Polityka prywatności

FixVibe jest obsługiwany przez EGO HERO LLC („my“, „nas“), administratora danych osobowych opisanych w tej polityce. W sprawach dotyczących prywatności, w tym żądań osób, których dane dotyczą, na podstawie GDPR, UK GDPR lub CCPA, skontaktuj się z privacy@fixvibe.app. W pozostałych sprawach napisz na support@fixvibe.app.

• Dane konta

  Adres e-mail, identyfikator OAuth (jeśli logujesz się przez Google lub GitHub) oraz dowolne imię lub nazwę, które otrzymamy od twojego dostawcy OAuth. Używane do uwierzytelniania ciebie i kontaktu z tobą w sprawach konta. Przechowywane, dopóki twoje konto jest aktywne. Gdy usuniesz konto, te dane są usuwane w ciągu 30 dni, z wyjątkiem sytuacji, w których musimy je zachować (np. dokumentacja rozliczeniowa wymagana prawem podatkowym).

  podstawa prawna · Wykonanie umowy — Art. 6(1)(b) GDPR

• Cele skanowania i wyniki

  URL-e, które skanujesz, żądania wysyłane przez nas do tych URL-i oraz wyniki, które tworzymy. Przechowywane przy twojej organizacji. Automatycznie usuwamy rekordy starsze niż okno retencji twojego planu: 30 dni (Hobby), 90 dni (Pro), 365 dni (Unlimited). Możesz eksportować lub usuwać historię skanowań w dowolnym momencie z Konto → Prywatność.

  podstawa prawna · Wykonanie umowy — Art. 6(1)(b) GDPR

• Anonimowe sesje skanowania

  Jeśli uruchomisz skan bez logowania, wydajemy plik cookie podpisany HMAC (fixvibe_anon_session, ważny 24 godziny), zawierający nieprzezroczysty losowy identyfikator. Automatycznie usuwamy nieprzypisane anonimowe rekordy skanów po 24 godzinach. Jeśli zarejestrujesz się w tym 24-godzinnym oknie, twój skan zostanie przeniesiony do nowego konta. Nie wiemy, kim są anonimowi użytkownicy, chyba że się zarejestrują.

  podstawa prawna · Ściśle niezbędne — wyłączenie ePrivacy Art. 5(3)

• Dane rozliczeniowe

  Stripe jest naszym procesorem płatności. Stripe przechowuje dane twojej karty w infrastrukturze PCI-DSS; my przechowujemy tylko identyfikator klienta Stripe, status subskrypcji, plan, początek i koniec okresu oraz niewielki rekord idempotencji zdarzeń webhook. Zobacz informację o prywatności Stripe pod adresem stripe.com/privacy.

  podstawa prawna · Wykonanie umowy — Art. 6(1)(b) GDPR

• Logi serwera i logi audytowe

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  podstawa prawna · Prawnie uzasadniony interes — Art. 6(1)(f) GDPR

• Integracja GitHub (opcjonalna, tylko Pro+)

  Jeśli połączysz konto GitHub z poziomu Konto → Integracje, przechowujemy zaszyfrowany token dostępu OAuth dla twojej organizacji, twój login GitHub + numeryczny identyfikator użytkownika oraz przyznane zakresy. Używamy tokena wyłącznie do odczytu repozytoriów, wobec których inicjujesz skany. Kod źródłowy jest pobierany dla danego skanu, przetwarzany w pamięci i utrwalane są tylko pojedyncze dowody wyników (bez pełnych zrzutów kodu źródłowego). Usuwane w ciągu 30 dni od rozłączenia.

  podstawa prawna · Wykonanie umowy / zgoda — Art. 6(1)(b) + 6(1)(a) GDPR

• Tokeny API + serwer MCP (opcjonalne)

  Tokeny tworzone w Konto → tokeny API są przechowywane jako hash SHA-256, pierwsze 8 znaków jawnego tekstu (do identyfikacji), nadana przez ciebie nazwa oraz znaczniki czasu utworzenia, ostatniego użycia i unieważnienia. Jawny tekst jest pokazywany dokładnie raz podczas tworzenia i nigdy nie jest utrwalany. Tokeny są poświadczeniami bearer: każda osoba z tą wartością może czytać twoje skany i uruchamiać nowe, dopóki tokena nie unieważnisz. Serwer MCP pod /api/mcp jest uwierzytelniany tymi samymi tokenami, udostępnia te same dane co panel i nie tworzy osobnej kategorii danych.

  podstawa prawna · Wykonanie umowy — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  podstawa prawna · Performance of contract — Art. 6(1)(b) GDPR

• Wykrywanie zagrożeń na żywo (opcjonalne, tylko Unlimited)

  Jeśli masz włączony monitoring na zweryfikowanej domenie, okresowo zapisujemy wpisy z logów certificate-transparency, rekordy DNS i listy threat-intel (Spamhaus DBL, URLhaus) dla tej domeny. Te migawki zawierają nazwy hostów, których skanowanie już nam autoryzowałeś, oraz publiczne wyniki publicznych zapytań. Nie przechwytujemy danych osobowych twoich użytkowników końcowych. Migawki starsze niż 7 dni są automatycznie usuwane; najnowszy baseline jest przechowywany dla każdego typu sygnału.

  podstawa prawna · Wykonanie umowy — Art. 6(1)(b) GDPR

• Zaplanowane ponowne skany (opcjonalne, tylko Pro+)

  Jeśli włączysz zaplanowane skany na zweryfikowanej domenie, zapisujemy harmonogram, czas ostatniego uruchomienia, czas następnego uruchomienia oraz użytkownika, który włączył harmonogram. Każdy skan uruchomiony przez cron dziedziczy poświadczenie autoryzacji do skanowania złożone przy pierwszej weryfikacji domeny — nie składasz go ponownie przy każdym uruchomieniu. Wyłącz w dowolnym momencie w Domeny → Harmonogram.

  podstawa prawna · Wykonanie umowy — Art. 6(1)(b) GDPR

• Analityka (opcjonalna, wymaga zgody)

  Jeśli udzielisz zgody na analitykę, a analityka jest skonfigurowana dla używanego przez ciebie wdrożenia, korzystamy z szanującego prywatność dostawcy analityki produktowej (proxowanego przez naszą własną domenę), aby rejestrować anonimowe użycie — które przyciski są klikane, które sprawdzenia ludzie uruchamiają, gdzie użytkownicy odpadają w lejku. Nie umieszczamy URL-i skanowania, treści dowodów ani danych osobowych w zdarzeniach analitycznych. Możesz wycofać zgodę w dowolnym momencie przez Ustawienia plików cookie.

  podstawa prawna · Zgoda — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Odebranie oferty promocyjnej

  Gdy odbierasz kod promocyjny, link zaproszenia lub kredyt referencyjny, przechowujemy kod kampanii, plan i czas trwania, który przyznaliśmy, znaczniki czasu rozpoczęcia i zakończenia okresu próbnego, plan, który miałeś przed okresem próbnym, oraz hash HMAC-SHA256 Twojego adresu IP w momencie odebrania (nigdy nie przechowujemy surowego IP — hash istnieje tylko po to, aby móc egzekwować limity jedno-odebranie-na-sieć, a rotacja podstawowego klucza HMAC unieważnia wszystkie przechowywane hashe bez ujawniania nikogo). Przechowywane przez czas trwania kampanii plus 18 miesięcy dla celów księgowych i dochodzeniowych w sprawie oszustw, następnie usuwane wraz z resztą rekordu kampanii.

  podstawa prawna · Uzasadniony interes (zapobieganie oszustwom, księgowość) — art. 6(1)(f) RODO

• Konkursy, loterie i wyzwania

  Jeśli zgłaszasz się do Wyzwania FixVibe (takiego jak Security Preflight Challenge), przechowujemy przesłany e-mail kontaktowy (wymagany, abyśmy mogli się z Tobą skontaktować, jeśli wygrasz), opcjonalnie podane nazwy użytkowników Reddit i Product Hunt, Twój scan ID i domenę root, opcjonalnie podany samozgłaszany typ projektu, stack i tekst jednej-rzeczy-której-się-nauczyłem, opcjonalnie wybraną wartość kanału odkrycia oraz trzy wymagane checkboxy zgody, które akceptujesz (autoryzacja, zasady, kontakt). Jeśli osobno zaznaczysz opcjonalną zgodę wyróżnienie-w-marketingu, możemy wyświetlać Twój publiczny wynik, ocenę, stack, nazwę użytkownika i przesłany cytat na stronie głównej FixVibe, stronie wyzwania lub poście podsumowującym — nigdy żadnych innych pól i nigdy bez tego opt-inu. Zgłoszenia do wyzwania są przechowywane przez czas trwania Wyzwania plus 18 miesięcy dla celów weryfikacji i sporów. Możesz wycofać zgodę na wyróżnienie-w-marketingu w dowolnym momencie, wysyłając e-mail na privacy@fixvibe.app; wycofanie nie wpływa na zgodne z prawem przetwarzanie przed wycofaniem.

  podstawa prawna · Wykonanie umowy (prowadzenie Wyzwania) i zgoda (wyróżnienie) — art. 6(1)(b) i 6(1)(a) RODO

• Nigdy nie sprzedajemy twoich danych.
• Nie osadzamy zewnętrznych technologii reklamowych, fingerprintingu ani skryptów odtwarzania sesji.
• Nie umieszczamy URL-i celów skanowania ani dowodów wyników we właściwościach analitycznych — te dane żyją tylko w naszej bazie danych, chronione zabezpieczeniami na poziomie wiersza.
• Nie udostępniamy twoich danych stronom trzecim na potrzeby ich własnego marketingu.

Korzystamy z następujących podprzetwarzających, aby uruchamiać FixVibe:

• Vercel Inc. (USA) — hosting aplikacji i sieć brzegowa. Informacja o prywatności: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — baza danych Postgres, uwierzytelnianie, przechowywanie plików, Realtime. Produkcyjna baza danych FixVibe znajduje się w regionie AWS us-east-1. Informacja o prywatności: supabase.com/privacy.
• Stripe Inc. (USA) — przetwarzanie płatności dla płatnych planów. Informacja o prywatności: stripe.com/privacy.
• Upstash, Inc. (USA, przez Vercel Marketplace) — limitowanie żądań oparte na Redis; przechowuje tylko krótkotrwałe liczniki oparte na IP. Informacja o prywatności: upstash.com/privacy.
• PostHog Inc. (USA) — analityka produktu, tylko jeśli udzielisz zgody na analitykę i tylko gdy analityka jest skonfigurowana dla używanego przez ciebie wdrożenia. Informacja o prywatności: posthog.com/privacy.
• GitHub, Inc. (USA) — tylko jeśli połączysz opcjonalną integrację GitHub. Używamy API GitHub do odczytu repozytoriów, wobec których inicjujesz skany. Informacja o prywatności: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — dostarczanie e-maili transakcyjnych. Otrzymuje twój adres e-mail i treść wiadomości, gdy wysyłamy e-maile o zakończonym skanie, zaplanowanym skanie, alercie live-threat i tygodniowym podsumowaniu. Resend przechowuje metadane dostarczenia (znaczniki czasu, status, rekordy odbić) do celów operacyjnych; nigdy nie wysyłamy marketingu przez Resend. Informacja o prywatności: resend.com/legal/privacy-policy.

Transfery danych osobowych poza EEA/UK opierają się na standardowych klauzulach umownych Komisji Europejskiej (lub brytyjskim International Data Transfer Addendum), uzupełnionych środkami szyfrowania podczas transmisji i w spoczynku opisanymi poniżej w sekcji „Bezpieczeństwo“.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Zgodnie z GDPR, UK GDPR i równoważnymi przepisami (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act itd.) masz prawo do:

• dostępu do kopii swoich danych (możesz zrobić to samodzielnie z poziomu Konto → Prywatność);
• sprostowania swoich danych;
• usunięcia swoich danych (również samodzielnie);
• wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionych interesach;
• wycofania zgody na analitykę w dowolnym momencie przez Ustawienia plików cookie;
• przenoszenia danych — twój eksport jest w formacie JSON;
• złożenia skargi do lokalnego organu nadzorczego (EU/UK/EEA) lub jego odpowiednika.

Odpowiadamy na możliwe do zweryfikowania żądania dotyczące praw w ciągu 30 dni. W przypadku żądań, których nie możemy obsłużyć samoobsługowo (sprostowanie pola, którego nie udostępniamy, ograniczenie przetwarzania, sprzeciw), napisz na support@fixvibe.app z tematem „Privacy request“.

Nie sprzedajemy twoich danych osobowych. Nie udostępniamy danych osobowych na potrzeby reklamy behawioralnej między kontekstami. Analityka przez PostHog działa dopiero po udzieleniu zgody w naszym banerze cookie; możesz wycofać tę zgodę w dowolnym momencie przez Ustawienia plików cookie albo klikając Twoje wybory prywatności w stopce.

Jeśli jesteś mieszkańcem Kalifornii, masz także prawo do:

• wiedzy, jakie dane osobowe zbieramy, z jakich źródeł, w jakich celach i z jakimi stronami trzecimi je udostępniamy (wszystko opisano powyżej);
• zażądania usunięcia swoich danych osobowych (samoobsługowo przez Konto → Prywatność albo e-mailem do nas);
• poprawienia nieprawidłowych danych osobowych;
• ograniczenia użycia i ujawniania wrażliwych danych osobowych — nie zbieramy żadnych poza poświadczeniami uwierzytelniającymi i metadanymi sesji, które są wymagane do świadczenia usługi;
• rezygnacji ze sprzedaży lub udostępniania — nie dotyczy, ponieważ nie robimy żadnej z tych rzeczy;
• braku dyskryminacji za wykonanie któregokolwiek z powyższych praw.

Automatycznie respektujemy sygnały Global Privacy Control (GPC); wysłanie nagłówka GPC traktuje twoją wizytę tak, jakbyś wyraźnie zrezygnował z jakiejkolwiek przyszłej zgody na analitykę.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Żaden program bezpieczeństwa nie jest idealny. Jeśli uważasz, że znalazłeś podatność w FixVibe, zgłoś ją na support@fixvibe.app.

Jeśli wprowadzimy istotne zmiany — nowych podprzetwarzających, nowe kategorie danych, nowe okresy retencji — zaktualizujemy datę powyżej i powiadomimy cię w aplikacji. Drobne poprawki brzmienia nie uruchamiają powiadomienia.

privacy@fixvibe.app — odpowiedzi zwykle w ciągu 5 dni roboczych, nigdy dłużej niż 30 dni zgodnie z GDPR Art. 12(3).