Tietosuojakäytäntö

FixViben ylläpitäjä on EGO HERO LLC (“me”, “meitä”), tässä käytännössä kuvattujen henkilötietojen rekisterinpitäjä. Tietosuojaa koskevissa kysymyksissä, mukaan lukien GDPR:n, UK GDPR:n tai CCPA:n mukaiset rekisteröidyn pyynnöt, ota yhteyttä privacy@fixvibe.app. Muissa asioissa kirjoita osoitteeseen support@fixvibe.app.

• Tilitiedot

  Sähköpostiosoite, OAuth-tunniste (jos kirjaudut sisään Googlella tai GitHubilla) ja mahdollinen nimi, jonka saamme OAuth-palveluntarjoajaltasi. Käytetään tunnistautumiseesi ja yhteydenpitoon tiliäsi koskevissa asioissa. Säilytetään niin kauan kuin tilisi on aktiivinen. Kun poistat tilisi, nämä tiedot poistetaan 30 päivän kuluessa, paitsi jos meidän on säilytettävä ne (esimerkiksi verolainsäädännön edellyttämät laskutustiedot).

  oikeusperuste · Sopimuksen täytäntöönpano — Art. 6(1)(b) GDPR

• Skannauskohteet ja havainnot

  URL-osoitteet, joita skannaat, näihin URL-osoitteisiin tekemämme pyynnöt ja tuottamamme havainnot. Tallennetaan organisaatiosi yhteyteen. Poistamme automaattisesti tietueet, jotka ovat vanhempia kuin sopimuksesi säilytysikkuna: 30 päivää (Hobby), 90 päivää (Pro), 365 päivää (Unlimited). Voit viedä tai poistaa skannaushistoriasi milloin tahansa kohdasta Tili → Tietosuoja.

  oikeusperuste · Sopimuksen täytäntöönpano — Art. 6(1)(b) GDPR

• Anonyymit skannausistunnot

  Jos suoritat skannauksen kirjautumatta sisään, annamme HMAC-allekirjoitetun cookien (fixvibe_anon_session, 24 tunnin voimassaoloaika), joka sisältää läpinäkymättömän satunnaisen ID:n. Poistamme automaattisesti lunastamattomat anonyymit skannaustietueet 24 tunnin jälkeen. Jos rekisteröidyt 24 tunnin ikkunan sisällä, skannauksesi siirtyy uudelle tilillesi. Emme tiedä, keitä anonyymit käyttäjät ovat, elleivät he rekisteröidy.

  oikeusperuste · Ehdottoman välttämätön — ePrivacy Art. 5(3) -poikkeus

• Laskutustiedot

  Stripe on maksunkäsittelijämme. Stripe tallentaa korttitietosi PCI-DSS-infrastruktuuriin; me tallennamme vain Stripe-asiakas-ID:n, tilauksen tilan, planin, jakson alun/lopun ja pienen idempotenssitietueen webhook-tapahtumista. Katso Stripen tietosuojailmoitus osoitteessa stripe.com/privacy.

  oikeusperuste · Sopimuksen täytäntöönpano — Art. 6(1)(b) GDPR

• Palvelinlokit ja audit-lokit

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  oikeusperuste · Oikeutettu etu — Art. 6(1)(f) GDPR

• GitHub-integraatio (valinnainen, vain Pro+)

  Jos yhdistät GitHub-tilin kohdassa Tili → Integraatiot, tallennamme organisaatiollesi salatun OAuth access tokenin, GitHub-kirjautumistunnuksesi + numeerisen käyttäjä-ID:n sekä myönnetyt scopes. Käytämme tokenia vain niiden repositories-lähteiden lukemiseen, joita vastaan käynnistät skannauksia. Lähdekoodi haetaan skannauskohtaisesti, käsitellään muistissa, ja vain yksittäiset havaintotodisteet säilytetään (ei täydellisiä lähdekoodivedoksia). Poistetaan 30 päivän kuluessa yhteyden katkaisemisesta.

  oikeusperuste · Sopimuksen täytäntöönpano / suostumus — Art. 6(1)(b) + 6(1)(a) GDPR

• API-tokenit + MCP-palvelin (valinnainen)

  Tokenit, jotka luot kohdassa Tili → API-tokenit, tallennetaan SHA-256-hashina, ensimmäisinä 8 selväkielisenä merkkinä (tunnistamista varten), antamanasi nimenä sekä luonti-/viimeksi käytetty-/peruutettu-aikaleimoina. Selväkielinen arvo näytetään sinulle täsmälleen kerran luonnin yhteydessä eikä sitä koskaan säilytetä. Tokenit ovat bearer credentials: kuka tahansa arvon haltija voi lukea skannauksiasi ja käynnistää uusia, kunnes peruutat tokenin. MCP-palvelin osoitteessa /api/mcp tunnistautuu samoilla tokeneilla, näyttää samat tiedot kuin dashboard ja ei luo erillistä tietoluokkaa.

  oikeusperuste · Sopimuksen täytäntöönpano — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  oikeusperuste · Performance of contract — Art. 6(1)(b) GDPR

• Live-uhkien tunnistus (valinnainen, vain Unlimited)

  Jos valvonta on käytössä vahvistetulla domainilla, keräämme ajoittain certificate-transparency-lokimerkintöjä, DNS-tietueita ja threat-intel-listauksia (Spamhaus DBL, URLhaus) kyseiselle domainille. Nämä snapshotit sisältävät hostnamen, joiden skannaamiseen olet jo antanut meille luvan, sekä julkisten hakujen julkiset tulokset. Loppukäyttäjiesi henkilötietoja ei kerätä. Yli 7 päivää vanhat snapshotit poistetaan automaattisesti; uusin baseline säilytetään signaalityypeittäin.

  oikeusperuste · Sopimuksen täytäntöönpano — Art. 6(1)(b) GDPR

• Ajastetut uudelleenskannaukset (valinnainen, vain Pro+)

  Jos otat ajastetut skannaukset käyttöön vahvistetulla domainilla, tallennamme tiheyden, viimeisimmän ajon ajan, seuraavan ajon ajan ja käyttäjän, joka otti ajastuksen käyttöön. Jokainen cronin käynnistämä skannaus perii skannausluvan vakuutuksen, joka annettiin, kun domain vahvistettiin ensimmäisen kerran — sinun ei tarvitse vakuuttaa sitä uudelleen jokaisella ajolla. Poista käytöstä milloin tahansa kohdassa Domainit → Aikataulu.

  oikeusperuste · Sopimuksen täytäntöönpano — Art. 6(1)(b) GDPR

• Analytiikka (valinnainen, suostumuksen takana)

  Jos annat suostumuksen analytiikkaan ja analytiikka on määritetty käyttämällesi deploymentille, käytämme yksityisyyttä kunnioittavaa tuoteanalytiikan tarjoajaa (proxytetty oman domainimme kautta) anonyymin käytön tallentamiseen — mitä painikkeita klikataan, mitä tarkistuksia ihmiset suorittavat, missä kohtaa funnelia käyttäjät poistuvat. Emme lisää skannaamiasi URL-osoitteita, todistesisältöä tai henkilötietoja analytiikkatapahtumiin. Peru suostumus milloin tahansa kohdasta Evästeasetukset.

  oikeusperuste · Suostumus — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Kampanjatarjouksen lunastus

  Kun lunastat promokoodin, kutsulinkin tai suosittelukrediitin, tallennamme kampanjakoodin, myöntämämme paketin ja keston, kokeilun alku- ja päättymisaikaleimat, ennen kokeilua hallussasi olleen paketin sekä HMAC-SHA256-tiivisteen IP-osoitteestasi lunastushetkellä (emme koskaan tallenna raakaa IP:tä — tiiviste on olemassa vain, jotta voimme valvoa yhden-lunastuksen-per-verkko -rajoja, ja taustalla olevan HMAC-avaimen vaihtaminen mitätöi kaikki tallennetut tiivisteet paljastamatta ketään). Säilytetään kampanjan keston ajan plus 18 kuukautta kirjanpidollisia ja petostutkintatarkoituksia varten, sen jälkeen poistetaan muun kampanjatietueen mukana.

  oikeusperuste · Oikeutettu etu (petosten torjunta, kirjanpito) — GDPR 6 art. 1 k. f

• Kilpailut, arvonnat ja haasteet

  Jos osallistut FixVibe-haasteeseen (kuten Security Preflight Challenge), tallennamme antamasi yhteyssähköpostin (vaaditaan, jotta voimme tavoittaa sinut, jos voitat), valinnaisesti antamasi Reddit- ja Product Hunt -käyttäjänimet, scan ID:si ja juuriverkkotunnuksesi, valinnaisesti antamasi itse ilmoittaman projektityypin, teknologiapinon ja yksi-asia-jonka-opin -tekstin, valinnaisesti valitsemasi löytökanavan arvon sekä kolme vaadittua suostumusvalintaa, jotka hyväksyt (valtuutus, säännöt, yhteydenotto). Jos lisäksi merkitset valinnaisen esittely-markkinoinnissa -suostumuksen, voimme näyttää julkiset pisteesi, arvosanasi, teknologiapinosi, käyttäjänimesi ja lähettämäsi lainauksen FixVibe:n etusivulla, haastesivulla tai yhteenvetopostissa — ei koskaan mitään muuta kenttää eikä koskaan ilman tätä opt-iniä. Haasteen osallistumiset säilytetään Haasteen keston ajan plus 18 kuukautta varmistus- ja kiistanratkaisutarkoituksia varten. Voit peruuttaa esittely-markkinoinnissa-suostumuksesi milloin tahansa lähettämällä sähköpostia osoitteeseen privacy@fixvibe.app; peruuttaminen ei vaikuta peruuttamista edeltäneeseen lailliseen käsittelyyn.

  oikeusperuste · Sopimuksen täyttäminen (Haasteen järjestäminen) ja suostumus (esittely) — GDPR 6 art. 1 k. b ja 6 art. 1 k. a

• Emme koskaan myy tietojasi.
• Emme upota kolmannen osapuolen ad-tech-ratkaisuja, fingerprintingia tai session-replay-skriptejä.
• Emme laita skannauskohteidesi URL-osoitteita tai havaintotodisteita analytiikkaominaisuuksiin — nämä tiedot ovat vain tietokannassamme, row-level securityn suojaamina.
• Emme jaa tietojasi kolmansille osapuolille niiden omaa markkinointia varten.

Käytämme seuraavia alikäsittelijöitä FixViben toimittamiseen:

• Vercel Inc. (USA) — sovellushostaus ja edge-verkko. Tietosuojailmoitus: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres-tietokanta, tunnistautuminen, tiedostotallennus, Realtime. FixViben tuotantotietokanta sijaitsee alueella AWS us-east-1. Tietosuojailmoitus: supabase.com/privacy.
• Stripe Inc. (USA) — maksujen käsittely maksullisille planeille. Tietosuojailmoitus: stripe.com/privacy.
• Upstash, Inc. (USA, Vercel Marketplacen kautta) — Redis-pohjainen rate limiting; tallentaa vain lyhytikäisiä IP-pohjaisia laskureita. Tietosuojailmoitus: upstash.com/privacy.
• PostHog Inc. (USA) — tuoteanalytiikka, vain jos annat analytiikkasuostumuksen ja vain kun analytiikka on määritetty käyttämällesi deploymentille. Tietosuojailmoitus: posthog.com/privacy.
• GitHub, Inc. (USA) — vain jos yhdistät valinnaisen GitHub-integraation. Käytämme GitHubin API:a repositories-lähteiden lukemiseen, joita vastaan käynnistät skannauksia. Tietosuojailmoitus: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — transaktionaalisen sähköpostin toimitus. Vastaanottaa sähköpostiosoitteesi ja sähköpostin rungon, kun lähetämme skannaus valmis-, ajastettu skannaus-, live-uhkahälytys- ja viikkokoostesähköposteja. Resend säilyttää toimitusmetadataa (aikaleimat, tila, bounce-tietueet) operatiivisiin tarkoituksiin; emme koskaan lähetä markkinointisähköpostia Resendin kautta. Tietosuojailmoitus: resend.com/legal/privacy-policy.

Henkilötietojen siirrot ETA:n/Ison-Britannian ulkopuolelle perustuvat Euroopan komission vakiolausekkeisiin (tai Ison-Britannian International Data Transfer Addendum -asiakirjaan), joita täydentävät alla kohdassa “Turvallisuus” kuvatut salaus siirron aikana- ja salaus levossa -toimenpiteet.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR:n, UK GDPR:n ja vastaavien lakien (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act jne.) nojalla sinulla on oikeus:

• saada pääsy kopioon tiedoistasi (voit tehdä tämän itse kohdasta Tili → Tietosuoja);
• saada tietosi korjatuiksi;
• saada tietosi poistetuiksi (myös itsepalveluna);
• vastustaa oikeutettuihin etuihin perustuvaa käsittelyä;
• peruuttaa analytiikkasuostumus milloin tahansa kohdasta Evästeasetukset;
• tietojen siirrettävyys — vientisi on JSON-muodossa;
• tehdä valitus paikalliselle valvontaviranomaiselle (EU/UK/ETA) tai vastaavalle.

Vastaamme todennettaviin oikeuspyyntöihin 30 päivän kuluessa. Jos pyyntöä ei voi täyttää itsepalveluna (kentän oikaisu, jota emme näytä, käsittelyn rajoittaminen, vastustus), lähetä sähköpostia osoitteeseen support@fixvibe.app aiherivillä “Tietosuojapyyntö”.

Emme myy henkilötietojasi. Emme jaa henkilötietoja kontekstienväliseen käyttäytymisperusteiseen mainontaan. PostHogin kautta tehtävä analytiikka käynnistyy vain, kun olet antanut suostumuksen evästebannerissamme; voit peruuttaa suostumuksen milloin tahansa kohdasta Evästeasetukset tai napsauttamalla alatunnisteessa Tietosuojavalintasi.

Jos olet Kalifornian asukas, sinulla on myös oikeus:

• tietää, mitä henkilötietoja keräämme, lähteet, tarkoitukset ja kaikki kolmannet osapuolet, joiden kanssa jaamme niitä (kaikki kuvattu yllä);
• pyytää henkilötietojesi poistamista (itsepalveluna kohdassa Tili → Tietosuoja tai lähettämällä meille sähköpostia);
• korjata virheelliset henkilötiedot;
• rajoittaa arkaluonteisten henkilötietojen käyttöä ja luovutusta — emme kerää niitä todennustietoja ja istuntometadataa enempää, ja molemmat ovat välttämättömiä palvelun tarjoamiseksi;
• kieltäytyä myynnistä tai jakamisesta — ei sovellu, koska emme tee kumpaakaan;
• olla joutumatta syrjityksi minkään edellä mainitun käyttämisen vuoksi.

Kunnioitamme Global Privacy Control (GPC) -signaaleja automaattisesti; GPC-headerin lähettäminen käsittelee vierailusi ikään kuin olisit nimenomaisesti kieltäytynyt tulevasta analytiikkasuostumuksesta.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Mikään turvallisuusohjelma ei ole täydellinen. Jos uskot löytäneesi haavoittuvuuden FixVibesta, ilmoita siitä osoitteeseen support@fixvibe.app.

Jos teemme olennaisia muutoksia — uusia alikäsittelijöitä, uusia tietoluokkia, uusia säilytysaikoja — päivitämme yllä olevan päivämäärän ja ilmoitamme sinulle sovelluksessa. Pienet sanamuotokorjaukset eivät aiheuta ilmoitusta.

privacy@fixvibe.app — vastaamme yleensä 5 arkipäivän kuluessa, emmekä koskaan myöhemmin kuin 30 päivän kuluessa GDPR Art. 12(3):n edellyttämällä tavalla.