FixVibe

// privacy

Gizlilik Politikası

son güncelleme · 2026-05-17

Biz kimiz

FixVibe, bu politikada açıklanan kişisel veriler için veri sorumlusu olan EGO HERO LLC (“biz”, “bize”) tarafından işletilir. GDPR, UK GDPR veya CCPA kapsamındaki veri sahibi talepleri dahil gizlilik soruları için privacy@fixvibe.app adresiyle iletişime geç. Diğer her şey için support@fixvibe.app adresine yaz.

Neleri topluyoruz, neden ve ne kadar süre tutuyoruz

  • Hesap verileri

    E-posta adresi, Google veya GitHub ile oturum açarsan OAuth tanımlayıcısı ve OAuth sağlayıcından aldığımız herhangi bir ad. Seni doğrulamak ve hesabın hakkında seninle iletişime geçmek için kullanılır. Hesabın aktif olduğu sürece tutulur. Hesabını sildiğinde bu veriler 30 gün içinde kaldırılır; vergi hukuku kapsamındaki fatura kayıtları gibi saklamamız gereken durumlar hariçtir.

    hukuki dayanak · Sözleşmenin ifası — Art. 6(1)(b) GDPR

  • Tarama hedefleri ve bulgular

    Taradığın URL’ler, bu URL’lere yaptığımız istekler ve ürettiğimiz bulgular. Organizasyonun altında saklanır. Planının saklama penceresinden daha eski kayıtları otomatik olarak sileriz: 30 gün (Hobby), 90 gün (Pro), 365 gün (Unlimited). Tarama geçmişini dilediğin zaman Hesap → Gizlilik bölümünden dışa aktarabilir veya silebilirsin.

    hukuki dayanak · Sözleşmenin ifası — Art. 6(1)(b) GDPR

  • Anonim tarama oturumları

    Oturum açmadan bir tarama çalıştırırsan, opak rastgele bir ID tutan, 24 saat ömürlü HMAC imzalı bir cookie, fixvibe_anon_session, veririz. Sahiplenilmemiş anonim tarama kayıtlarını 24 saat sonra otomatik olarak sileriz. 24 saatlik pencere içinde kaydolursan taraman yeni hesabına taşınır. Anonim kullanıcıların kim olduğunu, kaydolmadıkları sürece bilmeyiz.

    hukuki dayanak · Kesinlikle gerekli — ePrivacy Art. 5(3) istisnası

  • Faturalama verileri

    Stripe ödeme işlemcimizdir. Kart bilgilerini PCI-DSS altyapısında saklar; biz yalnızca Stripe müşteri ID’si, abonelik durumu, plan, dönem başlangıcı ve bitişi ile webhook olaylarının küçük bir idempotency kaydını saklarız. Stripe’ın gizlilik bildirimine stripe.com/privacy adresinden bakabilirsin.

    hukuki dayanak · Sözleşmenin ifası — Art. 6(1)(b) GDPR

  • Sunucu günlükleri ve denetim günlükleri

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    hukuki dayanak · Meşru menfaat — Art. 6(1)(f) GDPR

  • GitHub entegrasyonu, isteğe bağlı, yalnızca Pro+

    Hesap → Entegrasyonlar bölümünden bir GitHub hesabı bağlarsan, organizasyonun için şifrelenmiş bir OAuth erişim token’ı, GitHub login’in ve sayısal kullanıcı ID’n ile verilen scopes bilgilerini saklarız. Token’ı yalnızca tarama başlattığın repositories’i okumak için kullanırız. Kaynak kod her taramada alınır, bellekte işlenir ve yalnızca tekil bulgu kanıtları kalıcı olarak saklanır; tam kaynak kod dökümleri saklanmaz. Bağlantı kesildikten sonra 30 gün içinde silinir.

    hukuki dayanak · Sözleşmenin ifası / rıza — Art. 6(1)(b) + 6(1)(a) GDPR

  • API token’ları + MCP server, isteğe bağlı

    Hesap → API token’ları bölümünde oluşturduğun token’lar SHA-256 hash olarak, tanımlama için ilk 8 açık metin karakteri, verdiğin ad ve oluşturulma, son kullanılma ve iptal edilme zaman damgalarıyla saklanır. Açık metin oluşturma sırasında sana tam olarak bir kez gösterilir ve asla kalıcı olarak saklanmaz. Token’lar bearer kimlik bilgileridir: değere sahip olan herkes, sen iptal edene kadar taramalarını okuyabilir ve yenilerini başlatabilir. /api/mcp adresindeki MCP server aynı token’larla doğrulanır, dashboard’un göstereceği aynı verileri sunar ve ayrı bir veri kategorisi oluşturmaz.

    hukuki dayanak · Sözleşmenin ifası — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    hukuki dayanak · Performance of contract — Art. 6(1)(b) GDPR

  • Canlı tehdit algılama, isteğe bağlı, yalnızca Unlimited

    Doğrulanmış bir domainde izleme etkinse, o domain için certificate-transparency log girdilerini, DNS records’ı ve threat-intel listings’i (Spamhaus DBL, URLhaus) dönemsel olarak yakalarız. Bu snapshot’lar, taramamız için zaten yetki verdiğin hostnames’i ve herkese açık sorguların herkese açık sonuçlarını içerir. Son kullanıcılarının kişisel verileri yakalanmaz. 7 günden eski snapshot’lar otomatik olarak silinir; en son baseline her sinyal türü için tutulur.

    hukuki dayanak · Sözleşmenin ifası — Art. 6(1)(b) GDPR

  • Zamanlanmış yeniden taramalar, isteğe bağlı, yalnızca Pro+

    Doğrulanmış bir domainde zamanlanmış taramaları etkinleştirirsen, sıklığı, son çalışma zamanını, bir sonraki çalışma zamanını ve zamanlamayı hangi kullanıcının etkinleştirdiğini kaydederiz. Cron ile tetiklenen her tarama, domain ilk doğrulandığında verilen tarama yetkisi beyanını devralır — her çalıştırmada yeniden beyan etmezsin. İstediğin zaman Alan Adları → Zamanlama bölümünden devre dışı bırak.

    hukuki dayanak · Sözleşmenin ifası — Art. 6(1)(b) GDPR

  • Analitik, isteğe bağlı, rızaya bağlı

    Analitik rızası verirsen ve kullandığın deployment için analitik yapılandırılmışsa, anonim kullanımı kaydetmek için gizliliğe saygılı, kendi domain’imiz üzerinden proxied bir product-analytics sağlayıcısı kullanırız — hangi düğmelere tıklandığı, insanların hangi kontrolleri çalıştırdığı, kullanıcıların funnel’ın neresinde ayrıldığı. Taradığın URL’leri, kanıt içeriğini veya kişisel verileri analytics events içine koymayız. Rızanı dilediğin zaman üzerinden geri alabilirsin.

    hukuki dayanak · Rıza — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Promosyon teklifi talebi

    Bir promosyon kodu, davet bağlantısı veya referans kredisi talep ettiğinizde, kampanya kodunu, verdiğimiz plan ve süreyi, deneme başlangıç ve bitiş zaman damgalarını, denemeden önce sahip olduğunuz planı ve talep anındaki IP adresinizin HMAC-SHA256 hash'ini saklarız (ham IP'yi asla saklamayız — hash yalnızca ağ başına bir talep limitlerini uygulayabilmemiz için vardır ve temel HMAC anahtarını döndürmek, kimseyi açığa çıkarmadan tüm saklanan hash'leri geçersiz kılar). Muhasebe ve dolandırıcılık araştırma amaçları için kampanyanın ömrü artı 18 ay boyunca saklanır, ardından kampanya kaydının geri kalanıyla birlikte silinir.

    hukuki dayanak · Meşru menfaat (dolandırıcılık önleme, muhasebe) — GDPR Madde 6(1)(f)

  • Yarışmalar, çekilişler ve meydan okumalar

    Bir FixVibe Meydan Okumasına (Security Preflight Challenge gibi) katılırsanız, gönderdiğiniz iletişim e-postasını (kazandığınız takdirde size ulaşabilmemiz için gerekli), isteğe bağlı olarak verdiğiniz Reddit ve Product Hunt kullanıcı adlarını, scan ID'nizi ve kök alan adını, isteğe bağlı olarak verdiğiniz öz bildirimli proje türü, stack ve öğrendiğim-tek-şey metnini, isteğe bağlı olarak seçtiğiniz keşif kanalı değerini ve kabul ettiğiniz üç gerekli onay kutusunu (yetkilendirme, kurallar, iletişim) saklarız. Ayrıca isteğe bağlı pazarlamada öne çıkar onayını işaretlerseniz, FixVibe ana sayfası, meydan okuma sayfası veya özet gönderisinde herkese açık skorunuzu, derecelendirmenizi, stack'inizi, kullanıcı adınızı ve gönderilen alıntıyı gösterebiliriz — asla başka bir alan ve asla bu opt-in olmadan. Meydan okuma kayıtları doğrulama ve anlaşmazlık amaçları için Meydan Okumanın ömrü artı 18 ay boyunca saklanır. Pazarlamada öne çıkar onayını privacy@fixvibe.app'a e-posta göndererek istediğiniz zaman geri çekebilirsiniz; geri çekme, geri çekmeden önceki yasal işlemeyi etkilemez.

    hukuki dayanak · Sözleşmenin ifası (Meydan Okumanın yürütülmesi) ve onay (öne çıkarma) — GDPR Madde 6(1)(b) ve 6(1)(a)

Neleri TOPLAMIYORUZ

  • Verilerini asla satmayız.
  • Üçüncü taraf ad-tech, fingerprinting veya session-replay script’leri yerleştirmeyiz.
  • Tarama hedef URL’lerini veya bulgu kanıtlarını analytics properties’e koymayız — bu veriler yalnızca veritabanımızda yaşar ve row-level security ile korunur.
  • Verilerini üçüncü taraflarla onların kendi pazarlamaları için paylaşmayız.

Alt işleyiciler

FixVibe’i çalıştırmak için aşağıdaki alt işleyicilere güveniriz:

  • Vercel Inc. (ABD) — uygulama barındırma ve edge network. Gizlilik bildirimi: vercel.com/legal/privacy-policy.
  • Supabase Inc. (ABD) — Postgres database, authentication, file storage, Realtime. FixVibe production database’i AWS us-east-1 bölgesindedir. Gizlilik bildirimi: supabase.com/privacy.
  • Stripe Inc. (ABD) — ücretli planlar için ödeme işleme. Gizlilik bildirimi: stripe.com/privacy.
  • Upstash, Inc. (ABD, Vercel Marketplace üzerinden) — Redis destekli rate limiting; yalnızca kısa ömürlü IP tabanlı sayaçları saklar. Gizlilik bildirimi: upstash.com/privacy.
  • PostHog Inc. (ABD) — product analytics, yalnızca analitik rızası verirsen ve yalnızca kullandığın deployment için analitik yapılandırıldığında. Gizlilik bildirimi: posthog.com/privacy.
  • GitHub, Inc. (ABD) — yalnızca isteğe bağlı GitHub entegrasyonunu bağlarsan. Tarama başlattığın repositories’i okumak için GitHub API kullanırız. Gizlilik bildirimi: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (ABD) — transactional email teslimatı. Tarama tamamlandı, zamanlanmış tarama, canlı tehdit uyarısı ve haftalık özet e-postaları gönderdiğimizde e-posta adresini ve e-posta gövdesini alır. Resend teslimat metaverilerini, zaman damgaları, durum ve bounce kayıtları gibi, operasyonel amaçlarla saklar; Resend üzerinden asla pazarlama e-postası göndermeyiz. Gizlilik bildirimi: resend.com/legal/privacy-policy.

Kişisel verilerin EEA/UK dışına aktarımı, Avrupa Komisyonu’nun Standart Sözleşme Maddelerine veya UK International Data Transfer Addendum’a dayanır ve aşağıdaki “Güvenlik” bölümünde açıklanan aktarım sırasında ve beklemede şifreleme önlemleriyle desteklenir.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Hakların

GDPR, UK GDPR ve eşdeğer yasalar (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act vb.) kapsamında şunları yapma hakkın vardır:

  • verilerinin bir kopyasına erişmek (bunu Hesap → Gizlilik bölümünden self-serve yapabilirsin);
  • verilerinin düzeltilmesini sağlamak;
  • verilerinin silinmesini sağlamak (bu da self-serve);
  • meşru menfaatlere dayalı işlemeye itiraz etmek;
  • analitik rızasını dilediğin zaman üzerinden geri çekmek;
  • veri taşınabilirliği — dışa aktarımın JSON formatındadır;
  • yerel denetim makamına (EU/UK/EEA) veya eşdeğerine şikayette bulunmak.

Doğrulanabilir hak taleplerine 30 gün içinde yanıt veririz. Self-serve karşılayamadığımız talepler için, örneğin göstermediğimiz bir alanın düzeltilmesi, işlemenin kısıtlanması veya itiraz, konu satırı “Gizlilik talebi” olacak şekilde support@fixvibe.app adresine e-posta gönder.

Kaliforniya sakinleri (CCPA / CPRA)

Kişisel bilgilerini satmayız. Kişisel bilgileri cross-context behavioral advertising için paylaşmayız. PostHog üzerinden analitik yalnızca cookie banner’ımızda rıza verdikten sonra çalışır; bu rızayı dilediğin zaman üzerinden veya footer’daki Gizlilik Seçimlerin bağlantısına tıklayarak geri çekebilirsin.

Kaliforniya sakiniysen ayrıca şu haklara sahipsin:

  • hangi kişisel bilgileri topladığımızı, kaynakları, amaçları ve bunları paylaştığımız üçüncü tarafları bilmek, tamamı yukarıda ayrıntılıdır;
  • kişisel bilgilerinin silinmesini istemek, Hesap → Gizlilik üzerinden self-serve veya bize e-posta göndererek;
  • hatalı kişisel bilgileri düzeltmek;
  • hassas kişisel bilgilerin kullanımını ve açıklanmasını sınırlamak — hizmeti sağlamak için gerekli olan kimlik doğrulama bilgileri ve oturum metaverileri dışında hiçbirini toplamıyoruz;
  • satış veya paylaşımı reddetmek — ikisini de yapmadığımız için geçerli değildir;
  • yukarıdakilerden herhangi birini kullandığın için ayrımcılığa uğramamak.

Global Privacy Control (GPC) sinyallerini otomatik olarak onurlandırırız; bir GPC header göndermek, ziyaretini gelecekteki herhangi bir analitik rızasından açıkça çıkmışsın gibi ele alır.

Güvenlik

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Hiçbir güvenlik programı mükemmel değildir. FixVibe’de bir güvenlik açığı bulduğunu düşünüyorsan lütfen support@fixvibe.app adresine bildir.

Bu politikadaki değişiklikler

Önemli değişiklikler yaparsak — yeni alt işleyiciler, yeni veri kategorileri veya yeni saklama süreleri — yukarıdaki tarihi günceller ve seni uygulama içinde bilgilendiririz. Küçük ifade düzeltmeleri bildirim tetiklemez.

İletişim

privacy@fixvibe.app — yanıtlar genellikle 5 iş günü içinde, GDPR Art. 12(3) gereği asla 30 günden uzun olmaz.

Gizlilik Politikası · FixVibe