// docs / quotas & limits
Quotas et limites
Chaque valeur de quota et de limite de débit ci-dessous vient du module d'entitlements au moment du build ; cette page ne peut donc pas diverger de ce que le serveur applique réellement.
Droits par offre
| Gratuit | Loisir | Pro | Illimité | |
|---|---|---|---|---|
| Scans / mois | 3 | 50 | 200 | Plan Unlimited¹ |
| Projets (domaines vérifiés) | 1 | 1 | 5 | 20 |
| Tokens API | 0 | 1 | 5 | 20 |
| Endpoints webhook | 0 | 1 | 5 | 20 |
| Sondes actives | non | oui | oui | oui |
| Scans de dépôts GitHub | non | non | oui | oui |
| Re-scans planifiés | non | non | cadence ≥3 h | Cadence ≥6h |
| Détection de menaces en direct | non | non | non | oui |
| Rapports partageables | non | non | oui | oui |
| Rétention | 7 jours | 30 jours | 90 jours | 365 jours |
| Sièges d'équipe | 1 | 1 | 1 | 5 |
| Support | standard | standard | prioritaire | dédié |
¹ Le quota d'analyse du plan Unlimited est soumis à une utilisation équitable — voir Terms. ² Le plafond du projet est par défaut de 20 domaines de surveillance active à une cadence ≥6h. Contactez support@fixvibe.app pour l'augmenter en échange d'une cadence programmée plus longue.
Limites de débit API
Chaque requête /api/v1/* et /api/mcp est indexée sur un hash du bearer token et passe par deux fenêtres :
- Rafale : 10 requêtes par seconde.
- Stable : 60 requêtes par minute.
- Per signed-in user: 30 soumissions d'analyses toutes les 10 minutes — un plafond souple au-dessus du quota mensuel par plan qui absorbe les rafales sans épuiser le budget quotidien.
Sur 429, la réponse inclut :
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}La fenêtre qui a déclenché la limite est nommée dans le message (burst (10/s) vs steady (60/min)) afin que le backoff d'un client puisse s'adapter.
Limite de débit des scans du plan Free (par IP/24)
En plus du plafond de 3 analyses par mois par organisation, les utilisateurs du plan Free sont confrontés à une limite de débit supplémentaire par IP/24 : 3 analyses par 24 heures glissantes par IP /24 bloc. Le même limiteur couvre les analyses instantanées anonymes, ce qui empêche d'exploiter le quota Free via des comptes jetables sur un IP. Les requêtes dépassant la limite renvoient HTTP 429 Too Many Requests avec un en-tête Retry-After.
Throttle d'inscription (par IP/24)
5 inscriptions réussies par IP/24 toutes les 24 heures, pour empêcher la création automatisée de comptes du plan Free. Les rappels limités redirigent vers /sign-in?error=rate_limited.
Rétention
Les scans + constats sont purgés automatiquement selon le tableau ci-dessus. Les scans anonymes ponctuels expirent 24 h après leur création. Les journaux d'audit sont conservés 18 mois. Les snapshots de monitor sont réduits aux 7 derniers jours plus la baseline la plus récente par (domaine, signal). Les alertes ignorées sont purgées après 90 jours. Toute la rétention est appliquée quotidiennement par /api/cron/retention-cleanup.
