FixVibe

// súkromie

Zásady ochrany súkromia

posledná aktualizácia · 2026-05-17

Kto sme

FixVibe prevádzkuje EGO HERO LLC („my“, „nás“), prevádzkovateľ osobných údajov opísaných v týchto zásadách. V otázkach súkromia, vrátane žiadostí dotknutých osôb podľa GDPR, UK GDPR alebo CCPA, kontaktuj privacy@fixvibe.app. Vo všetkom ostatnom napíš na support@fixvibe.app.

Čo zhromažďujeme, prečo a ako dlho to uchovávame

  • Údaje účtu

    E-mailová adresa, identifikátor OAuth (ak sa prihlasuješ cez Google alebo GitHub) a akékoľvek meno, ktoré dostaneme od tvojho poskytovateľa OAuth. Používame ich na tvoju autentifikáciu a kontaktovanie v súvislosti s účtom. Uchovávajú sa, kým je tvoj účet aktívny. Keď účet odstrániš, tieto údaje odstránime do 30 dní, okrem prípadov, keď ich musíme uchovať (napr. fakturačné záznamy podľa daňových predpisov).

    právny základ · Plnenie zmluvy — Art. 6(1)(b) GDPR

  • Ciele skenovania a nálezy

    URL, ktoré skenuješ, požiadavky, ktoré na tieto URL posielame, a nálezy, ktoré vytvoríme. Ukladajú sa pri tvojej organizácii. Automaticky mažeme záznamy staršie než retenčné okno tvojho plánu: 30 dní (Hobby), 90 dní (Pro), 365 dní (Unlimited). Históriu skenov môžeš kedykoľvek exportovať alebo odstrániť z Účet → Súkromie.

    právny základ · Plnenie zmluvy — Art. 6(1)(b) GDPR

  • Anonymné relácie skenovania

    Ak spustíš sken bez prihlásenia, vydáme cookie podpísanú HMAC (fixvibe_anon_session, životnosť 24 hodín), ktorá obsahuje nepriehľadné náhodné ID. Nepriradené anonymné záznamy skenov automaticky mažeme po 24 hodinách. Ak sa zaregistruješ v tomto 24-hodinovom okne, sken sa presunie do tvojho nového účtu. Nevieme, kto anonymní používatelia sú, pokiaľ sa nezaregistrujú.

    právny základ · Prísne nevyhnutné — výnimka ePrivacy Art. 5(3)

  • Fakturačné údaje

    Stripe je náš spracovateľ platieb. Údaje tvojej karty ukladá v infraštruktúre PCI-DSS; my ukladáme iba ID zákazníka Stripe, stav predplatného, plán, začiatok a koniec obdobia a malý idempotentný záznam udalostí webhooku. Pozri oznámenie o ochrane súkromia Stripe na stripe.com/privacy.

    právny základ · Plnenie zmluvy — Art. 6(1)(b) GDPR

  • Serverové logy a auditné logy

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    právny základ · Oprávnený záujem — Art. 6(1)(f) GDPR

  • Integrácia GitHub (voliteľná, iba Pro+)

    Ak pripojíš účet GitHub z Účet → Integrácie, uložíme šifrovaný prístupový token OAuth pre tvoju organizáciu, tvoj login GitHub + číselné ID používateľa a udelené rozsahy. Token používame výlučne na čítanie repozitárov, voči ktorým spúšťaš skeny. Zdrojový kód sa načíta pre konkrétny sken, spracuje sa v pamäti a ukladajú sa iba jednotlivé dôkazy nálezov (žiadne úplné dumpy zdrojového kódu). Odstránené do 30 dní od odpojenia.

    právny základ · Plnenie zmluvy / súhlas — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokeny + server MCP (voliteľné)

    Tokeny, ktoré vytvoríš v Účet → API tokeny, sa ukladajú ako hash SHA-256, prvých 8 znakov čistého textu (na identifikáciu), názov, ktorý si priradil, a časové pečiatky vytvorenia, posledného použitia a zrušenia. Čistý text sa ti zobrazí presne raz pri vytvorení a nikdy sa neukladá. Tokeny sú bearer prihlasovacie údaje: ktokoľvek s touto hodnotou môže čítať tvoje skeny a spúšťať nové, kým token nezrušíš. Server MCP na /api/mcp je autentifikovaný rovnakými tokenmi, sprístupňuje rovnaké údaje ako dashboard a nevytvára žiadnu samostatnú kategóriu údajov.

    právny základ · Plnenie zmluvy — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    právny základ · Performance of contract — Art. 6(1)(b) GDPR

  • Živá detekcia hrozieb (voliteľná, iba Unlimited)

    Ak máš na overenej doméne zapnutý monitoring, pravidelne zachytávame záznamy z logov certificate-transparency, DNS záznamy a zoznamy threat-intel (Spamhaus DBL, URLhaus) pre danú doménu. Tieto snímky obsahujú hostnamey, ktoré si nám už autorizoval skenovať, a verejné výsledky verejných dotazov. Nezachytávame žiadne osobné údaje tvojich koncových používateľov. Snímky staršie než 7 dní sa automaticky mažú; najnovší baseline sa uchováva pre každý typ signálu.

    právny základ · Plnenie zmluvy — Art. 6(1)(b) GDPR

  • Plánované opakované skeny (voliteľné, iba Pro+)

    Ak zapneš plánované skeny na overenej doméne, zaznamenáme kadenciu, čas posledného behu, čas ďalšieho behu a používateľa, ktorý plán zapol. Každý sken spustený cronom dedí potvrdenie oprávnenia na skenovanie vykonané pri prvom overení domény — nepotvrdzuješ ho znova pri každom behu. Kedykoľvek vypni v Domény → Harmonogram.

    právny základ · Plnenie zmluvy — Art. 6(1)(b) GDPR

  • Analytika (voliteľná, viazaná na súhlas)

    Ak udelíš súhlas s analytikou a máme analytiku nakonfigurovanú pre nasadenie, ktoré používaš, používame poskytovateľa produktovej analytiky rešpektujúceho súkromie (proxy cez našu vlastnú doménu) na zaznamenávanie anonymného používania — na ktoré tlačidlá sa kliká, ktoré kontroly ľudia spúšťajú, kde používatelia v lieviku odpadajú. URL, ktoré skenuješ, obsah dôkazov ani osobné údaje nevkladáme do analytických udalostí. Súhlas môžeš kedykoľvek odvolať cez .

    právny základ · Súhlas — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Uplatnenie propagačnej ponuky

    Keď uplatníte promo kód, pozývací odkaz alebo referenčný kredit, ukladáme kód kampane, plán a trvanie, ktoré sme udelili, časové pečiatky začiatku a konca skúšobnej verzie, plán, ktorý ste mali pred skúšobnou verziou, a HMAC-SHA256 hash vašej IP adresy v čase uplatnenia (nikdy neukladáme surovú IP — hash existuje iba preto, aby sme mohli vynucovať limity jedného uplatnenia na sieť, a rotácia základného HMAC kľúča zneplatní všetky uložené hashe bez odhalenia kohokoľvek). Uchované počas životnosti kampane plus 18 mesiacov na účtovné účely a účely vyšetrovania podvodov, potom vymazané spolu so zvyškom záznamu kampane.

    právny základ · Oprávnený záujem (prevencia podvodov, účtovníctvo) — čl. 6(1)(f) GDPR

  • Súťaže, hry o ceny a výzvy

    Ak vstúpite do FixVibe Výzvy (ako napríklad Security Preflight Challenge), ukladáme kontaktný e-mail, ktorý predložíte (povinný, aby sme vás mohli kontaktovať, ak vyhráte), Reddit a Product Hunt používateľské mená, ktoré voliteľne poskytnete, vaše scan ID a koreňovú doménu, samohlásený typ projektu, stack a text jednej veci, ktorú som sa naučil, ktorý voliteľne poskytnete, hodnotu kanála objavenia, ktorú voliteľne vyberiete, a tri povinné súhlasné políčka, ktoré akceptujete (oprávnenie, pravidlá, kontakt). Ak samostatne zaškrtnete voliteľný súhlas prezentované na marketingu, môžeme zobraziť vaše verejné skóre, hodnotenie, stack, používateľské meno a predložený citát na domovskej stránke FixVibe, stránke výzvy alebo v rekapitulačnom príspevku — nikdy žiadne iné pole a nikdy bez tohto opt-in. Prihlášky do Výzvy sú uchovávané počas životnosti Výzvy plus 18 mesiacov na účely overovania a sporov. Súhlas prezentované na marketingu môžete kedykoľvek odvolať zaslaním e-mailu na privacy@fixvibe.app; odvolanie neovplyvňuje zákonné spracovanie pred odvolaním.

    právny základ · Plnenie zmluvy (prevádzkovanie Výzvy) a súhlas (prezentovanie) — čl. 6(1)(b) a 6(1)(a) GDPR

Čo NEZBIERAME

  • Tvoje údaje nikdy nepredávame.
  • Nevkladáme reklamnú technológiu tretích strán, fingerprinting ani skripty na prehrávanie relácií.
  • URL cieľov skenovania ani dôkazy nálezov nevkladáme do analytických vlastností — tieto údaje žijú iba v našej databáze, chránené bezpečnosťou na úrovni riadkov.
  • Tvoje údaje nezdieľame s tretími stranami na ich vlastný marketing.

Subdodávatelia spracovania

Na prevádzku FixVibe sa spoliehame na týchto subdodávateľov spracovania:

  • Vercel Inc. (USA) — hosting aplikácie a edge sieť. Oznámenie o súkromí: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — databáza Postgres, autentifikácia, úložisko súborov, Realtime. Produkčná databáza FixVibe je v regióne AWS us-east-1. Oznámenie o súkromí: supabase.com/privacy.
  • Stripe Inc. (USA) — spracovanie platieb pre platené plány. Oznámenie o súkromí: stripe.com/privacy.
  • Upstash, Inc. (USA, cez Vercel Marketplace) — rate limiting podporený Redis; ukladá iba krátkodobé počítadlá založené na IP. Oznámenie o súkromí: upstash.com/privacy.
  • PostHog Inc. (USA) — produktová analytika, iba ak udelíš súhlas s analytikou a iba keď je analytika nakonfigurovaná pre nasadenie, ktoré používaš. Oznámenie o súkromí: posthog.com/privacy.
  • GitHub, Inc. (USA) — iba ak pripojíš voliteľnú integráciu GitHub. Používame API GitHub na čítanie repozitárov, voči ktorým spúšťaš skeny. Oznámenie o súkromí: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — doručovanie transakčných e-mailov. Dostáva tvoju e-mailovú adresu a telo e-mailu, keď posielame e-maily o dokončenom skene, plánovanom skene, alerte live-threat a týždennom súhrne. Resend uchováva metadáta doručenia (časové pečiatky, stav, záznamy o odrazení) na prevádzkové účely; cez Resend nikdy neposielame marketingový e-mail. Oznámenie o súkromí: resend.com/legal/privacy-policy.

Prenosy osobných údajov mimo EEA/UK sa opierajú o štandardné zmluvné doložky Európskej komisie (alebo britský International Data Transfer Addendum), doplnené opatreniami šifrovania pri prenose a v pokoji opísanými nižšie v časti „Bezpečnosť“.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Tvoje práva

Podľa GDPR, UK GDPR a rovnocenných zákonov (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act atď.) máš právo:

  • získať kópiu svojich údajov (môžeš to urobiť samoobslužne z Účet → Súkromie);
  • nechať svoje údaje opraviť;
  • nechať svoje údaje odstrániť (tiež samoobslužne);
  • namietať proti spracúvaniu založenému na oprávnených záujmoch;
  • kedykoľvek odvolať súhlas s analytikou cez ;
  • na prenosnosť údajov — tvoj export je vo formáte JSON;
  • podať sťažnosť miestnemu dozornému orgánu (EU/UK/EEA) alebo jeho ekvivalentu.

Na overiteľné žiadosti o výkon práv odpovedáme do 30 dní. Pri žiadostiach, ktoré nevieme vybaviť samoobslužne (oprava poľa, ktoré nezobrazujeme, obmedzenie spracúvania, námietka), napíš na support@fixvibe.app s predmetom „Privacy request“.

Obyvatelia Kalifornie (CCPA / CPRA)

Tvoje osobné údaje nepredávame. Osobné údaje nezdieľame na behaviorálnu reklamu naprieč kontextmi. Analytika cez PostHog beží až po udelení súhlasu v našom cookie bannere; tento súhlas môžeš kedykoľvek odvolať cez alebo kliknutím na Tvoje voľby súkromia v päte.

Ak si obyvateľom Kalifornie, máš tiež právo:

  • vedieť, aké osobné údaje zhromažďujeme, zdroje, účely a tretie strany, s ktorými ich zdieľame (všetko je podrobne uvedené vyššie);
  • požiadať o odstránenie svojich osobných údajov (samoobslužne cez Účet → Súkromie alebo e-mailom);
  • opraviť nepresné osobné údaje;
  • obmedziť použitie a zverejňovanie citlivých osobných údajov — nezbierame žiadne okrem autentifikačných prihlasovacích údajov a metadát relácie, ktoré sú potrebné na poskytovanie služby;
  • odhlásiť sa z predaja alebo zdieľania — neuplatňuje sa, pretože nerobíme ani jedno;
  • nebyť diskriminovaný za uplatnenie ktoréhokoľvek z vyššie uvedených práv.

Signály Global Privacy Control (GPC) rešpektujeme automaticky; odoslanie hlavičky GPC berie tvoju návštevu tak, akoby si sa výslovne odhlásil z akéhokoľvek budúceho súhlasu s analytikou.

Bezpečnosť

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Žiadny bezpečnostný program nie je dokonalý. Ak si myslíš, že si našiel zraniteľnosť vo FixVibe, nahlás ju prosím na support@fixvibe.app.

Zmeny týchto zásad

Ak vykonáme podstatné zmeny — nových subdodávateľov spracovania, nové kategórie údajov, nové retenčné obdobia — aktualizujeme dátum vyššie a upozorníme ťa v aplikácii. Drobné úpravy formulácie oznámenie nespúšťajú.

Kontakt

privacy@fixvibe.app — odpovede zvyčajne do 5 pracovných dní, nikdy dlhšie než 30 dní podľa GDPR Art. 12(3).

Zásady ochrany súkromia · FixVibe