FixVibe

// privacy

Política de Privacidade

última atualização · 2026-05-17

Quem somos

FixVibe é operado pela EGO HERO LLC (“nós”, “nos”), a responsável pelo tratamento dos dados pessoais descritos nesta política. Para questões de privacidade, incluindo pedidos de titulares de dados ao abrigo do GDPR, UK GDPR ou CCPA, contacta privacy@fixvibe.app. Para qualquer outro assunto, escreve para support@fixvibe.app.

O que recolhemos, porquê e durante quanto tempo conservamos

  • Dados da conta

    Endereço de email, identificador OAuth (se iniciares sessão com Google ou GitHub) e qualquer nome que recebamos do teu fornecedor OAuth. Usados para te autenticar e contactar sobre a tua conta. Conservados enquanto a tua conta estiver ativa. Quando eliminas a tua conta, estes dados são removidos no prazo de 30 dias, exceto quando sejamos obrigados a conservá-los (por exemplo, registos de faturação ao abrigo da lei fiscal).

    base legal · Execução de contrato — Art. 6(1)(b) GDPR

  • Alvos de scan e resultados

    Os URLs que analisas, os pedidos que fazemos a esses URLs e os resultados que produzimos. São guardados na tua organização. Eliminamos automaticamente registos mais antigos do que a janela de retenção do teu plano: 30 dias (Hobby), 90 dias (Pro), 365 dias (Unlimited). Podes exportar ou eliminar o teu histórico de scans a qualquer momento em Conta → Privacidade.

    base legal · Execução de contrato — Art. 6(1)(b) GDPR

  • Sessões de scan anónimas

    Se executares um scan sem iniciares sessão, emitimos um cookie assinado por HMAC (fixvibe_anon_session, validade de 24 horas) que contém um ID aleatório opaco. Eliminamos automaticamente registos de scans anónimos não reclamados após 24 horas. Se criares conta dentro da janela de 24 horas, o teu scan migra para a tua nova conta. Não sabemos quem são os utilizadores anónimos a menos que criem conta.

    base legal · Estritamente necessário — exceção ePrivacy Art. 5(3)

  • Dados de faturação

    A Stripe é o nosso processador de pagamentos. A Stripe armazena os dados do teu cartão em infraestrutura PCI-DSS; nós guardamos apenas um ID de cliente Stripe, estado da subscrição, plano, início/fim do período e um pequeno registo de idempotência dos eventos de webhook. Consulta o aviso de privacidade da Stripe em stripe.com/privacy.

    base legal · Execução de contrato — Art. 6(1)(b) GDPR

  • Registos de servidor e registos de auditoria

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    base legal · Interesse legítimo — Art. 6(1)(f) GDPR

  • Integração GitHub (opcional, apenas Pro+)

    Se ligares uma conta GitHub em Conta → Integrações, guardamos um token de acesso OAuth encriptado para a tua organização, o teu login GitHub + ID numérico de utilizador e os âmbitos concedidos. Usamos o token apenas para ler repositórios contra os quais inicias scans. O código-fonte é obtido por scan, processado em memória, e só são persistidas evidências individuais de resultados (sem despejos completos de código-fonte). Eliminado no prazo de 30 dias após desligares.

    base legal · Execução de contrato / consentimento — Art. 6(1)(b) + 6(1)(a) GDPR

  • Tokens de API + servidor MCP (opcional)

    Os tokens que crias em Conta → tokens de API são armazenados como hash SHA-256, os primeiros 8 caracteres em texto simples (para identificação), o nome que atribuíste e carimbos de data/hora de criação/última utilização/revogação. O texto simples é mostrado exatamente uma vez na criação e nunca é persistido. Os tokens são credenciais bearer: qualquer pessoa com o valor pode ler os teus scans e iniciar novos até revogares. O servidor MCP em /api/mcp é autenticado pelos mesmos tokens, expõe os mesmos dados que o painel exporia e não cria uma categoria de dados separada.

    base legal · Execução de contrato — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    base legal · Performance of contract — Art. 6(1)(b) GDPR

  • Deteção de ameaças em tempo real (opcional, apenas Unlimited)

    Se tiveres monitorização ativa num domínio verificado, capturamos periodicamente entradas de logs de transparência de certificados, registos DNS e listagens de threat-intel (Spamhaus DBL, URLhaus) para esse domínio. Estes snapshots contêm nomes de host que já nos autorizaste a analisar e os resultados públicos de consultas públicas. Não são capturados dados pessoais dos teus utilizadores finais. Snapshots com mais de 7 dias são eliminados automaticamente; a baseline mais recente é conservada por tipo de sinal.

    base legal · Execução de contrato — Art. 6(1)(b) GDPR

  • Re-scans agendados (opcional, apenas Pro+)

    Se ativares scans agendados num domínio verificado, registamos a cadência, a hora da última execução, a hora da próxima execução e que utilizador ativou o agendamento. Cada scan acionado por cron herda a declaração de autorização para scan feita quando o domínio foi verificado pela primeira vez — não voltas a declarar por execução. Desativa a qualquer momento em Domínios → Agendamento.

    base legal · Execução de contrato — Art. 6(1)(b) GDPR

  • Análises (opcional, sujeitas a consentimento)

    Se deres consentimento para análises e tivermos análises configuradas para a implantação que estás a usar, usamos um fornecedor de análise de produto respeitador da privacidade (com proxy através do nosso próprio domínio) para registar utilização anónima — que botões são clicados, que verificações as pessoas executam, onde os utilizadores abandonam o funil. Não colocamos URLs que analisas, conteúdo de evidências ou dados pessoais em eventos de análise. Revoga o consentimento a qualquer momento através de .

    base legal · Consentimento — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Reclamação de oferta promocional

    Quando reclama um código promocional, link de convite ou crédito de referência, armazenamos o código da campanha, o plano e duração que concedemos, as marcas temporais de início e fim da avaliação, o plano que tinha antes da avaliação e um hash HMAC-SHA256 do seu endereço IP no momento da reclamação (nunca armazenamos o IP em bruto — o hash existe apenas para podermos aplicar limites de uma-reclamação-por-rede, e rodar a chave HMAC subjacente invalida todos os hashes armazenados sem expor ninguém). Mantido durante a vida da campanha mais 18 meses para fins de contabilidade e investigação de fraude, depois eliminado com o resto do registo da campanha.

    base legal · Interesse legítimo (prevenção de fraude, contabilidade) — Art. 6(1)(f) RGPD

  • Concursos, sorteios e desafios

    Se participar num Desafio FixVibe (como o Security Preflight Challenge), armazenamos o email de contacto que submete (necessário para podermos contactá-lo se ganhar), os nomes de utilizador Reddit e Product Hunt que opcionalmente fornece, o seu scan ID e domínio raiz, o tipo de projeto auto-reportado, stack e texto de uma-coisa-que-aprendi que opcionalmente fornece, o valor do canal de descoberta que opcionalmente seleciona e as três caixas de consentimento obrigatórias que aceita (autorização, regras, contacto). Se separadamente marcar o consentimento opcional destaque-em-marketing, podemos exibir a sua pontuação pública, classificação, stack, nome de utilizador e citação submetida na página inicial da FixVibe, página do desafio ou publicação de recapitulação — nunca quaisquer outros campos e nunca sem esse opt-in. As inscrições no desafio são mantidas durante a vida do Desafio mais 18 meses para fins de verificação e litígio. Pode retirar o consentimento de destaque-em-marketing a qualquer momento enviando email para privacy@fixvibe.app; a retirada não afeta o processamento lícito antes da retirada.

    base legal · Execução de contrato (gestão do Desafio) e consentimento (destaque) — Art. 6(1)(b) e 6(1)(a) RGPD

O que NÃO recolhemos

  • Nunca vendemos os teus dados.
  • Não incorporamos ad-tech de terceiros, fingerprinting ou scripts de repetição de sessão.
  • Não colocamos os URLs dos teus alvos de scan nem evidências de resultados em propriedades de análise — esses dados vivem apenas na nossa base de dados, protegidos por row-level security.
  • Não partilhamos os teus dados com terceiros para o marketing próprio deles.

Subcontratantes

Dependemos dos seguintes subcontratantes para operar o FixVibe:

  • Vercel Inc. (EUA) — alojamento da aplicação e rede edge. Aviso de privacidade: vercel.com/legal/privacy-policy.
  • Supabase Inc. (EUA) — base de dados Postgres, autenticação, armazenamento de ficheiros, Realtime. A base de dados de produção do FixVibe está na região AWS us-east-1. Aviso de privacidade: supabase.com/privacy.
  • Stripe Inc. (EUA) — processamento de pagamentos para planos pagos. Aviso de privacidade: stripe.com/privacy.
  • Upstash, Inc. (EUA, através do Vercel Marketplace) — limitação de taxa apoiada por Redis; armazena apenas contadores de curta duração baseados em IP. Aviso de privacidade: upstash.com/privacy.
  • PostHog Inc. (EUA) — análise de produto, apenas se deres consentimento para análises e apenas quando as análises estiverem configuradas para a implantação que estás a usar. Aviso de privacidade: posthog.com/privacy.
  • GitHub, Inc. (EUA) — apenas se ligares a integração opcional GitHub. Usamos a API do GitHub para ler repositórios contra os quais inicias scans. Aviso de privacidade: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (EUA) — entrega de email transacional. Recebe o teu endereço de email e o corpo do email quando enviamos emails de scan concluído, scan agendado, alerta de ameaça em tempo real e resumo semanal. A Resend conserva metadados de entrega (carimbos de data/hora, estado, registos de bounce) para fins operacionais; nunca enviamos email de marketing através da Resend. Aviso de privacidade: resend.com/legal/privacy-policy.

As transferências de dados pessoais para fora do EEE/Reino Unido baseiam-se nas Cláusulas Contratuais-Tipo da Comissão Europeia (ou no International Data Transfer Addendum do Reino Unido), complementadas pelas medidas de encriptação em trânsito e em repouso descritas em “Segurança” abaixo.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Os teus direitos

Ao abrigo do GDPR, UK GDPR e leis equivalentes (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act etc.), tens direito a:

  • aceder a uma cópia dos teus dados (podes fazê-lo em self-service a partir de Conta → Privacidade);
  • ter os teus dados corrigidos;
  • ter os teus dados eliminados (também em self-service);
  • opor-te ao tratamento baseado em interesses legítimos;
  • retirar o consentimento para análises a qualquer momento através de ;
  • portabilidade dos dados — a tua exportação é em JSON;
  • apresentar uma reclamação junto da tua autoridade de controlo local (UE/Reino Unido/EEE) ou equivalente.

Respondemos a pedidos verificáveis de exercício de direitos no prazo de 30 dias. Para pedidos que não possamos satisfazer por self-service (retificação de um campo que não expomos, limitação do tratamento, oposição), envia email para support@fixvibe.app com o assunto “Pedido de privacidade”.

Residentes da Califórnia (CCPA / CPRA)

Não vendemos as tuas informações pessoais. Não partilhamos informações pessoais para publicidade comportamental entre contextos. As análises via PostHog só são executadas depois de dares consentimento no nosso banner de cookies; podes retirar esse consentimento a qualquer momento através de ou clicando em As tuas opções de privacidade no rodapé.

Se fores residente da Califórnia, também tens direito a:

  • saber que informações pessoais recolhemos, as fontes, as finalidades e quaisquer terceiros com quem as partilhamos (tudo detalhado acima);
  • pedir a eliminação das tuas informações pessoais (self-service em Conta → Privacidade ou por email);
  • corrigir informações pessoais inexatas;
  • limitar a utilização e divulgação de informações pessoais sensíveis — não recolhemos nenhumas além das credenciais de autenticação e metadados de sessão, ambos necessários para prestar o serviço;
  • optar por não vender ou partilhar — não aplicável, porque não fazemos nenhuma dessas coisas;
  • não sofrer discriminação por exercer qualquer um dos direitos acima.

Respeitamos automaticamente sinais de Global Privacy Control (GPC); enviar um cabeçalho GPC trata a tua visita como se tivesses recusado explicitamente qualquer consentimento futuro para análises.

Segurança

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Nenhum programa de segurança é perfeito. Se acreditas ter encontrado uma vulnerabilidade no FixVibe, comunica-a a support@fixvibe.app.

Alterações a esta política

Se fizermos alterações materiais — novos subcontratantes, novas categorias de dados, novos períodos de retenção — atualizaremos a data acima e notificaremos-te na aplicação. Pequenas correções de redação não acionam uma notificação.

Contacto

privacy@fixvibe.app — respostas normalmente no prazo de 5 dias úteis, nunca mais de 30 dias conforme exigido pelo GDPR Art. 12(3).

Política de Privacidade · FixVibe