Privātuma politika

FixVibe pārvalda EGO HERO LLC (“mēs”, “mūs”), datu pārzinis šajā politikā aprakstītajiem personas datiem. Par privātuma jautājumiem, tostarp datu subjektu pieprasījumiem saskaņā ar GDPR, UK GDPR vai CCPA, sazinies ar privacy@fixvibe.app. Par visu pārējo raksti uz support@fixvibe.app.

• Konta dati

  E-pasta adrese, OAuth identifikators (ja pieraksties ar Google vai GitHub) un jebkurš vārds, ko saņemam no tava OAuth nodrošinātāja. Izmantojam, lai autentificētu tevi un sazinātos ar tevi par tavu kontu. Glabājam, kamēr tavs konts ir aktīvs. Kad tu dzēs savu kontu, šie dati tiek noņemti 30 dienu laikā, izņemot gadījumus, kad mums tie ir jāsaglabā (piem., norēķinu ieraksti saskaņā ar nodokļu tiesību aktiem).

  tiesiskais pamats · Līguma izpilde — Art. 6(1)(b) GDPR

• Skenēšanas mērķi un atklājumi

  URL adreses, ko skenē, pieprasījumi, ko veicam uz šīm URL adresēm, un mūsu izveidotie atklājumi. Glabājas pie tavas organizācijas. Mēs automātiski dzēšam ierakstus, kas ir vecāki par tava plāna glabāšanas periodu: 30 dienas (Hobby), 90 dienas (Pro), 365 dienas (Unlimited). Tu jebkurā laikā vari eksportēt vai dzēst savu skenēšanas vēsturi sadaļā Konts → Privātums.

  tiesiskais pamats · Līguma izpilde — Art. 6(1)(b) GDPR

• Anonīmas skenēšanas sesijas

  Ja palaid skenēšanu bez pierakstīšanās, mēs izsniedzam HMAC parakstītu sīkdatni (fixvibe_anon_session, 24 stundu darbības laiks), kurā ir necaurredzams nejaušs ID. Mēs automātiski dzēšam nepiesaistītus anonīmas skenēšanas ierakstus pēc 24 stundām. Ja reģistrējies 24 stundu logā, tava skenēšana tiek pārcelta uz jauno kontu. Mēs nezinām, kas ir anonīmie lietotāji, ja vien viņi nereģistrējas.

  tiesiskais pamats · Strikti nepieciešams — ePrivacy Art. 5(3) izņēmums

• Norēķinu dati

  Stripe ir mūsu maksājumu apstrādātājs. Stripe glabā tavas kartes datus PCI-DSS infrastruktūrā; mēs glabājam tikai Stripe klienta ID, abonementa statusu, plānu, perioda sākumu/beigas un nelielu webhook notikumu idempotences ierakstu. Skati Stripe privātuma paziņojumu vietnē stripe.com/privacy.

  tiesiskais pamats · Līguma izpilde — Art. 6(1)(b) GDPR

• Servera žurnāli un audita žurnāli

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  tiesiskais pamats · Leģitīmas intereses — Art. 6(1)(f) GDPR

• GitHub integrācija (neobligāta, tikai Pro+)

  Ja pievieno GitHub kontu sadaļā Konts → Integrācijas, mēs glabājam šifrētu OAuth piekļuves žetonu tavai organizācijai, tavu GitHub lietotājvārdu + skaitlisko lietotāja ID un piešķirtos tvērumus. Mēs izmantojam žetonu tikai to repozitoriju lasīšanai, pret kuriem tu sāc skenēšanu. Pirmkods tiek iegūts katrai skenēšanai, apstrādāts atmiņā, un tiek saglabāti tikai atsevišķi atklājumu pierādījumi (nevis pilnas pirmkoda kopijas). Dzēšam 30 dienu laikā pēc atvienošanas.

  tiesiskais pamats · Līguma izpilde / piekrišana — Art. 6(1)(b) + 6(1)(a) GDPR

• API žetoni + MCP serveris (neobligāti)

  Žetoni, ko izveido sadaļā Konts → API žetoni, tiek glabāti kā SHA-256 jaucējvērtība, pirmās 8 atklātā teksta rakstzīmes (identifikācijai), tevis piešķirtais nosaukums, kā arī izveides/pēdējās izmantošanas/atsaukšanas laikzīmogi. Atklātais teksts tev tiek parādīts tieši vienu reizi izveides brīdī un nekad netiek saglabāts. Žetoni ir bearer akreditācijas dati: ikviens, kam ir šī vērtība, var lasīt tavas skenēšanas un sākt jaunas, līdz tu žetonu atsauc. MCP serveris adresē /api/mcp tiek autentificēts ar tiem pašiem žetoniem, atklāj tos pašus datus, ko rādītu informācijas panelis, un neveido atsevišķu datu kategoriju.

  tiesiskais pamats · Līguma izpilde — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  tiesiskais pamats · Performance of contract — Art. 6(1)(b) GDPR

• Aktīva draudu noteikšana (neobligāta, tikai Unlimited)

  Ja verificētam domēnam ir iespējota uzraudzība, mēs periodiski iegūstam certificate-transparency žurnālu ierakstus, DNS ierakstus un draudu izlūkošanas sarakstus (Spamhaus DBL, URLhaus) šim domēnam. Šajos momentuzņēmumos ir resursdatoru nosaukumi, kurus jau esi mums atļāvis skenēt, un publisko vaicājumu publiskie rezultāti. Tavu galalietotāju personas dati netiek iegūti. Momentuzņēmumi, kas ir vecāki par 7 dienām, tiek automātiski dzēsti; katram signāla veidam tiek saglabāta jaunākā bāzes līnija.

  tiesiskais pamats · Līguma izpilde — Art. 6(1)(b) GDPR

• Plānotas atkārtotas skenēšanas (neobligātas, tikai Pro+)

  Ja verificētam domēnam iespējo plānotas skenēšanas, mēs reģistrējam periodiskumu, pēdējās izpildes laiku, nākamās izpildes laiku un lietotāju, kurš grafiku iespējoja. Katra cron palaistā skenēšana manto apliecinājumu par atļauju skenēt, kas tika dots, kad domēns pirmoreiz tika verificēts — katrai izpildei apliecinājums nav jāsniedz atkārtoti. Atspējo jebkurā laikā sadaļā Domēni → Grafiks.

  tiesiskais pamats · Līguma izpilde — Art. 6(1)(b) GDPR

• Analītika (neobligāta, ar piekrišanu)

  Ja dod analītikas piekrišanu un mūsu izmantotajai izvietošanai ir konfigurēta analītika, mēs izmantojam privātumu respektējošu produkta analītikas nodrošinātāju (starpniekots caur mūsu pašu domēnu), lai reģistrētu anonīmu lietojumu — kuras pogas tiek klikšķinātas, kuras pārbaudes cilvēki palaiž, kur piltuvē lietotāji atkrīt. Mēs neievietojam skenētās URL adreses, pierādījumu saturu vai personas datus analītikas notikumos. Atsauc piekrišanu jebkurā laikā caur Sīkdatņu iestatījumi.

  tiesiskais pamats · Piekrišana — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Reklāmas piedāvājuma izpirkums

  Kad Jūs izpērkat akcijas kodu, uzaicinājuma saiti vai ieteikšanas kredītu, mēs glabājam kampaņas kodu, plānu un ilgumu, ko piešķīrām, izmēģinājuma sākuma un beigu laika zīmogus, plānu, kuru turējāt pirms izmēģinājuma, un Jūsu IP adreses HMAC-SHA256 jaucējkodu izpirkuma brīdī (mēs nekad neglabājam neapstrādātu IP — jaucējkods pastāv tikai, lai mēs varētu īstenot viena izpirkuma uz tīklu ierobežojumus, un pamatā esošās HMAC atslēgas rotācija anulē visus glabātos jaucējkodus, neatklājot nevienu). Tiek saglabāts kampaņas dzīves laikā plus 18 mēneši grāmatvedības un krāpšanas izmeklēšanas nolūkos, pēc tam tiek dzēsts ar pārējo kampaņas ierakstu.

  tiesiskais pamats · Leģitīmas intereses (krāpšanas novēršana, grāmatvedība) — VDAR 6. panta 1. punkta f) apakšpunkts

• Konkursi, izlozes un izaicinājumi

  Ja Jūs piesakāties FixVibe Izaicinājumam (piemēram, Drošības priekšlaidiena izaicinājumam), mēs glabājam kontaktpersonas e-pastu, ko iesniedzat (nepieciešams, lai mēs varētu ar Jums sazināties, ja uzvarēsiet), Reddit un Product Hunt lietotājvārdus, ko izvēles kārtā sniedzat, Jūsu scan ID un saknes domēnu, pašpaziņoto projekta tipu, tehnoloģiju kopumu un viena-lieta-ko-es-uzzināju tekstu, ko izvēles kārtā sniedzat, atklāšanas kanāla vērtību, ko izvēles kārtā izvēlaties, un trīs nepieciešamās piekrišanas izvēles rūtiņas, ko pieņemat (pilnvarojums, noteikumi, kontakts). Ja Jūs atsevišķi atzīmējat izvēles izceltā-mārketingā piekrišanu, mēs varam parādīt Jūsu publisko rezultātu, vērtējumu, tehnoloģiju kopumu, lietotājvārdu un iesniegto citātu FixVibe sākumlapā, izaicinājuma lapā vai apkopojuma ierakstā — nekad nevienu citu lauku un nekad bez šīs piekrišanas. Izaicinājuma pieteikumi tiek saglabāti Izaicinājuma dzīves laikā plus 18 mēnešus verifikācijas un strīdu nolūkos. Jūs varat atsaukt izceltā-mārketingā piekrišanu jebkurā laikā, rakstot uz privacy@fixvibe.app; atsaukšana neietekmē likumīgu apstrādi pirms atsaukuma.

  tiesiskais pamats · Līguma izpilde (Izaicinājuma vadīšana) un piekrišana (izcelšana) — VDAR 6. panta 1. punkta b) un 6. panta 1. punkta a) apakšpunkts

• Mēs nekad nepārdodam tavus datus.
• Mēs neiegulstam trešo pušu ad-tech, pirkstu nospiedumu veidošanas vai sesiju atkārtojuma skriptus.
• Mēs neievietojam tavas skenēšanas mērķa URL adreses vai atklājumu pierādījumus analītikas īpašumos — šie dati dzīvo tikai mūsu datubāzē, ko aizsargā rindas līmeņa drošība.
• Mēs nekopīgojam tavus datus ar trešajām pusēm viņu pašu mārketingam.

FixVibe darbībai mēs paļaujamies uz šādiem apakšapstrādātājiem:

• Vercel Inc. (USA) — lietojumprogrammas hostings un edge tīkls. Privātuma paziņojums: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres datubāze, autentifikācija, failu glabāšana, Realtime. FixVibe ražošanas datubāze atrodas AWS us-east-1 reģionā. Privātuma paziņojums: supabase.com/privacy.
• Stripe Inc. (USA) — maksājumu apstrāde maksas plāniem. Privātuma paziņojums: stripe.com/privacy.
• Upstash, Inc. (USA, caur Vercel Marketplace) — Redis balstīta ātruma ierobežošana; glabā tikai īslaicīgus uz IP balstītus skaitītājus. Privātuma paziņojums: upstash.com/privacy.
• PostHog Inc. (USA) — produkta analītika, tikai tad, ja dod analītikas piekrišanu un tikai tad, kad analītika ir konfigurēta izmantotajai izvietošanai. Privātuma paziņojums: posthog.com/privacy.
• GitHub, Inc. (USA) — tikai tad, ja pievieno neobligāto GitHub integrāciju. Mēs izmantojam GitHub API, lai lasītu repozitorijus, pret kuriem tu sāc skenēšanu. Privātuma paziņojums: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — transakciju e-pasta piegāde. Saņem tavu e-pasta adresi un e-pasta saturu, kad nosūtām paziņojumus par pabeigtu skenēšanu, plānotu skenēšanu, aktīvu draudu brīdinājumu un nedēļas kopsavilkuma e-pastus. Resend operatīviem nolūkiem glabā piegādes metadatus (laikzīmogus, statusu, atteikumu ierakstus); mēs nekad nesūtām mārketinga e-pastus caur Resend. Privātuma paziņojums: resend.com/legal/privacy-policy.

Personas datu pārsūtījumi ārpus EEA/UK balstās uz Eiropas Komisijas Standard Contractual Clauses (vai UK International Data Transfer Addendum), ko papildina šifrēšanas pārraides laikā un šifrēšanas glabāšanas laikā pasākumi, kas aprakstīti tālāk sadaļā “Drošība”.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Saskaņā ar GDPR, UK GDPR un līdzvērtīgiem likumiem (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act u. c.) tev ir tiesības:

• piekļūt savu datu kopijai (to vari izdarīt pašapkalpošanās režīmā no Konts → Privātums);
• panākt savu datu labošanu;
• panākt savu datu dzēšanu (arī pašapkalpošanās režīmā);
• iebilst pret apstrādi, kas balstīta uz leģitīmām interesēm;
• jebkurā laikā atsaukt piekrišanu analītikai caur Sīkdatņu iestatījumi;
• datu pārnesamība — tavs eksports ir JSON;
• iesniegt sūdzību vietējai uzraudzības iestādei (EU/UK/EEA) vai līdzvērtīgai iestādei.

Mēs atbildam uz pārbaudāmiem tiesību pieprasījumiem 30 dienu laikā. Pieprasījumiem, ko nevaram izpildīt pašapkalpošanās režīmā (lauka labošana, ko neeksponējam, apstrādes ierobežošana, iebildums), raksti uz support@fixvibe.app ar tematu “Privacy request”.

Mēs nepārdodam tavu personisko informāciju. Mēs nekopīgojam personisko informāciju starpkontekstu uzvedībai balstītai reklāmai. Analītika caur PostHog darbojas tikai pēc tam, kad dod piekrišanu mūsu sīkdatņu bannerī; šo piekrišanu vari atsaukt jebkurā laikā caur Sīkdatņu iestatījumi vai noklikšķinot uz Tavas privātuma izvēles kājenē.

Ja esi Kalifornijas iedzīvotājs, tev ir arī tiesības:

• zināt, kādu personisko informāciju mēs ievācam, avotus, nolūkus un trešās puses, ar kurām to kopīgojam (tas viss detalizēti aprakstīts iepriekš);
• pieprasīt savas personiskās informācijas dzēšanu (pašapkalpošanās režīmā caur Konts → Privātums vai rakstot mums e-pastu);
• labot neprecīzu personisko informāciju;
• ierobežot sensitīvas personiskās informācijas izmantošanu un izpaušanu — mēs neievācam neko ārpus autentifikācijas akreditācijas datiem un sesijas metadatiem, kas abi ir nepieciešami pakalpojuma sniegšanai;
• atteikties no pārdošanas vai kopīgošanas — nav piemērojams, jo mēs nedarām ne vienu, ne otru;
• netikt diskriminētam par jebkuru iepriekš minēto tiesību izmantošanu.

Mēs automātiski ievērojam Global Privacy Control (GPC) signālus; GPC galvenes nosūtīšana nozīmē, ka tava vizīte tiek traktēta tā, it kā tu būtu skaidri atteicies no jebkādas nākotnes analītikas piekrišanas.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Neviena drošības programma nav perfekta. Ja uzskati, ka esi atradis ievainojamību FixVibe, lūdzu, ziņo par to uz support@fixvibe.app.

Ja veiksim būtiskas izmaiņas — jauni apakšapstrādātāji, jaunas datu kategorijas, jauni glabāšanas periodi — mēs atjaunināsim iepriekš norādīto datumu un paziņosim tev lietotnē. Nelieli formulējuma labojumi paziņojumu neizraisa.

privacy@fixvibe.app — atbildes parasti 5 darba dienu laikā, nekad ilgāk par 30 dienām, kā to prasa GDPR Art. 12(3).