FixVibe

// dateschutz

Dateschutzrichtlinn

lescht aktualiséiert · 2026-05-17

Wien mir sinn

FixVibe gëtt vun EGO HERO LLC bedriwwen (“mir”, “eis”), dem Datecontroller fir déi perséinlech Donnéeën, déi an dëser Richtlinn beschriwwe sinn. Fir Dateschutzfroen, inklusiv Ufroe vun Datasubjekter ënner GDPR, UK GDPR oder CCPA, kontaktéier privacy@fixvibe.app. Fir alles anescht, schreif un support@fixvibe.app.

Wat mir sammelen, firwat, a wéi laang mir et halen

  • Kontodonnéeën

    E-Mail-Adress, OAuth Identifizéierer (wann s du dech mat Google oder GitHub umells) an all Numm, dee mir vun dengem OAuth Provider kréien. Benotzt fir dech ze authentifizéieren an dech iwwer däi Kont ze kontaktéieren. Gespäichert soulaang däi Kont aktiv ass. Wann s du däi Kont läschs, ginn dës Donnéeën bannent 30 Deeg ewechgeholl, ausser wou mir se musse behalen (z. B. Rechnungsrecords ënner Steiergesetz).

    legal Basis · Ausféierung vum Vertrag — Art. 6(1)(b) GDPR

  • Scanziler a Funde

    D’URLen déi s du scanns, d’Ufroen déi mir un dës URLe maachen, an d’Funde déi mir produzéieren. Gespäichert géint deng Organisatioun. Mir läschen automatesch Records, déi méi al si wéi d’Retentiounsfenster vun dengem Plang: 30 Deeg (Hobby), 90 Deeg (Pro), 365 Deeg (Unlimited). Du kanns deng Scangeschicht zu all Zäit aus Kont → Privatsphär exportéieren oder läschen.

    legal Basis · Ausféierung vum Vertrag — Art. 6(1)(b) GDPR

  • Anonym Scansessiounen

    Wann s du e Scan ouni Umeldung ausféiers, gi mir e mat HMAC ënnerschriwwene Cookie aus (fixvibe_anon_session, 24-Stonnen-Liewensdauer), deen eng opaak zoufälleg ID enthält. Mir läschen net revendiquéiert anonym Scanrecords automatesch no 24 Stonnen. Wann s du dech bannent där 24-Stonnen-Fënster registréiers, wandert däi Scan an däin neie Kont. Mir wëssen net, wien anonym Benotzer sinn, ausser si registréiere sech.

    legal Basis · Streng noutwendeg — ePrivacy Art. 5(3) Ausnam

  • Rechnungsdonnéeën

    Stripe ass eise Bezuelungsprocessor. Si späicheren deng Kaartendetailer op PCI-DSS Infrastruktur; mir späicheren nëmmen eng Stripe Customer ID, Abonnementsstatus, Plang, Periodufank/-enn an e klenge Idempotenzrecord vu webhook Events. Kuck d’Dateschutzerklärung vu Stripe op stripe.com/privacy.

    legal Basis · Ausféierung vum Vertrag — Art. 6(1)(b) GDPR

  • Serverlogs an Auditlogs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    legal Basis · Legitimen Interessi — Art. 6(1)(f) GDPR

  • GitHub Integratioun (optional, nëmme Pro+)

    Wann s du e GitHub Kont iwwer Kont → Integratiounen verbënns, späichere mir en verschlësselten OAuth access token fir deng Organisatioun, däi GitHub login + numeresch User ID an déi zougestane scopes. Mir benotzen den token nëmme fir Repositorien ze liesen, géint déi s du Scans start. Quellcode gëtt pro Scan ofgeruff, am Memory verschafft, an nëmmen eenzel Fundbeweiser ginn erhalen (keng komplett Source Dumps). Bannent 30 Deeg nom Trennen geläscht.

    legal Basis · Ausféierung vum Vertrag / Zoustëmmung — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP Server (optional)

    Tokens déi s du bei Kont → API tokens erstellst, ginn als SHA-256 hash, déi éischt 8 plaintext Zeechen (fir Identifikatioun), den Numm deen s du ginn hues, plus erstallt/lescht-benotzt/zréckgezunn Zäitstempelen gespäichert. De plaintext gëtt dir genee eemol beim Erstelle gewisen a ni gespäichert. Tokens si bearer credentials: jiddereen, deen de Wäert huet, kann deng Scans liesen an nei starten, bis s du se zréckzitts. De MCP Server op /api/mcp gëtt mat de selwechten Tokens authentifizéiert, stellt déi selwecht Donnéeën zur Verfügung wéi den Dashboard, a schaaft keng separat Datekategorie.

    legal Basis · Ausféierung vum Vertrag — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    legal Basis · Performance of contract — Art. 6(1)(b) GDPR

  • Live Bedroungserkennung (optional, nëmme Unlimited)

    Wann s du Monitoring op enger verifizéierter Domain aktivéiert hues, erfaasse mir periodesch certificate-transparency Logeinträg, DNS Records an threat-intel Listings (Spamhaus DBL, URLhaus) fir déi Domain. Dës Snapshots enthalen Hostnamen, déi s du eis scho autoriséiert hues ze scannen, an déi ëffentlech Resultater vun ëffentlechen Lookups. Keng perséinlech Donnéeë vun denge Endbenotzer ginn erfaasst. Snapshots méi al wéi 7 Deeg ginn automatesch geläscht; déi rezentst Baseline gëtt pro Signaltyp erhalen.

    legal Basis · Ausféierung vum Vertrag — Art. 6(1)(b) GDPR

  • Geplangte Réiscans (optional, nëmme Pro+)

    Wann s du geplangte Scans op enger verifizéierter Domain aktivéiers, späichere mir d’Kadenz, lescht Lafzäit, nächst Lafzäit a wéi ee Benotzer de Plang aktivéiert huet. All duerch cron ausgeléiste Scan ierft d’Attestatioun fir d’Autorisatioun-ze-scannen, déi gemaach gouf wéi d’Domain fir d’éischt verifizéiert gouf — du attestéiers net pro Laf nei. Zu all Zäit ausschalten iwwer Domains → Schedule.

    legal Basis · Ausféierung vum Vertrag — Art. 6(1)(b) GDPR

  • Analytik (optional, mat Zoustëmmung)

    Wann s du Analytik-Zoustëmmung ginn hues a mir Analytik fir déi Deployment konfiguréiert hunn, déi s du benotz, benotze mir e privatsphärfrëndleche Produktanalytikprovider (iwwer eis eege Domain proxied) fir anonym Notzung opzezeechnen — wéi eng Knäppercher geklickt ginn, wéi eng Checks d’Leit lafen, wou Benotzer am Funnel ofsprangen. Mir setzen d’URLen déi s du scanns, Beweisinhalt oder perséinlech Donnéeën net an Analytikevents. Zoustëmmung zu all Zäit iwwer zréckzéien.

    legal Basis · Zoustëmmung — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Beanspruchung vum Promotiouns-Offer

    Wann Dir e Promo-Code, Invitatiouns-Link oder Empfehlungskredit aléist, späichere mir de Kampagnencode, de Plang an d'Dauer, déi mir gewährt hunn, d'Tester-Ufank- an Enn-Zäitstempel, de Plang, deen Dir virun der Tester hat, an en HMAC-SHA256-Hash vun Ärer IP-Adress am Moment vun der Beanspruchung (mir späicheren ni déi roh IP — den Hash existéiert nëmmen, fir datt mir d'Eent-Beanspruchung-pro-Reseau-Limiten ëmsetze kënnen, an d'Rotéiere vum ënnerléinte HMAC-Schlëssel mécht all gespäichert Hashen ongëlteg, ouni iergendeen ze exposéieren). Behale fir d'Liewen vun der Kampagne plus 18 Méint fir Comptabilitéits- a Bedruchsermëttlungszwecker, da geläscht mam Rescht vum Kampagnerekord.

    legal Basis · Legitimt Interessi (Bedruchspräventioun, Comptabilitéit) — Art. 6(1)(f) GDPR

  • Concouren, Sweepstakes a Challenge

    Wann Dir un enger FixVibe-Challenge matmaacht (wéi d'Sécherheets-Preflight-Challenge), späichere mir d'Kontakt-E-Mail, déi Dir aginn hutt (erfuerderlech, fir datt mir Iech kontaktéiere kënnen, falls Dir gewënnt), d'Reddit- a Product Hunt-Benotzernimm, déi Dir optional ugitt, Är Scan ID an Root-Domain, de selwer gerapportéierten Projettyp, Stack an Eng-Saach-déi-ech-geléiert-hunn-Text, déi Dir optional ugitt, den Entdeckungskanal-Wäert, deen Dir optional auswielt, an déi dräi erfuerderlech Zoustëmmungs-Checkboxen, déi Dir akzeptéiert (Autorisatioun, Reegelen, Kontakt). Wann Dir getrennt déi optional featured-on-marketing-Zoustëmmung markéiert, kënne mir Är ëffentlech Punktzuel, Bewäertung, Stack, Benotzernumm an agereecht Zitat op der FixVibe-Homepage, op der Challenge-Säit oder am Recap-Post weisen — ni iergendee anert Feld, an ni ouni dës Opt-in. Challenge-Aschreiwunge gi fir d'Liewen vun der Challenge plus 18 Méint fir Verifikatiouns- a Stretzwecker behalen. Dir kënnt d'featured-on-marketing-Zoustëmmung zu all Moment widerrufen, andeems Dir privacy@fixvibe.app uschreift; d'Widerrufung beaflosst keng gesetzlech Veraarbechtung virun der Widerrufung.

    legal Basis · Ausféierung vum Kontrakt (Lafe vun der Challenge) an Zoustëmmung (feature) — Art. 6(1)(b) a 6(1)(a) GDPR

Wat mir NET sammelen

  • Mir verkafen deng Donnéeën ni.
  • Mir bauen keng Drëttpartei ad-tech, fingerprinting oder session-replay Scripts an.
  • Mir setzen deng Scanzil-URLen oder Fundbeweiser net an Analytikproperties — déi Donnéeë liewen nëmmen an eiser Datebank, ofgeséchert duerch row-level security.
  • Mir deelen deng Donnéeën net mat Drëttparteie fir hiren eegene Marketing.

Sub-processors

Mir verloossen eis op déi folgend Sub-processors fir FixVibe ze bedreiwen:

  • Vercel Inc. (USA) — Applikatiounshosting an edge network. Dateschutzerklärung: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres Datebank, Authentifikatioun, Dateilagerung, Realtime. D’FixVibe Produktiounsdatebank ass an der AWS us-east-1 Regioun. Dateschutzerklärung: supabase.com/privacy.
  • Stripe Inc. (USA) — Bezuelungsveraarbechtung fir bezuelte Pläng. Dateschutzerklärung: stripe.com/privacy.
  • Upstash, Inc. (USA, iwwer de Vercel Marketplace) — Redis-backed rate limiting; späichert nëmme kuerz-lieweg IP-baséiert Zähler. Dateschutzerklärung: upstash.com/privacy.
  • PostHog Inc. (USA) — Produktanalytik, nëmme wann s du Analytik-Zoustëmmung gëss an nëmme wann Analytik fir déi Deployment konfiguréiert ass, déi s du benotz. Dateschutzerklärung: posthog.com/privacy.
  • GitHub, Inc. (USA) — nëmme wann s du déi optional GitHub Integratioun verbënns. Mir benotzen d’GitHub API fir Repositorien ze liesen, géint déi s du Scans start. Dateschutzerklärung: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — Transaktiouns-E-Mail-Liwwerung. Kritt deng E-Mail-Adress an de Kierper vun der E-Mail wann mir scan-completed, scheduled-scan, live-threat alert a weekly-digest E-Maile schécken. Resend behält Liwwermetadonnéeën (Zäitstempelen, Status, bounce Records) fir operationell Zwecker; mir schécken ni Marketing-E-Mail iwwer Resend. Dateschutzerklärung: resend.com/legal/privacy-policy.

Transferte vu perséinlechen Donnéeën ausserhalb vun der EEA/UK stäipe sech op d’Standard Contractual Clauses vun der Europäescher Kommissioun (oder den UK International Data Transfer Addendum), ergänzt duerch d’Verschlësselung-am-Transport an d’Verschlësselung-am-Rescht Moossnamen, déi ënner “Sécherheet” hei ënnen beschriwwe sinn.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Deng Rechter

Ënner GDPR, UK GDPR an equivalente Gesetzer (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act etc.) hues du d’Recht:

  • op eng Kopie vun denge Donnéeën zouzegräifen (dat kanns du self-serve iwwer Kont → Privatsphär maachen);
  • deng Donnéeë korrigéieren ze loossen;
  • deng Donnéeë läschen ze loossen (och self-serve);
  • géint Veraarbechtung op Basis vu legitimen Interessen anzewennen;
  • Zoustëmmung fir Analytik zu all Zäit iwwer zréckzezéien;
  • Dateportabilitéit — däin Export ass am JSON;
  • eng Plainte bei denger lokaler Opsiichtsautoritéit (EU/UK/EEA) oder engem Equivalent anzereechen.

Mir äntweren op verifizéierbar Rechterufroen bannent 30 Deeg. Fir Ufroen, déi mir net iwwer self-serve erfëlle kënnen (Rectifikatioun vun engem Feld dat mir net weisen, Beschränkung vun der Veraarbechtung, Widdersproch), schéck eng E-Mail un support@fixvibe.app mat der Betreffzeil “Dateschutzufro”.

Awunner vu Kalifornien (CCPA / CPRA)

Mir verkafen deng perséinlech Informatioun net. Mir deelen keng perséinlech Informatioun fir iwwerkontextuell Verhalensreklamm. Analytik iwwer PostHog leeft nëmmen nodeems s du Zoustëmmung an eisem Cookie-Banner ginn hues; du kanns dës Zoustëmmung zu all Zäit iwwer zréckzéien oder andeems s du am Foussberäich op Deng Privatsphärwahlen klicks.

Wann s du Awunner vu Kalifornien bass, hues du och d’Recht:

  • ze wëssen, wéi eng perséinlech Informatioun mir sammelen, d’Quellen, d’Zwecker an all Drëttparteien, mat deene mir se deelen (alles uewen detailléiert);
  • d’Läsche vun denger perséinlecher Informatioun unzefroen (self-serve iwwer Kont → Privatsphär oder per E-Mail un eis);
  • ongenee perséinlech Informatioun ze korrigéieren;
  • d’Benotzung an d’Verëffentlechung vu sensibler perséinlecher Informatioun ze limitéieren — mir sammelen näischt iwwer Authentifikatiounscredentials a Sessiounsmetadonnéeën eraus, déi allebéid néideg sinn fir de Service ze bidden;
  • aus Verkaf oder Deele auszesteigen — net uwendbar, well mir weder dat eent nach dat anert maachen;
  • net diskriminéiert ze ginn, well s du ee vun deenen uewe genannten ausüübs.

Mir respektéieren Global Privacy Control (GPC) Signaler automatesch; eng GPC header ze schécken behandelt däi Besuch esou, wéi wann s du ausdrécklech all zukünfteg Analytik-Zoustëmmung refuséiert häss.

Sécherheet

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Kee Sécherheetsprogramm ass perfekt. Wann s du mengs eng Schwachstell am FixVibe fonnt ze hunn, mell se w.e.g. un support@fixvibe.app.

Ännerunge vun dëser Richtlinn

Wann mir materiell Ännerunge maachen — nei Sub-processors, nei Datekategorien, nei Retentiounsperioden — aktualiséiere mir den Datum hei uewen an informéieren dech an der App. Kleng Formuléierungsfixe léise keng Notifikatioun aus.

Kontakt

privacy@fixvibe.app — Äntwerten normalerweis bannent 5 Aarbechtsdeeg, ni méi laang wéi 30 Deeg wéi vum GDPR Art. 12(3) verlaangt.

Dateschutzrichtlinn · FixVibe