stripe da gure ordainketa-prozesatzailea. Zure txartelaren xehetasunak PCI-DSS azpiegituran gordetzen ditu; guk Stripe bezero-ID bat, harpidetzaren egoera, plana, aldiaren hasiera/amaiera eta webhook gertaeren idempotentzia-erregistro txiki bat baino ez dugu gordetzen. Ikusi Stripe pribatutasun-oharra stripe.com/privacy helbidean.

    legezko oinarria · Kontratua betetzea — Art. 6(1)(b) GDPR

  • Zerbitzari-erregistroak eta auditoretza-erregistroak

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    legezko oinarria · Interes legitimoa — Art. 6(1)(f) GDPR

  • GitHub integrazioa (opzionala, Pro+ soilik)

    GitHub kontu bat Kontua → Integrazioak ataletik konektatzen baduzu, zure erakundearentzako OAuth sarbide-token zifratua, zure GitHub saio-hasiera + zenbakizko erabiltzaile IDa eta emandako scopeak gordetzen ditugu. Tokena zuk eskaneatzea hasten dituzun biltegiak irakurtzeko bakarrik erabiltzen dugu. Iturburu-kodea eskaneatze bakoitzean eskuratzen da, memorian prozesatzen da eta aurkikuntza indibidualen ebidentzia bakarrik gordetzen da (ez iturburu osoaren iraulketarik). Deskonektatu eta 30 eguneko epean ezabatzen da.

    legezko oinarria · Kontratua betetzea / baimena — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokenak + MCP zerbitzaria (opzionala)

    Kontua → API tokenak atalean sortzen dituzun tokenak SHA-256 hash gisa gordetzen dira, lehen 8 karaktereak testu arruntean (identifikatzeko), esleitutako izena eta sortu/azken erabilera/errebokazio denbora-markak gehituta. Testu arrunta sortzean behin bakarrik erakusten zaizu eta ez da inoiz gordetzen. Tokenak bearer kredentzialak dira: balioa duen edonork zure eskaneatzeak irakur ditzake eta berriak hasi ditzake errebokatu arte. /api/mcp helbideko MCP zerbitzaria token berberekin autentifikatzen da, panelak erakutsiko lituzkeen datu berak azaltzen ditu eta ez du datu-kategoria bereizirik sortzen.

    legezko oinarria · Kontratua betetzea — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    legezko oinarria · Performance of contract — Art. 6(1)(b) GDPR

  • Zuzeneko mehatxu-detekzioa (opzionala, Unlimited soilik)

    Domeinu egiaztatu batean monitorizazioa gaituta baduzu, aldian-aldian domeinu horretarako ziurtagiri-gardentasuneko erregistro-sarrerak, DNS erregistroak eta mehatxu-adimeneko zerrendak (Spamhaus DBL, URLhaus) jasotzen ditugu. Argazki horiek dagoeneko eskaneatzeko baimendu dizkiguzun ostalari-izenak eta kontsulta publikoen emaitza publikoak jasotzen dituzte. Ez dugu zure azken erabiltzaileen datu pertsonalik jasotzen. 7 egun baino zaharragoak diren argazkiak automatikoki ezabatzen dira; seinale mota bakoitzeko azken oinarrizko lerroa gordetzen da.

    legezko oinarria · Kontratua betetzea — Art. 6(1)(b) GDPR

  • Programatutako berreskaneatzeak (opzionala, Pro+ soilik)

    Domeinu egiaztatu batean programatutako eskaneatzeak gaitzen badituzu, kadentzia, azken exekuzio-ordua, hurrengo exekuzio-ordua eta zein erabiltzailek gaitu zuen programazioa erregistratzen ditugu. Cron bidez abiarazitako eskaneatze bakoitzak domeinua lehen aldiz egiaztatu zenean egindako eskaneatzeko baimen-aitorpena heredatzen du — ez duzu exekuzio bakoitzean berriro aitortu behar. Desgaitu edozein unetan Domeinuak → Programazioa atalean.

    legezko oinarria · Kontratua betetzea — Art. 6(1)(b) GDPR

  • Analitika (opzionala, baimenaren mende)

    Analitika-baimena ematen baduzu eta erabiltzen ari zaren hedapenerako analitika konfiguratuta badugu, pribatutasuna errespetatzen duen produktu-analitika hornitzaile bat erabiltzen dugu (gure domeinu propioaren bidez proxy eginda) erabilera anonimoa erregistratzeko — zein botoi sakatzen diren, jendeak zein egiaztapen exekutatzen dituen, erabiltzaileek inbutuan non uzten duten. Ez dugu eskaneatzen dituzun URLrik, ebidentzia-edukirik edo datu pertsonalik analitika-gertaeretan sartzen. Kendu baimena edozein unetan bidez.

    legezko oinarria · Baimena — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Sustapen-eskaintzaren erreklamatzea

    Sustapen-kode bat, gonbidapen-esteka edo gomendio-kreditu bat erreklamatzen duzunean, kanpaina-kodea, eman dugun plana eta iraupena, probaren hasiera- eta amaiera-denbora-zigiluak, probaren aurretik zenuen plana, eta erreklamatze-momentuan zure IP helbidearen HMAC-SHA256 hash bat gordetzen ditugu (IP gordina ez dugu inoiz gordetzen — hash-a sare bakoitzeko erreklamatze bakar baten mugak betearazteko soilik existitzen da, eta azpiko HMAC giltza biratzeak gordetako hash guztiak baliogabetzen ditu inori agertu gabe). Kanpainaren iraupenari 18 hilabete gehituta gordetzen da kontabilitate eta iruzur-ikerketa helburuetarako, eta gero kanpainaren erregistroaren gainerakoarekin batera ezabatzen da.

    legezko oinarria · Interes legitimoa (iruzur-prebentzioa, kontabilitatea) — 6(1)(f) art. GDPR

  • Lehiaketak, zozketak eta erronkak

    FixVibe Erronka batean (Segurtasun Aurrehegaldi Erronka bezala) sartzen bazara, bidaltzen duzun harremanetarako e-posta (irabazten baduzu kontaktatu ahal izateko beharrezkoa), aukeran ematen dituzun Reddit eta Product Hunt erabiltzaile-izenak, zure scan IDa eta erro-domeinua, autoinformatutako proiektu-mota, stack-a eta aukeran ematen duzun ikasi-dudan-gauza-bat testua, aukeran hautatzen duzun aurkikuntza-kanaleko balioa, eta onartzen dituzun hiru beharrezko adostasun-kontrol-laukiak (baimena, arauak, kontaktua) gordetzen ditugu. Aukerako marketinean-nabarmentzeko adostasuna bereiz markatzen baduzu, zure puntuazio publikoa, balorazioa, stack-a, erabiltzaile-izena eta aurkeztutako aipua FixVibe-ren hasierako orrian, erronka-orrian edo laburpen-argitalpen batean bistaratu ditzakegu — inoiz ez beste eremurik, eta inoiz ez onarpen hori gabe. Erronka-sarrerak Erronkaren iraupenari 18 hilabete gehituta gordetzen dira egiaztapen eta liskar-helburuetarako. Marketinean-nabarmentzeko adostasuna edozein unetan kendu dezakezu privacy@fixvibe.app helbidera e-posta bat bidaliz; kentzeak ez du eraginik kentzearen aurreko prozesamendu legalean.

    legezko oinarria · Kontratua betetzea (Erronka antolatzea) eta adostasuna (nabarmentzea) — 6(1)(b) eta 6(1)(a) art. GDPR

BILTZEN EZ duguna

  • Ez dugu inoiz zure daturik saltzen.
  • Ez dugu hirugarrenen ad-tech, fingerprinting edo saio-erreprodukzio scriptik txertatzen.
  • Ez dugu zure eskaneatze-helburuen URLrik edo aurkikuntzen ebidentziarik analitika-propietateetan sartzen — datu horiek gure datu-basean bakarrik bizi dira, errenkada-mailako segurtasunak babestuta.
  • Ez dugu zure daturik hirugarrenekin partekatzen haien marketin propiorako.

Azpitratamendu-arduradunak

Ondorengo azpitratamendu-arduradunetan oinarritzen gara FixVibe exekutatzeko:

  • Vercel Inc. (USA) — aplikazioaren ostatatzea eta edge sarea. Pribatutasun-oharra: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres datu-basea, autentifikazioa, fitxategi-biltegiratzea, Realtime. FixVibe ekoizpen-datu-basea AWS us-east-1 eskualdean dago. Pribatutasun-oharra: supabase.com/privacy.
  • Stripe Inc. (USA) — ordainpeko planen ordainketa-prozesamendua. Pribatutasun-oharra: stripe.com/privacy.
  • Upstash, Inc. (USA, Vercel Marketplace bidez) — Redis oinarritutako abiadura-mugatzea; IPan oinarritutako iraupen laburreko kontagailuak bakarrik gordetzen ditu. Pribatutasun-oharra: upstash.com/privacy.
  • PostHog Inc. (USA) — produktu-analitika, analitika-baimena ematen baduzu bakarrik eta erabiltzen ari zaren hedapenerako analitika konfiguratuta dagoenean bakarrik. Pribatutasun-oharra: posthog.com/privacy.
  • GitHub, Inc. (USA) — GitHub integrazio opzionala konektatzen baduzu bakarrik. GitHub API erabiltzen dugu zuk eskaneatzea hasten dituzun biltegiak irakurtzeko. Pribatutasun-oharra: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — transakzio-posta elektronikoen bidalketa. Zure helbide elektronikoa eta mezuaren gorputza jasotzen ditu eskaneatzea osatuta, programatutako eskaneatzea, zuzeneko mehatxu-alerta eta asteko laburpena bidaltzen ditugunean. Resendek bidalketa-metadatuak gordetzen ditu (denbora-markak, egoera, errebotearen erregistroak) helburu operatiboetarako; ez dugu inoiz marketin-posta elektronikorik bidaltzen Resend bidez. Pribatutasun-oharra: resend.com/legal/privacy-policy.

EEA/UK eremutik kanpora egiten diren datu pertsonalen transferentziak European Commissionen Standard Contractual Clauses klausulen (edo UKren International Data Transfer Addendum gehigarriaren) gainean oinarritzen dira, beheko “Segurtasuna” atalean deskribatutako garraioan zifratze eta atsedenean zifratze neurriekin osatuta.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Zure eskubideak

GDPR, UK GDPR eta lege baliokideen arabera (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act, etab.), honako eskubide hauek dituzu:

  • zure datuen kopia batera sartzea (hau autozerbitzuz egin dezakezu Kontua → Pribatutasuna ataletik);
  • zure datuak zuzentzea;
  • zure datuak ezabatzea (autozerbitzuz ere bai);
  • interes legitimoetan oinarritutako tratamenduari aurka egitea;
  • analitikarako baimena edozein unetan kentzea bidez;
  • datuen eramangarritasuna — zure esportazioa JSON da;
  • kexa bat aurkeztea zure tokiko kontrol-agintaritzaren aurrean (EU/UK/EEA) edo baliokidearen aurrean.

Egiazta daitezkeen eskubide-eskaerei 30 eguneko epean erantzuten diegu. Autozerbitzu bidez bete ezin ditugun eskaeretarako (agertzen ez dugun eremu baten zuzenketa, tratamenduaren murrizketa, aurkakotasuna), bidali mezu bat support@fixvibe.app helbidera “Pribatutasun-eskaera” gaiarekin.

Californiako biztanleak (CCPA / CPRA)

Ez dugu zure informazio pertsonala saltzen. Ez dugu informazio pertsonala partekatzen testuinguruen arteko portaerazko publizitaterako. PostHog bidezko analitika gure cookie-bannerean baimena eman ondoren bakarrik exekutatzen da; baimen hori edozein unetan ken dezakezu bidez edo oineko Zure pribatutasun-aukerak sakatuta.

Californiako biztanlea bazara, honako eskubide hauek ere badituzu:

  • zer informazio pertsonal biltzen dugun, iturriak, helburuak eta zein hirugarrenekin partekatzen dugun jakitea (guztia goian xehatua);
  • zure informazio pertsonalaren ezabaketa eskatzea (autozerbitzuz Kontua → Pribatutasuna bidez edo guri mezu elektronikoa bidalita);
  • informazio pertsonal okerra zuzentzea;
  • informazio pertsonal sentikorraren erabilera eta zabalkundea mugatzea — ez dugu autentifikazio-kredentzialak eta saio-metadatuak baino gehiago biltzen, biak zerbitzua emateko beharrezkoak;
  • salmenta edo partekatzea ukatzea — ez da aplikagarria, ez baitugu ez bata ez bestea egiten;
  • goiko eskubideetako edozein erabiltzeagatik diskriminaziorik ez jasatea.

Global Privacy Control (GPC) seinaleak automatikoki errespetatzen ditugu; GPC goiburu bat bidaltzeak zure bisita etorkizuneko analitika-baimen orotatik esplizituki kanpo geratu bazina bezala tratatzen du.

Segurtasuna

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Segurtasun-programa perfekturik ez dago. FixVibe barruan ahultasun bat aurkitu duzula uste baduzu, jakinarazi support@fixvibe.app helbidera.

Politika honen aldaketak

Aldaketa materialak egiten baditugu — azpitratamendu-arduradun berriak, datu-kategoria berriak, atxikipen-epe berriak — goiko data eguneratuko dugu eta aplikazio barruan jakinaraziko dizugu. Idazkera-zuzenketa txikiek ez dute jakinarazpenik eragiten.

Kontaktua

privacy@fixvibe.app — erantzunak normalean 5 laneguneko epean, eta inoiz ez GDPR Art. 12(3) artikuluak eskatzen dituen 30 egunak baino beranduago.

Pribatutasun Politika · FixVibe