개인정보 처리방침

FixVibe는 EGO HERO LLC가 운영하며, 이 정책에 설명된 개인 데이터의 데이터 컨트롤러예요(“저희”). GDPR, UK GDPR 또는 CCPA에 따른 데이터 주체 요청을 포함한 개인정보 관련 문의는 privacy@fixvibe.app로 연락해 주세요. 그 밖의 문의는 support@fixvibe.app로 보내 주세요.

• 계정 데이터

  이메일 주소, OAuth 식별자(Google 또는 GitHub로 로그인하는 경우), 그리고 OAuth 제공자로부터 받는 이름 정보. 회원님을 인증하고 계정 관련 연락을 드리는 데 사용해요. 계정이 활성 상태인 동안 보관돼요. 계정을 삭제하면 이 데이터는 30일 이내에 제거돼요. 단, 보관이 요구되는 경우(예: 세법상 청구 기록)는 제외돼요.

  법적 근거 · 계약 이행 — Art. 6(1)(b) GDPR

• 스캔 대상 및 발견 사항

  회원님이 스캔하는 URL, 저희가 해당 URL에 보내는 요청, 그리고 저희가 생성하는 발견 사항. 회원님의 조직에 연결되어 저장돼요. 저희는 요금제 보관 기간보다 오래된 기록을 자동으로 삭제해요: 30일(Hobby), 90일(Pro), 365일(Unlimited). 언제든지 계정 → 개인정보에서 스캔 기록을 내보내거나 삭제할 수 있어요.

  법적 근거 · 계약 이행 — Art. 6(1)(b) GDPR

• 익명 스캔 세션

  로그인하지 않고 스캔을 실행하면, 저희는 불투명한 무작위 ID를 담은 HMAC 서명 쿠키(fixvibe_anon_session, 24시간 수명)를 발급해요. 청구되지 않은 익명 스캔 기록은 24시간 후 자동으로 삭제돼요. 24시간 창 안에 가입하면 스캔이 새 계정으로 이전돼요. 익명 사용자가 가입하지 않는 한 저희는 그 사용자가 누구인지 알 수 없어요.

  법적 근거 · 엄격히 필요 — ePrivacy Art. 5(3) 면제

• 청구 데이터

  Stripe는 저희 결제 처리자예요. 카드 세부 정보는 Stripe가 PCI-DSS 인프라에 저장해요. 저희는 Stripe 고객 ID, 구독 상태, 요금제, 기간 시작/종료, 그리고 webhook 이벤트의 작은 멱등성 기록만 저장해요. Stripe의 개인정보 처리방침은 stripe.com/privacy에서 확인해 주세요.

  법적 근거 · 계약 이행 — Art. 6(1)(b) GDPR

• 서버 로그 및 감사 로그

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  법적 근거 · 정당한 이익 — Art. 6(1)(f) GDPR

• GitHub 통합(선택 사항, Pro+ 전용)

  계정 → 통합에서 GitHub 계정을 연결하면, 저희는 회원님의 조직을 위한 암호화된 OAuth 액세스 토큰, GitHub 로그인 + 숫자 사용자 ID, 부여된 scopes를 저장해요. 토큰은 회원님이 스캔을 시작한 리포지토리를 읽는 데만 사용해요. 소스 코드는 스캔별로 가져와 메모리에서 처리하고, 개별 발견 증거만 저장돼요(전체 소스 덤프는 저장하지 않아요). 연결 해제 후 30일 이내에 삭제돼요.

  법적 근거 · 계약 이행 / 동의 — Art. 6(1)(b) + 6(1)(a) GDPR

• API 토큰 + MCP 서버(선택 사항)

  계정 → API 토큰에서 생성하는 토큰은 SHA-256 해시, 식별을 위한 처음 8자의 평문 문자, 회원님이 지정한 이름, 생성/마지막 사용/취소 타임스탬프와 함께 저장돼요. 평문은 생성 시 정확히 한 번만 표시되며 저장되지 않아요. 토큰은 bearer 자격 증명이에요. 값을 가진 사람은 회원님이 취소할 때까지 회원님의 스캔을 읽고 새 스캔을 시작할 수 있어요. /api/mcp의 MCP 서버는 동일한 토큰으로 인증되고, 대시보드가 보여주는 것과 동일한 데이터를 노출하며, 별도의 데이터 범주를 만들지 않아요.

  법적 근거 · 계약 이행 — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  법적 근거 · Performance of contract — Art. 6(1)(b) GDPR

• 실시간 위협 탐지(선택 사항, Unlimited 전용)

  검증된 도메인에서 모니터링을 활성화한 경우, 저희는 해당 도메인의 인증서 투명성 로그 항목, DNS 기록, 위협 인텔리전스 목록(Spamhaus DBL, URLhaus)을 주기적으로 캡처해요. 이 스냅샷에는 회원님이 이미 스캔을 승인한 호스트명과 공개 조회의 공개 결과가 포함돼요. 회원님의 최종 사용자의 개인 데이터는 캡처하지 않아요. 7일보다 오래된 스냅샷은 자동으로 삭제되고, 신호 유형별 최신 기준선은 보관돼요.

  법적 근거 · 계약 이행 — Art. 6(1)(b) GDPR

• 예약 재스캔(선택 사항, Pro+ 전용)

  검증된 도메인에서 예약 스캔을 활성화하면, 저희는 주기, 마지막 실행 시간, 다음 실행 시간, 그리고 일정을 활성화한 사용자를 기록해요. cron으로 트리거되는 각 스캔은 도메인이 처음 검증될 때 이루어진 스캔 승인 확인을 상속해요 — 실행할 때마다 다시 확인하지 않아도 돼요. 언제든지 도메인 → 일정에서 비활성화할 수 있어요.

  법적 근거 · 계약 이행 — Art. 6(1)(b) GDPR

• 분석(선택 사항, 동의 필요)

  분석에 동의하고 회원님이 사용하는 배포에 분석이 구성되어 있다면, 저희는 개인정보를 존중하는 제품 분석 제공자(저희 자체 도메인을 통해 프록시됨)를 사용해 익명 사용 현황을 기록해요 — 어떤 버튼이 클릭되는지, 사람들이 어떤 검사를 실행하는지, 퍼널의 어느 지점에서 이탈하는지 등이에요. 회원님이 스캔하는 URL, 증거 내용 또는 개인 데이터를 분석 이벤트에 넣지 않아요. 언제든지 쿠키 설정에서 동의를 철회할 수 있어요.

  법적 근거 · 동의 — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• 프로모션 제안 청구

  프로모션 코드, 초대 링크 또는 추천 크레딧을 청구할 때, 캠페인 코드, 우리가 부여한 플랜과 기간, 체험 시작 및 종료 타임스탬프, 체험 이전에 가지고 있던 플랜, 그리고 청구 시점의 IP 주소의 HMAC-SHA256 해시를 저장합니다 (원시 IP는 절대 저장하지 않습니다 — 해시는 네트워크당 1회 청구 한도를 시행할 수 있도록 존재하며, 기본 HMAC 키를 회전하면 누구도 노출하지 않고 저장된 모든 해시를 무효화합니다). 회계 및 사기 조사 목적으로 캠페인의 수명에 18개월을 더한 기간 동안 보관된 후 캠페인 기록의 나머지와 함께 삭제됩니다.

  법적 근거 · 정당한 이익 (사기 방지, 회계) — GDPR 제6조 (1)(f)

• 콘테스트, 추첨 및 챌린지

  FixVibe 챌린지(예: Security Preflight Challenge)에 참가하는 경우, 제출하신 연락 이메일(우승 시 연락할 수 있도록 필요), 선택적으로 제공하는 Reddit 및 Product Hunt 사용자명, 스캔 ID 및 루트 도메인, 선택적으로 제공하는 자체 보고된 프로젝트 유형, 스택 및 내가-배운-한-가지 텍스트, 선택적으로 선택하는 발견 채널 값, 그리고 수락하는 세 가지 필수 동의 체크박스(권한, 규칙, 연락)를 저장합니다. 선택적인 마케팅에-소개 동의를 별도로 체크하면, FixVibe 홈페이지, 챌린지 페이지 또는 요약 게시물에 공개 점수, 등급, 스택, 사용자명 및 제출된 인용문을 표시할 수 있습니다 — 다른 필드는 절대 없으며 그 옵트인 없이는 절대 없습니다. 챌린지 참가는 검증 및 분쟁 목적으로 챌린지의 수명에 18개월을 더한 기간 동안 보관됩니다. privacy@fixvibe.app로 이메일을 보내 언제든지 마케팅에-소개 동의를 철회할 수 있습니다; 철회는 철회 이전의 합법적인 처리에 영향을 미치지 않습니다.

  법적 근거 · 계약의 이행 (챌린지 운영) 및 동의 (소개) — GDPR 제6조 (1)(b) 및 6조 (1)(a)

• 저희는 회원님의 데이터를 절대 판매하지 않아요.
• 제3자 ad-tech, fingerprinting 또는 session-replay 스크립트를 삽입하지 않아요.
• 회원님의 스캔 대상 URL이나 발견 증거를 분석 속성에 넣지 않아요 — 해당 데이터는 행 수준 보안으로 보호되는 저희 데이터베이스에만 있어요.
• 제3자의 자체 마케팅을 위해 회원님의 데이터를 공유하지 않아요.

FixVibe 운영을 위해 다음 하위 처리자를 사용해요:

• Vercel Inc.(미국) — 애플리케이션 호스팅 및 엣지 네트워크. 개인정보 처리방침: vercel.com/legal/privacy-policy.
• Supabase Inc.(미국) — Postgres 데이터베이스, 인증, 파일 저장소, Realtime. FixVibe 프로덕션 데이터베이스는 AWS us-east-1 리전에 있어요. 개인정보 처리방침: supabase.com/privacy.
• Stripe Inc.(미국) — 유료 요금제 결제 처리. 개인정보 처리방침: stripe.com/privacy.
• Upstash, Inc.(미국, Vercel Marketplace 경유) — Redis 기반 rate limiting; 단기 IP 기반 카운터만 저장해요. 개인정보 처리방침: upstash.com/privacy.
• PostHog Inc.(미국) — 제품 분석. 회원님이 분석 동의를 허용하고 사용하는 배포에 분석이 구성된 경우에만 사용돼요. 개인정보 처리방침: posthog.com/privacy.
• GitHub, Inc.(미국) — 선택 사항인 GitHub 통합을 연결한 경우에만 사용돼요. 저희는 GitHub의 API를 사용해 회원님이 스캔을 시작한 리포지토리를 읽어요. 개인정보 처리방침: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc.(미국) — 트랜잭션 이메일 전송. 저희가 스캔 완료, 예약 스캔, 실시간 위협 알림, 주간 요약 이메일을 보낼 때 Resend는 회원님의 이메일 주소와 이메일 본문을 받아요. Resend는 운영 목적을 위해 전송 메타데이터(타임스탬프, 상태, 반송 기록)를 보관해요. 저희는 Resend를 통해 마케팅 이메일을 보내지 않아요. 개인정보 처리방침: resend.com/legal/privacy-policy.

EEA/영국 외부로의 개인 데이터 이전은 유럽연합 집행위원회의 표준 계약 조항(또는 영국의 International Data Transfer Addendum)에 의존하며, 아래 “보안”에 설명된 전송 중 암호화 및 저장 시 암호화 조치로 보완돼요.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR, UK GDPR 및 이에 준하는 법률(CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act 등)에 따라 회원님은 다음 권리를 가져요:

• 데이터 사본에 접근할 권리(계정 → 개인정보에서 셀프서비스로 가능해요);
• 데이터를 정정할 권리;
• 데이터를 삭제할 권리(이 또한 셀프서비스로 가능해요);
• 정당한 이익에 근거한 처리에 반대할 권리;
• 언제든지 쿠키 설정에서 분석 동의를 철회할 권리;
• 데이터 이동권 — 내보내기는 JSON 형식이에요;
• 현지 감독기관(EU/영국/EEA) 또는 이에 준하는 기관에 불만을 제기할 권리.

저희는 검증 가능한 권리 요청에 30일 이내에 응답해요. 셀프서비스로 처리할 수 없는 요청(노출하지 않는 필드의 정정, 처리 제한, 반대)의 경우 제목을 “Privacy request”로 하여 support@fixvibe.app로 이메일을 보내 주세요.

저희는 회원님의 개인 정보를 판매하지 않아요. 교차 맥락 행동 광고를 위해 개인 정보를 공유하지도 않아요. PostHog를 통한 분석은 회원님이 쿠키 배너에서 동의한 후에만 실행돼요. 언제든지 쿠키 설정에서 동의를 철회하거나, 푸터의 개인정보 선택사항을 클릭할 수 있어요.

캘리포니아 거주자인 경우 다음 권리도 있어요:

• 저희가 수집하는 개인 정보, 출처, 목적, 공유하는 제3자를 알 권리(위에 모두 자세히 설명되어 있어요);
• 개인 정보 삭제를 요청할 권리(계정 → 개인정보에서 셀프서비스로 또는 이메일로 요청);
• 부정확한 개인 정보를 정정할 권리;
• 민감한 개인 정보의 사용 및 공개를 제한할 권리 — 저희는 서비스 제공에 필요한 인증 자격 증명과 세션 메타데이터 외에는 수집하지 않아요;
• 판매 또는 공유를 거부할 권리 — 저희는 둘 다 하지 않으므로 해당하지 않아요;
• 위 권리를 행사했다는 이유로 차별받지 않을 권리.

저희는 Global Privacy Control(GPC) 신호를 자동으로 존중해요. GPC 헤더를 보내면, 회원님의 방문은 향후 분석 동의에 대해 명시적으로 거부한 것으로 처리돼요.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

완벽한 보안 프로그램은 없어요. FixVibe에서 취약점을 발견했다고 생각되면 support@fixvibe.app로 신고해 주세요.

중요한 변경 사항(새 하위 처리자, 새 데이터 범주, 새 보관 기간 등)이 생기면 위 날짜를 업데이트하고 앱 내에서 알려드릴 거예요. 사소한 문구 수정은 알림을 발생시키지 않아요.

privacy@fixvibe.app — 보통 영업일 기준 5일 이내에 답변하며, GDPR Art. 12(3)이 요구하는 30일을 넘기지 않아요.