// privacy
Политика конфиденциальности
последнее обновление · 2026-05-17
Кто мы
FixVibe управляется EGO HERO LLC (“мы”, “нас”), контролёром персональных данных, описанных в этой политике. По вопросам конфиденциальности, включая запросы субъектов данных по GDPR, UK GDPR или CCPA, пиши на privacy@fixvibe.app. По любым другим вопросам пиши на support@fixvibe.app.
Что мы собираем, зачем и как долго храним
Данные аккаунта
Адрес электронной почты, идентификатор OAuth (если ты входишь через Google или GitHub) и любое имя, которое мы получаем от твоего провайдера OAuth. Используются для аутентификации и связи с тобой по поводу аккаунта. Хранятся, пока твой аккаунт активен. Когда ты удаляешь аккаунт, эти данные удаляются в течение 30 дней, кроме случаев, когда мы обязаны их хранить (например, платёжные записи по налоговому законодательству).
правовое основание · Исполнение договора — Art. 6(1)(b) GDPR
Цели сканирования и результаты
URL, которые ты сканируешь, запросы, которые мы отправляем к этим URL, и результаты, которые мы создаём. Хранятся в привязке к твоей организации. Мы автоматически удаляем записи старше окна хранения твоего плана: 30 дней (Hobby), 90 дней (Pro), 365 дней (Unlimited). Ты можешь экспортировать или удалить историю сканирований в любое время в Аккаунт → Конфиденциальность.
правовое основание · Исполнение договора — Art. 6(1)(b) GDPR
Анонимные сессии сканирования
Если ты запускаешь сканирование без входа в аккаунт, мы выдаём cookie, подписанный HMAC (fixvibe_anon_session, срок действия 24 часа), который содержит непрозрачный случайный ID. Мы автоматически удаляем невостребованные анонимные записи сканирования через 24 часа. Если ты зарегистрируешься в течение 24-часового окна, сканирование переносится в твой новый аккаунт. Мы не знаем, кто такие анонимные пользователи, если они не зарегистрируются.
правовое основание · Строго необходимо — исключение ePrivacy Art. 5(3)
Платёжные данные
Stripe — наш платёжный обработчик. Stripe хранит данные твоей карты в инфраструктуре PCI-DSS; мы храним только ID клиента Stripe, статус подписки, план, начало/конец периода и небольшой идемпотентный журнал событий webhook. См. уведомление о конфиденциальности Stripe на stripe.com/privacy.
правовое основание · Исполнение договора — Art. 6(1)(b) GDPR
Серверные журналы и журналы аудита
Журналы кратковременных запросов API могут включать IP-адрес, пользовательский агент, метод, путь, статус, продолжительность, идентификатор запроса, контекст пользователя/организации и строки ошибок, чтобы мы могли отладить службу и обнаружить злоупотребления. Эти журналы запросов автоматически удаляются через 72 часа с помощью нашего cron хранения, при этом планирование cron прерывается на срок до 24 часов. Журналы аудита действий, связанных с безопасностью (включая вход в систему, начало сканирования, создание/отзыв токена, изменение плана, удаление учетной записи и действия администратора/поддержки), могут включать IP-адрес, пользовательский агент и метаданные запроса. Журналы аудита автоматически удаляются через 18 месяцев, за исключением случаев, когда для соблюдения судебного процесса или защиты судебного иска требуется более длительный период.
правовое основание · Законный интерес — Art. 6(1)(f) GDPR
Интеграция GitHub (опционально, только Pro+)
Если ты подключаешь аккаунт GitHub в Аккаунт → Интеграции, мы храним зашифрованный OAuth access token для твоей организации, твой логин GitHub + числовой ID пользователя и предоставленные scopes. Мы используем токен только для чтения репозиториев, для которых ты запускаешь сканирования. Исходный код загружается для каждого сканирования, обрабатывается в памяти, и сохраняются только отдельные доказательства результатов (без полных дампов исходного кода). Удаляется в течение 30 дней после отключения.
правовое основание · Исполнение договора / согласие — Art. 6(1)(b) + 6(1)(a) GDPR
API-токены + MCP-сервер (опционально)
Токены, которые ты создаёшь в Аккаунт → API-токены, хранятся как хэш SHA-256, первые 8 символов открытого текста (для идентификации), заданное тобой имя, а также метки времени создания/последнего использования/отзыва. Открытый текст показывается тебе ровно один раз при создании и никогда не сохраняется. Токены являются bearer credentials: любой, у кого есть значение, может читать твои сканирования и запускать новые, пока ты не отзовёшь токен. MCP-сервер на /api/mcp аутентифицируется теми же токенами, раскрывает те же данные, что и панель, и не создаёт отдельную категорию данных.
правовое основание · Исполнение договора — Art. 6(1)(b) GDPR
Исходящие веб-перехватчики (необязательно, платные планы)
Если вы создаете конечные точки веб-перехватчиков в разделе «Учетная запись» → «Веб-перехватчики», мы сохраняем URL-адрес конечной точки, выбранные типы событий, статус доставки, краткие отрывки ответов и зашифрованный секрет подписи. Мы отправляем метаданные сканирования, поиска, мониторинга и запуска по расписанию на конечные точки, которые вы настраиваете. Этими конечными точками являются получатели, выбранные вашей организацией, а не субобработчики FixVibe.
правовое основание · Исполнение договора — ст. 6(1)(б) GDPR
Обнаружение угроз в реальном времени (опционально, только Unlimited)
Если у тебя включён мониторинг для подтверждённого домена, мы периодически собираем записи журналов certificate-transparency, DNS-записи и списки threat-intel (Spamhaus DBL, URLhaus) для этого домена. Эти снимки содержат имена хостов, которые ты уже разрешил нам сканировать, и публичные результаты публичных проверок. Персональные данные твоих конечных пользователей не собираются. Снимки старше 7 дней автоматически удаляются; самый новый baseline хранится по каждому типу сигнала.
правовое основание · Исполнение договора — Art. 6(1)(b) GDPR
Запланированные повторные сканирования (опционально, только Pro+)
Если ты включаешь запланированные сканирования для подтверждённого домена, мы записываем периодичность, время последнего запуска, время следующего запуска и пользователя, который включил расписание. Каждое сканирование, запущенное cron, наследует подтверждение разрешения на сканирование, сделанное при первой проверке домена — повторно подтверждать при каждом запуске не нужно. Отключить можно в любое время в Домены → Расписание.
правовое основание · Исполнение договора — Art. 6(1)(b) GDPR
Аналитика (опционально, только с согласием)
Если ты даёшь согласие на аналитику и у нас настроена аналитика для используемого тобой развёртывания, мы используем поставщика продуктовой аналитики с уважением к приватности (через прокси на нашем собственном домене), чтобы записывать анонимное использование — какие кнопки нажимают, какие проверки запускают люди, где пользователи покидают воронку. Мы не помещаем URL, которые ты сканируешь, содержимое доказательств или персональные данные в события аналитики. Отозвать согласие можно в любое время через .
правовое основание · Согласие — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)
Получение промо-предложения
Когда вы получаете промокод, пригласительную ссылку или реферальный кредит, мы храним код кампании, план и продолжительность, которые предоставили, метки времени начала и окончания пробного периода, план, который у вас был до пробного периода, и HMAC-SHA256-хэш вашего IP-адреса в момент получения (мы никогда не храним сырой IP — хэш существует только для того, чтобы мы могли применять лимиты одно-получение-на-сеть, а ротация базового HMAC-ключа делает все сохранённые хэши недействительными, не подвергая никого опасности). Хранится в течение жизни кампании плюс 18 месяцев для целей бухгалтерии и расследования мошенничества, затем удаляется вместе с остальной записью кампании.
правовое основание · Законный интерес (предотвращение мошенничества, бухгалтерия) — ст. 6(1)(f) GDPR
Конкурсы, розыгрыши и челленджи
Если вы участвуете в Челлендже FixVibe (например, Security Preflight Challenge), мы храним контактный e-mail, который вы отправляете (требуется, чтобы мы могли связаться с вами в случае победы), имена пользователей Reddit и Product Hunt, которые вы опционально предоставляете, ваш scan ID и корневой домен, самостоятельно указанный тип проекта, стек и текст одной-вещи-которую-я-узнал, которые вы опционально предоставляете, значение канала открытия, которое вы опционально выбираете, и три обязательных чекбокса согласия, которые вы принимаете (авторизация, правила, контакт). Если вы отдельно отметите опциональное согласие упоминание-в-маркетинге, мы можем отображать вашу публичную оценку, рейтинг, стек, имя пользователя и отправленную цитату на главной странице FixVibe, странице челленджа или в обзорном посте — никогда другие поля и никогда без этого согласия. Заявки на челлендж хранятся в течение жизни Челленджа плюс 18 месяцев для целей проверки и спора. Вы можете отозвать согласие на упоминание-в-маркетинге в любое время, отправив e-mail на privacy@fixvibe.app; отзыв не влияет на законную обработку до отзыва.
правовое основание · Исполнение договора (проведение Челленджа) и согласие (упоминание) — ст. 6(1)(b) и 6(1)(a) GDPR
Что мы НЕ собираем
- Мы никогда не продаём твои данные.
- Мы не встраиваем сторонние ad-tech, fingerprinting или скрипты session-replay.
- Мы не помещаем URL целей сканирования или доказательства результатов в аналитические свойства — эти данные находятся только в нашей базе данных и защищены row-level security.
- Мы не передаём твои данные третьим лицам для их собственного маркетинга.
Субобработчики
Для работы FixVibe мы полагаемся на следующих субобработчиков:
- Vercel Inc. (США) — хостинг приложения и edge-сеть. Уведомление о конфиденциальности: vercel.com/legal/privacy-policy.
- Supabase Inc. (США) — база данных Postgres, аутентификация, файловое хранилище, Realtime. Производственная база данных FixVibe находится в регионе AWS us-east-1. Уведомление о конфиденциальности: supabase.com/privacy.
- Stripe Inc. (США) — обработка платежей для платных планов. Уведомление о конфиденциальности: stripe.com/privacy.
- Upstash, Inc. (США, через Vercel Marketplace) — ограничение частоты на базе Redis; хранит только краткоживущие счётчики на основе IP. Уведомление о конфиденциальности: upstash.com/privacy.
- PostHog Inc. (США) — продуктовая аналитика, только если ты даёшь согласие на аналитику и только когда аналитика настроена для используемого тобой развёртывания. Уведомление о конфиденциальности: posthog.com/privacy.
- GitHub, Inc. (США) — только если ты подключаешь опциональную интеграцию GitHub. Мы используем API GitHub для чтения репозиториев, для которых ты запускаешь сканирования. Уведомление о конфиденциальности: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
- Resend, Inc. (США) — доставка транзакционных писем. Получает твой адрес электронной почты и тело письма, когда мы отправляем письма о завершённом сканировании, запланированном сканировании, предупреждении о live threat и еженедельном дайджесте. Resend хранит метаданные доставки (метки времени, статус, записи bounce) для операционных целей; мы никогда не отправляем маркетинговые письма через Resend. Уведомление о конфиденциальности: resend.com/legal/privacy-policy.
Передачи персональных данных за пределы ЕЭЗ/Великобритании опираются на Стандартные договорные положения Европейской комиссии (или International Data Transfer Addendum Великобритании), дополненные мерами шифрования при передаче и в состоянии покоя, описанными в разделе “Безопасность” ниже.
Мы обновим этот список и уведомим клиентов через приложение, если добавим нового субобработчика, который обрабатывает персональные данные от нашего имени. Конечные точки исходящего веб-перехватчика, настроенные клиентом, являются получателями, выбранными клиентом, а не субобработчиками FixVibe.
Твои права
По GDPR, UK GDPR и эквивалентным законам (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act и т. д.) ты имеешь право:
- получить доступ к копии своих данных (это можно сделать самостоятельно в Аккаунт → Конфиденциальность);
- исправить свои данные;
- удалить свои данные (также самостоятельно);
- возражать против обработки на основе законных интересов;
- в любой момент отозвать согласие на аналитику через ;
- переносимость данных — твой экспорт предоставляется в JSON;
- подать жалобу в местный надзорный орган (ЕС/Великобритания/ЕЭЗ) или эквивалентный орган.
Мы отвечаем на проверяемые запросы о правах в течение 30 дней. Для запросов, которые мы не можем выполнить через самообслуживание (исправление поля, которое мы не раскрываем, ограничение обработки, возражение), напиши на support@fixvibe.app с темой “Запрос о конфиденциальности”.
Жители Калифорнии (CCPA / CPRA)
Мы не продаём твою персональную информацию. Мы не передаём персональную информацию для кросс-контекстной поведенческой рекламы. Аналитика через PostHog запускается только после твоего согласия в нашем баннере cookies; ты можешь отозвать это согласие в любой момент через или нажав Твои настройки конфиденциальности в футере.
Если ты являешься жителем Калифорнии, у тебя также есть право:
- знать, какую персональную информацию мы собираем, источники, цели и любых третьих лиц, с которыми мы её делим (всё подробно описано выше);
- запросить удаление своей персональной информации (самостоятельно в Аккаунт → Конфиденциальность или по электронной почте);
- исправить неточную персональную информацию;
- ограничить использование и раскрытие чувствительной персональной информации — мы не собираем её сверх учётных данных аутентификации и метаданных сессии, обе категории необходимы для предоставления сервиса;
- отказаться от продажи или передачи — не применимо, поскольку мы не делаем ни того, ни другого;
- не подвергаться дискриминации за осуществление любого из прав выше.
Мы автоматически учитываем сигналы Global Privacy Control (GPC); отправка заголовка GPC означает, что твой визит обрабатывается так, как если бы ты явно отказался от любого будущего согласия на аналитику.
Безопасность
Мы принудительно устанавливаем безопасность на уровне строк для каждой таблицы базы данных; пользователи видят только записи, принадлежащие организациям, членами которых они являются. Заголовки сканирования с проверкой подлинности, если они предоставлены, шифруются с помощью AES-256-GCM и очищаются после завершения сканирования. Полезные данные веб-перехватчика Stripe перед обработкой проверяются с помощью HMAC, а секреты подписи исходящего веб-перехватчика клиента шифруются в неактивном состоянии. Учетные данные базы данных роли службы хранятся только во время выполнения сервера и никогда не доступны браузеру. Весь трафик между вами и FixVibe, а также между FixVibe и нашими субобработчиками использует TLS 1.2 или выше.
Ни одна программа безопасности не идеальна. Если ты считаешь, что нашёл уязвимость в FixVibe, сообщи о ней на support@fixvibe.app.
Изменения этой политики
Если мы внесём существенные изменения — новых субобработчиков, новые категории данных, новые сроки хранения — мы обновим дату выше и уведомим тебя в приложении. Небольшие правки формулировок не вызывают уведомление.
Контакт
privacy@fixvibe.app — обычно отвечаем в течение 5 рабочих дней, но никогда дольше 30 дней, как требует GDPR Art. 12(3).
