Politica de confidențialitate

FixVibe este operat de EGO HERO LLC („noi“, „pe noi“), operatorul datelor cu caracter personal descrise în această politică. Pentru întrebări privind confidențialitatea, inclusiv cereri ale persoanelor vizate în temeiul GDPR, UK GDPR sau CCPA, contactează privacy@fixvibe.app. Pentru orice altceva, scrie la support@fixvibe.app.

• Date de cont

  Adresa de e-mail, identificatorul OAuth (dacă te autentifici cu Google sau GitHub) și orice nume primim de la furnizorul tău OAuth. Folosite pentru a te autentifica și pentru a te contacta despre contul tău. Păstrate cât timp contul tău este activ. Când îți ștergi contul, aceste date sunt eliminate în termen de 30 de zile, cu excepția cazurilor în care suntem obligați să le păstrăm (de exemplu, evidențe de facturare conform legislației fiscale).

  temei legal · Executarea contractului — Art. 6(1)(b) GDPR

• Ținte de scanare și constatări

  URL-urile pe care le scanezi, solicitările pe care le facem către acele URL-uri și constatările pe care le producem. Stocate pentru organizația ta. Ștergem automat înregistrările mai vechi decât fereastra de retenție a planului tău: 30 de zile (Hobby), 90 de zile (Pro), 365 de zile (Unlimited). Poți exporta sau șterge istoricul scanărilor în orice moment din Cont → Confidențialitate.

  temei legal · Executarea contractului — Art. 6(1)(b) GDPR

• Sesiuni de scanare anonime

  Dacă rulezi o scanare fără să te autentifici, emitem un cookie semnat HMAC (fixvibe_anon_session, durată de viață 24 de ore) care conține un ID aleator opac. Ștergem automat înregistrările de scanare anonime nerevendicate după 24 de ore. Dacă te înscrii în intervalul de 24 de ore, scanarea ta migrează în noul tău cont. Nu știm cine sunt utilizatorii anonimi decât dacă se înscriu.

  temei legal · Strict necesar — excepția ePrivacy Art. 5(3)

• Date de facturare

  Stripe este procesatorul nostru de plăți. Stripe stochează detaliile cardului tău pe infrastructură PCI-DSS; noi stocăm doar un ID de client Stripe, starea abonamentului, planul, începutul și sfârșitul perioadei și o mică înregistrare de idempotency a evenimentelor webhook. Vezi notificarea de confidențialitate Stripe la stripe.com/privacy.

  temei legal · Executarea contractului — Art. 6(1)(b) GDPR

• Loguri de server și loguri de audit

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  temei legal · Interes legitim — Art. 6(1)(f) GDPR

• Integrare GitHub (opțională, doar Pro+)

  Dacă conectezi un cont GitHub din Cont → Integrări, stocăm un token de acces OAuth criptat pentru organizația ta, loginul tău GitHub + ID-ul numeric de utilizator și scope-urile acordate. Folosim tokenul exclusiv pentru a citi depozitele pentru care inițiezi scanări. Codul sursă este preluat per scanare, prelucrat în memorie, iar doar dovezile individuale ale constatărilor sunt persistate (fără dumpuri complete de sursă). Șters în termen de 30 de zile de la deconectare.

  temei legal · Executarea contractului / consimțământ — Art. 6(1)(b) + 6(1)(a) GDPR

• Tokenuri API + server MCP (opțional)

  Tokenurile pe care le creezi la Cont → tokenuri API sunt stocate ca hash SHA-256, primele 8 caractere în text clar (pentru identificare), numele atribuit de tine, plus marcaje temporale pentru creare, ultima utilizare și revocare. Textul clar îți este afișat exact o dată la creare și nu este niciodată persistat. Tokenurile sunt credențiale bearer: oricine are valoarea poate citi scanările tale și porni altele noi până când le revoci. Serverul MCP de la /api/mcp este autentificat de aceleași tokenuri, expune aceleași date ca dashboardul și nu creează o categorie separată de date.

  temei legal · Executarea contractului — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  temei legal · Performance of contract — Art. 6(1)(b) GDPR

• Detectare live a amenințărilor (opțională, doar Unlimited)

  Dacă ai monitorizarea activată pe un domeniu verificat, capturăm periodic intrări din loguri certificate-transparency, înregistrări DNS și listări threat-intel (Spamhaus DBL, URLhaus) pentru acel domeniu. Aceste instantanee conțin hostname-uri pe care ne-ai autorizat deja să le scanăm și rezultatele publice ale interogărilor publice. Nu sunt capturate date cu caracter personal ale utilizatorilor tăi finali. Instantaneele mai vechi de 7 zile sunt șterse automat; cel mai recent baseline este păstrat pentru fiecare tip de semnal.

  temei legal · Executarea contractului — Art. 6(1)(b) GDPR

• Rescanări programate (opțional, doar Pro+)

  Dacă activezi scanări programate pe un domeniu verificat, înregistrăm cadența, ora ultimei rulări, ora următoarei rulări și utilizatorul care a activat programarea. Fiecare scanare declanșată de cron moștenește atestarea autorizației de scanare făcută când domeniul a fost verificat prima dată — nu reatestezi la fiecare rulare. Dezactivează oricând din Domenii → Programare.

  temei legal · Executarea contractului — Art. 6(1)(b) GDPR

• Analitice (opțional, cu consimțământ)

  Dacă acorzi consimțământ pentru analitice și avem analitice configurate pentru deploymentul pe care îl folosești, utilizăm un furnizor de analitice de produs care respectă confidențialitatea (proxiat prin propriul nostru domeniu) pentru a înregistra utilizare anonimă — ce butoane sunt apăsate, ce verificări rulează oamenii, unde abandonează utilizatorii în funnel. Nu punem URL-urile pe care le scanezi, conținutul dovezilor sau date cu caracter personal în evenimentele de analitice. Retrage consimțământul oricând prin Setări cookie.

  temei legal · Consimțământ — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Revendicarea ofertei promoționale

  Când revendicați un cod promoțional, link de invitație sau credit de recomandare, stocăm codul campaniei, planul și durata pe care le-am acordat, marcajele de timp de început și sfârșit ale probei, planul pe care l-ați avut înainte de probă și un hash HMAC-SHA256 al adresei dvs. IP la momentul revendicării (nu stocăm niciodată IP-ul brut — hash-ul există doar pentru a putea aplica limite de o-revendicare-per-rețea, iar rotirea cheii HMAC subiacente invalidează toate hash-urile stocate fără a expune pe nimeni). Reținut pentru durata de viață a campaniei plus 18 luni pentru scopuri de contabilitate și investigare a fraudei, apoi șters cu restul înregistrării campaniei.

  temei legal · Interes legitim (prevenirea fraudei, contabilitate) — Art. 6(1)(f) GDPR

• Concursuri, tombole și provocări

  Dacă vă înscrieți într-o Provocare FixVibe (cum ar fi Security Preflight Challenge), stocăm email-ul de contact pe care îl trimiteți (necesar ca să vă putem contacta dacă câștigați), numele de utilizator Reddit și Product Hunt pe care le furnizați opțional, scan ID-ul și domeniul rădăcină, tipul de proiect auto-raportat, stack-ul și textul un-lucru-pe-care-l-am-învățat pe care le furnizați opțional, valoarea canalului de descoperire pe care îl selectați opțional și cele trei căsuțe de consimțământ obligatorii pe care le acceptați (autorizare, reguli, contact). Dacă bifați separat consimțământul opțional prezentat-în-marketing, putem afișa scorul public, ratingul, stack-ul, numele de utilizator și citatul trimis pe pagina principală FixVibe, pagina provocării sau postarea de recapitulare — niciodată alte câmpuri și niciodată fără acel opt-in. Înscrierile în provocare sunt reținute pentru durata de viață a Provocării plus 18 luni pentru scopuri de verificare și dispută. Puteți retrage consimțământul prezentat-în-marketing oricând trimițând email la privacy@fixvibe.app; retragerea nu afectează prelucrarea legală anterioară retragerii.

  temei legal · Executarea contractului (rularea Provocării) și consimțământ (prezentare) — Art. 6(1)(b) și 6(1)(a) GDPR

• Nu vindem niciodată datele tale.
• Nu încorporăm ad-tech terț, fingerprinting sau scripturi de session-replay.
• Nu punem URL-urile țintelor scanării sau dovezile constatărilor în proprietăți de analitice — acele date trăiesc doar în baza noastră de date, protejate prin securitate la nivel de rând.
• Nu împărtășim datele tale cu terți pentru marketingul lor propriu.

Ne bazăm pe următoarele subpersoane împuternicite pentru a rula FixVibe:

• Vercel Inc. (SUA) — găzduire aplicație și rețea edge. Notificare de confidențialitate: vercel.com/legal/privacy-policy.
• Supabase Inc. (SUA) — bază de date Postgres, autentificare, stocare fișiere, Realtime. Baza de date de producție FixVibe este în regiunea AWS us-east-1. Notificare de confidențialitate: supabase.com/privacy.
• Stripe Inc. (SUA) — procesarea plăților pentru planurile plătite. Notificare de confidențialitate: stripe.com/privacy.
• Upstash, Inc. (SUA, prin Vercel Marketplace) — limitare de rată susținută de Redis; stochează doar contoare IP cu durată scurtă. Notificare de confidențialitate: upstash.com/privacy.
• PostHog Inc. (SUA) — analitice de produs, numai dacă acorzi consimțământ pentru analitice și numai când analiticele sunt configurate pentru deploymentul pe care îl folosești. Notificare de confidențialitate: posthog.com/privacy.
• GitHub, Inc. (SUA) — numai dacă conectezi integrarea opțională GitHub. Folosim API-ul GitHub pentru a citi depozitele pentru care inițiezi scanări. Notificare de confidențialitate: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (SUA) — livrare de e-mailuri tranzacționale. Primește adresa ta de e-mail și corpul e-mailului când trimitem e-mailuri de scanare finalizată, scanare programată, alertă live-threat și digest săptămânal. Resend păstrează metadate de livrare (marcaje temporale, stare, înregistrări de bounce) în scopuri operaționale; nu trimitem niciodată e-mailuri de marketing prin Resend. Notificare de confidențialitate: resend.com/legal/privacy-policy.

Transferurile de date cu caracter personal în afara EEA/UK se bazează pe Clauzele Contractuale Standard ale Comisiei Europene (sau pe International Data Transfer Addendum al UK), completate de măsurile de criptare în tranzit și criptare în repaus descrise mai jos la „Securitate“.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Conform GDPR, UK GDPR și legilor echivalente (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act etc.), ai dreptul să:

• accesezi o copie a datelor tale (poți face asta self-serve din Cont → Confidențialitate);
• îți fie corectate datele;
• îți fie șterse datele (tot self-serve);
• te opui prelucrării bazate pe interese legitime;
• retragi consimțământul pentru analitice oricând prin Setări cookie;
• portabilitatea datelor — exportul tău este în JSON;
• depui o plângere la autoritatea locală de supraveghere (EU/UK/EEA) sau echivalentul acesteia.

Răspundem cererilor verificabile privind drepturile în termen de 30 de zile. Pentru cereri pe care nu le putem satisface self-serve (rectificarea unui câmp pe care nu îl expunem, restricționarea prelucrării, opoziție), trimite e-mail la support@fixvibe.app cu subiectul „Privacy request“.

Nu vindem informațiile tale personale. Nu împărtășim informații personale pentru publicitate comportamentală cross-context. Analiticele prin PostHog rulează numai după ce acorzi consimțământ în bannerul nostru cookie; poți retrage acel consimțământ oricând prin Setări cookie sau făcând clic pe Alegerile tale de confidențialitate în footer.

Dacă ești rezident din California, ai și dreptul să:

• știi ce informații personale colectăm, sursele, scopurile și orice terți cu care le împărtășim (toate detaliate mai sus);
• soliciți ștergerea informațiilor tale personale (self-serve prin Cont → Confidențialitate sau trimițându-ne e-mail);
• corectezi informații personale inexacte;
• limitezi utilizarea și divulgarea informațiilor personale sensibile — nu colectăm niciunele dincolo de credențialele de autentificare și metadatele sesiunii, ambele necesare pentru furnizarea serviciului;
• te opui vânzării sau împărtășirii — nu se aplică, deoarece nu facem niciuna;
• nu fii discriminat pentru exercitarea oricăruia dintre cele de mai sus.

Respectăm automat semnalele Global Privacy Control (GPC); trimiterea unui header GPC tratează vizita ta ca și cum ai fi refuzat explicit orice consimțământ viitor pentru analitice.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Niciun program de securitate nu este perfect. Dacă crezi că ai găsit o vulnerabilitate în FixVibe, te rugăm să o raportezi la support@fixvibe.app.

Dacă facem modificări materiale — noi subpersoane împuternicite, noi categorii de date, noi perioade de retenție — vom actualiza data de mai sus și te vom notifica în aplicație. Corecturile minore de formulare nu declanșează o notificare.

privacy@fixvibe.app — răspunsuri de obicei în 5 zile lucrătoare, niciodată mai mult de 30 de zile, conform GDPR Art. 12(3).