FixVibe

// privacy

מדיניות פרטיות

עודכן לאחרונה · 2026-05-17

מי אנחנו

FixVibe מופעל על ידי EGO HERO LLC (“אנחנו”, “אותנו”), בקר הנתונים עבור הנתונים האישיים המתוארים במדיניות זו. לשאלות פרטיות, כולל בקשות של נושאי מידע לפי GDPR, UK GDPR או CCPA, פנו אל privacy@fixvibe.app. לכל דבר אחר, כתבו אל support@fixvibe.app.

מה אנחנו אוספים, למה, ולכמה זמן אנחנו שומרים

  • נתוני חשבון

    כתובת אימייל, מזהה OAuth אם אתם נכנסים עם Google או GitHub, וכל שם שאנחנו מקבלים מספק ה-OAuth שלכם. משמש לאימות שלכם וליצירת קשר איתכם לגבי החשבון. נשמר כל עוד החשבון שלכם פעיל. כאשר אתם מוחקים את החשבון, הנתונים האלה מוסרים בתוך 30 ימים, למעט מקרים שבהם אנו נדרשים לשמור אותם, למשל רשומות חיוב לפי דיני מס.

    בסיס חוקי · ביצוע חוזה — Art. 6(1)(b) GDPR

  • יעדי סריקה וממצאים

    כתובות ה-URL שאתם סורקים, הבקשות שאנחנו מבצעים לאותן כתובות URL, והממצאים שאנחנו מפיקים. נשמרים תחת הארגון שלכם. אנחנו מוחקים אוטומטית רשומות ישנות יותר מחלון השמירה של התוכנית שלכם: 30 ימים (Hobby), 90 ימים (Pro), 365 ימים (Unlimited). תוכלו לייצא או למחוק את היסטוריית הסריקות בכל עת מתוך חשבון → פרטיות.

    בסיס חוקי · ביצוע חוזה — Art. 6(1)(b) GDPR

  • הפעלות סריקה אנונימיות

    אם אתם מריצים סריקה בלי להיכנס, אנחנו מנפיקים עוגייה חתומה ב-HMAC בשם fixvibe_anon_session, למשך חיים של 24 שעות, שמחזיקה ID אקראי אטום. אנחנו מוחקים אוטומטית רשומות סריקה אנונימיות שלא נתבעו אחרי 24 שעות. אם תירשמו בתוך חלון 24 השעות, הסריקה תועבר לחשבון החדש שלכם. איננו יודעים מי הם משתמשים אנונימיים אלא אם הם נרשמים.

    בסיס חוקי · הכרחי בהחלט — חריג ePrivacy Art. 5(3)

  • נתוני חיוב

    Stripe הוא מעבד התשלומים שלנו. הם שומרים את פרטי הכרטיס שלכם בתשתית PCI-DSS; אנחנו שומרים רק Stripe customer ID, סטטוס מנוי, תוכנית, תחילת וסוף תקופה, ורשומת idempotency קטנה של אירועי webhook. ראו את הודעת הפרטיות של Stripe ב-stripe.com/privacy.

    בסיס חוקי · ביצוע חוזה — Art. 6(1)(b) GDPR

  • יומני שרת ויומני ביקורת

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    בסיס חוקי · אינטרס לגיטימי — Art. 6(1)(f) GDPR

  • אינטגרציית GitHub, אופציונלית, Pro+ בלבד

    אם תחברו חשבון GitHub מתוך חשבון → אינטגרציות, נשמור עבור הארגון שלכם אסימון גישה OAuth מוצפן, את ה-GitHub login שלכם עם ID המשתמש המספרי, ואת ה-scopes שניתנו. אנחנו משתמשים באסימון רק כדי לקרוא repositories שאתם יוזמים סריקות עבורם. קוד מקור נמשך לכל סריקה, מעובד בזיכרון, ונשמרות רק ראיות ממצא בודדות, ללא dumps מלאים של קוד מקור. נמחק בתוך 30 ימים מהניתוק.

    בסיס חוקי · ביצוע חוזה / הסכמה — Art. 6(1)(b) + 6(1)(a) GDPR

  • אסימוני API + שרת MCP, אופציונלי

    אסימונים שאתם יוצרים תחת חשבון → אסימוני API נשמרים כ-SHA-256 hash, 8 התווים הראשונים בטקסט גלוי לצורך זיהוי, השם שהקציתם, וכן חותמות זמן של יצירה, שימוש אחרון וביטול. הטקסט הגלוי מוצג לכם בדיוק פעם אחת בעת היצירה ולעולם אינו נשמר. אסימונים הם אישורי bearer: כל מי שמחזיק בערך יכול לקרוא את הסריקות שלכם ולהתחיל חדשות עד שתבטלו אותו. שרת MCP ב-/api/mcp מאומת באמצעות אותם אסימונים, חושף את אותם נתונים שה-dashboard היה מציג, ואינו יוצר קטגוריית נתונים נפרדת.

    בסיס חוקי · ביצוע חוזה — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    בסיס חוקי · Performance of contract — Art. 6(1)(b) GDPR

  • זיהוי איומים חי, אופציונלי, Unlimited בלבד

    אם ניטור מופעל אצלכם בדומיין מאומת, אנחנו לוכדים מעת לעת רשומות certificate-transparency log, רשומות DNS ורשימות threat-intel (Spamhaus DBL, URLhaus) עבור אותו דומיין. תמונות המצב האלה מכילות hostnames שכבר אישרתם לנו לסרוק ואת התוצאות הציבוריות של שאילתות ציבוריות. לא נאספים נתונים אישיים של משתמשי הקצה שלכם. תמונות מצב בנות יותר מ-7 ימים נמחקות אוטומטית; baseline העדכני ביותר נשמר לכל סוג אות.

    בסיס חוקי · ביצוע חוזה — Art. 6(1)(b) GDPR

  • סריקות חוזרות מתוזמנות, אופציונליות, Pro+ בלבד

    אם תפעילו סריקות מתוזמנות בדומיין מאומת, אנחנו מתעדים את התדירות, זמן הריצה האחרון, זמן הריצה הבא ואיזה משתמש הפעיל את התזמון. כל סריקה שמופעלת על ידי cron יורשת את הצהרת ההרשאה לסריקה שניתנה כאשר הדומיין אומת לראשונה — אינכם מאשרים מחדש בכל ריצה. ניתן להשבית בכל עת מתוך דומיינים → תזמון.

    בסיס חוקי · ביצוע חוזה — Art. 6(1)(b) GDPR

  • אנליטיקה, אופציונלית, מותנית בהסכמה

    אם תיתנו הסכמה לאנליטיקה ויש לנו אנליטיקה מוגדרת עבור ה-deployment שאתם משתמשים בו, נשתמש בספק product-analytics שמכבד פרטיות ומנותב דרך הדומיין שלנו כדי לתעד שימוש אנונימי — אילו כפתורים נלחצים, אילו בדיקות אנשים מריצים, היכן במשפך משתמשים נושרים. איננו מכניסים כתובות URL שאתם סורקים, תוכן ראיות או נתונים אישיים לאירועי analytics. ניתן לבטל הסכמה בכל עת דרך .

    בסיס חוקי · הסכמה — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • מימוש הצעה מבצעית

    כאשר אתה מממש קוד מבצע, קישור הזמנה, או קרדיט הפניה, אנו מאחסנים את קוד הקמפיין, את התוכנית והמשך שהענקנו, את חותמות הזמן של התחלת וסיום הניסיון, את התוכנית שהחזקת לפני הניסיון, ו-hash HMAC-SHA256 של כתובת ה-IP שלך בזמן המימוש (אנו לעולם לא מאחסנים את ה-IP הגולמי — ה-hash קיים רק כדי שנוכל לאכוף מגבלות של מימוש אחד לרשת, וסיבוב מפתח ה-HMAC הבסיסי מבטל את כל ה-hashes המאוחסנים מבלי לחשוף אף אחד). נשמר למשך חיי הקמפיין בתוספת 18 חודשים למטרות חשבונאות וחקירת הונאה, ולאחר מכן נמחק יחד עם שאר רשומת הקמפיין.

    בסיס חוקי · אינטרס לגיטימי (מניעת הונאה, חשבונאות) — סעיף 6(1)(f) GDPR

  • תחרויות, הגרלות ואתגרים

    אם אתה נרשם לאתגר FixVibe (כגון אתגר Security Preflight), אנו מאחסנים את אימייל הקשר שאתה מגיש (נדרש כדי שנוכל ליצור איתך קשר אם תזכה), את שמות המשתמש של Reddit ו-Product Hunt שאתה מספק אופציונלית, את ה-scan ID והדומיין השורש שלך, את סוג הפרויקט המדווח עצמית, הסטאק, וטקסט הדבר-האחד-שלמדתי שאתה מספק אופציונלית, את ערך ערוץ הגילוי שאתה בוחר אופציונלית, ואת שלוש תיבות הסימון של ההסכמות הנדרשות שאתה מקבל (הרשאה, כללים, קשר). אם אתה מסמן בנפרד את ההסכמה האופציונלית הצגה-בשיווק, אנו עשויים להציג את הציון הציבורי, הדירוג, הסטאק, שם המשתמש והציטוט שהוגש שלך בעמוד הבית של FixVibe, בעמוד האתגר, או בפוסט סיכום — לעולם לא שדה אחר, ולעולם לא ללא הסכמה זו. הרשמות לאתגר נשמרות למשך חיי האתגר בתוספת 18 חודשים למטרות אימות ומחלוקת. אתה יכול למשוך את ההסכמה להצגה-בשיווק בכל עת על ידי שליחת אימייל ל-privacy@fixvibe.app; משיכה אינה משפיעה על עיבוד חוקי שנעשה לפני המשיכה.

    בסיס חוקי · ביצוע חוזה (הרצת האתגר) והסכמה (הצגה) — סעיפים 6(1)(b) ו-6(1)(a) GDPR

מה אנחנו לא אוספים

  • אנחנו לעולם לא מוכרים את הנתונים שלכם.
  • איננו מטמיעים ad-tech של צד שלישי, fingerprinting או סקריפטים של session-replay.
  • איננו מכניסים את כתובות ה-URL של יעדי הסריקה שלכם או ראיות ממצא לנכסי analytics — הנתונים האלה חיים רק במסד הנתונים שלנו, מוגנים על ידי אבטחה ברמת שורה.
  • איננו משתפים את הנתונים שלכם עם צדדים שלישיים לצורכי השיווק שלהם.

מעבדי משנה

אנחנו מסתמכים על מעבדי המשנה הבאים כדי להפעיל את FixVibe:

  • Vercel Inc. (ארצות הברית) — אירוח אפליקציה ורשת edge. הודעת פרטיות: vercel.com/legal/privacy-policy.
  • Supabase Inc. (ארצות הברית) — מסד נתונים Postgres, אימות, אחסון קבצים, Realtime. מסד הנתונים production של FixVibe נמצא באזור AWS us-east-1. הודעת פרטיות: supabase.com/privacy.
  • Stripe Inc. (ארצות הברית) — עיבוד תשלומים לתוכניות בתשלום. הודעת פרטיות: stripe.com/privacy.
  • Upstash, Inc. (ארצות הברית, דרך Vercel Marketplace) — rate limiting מבוסס Redis; שומר רק מונים קצרי חיים מבוססי IP. הודעת פרטיות: upstash.com/privacy.
  • PostHog Inc. (ארצות הברית) — product analytics, רק אם אתם נותנים הסכמה לאנליטיקה ורק כאשר אנליטיקה מוגדרת עבור ה-deployment שבו אתם משתמשים. הודעת פרטיות: posthog.com/privacy.
  • GitHub, Inc. (ארצות הברית) — רק אם אתם מחברים את אינטגרציית GitHub האופציונלית. אנחנו משתמשים ב-GitHub API כדי לקרוא repositories שאתם יוזמים סריקות עבורם. הודעת פרטיות: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (ארצות הברית) — שליחת אימיילים תפעוליים. מקבל את כתובת האימייל שלכם ואת גוף האימייל כאשר אנחנו שולחים אימיילים על סריקה שהושלמה, סריקה מתוזמנת, התראת איום חי ותקציר שבועי. Resend שומר מטא-נתוני מסירה, כמו חותמות זמן, סטטוס ורשומות bounce, למטרות תפעוליות; אנחנו לעולם לא שולחים אימייל שיווקי דרך Resend. הודעת פרטיות: resend.com/legal/privacy-policy.

העברות של נתונים אישיים מחוץ לאזור הכלכלי האירופי/UK נשענות על Standard Contractual Clauses של הנציבות האירופית או על UK International Data Transfer Addendum, בתוספת אמצעי ההצפנה במעבר וההצפנה במנוחה המתוארים בסעיף “אבטחה” להלן.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

הזכויות שלכם

לפי GDPR, UK GDPR וחוקים מקבילים (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act וכו׳), יש לכם זכות:

  • לקבל גישה לעותק של הנתונים שלכם (אפשר לעשות זאת בשירות עצמי מתוך חשבון → פרטיות);
  • לתקן את הנתונים שלכם;
  • למחוק את הנתונים שלכם (גם בשירות עצמי);
  • להתנגד לעיבוד המבוסס על אינטרסים לגיטימיים;
  • לבטל הסכמה לאנליטיקה בכל עת דרך ;
  • ניידות נתונים — הייצוא שלכם הוא ב-JSON;
  • להגיש תלונה לרשות הפיקוח המקומית שלכם (EU/UK/EEA) או לגוף מקביל.

אנחנו משיבים לבקשות זכויות ניתנות לאימות בתוך 30 ימים. לבקשות שאיננו יכולים לספק בשירות עצמי, כגון תיקון שדה שאיננו מציגים, הגבלת עיבוד או התנגדות, שלחו אימייל אל support@fixvibe.app עם שורת הנושא “בקשת פרטיות”.

תושבי קליפורניה (CCPA / CPRA)

אנחנו לא מוכרים את המידע האישי שלכם. איננו משתפים מידע אישי לצורך פרסום התנהגותי חוצה הקשרים. אנליטיקה דרך PostHog פועלת רק אחרי שאתם נותנים הסכמה בבאנר העוגיות שלנו; תוכלו לבטל את ההסכמה בכל עת דרך או בלחיצה על בחירות הפרטיות שלכם בפוטר.

אם אתם תושבי קליפורניה, יש לכם גם זכות:

  • לדעת איזה מידע אישי אנחנו אוספים, מה המקורות, מה המטרות, ועם אילו צדדים שלישיים אנחנו משתפים אותו, הכול מפורט לעיל;
  • לבקש מחיקה של המידע האישי שלכם, בשירות עצמי דרך חשבון → פרטיות או באמצעות אימייל אלינו;
  • לתקן מידע אישי לא מדויק;
  • להגביל שימוש וגילוי של מידע אישי רגיש — איננו אוספים כזה מעבר לאישורי אימות ומטא-נתוני הפעלה, שניהם נדרשים כדי לספק את השירות;
  • לבטל מכירה או שיתוף — לא רלוונטי משום שאיננו עושים אף אחד מהם;
  • לא להיות מופלים לרעה עקב מימוש כל אחת מהזכויות לעיל.

אנחנו מכבדים אותות Global Privacy Control (GPC) באופן אוטומטי; שליחת GPC header גורמת לכך שהביקור שלכם יטופל כאילו בחרתם במפורש שלא לתת כל הסכמת אנליטיקה עתידית.

אבטחה

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

אין תוכנית אבטחה מושלמת. אם אתם מאמינים שמצאתם חולשה ב-FixVibe, אנא דווחו עליה אל support@fixvibe.app.

שינויים במדיניות זו

אם נבצע שינויים מהותיים — מעבדי משנה חדשים, קטגוריות נתונים חדשות או תקופות שמירה חדשות — נעדכן את התאריך לעיל ונודיע לכם בתוך האפליקציה. תיקוני ניסוח קלים אינם מפעילים הודעה.

יצירת קשר

privacy@fixvibe.app — תשובות בדרך כלל בתוך 5 ימי עסקים, ולעולם לא יותר מ-30 ימים כנדרש לפי GDPR Art. 12(3).

מדיניות פרטיות · FixVibe