FixVibe

// privacidade

Política de Privacidade

última actualización · 2026-05-17

Quen somos

FixVibe é operado por EGO HERO LLC («nós»), o responsable do tratamento dos datos persoais descritos nesta política. Para preguntas de privacidade, incluídas solicitudes dos interesados baixo GDPR, UK GDPR ou CCPA, contacta con privacy@fixvibe.app. Para calquera outra cousa, escribe a support@fixvibe.app.

Que recollemos, por que e durante canto tempo o conservamos

  • Datos da conta

    Enderezo de correo electrónico, identificador OAuth (se inicias sesión con Google ou GitHub) e calquera nome que recibamos do teu provedor OAuth. Úsase para autenticarte e contactar contigo sobre a túa conta. Consérvase mentres a túa conta está activa. Cando eliminas a túa conta, estes datos retíranse nun prazo de 30 días, agás cando esteamos obrigados a conservalos (p. ex., rexistros de facturación baixo a lexislación fiscal).

    base xurídica · Execución do contrato — Art. 6(1)(b) GDPR

  • Obxectivos de escaneo e achados

    As URL que escaneas, as solicitudes que facemos a esas URL e os achados que producimos. Gárdanse contra a túa organización. Eliminamos automaticamente os rexistros máis antigos que a xanela de retención do teu plan: 30 días (Hobby), 90 días (Pro), 365 días (Unlimited). Podes exportar ou eliminar o teu historial de escaneos en calquera momento desde Conta → Privacidade.

    base xurídica · Execución do contrato — Art. 6(1)(b) GDPR

  • Sesións de escaneo anónimo

    Se executas un escaneo sen iniciar sesión, emitimos unha cookie asinada con HMAC (fixvibe_anon_session, vida útil de 24 horas) que contén un ID aleatorio opaco. Eliminamos automaticamente os rexistros de escaneo anónimo non reclamados despois de 24 horas. Se te rexistras dentro da xanela de 24 horas, o teu escaneo migra á túa nova conta. Non sabemos quen son os usuarios anónimos a menos que se rexistren.

    base xurídica · Estritamente necesaria — exención ePrivacy Art. 5(3)

  • Datos de facturación

    Stripe é o noso procesador de pagamentos. Almacena os datos da túa tarxeta en infraestrutura PCI-DSS; nós só almacenamos un ID de cliente de Stripe, estado da subscrición, plan, inicio/fin do período e un pequeno rexistro de idempotencia dos eventos de webhook. Consulta o aviso de privacidade de Stripe en stripe.com/privacy.

    base xurídica · Execución do contrato — Art. 6(1)(b) GDPR

  • Rexistros de servidor e rexistros de auditoría

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    base xurídica · Interese lexítimo — Art. 6(1)(f) GDPR

  • Integración de GitHub (opcional, só Pro+)

    Se conectas unha conta de GitHub desde Conta → Integracións, almacenamos un token de acceso OAuth cifrado para a túa organización, o teu login de GitHub + ID numérico de usuario e os permisos concedidos. Usamos o token só para ler os repositorios contra os que inicias escaneos. O código fonte recupérase por escaneo, procésase en memoria e só se conserva a evidencia de achados individuais (sen volcados completos de código fonte). Elimínase nun prazo de 30 días tras a desconexión.

    base xurídica · Execución do contrato / consentimento — Art. 6(1)(b) + 6(1)(a) GDPR

  • Tokens API + servidor MCP (opcional)

    Os tokens que creas en Conta → Tokens API almacénanse como un hash SHA-256, os primeiros 8 caracteres en texto claro (para identificación), o nome que asignaches e marcas de tempo de creación/último uso/revogación. O texto claro móstraseche exactamente unha vez ao crealo e nunca se conserva. Os tokens son credenciais bearer: calquera persoa co valor pode ler os teus escaneos e iniciar outros novos ata que o revogues. O servidor MCP en /api/mcp autentícase cos mesmos tokens, expón os mesmos datos que o panel mostraría e non crea ningunha categoría de datos separada.

    base xurídica · Execución do contrato — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    base xurídica · Performance of contract — Art. 6(1)(b) GDPR

  • Detección de ameazas en directo (opcional, só Unlimited)

    Se tes a monitorización activada nun dominio verificado, capturamos periodicamente entradas de rexistros de transparencia de certificados, rexistros DNS e listaxes de intelixencia de ameazas (Spamhaus DBL, URLhaus) para ese dominio. Estas instantáneas conteñen nomes de host que xa nos autorizaches a escanear e os resultados públicos de consultas públicas. Non se captura ningún dato persoal dos teus usuarios finais. As instantáneas de máis de 7 días elimínanse automaticamente; consérvase a liña base máis recente por tipo de sinal.

    base xurídica · Execución do contrato — Art. 6(1)(b) GDPR

  • Reescaneos programados (opcional, só Pro+)

    Se activas escaneos programados nun dominio verificado, rexistramos a cadencia, a hora da última execución, a hora da seguinte execución e que usuario activou a programación. Cada escaneo activado por cron herda a atestación de autorización para escanear feita cando o dominio se verificou por primeira vez — non tes que volver atestar en cada execución. Desactívao en calquera momento en Dominios → Programación.

    base xurídica · Execución do contrato — Art. 6(1)(b) GDPR

  • Analítica (opcional, suxeita a consentimento)

    Se outorgas consentimento de analítica e temos analítica configurada para o despregamento que estás usando, empregamos un provedor de analítica de produto respectuoso coa privacidade (proxificado a través do noso propio dominio) para rexistrar uso anónimo — que botóns se premen, que comprobacións executa a xente, onde abandonan os usuarios no funil. Non poñemos URL que escaneas, contido de evidencia nin datos persoais en eventos de analítica. Retira o consentimento en calquera momento vía .

    base xurídica · Consentimento — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Canxe de oferta promocional

    Cando canxeas un código promocional, ligazón de invitación ou crédito de referido, almacenamos o código de campaña, o plan e duración que outorgamos, as marcas de tempo de inicio e fin da proba, o plan que tiñas antes da proba e un hash HMAC-SHA256 do teu enderezo IP no momento do canxe (nunca almacenamos a IP en bruto — o hash existe só para que poidamos facer cumprir os límites dun canxe por rede, e rotar a clave HMAC subxacente invalida todos os hashes almacenados sen expoñer a ninguén). Conservado durante a vida da campaña máis 18 meses para fins contables e de investigación de fraude e logo eliminado co resto do rexistro da campaña.

    base xurídica · Interese lexítimo (prevención de fraude, contabilidade) — Art. 6(1)(f) GDPR

  • Concursos, sorteos e retos

    Se te inscribes nun Reto de FixVibe (como o Reto de Verificación de Seguridade Previa), almacenamos o email de contacto que envías (requirido para que poidamos contactar contigo se ganas), os nomes de usuario de Reddit e Product Hunt que opcionalmente proporcionas, o teu scan ID e dominio raíz, o tipo de proxecto, stack e o texto de unha-cousa-que-aprendín autoinformado que opcionalmente proporcionas, o valor de canle de descubrimento que opcionalmente seleccionas e as tres casillas de consentimento requiridas que aceptas (autorización, regras, contacto). Se ademais marcas o consentimento opcional destacar-en-marketing, podemos mostrar a túa puntuación pública, cualificación, stack, nome de usuario e cita enviada na páxina principal de FixVibe, na páxina do reto ou nun post de resumo — nunca ningún outro campo e nunca sen ese opt-in. As inscricións ao reto consérvanse durante a vida do Reto máis 18 meses para fins de verificación e disputas. Podes retirar o consentimento de destacar-en-marketing en calquera momento enviando un email a privacy@fixvibe.app; a retirada non afecta ao tratamento lícito anterior á retirada.

    base xurídica · Execución do contrato (organización do Reto) e consentimento (destacar) — Art. 6(1)(b) e 6(1)(a) GDPR

O que NON recollemos

  • Nunca vendemos os teus datos.
  • Non incorporamos ad-tech de terceiros, fingerprinting nin scripts de reprodución de sesión.
  • Non poñemos as URL dos teus obxectivos de escaneo nin a evidencia dos achados en propiedades de analítica — eses datos viven só na nosa base de datos, protexidos por seguridade a nivel de fila.
  • Non compartimos os teus datos con terceiros para o seu propio márketing.

Subencargados

Dependemos dos seguintes subencargados para executar FixVibe:

  • Vercel Inc. (USA) — aloxamento da aplicación e rede edge. Aviso de privacidade: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — base de datos Postgres, autenticación, almacenamento de ficheiros, Realtime. A base de datos de produción de FixVibe está na rexión AWS us-east-1. Aviso de privacidade: supabase.com/privacy.
  • Stripe Inc. (USA) — procesamento de pagamentos para plans de pago. Aviso de privacidade: stripe.com/privacy.
  • Upstash, Inc. (USA, vía Vercel Marketplace) — limitación de velocidade baseada en Redis; almacena só contadores de curta duración baseados en IP. Aviso de privacidade: upstash.com/privacy.
  • PostHog Inc. (USA) — analítica de produto, só se outorgas consentimento de analítica e só cando a analítica está configurada para o despregamento que estás usando. Aviso de privacidade: posthog.com/privacy.
  • GitHub, Inc. (USA) — só se conectas a integración opcional de GitHub. Usamos a API de GitHub para ler os repositorios contra os que inicias escaneos. Aviso de privacidade: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — entrega de correo electrónico transaccional. Recibe o teu enderezo de correo electrónico e o corpo do correo cando enviamos correos de escaneo completado, escaneo programado, alerta de ameaza en directo e resumo semanal. Resend conserva metadatos de entrega (marcas de tempo, estado, rexistros de rebote) para fins operativos; nunca enviamos correo de márketing a través de Resend. Aviso de privacidade: resend.com/legal/privacy-policy.

As transferencias de datos persoais fóra da EEA/UK baséanse nas Standard Contractual Clauses da European Commission (ou no International Data Transfer Addendum do UK), complementadas polas medidas de cifrado en tránsito e cifrado en repouso descritas en “Seguridade” máis abaixo.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Os teus dereitos

Baixo GDPR, UK GDPR e leis equivalentes (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act, etc.), tes dereito a:

  • acceder a unha copia dos teus datos (podes facelo en autoservizo desde Conta → Privacidade);
  • facer corrixir os teus datos;
  • facer eliminar os teus datos (tamén en autoservizo);
  • opoñerte ao tratamento baseado en intereses lexítimos;
  • retirar o consentimento para analítica en calquera momento vía ;
  • portabilidade dos datos — a túa exportación está en JSON;
  • presentar unha reclamación ante a túa autoridade supervisora local (EU/UK/EEA) ou equivalente.

Respondemos ás solicitudes verificables de dereitos nun prazo de 30 días. Para solicitudes que non podemos satisfacer vía autoservizo (rectificación dun campo que non expoñemos, restrición do tratamento, obxección), envía un correo a support@fixvibe.app co asunto “Solicitude de privacidade”.

Residentes en California (CCPA / CPRA)

Non vendemos a túa información persoal. Non compartimos información persoal para publicidade conductual entre contextos. A analítica a través de PostHog só se executa despois de que outorgues consentimento no noso banner de cookies; podes retirar ese consentimento en calquera momento vía ou premendo As túas opcións de privacidade no pé de páxina.

Se es residente en California, tamén tes dereito a:

  • saber que información persoal recollemos, as fontes, os propósitos e calquera terceiro co que a compartimos (todo detallado arriba);
  • solicitar a eliminación da túa información persoal (autoservizo vía Conta → Privacidade ou enviándonos un correo);
  • corrixir información persoal inexacta;
  • limitar o uso e a divulgación de información persoal sensible — non recollemos ningunha máis alá das credenciais de autenticación e os metadatos de sesión, ambos necesarios para prestar o servizo;
  • optar por non vender nin compartir — non aplicable, xa que non facemos ningunha das dúas cousas;
  • non sufrir discriminación por exercer calquera dos dereitos anteriores.

Respectamos automaticamente os sinais Global Privacy Control (GPC); enviar unha cabeceira GPC trata a túa visita como se optases explicitamente por quedar fóra de calquera consentimento futuro de analítica.

Seguridade

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Ningún programa de seguridade é perfecto. Se cres que atopaches unha vulnerabilidade en FixVibe, infórmaa a support@fixvibe.app.

Cambios nesta política

Se facemos cambios materiais — novos subencargados, novas categorías de datos, novos períodos de retención — actualizaremos a data anterior e notificarémoscho dentro da aplicación. As correccións menores de redacción non activan unha notificación.

Contacto

privacy@fixvibe.app — as respostas adoitan chegar nun prazo de 5 días hábiles, nunca máis tarde de 30 días como esixe GDPR Art. 12(3).

Política de Privacidade · FixVibe