Integritetspolicy

FixVibe drivs av EGO HERO LLC (“vi”, “oss”), personuppgiftsansvarig för de personuppgifter som beskrivs i denna policy. För integritetsfrågor, inklusive begäranden från registrerade enligt GDPR, UK GDPR eller CCPA, kontakta privacy@fixvibe.app. För allt annat, skriv till support@fixvibe.app.

• Kontouppgifter

  E-postadress, OAuth-identifierare (om du loggar in med Google eller GitHub) och eventuellt namn vi får från din OAuth-leverantör. Används för att autentisera dig och kontakta dig om ditt konto. Behålls medan ditt konto är aktivt. När du raderar ditt konto tas dessa uppgifter bort inom 30 dagar, utom när vi måste behålla dem (till exempel faktureringsuppgifter enligt skattelagstiftning).

  rättslig grund · Fullgörande av avtal — Art. 6(1)(b) GDPR

• Skanningsmål och fynd

  De URL:er du skannar, de förfrågningar vi gör till dessa URL:er och de fynd vi producerar. Lagras mot din organisation. Vi raderar automatiskt poster äldre än ditt plans lagringsfönster: 30 dagar (Hobby), 90 dagar (Pro), 365 dagar (Unlimited). Du kan exportera eller radera din skanningshistorik när som helst från Konto → Integritet.

  rättslig grund · Fullgörande av avtal — Art. 6(1)(b) GDPR

• Anonyma skanningssessioner

  Om du kör en skanning utan att logga in utfärdar vi en HMAC-signerad cookie (fixvibe_anon_session, 24 timmars livslängd) som innehåller ett ogenomskinligt slumpmässigt ID. Vi raderar automatiskt oanmälda anonyma skanningsposter efter 24 timmar. Om du registrerar dig inom 24-timmarsfönstret migreras din skanning till ditt nya konto. Vi vet inte vilka anonyma användare är om de inte registrerar sig.

  rättslig grund · Strikt nödvändigt — undantag enligt ePrivacy Art. 5(3)

• Faktureringsuppgifter

  Stripe är vår betalningsförmedlare. Stripe lagrar dina kortuppgifter i PCI-DSS-infrastruktur; vi lagrar endast ett Stripe-kund-ID, prenumerationsstatus, plan, periodens start/slut och en liten idempotenspost för webhookhändelser. Se Stripes integritetsmeddelande på stripe.com/privacy.

  rättslig grund · Fullgörande av avtal — Art. 6(1)(b) GDPR

• Serverloggar och auditloggar

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  rättslig grund · Berättigat intresse — Art. 6(1)(f) GDPR

• GitHub-integration (valfri, endast Pro+)

  Om du ansluter ett GitHub-konto från Konto → Integrationer lagrar vi en krypterad OAuth access token för din organisation, din GitHub-inloggning + numeriska användar-ID och de beviljade scopes. Vi använder token endast för att läsa repositories som du initierar skanningar mot. Källkod hämtas per skanning, behandlas i minnet, och endast enskilda bevis för fynd sparas (inga fullständiga källkodsdumpar). Raderas inom 30 dagar efter frånkoppling.

  rättslig grund · Fullgörande av avtal / samtycke — Art. 6(1)(b) + 6(1)(a) GDPR

• API-tokens + MCP-server (valfritt)

  Tokens du skapar under Konto → API-tokens lagras som en SHA-256-hash, de första 8 tecknen i klartext (för identifiering), namnet du angav samt tidsstämplar för skapad/senast använd/återkallad. Klartexten visas för dig exakt en gång vid skapande och sparas aldrig. Tokens är bearer credentials: alla med värdet kan läsa dina skanningar och starta nya tills du återkallar. MCP-servern på /api/mcp autentiseras med samma tokens, exponerar samma data som dashboarden skulle göra och skapar ingen separat datakategori.

  rättslig grund · Fullgörande av avtal — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  rättslig grund · Performance of contract — Art. 6(1)(b) GDPR

• Livehotdetektering (valfri, endast Unlimited)

  Om du har övervakning aktiverad på en verifierad domän fångar vi periodiskt poster i certificate-transparency-loggar, DNS-poster och threat-intel-listningar (Spamhaus DBL, URLhaus) för den domänen. Dessa snapshots innehåller värdnamn som du redan har auktoriserat oss att skanna och offentliga resultat från offentliga uppslagningar. Inga personuppgifter om dina slutanvändare fångas. Snapshots äldre än 7 dagar raderas automatiskt; den senaste baseline behålls per signaltyp.

  rättslig grund · Fullgörande av avtal — Art. 6(1)(b) GDPR

• Schemalagda omskanningar (valfritt, endast Pro+)

  Om du aktiverar schemalagda skanningar på en verifierad domän registrerar vi kadensen, senaste körtid, nästa körtid och vilken användare som aktiverade schemat. Varje cron-utlöst skanning ärver intyget om auktorisering att skanna som gjordes när domänen först verifierades — du behöver inte intyga på nytt per körning. Inaktivera när som helst under Domäner → Schema.

  rättslig grund · Fullgörande av avtal — Art. 6(1)(b) GDPR

• Analytics (valfritt, kräver samtycke)

  Om du ger samtycke till analytics och vi har analytics konfigurerat för den deployment du använder, använder vi en integritetsvänlig leverantör av produktanalytics (proxyd genom vår egen domän) för att registrera anonym användning — vilka knappar som klickas, vilka kontroller människor kör, var i tratten användare faller bort. Vi lägger inte URL:er som du skannar, bevisinnehåll eller personuppgifter i analytics-händelser. Återkalla samtycke när som helst via Cookieinställningar.

  rättslig grund · Samtycke — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Uthämtning av kampanjerbjudande

  När du hämtar ut en kampanjkod, inbjudningslänk eller värvningskredit lagrar vi kampanjkoden, den plan och varaktighet vi beviljade, tidsstämplarna för provperiodens start och slut, den plan du hade före provperioden och en HMAC-SHA256-hash av din IP-adress vid uthämtningstillfället (vi lagrar aldrig den råa IP:n — hashen finns endast så att vi kan tillämpa gränser för en-uthämtning-per-nätverk, och rotering av den underliggande HMAC-nyckeln ogiltigförklarar alla lagrade hashar utan att exponera någon). Behålls under kampanjens livstid plus 18 månader för bokförings- och bedrägeriundersökningssyften, och raderas sedan med resten av kampanjposten.

  rättslig grund · Berättigat intresse (bedrägeriförebyggande, bokföring) — art. 6(1)(f) GDPR

• Tävlingar, lotterier och utmaningar

  Om du anmäler dig till en FixVibe-Utmaning (såsom Security Preflight Challenge) lagrar vi den kontakt-e-post du skickar in (krävs så att vi kan nå dig om du vinner), de Reddit- och Product Hunt-användarnamn du valfritt anger, ditt scan-ID och rotdomän, den självrapporterade projekttypen, stacken och en-sak-jag-lärde-mig-text som du valfritt anger, det upptäcktskanalvärde du valfritt väljer och de tre obligatoriska samtyckesrutorna du accepterar (auktorisering, regler, kontakt). Om du separat kryssar i det valfria lyft-fram-i-marknadsföring-samtycket kan vi visa din offentliga poäng, betyg, stack, användarnamn och inskickat citat på FixVibe-startsidan, utmaningssidan eller sammanfattningsinlägget — aldrig några andra fält, och aldrig utan det opt-in. Utmaningsanmälningar behålls under Utmaningens livstid plus 18 månader för verifierings- och tvistesyften. Du kan när som helst återkalla lyft-fram-i-marknadsföring-samtycket genom att mejla privacy@fixvibe.app; återkallande påverkar inte laglig behandling före återkallandet.

  rättslig grund · Avtalets fullgörande (köra Utmaningen) och samtycke (lyfta fram) — art. 6(1)(b) och 6(1)(a) GDPR

• Vi säljer aldrig dina uppgifter.
• Vi bäddar inte in ad-tech från tredje part, fingerprinting eller session-replay-skript.
• Vi lägger inte dina skanningsmåls-URL:er eller fyndbevis i analytics-egenskaper — dessa uppgifter finns bara i vår databas, skyddade av row-level security.
• Vi delar inte dina uppgifter med tredje parter för deras egen marknadsföring.

Vi förlitar oss på följande underbiträden för att driva FixVibe:

• Vercel Inc. (USA) — applikationshosting och edge-nätverk. Integritetsmeddelande: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres-databas, autentisering, fillagring, Realtime. FixVibes produktionsdatabas finns i regionen AWS us-east-1. Integritetsmeddelande: supabase.com/privacy.
• Stripe Inc. (USA) — betalningshantering för betalda planer. Integritetsmeddelande: stripe.com/privacy.
• Upstash, Inc. (USA, via Vercel Marketplace) — Redis-baserad rate limiting; lagrar endast kortlivade IP-baserade räknare. Integritetsmeddelande: upstash.com/privacy.
• PostHog Inc. (USA) — produktanalytics, endast om du ger samtycke till analytics och endast när analytics är konfigurerat för den deployment du använder. Integritetsmeddelande: posthog.com/privacy.
• GitHub, Inc. (USA) — endast om du ansluter den valfria GitHub-integrationen. Vi använder GitHubs API för att läsa repositories som du initierar skanningar mot. Integritetsmeddelande: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — leverans av transaktionell e-post. Tar emot din e-postadress och e-postens brödtext när vi skickar e-post om slutförd skanning, schemalagd skanning, livehotvarning och veckosammanfattning. Resend behåller leveransmetadata (tidsstämplar, status, bounce-poster) för operativa ändamål; vi skickar aldrig marknadsföringsmejl via Resend. Integritetsmeddelande: resend.com/legal/privacy-policy.

Överföringar av personuppgifter utanför EES/Storbritannien bygger på Europeiska kommissionens standardavtalsklausuler (eller Storbritanniens International Data Transfer Addendum), kompletterade med de krypteringsåtgärder under överföring och i vila som beskrivs under “Säkerhet” nedan.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Enligt GDPR, UK GDPR och motsvarande lagar (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act osv.) har du rätt att:

• få tillgång till en kopia av dina uppgifter (du kan göra detta själv från Konto → Integritet);
• få dina uppgifter rättade;
• få dina uppgifter raderade (även självbetjäning);
• invända mot behandling som baseras på berättigade intressen;
• när som helst återkalla samtycke till analytics via Cookieinställningar;
• dataportabilitet — din export är i JSON;
• lämna in klagomål till din lokala tillsynsmyndighet (EU/Storbritannien/EES) eller motsvarande.

Vi svarar på verifierbara rättighetsbegäranden inom 30 dagar. För begäranden som vi inte kan uppfylla via självbetjäning (rättelse av ett fält vi inte exponerar, begränsning av behandling, invändning), mejla support@fixvibe.app med ämnesraden “Integritetsbegäran”.

Vi säljer inte din personliga information. Vi delar inte personlig information för kontextöverskridande beteendebaserad annonsering. Analytics via PostHog körs endast efter att du ger samtycke i vår cookiebanner; du kan återkalla samtycket när som helst via Cookieinställningar eller genom att klicka på Dina integritetsval i sidfoten.

Om du är bosatt i Kalifornien har du också rätt att:

• veta vilken personlig information vi samlar in, källorna, ändamålen och eventuella tredje parter som vi delar den med (allt beskrivs ovan);
• begära radering av din personliga information (självbetjäning via Konto → Integritet eller genom att mejla oss);
• rätta felaktig personlig information;
• begränsa användning och utlämnande av känslig personlig information — vi samlar inte in någon utöver autentiseringsuppgifter och sessionsmetadata, som båda krävs för att tillhandahålla tjänsten;
• välja bort försäljning eller delning — inte tillämpligt eftersom vi inte gör något av detta;
• inte diskrimineras för att du utövar något av ovanstående.

Vi respekterar Global Privacy Control (GPC)-signaler automatiskt; att skicka en GPC-header behandlar ditt besök som om du uttryckligen hade valt bort framtida samtycke till analytics.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Inget säkerhetsprogram är perfekt. Om du tror att du har hittat en sårbarhet i FixVibe, rapportera den till support@fixvibe.app.

Om vi gör väsentliga ändringar — nya underbiträden, nya datakategorier, nya lagringsperioder — uppdaterar vi datumet ovan och meddelar dig i appen. Mindre språkjusteringar utlöser ingen avisering.

privacy@fixvibe.app — svar vanligtvis inom 5 arbetsdagar, aldrig längre än 30 dagar enligt GDPR Art. 12(3).