FixVibe

// privacy

Политика конфиденциальности

последнее обновление · 2026-05-17

Кто мы

FixVibe управляется EGO HERO LLC (“мы”, “нас”), контролёром персональных данных, описанных в этой политике. По вопросам конфиденциальности, включая запросы субъектов данных по GDPR, UK GDPR или CCPA, пиши на privacy@fixvibe.app. По любым другим вопросам пиши на support@fixvibe.app.

Что мы собираем, зачем и как долго храним

  • Данные аккаунта

    Адрес электронной почты, идентификатор OAuth (если ты входишь через Google или GitHub) и любое имя, которое мы получаем от твоего провайдера OAuth. Используются для аутентификации и связи с тобой по поводу аккаунта. Хранятся, пока твой аккаунт активен. Когда ты удаляешь аккаунт, эти данные удаляются в течение 30 дней, кроме случаев, когда мы обязаны их хранить (например, платёжные записи по налоговому законодательству).

    правовое основание · Исполнение договора — Art. 6(1)(b) GDPR

  • Цели сканирования и результаты

    URL, которые ты сканируешь, запросы, которые мы отправляем к этим URL, и результаты, которые мы создаём. Хранятся в привязке к твоей организации. Мы автоматически удаляем записи старше окна хранения твоего плана: 30 дней (Hobby), 90 дней (Pro), 365 дней (Unlimited). Ты можешь экспортировать или удалить историю сканирований в любое время в Аккаунт → Конфиденциальность.

    правовое основание · Исполнение договора — Art. 6(1)(b) GDPR

  • Анонимные сессии сканирования

    Если ты запускаешь сканирование без входа в аккаунт, мы выдаём cookie, подписанный HMAC (fixvibe_anon_session, срок действия 24 часа), который содержит непрозрачный случайный ID. Мы автоматически удаляем невостребованные анонимные записи сканирования через 24 часа. Если ты зарегистрируешься в течение 24-часового окна, сканирование переносится в твой новый аккаунт. Мы не знаем, кто такие анонимные пользователи, если они не зарегистрируются.

    правовое основание · Строго необходимо — исключение ePrivacy Art. 5(3)

  • Платёжные данные

    Stripe — наш платёжный обработчик. Stripe хранит данные твоей карты в инфраструктуре PCI-DSS; мы храним только ID клиента Stripe, статус подписки, план, начало/конец периода и небольшой идемпотентный журнал событий webhook. См. уведомление о конфиденциальности Stripe на stripe.com/privacy.

    правовое основание · Исполнение договора — Art. 6(1)(b) GDPR

  • Серверные журналы и журналы аудита

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    правовое основание · Законный интерес — Art. 6(1)(f) GDPR

  • Интеграция GitHub (опционально, только Pro+)

    Если ты подключаешь аккаунт GitHub в Аккаунт → Интеграции, мы храним зашифрованный OAuth access token для твоей организации, твой логин GitHub + числовой ID пользователя и предоставленные scopes. Мы используем токен только для чтения репозиториев, для которых ты запускаешь сканирования. Исходный код загружается для каждого сканирования, обрабатывается в памяти, и сохраняются только отдельные доказательства результатов (без полных дампов исходного кода). Удаляется в течение 30 дней после отключения.

    правовое основание · Исполнение договора / согласие — Art. 6(1)(b) + 6(1)(a) GDPR

  • API-токены + MCP-сервер (опционально)

    Токены, которые ты создаёшь в Аккаунт → API-токены, хранятся как хэш SHA-256, первые 8 символов открытого текста (для идентификации), заданное тобой имя, а также метки времени создания/последнего использования/отзыва. Открытый текст показывается тебе ровно один раз при создании и никогда не сохраняется. Токены являются bearer credentials: любой, у кого есть значение, может читать твои сканирования и запускать новые, пока ты не отзовёшь токен. MCP-сервер на /api/mcp аутентифицируется теми же токенами, раскрывает те же данные, что и панель, и не создаёт отдельную категорию данных.

    правовое основание · Исполнение договора — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    правовое основание · Performance of contract — Art. 6(1)(b) GDPR

  • Обнаружение угроз в реальном времени (опционально, только Unlimited)

    Если у тебя включён мониторинг для подтверждённого домена, мы периодически собираем записи журналов certificate-transparency, DNS-записи и списки threat-intel (Spamhaus DBL, URLhaus) для этого домена. Эти снимки содержат имена хостов, которые ты уже разрешил нам сканировать, и публичные результаты публичных проверок. Персональные данные твоих конечных пользователей не собираются. Снимки старше 7 дней автоматически удаляются; самый новый baseline хранится по каждому типу сигнала.

    правовое основание · Исполнение договора — Art. 6(1)(b) GDPR

  • Запланированные повторные сканирования (опционально, только Pro+)

    Если ты включаешь запланированные сканирования для подтверждённого домена, мы записываем периодичность, время последнего запуска, время следующего запуска и пользователя, который включил расписание. Каждое сканирование, запущенное cron, наследует подтверждение разрешения на сканирование, сделанное при первой проверке домена — повторно подтверждать при каждом запуске не нужно. Отключить можно в любое время в Домены → Расписание.

    правовое основание · Исполнение договора — Art. 6(1)(b) GDPR

  • Аналитика (опционально, только с согласием)

    Если ты даёшь согласие на аналитику и у нас настроена аналитика для используемого тобой развёртывания, мы используем поставщика продуктовой аналитики с уважением к приватности (через прокси на нашем собственном домене), чтобы записывать анонимное использование — какие кнопки нажимают, какие проверки запускают люди, где пользователи покидают воронку. Мы не помещаем URL, которые ты сканируешь, содержимое доказательств или персональные данные в события аналитики. Отозвать согласие можно в любое время через .

    правовое основание · Согласие — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Получение промо-предложения

    Когда вы получаете промокод, пригласительную ссылку или реферальный кредит, мы храним код кампании, план и продолжительность, которые предоставили, метки времени начала и окончания пробного периода, план, который у вас был до пробного периода, и HMAC-SHA256-хэш вашего IP-адреса в момент получения (мы никогда не храним сырой IP — хэш существует только для того, чтобы мы могли применять лимиты одно-получение-на-сеть, а ротация базового HMAC-ключа делает все сохранённые хэши недействительными, не подвергая никого опасности). Хранится в течение жизни кампании плюс 18 месяцев для целей бухгалтерии и расследования мошенничества, затем удаляется вместе с остальной записью кампании.

    правовое основание · Законный интерес (предотвращение мошенничества, бухгалтерия) — ст. 6(1)(f) GDPR

  • Конкурсы, розыгрыши и челленджи

    Если вы участвуете в Челлендже FixVibe (например, Security Preflight Challenge), мы храним контактный e-mail, который вы отправляете (требуется, чтобы мы могли связаться с вами в случае победы), имена пользователей Reddit и Product Hunt, которые вы опционально предоставляете, ваш scan ID и корневой домен, самостоятельно указанный тип проекта, стек и текст одной-вещи-которую-я-узнал, которые вы опционально предоставляете, значение канала открытия, которое вы опционально выбираете, и три обязательных чекбокса согласия, которые вы принимаете (авторизация, правила, контакт). Если вы отдельно отметите опциональное согласие упоминание-в-маркетинге, мы можем отображать вашу публичную оценку, рейтинг, стек, имя пользователя и отправленную цитату на главной странице FixVibe, странице челленджа или в обзорном посте — никогда другие поля и никогда без этого согласия. Заявки на челлендж хранятся в течение жизни Челленджа плюс 18 месяцев для целей проверки и спора. Вы можете отозвать согласие на упоминание-в-маркетинге в любое время, отправив e-mail на privacy@fixvibe.app; отзыв не влияет на законную обработку до отзыва.

    правовое основание · Исполнение договора (проведение Челленджа) и согласие (упоминание) — ст. 6(1)(b) и 6(1)(a) GDPR

Что мы НЕ собираем

  • Мы никогда не продаём твои данные.
  • Мы не встраиваем сторонние ad-tech, fingerprinting или скрипты session-replay.
  • Мы не помещаем URL целей сканирования или доказательства результатов в аналитические свойства — эти данные находятся только в нашей базе данных и защищены row-level security.
  • Мы не передаём твои данные третьим лицам для их собственного маркетинга.

Субобработчики

Для работы FixVibe мы полагаемся на следующих субобработчиков:

  • Vercel Inc. (США) — хостинг приложения и edge-сеть. Уведомление о конфиденциальности: vercel.com/legal/privacy-policy.
  • Supabase Inc. (США) — база данных Postgres, аутентификация, файловое хранилище, Realtime. Производственная база данных FixVibe находится в регионе AWS us-east-1. Уведомление о конфиденциальности: supabase.com/privacy.
  • Stripe Inc. (США) — обработка платежей для платных планов. Уведомление о конфиденциальности: stripe.com/privacy.
  • Upstash, Inc. (США, через Vercel Marketplace) — ограничение частоты на базе Redis; хранит только краткоживущие счётчики на основе IP. Уведомление о конфиденциальности: upstash.com/privacy.
  • PostHog Inc. (США) — продуктовая аналитика, только если ты даёшь согласие на аналитику и только когда аналитика настроена для используемого тобой развёртывания. Уведомление о конфиденциальности: posthog.com/privacy.
  • GitHub, Inc. (США) — только если ты подключаешь опциональную интеграцию GitHub. Мы используем API GitHub для чтения репозиториев, для которых ты запускаешь сканирования. Уведомление о конфиденциальности: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (США) — доставка транзакционных писем. Получает твой адрес электронной почты и тело письма, когда мы отправляем письма о завершённом сканировании, запланированном сканировании, предупреждении о live threat и еженедельном дайджесте. Resend хранит метаданные доставки (метки времени, статус, записи bounce) для операционных целей; мы никогда не отправляем маркетинговые письма через Resend. Уведомление о конфиденциальности: resend.com/legal/privacy-policy.

Передачи персональных данных за пределы ЕЭЗ/Великобритании опираются на Стандартные договорные положения Европейской комиссии (или International Data Transfer Addendum Великобритании), дополненные мерами шифрования при передаче и в состоянии покоя, описанными в разделе “Безопасность” ниже.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Твои права

По GDPR, UK GDPR и эквивалентным законам (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act и т. д.) ты имеешь право:

  • получить доступ к копии своих данных (это можно сделать самостоятельно в Аккаунт → Конфиденциальность);
  • исправить свои данные;
  • удалить свои данные (также самостоятельно);
  • возражать против обработки на основе законных интересов;
  • в любой момент отозвать согласие на аналитику через ;
  • переносимость данных — твой экспорт предоставляется в JSON;
  • подать жалобу в местный надзорный орган (ЕС/Великобритания/ЕЭЗ) или эквивалентный орган.

Мы отвечаем на проверяемые запросы о правах в течение 30 дней. Для запросов, которые мы не можем выполнить через самообслуживание (исправление поля, которое мы не раскрываем, ограничение обработки, возражение), напиши на support@fixvibe.app с темой “Запрос о конфиденциальности”.

Жители Калифорнии (CCPA / CPRA)

Мы не продаём твою персональную информацию. Мы не передаём персональную информацию для кросс-контекстной поведенческой рекламы. Аналитика через PostHog запускается только после твоего согласия в нашем баннере cookies; ты можешь отозвать это согласие в любой момент через или нажав Твои настройки конфиденциальности в футере.

Если ты являешься жителем Калифорнии, у тебя также есть право:

  • знать, какую персональную информацию мы собираем, источники, цели и любых третьих лиц, с которыми мы её делим (всё подробно описано выше);
  • запросить удаление своей персональной информации (самостоятельно в Аккаунт → Конфиденциальность или по электронной почте);
  • исправить неточную персональную информацию;
  • ограничить использование и раскрытие чувствительной персональной информации — мы не собираем её сверх учётных данных аутентификации и метаданных сессии, обе категории необходимы для предоставления сервиса;
  • отказаться от продажи или передачи — не применимо, поскольку мы не делаем ни того, ни другого;
  • не подвергаться дискриминации за осуществление любого из прав выше.

Мы автоматически учитываем сигналы Global Privacy Control (GPC); отправка заголовка GPC означает, что твой визит обрабатывается так, как если бы ты явно отказался от любого будущего согласия на аналитику.

Безопасность

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Ни одна программа безопасности не идеальна. Если ты считаешь, что нашёл уязвимость в FixVibe, сообщи о ней на support@fixvibe.app.

Изменения этой политики

Если мы внесём существенные изменения — новых субобработчиков, новые категории данных, новые сроки хранения — мы обновим дату выше и уведомим тебя в приложении. Небольшие правки формулировок не вызывают уведомление.

Контакт

privacy@fixvibe.app — обычно отвечаем в течение 5 рабочих дней, но никогда дольше 30 дней, как требует GDPR Art. 12(3).

Политика конфиденциальности · FixVibe