FixVibe

// privacy

Pravilnik o zasebnosti

zadnja posodobitev · 2026-05-17

Kdo smo

FixVibe upravlja EGO HERO LLC (“mi”, “nas”), upravljavec osebnih podatkov, opisanih v tem pravilniku. Za vprašanja o zasebnosti, vključno z zahtevami posameznikov po GDPR, UK GDPR ali CCPA, piši na privacy@fixvibe.app. Za vse drugo piši na support@fixvibe.app.

Kaj zbiramo, zakaj in kako dolgo to hranimo

  • Podatki računa

    E-poštni naslov, OAuth identifikator, če se prijaviš z Google ali GitHub, in vsako ime, ki ga prejmemo od tvojega OAuth ponudnika. Uporabljamo jih za tvojo avtentikacijo in stik s tabo glede računa. Hranimo jih, dokler je tvoj račun aktiven. Ko izbrišeš račun, se ti podatki odstranijo v 30 dneh, razen kadar jih moramo obdržati, na primer obračunske evidence po davčni zakonodaji.

    zakonita podlaga · Izvajanje pogodbe — Art. 6(1)(b) GDPR

  • Cilji skeniranja in ugotovitve

    URL-ji, ki jih skeniraš, zahteve, ki jih pošljemo tem URL-jem, in ugotovitve, ki jih pripravimo. Shranjeni so pri tvoji organizaciji. Zapise, starejše od okna hrambe tvojega paketa, samodejno izbrišemo: 30 dni (Hobby), 90 dni (Pro), 365 dni (Unlimited). Zgodovino skeniranj lahko kadarkoli izvoziš ali izbrišeš v Račun → Zasebnost.

    zakonita podlaga · Izvajanje pogodbe — Art. 6(1)(b) GDPR

  • Anonimne seje skeniranja

    Če zaženeš skeniranje brez prijave, izdamo piškotek, podpisan s HMAC, fixvibe_anon_session, z življenjsko dobo 24 ur, ki vsebuje nepregleden naključni ID. Nezahtevane anonimne zapise skeniranj samodejno izbrišemo po 24 urah. Če se registriraš znotraj 24-urnega okna, se tvoje skeniranje prenese v tvoj novi račun. Ne vemo, kdo so anonimni uporabniki, razen če se registrirajo.

    zakonita podlaga · Strogo potrebno — izjema po ePrivacy Art. 5(3)

  • Obračunski podatki

    Stripe je naš obdelovalec plačil. Podatke o tvoji kartici hranijo na infrastrukturi PCI-DSS; mi hranimo samo Stripe ID stranke, stanje naročnine, paket, začetek in konec obdobja ter majhen idempotentni zapis webhook dogodkov. Glej Stripe obvestilo o zasebnosti na stripe.com/privacy.

    zakonita podlaga · Izvajanje pogodbe — Art. 6(1)(b) GDPR

  • Strežni dnevniki in revizijski dnevniki

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    zakonita podlaga · Zakoniti interes — Art. 6(1)(f) GDPR

  • Integracija GitHub, neobvezno, samo Pro+

    Če povežeš račun GitHub v Račun → Integracije, za tvojo organizacijo shranimo šifriran OAuth dostopni žeton, tvojo GitHub prijavo in numerični ID uporabnika ter podeljene obsege. Žeton uporabljamo izključno za branje repozitorijev, za katere sam začneš skeniranje. Izvorna koda se pridobi za posamezno skeniranje, obdela v pomnilniku, trajno pa se shranijo samo posamezni dokazi ugotovitev, brez celotnih izpisov izvorne kode. Izbriše se v 30 dneh po prekinitvi povezave.

    zakonita podlaga · Izvajanje pogodbe / privolitev — Art. 6(1)(b) + 6(1)(a) GDPR

  • API žetoni + MCP strežnik, neobvezno

    Žetoni, ki jih ustvariš v Račun → API žetoni, so shranjeni kot SHA-256 hash, prvih 8 znakov v navadnem besedilu za prepoznavo, ime, ki si ga dodelil, ter časovni žigi ustvarjanja, zadnje uporabe in preklica. Navadno besedilo se ti ob ustvarjanju prikaže natanko enkrat in se nikoli ne shrani. Žetoni so poverilnice bearer: vsak, ki ima vrednost, lahko bere tvoja skeniranja in začenja nova, dokler žetona ne prekličeš. MCP strežnik na /api/mcp se avtenticira z istimi žetoni, izpostavlja iste podatke kot nadzorna plošča in ne ustvarja ločene kategorije podatkov.

    zakonita podlaga · Izvajanje pogodbe — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    zakonita podlaga · Performance of contract — Art. 6(1)(b) GDPR

  • Zaznavanje živih groženj, neobvezno, samo Unlimited

    Če imaš omogočeno spremljanje na preverjeni domeni, občasno zajamemo vnose dnevnikov certificate-transparency, DNS zapise in sezname obveščevalnih virov o grožnjah (Spamhaus DBL, URLhaus) za to domeno. Ti posnetki vsebujejo gostiteljska imena, za katera si nam že dovolil skeniranje, in javne rezultate javnih poizvedb. Osebni podatki tvojih končnih uporabnikov se ne zajemajo. Posnetki, starejši od 7 dni, se samodejno izbrišejo; najnovejša izhodiščna vrednost se hrani za vsako vrsto signala.

    zakonita podlaga · Izvajanje pogodbe — Art. 6(1)(b) GDPR

  • Načrtovana ponovna skeniranja, neobvezno, samo Pro+

    Če omogočiš načrtovana skeniranja na preverjeni domeni, zabeležimo pogostost, čas zadnjega zagona, čas naslednjega zagona in uporabnika, ki je omogočil urnik. Vsako skeniranje, sproženo s cron, podeduje potrditev dovoljenja za skeniranje, podano ob prvi preveritvi domene — za vsak zagon je ne potrjuješ znova. Kadarkoli onemogoči v Domene → Urnik.

    zakonita podlaga · Izvajanje pogodbe — Art. 6(1)(b) GDPR

  • Analitika, neobvezno, vezano na privolitev

    Če daš privolitev za analitiko in imamo analitiko konfigurirano za namestitev, ki jo uporabljaš, uporabljamo ponudnika produktne analitike, ki spoštuje zasebnost in je posredovan prek naše lastne domene, za beleženje anonimne uporabe — kateri gumbi so kliknjeni, katere preglede ljudje zaženejo in kje v toku uporabniki odpadejo. URL-jev, ki jih skeniraš, vsebine dokazov ali osebnih podatkov ne vključujemo v analitične dogodke. Privolitev lahko kadarkoli prekličeš prek .

    zakonita podlaga · Privolitev — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Uveljavitev promocijske ponudbe

    Ko uveljavite promocijsko kodo, vabilno povezavo ali priporočilni dobropis, shranimo kodo kampanje, paket in trajanje, ki smo ga podelili, časovne žige začetka in konca preizkusa, paket, ki ste ga imeli pred preizkusom, in HMAC-SHA256 zgoščeno vrednost vašega IP-naslova v času uveljavitve (nikoli ne shranimo surovega IP-naslova — zgoščena vrednost obstaja samo zato, da lahko uveljavimo omejitve ena uveljavitev na omrežje, in rotacija osnovnega HMAC ključa razveljavi vse shranjene zgoščene vrednosti, ne da bi koga izpostavila). Hranjeno za čas trajanja kampanje plus 18 mesecev za namene obračunavanja in preiskave goljufij, nato izbrisano skupaj z ostalim zapisom kampanje.

    zakonita podlaga · Zakoniti interes (preprečevanje goljufij, obračunavanje) — čl. 6(1)(f) GDPR

  • Tekmovanja, žrebanja in izzivi

    Če se prijavite v FixVibe Izziv (kot je Varnostni Preflight Izziv), shranimo kontaktni e-poštni naslov, ki ga oddate (zahtevano, da vas lahko dosežemo, če zmagate), Reddit in Product Hunt uporabniška imena, ki jih neobvezno navedete, vaš scan ID in korensko domeno, samoprijavljeno vrsto projekta, sklad in besedilo ene-stvari-ki-sem-se-naučil, ki jih neobvezno navedete, vrednost kanala odkrivanja, ki jo neobvezno izberete, in tri zahtevana potrditvena polja soglasij, ki jih sprejmete (pooblastilo, pravila, kontakt). Če ločeno označite neobvezno soglasje izpostavljeno-na-trženju, lahko prikažemo vaš javni rezultat, oceno, sklad, uporabniško ime in oddan citat na FixVibe domači strani, strani izziva ali objavi povzetka — nikoli nobenega drugega polja in nikoli brez te privolitve. Prijave v izziv so hranjene za čas trajanja Izziva plus 18 mesecev za namene preverjanja in spornih primerov. Soglasje izpostavljeno-na-trženju lahko kadar koli umaknete tako, da pošljete e-pošto na privacy@fixvibe.app; umik ne vpliva na zakonito obdelavo pred umikom.

    zakonita podlaga · Izvajanje pogodbe (izvajanje Izziva) in soglasje (izpostavljanje) — čl. 6(1)(b) in 6(1)(a) GDPR

Česa NE zbiramo

  • Tvojih podatkov nikoli ne prodajamo.
  • Ne vgrajujemo oglaševalske tehnologije tretjih oseb, fingerprintinga ali skript za ponavljanje sej.
  • URL-jev ciljev skeniranja ali dokazov ugotovitev ne pošiljamo v analitične lastnosti — ti podatki živijo samo v naši zbirki podatkov, zaščiteni z varnostjo na ravni vrstic.
  • Tvojih podatkov ne delimo s tretjimi osebami za njihovo lastno trženje.

Podobdelovalci

Za delovanje FixVibe se zanašamo na naslednje podobdelovalce:

  • Vercel Inc. (ZDA) — gostovanje aplikacije in robno omrežje. Obvestilo o zasebnosti: vercel.com/legal/privacy-policy.
  • Supabase Inc. (ZDA) — Postgres baza podatkov, avtentikacija, shranjevanje datotek, Realtime. Produkcijska baza podatkov FixVibe je v regiji AWS us-east-1. Obvestilo o zasebnosti: supabase.com/privacy.
  • Stripe Inc. (ZDA) — obdelava plačil za plačljive pakete. Obvestilo o zasebnosti: stripe.com/privacy.
  • Upstash, Inc. (ZDA, prek Vercel Marketplace) — omejevanje hitrosti na podlagi Redis; hrani samo kratkotrajne števce na podlagi IP. Obvestilo o zasebnosti: upstash.com/privacy.
  • PostHog Inc. (ZDA) — produktna analitika, samo če daš privolitev za analitiko in samo kadar je analitika konfigurirana za namestitev, ki jo uporabljaš. Obvestilo o zasebnosti: posthog.com/privacy.
  • GitHub, Inc. (ZDA) — samo če povežeš neobvezno integracijo GitHub. GitHub API uporabljamo za branje repozitorijev, za katere začneš skeniranje. Obvestilo o zasebnosti: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (ZDA) — dostava transakcijske e-pošte. Prejme tvoj e-poštni naslov in telo e-pošte, ko pošljemo e-poštna sporočila o končanem skeniranju, načrtovanem skeniranju, opozorilu o živi grožnji in tedenskem povzetku. Resend hrani metapodatke dostave, kot so časovni žigi, stanje in zapisi o odbojih, za operativne namene; prek Resend nikoli ne pošiljamo marketinške e-pošte. Obvestilo o zasebnosti: resend.com/legal/privacy-policy.

Prenosi osebnih podatkov zunaj EGP/UK temeljijo na standardnih pogodbenih klavzulah Evropske komisije ali na UK International Data Transfer Addendum, dopolnjenih z ukrepi šifriranja med prenosom in v mirovanju, opisanimi spodaj v razdelku “Varnost”.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Tvoje pravice

Po GDPR, UK GDPR in enakovrednih zakonih (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act itd.) imaš pravico do:

  • dostopa do kopije svojih podatkov (to lahko samostojno storiš v Račun → Zasebnost);
  • popravka svojih podatkov;
  • izbrisa svojih podatkov (prav tako samopostrežno);
  • ugovora obdelavi na podlagi zakonitih interesov;
  • preklica privolitve za analitiko kadarkoli prek ;
  • prenosljivosti podatkov — tvoj izvoz je v JSON;
  • vložitve pritožbe pri lokalnem nadzornem organu (EU/UK/EGP) ali enakovrednem organu.

Na preverljive zahteve glede pravic odgovorimo v 30 dneh. Za zahteve, ki jih ne moremo izpolniti samopostrežno, kot so popravek polja, ki ga ne prikazujemo, omejitev obdelave ali ugovor, pošlji e-pošto na support@fixvibe.app z zadevo “Zahteva glede zasebnosti”.

Prebivalci Kalifornije (CCPA / CPRA)

Tvojih osebnih podatkov ne prodajamo. Osebnih podatkov ne delimo za vedenjsko oglaševanje med različnimi konteksti. Analitika prek PostHog deluje šele po tem, ko daš privolitev v naši pasici za piškotke; to privolitev lahko kadarkoli prekličeš prek ali s klikom na Tvoje izbire zasebnosti v nogi.

Če si prebivalec Kalifornije, imaš tudi pravico do:

  • seznanitve, katere osebne podatke zbiramo, iz katerih virov, za katere namene in s katerimi tretjimi osebami jih delimo, vse je podrobno navedeno zgoraj;
  • zahteve za izbris svojih osebnih podatkov, samopostrežno prek Račun → Zasebnost ali tako, da nam pošlješ e-pošto;
  • popravka netočnih osebnih podatkov;
  • omejitve uporabe in razkritja občutljivih osebnih podatkov — ne zbiramo jih razen avtentikacijskih poverilnic in metapodatkov sej, oboje pa je potrebno za zagotavljanje storitve;
  • odjave od prodaje ali deljenja — ni relevantno, ker ne počnemo ne enega ne drugega;
  • da nisi diskriminiran zaradi uveljavljanja katerekoli od zgornjih pravic.

Signale Global Privacy Control (GPC) spoštujemo samodejno; pošiljanje glave GPC obravnavamo, kot da si izrecno zavrnil vsako prihodnjo privolitev za analitiko.

Varnost

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Noben varnostni program ni popoln. Če meniš, da si našel ranljivost v FixVibe, jo prijavi na support@fixvibe.app.

Spremembe tega pravilnika

Če uvedemo bistvene spremembe — nove podobdelovalce, nove kategorije podatkov ali nova obdobja hrambe — bomo posodobili zgornji datum in te obvestili v aplikaciji. Manjši popravki besedila ne sprožijo obvestila.

Stik

privacy@fixvibe.app — odgovori običajno v 5 delovnih dneh, nikoli pozneje kot v 30 dneh, kot zahteva GDPR Art. 12(3).

Pravilnik o zasebnosti · FixVibe