FixVibe

// приватност

Политика приватности

последње ажурирање · 2026-05-17

Ко смо

FixVibe води EGO HERO LLC („ми“, „нас“), руковалац личним подацима описаним у овој политици. За питања приватности, укључујући захтеве субјеката података према GDPR, UK GDPR или CCPA, контактирај privacy@fixvibe.app. За све остало пиши на support@fixvibe.app.

Шта прикупљамо, зашто и колико дуго чувамо

  • Подаци налога

    Имејл адреса, OAuth идентификатор (ако се пријављујеш преко Google или GitHub) и било које име које добијемо од твог OAuth провајдера. Користи се за твоју аутентификацију и контакт у вези са налогом. Чува се док је твој налог активан. Када обришеш налог, ови подаци се уклањају у року од 30 дана, осим када морамо да их задржимо (нпр. евиденција наплате према пореском праву).

    правни основ · Извршење уговора — Art. 6(1)(b) GDPR

  • Циљеви скенирања и налази

    URL-ови које скенираш, захтеви које шаљемо тим URL-овима и налази које произведемо. Чувају се уз твоју организацију. Аутоматски бришемо записе старије од прозора задржавања твог плана: 30 дана (Hobby), 90 дана (Pro), 365 дана (Unlimited). Историју скенирања можеш да извезеш или обришеш у било ком тренутку из Налог → Приватност.

    правни основ · Извршење уговора — Art. 6(1)(b) GDPR

  • Анонимне сесије скенирања

    Ако покренеш скенирање без пријаве, издајемо HMAC-потписани cookie (fixvibe_anon_session, трајање 24 сата) који садржи непрозиран насумични ID. Аутоматски бришемо непотраживане анонимне записе скенирања након 24 сата. Ако се региструјеш у року од 24 сата, твоје скенирање мигрира у нови налог. Не знамо ко су анонимни корисници осим ако се не региструју.

    правни основ · Строго неопходно — изузетак ePrivacy Art. 5(3)

  • Подаци за наплату

    Stripe је наш обрађивач плаћања. Stripe чува податке твоје картице на PCI-DSS инфраструктури; ми чувамо само Stripe ID корисника, статус претплате, план, почетак и крај периода и мали idempotency запис webhook догађаја. Погледај Stripe обавештење о приватности на stripe.com/privacy.

    правни основ · Извршење уговора — Art. 6(1)(b) GDPR

  • Серверски логови и ревизиони логови

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    правни основ · Легитимни интерес — Art. 6(1)(f) GDPR

  • GitHub интеграција (опционо, само Pro+)

    Ако повежеш GitHub налог из Налог → Интеграције, чувамо шифровани OAuth приступни token за твоју организацију, твој GitHub login + нумерички кориснички ID и одобрене scope-ове. Token користимо искључиво за читање репозиторијума против којих покрећеш скенирања. Изворни код се преузима по скенирању, обрађује у меморији и чувају се само појединачни докази налаза (без потпуних dump-ова изворног кода). Брише се у року од 30 дана од прекида везе.

    правни основ · Извршење уговора / сагласност — Art. 6(1)(b) + 6(1)(a) GDPR

  • API token-и + MCP сервер (опционо)

    Token-и које креираш у Налог → API token-и чувају се као SHA-256 hash, првих 8 знакова plain text-а (за идентификацију), име које си доделио, плус временске ознаке креирања, последње употребе и опозива. Plain text ти се приказује тачно једном при креирању и никада се не чува. Token-и су bearer credentials: свако ко има вредност може да чита твоја скенирања и покреће нова док их не опозовеш. MCP сервер на /api/mcp аутентификује се истим token-има, излаже исте податке као dashboard и не ствара посебну категорију података.

    правни основ · Извршење уговора — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    правни основ · Performance of contract — Art. 6(1)(b) GDPR

  • Детекција претњи уживо (опционо, само Unlimited)

    Ако имаш укључен мониторинг на верификованом домену, периодично бележимо уносе из certificate-transparency логова, DNS записе и threat-intel листе (Spamhaus DBL, URLhaus) за тај домен. Ове снимке садрже hostname-ове које си нам већ одобрио за скенирање и јавне резултате јавних упита. Не прикупљају се лични подаци твојих крајњих корисника. Снимци старији од 7 дана аутоматски се бришу; најновији baseline се задржава по типу сигнала.

    правни основ · Извршење уговора — Art. 6(1)(b) GDPR

  • Заказана поновна скенирања (опционо, само Pro+)

    Ако омогућиш заказана скенирања на верификованом домену, бележимо учесталост, време последњег покретања, време следећег покретања и корисника који је омогућио распоред. Свако скенирање покренуто cron-ом наслеђује потврду овлашћења за скенирање дату када је домен први пут верификован — не потврђујеш поново при сваком покретању. Искључи било када у Домени → Распоред.

    правни основ · Извршење уговора — Art. 6(1)(b) GDPR

  • Аналитика (опционо, уз сагласност)

    Ако даш сагласност за аналитику и имамо аналитику конфигурисану за deployment који користиш, користимо провајдера продуктне аналитике који поштује приватност (проксовано кроз наш сопствени домен) за бележење анонимне употребе — која дугмад се кликћу, које провере људи покрећу, где корисници одустају у funnel-у. URL-ове које скенираш, садржај доказа или личне податке не стављамо у аналитичке догађаје. Сагласност можеш да опозовеш у било ком тренутку преко .

    правни основ · Сагласност — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Преузимање промотивне понуде

    Када преузмете промо код, позивни линк или кредит за препоруку, чувамо код кампање, план и трајање које смо одобрили, временске печате почетка и краја пробног периода, план који сте имали пре пробног периода, и HMAC-SHA256 hash ваше IP адресе у време преузимања (никада не чувамо сирову IP — hash постоји само да бисмо могли да применимо лимит једно-преузимање-по-мрежи, а ротирање основног HMAC кључа поништава све сачуване hash-еве без излагања било кога). Чува се током живота кампање плус 18 месеци за рачуноводствене сврхе и сврхе истраге превара, затим се брише са остатком записа кампање.

    правни основ · Легитимни интерес (превенција превара, рачуноводство) — Чл. 6(1)(ф) GDPR

  • Такмичења, лутрије и изазови

    Ако уђете у FixVibe Изазов (као што је Security Preflight Challenge), чувамо контакт е-маил који поднесете (потребан да бисмо могли да вас контактирамо ако победите), Reddit и Product Hunt корисничка имена која опционо пружите, ваш scan ID и основни домен, самопријављени тип пројекта, стек и текст једне-ствари-коју-сам-научио који опционо пружите, вредност канала-открића коју опционо изаберете, и три обавезне потврде сагласности које прихватате (овлашћење, правила, контакт). Ако одвојено означите опциону истицано-на-маркетингу сагласност, можемо приказати ваш јавни резултат, оцену, стек, корисничко име и поднети цитат на почетној страници FixVibe-а, страници изазова или сажетку — никада било које друго поље, и никада без те сагласности. Пријаве за Изазов се чувају током живота Изазова плус 18 месеци за сврхе верификације и спора. Можете повући истицано-на-маркетингу сагласност у било ком тренутку слањем е-маила на privacy@fixvibe.app; повлачење не утиче на законито обрадивање пре повлачења.

    правни основ · Извршење уговора (вођење Изазова) и сагласност (истицање) — Чл. 6(1)(б) и 6(1)(а) GDPR

Шта НЕ прикупљамо

  • Никада не продајемо твоје податке.
  • Не уграђујемо ad-tech трећих страна, fingerprinting или session-replay скрипте.
  • URL-ове циљева скенирања или доказе налаза не стављамо у аналитичка својства — ти подаци живе само у нашој бази података, заштићени безбедношћу на нивоу редова.
  • Не делимо твоје податке са трећим странама за њихов сопствени маркетинг.

Подобрађивачи

За рад FixVibe-а ослањамо се на следеће подобрађиваче:

  • Vercel Inc. (САД) — hosting апликације и edge мрежа. Обавештење о приватности: vercel.com/legal/privacy-policy.
  • Supabase Inc. (САД) — Postgres база података, аутентификација, складиштење датотека, Realtime. Продукциона база података FixVibe-а је у региону AWS us-east-1. Обавештење о приватности: supabase.com/privacy.
  • Stripe Inc. (САД) — обрада плаћања за плаћене планове. Обавештење о приватности: stripe.com/privacy.
  • Upstash, Inc. (САД, преко Vercel Marketplace-а) — rate limiting подржан Redis-ом; чува само краткотрајне бројаче засноване на IP-у. Обавештење о приватности: upstash.com/privacy.
  • PostHog Inc. (САД) — продуктна аналитика, само ако даш сагласност за аналитику и само када је аналитика конфигурисана за deployment који користиш. Обавештење о приватности: posthog.com/privacy.
  • GitHub, Inc. (САД) — само ако повежеш опционалну GitHub интеграцију. Користимо GitHub API за читање репозиторијума против којих покрећеш скенирања. Обавештење о приватности: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (САД) — испорука трансакционих имејлова. Прима твоју имејл адресу и тело имејла када шаљемо имејлове о завршеном скенирању, заказаном скенирању, live-threat упозорењу и недељном digest-у. Resend задржава метаподатке испоруке (временске ознаке, статус, bounce записе) у оперативне сврхе; никада не шаљемо маркетиншки имејл преко Resend-а. Обавештење о приватности: resend.com/legal/privacy-policy.

Преноси личних података изван EEA/UK ослањају се на Стандардне уговорне клаузуле Европске комисије (или UK International Data Transfer Addendum), допуњене мерама енкрипције у преносу и енкрипције у мировању описаним испод у „Безбедност“.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Твоја права

Према GDPR, UK GDPR и еквивалентним законима (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act итд.) имаш право да:

  • приступиш копији својих података (то можеш самостално из Налог → Приватност);
  • исправиш своје податке;
  • обришеш своје податке (такође самостално);
  • уложиш приговор на обраду засновану на легитимним интересима;
  • опозовеш сагласност за аналитику у било ком тренутку преко ;
  • преносивост података — твој извоз је у JSON-у;
  • поднесеш жалбу локалном надзорном органу (EU/UK/EEA) или еквиваленту.

На проверљиве захтеве за остваривање права одговарамо у року од 30 дана. За захтеве које не можемо самостално да испунимо (исправка поља које не излажемо, ограничење обраде, приговор), пошаљи имејл на support@fixvibe.app са предметом „Privacy request“.

Становници Калифорније (CCPA / CPRA)

Не продајемо твоје личне информације. Не делимо личне информације за cross-context бихевиорално оглашавање. Аналитика преко PostHog-а ради само након што даш сагласност у нашем cookie банеру; ту сагласност можеш да опозовеш у било ком тренутку преко или кликом на Твоји избори приватности у footer-у.

Ако си становник Калифорније, такође имаш право да:

  • знаш које личне информације прикупљамо, изворе, сврхе и све треће стране са којима их делимо (све је детаљно наведено изнад);
  • затражиш брисање својих личних информација (самостално преко Налог → Приватност или слањем имејла);
  • исправиш нетачне личне информације;
  • ограничиш употребу и откривање осетљивих личних информација — не прикупљамо ништа осим аутентификационих акредитива и метаподатака сесије, што је потребно за пружање услуге;
  • одбијеш продају или дељење — није применљиво јер не радимо ни једно ни друго;
  • не будеш дискриминисан због остваривања било ког од горе наведених права.

Аутоматски поштујемо сигнале Global Privacy Control (GPC); слање GPC header-а третира твоју посету као да си изричито одбио било какву будућу сагласност за аналитику.

Безбедност

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Ниједан безбедносни програм није савршен. Ако верујеш да си пронашао рањивост у FixVibe-у, пријави је на support@fixvibe.app.

Промене ове политике

Ако направимо материјалне промене — нове подобрађиваче, нове категорије података, нове периоде задржавања — ажурираћемо датум изнад и обавестити те у апликацији. Мање исправке формулације не покрећу обавештење.

Контакт

privacy@fixvibe.app — одговори обично у року од 5 радних дана, никада дуже од 30 дана како захтева GDPR Art. 12(3).

Политика приватности · FixVibe