Política de Privacidade

O FixVibe é operado pela EGO HERO LLC (“nós”, “nos”), a controladora dos dados pessoais descritos nesta política. Para questões de privacidade, incluindo solicitações de titulares de dados sob o GDPR, UK GDPR ou CCPA, entre em contato com privacy@fixvibe.app. Para qualquer outro assunto, escreva para support@fixvibe.app.

• Dados da conta

  Endereço de e-mail, identificador OAuth (se você entrar com Google ou GitHub) e qualquer nome que recebamos do seu provedor OAuth. Usados para autenticar você e entrar em contato sobre sua conta. Mantidos enquanto sua conta estiver ativa. Quando você exclui sua conta, esses dados são removidos em até 30 dias, exceto quando somos obrigados a mantê-los (por exemplo, registros de cobrança exigidos pela legislação tributária).

  base legal · Execução de contrato — Art. 6(1)(b) GDPR

• Alvos de varredura e descobertas

  As URLs que você varre, as solicitações que fazemos a essas URLs e as descobertas que produzimos. Armazenadas na sua organização. Excluímos automaticamente registros mais antigos do que a janela de retenção do seu plano: 30 dias (Hobby), 90 dias (Pro), 365 dias (Unlimited). Você pode exportar ou excluir seu histórico de varreduras a qualquer momento em Conta → Privacidade.

  base legal · Execução de contrato — Art. 6(1)(b) GDPR

• Sessões de varredura anônimas

  Se você executar uma varredura sem entrar, emitimos um cookie assinado por HMAC (fixvibe_anon_session, validade de 24 horas) que contém um ID aleatório opaco. Excluímos automaticamente registros de varreduras anônimas não reivindicadas após 24 horas. Se você se cadastrar dentro da janela de 24 horas, sua varredura migra para sua nova conta. Não sabemos quem são usuários anônimos a menos que eles se cadastrem.

  base legal · Estritamente necessário — exceção ePrivacy Art. 5(3)

• Dados de cobrança

  A Stripe é nossa processadora de pagamentos. Ela armazena os dados do seu cartão em infraestrutura PCI-DSS; nós armazenamos apenas um ID de cliente Stripe, status da assinatura, plano, início/fim do período e um pequeno registro de idempotência de eventos de webhook. Consulte o aviso de privacidade da Stripe em stripe.com/privacy.

  base legal · Execução de contrato — Art. 6(1)(b) GDPR

• Logs de servidor e logs de auditoria

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  base legal · Interesse legítimo — Art. 6(1)(f) GDPR

• Integração com GitHub (opcional, somente Pro+)

  Se você conectar uma conta GitHub em Conta → Integrações, armazenamos um token de acesso OAuth criptografado para sua organização, seu login do GitHub + ID numérico de usuário e os escopos concedidos. Usamos o token apenas para ler repositórios contra os quais você inicia varreduras. O código-fonte é buscado por varredura, processado em memória, e somente evidências individuais de descobertas são persistidas (sem despejos completos de código-fonte). Excluídos em até 30 dias após a desconexão.

  base legal · Execução de contrato / consentimento — Art. 6(1)(b) + 6(1)(a) GDPR

• Tokens de API + servidor MCP (opcional)

  Tokens que você cria em Conta → tokens de API são armazenados como hash SHA-256, os primeiros 8 caracteres em texto claro (para identificação), o nome atribuído, além de carimbos de data/hora de criação/último uso/revogação. O texto claro é mostrado a você exatamente uma vez na criação e nunca é persistido. Tokens são credenciais bearer: qualquer pessoa com o valor pode ler suas varreduras e iniciar novas até você revogar. O servidor MCP em /api/mcp é autenticado pelos mesmos tokens, expõe os mesmos dados que o painel exibiria e não cria uma categoria de dados separada.

  base legal · Execução de contrato — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  base legal · Performance of contract — Art. 6(1)(b) GDPR

• Detecção de ameaças ao vivo (opcional, somente Unlimited)

  Se você tiver monitoramento ativado em um domínio verificado, capturamos periodicamente entradas de logs de transparência de certificados, registros DNS e listagens de threat-intel (Spamhaus DBL, URLhaus) para esse domínio. Esses snapshots contêm nomes de host que você já nos autorizou a varrer e os resultados públicos de consultas públicas. Nenhum dado pessoal dos seus usuários finais é capturado. Snapshots com mais de 7 dias são excluídos automaticamente; a baseline mais recente é mantida por tipo de sinal.

  base legal · Execução de contrato — Art. 6(1)(b) GDPR

• Novas varreduras agendadas (opcional, somente Pro+)

  Se você ativar varreduras agendadas em um domínio verificado, registramos a cadência, o horário da última execução, o horário da próxima execução e qual usuário ativou o agendamento. Cada varredura acionada por cron herda a declaração de autorização para varrer feita quando o domínio foi verificado pela primeira vez — você não declara novamente a cada execução. Desative a qualquer momento em Domínios → Agendamento.

  base legal · Execução de contrato — Art. 6(1)(b) GDPR

• Análises (opcional, sujeitas a consentimento)

  Se você conceder consentimento para análises e tivermos análises configuradas para a implantação que você está usando, usamos um provedor de análise de produto que respeita a privacidade (com proxy pelo nosso próprio domínio) para registrar uso anônimo — quais botões são clicados, quais verificações as pessoas executam, onde os usuários abandonam o funil. Não colocamos URLs que você varre, conteúdo de evidências ou dados pessoais em eventos de análise. Revogue o consentimento a qualquer momento por meio de Configurações de cookies.

  base legal · Consentimento — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Resgate de oferta promocional

  Quando você resgata um código promocional, link de convite ou crédito de indicação, armazenamos o código da campanha, o plano e a duração que concedemos, os carimbos de data/hora de início e fim do teste, o plano que você tinha antes do teste e um hash HMAC-SHA256 do seu endereço IP no momento do resgate (nunca armazenamos o IP bruto — o hash existe apenas para que possamos aplicar limites de um-resgate-por-rede, e rotacionar a chave HMAC subjacente invalida todos os hashes armazenados sem expor ninguém). Mantido pela vida da campanha mais 18 meses para fins de contabilidade e investigação de fraudes, depois excluído junto com o resto do registro da campanha.

  base legal · Interesse legítimo (prevenção de fraudes, contabilidade) — Art. 6(1)(f) GDPR

• Concursos, sorteios e desafios

  Se você participar de um Desafio FixVibe (como o Security Preflight Challenge), armazenamos o e-mail de contato que você enviar (necessário para que possamos contatá-lo se ganhar), os nomes de usuário do Reddit e Product Hunt que você opcionalmente fornecer, seu scan ID e domínio raiz, o tipo de projeto autodeclarado, stack e texto de uma-coisa-que-aprendi que você opcionalmente fornecer, o valor do canal de descoberta que você opcionalmente selecionar e as três caixas de seleção de consentimento obrigatórias que você aceitar (autorização, regras, contato). Se você marcar separadamente o consentimento opcional de destaque-em-marketing, podemos exibir sua pontuação pública, classificação, stack, nome de usuário e citação enviada na página inicial do FixVibe, na página do desafio ou em um post de recapitulação — nunca qualquer outro campo e nunca sem esse opt-in. As inscrições do desafio são mantidas pela vida do Desafio mais 18 meses para fins de verificação e disputa. Você pode retirar o consentimento de destaque-em-marketing a qualquer momento enviando e-mail para privacy@fixvibe.app; a retirada não afeta o processamento lícito anterior à retirada.

  base legal · Execução de contrato (realização do Desafio) e consentimento (destaque) — Art. 6(1)(b) e 6(1)(a) GDPR

• Nunca vendemos seus dados.
• Não incorporamos ad-tech de terceiros, fingerprinting nem scripts de repetição de sessão.
• Não colocamos as URLs dos seus alvos de varredura nem evidências de descobertas em propriedades de análise — esses dados vivem apenas no nosso banco de dados, protegidos por row-level security.
• Não compartilhamos seus dados com terceiros para marketing próprio deles.

Contamos com os seguintes suboperadores para executar o FixVibe:

• Vercel Inc. (EUA) — hospedagem da aplicação e rede edge. Aviso de privacidade: vercel.com/legal/privacy-policy.
• Supabase Inc. (EUA) — banco de dados Postgres, autenticação, armazenamento de arquivos, Realtime. O banco de dados de produção do FixVibe fica na região AWS us-east-1. Aviso de privacidade: supabase.com/privacy.
• Stripe Inc. (EUA) — processamento de pagamentos para planos pagos. Aviso de privacidade: stripe.com/privacy.
• Upstash, Inc. (EUA, via Vercel Marketplace) — limitação de taxa baseada em Redis; armazena apenas contadores de curta duração baseados em IP. Aviso de privacidade: upstash.com/privacy.
• PostHog Inc. (EUA) — análise de produto, somente se você conceder consentimento para análises e somente quando as análises estiverem configuradas para a implantação que você está usando. Aviso de privacidade: posthog.com/privacy.
• GitHub, Inc. (EUA) — somente se você conectar a integração opcional com GitHub. Usamos a API do GitHub para ler repositórios contra os quais você inicia varreduras. Aviso de privacidade: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (EUA) — entrega de e-mail transacional. Recebe seu endereço de e-mail e o corpo do e-mail quando enviamos e-mails de varredura concluída, varredura agendada, alerta de ameaça ao vivo e resumo semanal. A Resend mantém metadados de entrega (carimbos de data/hora, status, registros de bounce) para fins operacionais; nunca enviamos e-mail de marketing pela Resend. Aviso de privacidade: resend.com/legal/privacy-policy.

Transferências de dados pessoais para fora do EEE/Reino Unido dependem das Cláusulas Contratuais Padrão da Comissão Europeia (ou do International Data Transfer Addendum do Reino Unido), complementadas pelas medidas de criptografia em trânsito e em repouso descritas em “Segurança” abaixo.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Sob o GDPR, UK GDPR e leis equivalentes (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act etc.), você tem o direito de:

• acessar uma cópia dos seus dados (você pode fazer isso por autoatendimento em Conta → Privacidade);
• ter seus dados corrigidos;
• ter seus dados excluídos (também por autoatendimento);
• opor-se ao processamento baseado em interesses legítimos;
• retirar o consentimento para análises a qualquer momento por meio de Configurações de cookies;
• portabilidade dos dados — sua exportação fica em JSON;
• apresentar uma reclamação à sua autoridade supervisora local (UE/Reino Unido/EEE) ou equivalente.

Respondemos a solicitações verificáveis de direitos em até 30 dias. Para solicitações que não podemos atender por autoatendimento (retificação de um campo que não expomos, restrição de processamento, oposição), envie e-mail para support@fixvibe.app com o assunto “Solicitação de privacidade”.

Não vendemos suas informações pessoais. Não compartilhamos informações pessoais para publicidade comportamental entre contextos. As análises por PostHog só são executadas depois que você concede consentimento no nosso banner de cookies; você pode retirar esse consentimento a qualquer momento por meio de Configurações de cookies ou clicando em Suas escolhas de privacidade no rodapé.

Se você é residente da Califórnia, também tem o direito de:

• saber quais informações pessoais coletamos, as fontes, as finalidades e quaisquer terceiros com quem as compartilhamos (tudo detalhado acima);
• solicitar a exclusão das suas informações pessoais (autoatendimento em Conta → Privacidade ou por e-mail);
• corrigir informações pessoais inexatas;
• limitar o uso e a divulgação de informações pessoais sensíveis — não coletamos nenhuma além de credenciais de autenticação e metadados de sessão, ambos necessários para fornecer o serviço;
• optar por não vender ou compartilhar — não aplicável, pois não fazemos nenhum dos dois;
• não ser discriminado por exercer qualquer um dos direitos acima.

Respeitamos automaticamente sinais de Global Privacy Control (GPC); enviar um cabeçalho GPC trata sua visita como se você tivesse recusado explicitamente qualquer consentimento futuro para análises.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Nenhum programa de segurança é perfeito. Se você acredita ter encontrado uma vulnerabilidade no FixVibe, informe em support@fixvibe.app.

Se fizermos alterações materiais — novos suboperadores, novas categorias de dados, novos períodos de retenção — atualizaremos a data acima e notificaremos você no app. Pequenas correções de redação não acionam uma notificação.

privacy@fixvibe.app — respostas normalmente em até 5 dias úteis, nunca mais de 30 dias conforme exigido pelo GDPR Art. 12(3).