Politika e Privatësisë

FixVibe operohet nga EGO HERO LLC (“ne”, “na”), kontrolluesi i të dhënave për të dhënat personale të përshkruara në këtë politikë. Për pyetje mbi privatësinë, përfshirë kërkesat e subjektit të të dhënave sipas GDPR, UK GDPR ose CCPA, kontakto privacy@fixvibe.app. Për çdo gjë tjetër, shkruaj te support@fixvibe.app.

• Të dhënat e llogarisë

  Adresa e emailit, identifikuesi OAuth (nëse hyn me Google ose GitHub) dhe çdo emër që marrim nga ofruesi yt OAuth. Përdoren për të të autentifikuar dhe për të të kontaktuar për llogarinë tënde. Ruhen sa kohë llogaria jote është aktive. Kur e fshin llogarinë, këto të dhëna hiqen brenda 30 ditëve, përveç rasteve kur duhet t’i ruajmë (p.sh., të dhënat e faturimit sipas ligjit tatimor).

  baza ligjore · Përmbushje e kontratës — Art. 6(1)(b) GDPR

• Objektivat dhe gjetjet e skanimit

  URL-të që skanon, kërkesat që bëjmë te ato URL dhe gjetjet që prodhojmë. Ruhen kundrejt organizatës sate. Ne fshijmë automatikisht regjistrat më të vjetër se dritarja e ruajtjes së planit tënd: 30 ditë (Hobby), 90 ditë (Pro), 365 ditë (Unlimited). Mund të eksportosh ose fshish historinë e skanimeve në çdo kohë nga Llogaria → Privatësia.

  baza ligjore · Përmbushje e kontratës — Art. 6(1)(b) GDPR

• Sesione anonime skanimi

  Nëse kryen një skanim pa hyrë në llogari, ne lëshojmë një cookie të nënshkruar me HMAC (fixvibe_anon_session, jetëgjatësi 24 orë) që mban një ID të rastësishme opake. Ne fshijmë automatikisht regjistrat anonimë të skanimeve të papretenduara pas 24 orësh. Nëse regjistrohesh brenda dritares 24-orëshe, skanimi yt migron në llogarinë tënde të re. Ne nuk e dimë kush janë përdoruesit anonimë, përveçse kur regjistrohen.

  baza ligjore · Rreptësisht e nevojshme — përjashtim sipas ePrivacy Art. 5(3)

• Të dhënat e faturimit

  Stripe është përpunuesi ynë i pagesave. Ata ruajnë detajet e kartës sate në infrastrukturë PCI-DSS; ne ruajmë vetëm një ID klienti Stripe, statusin e abonimit, planin, fillimin/mbarimin e periudhës dhe një regjistër të vogël idempotence për ngjarjet webhook. Shiko njoftimin e privatësisë të Stripe në stripe.com/privacy.

  baza ligjore · Përmbushje e kontratës — Art. 6(1)(b) GDPR

• Regjistrat e serverit dhe regjistrat e auditimit

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  baza ligjore · Interes legjitim — Art. 6(1)(f) GDPR

• Integrimi me GitHub (opsional, vetëm Pro+)

  Nëse lidh një llogari GitHub nga Llogaria → Integrimet, ne ruajmë një token aksesi OAuth të enkriptuar për organizatën tënde, login-in tënd GitHub + ID-në numerike të përdoruesit dhe scopes të dhëna. Token-in e përdorim vetëm për të lexuar repository-t kundrejt të cilave nis skanime. Kodi burimor merret për çdo skanim, përpunohet në memorie dhe ruhen vetëm provat individuale të gjetjeve (pa dump-e të plota të burimit). Fshihet brenda 30 ditëve nga shkëputja.

  baza ligjore · Përmbushje e kontratës / pëlqim — Art. 6(1)(b) + 6(1)(a) GDPR

• Tokenë API + server MCP (opsional)

  Tokenët që krijon te Llogaria → tokenët API ruhen si hash SHA-256, 8 karakteret e para plaintext (për identifikim), emri që ke vendosur, plus vulat kohore të krijimit/përdorimit të fundit/revokimit. Plaintext-i të shfaqet saktësisht një herë gjatë krijimit dhe nuk ruhet kurrë. Tokenët janë kredenciale bearer: kushdo që ka vlerën mund të lexojë skanimet e tua dhe të nisë të reja derisa ta revokosh. Serveri MCP në /api/mcp autentifikohet nga të njëjtët tokenë, ekspozon të njëjtat të dhëna që do të ekspozonte dashboard-i dhe nuk krijon kategori të veçantë të dhënash.

  baza ligjore · Përmbushje e kontratës — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  baza ligjore · Performance of contract — Art. 6(1)(b) GDPR

• Zbulim i drejtpërdrejtë kërcënimesh (opsional, vetëm Unlimited)

  Nëse ke aktivizuar monitorimin në një domen të verifikuar, ne kapim periodikisht hyrje nga certificate-transparency logs, regjistra DNS dhe lista threat-intel (Spamhaus DBL, URLhaus) për atë domen. Këto snapshot-e përmbajnë emra hostesh që tashmë na ke autorizuar t’i skanojmë dhe rezultatet publike të kërkimeve publike. Nuk kapen të dhëna personale të përdoruesve të tu fundorë. Snapshot-et më të vjetra se 7 ditë fshihen automatikisht; baseline-i më i fundit ruhet për çdo lloj sinjali.

  baza ligjore · Përmbushje e kontratës — Art. 6(1)(b) GDPR

• Ri-skanime të planifikuara (opsionale, vetëm Pro+)

  Nëse aktivizon skanime të planifikuara në një domen të verifikuar, ne regjistrojmë kadencën, kohën e ekzekutimit të fundit, kohën e ekzekutimit të ardhshëm dhe cili përdorues e aktivizoi planifikimin. Çdo skanim i nisur nga cron trashëgon vërtetimin e autorizimit për skanim të bërë kur domeni u verifikua për herë të parë — nuk e përsërit vërtetimin për çdo ekzekutim. Çaktivizoje në çdo kohë te Domenet → Orari.

  baza ligjore · Përmbushje e kontratës — Art. 6(1)(b) GDPR

• Analitika (opsionale, me pëlqim)

  Nëse jep pëlqim për analitikë dhe kemi analitikë të konfiguruar për deployment-in që po përdor, përdorim një ofrues analitike produkti që respekton privatësinë (i proksuar përmes domenit tonë) për të regjistruar përdorim anonim — cilat butona klikohen, cilat kontrolle ekzekutojnë njerëzit, ku bien përdoruesit në funnel. Ne nuk vendosim URL-të që skanon, përmbajtjen e provave ose të dhëna personale në evente analitike. Tërhiq pëlqimin në çdo kohë përmes Cilësimeve të cookies.

  baza ligjore · Pëlqim — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Shfrytëzimi i ofertës promocionale

  Kur ju shfrytëzoni një kod promocional, lidhje ftese ose kredit referimi, ne ruajmë kodin e fushatës, planin dhe kohëzgjatjen që dhamë, vulat kohore të fillimit dhe mbarimit të provës, planin që mbanit përpara provës dhe një hash HMAC-SHA256 të adresës suaj IP në kohën e shfrytëzimit (ne nuk ruajmë kurrë IP-në e papërpunuar — hash-i ekziston vetëm që ne të zbatojmë kufizimet një-shfrytëzim-për-rrjet, dhe rrotullimi i çelësit themelor HMAC zhvlerëson të gjitha hash-et e ruajtura pa ekspozuar askënd). Ruhet për jetën e fushatës plus 18 muaj për qëllime kontabiliteti dhe hetimi mashtrimi, pastaj fshihet bashkë me pjesën tjetër të rekordit të fushatës.

  baza ligjore · Interes legjitim (parandalimi i mashtrimit, kontabiliteti) — Neni 6(1)(f) GDPR

• Konkurset, lotaritë dhe sfidat

  Nëse ju hyni në një Sfidë FixVibe (si Sfida e Paraflutirimit të Sigurisë), ne ruajmë email-in e kontaktit që paraqisni (i kërkuar që të mund t'ju kontaktojmë nëse fitoni), emrat e përdoruesit në Reddit dhe Product Hunt që opsionalisht jepni, scan ID-në tuaj dhe domenin rrënjë, llojin e projektit të vetë-raportuar, stack-un dhe tekstin e një-gjë-që-mësova që opsionalisht jepni, vlerën e kanalit-të-zbulimit që opsionalisht zgjidhni dhe tre kutitë e pëlqimit të kërkuara që pranoni (autorizimi, rregullat, kontakti). Nëse ju veçmas shënoni pëlqimin opsional e-paraqitur-në-marketing, ne mund të shfaqim rezultatin tuaj publik, vlerësimin, stack-un, emrin e përdoruesit dhe citatin e paraqitur në faqen kryesore të FixVibe, faqen e sfidës ose një postim përmbledhjeje — kurrë asnjë fushë tjetër dhe kurrë pa atë opt-in. Hyrjet në Sfidë ruhen për jetën e Sfidës plus 18 muaj për qëllime verifikimi dhe mosmarrëveshjeje. Ju mund të tërhiqni pëlqimin e-paraqitur-në-marketing në çdo kohë duke dërguar email te privacy@fixvibe.app; tërheqja nuk ndikon mbi përpunimin e ligjshëm përpara tërheqjes.

  baza ligjore · Përmbushje e kontratës (zhvillimi i Sfidës) dhe pëlqim (paraqitja) — Neni 6(1)(b) dhe 6(1)(a) GDPR

• Ne nuk i shesim kurrë të dhënat e tua.
• Ne nuk vendosim ad-tech të palëve të treta, fingerprinting ose skripte session-replay.
• Ne nuk i vendosim URL-të e objektivave të skanimit ose provat e gjetjeve në prona analitike — ato të dhëna jetojnë vetëm në bazën tonë të të dhënave, të mbrojtura nga row-level security.
• Ne nuk i ndajmë të dhënat e tua me palë të treta për marketingun e tyre.

Ne mbështetemi te nënpërpunuesit e mëposhtëm për të operuar FixVibe:

• Vercel Inc. (USA) — hostim aplikacioni dhe rrjet edge. Njoftim privatësie: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — bazë të dhënash Postgres, autentifikim, ruajtje skedarësh, Realtime. Baza e prodhimit e FixVibe është në rajonin AWS us-east-1. Njoftim privatësie: supabase.com/privacy.
• Stripe Inc. (USA) — përpunim pagesash për planet me pagesë. Njoftim privatësie: stripe.com/privacy.
• Upstash, Inc. (USA, përmes Vercel Marketplace) — rate limiting i mbështetur në Redis; ruan vetëm numërues jetëshkurtër të bazuar në IP. Njoftim privatësie: upstash.com/privacy.
• PostHog Inc. (USA) — analitikë produkti, vetëm nëse jep pëlqim për analitikë dhe vetëm kur analitika është konfiguruar për deployment-in që po përdor. Njoftim privatësie: posthog.com/privacy.
• GitHub, Inc. (USA) — vetëm nëse lidh integrimin opsional me GitHub. Ne përdorim API-në e GitHub për të lexuar repository-t kundrejt të cilave nis skanime. Njoftim privatësie: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — dërgim emailesh transaksionale. Merr adresën tënde të emailit dhe trupin e emailit kur dërgojmë emaile për skanim të përfunduar, skanim të planifikuar, alarm kërcënimi live dhe digest javor. Resend ruan metadata të dërgesës (vula kohore, status, regjistra bounce) për qëllime operative; ne nuk dërgojmë kurrë email marketingu përmes Resend. Njoftim privatësie: resend.com/legal/privacy-policy.

Transferimet e të dhënave personale jashtë EEA/UK mbështeten në Klauzolat Standarde Kontraktuale të Komisionit Evropian (ose International Data Transfer Addendum të UK), të plotësuara nga masat e enkriptimit në transit dhe enkriptimit në pushim të përshkruara në “Siguria” më poshtë.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Sipas GDPR, UK GDPR dhe ligjeve ekuivalente (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act etj.), ke të drejtë të:

• aksesosh një kopje të të dhënave të tua (mund ta bësh vetë nga Llogaria → Privatësia);
• korrigjosh të dhënat e tua;
• fshish të dhënat e tua (gjithashtu vetë-shërbim);
• kundërshtosh përpunimin e bazuar në interesa legjitime;
• tërheqësh pëlqimin për analitikë në çdo kohë përmes Cilësimeve të cookies;
• transportueshmëri të të dhënave — eksporti yt është në JSON;
• paraqesësh ankesë te autoriteti yt lokal mbikëqyrës (EU/UK/EEA) ose ekuivalenti.

Ne u përgjigjemi kërkesave të verifikueshme të të drejtave brenda 30 ditëve. Për kërkesa që nuk mund t’i përmbushim me vetë-shërbim (korrigjim i një fushe që nuk e ekspozojmë, kufizim i përpunimit, kundërshtim), dërgo email te support@fixvibe.app me linjën e subjektit “Kërkesë privatësie”.

Ne nuk e shesim informacionin tënd personal. Ne nuk ndajmë informacion personal për reklamim të sjelljes ndër-kontekstuale. Analitika përmes PostHog ekzekutohet vetëm pasi të japësh pëlqim në banner-in tonë të cookies; mund ta tërheqësh atë pëlqim në çdo kohë përmes Cilësimeve të cookies ose duke klikuar Zgjedhjet e tua për Privatësinë në fundfaqe.

Nëse je banor i Kalifornisë, ke gjithashtu të drejtë të:

• dish çfarë informacioni personal mbledhim, burimet, qëllimet dhe çdo palë të tretë me të cilën e ndajmë (të gjitha të detajuara më sipër);
• kërkosh fshirjen e informacionit tënd personal (vetë-shërbim përmes Llogaria → Privatësia ose duke na dërguar email);
• korrigjosh informacion personal të pasaktë;
• kufizosh përdorimin dhe zbulimin e informacionit personal sensitiv — ne nuk mbledhim asgjë përtej kredencialeve të autentifikimit dhe metadatave të sesionit, të dyja të nevojshme për të ofruar shërbimin;
• heqësh dorë nga shitja ose ndarja — nuk zbatohet, pasi nuk bëjmë as njërën as tjetrën;
• të mos diskriminohesh për ushtrimin e ndonjë prej sa më sipër.

Ne respektojmë automatikisht sinjalet Global Privacy Control (GPC); dërgimi i një header-i GPC e trajton vizitën tënde sikur të kishe refuzuar shprehimisht çdo pëlqim të ardhshëm për analitikë.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Asnjë program sigurie nuk është i përsosur. Nëse beson se ke gjetur një dobësi në FixVibe, të lutemi raportoje te support@fixvibe.app.

Nëse bëjmë ndryshime materiale — nënpërpunues të rinj, kategori të reja të dhënash, periudha të reja ruajtjeje — do ta përditësojmë datën më sipër dhe do të të njoftojmë brenda aplikacionit. Rregullimet e vogla të formulimit nuk shkaktojnë njoftim.

privacy@fixvibe.app — përgjigjet zakonisht brenda 5 ditëve pune, kurrë më gjatë se 30 ditë siç kërkohet nga GDPR Art. 12(3).