FixVibe

// privatlív

Privatlívsstefna

seinast dagført · 2026-05-17

Hvørji vit eru

FixVibe verður rikið av EGO HERO LLC (“vit”, “okkum”), dátuábyrgdaranum fyri persónupplýsingarnar, sum eru lýstar í hesi stevnuni. Fyri spurningar um privatlív, eisini beiðnir frá skrásettum persónum undir GDPR, UK GDPR ella CCPA, set teg í samband við privacy@fixvibe.app. Fyri alt annað, skriva til support@fixvibe.app.

Hvat vit savna, hví, og hvussu leingi vit goyma tað

  • Kontudátur

    Teldupostadressa, OAuth eyðmerki (um tú ritar inn við Google ella GitHub), og eitthvørt navn, sum vit fáa frá tínum OAuth veitara. Hetta verður nýtt til at vátta teg og seta okkum í samband við teg um kontuna. Verður goymt meðan konta tín er virkin. Tá ið tú strikar kontuna, verða hesar dátur tiknar burtur innan 30 dagar, uttan har vit eru kravd at varðveita tær (t.d. rokningarskjøl sambært skattalóg).

    lóglig grund · Uppfylling av sáttmála — Art. 6(1)(b) GDPR

  • Skanmál og fundir

    URL-ini, sum tú skannar, umbønirnar vit senda til hesi URL, og fundirnir vit gera. Goymt móti tínari felagsskapareind. Vit strika sjálvvirkandi skráir, sum eru eldri enn varðveitslugluggan í tínum ætlanarhaldi: 30 dagar (Hobby), 90 dagar (Pro), 365 dagar (Unlimited). Tú kanst útflyta ella strika skansøguna nær sum helst frá Konta → Privatlív.

    lóglig grund · Uppfylling av sáttmála — Art. 6(1)(b) GDPR

  • Ónevndar skanlotur

    Um tú koyrir eitt skan uttan at rita inn, geva vit eitt HMAC-undirskrivað cookie (fixvibe_anon_session, 24 tíma livitíð), sum hevur eitt óskygt tilvildarligt ID. Vit strika sjálvvirkandi ókravdar ónevndar skanskráir eftir 24 tímar. Um tú skrásetir teg innan 24 tíma gluggan, flytur skanið inn í tína nýggju kontu. Vit vita ikki, hvørjir ónevndir brúkarar eru, uttan so at teir skráseta seg.

    lóglig grund · Strangliga neyðugt — undantak sambært ePrivacy Art. 5(3)

  • Rokningardátur

    Stripe er okkara gjaldsviðgeri. Teir goyma kortupplýsingar tínar á PCI-DSS undirstøðukervi; vit goyma bert eitt Stripe customer ID, haldsstøðu, ætlan, tíðarskeiðsbyrjan/-enda og eina lítla idempotency-skrá fyri webhook hendingar. Sí privatlívsfráboðanina hjá Stripe á stripe.com/privacy.

    lóglig grund · Uppfylling av sáttmála — Art. 6(1)(b) GDPR

  • Servaraloggar og endurskoðanarloggar

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    lóglig grund · Lógligur áhugi — Art. 6(1)(f) GDPR

  • GitHub integratión (valfrí, bert Pro+)

    Um tú knýtir eina GitHub kontu frá Konta → Integratiónir, goyma vit ein bronglaðan OAuth access token fyri tín felagsskap, títt GitHub login + talbundna brúkara-ID og givnu scopes. Vit nýta token bert til at lesa repositories, sum tú byrjar skan ímóti. Keldukóði verður tikin niður fyri hvørt skan, viðgjørdur í minni, og bert einstøk prógv fyri fundum verða varðveitt (ongar fullar source dumps). Verður strikað innan 30 dagar eftir afturtøku av sambandi.

    lóglig grund · Uppfylling av sáttmála / samtykki — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP servari (valfrítt)

    Tokens, sum tú stovnar á Konta → API tokens, verða goymd sum SHA-256 hash, fyrstu 8 plaintext teknini (til eyðmerking), navnið tú gavst, umframt tíðamerki fyri stovnan/seinstu nýtslu/afturkalling. Plaintext verður víst tær júst eina ferð við stovnan og verður ongantíð varðveitt. Tokens eru bearer credentials: hvør sum helst við virðinum kann lesa tíni skan og byrja nýggj, til tú kallar aftur. MCP servarin á /api/mcp verður váttaður við somu tokens, vísir somu dátur sum dashboardið hevði víst, og skapar ongan serstakan dátubólk.

    lóglig grund · Uppfylling av sáttmála — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    lóglig grund · Performance of contract — Art. 6(1)(b) GDPR

  • Livandi hóttanarvarning (valfríur, bert Unlimited)

    Um tú hevur overvøku virka á einum staðfestum domeni, taka vit regluliga certificate-transparency logginnførslur, DNS skráir og threat-intel listar (Spamhaus DBL, URLhaus) fyri tað domenið. Hesi snapshots innihalda hostnames, sum tú longu hevur givið okkum heimild at skanna, og almennu úrslitini av almennum uppsløgum. Ongar persónupplýsingar hjá tínum endabrúkarum verða tiknar. Snapshots eldri enn 7 dagar verða sjálvvirkandi strikað; nýggjasta baseline verður varðveitt fyri hvørt slag av signal.

    lóglig grund · Uppfylling av sáttmála — Art. 6(1)(b) GDPR

  • Planløgd umskanning (valfrí, bert Pro+)

    Um tú virkjar planløgd skan á einum staðfestum domeni, skráseta vit títtleikan, seinastu koyritíð, næstu koyritíð og hvør brúkarin virkjaði ætlanina. Hvørt cron-útloyst skan arvar váttanina um heimild at skanna, sum varð gjørd tá ið domenið fyrst varð staðfest — tú váttar ikki av nýggjum fyri hvørja koyring. Sløkk nær sum helst á Domenir → Skrá.

    lóglig grund · Uppfylling av sáttmála — Art. 6(1)(b) GDPR

  • Greiningar (valfríar, samtykkisstýrdar)

    Um tú gevur samtykki til greiningar og vit hava greiningar settar upp fyri tann deployment, tú nýtir, nýta vit ein privatlívsvirðandi vørugreiningarveitara (proxyaðan umvegis okkara egna domeni) til at skráseta ónevnda nýtslu — hvørjir knappar verða trýstir, hvørjar kanningar fólk koyra, hvar í funnel brúkarar detta frá. Vit leggja ikki URL, sum tú skannar, prógvstilfar ella persónupplýsingar í greiningarhendingar. Tak samtykki aftur nær sum helst umvegis .

    lóglig grund · Samtykki — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Tilboð útgjalding

    Tá tú útgjaldur ein tilboðskoda, bjóðingarleinki, ella mæliarkredit, goyma vit kappingarkodan, ta skipan og lengd, vit veittu, royndartíðar byrjanar- og endatíðarmerki, ta skipan, tú hevði áðrenn royndartíðina, og eitt HMAC-SHA256 hash av tínari IP-adressu á tíðini fyri útgjalding (vit goyma aldri ta rávøru IP — hashin er bara til, so vit kunnu inniharða ein-útgjalding-per-netverk mark, og um vit skifta tann undirliggjandi HMAC lyklin ógyldist øll goymd hash uttan at avdúka nakran). Goymt fyri lívið av kappingini plus 18 mánaðir fyri rokningar- og svik-rannsóknar endamál, síðani strikað saman við restini av kappingar skráseting.

    lóglig grund · Lóglig áhuga (svika forðing, rokningar) — Art. 6(1)(f) GDPR

  • Kappingar, lukkutrekk, og kappingar

    Um tú innskráar teg í eina FixVibe Kapping (sum til dømis Trygdar Preflight Kappingina), goyma vit sambandst-postin, tú sendir (kravdur, so vit kunnu fáa fatur á tær, um tú vinnur), tey Reddit og Product Hunt brúkaranøvn, tú valfritt veitir, tín scan ID og rót-navnaøki, sjálv-fráseð verkætlanarslag, stack, og ein-lutur-eg-lærdi tekstur, tú valfritt veitir, ta uppdaganarrás virði, tú valfritt velur, og teir tríggjar kravdu samtykkis-kassar, sum tú góðtekur (loyvi, reglur, samband). Um tú serskilt merkir tað valfría víst-á-marknaðarføring samtykki, kunnu vit vísa títt almenna stig, dømi, stack, brúkaranavn, og innsenda sitatt á FixVibe heimasíðuni, kappingarsíðuni, ella í endurmáningarposti — aldri nakað annað økið, og aldri uttan tað opt-in. Kappingar innskráningar verða goymdar fyri lívið av Kappingini plus 18 mánaðir fyri vátting og kappastriðs endamál. Tú kanst draga tað víst-á-marknaðarføring samtykki aftur nær sum helst við at senda t-post til privacy@fixvibe.app; at draga aftur ávirkar ikki lógliga viðgerð áðrenn afturdráttin.

    lóglig grund · Útinnan av sáttmála (at koyra Kappingina) og samtykki (at vísa) — Art. 6(1)(b) og 6(1)(a) GDPR

Hvat vit IKKI savna

  • Vit selja ongantíð tínar dátur.
  • Vit leggja ikki inn ad-tech frá triðjaparti, fingerprinting ella session-replay scripts.
  • Vit leggja ikki URL hjá skanmálum ella prógv fyri fundum í greiningareginleikar — tær dáturnar eru bert í okkara dátugrunni, vardar við row-level security.
  • Vit deila ikki tínar dátur við triðjapartar fyri teirra egna marknaðarføring.

Undirviðgerar

Vit líta á hesar undirviðgerar fyri at reka FixVibe:

  • Vercel Inc. (USA) — app-hýsing og edge network. Privatlívsfráboðan: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres dátugrunnur, váttan, fílagoymsla, Realtime. Framleiðsludátugrunnurin hjá FixVibe er í AWS us-east-1 økinum. Privatlívsfráboðan: supabase.com/privacy.
  • Stripe Inc. (USA) — gjaldsviðgerð fyri goldnar ætlanir. Privatlívsfráboðan: stripe.com/privacy.
  • Upstash, Inc. (USA, umvegis Vercel Marketplace) — Redis-backed rate limiting; goymir bert stuttlívaðar IP-grundaðar teljarar. Privatlívsfráboðan: upstash.com/privacy.
  • PostHog Inc. (USA) — vørugreiningar, bert um tú gevur samtykki til greiningar og bert tá greiningar eru settar upp fyri tann deployment, tú nýtir. Privatlívsfráboðan: posthog.com/privacy.
  • GitHub, Inc. (USA) — bert um tú knýtir ta valfríu GitHub integratiónina. Vit nýta GitHub API til at lesa repositories, sum tú byrjar skan ímóti. Privatlívsfráboðan: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — útbering av viðskiftatelduposti. Fær tína teldupostadressu og telduposttekstin, tá vit senda teldupost um liðugt skan, planlagt skan, live-threat alert og weekly-digest. Resend varðveitir útberingarmetadátur (tíðamerki, støðu, bounce skráir) til rakstrarendamál; vit senda ongantíð marknaðarteldupost umvegis Resend. Privatlívsfráboðan: resend.com/legal/privacy-policy.

Flytingar av persónupplýsingum út um EEA/UK byggja á Standard Contractual Clauses hjá European Commission (ella UK International Data Transfer Addendum), við ískoyti frá brongling í flutningi og brongling í hvíld, sum er lýst í “Trygd” niðanfyri.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Tíni rættindi

Sambært GDPR, UK GDPR og javnbjóðis lógum (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act o.s.fr.) hevur tú rætt til at:

  • fáa atgongd til eitt avrit av tínum dátum (tú kanst gera hetta sjálvur frá Konta → Privatlív);
  • fáa tínar dátur rættaðar;
  • fáa tínar dátur strikaðar (eisini sjálvtænasta);
  • mótmæla viðgerð, sum byggir á lógligan áhuga;
  • taka samtykki til greiningar aftur nær sum helst umvegis ;
  • dátuflytiføri — tín útflutningur er í JSON;
  • lata inn kæru til tína staðbundnu eftirlitsmyndugleika (EU/UK/EEA) ella samsvarandi myndugleika.

Vit svara staðfestiligum rættindabeiðnum innan 30 dagar. Fyri beiðnir, sum vit ikki kunnu avgreiða við sjálvtænastu (rætting av einum øki, sum vit ikki vísa, avmarking av viðgerð, mótmæli), send teldupost til support@fixvibe.app við evnislinjuni “Privatlívsbeiðni”.

Íbúgvar í Kalifornia (CCPA / CPRA)

Vit selja ikki tínar persónupplýsingar. Vit deila ikki persónupplýsingar til krosssamanhangandi atferðargrundaða lýsing. Greiningar umvegis PostHog koyra bert eftir at tú hevur givið samtykki í okkara cookie-bannara; tú kanst taka hetta samtykki aftur nær sum helst umvegis ella við at trýsta á Tíni privatlívsval í fótinum.

Um tú ert íbúgvi í Kalifornia, hevur tú eisini rætt til at:

  • vita hvørjar persónupplýsingar vit savna, keldurnar, endamálini og allar triðjapartar, sum vit deila tær við (alt nágreinað omanfyri);
  • biðja um striking av tínum persónupplýsingum (sjálvtænasta umvegis Konta → Privatlív ella við at senda okkum teldupost);
  • rætta skeivar persónupplýsingar;
  • avmarka nýtslu og avdúking av viðkvæmum persónupplýsingum — vit savna einki umframt innritanarskilríki og lotumetadátur, sum bæði krevjast fyri at veita tænastuna;
  • velja frá sølu ella deiling — ikki viðkomandi, tí vit gera hvørki;
  • ikki verða mismunaður fyri at nýta nakað av omanfyri nevnda.

Vit virða Global Privacy Control (GPC) signalir sjálvvirkandi; at senda ein GPC header merkir, at vit viðgera tína vitjan sum um tú beinleiðis hevði valt frá framtíðar samtykki til greiningar.

Trygd

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Einki trygdarskipan er fullkomin. Um tú heldur, at tú hevur funnið ein veikleika í FixVibe, vinarliga boða frá honum á support@fixvibe.app.

Broytingar í hesi stevnuni

Um vit gera týðandi broytingar — nýggjar undirviðgerar, nýggjar dátubólkar, nýggj varðveitslutíðarskeið — dagføra vit dagfestingina omanfyri og boða tær frá í appini. Smærri orðalagsrættingar elva ikki til fráboðan.

Samband

privacy@fixvibe.app — svar vanliga innan 5 arbeiðsdagar, ongantíð longri enn 30 dagar sum kravt av GDPR Art. 12(3).

Privatlívsstefna · FixVibe