Adatvédelmi szabályzat

A FixVibe üzemeltetője az EGO HERO LLC („mi“, „minket“), amely a jelen szabályzatban leírt személyes adatok adatkezelője. Adatvédelmi kérdésekben, beleértve a GDPR, UK GDPR vagy CCPA szerinti érintetti kérelmeket, írj a privacy@fixvibe.app címre. Minden más ügyben írj a support@fixvibe.app címre.

• Fiókadatok

  E-mail-cím, OAuth azonosító (ha Google vagy GitHub használatával jelentkezel be), valamint bármilyen név, amelyet az OAuth szolgáltatódtól kapunk. Ezeket a hitelesítésedre és a fiókoddal kapcsolatos kapcsolatfelvételre használjuk. Addig őrizzük, amíg a fiókod aktív. Amikor törlöd a fiókodat, ezeket az adatokat 30 napon belül eltávolítjuk, kivéve, ha meg kell őriznünk őket (például adójogi számlázási nyilvántartások miatt).

  jogalap · Szerződés teljesítése — Art. 6(1)(b) GDPR

• Skennelési célok és megállapítások

  Az általad skennelt URL-ek, az ezekre az URL-ekre küldött kéréseink és az általunk létrehozott megállapítások. Ezeket a szervezetedhez rendelve tároljuk. Automatikusan töröljük a terved megőrzési ablakánál régebbi rekordokat: 30 nap (Hobby), 90 nap (Pro), 365 nap (Unlimited). A skennelési előzményeket bármikor exportálhatod vagy törölheted a Fiók → Adatvédelem alatt.

  jogalap · Szerződés teljesítése — Art. 6(1)(b) GDPR

• Anonim skennelési munkamenetek

  Ha bejelentkezés nélkül futtatsz skent, HMAC aláírású cookie-t adunk ki (fixvibe_anon_session, 24 órás élettartam), amely egy átlátszatlan véletlen ID-t tartalmaz. A nem igényelt anonim sken rekordokat 24 óra után automatikusan töröljük. Ha a 24 órás ablakon belül regisztrálsz, a skened átkerül az új fiókodba. Nem tudjuk, kik az anonim felhasználók, hacsak nem regisztrálnak.

  jogalap · Szigorúan szükséges — ePrivacy Art. 5(3) kivétel

• Számlázási adatok

  A Stripe a fizetésfeldolgozónk. A kártyaadataidat PCI-DSS infrastruktúrán tárolja; mi csak egy Stripe ügyfélazonosítót, az előfizetés állapotát, a tervet, az időszak kezdetét és végét, valamint a webhook események kis idempotenciarekordját tároljuk. Lásd a Stripe adatvédelmi tájékoztatóját: stripe.com/privacy.

  jogalap · Szerződés teljesítése — Art. 6(1)(b) GDPR

• Szervernaplók és auditnaplók

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  jogalap · Jogos érdek — Art. 6(1)(f) GDPR

• GitHub integráció (opcionális, csak Pro+)

  Ha a Fiók → Integrációk alatt GitHub fiókot kapcsolsz, a szervezetedhez tartozó titkosított OAuth hozzáférési tokent, a GitHub bejelentkezési nevedet + numerikus felhasználói ID-dat, valamint a megadott jogosultsági köröket tároljuk. A tokent kizárólag azoknak a repozitóriumoknak az olvasására használjuk, amelyek ellen skent indítasz. A forráskód skenenként kerül lekérésre, memóriában dolgozzuk fel, és csak az egyedi megállapítási bizonyítékokat őrizzük meg (teljes forráskód-dumpok nélkül). A kapcsolat bontása után 30 napon belül töröljük.

  jogalap · Szerződés teljesítése / hozzájárulás — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokenek + MCP szerver (opcionális)

  A Fiók → API tokenek alatt létrehozott tokeneket SHA-256 hashként, az első 8 nyílt szövegű karakterrel (azonosításhoz), az általad adott névvel, valamint létrehozási, utolsó használati és visszavonási időbélyegekkel tároljuk. A nyílt szöveg pontosan egyszer, létrehozáskor jelenik meg neked, és soha nem tároljuk. A tokenek bearer hitelesítő adatok: aki birtokolja az értéket, olvashatja a skenjeidet és újakat indíthat, amíg vissza nem vonod. A /api/mcp alatt futó MCP szerver ugyanazokkal a tokenekkel hitelesít, ugyanazokat az adatokat teszi elérhetővé, mint a dashboard, és nem hoz létre külön adatkategóriát.

  jogalap · Szerződés teljesítése — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  jogalap · Performance of contract — Art. 6(1)(b) GDPR

• Élő fenyegetésészlelés (opcionális, csak Unlimited)

  Ha egy ellenőrzött domainen engedélyezve van a monitoring, rendszeresen rögzítjük az adott domain certificate-transparency naplóbejegyzéseit, DNS rekordjait és threat-intel listázásait (Spamhaus DBL, URLhaus). Ezek a pillanatképek olyan hostnameket tartalmaznak, amelyeket már engedélyeztél számunkra skennelésre, valamint nyilvános lekérdezések nyilvános eredményeit. A végfelhasználóid személyes adatait nem rögzítjük. A 7 napnál régebbi pillanatképeket automatikusan töröljük; a legfrissebb baseline jel típusonként megmarad.

  jogalap · Szerződés teljesítése — Art. 6(1)(b) GDPR

• Ütemezett újraskennelések (opcionális, csak Pro+)

  Ha ütemezett skeneket engedélyezel egy ellenőrzött domainen, rögzítjük a gyakoriságot, az utolsó futás idejét, a következő futás idejét és azt, hogy melyik felhasználó engedélyezte az ütemezést. Minden cron által indított sken örökli azt a skennelési jogosultsági igazolást, amelyet a domain első ellenőrzésekor adtál — nem kell futásonként újra igazolnod. Bármikor kikapcsolhatod a Domainek → Ütemezés alatt.

  jogalap · Szerződés teljesítése — Art. 6(1)(b) GDPR

• Analitika (opcionális, hozzájáruláshoz kötött)

  Ha hozzájárulsz az analitikához, és az általad használt telepítéshez be van állítva az analitika, adatvédelmet tiszteletben tartó termékanalitikai szolgáltatót használunk (a saját domainünkön keresztül proxizva) anonim használat rögzítésére — mely gombokra kattintanak, mely ellenőrzéseket futtatják az emberek, hol esnek ki a felhasználók a tölcsérből. A skennelt URL-eket, bizonyítéktartalmat vagy személyes adatokat nem tesszük analitikai eseményekbe. A hozzájárulást bármikor visszavonhatod a Cookie-beállítások alatt.

  jogalap · Hozzájárulás — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Promóciós ajánlat beváltása

  Amikor beváltja a promóciós kódot, meghívó linket vagy ajánlói kreditet, eltároljuk a kampány kódját, az általunk nyújtott csomagot és időtartamot, a próbaverzió kezdő és záró időbélyegét, a próbaverzió előtt birtokolt csomagot, és az IP-címe HMAC-SHA256 hash-ét a beváltás időpontjában (soha nem tároljuk a nyers IP-t — a hash csak azért létezik, hogy érvényesíteni tudjuk a hálózatonként egy beváltási korlátot, és az alapul szolgáló HMAC kulcs rotálása érvényteleníti az összes tárolt hash-t anélkül, hogy bárkit felfedne). A kampány élettartama plus 18 hónapig megőrizve számviteli és csalásvizsgálati célokból, majd a kampány rekord többi részével együtt törölve.

  jogalap · Jogos érdek (csalás megelőzés, számvitel) — GDPR 6. cikk (1) bek. f) pont

• Versenyek, sorsolások és kihívások

  Ha benevez egy FixVibe Kihívásra (például a Biztonsági Preflight Kihívásra), eltároljuk a benyújtott kapcsolattartási e-mailt (kötelező, hogy elérhessük, ha nyer), az opcionálisan megadott Reddit és Product Hunt felhasználóneveket, a scan ID-jét és gyökértartományát, az önbevallott projekt típusát, stackjét és az opcionálisan megadott egy-dolog-amit-tanultam szöveget, az opcionálisan választott felfedezési csatorna értékét, valamint a három kötelező hozzájárulási jelölőnégyzetet, amelyet elfogad (felhatalmazás, szabályok, kapcsolat). Ha külön bejelöli az opcionális marketingben-megjelenített hozzájárulást, megjeleníthetjük a nyilvános pontszámát, értékelését, stackjét, felhasználónevét és benyújtott idézetét a FixVibe főoldalán, a kihívás oldalán vagy egy összefoglaló bejegyzésben — soha más mezőt, és soha azon opt-in nélkül. A kihívás nevezések a Kihívás élettartama plus 18 hónapig kerülnek megőrzésre ellenőrzési és vitarendezési célokból. A marketingben-megjelenített hozzájárulást bármikor visszavonhatja az privacy@fixvibe.app e-mail címre küldött üzenettel; a visszavonás nem érinti a visszavonás előtti jogszerű adatkezelést.

  jogalap · Szerződés teljesítése (a Kihívás futtatása) és hozzájárulás (megjelenítés) — GDPR 6. cikk (1) bek. b) és a) pont

• Soha nem adjuk el az adataidat.
• Nem ágyazunk be harmadik fél hirdetéstechnológiát, fingerprintinget vagy munkamenet-visszajátszó szkripteket.
• A skennelési cél URL-jeit vagy a megállapítások bizonyítékait nem tesszük analitikai tulajdonokba — ezek az adatok csak az adatbázisunkban élnek, sorszintű biztonsággal védve.
• Nem osztjuk meg az adataidat harmadik felekkel a saját marketingjük céljából.

A FixVibe működtetéséhez az alábbi aladatfeldolgozókra támaszkodunk:

• Vercel Inc. (USA) — alkalmazáshoszting és edge hálózat. Adatvédelmi tájékoztató: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres adatbázis, hitelesítés, fájltárolás, Realtime. A FixVibe éles adatbázisa az AWS us-east-1 régióban található. Adatvédelmi tájékoztató: supabase.com/privacy.
• Stripe Inc. (USA) — fizetésfeldolgozás fizetős tervekhez. Adatvédelmi tájékoztató: stripe.com/privacy.
• Upstash, Inc. (USA, a Vercel Marketplace-en keresztül) — Redis-alapú rate limiting; csak rövid életű, IP-alapú számlálókat tárol. Adatvédelmi tájékoztató: upstash.com/privacy.
• PostHog Inc. (USA) — termékanalitika, csak ha hozzájárulsz az analitikához, és csak amikor az általad használt telepítéshez be van állítva az analitika. Adatvédelmi tájékoztató: posthog.com/privacy.
• GitHub, Inc. (USA) — csak ha csatlakoztatod az opcionális GitHub integrációt. A GitHub API-t használjuk azoknak a repozitóriumoknak az olvasására, amelyek ellen skent indítasz. Adatvédelmi tájékoztató: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — tranzakciós e-mailek kézbesítése. Megkapja az e-mail-címedet és az e-mail törzsét, amikor sken befejezéséről, ütemezett skenről, live-threat riasztásról és heti összefoglalóról küldünk e-mailt. A Resend kézbesítési metaadatokat (időbélyegek, állapot, visszapattanási rekordok) őriz működési célokra; marketing e-mailt soha nem küldünk a Resenden keresztül. Adatvédelmi tájékoztató: resend.com/legal/privacy-policy.

A személyes adatok EEA/UK területén kívüli továbbításai az Európai Bizottság általános szerződési feltételein (vagy az Egyesült Királyság International Data Transfer Addendum dokumentumán) alapulnak, kiegészítve az alábbi „Biztonság“ részben leírt átvitel közbeni és tároláskori titkosítási intézkedésekkel.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

A GDPR, UK GDPR és egyenértékű jogszabályok (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act stb.) alapján jogod van:

• hozzáférni az adataid másolatához (ezt önkiszolgáló módon megteheted a Fiók → Adatvédelem alatt);
• kérni az adataid helyesbítését;
• kérni az adataid törlését (szintén önkiszolgáló módon);
• tiltakozni a jogos érdekeken alapuló adatkezelés ellen;
• bármikor visszavonni az analitikához adott hozzájárulást a Cookie-beállítások alatt;
• adathordozhatósághoz — az exportod JSON formátumú;
• panaszt tenni a helyi felügyeleti hatóságnál (EU/UK/EEA) vagy annak megfelelő szervnél.

Az ellenőrizhető joggyakorlási kérelmekre 30 napon belül válaszolunk. Azoknál a kérelmeknél, amelyeket önkiszolgáló módon nem tudunk teljesíteni (nem megjelenített mező helyesbítése, adatkezelés korlátozása, tiltakozás), írj a support@fixvibe.app címre „Privacy request“ tárggyal.

Nem adjuk el a személyes adataidat. Nem osztunk meg személyes adatokat kontextusok közötti viselkedésalapú hirdetéshez. A PostHog analitika csak akkor fut, miután hozzájárulást adsz a cookie bannerünkben; ezt a hozzájárulást bármikor visszavonhatod a Cookie-beállítások alatt, vagy a láblécben található Adatvédelmi választásaid hivatkozásra kattintva.

Ha kaliforniai lakos vagy, jogod van továbbá:

• megtudni, milyen személyes adatokat gyűjtünk, milyen forrásokból, milyen célokra, és mely harmadik felekkel osztjuk meg őket (mind részletezve fent);
• kérni a személyes adataid törlését (önkiszolgáló módon a Fiók → Adatvédelem alatt vagy e-mailben);
• helyesbíteni a pontatlan személyes adatokat;
• korlátozni az érzékeny személyes adatok felhasználását és közzétételét — ilyet nem gyűjtünk a hitelesítési adatokon és munkamenet-metaadatokon túl, amelyek a szolgáltatás nyújtásához szükségesek;
• leiratkozni az értékesítésről vagy megosztásról — nem alkalmazható, mert egyiket sem tesszük;
• nem érhet hátrányos megkülönböztetés a fenti jogok bármelyikének gyakorlása miatt.

A Global Privacy Control (GPC) jeleket automatikusan tiszteletben tartjuk; a GPC fejléc elküldése úgy kezeli a látogatásodat, mintha kifejezetten leiratkoztál volna bármilyen jövőbeli analitikai hozzájárulásról.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Egyetlen biztonsági program sem tökéletes. Ha úgy gondolod, hogy sérülékenységet találtál a FixVibe-ban, kérjük, jelentsd a support@fixvibe.app címen.

Ha lényeges változtatásokat végzünk — új aladatfeldolgozók, új adatkategóriák, új megőrzési időszakok — frissítjük a fenti dátumot, és alkalmazáson belül értesítünk. Kisebb megfogalmazási javítások nem váltanak ki értesítést.

privacy@fixvibe.app — válasz általában 5 munkanapon belül, soha nem később, mint a GDPR Art. 12(3) által előírt 30 nap.