FixVibe

// privacy

Informativa sulla privacy

ultimo aggiornamento · 2026-05-17

Chi siamo

FixVibe è gestito da EGO HERO LLC (“noi”), il titolare del trattamento dei dati personali descritti in questa informativa. Per domande sulla privacy, incluse le richieste degli interessati ai sensi di GDPR, UK GDPR o CCPA, contatta privacy@fixvibe.app. Per qualsiasi altra cosa, scrivi a support@fixvibe.app.

Cosa raccogliamo, perché e per quanto tempo lo conserviamo

  • Dati dell'account

    Indirizzo e-mail, identificatore OAuth (se accedi con Google o GitHub) e qualsiasi nome che riceviamo dal tuo provider OAuth. Usati per autenticarti e contattarti in merito al tuo account. Conservati finché il tuo account è attivo. Quando elimini il tuo account, questi dati vengono rimossi entro 30 giorni, salvo quando siamo tenuti a conservarli (es. registri di fatturazione ai sensi della normativa fiscale).

    base giuridica · Esecuzione del contratto — Art. 6(1)(b) GDPR

  • Obiettivi di scansione e risultati

    Gli URL che scansioni, le richieste che inviamo a quegli URL e i risultati che produciamo. Sono archiviati a livello della tua organizzazione. Eliminiamo automaticamente i record più vecchi della finestra di conservazione del tuo piano: 30 giorni (Hobby), 90 giorni (Pro), 365 giorni (Unlimited). Puoi esportare o eliminare la cronologia delle scansioni in qualsiasi momento da Account → Privacy.

    base giuridica · Esecuzione del contratto — Art. 6(1)(b) GDPR

  • Sessioni di scansione anonime

    Se esegui una scansione senza accedere, emettiamo un cookie firmato con HMAC (fixvibe_anon_session, durata 24 ore) contenente un ID casuale opaco. Eliminiamo automaticamente i record di scansioni anonime non rivendicati dopo 24 ore. Se ti registri entro la finestra di 24 ore, la scansione migra nel tuo nuovo account. Non sappiamo chi siano gli utenti anonimi a meno che non si registrino.

    base giuridica · Strettamente necessario — esenzione ePrivacy Art. 5(3)

  • Dati di fatturazione

    Stripe è il nostro elaboratore dei pagamenti. Stripe archivia i dati della tua carta su infrastruttura PCI-DSS; noi archiviamo solo un ID cliente Stripe, stato dell'abbonamento, piano, inizio/fine periodo e un piccolo record di idempotenza degli eventi webhook. Consulta l'informativa sulla privacy di Stripe su stripe.com/privacy.

    base giuridica · Esecuzione del contratto — Art. 6(1)(b) GDPR

  • Log del server e log di audit

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    base giuridica · Interesse legittimo — Art. 6(1)(f) GDPR

  • Integrazione GitHub (facoltativa, solo Pro+)

    Se colleghi un account GitHub da Account → Integrazioni, archiviamo un token di accesso OAuth cifrato per la tua organizzazione, il tuo login GitHub + ID utente numerico e gli scopes concessi. Usiamo il token esclusivamente per leggere i repository per cui avvii scansioni. Il codice sorgente viene recuperato per singola scansione, elaborato in memoria e vengono conservate solo le prove dei singoli risultati (nessun dump completo del codice sorgente). Eliminato entro 30 giorni dalla disconnessione.

    base giuridica · Esecuzione del contratto / consenso — Art. 6(1)(b) + 6(1)(a) GDPR

  • Token API + server MCP (facoltativo)

    I token che crei in Account → Token API sono archiviati come hash SHA-256, con i primi 8 caratteri in chiaro (per identificazione), il nome che hai assegnato e i timestamp di creazione/ultimo utilizzo/revoca. Il testo in chiaro ti viene mostrato esattamente una volta alla creazione e non viene mai conservato. I token sono credenziali bearer: chiunque abbia il valore può leggere le tue scansioni e avviarne di nuove finché non li revochi. Il server MCP su /api/mcp è autenticato dagli stessi token, espone gli stessi dati che mostrerebbe la dashboard e non crea una categoria di dati separata.

    base giuridica · Esecuzione del contratto — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    base giuridica · Performance of contract — Art. 6(1)(b) GDPR

  • Rilevamento minacce live (facoltativo, solo Unlimited)

    Se hai il monitoraggio abilitato su un dominio verificato, catturiamo periodicamente voci dei log di trasparenza dei certificati, record DNS e liste di threat-intel (Spamhaus DBL, URLhaus) per quel dominio. Questi snapshot contengono hostname che ci hai già autorizzato a scansionare e i risultati pubblici di interrogazioni pubbliche. Non viene acquisito alcun dato personale dei tuoi utenti finali. Gli snapshot più vecchi di 7 giorni vengono eliminati automaticamente; la baseline più recente viene conservata per tipo di segnale.

    base giuridica · Esecuzione del contratto — Art. 6(1)(b) GDPR

  • Nuove scansioni programmate (facoltative, solo Pro+)

    Se abiliti scansioni programmate su un dominio verificato, registriamo la cadenza, l'ora dell'ultima esecuzione, l'ora della prossima esecuzione e quale utente ha abilitato la programmazione. Ogni scansione attivata da cron eredita l'attestazione di autorizzazione alla scansione resa quando il dominio è stato verificato per la prima volta — non devi riattestare a ogni esecuzione. Disattiva in qualsiasi momento da Domini → Programmazione.

    base giuridica · Esecuzione del contratto — Art. 6(1)(b) GDPR

  • Analisi (facoltativa, soggetta a consenso)

    Se concedi il consenso alle analisi e abbiamo configurato le analisi per il deployment che stai usando, utilizziamo un provider di product analytics rispettoso della privacy (proxato attraverso il nostro dominio) per registrare l'uso anonimo — quali pulsanti vengono cliccati, quali controlli vengono eseguiti, dove gli utenti abbandonano il funnel. Non inseriamo gli URL che scansioni, il contenuto delle prove o dati personali negli eventi di analisi. Revoca il consenso in qualsiasi momento tramite .

    base giuridica · Consenso — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Riscatto offerta promozionale

    Quando riscatti un codice promozionale, link di invito o credito referral, memorizziamo il codice della campagna, il piano e la durata che abbiamo concesso, i timestamp di inizio e fine della prova, il piano che avevi prima della prova e un hash HMAC-SHA256 del tuo indirizzo IP al momento del riscatto (non memorizziamo mai l'IP grezzo — l'hash esiste solo così possiamo applicare i limiti di un-riscatto-per-rete, e ruotare la chiave HMAC sottostante invalida tutti gli hash memorizzati senza esporre nessuno). Conservato per la vita della campagna più 18 mesi per scopi di contabilità e investigazione frodi, poi eliminato con il resto del record della campagna.

    base giuridica · Interesse legittimo (prevenzione frodi, contabilità) — Art. 6(1)(f) GDPR

  • Concorsi, sweepstake e sfide

    Se partecipi a una Sfida FixVibe (come la Security Preflight Challenge), memorizziamo l'email di contatto che invii (richiesta così possiamo raggiungerti se vinci), gli username Reddit e Product Hunt che fornisci opzionalmente, il tuo scan ID e dominio root, il tipo di progetto auto-segnalato, stack e testo di una-cosa-che-ho-imparato che fornisci opzionalmente, il valore del canale di scoperta che selezioni opzionalmente e le tre caselle di consenso richieste che accetti (autorizzazione, regole, contatto). Se separatamente spunti il consenso opzionale presentato-nel-marketing, possiamo visualizzare il tuo punteggio pubblico, valutazione, stack, username e citazione inviata sulla homepage FixVibe, pagina della sfida o post di riepilogo — mai altri campi e mai senza quell'opt-in. Le iscrizioni alla sfida sono conservate per la vita della Sfida più 18 mesi per scopi di verifica e disputa. Puoi ritirare il consenso presentato-nel-marketing in qualsiasi momento inviando un'email a privacy@fixvibe.app; il ritiro non influisce sul trattamento lecito prima del ritiro.

    base giuridica · Esecuzione del contratto (svolgimento della Sfida) e consenso (presentazione) — Art. 6(1)(b) e 6(1)(a) GDPR

Cosa NON raccogliamo

  • Non vendiamo mai i tuoi dati.
  • Non incorporiamo ad-tech di terze parti, fingerprinting o script di session-replay.
  • Non inseriamo gli URL obiettivo delle tue scansioni o le prove dei risultati nelle proprietà di analisi — quei dati vivono solo nel nostro database, protetti da sicurezza a livello di riga.
  • Non condividiamo i tuoi dati con terzi per il loro marketing.

Sub-responsabili

Ci affidiamo ai seguenti sub-responsabili per gestire FixVibe:

  • Vercel Inc. (USA) — hosting dell'applicazione e rete edge. Informativa privacy: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — database Postgres, autenticazione, archiviazione file, Realtime. Il database di produzione FixVibe si trova nella regione AWS us-east-1. Informativa privacy: supabase.com/privacy.
  • Stripe Inc. (USA) — elaborazione dei pagamenti per piani a pagamento. Informativa privacy: stripe.com/privacy.
  • Upstash, Inc. (USA, tramite Vercel Marketplace) — rate limiting basato su Redis; archivia solo contatori IP di breve durata. Informativa privacy: upstash.com/privacy.
  • PostHog Inc. (USA) — product analytics, solo se concedi il consenso alle analisi e solo quando le analisi sono configurate per il deployment che stai usando. Informativa privacy: posthog.com/privacy.
  • GitHub, Inc. (USA) — solo se colleghi l'integrazione GitHub facoltativa. Usiamo l'API di GitHub per leggere i repository per cui avvii scansioni. Informativa privacy: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — consegna di e-mail transazionali. Riceve il tuo indirizzo e-mail e il corpo del messaggio quando inviamo e-mail di scansione completata, scansione programmata, avviso di minaccia live e digest settimanale. Resend conserva metadati di consegna (timestamp, stato, record di bounce) per finalità operative; non inviamo mai e-mail di marketing tramite Resend. Informativa privacy: resend.com/legal/privacy-policy.

I trasferimenti di dati personali fuori dallo SEE/Regno Unito si basano sulle Clausole Contrattuali Standard della Commissione Europea (o sull'International Data Transfer Addendum del Regno Unito), integrate dalle misure di cifratura in transito e a riposo descritte in “Sicurezza” qui sotto.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

I tuoi diritti

Ai sensi di GDPR, UK GDPR e leggi equivalenti (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act ecc.), hai il diritto di:

  • accedere a una copia dei tuoi dati (puoi farlo in self-service da Account → Privacy);
  • far correggere i tuoi dati;
  • far eliminare i tuoi dati (anche in self-service);
  • opporti al trattamento basato su interessi legittimi;
  • revocare il consenso alle analisi in qualsiasi momento tramite ;
  • portabilità dei dati — il tuo export è in JSON;
  • presentare un reclamo alla tua autorità di controllo locale (UE/Regno Unito/SEE) o equivalente.

Rispondiamo alle richieste verificabili relative ai diritti entro 30 giorni. Per le richieste che non possiamo soddisfare in self-service (rettifica di un campo che non esponiamo, limitazione del trattamento, opposizione), invia un'e-mail a support@fixvibe.app con oggetto “Privacy request”.

Residenti in California (CCPA / CPRA)

Non vendiamo le tue informazioni personali. Non condividiamo informazioni personali per pubblicità comportamentale cross-context. Le analisi tramite PostHog vengono eseguite solo dopo che hai dato il consenso nel nostro banner cookie; puoi revocarlo in qualsiasi momento tramite o facendo clic su Le tue scelte privacy nel footer.

Se risiedi in California, hai anche il diritto di:

  • sapere quali informazioni personali raccogliamo, le fonti, le finalità e gli eventuali terzi con cui le condividiamo (tutto dettagliato sopra);
  • richiedere l'eliminazione delle tue informazioni personali (self-service da Account → Privacy o inviandoci un'e-mail);
  • correggere informazioni personali inesatte;
  • limitare l'uso e la divulgazione di informazioni personali sensibili — non ne raccogliamo oltre alle credenziali di autenticazione e ai metadati di sessione, entrambi necessari per fornire il servizio;
  • opporti alla vendita o alla condivisione — non applicabile, poiché non facciamo né l'una né l'altra;
  • non subire discriminazioni per aver esercitato uno dei diritti sopra indicati.

Rispettiamo automaticamente i segnali Global Privacy Control (GPC); l'invio di un header GPC tratta la tua visita come se avessi esplicitamente rifiutato qualsiasi futuro consenso alle analisi.

Sicurezza

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Nessun programma di sicurezza è perfetto. Se ritieni di aver trovato una vulnerabilità in FixVibe, segnalala a support@fixvibe.app.

Modifiche a questa informativa

Se apportiamo modifiche sostanziali — nuovi sub-responsabili, nuove categorie di dati, nuovi periodi di conservazione — aggiorneremo la data sopra e ti informeremo nell'app. Correzioni minori di formulazione non attivano una notifica.

Contatto

privacy@fixvibe.app — risposte di solito entro 5 giorni lavorativi, mai oltre i 30 giorni richiesti da GDPR Art. 12(3).

Informativa sulla privacy · FixVibe