// privacy
Política de Privacidade
última atualização · 2026-05-17
Quem somos
O FixVibe é operado pela EGO HERO LLC (“nós”, “nos”), a controladora dos dados pessoais descritos nesta política. Para questões de privacidade, incluindo solicitações de titulares de dados sob o GDPR, UK GDPR ou CCPA, entre em contato com privacy@fixvibe.app. Para qualquer outro assunto, escreva para support@fixvibe.app.
O que coletamos, por quê e por quanto tempo mantemos
Dados da conta
Endereço de e-mail, identificador OAuth (se você entrar com Google ou GitHub) e qualquer nome que recebamos do seu provedor OAuth. Usados para autenticar você e entrar em contato sobre sua conta. Mantidos enquanto sua conta estiver ativa. Quando você exclui sua conta, esses dados são removidos em até 30 dias, exceto quando somos obrigados a mantê-los (por exemplo, registros de cobrança exigidos pela legislação tributária).
base legal · Execução de contrato — Art. 6(1)(b) GDPR
Alvos de varredura e descobertas
As URLs que você varre, as solicitações que fazemos a essas URLs e as descobertas que produzimos. Armazenadas na sua organização. Excluímos automaticamente registros mais antigos do que a janela de retenção do seu plano: 30 dias (Hobby), 90 dias (Pro), 365 dias (Unlimited). Você pode exportar ou excluir seu histórico de varreduras a qualquer momento em Conta → Privacidade.
base legal · Execução de contrato — Art. 6(1)(b) GDPR
Sessões de varredura anônimas
Se você executar uma varredura sem entrar, emitimos um cookie assinado por HMAC (fixvibe_anon_session, validade de 24 horas) que contém um ID aleatório opaco. Excluímos automaticamente registros de varreduras anônimas não reivindicadas após 24 horas. Se você se cadastrar dentro da janela de 24 horas, sua varredura migra para sua nova conta. Não sabemos quem são usuários anônimos a menos que eles se cadastrem.
base legal · Estritamente necessário — exceção ePrivacy Art. 5(3)
Dados de cobrança
A Stripe é nossa processadora de pagamentos. Ela armazena os dados do seu cartão em infraestrutura PCI-DSS; nós armazenamos apenas um ID de cliente Stripe, status da assinatura, plano, início/fim do período e um pequeno registro de idempotência de eventos de webhook. Consulte o aviso de privacidade da Stripe em stripe.com/privacy.
base legal · Execução de contrato — Art. 6(1)(b) GDPR
Logs de servidor e logs de auditoria
Os logs de solicitação API de curta duração podem incluir endereço IP, agente do usuário, método, caminho, status, duração, ID da solicitação, contexto do usuário/organização e strings de erro para que possamos depurar o serviço e detectar abusos. Esses logs de solicitação são removidos automaticamente após 72 horas pelo nosso cron de retenção, com até 24 horas de atraso no agendamento do cron. Os registros de auditoria para ações relevantes à segurança (incluindo login, verificação iniciada, token criado/revogado, alteração de plano, exclusão de conta e ações de administração/suporte) podem incluir endereço IP, agente do usuário e metadados de solicitação. Os registros de auditoria são eliminados automaticamente após 18 meses, exceto quando um período mais longo for necessário para cumprir um processo legal ou para defender uma ação judicial.
base legal · Interesse legítimo — Art. 6(1)(f) GDPR
Integração com GitHub (opcional, somente Pro+)
Se você conectar uma conta GitHub em Conta → Integrações, armazenamos um token de acesso OAuth criptografado para sua organização, seu login do GitHub + ID numérico de usuário e os escopos concedidos. Usamos o token apenas para ler repositórios contra os quais você inicia varreduras. O código-fonte é buscado por varredura, processado em memória, e somente evidências individuais de descobertas são persistidas (sem despejos completos de código-fonte). Excluídos em até 30 dias após a desconexão.
base legal · Execução de contrato / consentimento — Art. 6(1)(b) + 6(1)(a) GDPR
Tokens de API + servidor MCP (opcional)
Tokens que você cria em Conta → tokens de API são armazenados como hash SHA-256, os primeiros 8 caracteres em texto claro (para identificação), o nome atribuído, além de carimbos de data/hora de criação/último uso/revogação. O texto claro é mostrado a você exatamente uma vez na criação e nunca é persistido. Tokens são credenciais bearer: qualquer pessoa com o valor pode ler suas varreduras e iniciar novas até você revogar. O servidor MCP em /api/mcp é autenticado pelos mesmos tokens, expõe os mesmos dados que o painel exibiria e não cria uma categoria de dados separada.
base legal · Execução de contrato — Art. 6(1)(b) GDPR
Webhooks de saída (opcionais, planos pagos)
Se você criar endpoints de webhook em Conta → Webhooks, armazenaremos o URL do endpoint, tipos de eventos selecionados, status de entrega, trechos de resposta curtos e um segredo de assinatura criptografado. Enviamos metadados de varredura, localização, alerta de monitoramento e execução programada para os endpoints que você configurar. Esses endpoints são destinatários escolhidos pela sua organização, não FixVibe subprocessadores.
base legal · Execução do contrato – Art. 6(1)(b) GDPR
Detecção de ameaças ao vivo (opcional, somente Unlimited)
Se você tiver monitoramento ativado em um domínio verificado, capturamos periodicamente entradas de logs de transparência de certificados, registros DNS e listagens de threat-intel (Spamhaus DBL, URLhaus) para esse domínio. Esses snapshots contêm nomes de host que você já nos autorizou a varrer e os resultados públicos de consultas públicas. Nenhum dado pessoal dos seus usuários finais é capturado. Snapshots com mais de 7 dias são excluídos automaticamente; a baseline mais recente é mantida por tipo de sinal.
base legal · Execução de contrato — Art. 6(1)(b) GDPR
Novas varreduras agendadas (opcional, somente Pro+)
Se você ativar varreduras agendadas em um domínio verificado, registramos a cadência, o horário da última execução, o horário da próxima execução e qual usuário ativou o agendamento. Cada varredura acionada por cron herda a declaração de autorização para varrer feita quando o domínio foi verificado pela primeira vez — você não declara novamente a cada execução. Desative a qualquer momento em Domínios → Agendamento.
base legal · Execução de contrato — Art. 6(1)(b) GDPR
Análises (opcional, sujeitas a consentimento)
Se você conceder consentimento para análises e tivermos análises configuradas para a implantação que você está usando, usamos um provedor de análise de produto que respeita a privacidade (com proxy pelo nosso próprio domínio) para registrar uso anônimo — quais botões são clicados, quais verificações as pessoas executam, onde os usuários abandonam o funil. Não colocamos URLs que você varre, conteúdo de evidências ou dados pessoais em eventos de análise. Revogue o consentimento a qualquer momento por meio de .
base legal · Consentimento — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)
Resgate de oferta promocional
Quando você resgata um código promocional, link de convite ou crédito de indicação, armazenamos o código da campanha, o plano e a duração que concedemos, os carimbos de data/hora de início e fim do teste, o plano que você tinha antes do teste e um hash HMAC-SHA256 do seu endereço IP no momento do resgate (nunca armazenamos o IP bruto — o hash existe apenas para que possamos aplicar limites de um-resgate-por-rede, e rotacionar a chave HMAC subjacente invalida todos os hashes armazenados sem expor ninguém). Mantido pela vida da campanha mais 18 meses para fins de contabilidade e investigação de fraudes, depois excluído junto com o resto do registro da campanha.
base legal · Interesse legítimo (prevenção de fraudes, contabilidade) — Art. 6(1)(f) GDPR
Concursos, sorteios e desafios
Se você participar de um Desafio FixVibe (como o Security Preflight Challenge), armazenamos o e-mail de contato que você enviar (necessário para que possamos contatá-lo se ganhar), os nomes de usuário do Reddit e Product Hunt que você opcionalmente fornecer, seu scan ID e domínio raiz, o tipo de projeto autodeclarado, stack e texto de uma-coisa-que-aprendi que você opcionalmente fornecer, o valor do canal de descoberta que você opcionalmente selecionar e as três caixas de seleção de consentimento obrigatórias que você aceitar (autorização, regras, contato). Se você marcar separadamente o consentimento opcional de destaque-em-marketing, podemos exibir sua pontuação pública, classificação, stack, nome de usuário e citação enviada na página inicial do FixVibe, na página do desafio ou em um post de recapitulação — nunca qualquer outro campo e nunca sem esse opt-in. As inscrições do desafio são mantidas pela vida do Desafio mais 18 meses para fins de verificação e disputa. Você pode retirar o consentimento de destaque-em-marketing a qualquer momento enviando e-mail para privacy@fixvibe.app; a retirada não afeta o processamento lícito anterior à retirada.
base legal · Execução de contrato (realização do Desafio) e consentimento (destaque) — Art. 6(1)(b) e 6(1)(a) GDPR
O que NÃO coletamos
- Nunca vendemos seus dados.
- Não incorporamos ad-tech de terceiros, fingerprinting nem scripts de repetição de sessão.
- Não colocamos as URLs dos seus alvos de varredura nem evidências de descobertas em propriedades de análise — esses dados vivem apenas no nosso banco de dados, protegidos por row-level security.
- Não compartilhamos seus dados com terceiros para marketing próprio deles.
Suboperadores
Contamos com os seguintes suboperadores para executar o FixVibe:
- Vercel Inc. (EUA) — hospedagem da aplicação e rede edge. Aviso de privacidade: vercel.com/legal/privacy-policy.
- Supabase Inc. (EUA) — banco de dados Postgres, autenticação, armazenamento de arquivos, Realtime. O banco de dados de produção do FixVibe fica na região AWS us-east-1. Aviso de privacidade: supabase.com/privacy.
- Stripe Inc. (EUA) — processamento de pagamentos para planos pagos. Aviso de privacidade: stripe.com/privacy.
- Upstash, Inc. (EUA, via Vercel Marketplace) — limitação de taxa baseada em Redis; armazena apenas contadores de curta duração baseados em IP. Aviso de privacidade: upstash.com/privacy.
- PostHog Inc. (EUA) — análise de produto, somente se você conceder consentimento para análises e somente quando as análises estiverem configuradas para a implantação que você está usando. Aviso de privacidade: posthog.com/privacy.
- GitHub, Inc. (EUA) — somente se você conectar a integração opcional com GitHub. Usamos a API do GitHub para ler repositórios contra os quais você inicia varreduras. Aviso de privacidade: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
- Resend, Inc. (EUA) — entrega de e-mail transacional. Recebe seu endereço de e-mail e o corpo do e-mail quando enviamos e-mails de varredura concluída, varredura agendada, alerta de ameaça ao vivo e resumo semanal. A Resend mantém metadados de entrega (carimbos de data/hora, status, registros de bounce) para fins operacionais; nunca enviamos e-mail de marketing pela Resend. Aviso de privacidade: resend.com/legal/privacy-policy.
Transferências de dados pessoais para fora do EEE/Reino Unido dependem das Cláusulas Contratuais Padrão da Comissão Europeia (ou do International Data Transfer Addendum do Reino Unido), complementadas pelas medidas de criptografia em trânsito e em repouso descritas em “Segurança” abaixo.
Atualizaremos esta lista e notificaremos os clientes no aplicativo se adicionarmos um novo subprocessador que processe dados pessoais em nosso nome. Os endpoints de webhook de saída configurados pelo cliente são destinatários selecionados pelo cliente, não subprocessadores FixVibe.
Seus direitos
Sob o GDPR, UK GDPR e leis equivalentes (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act etc.), você tem o direito de:
- acessar uma cópia dos seus dados (você pode fazer isso por autoatendimento em Conta → Privacidade);
- ter seus dados corrigidos;
- ter seus dados excluídos (também por autoatendimento);
- opor-se ao processamento baseado em interesses legítimos;
- retirar o consentimento para análises a qualquer momento por meio de ;
- portabilidade dos dados — sua exportação fica em JSON;
- apresentar uma reclamação à sua autoridade supervisora local (UE/Reino Unido/EEE) ou equivalente.
Respondemos a solicitações verificáveis de direitos em até 30 dias. Para solicitações que não podemos atender por autoatendimento (retificação de um campo que não expomos, restrição de processamento, oposição), envie e-mail para support@fixvibe.app com o assunto “Solicitação de privacidade”.
Residentes da Califórnia (CCPA / CPRA)
Não vendemos suas informações pessoais. Não compartilhamos informações pessoais para publicidade comportamental entre contextos. As análises por PostHog só são executadas depois que você concede consentimento no nosso banner de cookies; você pode retirar esse consentimento a qualquer momento por meio de ou clicando em Suas escolhas de privacidade no rodapé.
Se você é residente da Califórnia, também tem o direito de:
- saber quais informações pessoais coletamos, as fontes, as finalidades e quaisquer terceiros com quem as compartilhamos (tudo detalhado acima);
- solicitar a exclusão das suas informações pessoais (autoatendimento em Conta → Privacidade ou por e-mail);
- corrigir informações pessoais inexatas;
- limitar o uso e a divulgação de informações pessoais sensíveis — não coletamos nenhuma além de credenciais de autenticação e metadados de sessão, ambos necessários para fornecer o serviço;
- optar por não vender ou compartilhar — não aplicável, pois não fazemos nenhum dos dois;
- não ser discriminado por exercer qualquer um dos direitos acima.
Respeitamos automaticamente sinais de Global Privacy Control (GPC); enviar um cabeçalho GPC trata sua visita como se você tivesse recusado explicitamente qualquer consentimento futuro para análises.
Segurança
Forçamos a segurança em nível de linha em todas as tabelas do banco de dados; os usuários veem apenas registros pertencentes a organizações das quais são membros. Os cabeçalhos de verificação autenticada, quando fornecidos, são criptografados em repouso com AES-256-GCM e eliminados após a conclusão da verificação. As cargas úteis do webhook Stripe são verificadas HMAC antes do processamento, e os segredos de assinatura do webhook de saída do cliente são criptografados em repouso. A credencial do banco de dados de função de serviço é mantida somente no tempo de execução do servidor e nunca é exposta ao navegador. Todo o tráfego entre você e FixVibe, e entre FixVibe e nossos subprocessadores, usa TLS 1.2 ou superior.
Nenhum programa de segurança é perfeito. Se você acredita ter encontrado uma vulnerabilidade no FixVibe, informe em support@fixvibe.app.
Alterações a esta política
Se fizermos alterações materiais — novos suboperadores, novas categorias de dados, novos períodos de retenção — atualizaremos a data acima e notificaremos você no app. Pequenas correções de redação não acionam uma notificação.
Contato
privacy@fixvibe.app — respostas normalmente em até 5 dias úteis, nunca mais de 30 dias conforme exigido pelo GDPR Art. 12(3).
