FixVibe

// privacy

Politika tal-Privatezza

aġġornat l-aħħar · 2026-05-17

Min aħna

FixVibe huwa operat minn EGO HERO LLC (“aħna”, “lilna”), il-kontrollur tad-data għad-data personali deskritta f’din il-politika. Għal mistoqsijiet dwar il-privatezza, inklużi talbiet tas-suġġett tad-data taħt GDPR, UK GDPR, jew CCPA, ikkuntattja lil privacy@fixvibe.app. Għal kull ħaġa oħra, ikteb lil support@fixvibe.app.

X’niġbru, għaliex, u kemm inżommuh

  • Data tal-kont

    Indirizz tal-email, identifikatur OAuth (jekk tidħol b’Google jew GitHub), u kwalunkwe isem li nirċievu mill-fornitur OAuth tiegħek. Jintuża biex nawtentikawk u nikkuntattjawk dwar il-kont tiegħek. Jinżamm waqt li l-kont tiegħek ikun attiv. Meta tħassar il-kont tiegħek, din id-data titneħħa fi żmien 30 jum, ħlief fejn inkunu obbligati nżommuha (eż. rekords tal-fatturazzjoni taħt il-liġi tat-taxxa).

    bażi legali · Eżekuzzjoni ta’ kuntratt — Art. 6(1)(b) GDPR

  • Miri tal-iskannjar u sejbiet

    Il-URLs li tiskannja, it-talbiet li nagħmlu lil dawk il-URLs, u s-sejbiet li nipproduċu. Jinħażnu mal-organizzazzjoni tiegħek. Aħna nħassru awtomatikament rekords aktar qodma mit-tieqa ta’ żamma tal-pjan tiegħek: 30 jum (Hobby), 90 jum (Pro), 365 jum (Unlimited). Tista’ tesporta jew tħassar l-istorja tal-iskannjar tiegħek fi kwalunkwe ħin minn Kont → Privatezza.

    bażi legali · Eżekuzzjoni ta’ kuntratt — Art. 6(1)(b) GDPR

  • Sessjonijiet ta’ skannjar anonimu

    Jekk tħaddem skan mingħajr ma tidħol, noħorġu HMAC-signed cookie (fixvibe_anon_session, ħajja ta’ 24 siegħa) li żżomm ID każwali opak. Aħna nħassru awtomatikament rekords ta’ skans anonimi mhux mitluba wara 24 siegħa. Jekk tirreġistra fi ħdan it-tieqa ta’ 24 siegħa, l-iskan tiegħek jiġi migrat fil-kont il-ġdid tiegħek. Ma nafux min huma l-utenti anonimi sakemm ma jirreġistrawx.

    bażi legali · Strettament neċessarju — ePrivacy Art. 5(3) exemption

  • Data tal-fatturazzjoni

    Stripe huwa l-proċessur tal-ħlas tagħna. Huma jaħżnu d-dettalji tal-karta tiegħek fuq infrastruttura PCI-DSS; aħna naħżnu biss Stripe customer ID, status tas-sottoskrizzjoni, pjan, bidu/tmiem tal-perjodu, u rekord żgħir ta’ idempotency għal webhook events. Ara l-avviż ta’ privatezza ta’ Stripe fuq stripe.com/privacy.

    bażi legali · Eżekuzzjoni ta’ kuntratt — Art. 6(1)(b) GDPR

  • Logs tas-server u logs tal-awditu

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    bażi legali · Interess leġittimu — Art. 6(1)(f) GDPR

  • Integrazzjoni GitHub (mhux obbligatorja, Pro+ biss)

    Jekk tqabbad kont GitHub minn Kont → Integrazzjonijiet, naħżnu OAuth access token encrypted għall-organizzazzjoni tiegħek, il-GitHub login + numeric user ID tiegħek, u l-granted scopes. Nużaw it-token biss biex naqraw repositories li tibda scans kontrihom. Source code jinġieb għal kull scan, jiġi pproċessat fil-memory, u jinżamm biss individual finding evidence (l-ebda full source dumps). Jitħassar fi żmien 30 jum minn meta taqta’ l-konnessjoni.

    bażi legali · Eżekuzzjoni ta’ kuntratt / kunsens — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (mhux obbligatorju)

    Tokens li toħloq f’Kont → API tokens jinħażnu bħala SHA-256 hash, l-ewwel 8 plaintext characters (għall-identifikazzjoni), l-isem li assenjajt, flimkien ma’ created/last-used/revoked timestamps. Il-plaintext jintwera lilek darba waħda eżatt meta jinħoloq u qatt ma jinħażen. Tokens huma bearer credentials: kull min għandu l-valur jista’ jaqra l-iskans tiegħek u jibda oħrajn ġodda sakemm tirrevokah. Il-MCP server fuq /api/mcp jiġi authenticated bl-istess tokens, jesponi l-istess data li jesponi d-dashboard, u ma joħloqx data category separat.

    bażi legali · Eżekuzzjoni ta’ kuntratt — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    bażi legali · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (mhux obbligatorju, Unlimited biss)

    Jekk għandek monitoring attivat fuq domain verifikat, perjodikament naqbad certificate-transparency log entries, DNS records, u threat-intel listings (Spamhaus DBL, URLhaus) għal dak id-domain. Dawn is-snapshots fihom hostnames li diġà awtorizzajtna niskannjaw u r-riżultati pubbliċi ta’ public lookups. Ma tinqabad l-ebda personal data tal-end-users tiegħek. Snapshots aktar qodma minn 7 ijiem jitħassru awtomatikament; l-aktar baseline reċenti jinżamm għal kull signal type.

    bażi legali · Eżekuzzjoni ta’ kuntratt — Art. 6(1)(b) GDPR

  • Riskans iskedati (mhux obbligatorji, Pro+ biss)

    Jekk tattiva scheduled scans fuq domain verifikat, nirreġistraw il-cadence, last run time, next run time, u liema user attiva l-iskeda. Kull cron-triggered scan jiret l-authorization-to-scan attestation magħmula meta d-domain ġie vverifikat l-ewwel darba — ma terġax tagħmel attest għal kull run. Itfiha fi kwalunkwe ħin minn Domains → Schedule.

    bażi legali · Eżekuzzjoni ta’ kuntratt — Art. 6(1)(b) GDPR

  • Analitiċi (mhux obbligatorji, consent-gated)

    Jekk tagħti analytics consent u għandna analytics configured għad-deployment li qed tuża, nużaw privacy-respecting product-analytics provider (proxied permezz tad-domain tagħna stess) biex nirreġistraw anonymous usage — liema buttons jintgħafsu, liema checks iħaddmu n-nies, fejn fil-funnel users drop off. Ma ndaħħlux URLs li tiskannja, evidence content, jew personal data f’analytics events. Irrevoka l-kunsens fi kwalunkwe ħin permezz ta’ .

    bażi legali · Kunsens — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Fidwa ta' offerta promozzjonali

    Meta tifdi kodiċi promozzjonali, link ta' stedina, jew kreditu ta' referenza, naħżnu l-kodiċi tal-kampanja, il-pjan u d-durata li tajna, it-timestamps tal-bidu u t-tmiem tat-trial, il-pjan li kellek qabel it-trial, u hash HMAC-SHA256 tal-indirizz IP tiegħek fil-ħin tal-fidwa (qatt ma naħżnu l-IP mhux maħdum — il-hash jeżisti biss biex ikollna l-kapaċità li ninfurzaw limiti ta' fidwa waħda għal kull network, u r-rotazzjoni taċ-ċavetta HMAC sottostanti tinvalida l-hashes maħżuna kollha mingħajr ma tesponi lil ħadd). Miżmuma għall-ħajja tal-kampanja flimkien ma' 18-il xahar għal skopijiet ta' kontabilità u investigazzjoni ta' frodi, imbagħad imħassra mal-bqija tar-rekord tal-kampanja.

    bażi legali · Interess leġittimu (prevenzjoni tal-frodi, kontabilità) — Art. 6(1)(f) GDPR

  • Konkorsi, sweepstakes, u sfidi

    Jekk tidħol fi Sfida FixVibe (bħall-Isfida tal-Preflight tas-Sigurtà), naħżnu l-email ta' kuntatt li tissottometti (meħtieġa biex inkunu nistgħu nilħquk jekk tirbaħ), il-usernames ta' Reddit u Product Hunt li tipprovdi mhux obbligatorjament, l-iscan ID u d-dominju għerq tiegħek, it-tip ta' proġett irrapportat minnek innifsek, l-istack, u t-test tal-ħaġa-waħda-li-tgħallimt li tipprovdi mhux obbligatorjament, il-valur tal-kanal tal-iskoperta li tagħżel mhux obbligatorjament, u t-tliet kaxxi tal-kunsens meħtieġa li taċċetta (awtorizzazzjoni, regoli, kuntatt). Jekk tagħżel separatament il-kunsens mhux obbligatorju imkellem-fuq-marketing, nistgħu nuru l-punteġġ pubbliku, ir-rating, l-istack, l-username, u l-kwotazzjoni sottomessa tiegħek fuq il-homepage ta' FixVibe, il-paġna tal-isfida, jew post ta' recap — qatt l-ebda kamp ieħor, u qatt mingħajr dak l-opt-in. Dħul tal-isfida huwa miżmum għall-ħajja tal-Isfida flimkien ma' 18-il xahar għal skopijiet ta' verifika u tilwim. Tista' tirtira l-kunsens imkellem-fuq-marketing fi kwalunkwe ħin billi tibgħat email lil privacy@fixvibe.app; l-irtirar ma jaffettwax l-ipproċessar legali qabel l-irtirar.

    bażi legali · Twettiq ta' kuntratt (li jħaddem l-Isfida) u kunsens (preżentazzjoni) — Art. 6(1)(b) u 6(1)(a) GDPR

Dak li MA niġbrux

  • Qatt ma nbiegħu d-data tiegħek.
  • Ma ndaħħlux third-party ad-tech, fingerprinting, jew session-replay scripts.
  • Ma ndaħħlux il-URLs tal-miri tal-iskannjar tiegħek jew finding evidence f’analytics properties — dik id-data tgħix biss fid-database tagħna, protetta b’row-level security.
  • Ma naqsmux id-data tiegħek ma’ terzi għall-marketing tagħhom stess.

Sub-processors

Niddependu fuq dawn is-sub-processors biex inħaddmu FixVibe:

  • Vercel Inc. (USA) — application hosting u edge network. Avviż ta’ privatezza: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. Il-FixVibe production database jinsab fir-region AWS us-east-1. Avviż ta’ privatezza: supabase.com/privacy.
  • Stripe Inc. (USA) — payment processing għal paid plans. Avviż ta’ privatezza: stripe.com/privacy.
  • Upstash, Inc. (USA, permezz tal-Vercel Marketplace) — Redis-backed rate limiting; jaħżen biss IP-based counters għal żmien qasir. Avviż ta’ privatezza: upstash.com/privacy.
  • PostHog Inc. (USA) — product analytics, biss jekk tagħti analytics consent u biss meta analytics ikun configured għad-deployment li qed tuża. Avviż ta’ privatezza: posthog.com/privacy.
  • GitHub, Inc. (USA) — biss jekk tqabbad l-optional GitHub integration. Nużaw GitHub API biex naqraw repositories li tibda scans kontrihom. Avviż ta’ privatezza: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — transactional email delivery. Jirċievi l-email address tiegħek u l-email body meta nibagħtu scan-completed, scheduled-scan, live-threat alert, u weekly-digest emails. Resend iżomm delivery metadata (timestamps, status, bounce records) għal operational purposes; qatt ma nibagħtu marketing email permezz ta’ Resend. Avviż ta’ privatezza: resend.com/legal/privacy-policy.

Transfers ta’ personal data barra l-EEA/UK jiddependu fuq European Commission’s Standard Contractual Clauses (jew UK’s International Data Transfer Addendum), issupplimentati mill-miżuri encryption-in-transit u encryption-at-rest deskritti f’“Sigurtà” hawn taħt.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Id-drittijiet tiegħek

Taħt GDPR, UK GDPR, u liġijiet ekwivalenti (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act eċċ.), għandek id-dritt li:

  • taċċessa kopja tad-data tiegħek (tista’ tagħmel dan self-serve minn Kont → Privatezza);
  • tikkoreġi d-data tiegħek;
  • tħassar id-data tiegħek (ukoll self-serve);
  • toġġezzjona għal processing ibbażat fuq legitimate interests;
  • tirrevoka l-kunsens għall-analytics fi kwalunkwe ħin permezz ta’ ;
  • data portability — l-esportazzjoni tiegħek hija JSON;
  • tressaq ilment mal-awtorità superviżorja lokali tiegħek (EU/UK/EEA) jew ekwivalenti.

Aħna nirrispondu għal verifiable rights requests fi żmien 30 jum. Għal talbiet li ma nistgħux nissodisfaw permezz tas-self-serve (rettifika ta’ field li ma nesponux, restriction of processing, objection), ibgħat email lil support@fixvibe.app bis-suġġett “Privacy request”.

Residenti ta’ California (CCPA / CPRA)

Aħna ma nbiegħux il-personal information tiegħek. Ma naqsmux personal information għal cross-context behavioral advertising. Analytics permezz ta’ PostHog jaħdem biss wara li tagħti consent fil-cookie banner tagħna; tista’ tirrevoka dak il-consent fi kwalunkwe ħin permezz ta’ jew billi tikklikkja L-Għażliet tal-Privatezza Tiegħek fil-footer.

Jekk inti resident ta’ California, għandek ukoll id-dritt li:

  • tkun taf x’personal information niġbru, is-sorsi, l-iskopijiet, u kwalunkwe third parties li naqsmuha magħhom (kollox iddettaljat hawn fuq);
  • titlob it-tħassir tal-personal information tiegħek (self-serve minn Kont → Privatezza jew billi tibgħatilna email);
  • tikkoreġi personal information mhux preċiża;
  • tillimita l-użu u disclosure ta’ sensitive personal information — ma niġbru xejn lil hinn minn authentication credentials u session metadata, it-tnejn meħtieġa biex nipprovdu s-service;
  • topta’ mill-sale jew sharing — mhux applikabbli peress li ma nagħmlu l-ebda waħda minnhom;
  • ma tiġix diskriminat talli teżerċita xi wieħed minn dawn ta’ hawn fuq.

Nirrispettaw Global Privacy Control (GPC) signals awtomatikament; meta tibgħat GPC header inqisu ż-żjara tiegħek daqslikieku espliċitament opt out minn kwalunkwe analytics consent futur.

Sigurtà

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

L-ebda security program mhu perfett. Jekk temmen li sibt vulnerability f’FixVibe, jekk jogħġbok irrapportaha lil support@fixvibe.app.

Bidliet f’din il-politika

Jekk nagħmlu bidliet materjali — sub-processors ġodda, categories of data ġodda, retention periods ġodda — naġġornaw id-data hawn fuq u ninnotifikawk fl-app. Minor wording fixes ma joħolqux notifika.

Kuntatt

privacy@fixvibe.app — it-tweġibiet ġeneralment jaslu fi żmien 5 ijiem tax-xogħol, qatt aktar minn 30 jum kif mitlub minn GDPR Art. 12(3).

Politika tal-Privatezza · FixVibe