Политика на приватност

FixVibe го управува EGO HERO LLC („ние“, „нас“), контролорот на податоци за личните податоци опишани во оваа политика. За прашања за приватност, вклучувајќи барања на субјекти на податоци според GDPR, UK GDPR или CCPA, контактирај на privacy@fixvibe.app. За сè друго, пиши на support@fixvibe.app.

• Податоци за сметка

  Е-маил адреса, OAuth идентификатор (ако се најавуваш со Google или GitHub) и кое било име што го добиваме од твојот OAuth давател. Се користи за да те автентицираме и да контактираме со тебе за твојата сметка. Се задржува додека твојата сметка е активна. Кога ќе ја избришеш сметката, овие податоци се отстрануваат во рок од 30 дена, освен кога сме обврзани да ги задржиме (на пр., фактурни записи според даночно право).

  правна основа · Извршување на договор — Art. 6(1)(b) GDPR

• Цели за скенирање и наоди

  URL адресите што ги скенираш, барањата што ги правиме до тие URL адреси и наодите што ги создаваме. Се чуваат кај твојата организација. Автоматски ги бришеме записите постари од прозорецот за задржување на твојот план: 30 дена (Hobby), 90 дена (Pro), 365 дена (Unlimited). Можеш да ја извезеш или избришеш историјата на скенирање во секое време од Сметка → Приватност.

  правна основа · Извршување на договор — Art. 6(1)(b) GDPR

• Анонимни сесии за скенирање

  Ако извршиш скенирање без најавување, издаваме HMAC-потпишано колаче (fixvibe_anon_session, траење 24 часа) што содржи непроѕирен случаен ID. Автоматски ги бришеме непобараните анонимни записи за скенирање по 24 часа. Ако се регистрираш во прозорецот од 24 часа, твоето скенирање мигрира во твојата нова сметка. Не знаеме кои се анонимните корисници освен ако не се регистрираат.

  правна основа · Строго неопходно — ePrivacy Art. 5(3) изземање

• Податоци за наплата

  Stripe е нашиот процесор за плаќања. Stripe ги чува податоците за твојата картичка на PCI-DSS инфраструктура; ние чуваме само Stripe customer ID, статус на претплата, план, почеток/крај на период и мал идемпотентен запис за webhook настани. Погледни го известувањето за приватност на Stripe на stripe.com/privacy.

  правна основа · Извршување на договор — Art. 6(1)(b) GDPR

• Серверски дневници и ревизорски дневници

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  правна основа · Легитимен интерес — Art. 6(1)(f) GDPR

• GitHub интеграција (опционално, само Pro+)

  Ако поврзеш GitHub сметка од Сметка → Интеграции, чуваме шифриран OAuth пристапен токен за твојата организација, твојата GitHub најава + нумерички кориснички ID и доделените scopes. Токенот го користиме само за читање репозиториуми против кои иницираш скенирања. Изворниот код се презема по скенирање, се обработува во меморија и се зачувуваат само поединечни докази за наоди (без целосни дампови на изворен код). Се брише во рок од 30 дена по исклучување.

  правна основа · Извршување на договор / согласност — Art. 6(1)(b) + 6(1)(a) GDPR

• API токени + MCP сервер (опционално)

  Токените што ги создаваш од Сметка → API токени се чуваат како SHA-256 хеш, првите 8 знаци од отворен текст (за идентификација), името што си го доделил, плус временски ознаки за создавање/последна употреба/повлекување. Отворениот текст ти се прикажува точно еднаш при создавање и никогаш не се зачувува. Токените се bearer ингеренции: секој што ја има вредноста може да ги чита твоите скенирања и да започнува нови додека не го повлечеш токенот. MCP серверот на /api/mcp се автентицира со истите токени, ги изложува истите податоци што би ги прикажала контролната табла и не создава посебна категорија податоци.

  правна основа · Извршување на договор — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  правна основа · Performance of contract — Art. 6(1)(b) GDPR

• Активно откривање закани (опционално, само Unlimited)

  Ако имаш овозможено мониторинг на верификуван домен, периодично снимаме certificate-transparency лог записи, DNS записи и threat-intel листинзи (Spamhaus DBL, URLhaus) за тој домен. Овие снимки содржат хост имиња што веќе си ни ги овластил за скенирање и јавните резултати од јавни пребарувања. Не се собираат лични податоци на твоите крајни корисници. Снимките постари од 7 дена автоматски се бришат; најновата основна линија се задржува по тип на сигнал.

  правна основа · Извршување на договор — Art. 6(1)(b) GDPR

• Планирани повторни скенирања (опционално, само Pro+)

  Ако овозможиш планирани скенирања на верификуван домен, ги запишуваме ритамот, времето на последното извршување, времето на следното извршување и кој корисник го овозможил распоредот. Секое скенирање активирано од cron ја наследува атестацијата за овластување за скенирање дадена кога доменот првпат бил верификуван — не се бара повторна атестација за секое извршување. Исклучи во секое време од Домени → Распоред.

  правна основа · Извршување на договор — Art. 6(1)(b) GDPR

• Аналитика (опционално, со согласност)

  Ако дадеш согласност за аналитика и имаме конфигурирано аналитика за распоредувањето што го користиш, користиме давател на производствена аналитика што ја почитува приватноста (проксиран преку нашиот сопствен домен) за да бележиме анонимна употреба — кои копчиња се кликнуваат, кои проверки ги пуштаат луѓето, каде корисниците отпаднуваат во инката. Не ставаме URL адреси што ги скенираш, содржина од докази или лични податоци во аналитички настани. Повлечи согласност во секое време преку Поставки за колачиња.

  правна основа · Согласност — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Преземање на промотивна понуда

  Кога преземате промо код, линк за покана или кредит за препорака, го складираме кодот на кампањата, планот и должината што ги доделивме, временските ознаки за почеток и крај на пробниот период, планот што го имавте пред пробниот период и HMAC-SHA256 хеш на вашата IP адреса во моментот на преземање (никогаш не ја складираме сировата IP — хешот постои само за да можеме да ги спроведеме лимитите за едно преземање по мрежа, а ротирањето на основниот HMAC клуч ги поништува сите складирани хешови без да изложи никого). Се задржува за времетраењето на кампањата плус 18 месеци за сметководство и истрага на измами, потоа се брише со остатокот на записот на кампањата.

  правна основа · Легитимен интерес (превенција на измами, сметководство) — чл. 6(1)(ѓ) GDPR

• Натпревари, лотарии и предизвици

  Ако внесете во FixVibe Предизвик (како Безбедносниот Преflight Предизвик), ја складираме контакт е-поштата што ја поднесувате (потребна за да можеме да ве контактираме ако победите), Reddit и Product Hunt корисничките имиња што опционално ги обезбедувате, вашиот scan ID и корен домен, само-известениот тип на проект, стек и текстот за една-работа-што-научив што опционално ги обезбедувате, вредноста на каналот за откривање што опционално ја избирате и трите потребни кутии за согласност што ги прифаќате (овластување, правила, контакт). Ако посебно ја штиклирате опционалната согласност за истакнување-на-маркетинг, можеме да го прикажеме вашиот јавен резултат, оценка, стек, корисничко име и поднесен цитат на почетната страница на FixVibe, страницата на предизвикот или резиме објава — никогаш ниедно друго поле и никогаш без таа согласност. Записите на предизвикот се задржуваат за времетраењето на Предизвикот плус 18 месеци за верификација и спор. Можете да ја повлечете согласноста за истакнување-на-маркетинг во секое време со е-пошта до privacy@fixvibe.app; повлекувањето не влијае на законската обработка пред повлекувањето.

  правна основа · Извршување на договор (водење на Предизвикот) и согласност (истакнување) — чл. 6(1)(б) и 6(1)(а) GDPR

• Никогаш не ги продаваме твоите податоци.
• Не вградуваме third-party ad-tech, fingerprinting или session-replay скрипти.
• Не ги ставаме URL адресите на твоите цели за скенирање или доказите за наоди во аналитички својства — тие податоци живеат само во нашата база на податоци, заштитени со безбедност на ниво на ред.
• Не ги споделуваме твоите податоци со трети страни за нивен сопствен маркетинг.

Се потпираме на следниве подобработувачи за да го работиме FixVibe:

• Vercel Inc. (USA) — хостирање на апликацијата и edge мрежа. Известување за приватност: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres база на податоци, автентикација, складирање датотеки, Realtime. Производствената база на податоци на FixVibe е во регионот AWS us-east-1. Известување за приватност: supabase.com/privacy.
• Stripe Inc. (USA) — обработка на плаќања за платени планови. Известување за приватност: stripe.com/privacy.
• Upstash, Inc. (USA, преку Vercel Marketplace) — ограничување на брзина поддржано од Redis; чува само краткотрајни бројачи базирани на IP. Известување за приватност: upstash.com/privacy.
• PostHog Inc. (USA) — производствена аналитика, само ако дадеш согласност за аналитика и само кога аналитиката е конфигурирана за распоредувањето што го користиш. Известување за приватност: posthog.com/privacy.
• GitHub, Inc. (USA) — само ако ја поврзеш опционалната GitHub интеграција. Го користиме GitHub API за читање репозиториуми против кои иницираш скенирања. Известување за приватност: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — испорака на трансакциски е-маил. Ја прима твојата е-маил адреса и телото на е-маилот кога испраќаме е-маилови за завршено скенирање, планирано скенирање, предупредување за активна закана и неделен преглед. Resend ги задржува метаподатоците за испорака (временски ознаки, статус, записи за bounce) за оперативни цели; никогаш не испраќаме маркетинг е-маил преку Resend. Известување за приватност: resend.com/legal/privacy-policy.

Преносите на лични податоци надвор од EEA/UK се потпираат на Standard Contractual Clauses на Европската комисија (или UK International Data Transfer Addendum), дополнети со мерките за шифрирање во пренос и шифрирање во мирување опишани подолу во „Безбедност“.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Според GDPR, UK GDPR и еквивалентни закони (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act итн.), имаш право да:

• пристапиш до копија од твоите податоци (ова можеш да го направиш самопослужно од Сметка → Приватност);
• ги исправиш твоите податоци;
• ги избришеш твоите податоци (исто така самопослужно);
• приговараш на обработка заснована на легитимни интереси;
• ја повлечеш согласноста за аналитика во секое време преку Поставки за колачиња;
• преносливост на податоци — твојот извоз е во JSON;
• поднесеш жалба до твојот локален надзорен орган (EU/UK/EEA) или еквивалент.

Одговараме на проверливи барања за права во рок од 30 дена. За барања што не можеме да ги исполниме самопослужно (исправка на поле што не го изложуваме, ограничување на обработката, приговор), испрати е-маил на support@fixvibe.app со предмет „Privacy request“.

Не ги продаваме твоите лични информации. Не споделуваме лични информации за однесувачко рекламирање меѓу контексти. Аналитиката преку PostHog работи само откако ќе дадеш согласност во нашиот банер за колачиња; можеш да ја повлечеш таа согласност во секое време преку Поставки за колачиња или со клик на Твоите избори за приватност во подножјето.

Ако си жител на Калифорнија, исто така имаш право да:

• знаеш кои лични информации ги собираме, изворите, целите и сите трети страни со кои ги споделуваме (сè е детално опишано погоре);
• побараш бришење на твоите лични информации (самопослужно преку Сметка → Приватност или со е-маил до нас);
• исправиш неточни лични информации;
• го ограничиш користењето и откривањето на чувствителни лични информации — не собираме ништо освен ингеренции за автентикација и метаподатоци за сесија, кои се потребни за обезбедување на услугата;
• се откажеш од продажба или споделување — не е применливо бидејќи не правиме ниту едно од двете;
• не бидеш дискриминиран поради остварување на кое било од горенаведените права.

Автоматски ги почитуваме сигналите Global Privacy Control (GPC); испраќањето GPC заглавие го третира твоето посетување како изречно да си се откажал од секоја идна согласност за аналитика.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Ниту една безбедносна програма не е совршена. Ако веруваш дека си пронашол ранливост во FixVibe, пријави ја на support@fixvibe.app.

Ако направиме материјални промени — нови подобработувачи, нови категории податоци, нови периоди на задржување — ќе го ажурираме датумот погоре и ќе те известиме во апликацијата. Мали поправки на формулацијата не активираат известување.

privacy@fixvibe.app — одговори обично во рок од 5 работни дена, никогаш подолго од 30 дена како што бара GDPR Art. 12(3).