FixVibe

// privacy

Privatumo politika

paskutinį kartą atnaujinta · 2026-05-17

Kas mes esame

FixVibe valdo EGO HERO LLC („mes“, „mus“), duomenų valdytojas, atsakingas už šioje politikoje aprašytus asmens duomenis. Dėl privatumo klausimų, įskaitant duomenų subjektų prašymus pagal GDPR, UK GDPR arba CCPA, kreipkis į privacy@fixvibe.app. Visais kitais klausimais rašyk support@fixvibe.app.

Ką renkame, kodėl ir kiek laiko saugome

  • Paskyros duomenys

    El. pašto adresas, OAuth identifikatorius (jei prisijungi su Google arba GitHub) ir bet koks vardas, kurį gauname iš tavo OAuth teikėjo. Naudojama tave autentifikuoti ir susisiekti dėl paskyros. Saugoma, kol tavo paskyra aktyvi. Kai ištrini paskyrą, šie duomenys pašalinami per 30 dienų, išskyrus atvejus, kai privalome juos saugoti (pvz., atsiskaitymo įrašus pagal mokesčių teisę).

    teisinis pagrindas · Sutarties vykdymas — Art. 6(1)(b) GDPR

  • Skenavimo taikiniai ir radiniai

    URL, kuriuos skenuoji, užklausos, kurias siunčiame tiems URL, ir radiniai, kuriuos sukuriame. Saugoma prie tavo organizacijos. Automatiškai ištriname įrašus, senesnius nei tavo plano saugojimo langas: 30 dienų (Hobby), 90 dienų (Pro), 365 dienos (Unlimited). Skenavimo istoriją gali bet kada eksportuoti arba ištrinti iš Account → Privacy.

    teisinis pagrindas · Sutarties vykdymas — Art. 6(1)(b) GDPR

  • Anoniminės skenavimo sesijos

    Jei paleidi skenavimą neprisijungęs, išduodame HMAC pasirašytą cookie (fixvibe_anon_session, 24 valandų galiojimas) su nepermatomu atsitiktiniu ID. Neperimtus anoniminių skenavimų įrašus automatiškai ištriname po 24 valandų. Jei prisiregistruoji per 24 valandų langą, tavo skenavimas perkeliamas į naują paskyrą. Nežinome, kas yra anoniminiai naudotojai, kol jie neprisiregistruoja.

    teisinis pagrindas · Griežtai būtina — ePrivacy Art. 5(3) exemption

  • Atsiskaitymo duomenys

    Stripe yra mūsų mokėjimų tvarkytojas. Jie saugo tavo kortelės duomenis PCI-DSS infrastruktūroje; mes saugome tik Stripe kliento ID, prenumeratos būseną, planą, laikotarpio pradžią ir pabaigą bei nedidelį webhook įvykių idempotentiškumo įrašą. Stripe privatumo pranešimą rasi stripe.com/privacy.

    teisinis pagrindas · Sutarties vykdymas — Art. 6(1)(b) GDPR

  • Serverio žurnalai ir audito žurnalai

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    teisinis pagrindas · Teisėtas interesas — Art. 6(1)(f) GDPR

  • GitHub integracija (pasirenkama, tik Pro+)

    Jei prijungi GitHub paskyrą iš Account → Integrations, saugome užšifruotą OAuth prieigos tokeną tavo organizacijai, tavo GitHub prisijungimo vardą + skaitinį naudotojo ID ir suteiktas scopes. Tokeną naudojame tik skaityti saugykloms, prieš kurias pats inicijuoji skenavimus. Pirminis kodas paimamas kiekvienam skenavimui, apdorojamas atmintyje, o išsaugomi tik atskiri radinio įrodymai (be pilnų pirminio kodo kopijų). Ištrinama per 30 dienų nuo atjungimo.

    teisinis pagrindas · Sutarties vykdymas / sutikimas — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokenai + MCP serveris (pasirenkama)

    Tokenai, kuriuos sukuri Account → API tokens, saugomi kaip SHA-256 hash, pirmi 8 atviro teksto simboliai (identifikavimui), tavo suteiktas pavadinimas ir sukūrimo, paskutinio naudojimo bei atšaukimo laiko žymos. Atviras tekstas parodomas tik vieną kartą sukūrimo metu ir niekada neišsaugomas. Tokenai yra bearer credentials: kiekvienas, turintis vertę, gali skaityti tavo skenavimus ir pradėti naujus, kol tokeną atšauksi. MCP serveris adresu /api/mcp autentifikuojamas tais pačiais tokenais, rodo tuos pačius duomenis kaip dashboard ir nesukuria atskiros duomenų kategorijos.

    teisinis pagrindas · Sutarties vykdymas — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    teisinis pagrindas · Performance of contract — Art. 6(1)(b) GDPR

  • Tiesioginis grėsmių aptikimas (pasirenkama, tik Unlimited)

    Jei patvirtintame domene įjungtas monitoringas, periodiškai užfiksuojame to domeno certificate-transparency žurnalų įrašus, DNS įrašus ir threat-intel sąrašus (Spamhaus DBL, URLhaus). Šiose momentinėse kopijose yra hostnames, kuriuos jau įgaliojai mus skenuoti, ir viešų užklausų vieši rezultatai. Tavo galutinių naudotojų asmens duomenys nefiksuojami. Senesnės nei 7 dienų momentinės kopijos automatiškai ištrinamos; kiekvienam signalo tipui saugoma naujausia bazinė reikšmė.

    teisinis pagrindas · Sutarties vykdymas — Art. 6(1)(b) GDPR

  • Suplanuoti pakartotiniai skenavimai (pasirenkama, tik Pro+)

    Jei įjungi suplanuotus skenavimus patvirtintame domene, įrašome periodiškumą, paskutinio paleidimo laiką, kito paleidimo laiką ir naudotoją, kuris įjungė tvarkaraštį. Kiekvienas cron paleistas skenavimas paveldi authorization-to-scan patvirtinimą, pateiktą pirmą kartą patvirtinant domeną — kiekvienam paleidimui iš naujo patvirtinti nereikia. Bet kada išjunk per Domains → Schedule.

    teisinis pagrindas · Sutarties vykdymas — Art. 6(1)(b) GDPR

  • Analitika (pasirenkama, tik su sutikimu)

    Jei suteiki analitikos sutikimą ir analitika sukonfigūruota naudojamam diegimui, naudojame privatumą gerbiantį produkto analitikos teikėją (proxied per mūsų pačių domeną), kad įrašytume anoniminį naudojimą — kurie mygtukai spaudžiami, kokius patikrinimus žmonės paleidžia, kur piltuvėlyje naudotojai atkrenta. URL, kuriuos skenuoji, įrodymų turinio ar asmens duomenų į analitikos įvykius nededame. Sutikimą bet kada atšauk per .

    teisinis pagrindas · Sutikimas — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Reklaminio pasiūlymo gavimas

    Kai gaunate reklamos kodą, pakvietimo nuorodą ar rekomendacinį kreditą, mes saugome kampanijos kodą, planą ir trukmę, kurią suteikėme, bandymo pradžios ir pabaigos laiko žymas, planą, kurį turėjote prieš bandymą, ir HMAC-SHA256 maišą Jūsų IP adreso gavimo metu (mes niekada nesaugome neapdoroto IP — maiša egzistuoja tik tam, kad galėtume vykdyti vieno-gavimo-vienam-tinklui apribojimus, o pagrindinio HMAC rakto sukimas panaikina visas saugomas maišas neatskleidžiant nieko). Saugoma kampanijos gyvavimo laikotarpiu plius 18 mėnesių apskaitos ir sukčiavimo tyrimo tikslais, tada ištrinama kartu su likusiu kampanijos įrašu.

    teisinis pagrindas · Teisėtas interesas (sukčiavimo prevencija, apskaita) — BDAR 6 str. 1 d. f p.

  • Konkursai, loterijos ir iššūkiai

    Jei dalyvaujate FixVibe iššūkyje (pvz., Saugumo Preflight iššūkyje), mes saugome Jūsų pateiktą kontaktinį el. paštą (būtinas, kad galėtume su Jumis susisiekti, jei laimėsite), Reddit ir Product Hunt vartotojų vardus, kuriuos neprivalomai pateikiate, Jūsų skenavimo ID ir pagrindinį domeną, savarankiškai pranešamą projekto tipą, technologijų rinkinį ir vieno-dalyko-kurį-išmokau tekstą, kuriuos neprivalomai pateikiate, atradimo kanalo reikšmę, kurią neprivalomai pasirenkate, ir tris privalomus sutikimo žymėjimus, su kuriais sutinkate (įgaliojimas, taisyklės, kontaktas). Jei atskirai pažymite neprivalomą pristatymo-rinkodaroje sutikimą, mes galime rodyti Jūsų viešą rezultatą, įvertinimą, technologijų rinkinį, vartotojo vardą ir pateiktą citatą FixVibe pagrindiniame puslapyje, iššūkio puslapyje ar apžvalginiame įraše — niekada jokio kito lauko ir niekada be to sutikimo. Iššūkio paraiškos saugomos Iššūkio gyvavimo laikotarpiu plius 18 mėnesių patvirtinimo ir ginčų tikslais. Bet kuriuo metu galite atšaukti pristatymo-rinkodaroje sutikimą rašydami privacy@fixvibe.app; atšaukimas nepaveikia teisėto duomenų tvarkymo prieš atšaukimą.

    teisinis pagrindas · Sutarties vykdymas (Iššūkio rengimas) ir sutikimas (pristatymas) — BDAR 6 str. 1 d. b ir 6 str. 1 d. a p.

Ko NERENKAME

  • Niekada neparduodame tavo duomenų.
  • Nediegiame trečiųjų šalių ad-tech, fingerprinting ar session-replay scripts.
  • Nededame tavo skenavimo taikinių URL ar radinių įrodymų į analitikos savybes — šie duomenys gyvena tik mūsų duomenų bazėje, apsaugoti row-level security.
  • Nesidaliname tavo duomenimis su trečiosiomis šalimis jų pačių rinkodarai.

Sub-processors

FixVibe veikimui remiamės šiais sub-processors:

  • Vercel Inc. (USA) — programos talpinimas ir edge network. Privacy notice: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. FixVibe production database yra AWS us-east-1 regione. Privacy notice: supabase.com/privacy.
  • Stripe Inc. (USA) — mokėjimų apdorojimas mokamiems planams. Privacy notice: stripe.com/privacy.
  • Upstash, Inc. (USA, via the Vercel Marketplace) — Redis-backed rate limiting; saugo tik trumpalaikius IP pagrįstus skaitiklius. Privacy notice: upstash.com/privacy.
  • PostHog Inc. (USA) — produkto analitika, tik jei suteiki analitikos sutikimą ir tik kai analitika sukonfigūruota naudojamam diegimui. Privacy notice: posthog.com/privacy.
  • GitHub, Inc. (USA) — tik jei prijungi pasirenkamą GitHub integraciją. Naudojame GitHub API skaityti saugykloms, prieš kurias inicijuoji skenavimus. Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — transakcinių el. laiškų pristatymas. Gauna tavo el. pašto adresą ir el. laiško turinį, kai siunčiame scan-completed, scheduled-scan, live-threat alert ir weekly-digest el. laiškus. Resend operaciniais tikslais saugo pristatymo metaduomenis (timestamps, status, bounce records); per Resend niekada nesiunčiame rinkodaros el. laiškų. Privacy notice: resend.com/legal/privacy-policy.

Asmens duomenų perdavimai už EEE/UK ribų remiasi European Commission Standard Contractual Clauses (arba UK International Data Transfer Addendum), papildytais encryption-in-transit ir encryption-at-rest priemonėmis, aprašytomis žemiau skiltyje „Security“.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Tavo teisės

Pagal GDPR, UK GDPR ir lygiaverčius įstatymus (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act ir kt.) turi teisę:

  • gauti savo duomenų kopiją (tai gali padaryti savarankiškai iš Account → Privacy);
  • pataisyti savo duomenis;
  • ištrinti savo duomenis (taip pat savitarna);
  • prieštarauti tvarkymui, grindžiamam teisėtais interesais;
  • bet kada atšaukti analitikos sutikimą per ;
  • duomenų perkeliamumas — tavo eksportas pateikiamas JSON;
  • pateikti skundą vietos priežiūros institucijai (EU/UK/EEA) arba lygiavertei institucijai.

Į patikrinamus teisių prašymus atsakome per 30 dienų. Dėl prašymų, kurių negalime patenkinti savitarna (lauko, kurio nerodome, ištaisymas, tvarkymo apribojimas, prieštaravimas), rašyk support@fixvibe.app su temos eilute „Privacy request“.

California gyventojai (CCPA / CPRA)

Mes neparduodame tavo asmeninės informacijos. Nesidaliname asmenine informacija skirtingų kontekstų elgsenos reklamai. Analitika per PostHog veikia tik po to, kai suteiki sutikimą mūsų cookie banner; tą sutikimą gali bet kada atšaukti per arba spustelėjęs Your Privacy Choices poraštėje.

Jei esi California gyventojas, taip pat turi teisę:

  • žinoti, kokią asmeninę informaciją renkame, šaltinius, tikslus ir bet kurias trečiąsias šalis, su kuriomis ja dalijamės (visa tai išsamiai aprašyta aukščiau);
  • prašyti ištrinti tavo asmeninę informaciją (savitarnos būdu per Account → Privacy arba parašius mums el. paštu);
  • ištaisyti netikslią asmeninę informaciją;
  • apriboti neskelbtinos asmeninės informacijos naudojimą ir atskleidimą — nerenkame nieko daugiau nei autentifikavimo kredencialus ir sesijos metaduomenis, kurių reikia paslaugai teikti;
  • atsisakyti pardavimo ar dalijimosi — netaikoma, nes nedarome nei vieno, nei kito;
  • nebūti diskriminuojamas už bet kurios iš pirmiau nurodytų teisių įgyvendinimą.

Automatiškai gerbiame Global Privacy Control (GPC) signalus; GPC header siuntimas reiškia, kad tavo apsilankymą laikome aiškiu atsisakymu nuo bet kokio būsimo analitikos sutikimo.

Security

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Jokia saugumo programa nėra tobula. Jei manai, kad radai FixVibe pažeidžiamumą, pranešk apie jį support@fixvibe.app.

Šios politikos pakeitimai

Jei atliksime esminių pakeitimų — nauji sub-processors, naujos duomenų kategorijos, nauji saugojimo laikotarpiai — atnaujinsime datą viršuje ir pranešime tau programoje. Smulkūs formuluočių pataisymai pranešimo nesukelia.

Kontaktai

privacy@fixvibe.app — paprastai atsakome per 5 darbo dienas, niekada ilgiau nei per 30 dienų, kaip reikalauja GDPR Art. 12(3).

Privatumo politika · FixVibe