FixVibe

// privacy

Gizlilik Politikası

son güncelleme · 2026-05-17

Biz kimiz

FixVibe, bu politikada açıklanan kişisel veriler için veri sorumlusu olan EGO HERO LLC (“biz”, “bize”) tarafından işletilir. GDPR, UK GDPR veya CCPA kapsamındaki veri sahibi talepleri dahil gizlilik soruları için privacy@fixvibe.app adresiyle iletişime geç. Diğer her şey için support@fixvibe.app adresine yaz.

Neleri topluyoruz, neden ve ne kadar süre tutuyoruz

  • Hesap verileri

    E-posta adresi, Google veya GitHub ile oturum açarsan OAuth tanımlayıcısı ve OAuth sağlayıcından aldığımız herhangi bir ad. Seni doğrulamak ve hesabın hakkında seninle iletişime geçmek için kullanılır. Hesabın aktif olduğu sürece tutulur. Hesabını sildiğinde bu veriler 30 gün içinde kaldırılır; vergi hukuku kapsamındaki fatura kayıtları gibi saklamamız gereken durumlar hariçtir.

    hukuki dayanak · Sözleşmenin ifası — Art. 6(1)(b) GDPR

  • Tarama hedefleri ve bulgular

    Taradığın URL’ler, bu URL’lere yaptığımız istekler ve ürettiğimiz bulgular. Organizasyonun altında saklanır. Planının saklama penceresinden daha eski kayıtları otomatik olarak sileriz: 30 gün (Hobby), 90 gün (Pro), 365 gün (Unlimited). Tarama geçmişini dilediğin zaman Hesap → Gizlilik bölümünden dışa aktarabilir veya silebilirsin.

    hukuki dayanak · Sözleşmenin ifası — Art. 6(1)(b) GDPR

  • Anonim tarama oturumları

    Oturum açmadan bir tarama çalıştırırsan, opak rastgele bir ID tutan, 24 saat ömürlü HMAC imzalı bir cookie, fixvibe_anon_session, veririz. Sahiplenilmemiş anonim tarama kayıtlarını 24 saat sonra otomatik olarak sileriz. 24 saatlik pencere içinde kaydolursan taraman yeni hesabına taşınır. Anonim kullanıcıların kim olduğunu, kaydolmadıkları sürece bilmeyiz.

    hukuki dayanak · Kesinlikle gerekli — ePrivacy Art. 5(3) istisnası

  • Faturalama verileri

    Stripe ödeme işlemcimizdir. Kart bilgilerini PCI-DSS altyapısında saklar; biz yalnızca Stripe müşteri ID’si, abonelik durumu, plan, dönem başlangıcı ve bitişi ile webhook olaylarının küçük bir idempotency kaydını saklarız. Stripe’ın gizlilik bildirimine stripe.com/privacy adresinden bakabilirsin.

    hukuki dayanak · Sözleşmenin ifası — Art. 6(1)(b) GDPR

  • Sunucu günlükleri ve denetim günlükleri

    Kısa ömürlü API istek günlükleri, hizmette hata ayıklayabilmemiz ve kötüye kullanımı tespit edebilmemiz için IP adresini, kullanıcı aracısını, yöntemi, yolu, durumu, süreyi, istek kimliğini, kullanıcı/kuruluş içeriğini ve hata dizelerini içerebilir. Bu istek günlükleri, 24 saate kadar cron planlama eğimiyle, tutma cronumuz tarafından 72 saat sonra otomatik olarak budanır. Güvenlikle ilgili eylemlere (oturum açma, taramanın başlatılması, belirtecin oluşturulması/iptal edilmesi, plan değişikliği, hesap silme ve yönetici/destek eylemleri dahil) ilişkin denetim günlükleri, IP adresini, kullanıcı aracısını ve istek meta verilerini içerebilir. Yasal sürece uymak veya yasal bir iddiayı savunmak için daha uzun bir sürenin gerekli olduğu durumlar haricinde, denetim günlükleri 18 ay sonra otomatik olarak budanır.

    hukuki dayanak · Meşru menfaat — Art. 6(1)(f) GDPR

  • GitHub entegrasyonu, isteğe bağlı, yalnızca Pro+

    Hesap → Entegrasyonlar bölümünden bir GitHub hesabı bağlarsan, organizasyonun için şifrelenmiş bir OAuth erişim token’ı, GitHub login’in ve sayısal kullanıcı ID’n ile verilen scopes bilgilerini saklarız. Token’ı yalnızca tarama başlattığın repositories’i okumak için kullanırız. Kaynak kod her taramada alınır, bellekte işlenir ve yalnızca tekil bulgu kanıtları kalıcı olarak saklanır; tam kaynak kod dökümleri saklanmaz. Bağlantı kesildikten sonra 30 gün içinde silinir.

    hukuki dayanak · Sözleşmenin ifası / rıza — Art. 6(1)(b) + 6(1)(a) GDPR

  • API token’ları + MCP server, isteğe bağlı

    Hesap → API token’ları bölümünde oluşturduğun token’lar SHA-256 hash olarak, tanımlama için ilk 8 açık metin karakteri, verdiğin ad ve oluşturulma, son kullanılma ve iptal edilme zaman damgalarıyla saklanır. Açık metin oluşturma sırasında sana tam olarak bir kez gösterilir ve asla kalıcı olarak saklanmaz. Token’lar bearer kimlik bilgileridir: değere sahip olan herkes, sen iptal edene kadar taramalarını okuyabilir ve yenilerini başlatabilir. /api/mcp adresindeki MCP server aynı token’larla doğrulanır, dashboard’un göstereceği aynı verileri sunar ve ayrı bir veri kategorisi oluşturmaz.

    hukuki dayanak · Sözleşmenin ifası — Art. 6(1)(b) GDPR

  • Giden web kancaları (isteğe bağlı, ücretli planlar)

    Hesap → Web Kancaları'ndan web kancası uç noktaları oluşturursanız, uç nokta URL'sini, seçilen etkinlik türlerini, teslimat durumunu, kısa yanıt alıntılarını ve şifrelenmiş imzalama sırrını saklarız. Yapılandırdığınız uç noktalara tarama, bulma, izleme uyarısı ve zamanlanmış çalıştırma meta verileri gönderiyoruz. Bu uç noktalar, FixVibe alt işlemciler değil, kuruluşunuz tarafından seçilen alıcılardır.

    hukuki dayanak · Sözleşmenin ifası — Mad. 6(1)(b) GDPR

  • Canlı tehdit algılama, isteğe bağlı, yalnızca Unlimited

    Doğrulanmış bir domainde izleme etkinse, o domain için certificate-transparency log girdilerini, DNS records’ı ve threat-intel listings’i (Spamhaus DBL, URLhaus) dönemsel olarak yakalarız. Bu snapshot’lar, taramamız için zaten yetki verdiğin hostnames’i ve herkese açık sorguların herkese açık sonuçlarını içerir. Son kullanıcılarının kişisel verileri yakalanmaz. 7 günden eski snapshot’lar otomatik olarak silinir; en son baseline her sinyal türü için tutulur.

    hukuki dayanak · Sözleşmenin ifası — Art. 6(1)(b) GDPR

  • Zamanlanmış yeniden taramalar, isteğe bağlı, yalnızca Pro+

    Doğrulanmış bir domainde zamanlanmış taramaları etkinleştirirsen, sıklığı, son çalışma zamanını, bir sonraki çalışma zamanını ve zamanlamayı hangi kullanıcının etkinleştirdiğini kaydederiz. Cron ile tetiklenen her tarama, domain ilk doğrulandığında verilen tarama yetkisi beyanını devralır — her çalıştırmada yeniden beyan etmezsin. İstediğin zaman Alan Adları → Zamanlama bölümünden devre dışı bırak.

    hukuki dayanak · Sözleşmenin ifası — Art. 6(1)(b) GDPR

  • Analitik, isteğe bağlı, rızaya bağlı

    Analitik rızası verirsen ve kullandığın deployment için analitik yapılandırılmışsa, anonim kullanımı kaydetmek için gizliliğe saygılı, kendi domain’imiz üzerinden proxied bir product-analytics sağlayıcısı kullanırız — hangi düğmelere tıklandığı, insanların hangi kontrolleri çalıştırdığı, kullanıcıların funnel’ın neresinde ayrıldığı. Taradığın URL’leri, kanıt içeriğini veya kişisel verileri analytics events içine koymayız. Rızanı dilediğin zaman üzerinden geri alabilirsin.

    hukuki dayanak · Rıza — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Promosyon teklifi talebi

    Bir promosyon kodu, davet bağlantısı veya referans kredisi talep ettiğinizde, kampanya kodunu, verdiğimiz plan ve süreyi, deneme başlangıç ve bitiş zaman damgalarını, denemeden önce sahip olduğunuz planı ve talep anındaki IP adresinizin HMAC-SHA256 hash'ini saklarız (ham IP'yi asla saklamayız — hash yalnızca ağ başına bir talep limitlerini uygulayabilmemiz için vardır ve temel HMAC anahtarını döndürmek, kimseyi açığa çıkarmadan tüm saklanan hash'leri geçersiz kılar). Muhasebe ve dolandırıcılık araştırma amaçları için kampanyanın ömrü artı 18 ay boyunca saklanır, ardından kampanya kaydının geri kalanıyla birlikte silinir.

    hukuki dayanak · Meşru menfaat (dolandırıcılık önleme, muhasebe) — GDPR Madde 6(1)(f)

  • Yarışmalar, çekilişler ve meydan okumalar

    Bir FixVibe Meydan Okumasına (Security Preflight Challenge gibi) katılırsanız, gönderdiğiniz iletişim e-postasını (kazandığınız takdirde size ulaşabilmemiz için gerekli), isteğe bağlı olarak verdiğiniz Reddit ve Product Hunt kullanıcı adlarını, scan ID'nizi ve kök alan adını, isteğe bağlı olarak verdiğiniz öz bildirimli proje türü, stack ve öğrendiğim-tek-şey metnini, isteğe bağlı olarak seçtiğiniz keşif kanalı değerini ve kabul ettiğiniz üç gerekli onay kutusunu (yetkilendirme, kurallar, iletişim) saklarız. Ayrıca isteğe bağlı pazarlamada öne çıkar onayını işaretlerseniz, FixVibe ana sayfası, meydan okuma sayfası veya özet gönderisinde herkese açık skorunuzu, derecelendirmenizi, stack'inizi, kullanıcı adınızı ve gönderilen alıntıyı gösterebiliriz — asla başka bir alan ve asla bu opt-in olmadan. Meydan okuma kayıtları doğrulama ve anlaşmazlık amaçları için Meydan Okumanın ömrü artı 18 ay boyunca saklanır. Pazarlamada öne çıkar onayını privacy@fixvibe.app'a e-posta göndererek istediğiniz zaman geri çekebilirsiniz; geri çekme, geri çekmeden önceki yasal işlemeyi etkilemez.

    hukuki dayanak · Sözleşmenin ifası (Meydan Okumanın yürütülmesi) ve onay (öne çıkarma) — GDPR Madde 6(1)(b) ve 6(1)(a)

Neleri TOPLAMIYORUZ

  • Verilerini asla satmayız.
  • Üçüncü taraf ad-tech, fingerprinting veya session-replay script’leri yerleştirmeyiz.
  • Tarama hedef URL’lerini veya bulgu kanıtlarını analytics properties’e koymayız — bu veriler yalnızca veritabanımızda yaşar ve row-level security ile korunur.
  • Verilerini üçüncü taraflarla onların kendi pazarlamaları için paylaşmayız.

Alt işleyiciler

FixVibe’i çalıştırmak için aşağıdaki alt işleyicilere güveniriz:

  • Vercel Inc. (ABD) — uygulama barındırma ve edge network. Gizlilik bildirimi: vercel.com/legal/privacy-policy.
  • Supabase Inc. (ABD) — Postgres database, authentication, file storage, Realtime. FixVibe production database’i AWS us-east-1 bölgesindedir. Gizlilik bildirimi: supabase.com/privacy.
  • Stripe Inc. (ABD) — ücretli planlar için ödeme işleme. Gizlilik bildirimi: stripe.com/privacy.
  • Upstash, Inc. (ABD, Vercel Marketplace üzerinden) — Redis destekli rate limiting; yalnızca kısa ömürlü IP tabanlı sayaçları saklar. Gizlilik bildirimi: upstash.com/privacy.
  • PostHog Inc. (ABD) — product analytics, yalnızca analitik rızası verirsen ve yalnızca kullandığın deployment için analitik yapılandırıldığında. Gizlilik bildirimi: posthog.com/privacy.
  • GitHub, Inc. (ABD) — yalnızca isteğe bağlı GitHub entegrasyonunu bağlarsan. Tarama başlattığın repositories’i okumak için GitHub API kullanırız. Gizlilik bildirimi: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (ABD) — transactional email teslimatı. Tarama tamamlandı, zamanlanmış tarama, canlı tehdit uyarısı ve haftalık özet e-postaları gönderdiğimizde e-posta adresini ve e-posta gövdesini alır. Resend teslimat metaverilerini, zaman damgaları, durum ve bounce kayıtları gibi, operasyonel amaçlarla saklar; Resend üzerinden asla pazarlama e-postası göndermeyiz. Gizlilik bildirimi: resend.com/legal/privacy-policy.

Kişisel verilerin EEA/UK dışına aktarımı, Avrupa Komisyonu’nun Standart Sözleşme Maddelerine veya UK International Data Transfer Addendum’a dayanır ve aşağıdaki “Güvenlik” bölümünde açıklanan aktarım sırasında ve beklemede şifreleme önlemleriyle desteklenir.

Bizim adımıza kişisel verileri işleyen yeni bir alt işleyici eklersek bu listeyi güncelleyeceğiz ve müşterilerimize uygulama içinden bildirimde bulunacağız. Müşteri tarafından yapılandırılan giden web kancası uç noktaları, FixVibe alt işlemciler değil, müşteri tarafından seçilen alıcılardır.

Hakların

GDPR, UK GDPR ve eşdeğer yasalar (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act vb.) kapsamında şunları yapma hakkın vardır:

  • verilerinin bir kopyasına erişmek (bunu Hesap → Gizlilik bölümünden self-serve yapabilirsin);
  • verilerinin düzeltilmesini sağlamak;
  • verilerinin silinmesini sağlamak (bu da self-serve);
  • meşru menfaatlere dayalı işlemeye itiraz etmek;
  • analitik rızasını dilediğin zaman üzerinden geri çekmek;
  • veri taşınabilirliği — dışa aktarımın JSON formatındadır;
  • yerel denetim makamına (EU/UK/EEA) veya eşdeğerine şikayette bulunmak.

Doğrulanabilir hak taleplerine 30 gün içinde yanıt veririz. Self-serve karşılayamadığımız talepler için, örneğin göstermediğimiz bir alanın düzeltilmesi, işlemenin kısıtlanması veya itiraz, konu satırı “Gizlilik talebi” olacak şekilde support@fixvibe.app adresine e-posta gönder.

Kaliforniya sakinleri (CCPA / CPRA)

Kişisel bilgilerini satmayız. Kişisel bilgileri cross-context behavioral advertising için paylaşmayız. PostHog üzerinden analitik yalnızca cookie banner’ımızda rıza verdikten sonra çalışır; bu rızayı dilediğin zaman üzerinden veya footer’daki Gizlilik Seçimlerin bağlantısına tıklayarak geri çekebilirsin.

Kaliforniya sakiniysen ayrıca şu haklara sahipsin:

  • hangi kişisel bilgileri topladığımızı, kaynakları, amaçları ve bunları paylaştığımız üçüncü tarafları bilmek, tamamı yukarıda ayrıntılıdır;
  • kişisel bilgilerinin silinmesini istemek, Hesap → Gizlilik üzerinden self-serve veya bize e-posta göndererek;
  • hatalı kişisel bilgileri düzeltmek;
  • hassas kişisel bilgilerin kullanımını ve açıklanmasını sınırlamak — hizmeti sağlamak için gerekli olan kimlik doğrulama bilgileri ve oturum metaverileri dışında hiçbirini toplamıyoruz;
  • satış veya paylaşımı reddetmek — ikisini de yapmadığımız için geçerli değildir;
  • yukarıdakilerden herhangi birini kullandığın için ayrımcılığa uğramamak.

Global Privacy Control (GPC) sinyallerini otomatik olarak onurlandırırız; bir GPC header göndermek, ziyaretini gelecekteki herhangi bir analitik rızasından açıkça çıkmışsın gibi ele alır.

Güvenlik

Her veritabanı tablosunda satır düzeyinde güvenliği zorunlu kılıyoruz; kullanıcılar yalnızca üyesi oldukları kuruluşlara ait kayıtları görürler. Kimliği doğrulanmış tarama başlıkları, sağlandığında, beklemedeyken AES-256-GCM ile şifrelenir ve tarama tamamlandıktan sonra temizlenir. Stripe web kancası verileri işlenmeden önce HMAC doğrulanır ve müşterinin giden web kancası imzalama sırları, kullanımda değilken şifrelenir. Hizmet rolü veritabanı kimlik bilgileri yalnızca sunucu çalışma zamanında tutulur ve hiçbir zaman tarayıcıya açıklanmaz. Sizinle FixVibe arasındaki ve FixVibe ile alt işlemcilerimiz arasındaki tüm trafik, TLS 1.2 veya üstünü kullanır.

Hiçbir güvenlik programı mükemmel değildir. FixVibe’de bir güvenlik açığı bulduğunu düşünüyorsan lütfen support@fixvibe.app adresine bildir.

Bu politikadaki değişiklikler

Önemli değişiklikler yaparsak — yeni alt işleyiciler, yeni veri kategorileri veya yeni saklama süreleri — yukarıdaki tarihi günceller ve seni uygulama içinde bilgilendiririz. Küçük ifade düzeltmeleri bildirim tetiklemez.

İletişim

privacy@fixvibe.app — yanıtlar genellikle 5 iş günü içinde, GDPR Art. 12(3) gereği asla 30 günden uzun olmaz.

Gizlilik Politikası · FixVibe