FixVibe

// privatnost

Pravila privatnosti

zadnje ažuriranje · 2026-05-17

Tko smo

FixVibe vodi EGO HERO LLC („mi“, „nas“), voditelj obrade osobnih podataka opisanih u ovoj politici. Za pitanja privatnosti, uključujući zahtjeve ispitanika prema GDPR-u, UK GDPR-u ili CCPA-u, kontaktiraj privacy@fixvibe.app. Za sve ostalo piši na support@fixvibe.app.

Što prikupljamo, zašto i koliko dugo čuvamo

  • Podaci računa

    Adresa e-pošte, OAuth identifikator (ako se prijavljuješ putem Googlea ili GitHuba) i bilo koje ime koje primimo od tvog OAuth pružatelja. Koristi se za tvoju autentifikaciju i kontaktiranje o računu. Čuva se dok je tvoj račun aktivan. Kad izbrišeš račun, ti se podaci uklanjaju u roku od 30 dana, osim gdje ih moramo zadržati (npr. evidencije naplate prema poreznom pravu).

    pravna osnova · Izvršenje ugovora — Art. 6(1)(b) GDPR

  • Ciljevi skeniranja i nalazi

    URL-ovi koje skeniraš, zahtjevi koje šaljemo tim URL-ovima i nalazi koje proizvedemo. Pohranjeno uz tvoju organizaciju. Automatski brišemo zapise starije od prozora zadržavanja tvog plana: 30 dana (Hobby), 90 dana (Pro), 365 dana (Unlimited). Povijest skeniranja možeš izvesti ili izbrisati bilo kada iz Račun → Privatnost.

    pravna osnova · Izvršenje ugovora — Art. 6(1)(b) GDPR

  • Anonimne sesije skeniranja

    Ako pokreneš skeniranje bez prijave, izdajemo HMAC-potpisani cookie (fixvibe_anon_session, trajanje 24 sata) koji sadrži neproziran nasumični ID. Automatski brišemo nepreuzete anonimne zapise skeniranja nakon 24 sata. Ako se registriraš unutar 24-satnog prozora, skeniranje se premješta u tvoj novi račun. Ne znamo tko su anonimni korisnici osim ako se registriraju.

    pravna osnova · Strogo nužno — izuzeće ePrivacy Art. 5(3)

  • Podaci za naplatu

    Stripe je naš obrađivač plaćanja. Stripe pohranjuje podatke tvoje kartice na PCI-DSS infrastrukturi; mi pohranjujemo samo Stripe ID korisnika, status pretplate, plan, početak i kraj razdoblja te mali idempotency zapis webhook događaja. Pogledaj Stripeovu obavijest o privatnosti na stripe.com/privacy.

    pravna osnova · Izvršenje ugovora — Art. 6(1)(b) GDPR

  • Serverski logovi i revizijski logovi

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    pravna osnova · Legitimni interes — Art. 6(1)(f) GDPR

  • GitHub integracija (opcionalno, samo Pro+)

    Ako povežeš GitHub račun iz Račun → Integracije, pohranjujemo šifrirani OAuth pristupni token za tvoju organizaciju, tvoj GitHub login + numerički korisnički ID i odobrene scopeove. Token koristimo isključivo za čitanje repozitorija protiv kojih pokrećeš skeniranja. Izvorni kod dohvaća se po skeniranju, obrađuje u memoriji i pohranjuju se samo pojedinačni dokazi nalaza (bez potpunih dumpova izvornog koda). Briše se u roku od 30 dana od prekida veze.

    pravna osnova · Izvršenje ugovora / privola — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokeni + MCP poslužitelj (opcionalno)

    Tokeni koje stvoriš u Račun → API tokeni pohranjuju se kao SHA-256 hash, prvih 8 znakova čistog teksta (za identifikaciju), ime koje si dodijelio te vremenske oznake stvaranja, zadnje upotrebe i opoziva. Čisti tekst prikazuje ti se točno jednom pri stvaranju i nikad se ne pohranjuje. Tokeni su bearer vjerodajnice: svatko s tom vrijednošću može čitati tvoja skeniranja i pokretati nova dok ih ne opozoveš. MCP poslužitelj na /api/mcp autentificira se istim tokenima, izlaže iste podatke kao dashboard i ne stvara zasebnu kategoriju podataka.

    pravna osnova · Izvršenje ugovora — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    pravna osnova · Performance of contract — Art. 6(1)(b) GDPR

  • Detekcija prijetnji uživo (opcionalno, samo Unlimited)

    Ako imaš omogućeno praćenje na verificiranoj domeni, periodično bilježimo unose iz certificate-transparency logova, DNS zapise i threat-intel popise (Spamhaus DBL, URLhaus) za tu domenu. Te snimke sadrže hostnameove koje si nam već odobrio za skeniranje i javne rezultate javnih upita. Ne prikupljaju se osobni podaci tvojih krajnjih korisnika. Snimke starije od 7 dana automatski se brišu; najnoviji baseline zadržava se po vrsti signala.

    pravna osnova · Izvršenje ugovora — Art. 6(1)(b) GDPR

  • Zakazana ponovna skeniranja (opcionalno, samo Pro+)

    Ako omogućiš zakazana skeniranja na verificiranoj domeni, bilježimo učestalost, vrijeme zadnjeg pokretanja, vrijeme sljedećeg pokretanja i korisnika koji je omogućio raspored. Svako skeniranje pokrenuto cron-om nasljeđuje potvrdu ovlaštenja za skeniranje danu pri prvoj verifikaciji domene — ne potvrđuješ ponovno pri svakom pokretanju. Isključi bilo kada u Domene → Raspored.

    pravna osnova · Izvršenje ugovora — Art. 6(1)(b) GDPR

  • Analitika (opcionalno, uz privolu)

    Ako daš privolu za analitiku i imamo analitiku konfiguriranu za deployment koji koristiš, koristimo pružatelja produktne analitike koji poštuje privatnost (proxirano kroz našu vlastitu domenu) za bilježenje anonimne upotrebe — koji se gumbi klikaju, koje provjere ljudi pokreću, gdje korisnici odustaju u funnelu. URL-ove koje skeniraš, sadržaj dokaza ili osobne podatke ne stavljamo u analitičke događaje. Privolu možeš opozvati bilo kada putem .

    pravna osnova · Privola — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Preuzimanje promotivne ponude

    Kada preuzmete promotivni kod, pozivnicu ili kredit za preporuku, pohranjujemo kod kampanje, plan i trajanje koje smo odobrili, vremenske oznake početka i kraja probnog razdoblja, plan koji ste imali prije probnog razdoblja i HMAC-SHA256 hash vaše IP adrese u trenutku preuzimanja (nikada ne pohranjujemo sirov IP — hash postoji samo kako bismo mogli provoditi ograničenja jednog preuzimanja po mreži, a rotiranje osnovnog HMAC ključa poništava sve pohranjene hasheve bez izlaganja ikoga). Zadržava se za vrijeme trajanja kampanje plus 18 mjeseci za računovodstvene svrhe i istrage prijevara, a zatim se briše s ostatkom zapisa o kampanji.

    pravna osnova · Legitimni interes (sprječavanje prijevara, računovodstvo) — čl. 6(1)(f) GDPR

  • Natječaji, nagradne igre i izazovi

    Ako se prijavite u FixVibe Izazov (poput Sigurnosnog Preflight izazova), pohranjujemo kontakt e-poštu koju pošaljete (potrebnu kako bismo vas mogli kontaktirati ako pobijedite), Reddit i Product Hunt korisnička imena koja izborno navedete, vaš scan ID i korijensku domenu, samoprijavljeni tip projekta, stack i tekst jedne-stvari-koju-sam-naučio koji izborno navedete, vrijednost kanala otkrivanja koju izborno odaberete i tri obvezna potvrdna okvira pristanka koja prihvatite (ovlaštenje, pravila, kontakt). Ako zasebno označite izborni pristanak isticanje-u-marketingu, možemo prikazati vaš javni rezultat, ocjenu, stack, korisničko ime i predani citat na početnoj stranici FixVibe, stranici izazova ili rekapitulacijskoj objavi — nikada bilo koje drugo polje i nikada bez tog opt-ina. Prijave za izazove zadržavaju se za vrijeme trajanja Izazova plus 18 mjeseci za svrhe verifikacije i sporova. Pristanak za isticanje-u-marketingu možete povući u bilo kojem trenutku slanjem e-pošte na privacy@fixvibe.app; povlačenje ne utječe na zakonitu obradu prije povlačenja.

    pravna osnova · Izvršenje ugovora (provođenje Izazova) i pristanak (isticanje) — čl. 6(1)(b) i 6(1)(a) GDPR

Što NE prikupljamo

  • Nikad ne prodajemo tvoje podatke.
  • Ne ugrađujemo oglasnu tehnologiju trećih strana, fingerprinting ili skripte za session-replay.
  • URL-ove ciljeva skeniranja ili dokaze nalaza ne stavljamo u analitička svojstva — ti podaci žive samo u našoj bazi podataka, zaštićeni sigurnošću na razini redaka.
  • Ne dijelimo tvoje podatke s trećim stranama za njihov vlastiti marketing.

Podizvršitelji obrade

Za rad FixVibe-a oslanjamo se na sljedeće podizvršitelje obrade:

  • Vercel Inc. (SAD) — hosting aplikacije i edge mreža. Obavijest o privatnosti: vercel.com/legal/privacy-policy.
  • Supabase Inc. (SAD) — Postgres baza podataka, autentifikacija, pohrana datoteka, Realtime. Produkcijska baza podataka FixVibe-a nalazi se u regiji AWS us-east-1. Obavijest o privatnosti: supabase.com/privacy.
  • Stripe Inc. (SAD) — obrada plaćanja za plaćene planove. Obavijest o privatnosti: stripe.com/privacy.
  • Upstash, Inc. (SAD, putem Vercel Marketplacea) — rate limiting podržan Redisom; pohranjuje samo kratkotrajne brojače temeljene na IP-u. Obavijest o privatnosti: upstash.com/privacy.
  • PostHog Inc. (SAD) — produktna analitika, samo ako daš privolu za analitiku i samo kad je analitika konfigurirana za deployment koji koristiš. Obavijest o privatnosti: posthog.com/privacy.
  • GitHub, Inc. (SAD) — samo ako povežeš opcionalnu GitHub integraciju. Koristimo GitHub API za čitanje repozitorija protiv kojih pokrećeš skeniranja. Obavijest o privatnosti: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (SAD) — isporuka transakcijskih e-mailova. Prima tvoju adresu e-pošte i tijelo e-maila kad šaljemo e-mailove o dovršenom skeniranju, zakazanom skeniranju, live-threat upozorenju i tjednom sažetku. Resend zadržava metapodatke isporuke (vremenske oznake, status, zapise odbijanja) u operativne svrhe; nikad ne šaljemo marketinški e-mail putem Resenda. Obavijest o privatnosti: resend.com/legal/privacy-policy.

Prijenosi osobnih podataka izvan EEA/UK oslanjaju se na Standardne ugovorne klauzule Europske komisije (ili UK International Data Transfer Addendum), dopunjene mjerama enkripcije u prijenosu i enkripcije u mirovanju opisanima u nastavku pod „Sigurnost“.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Tvoja prava

Prema GDPR-u, UK GDPR-u i jednakovrijednim zakonima (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act itd.) imaš pravo:

  • pristupiti kopiji svojih podataka (to možeš učiniti samostalno iz Račun → Privatnost);
  • ispraviti svoje podatke;
  • izbrisati svoje podatke (također samostalno);
  • prigovoriti obradi na temelju legitimnih interesa;
  • opozvati privolu za analitiku bilo kada putem ;
  • prenosivost podataka — tvoj izvoz je u JSON-u;
  • podnijeti pritužbu lokalnom nadzornom tijelu (EU/UK/EEA) ili ekvivalentu.

Na provjerljive zahtjeve za ostvarivanje prava odgovaramo u roku od 30 dana. Za zahtjeve koje ne možemo ispuniti samostalno (ispravak polja koje ne prikazujemo, ograničenje obrade, prigovor), pošalji e-mail na support@fixvibe.app s predmetom „Privacy request“.

Stanovnici Kalifornije (CCPA / CPRA)

Ne prodajemo tvoje osobne podatke. Ne dijelimo osobne podatke za cross-context bihevioralno oglašavanje. Analitika putem PostHoga pokreće se samo nakon što daš privolu u našem cookie banneru; tu privolu možeš opozvati bilo kada putem ili klikom na Tvoji izbori privatnosti u footeru.

Ako si stanovnik Kalifornije, također imaš pravo:

  • znati koje osobne podatke prikupljamo, izvore, svrhe i sve treće strane s kojima ih dijelimo (sve je detaljno navedeno gore);
  • zatražiti brisanje svojih osobnih podataka (samostalno putem Račun → Privatnost ili slanjem e-maila);
  • ispraviti netočne osobne podatke;
  • ograničiti upotrebu i otkrivanje osjetljivih osobnih podataka — ne prikupljamo ništa osim autentifikacijskih vjerodajnica i metapodataka sesije, oboje potrebnih za pružanje usluge;
  • odustati od prodaje ili dijeljenja — nije primjenjivo jer ne radimo ni jedno ni drugo;
  • ne biti diskriminiran zbog ostvarivanja bilo kojeg od gore navedenih prava.

Automatski poštujemo signale Global Privacy Control (GPC); slanje GPC headera tretira tvoj posjet kao da si izričito odustao od bilo kakve buduće privole za analitiku.

Sigurnost

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Nijedan sigurnosni program nije savršen. Ako vjeruješ da si pronašao ranjivost u FixVibe-u, prijavi je na support@fixvibe.app.

Promjene ove politike

Ako napravimo materijalne promjene — nove podizvršitelje obrade, nove kategorije podataka, nova razdoblja zadržavanja — ažurirat ćemo datum iznad i obavijestiti te u aplikaciji. Manji popravci formulacije ne pokreću obavijest.

Kontakt

privacy@fixvibe.app — odgovori obično u roku od 5 radnih dana, nikad dulje od 30 dana kako zahtijeva GDPR Art. 12(3).

Pravila privatnosti · FixVibe