Persónuverndarstefna

FixVibe er rekið af EGO HERO LLC (“við”, “okkur”), ábyrgðaraðilanum fyrir persónuupplýsingarnar sem lýst er í þessari stefnu. Fyrir persónuverndarspurningar, þar á meðal beiðnir skráðra einstaklinga samkvæmt GDPR, UK GDPR eða CCPA, hafðu samband við privacy@fixvibe.app. Fyrir allt annað skaltu skrifa til support@fixvibe.app.

• Reikningsgögn

  Netfang, OAuth auðkenni (ef þú skráir þig inn með Google eða GitHub) og hvaða nafn sem við fáum frá OAuth þjónustuveitanda þínum. Notað til að auðkenna þig og hafa samband við þig um reikninginn þinn. Geymt á meðan reikningurinn þinn er virkur. Þegar þú eyðir reikningnum þínum eru þessi gögn fjarlægð innan 30 daga, nema þar sem okkur ber að varðveita þau (t.d. reikningsfærslur samkvæmt skattalögum).

  lagaheimild · Framkvæmd samnings — Art. 6(1)(b) GDPR

• Skannamarkmið og niðurstöður

  URL-slóðirnar sem þú skannar, beiðnirnar sem við sendum til þeirra URL-slóða og niðurstöðurnar sem við framleiðum. Geymt á móti stofnuninni þinni. Við eyðum sjálfkrafa færslum sem eru eldri en varðveislugluggi áætlunar þinnar: 30 dagar (Hobby), 90 dagar (Pro), 365 dagar (Unlimited). Þú getur flutt út eða eytt skannasögu þinni hvenær sem er frá Reikningur → Persónuvernd.

  lagaheimild · Framkvæmd samnings — Art. 6(1)(b) GDPR

• Nafnlausar skannalotur

  Ef þú keyrir skönnun án þess að skrá þig inn gefum við út HMAC-undirritaða vafraköku (fixvibe_anon_session, 24 klukkustunda líftími) sem heldur ógegnsæju handahófskenndu ID. Við eyðum sjálfkrafa ósóttum nafnlausum skannafærslum eftir 24 klukkustundir. Ef þú skráir þig innan 24 klukkustunda gluggans flyst skönnunin þín yfir á nýja reikninginn þinn. Við vitum ekki hverjir nafnlausir notendur eru nema þeir skrái sig.

  lagaheimild · Stranglega nauðsynlegt — undanþága ePrivacy Art. 5(3)

• Reikningsgögn vegna greiðslna

  Stripe er greiðslumiðlari okkar. Stripe geymir kortaupplýsingar þínar á PCI-DSS innviðum; við geymum aðeins auðkenni viðskiptavinar hjá Stripe, stöðu áskriftar, áætlun, upphaf/lok tímabils og litla idempotency færslu fyrir webhook atburði. Sjá persónuverndartilkynningu Stripe á stripe.com/privacy.

  lagaheimild · Framkvæmd samnings — Art. 6(1)(b) GDPR

• Þjónslógar og úttektarlógar

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  lagaheimild · Lögmætir hagsmunir — Art. 6(1)(f) GDPR

• GitHub samþætting (valfrjáls, aðeins Pro+)

  Ef þú tengir GitHub reikning frá Reikningur → Samþættingar geymum við dulkóðað aðgangstákn OAuth fyrir stofnunina þína, GitHub innskráningu þína + tölulegt notanda-ID og heimiluð scopes. Við notum táknið eingöngu til að lesa geymslur sem þú byrjar skannanir gegn. Upprunakóði er sóttur fyrir hverja skönnun, unninn í minni, og aðeins sönnunargögn einstakra niðurstaðna eru varðveitt (engar fullar upprunakóðadumpar). Eytt innan 30 daga frá aftengingu.

  lagaheimild · Framkvæmd samnings / samþykki — Art. 6(1)(b) + 6(1)(a) GDPR

• API tákn + MCP þjónn (valfrjálst)

  Tákn sem þú býrð til í Reikningur → API tákn eru geymd sem SHA-256 hash, fyrstu 8 stafirnir í berum texta (til auðkenningar), nafnið sem þú úthlutaðir, auk tímastimpla fyrir stofnun/síðustu notkun/afturköllun. Beri textinn er sýndur þér nákvæmlega einu sinni við stofnun og aldrei varðveittur. Tákn eru bearer skilríki: hver sem hefur gildið getur lesið skannanir þínar og byrjað nýjar þar til þú afturkallar. MCP þjónninn á /api/mcp er auðkenndur með sömu táknum, afhjúpar sömu gögn og mælaborðið myndi gera og býr ekki til neinn aðskilinn gagnaflokk.

  lagaheimild · Framkvæmd samnings — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  lagaheimild · Performance of contract — Art. 6(1)(b) GDPR

• Rauntímaógnagreining (valfrjáls, aðeins Unlimited)

  Ef þú hefur vöktun virkjaða á staðfestu léni föngum við reglulega færslur úr gagnsæisloggum skírteina, DNS færslur og ógnargreiningarlista (Spamhaus DBL, URLhaus) fyrir það lén. Þessar skyndimyndir innihalda hýsilnöfn sem þú hefur þegar heimilað okkur að skanna og opinberar niðurstöður opinberra uppflettinga. Engin persónuupplýsingar endanotenda þinna eru fangaðar. Skyndimyndum eldri en 7 daga er eytt sjálfkrafa; nýjasti baseline er varðveittur fyrir hverja signaltegund.

  lagaheimild · Framkvæmd samnings — Art. 6(1)(b) GDPR

• Áætlaðar endurskannanir (valfrjálsar, aðeins Pro+)

  Ef þú virkjar áætlaðar skannanir á staðfestu léni skráum við tíðnina, síðasta keyrslutíma, næsta keyrslutíma og hvaða notandi virkjaði áætlunina. Hver cron-kveikt skönnun erfir heimildarstaðfestinguna til að skanna sem var gerð þegar lénið var fyrst staðfest — þú þarft ekki að staðfesta aftur fyrir hverja keyrslu. Slökktu hvenær sem er í Lén → Áætlun.

  lagaheimild · Framkvæmd samnings — Art. 6(1)(b) GDPR

• Greining (valfrjáls, samþykkisháð)

  Ef þú veitir greiningarsamþykki og við höfum greiningu stillta fyrir þá útgáfu sem þú notar, notum við næðisvænan vörugreiningaraðila (umboðinn í gegnum okkar eigið lén) til að skrá nafnlausa notkun — hvaða hnappa er smellt á, hvaða athuganir fólk keyrir, hvar í ferlinu notendur detta út. Við setjum ekki URL-slóðir sem þú skannar, sönnunargagnaefni eða persónuupplýsingar inn í greiningaratburði. Afturkallaðu samþykki hvenær sem er með Vafrakökustillingar.

  lagaheimild · Samþykki — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Innleysing kynningartilboðs

  Þegar þú innleysir kynningarkóða, boðshlekk eða tilvísanainneign, geymum við herferðarkóðann, áætlunina og lengdina sem við veittum, upphafs- og lokatímastimpil prufunnar, áætlunina sem þú hafðir áður en prufan hófst, og HMAC-SHA256 kjarna IP-tölu þinnar á innleysingartíma (við geymum aldrei hráu IP-töluna — kjarninn er aðeins til svo við getum framfylgt einnar-innleysingar-á-netkerfi takmörkum, og að snúa undirliggjandi HMAC lyklinum ógildir alla geymda kjarna án þess að afhjúpa neinn). Geymt í líftíma herferðarinnar plús 18 mánuði fyrir bókhalds- og svikrannsóknartilgangi, síðan eytt með restinni af herferðarskránni.

  lagaheimild · Lögmætir hagsmunir (svikvarnir, bókhald) — gr. 6(1)(f) GDPR

• Keppnir, happdrætti og áskoranir

  Ef þú tekur þátt í FixVibe áskorun (svo sem Öryggis Preflight áskoruninni), geymum við tengiliðanetfangið sem þú sendir inn (nauðsynlegt svo við getum náð í þig ef þú vinnur), Reddit og Product Hunt notendanöfnin sem þú gefur upp valfrjálst, scan ID-ið þitt og rótarlénið, sjálfsskýrslu um tegund verkefnis, stafla og einn-hlut-sem-ég-lærði texta sem þú gefur upp valfrjálst, uppgötvunarrásargildið sem þú velur valfrjálst og þrjá nauðsynlegu samþykkisreitana sem þú samþykkir (heimild, reglur, tengiliður). Ef þú merkir sérstaklega við valfrjálsa sýnt-á-markaðsefni samþykkið, kunnum við að sýna opinbera einkunn þína, einkunnagjöf, stafla, notendanafn og innsenda tilvitnun á FixVibe heimasíðunni, áskorunarsíðunni eða samantektarfærslu — aldrei nein önnur reit, og aldrei án þess opt-in. Áskorunarþátttökur eru geymdar í líftíma áskorunarinnar plús 18 mánuði fyrir staðfestingar- og deilutilgang. Þú getur dregið sýnt-á-markaðsefni samþykkið til baka hvenær sem er með því að senda tölvupóst á privacy@fixvibe.app; afturköllun hefur ekki áhrif á lögmæta vinnslu fyrir afturköllunina.

  lagaheimild · Framkvæmd samnings (rekstur áskorunarinnar) og samþykki (að sýna) — gr. 6(1)(b) og 6(1)(a) GDPR

• Við seljum gögnin þín aldrei.
• Við fellum ekki inn ad-tech þriðja aðila, fingerprinting eða session-replay script.
• Við setjum ekki URL-slóðir skannamarkmiða þinna eða sönnunargögn niðurstaðna í greiningareiginleika — þau gögn búa aðeins í gagnagrunni okkar, varin með raðaröryggi.
• Við deilum ekki gögnum þínum með þriðju aðilum fyrir þeirra eigin markaðssetningu.

Við treystum á eftirfarandi undirvinnsluaðila til að reka FixVibe:

• Vercel Inc. (USA) — hýsing forrits og edge net. Persónuverndartilkynning: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres gagnagrunnur, auðkenning, skráageymsla, Realtime. Framleiðslugagnagrunnur FixVibe er á AWS us-east-1 svæðinu. Persónuverndartilkynning: supabase.com/privacy.
• Stripe Inc. (USA) — greiðsluvinnsla fyrir greiddar áætlanir. Persónuverndartilkynning: stripe.com/privacy.
• Upstash, Inc. (USA, í gegnum Vercel Marketplace) — Redis-studd hraðatakmörkun; geymir aðeins skammlífa teljara byggða á IP. Persónuverndartilkynning: upstash.com/privacy.
• PostHog Inc. (USA) — vörugreining, aðeins ef þú veitir greiningarsamþykki og aðeins þegar greining er stillt fyrir þá útgáfu sem þú notar. Persónuverndartilkynning: posthog.com/privacy.
• GitHub, Inc. (USA) — aðeins ef þú tengir valfrjálsu GitHub samþættinguna. Við notum API GitHub til að lesa geymslur sem þú byrjar skannanir gegn. Persónuverndartilkynning: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — afhending viðskiptatölvupósts. Fær netfangið þitt og meginmál tölvupóstsins þegar við sendum tölvupósta um lokna skönnun, áætlaða skönnun, rauntímaógnarviðvörun og vikulega samantekt. Resend varðveitir afhendingarmetadata (tímastimpla, stöðu, frákastsfærslur) í rekstrarskyni; við sendum aldrei markaðstölvupóst í gegnum Resend. Persónuverndartilkynning: resend.com/legal/privacy-policy.

Flutningur persónuupplýsinga út fyrir EEA/UK byggir á Standard Contractual Clauses European Commission (eða International Data Transfer Addendum UK), með viðbótarráðstöfunum um dulkóðun í flutningi og dulkóðun í hvíld sem lýst er í “Öryggi” hér að neðan.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Samkvæmt GDPR, UK GDPR og jafngildum lögum (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act o.s.frv.) hefur þú rétt til að:

• fá aðgang að afriti af gögnum þínum (þú getur gert þetta sjálfur frá Reikningur → Persónuvernd);
• láta leiðrétta gögnin þín;
• láta eyða gögnunum þínum (einnig í sjálfsafgreiðslu);
• andmæla vinnslu sem byggir á lögmætum hagsmunum;
• afturkalla samþykki fyrir greiningu hvenær sem er með Vafrakökustillingar;
• gagnaflutning — útflutningurinn þinn er í JSON;
• leggja fram kvörtun hjá staðbundnu eftirlitsvaldi þínu (EU/UK/EEA) eða jafngildu yfirvaldi.

Við svörum sannreynanlegum réttindabeiðnum innan 30 daga. Fyrir beiðnir sem við getum ekki uppfyllt í sjálfsafgreiðslu (leiðrétting á reit sem við birtum ekki, takmörkun vinnslu, andmæli), sendu tölvupóst á support@fixvibe.app með efnislínunni “Persónuverndarbeiðni”.

Við seljum ekki persónuupplýsingar þínar. Við deilum ekki persónuupplýsingum fyrir hegðunarmiðaðar auglýsingar milli samhenga. Greining í gegnum PostHog keyrir aðeins eftir að þú veitir samþykki í vafrakökuborða okkar; þú getur afturkallað það samþykki hvenær sem er með Vafrakökustillingar eða með því að smella á Persónuverndarval þitt í síðufæti.

Ef þú ert íbúi Kaliforníu hefur þú einnig rétt til að:

• vita hvaða persónuupplýsingum við söfnum, heimildirnar, tilganginn og alla þriðju aðila sem við deilum þeim með (allt útskýrt hér að ofan);
• biðja um eyðingu persónuupplýsinga þinna (sjálfsafgreiðsla í Reikningur → Persónuvernd eða með því að senda okkur tölvupóst);
• leiðrétta rangar persónuupplýsingar;
• takmarka notkun og miðlun viðkvæmra persónuupplýsinga — við söfnum engu umfram auðkenningarskilríki og lotumetadata, sem bæði eru nauðsynleg til að veita þjónustuna;
• hafna sölu eða deilingu — á ekki við þar sem við gerum hvorugt;
• verða ekki mismunað fyrir að nýta einhver ofangreindra réttinda.

Við virðum sjálfkrafa Global Privacy Control (GPC) merki; að senda GPC haus meðhöndlar heimsókn þína eins og þú hefðir sérstaklega hafnað öllu framtíðarsamþykki fyrir greiningu.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Ekkert öryggisprógramm er fullkomið. Ef þú telur að þú hafir fundið veikleika í FixVibe skaltu tilkynna hann til support@fixvibe.app.

Ef við gerum efnislegar breytingar — nýja undirvinnsluaðila, nýja gagnaflokka, ný varðveislutímabil — uppfærum við dagsetninguna hér að ofan og tilkynnum þér í forritinu. Minniháttar orðalagsleiðréttingar kalla ekki fram tilkynningu.

privacy@fixvibe.app — svör berast venjulega innan 5 virkra daga, aldrei seinna en 30 daga eins og krafist er í GDPR Art. 12(3).