FixVibe

// privacy

隱私政策

最後更新 · 2026-05-17

我們是誰

FixVibe 由 EGO HERO LLC 營運,我們是本政策所述個人資料的資料控制者(“我們”)。如有隱私問題,包括 GDPR、UK GDPR 或 CCPA 下的資料主體請求,請聯絡 privacy@fixvibe.app。其他事項請寫信至 support@fixvibe.app

我們收集什麼、為何收集以及保留多久

  • 帳號資料

    電子郵件地址、OAuth 識別碼(如果你使用 Google 或 GitHub 登入),以及我們從你的 OAuth 提供者收到的任何姓名。用於驗證你的身分並就帳號事宜與你聯絡。你的帳號處於有效狀態期間會保留這些資料。你刪除帳號時,這些資料會在 30 天內移除,除非我們被要求保留(例如稅法下的帳單記錄)。

    法律依據 · 履行合約 — Art. 6(1)(b) GDPR

  • 掃描目標和發現

    你掃描的 URL、我們向這些 URL 發出的請求,以及我們產生的發現。它們會儲存在你的組織名下。我們會自動刪除超過你方案保留窗口的記錄:30 天(Hobby)、90 天(Pro)、365 天(Unlimited)。你可以隨時從帳號 → 隱私匯出或刪除掃描歷史。

    法律依據 · 履行合約 — Art. 6(1)(b) GDPR

  • 匿名掃描工作階段

    如果你未登入就執行掃描,我們會發放一個 HMAC 簽署的 Cookie(fixvibe_anon_session,24 小時有效期),其中保存一個不透明的隨機 ID。我們會在 24 小時後自動刪除無人認領的匿名掃描記錄。如果你在 24 小時窗口內註冊,你的掃描會遷移到新帳號中。除非匿名使用者註冊,否則我們不知道他們是誰。

    法律依據 · 嚴格必要 — ePrivacy Art. 5(3) 豁免

  • 帳單資料

    Stripe 是我們的付款處理方。Stripe 在 PCI-DSS 基礎設施上儲存你的卡片詳細資訊;我們只儲存 Stripe 客戶 ID、訂閱狀態、方案、期間開始/結束時間,以及一小筆 webhook 事件冪等記錄。請參閱 Stripe 在 stripe.com/privacy 的隱私聲明。

    法律依據 · 履行合約 — Art. 6(1)(b) GDPR

  • 伺服器日誌和稽核日誌

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    法律依據 · 合法利益 — Art. 6(1)(f) GDPR

  • GitHub 整合(可選,僅限 Pro+)

    如果你從帳號 → 整合連接 GitHub 帳號,我們會為你的組織儲存加密的 OAuth 存取權杖、你的 GitHub 登入名稱 + 數字使用者 ID,以及已授予的 scopes。我們僅使用該權杖讀取你發起掃描的儲存庫。原始碼按每次掃描擷取、在記憶體中處理,並且只持久保存單項發現證據(不會保存完整原始碼傾印)。斷開連接後 30 天內刪除。

    法律依據 · 履行合約 / 同意 — Art. 6(1)(b) + 6(1)(a) GDPR

  • API 權杖 + MCP 伺服器(可選)

    你在帳號 → API 權杖建立的權杖會以 SHA-256 雜湊形式儲存,同時保存前 8 個明文字符(用於識別)、你指定的名稱,以及建立/最後使用/撤銷時間戳。明文只會在建立時向你顯示一次,絕不持久保存。權杖是 bearer 憑證:任何擁有該值的人都可以讀取你的掃描並啟動新的掃描,直到你撤銷它。/api/mcp 上的 MCP 伺服器使用相同權杖進行驗證,暴露的資料與儀表板相同,不會建立單獨的資料類別。

    法律依據 · 履行合約 — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    法律依據 · Performance of contract — Art. 6(1)(b) GDPR

  • 即時威脅偵測(可選,僅限 Unlimited)

    如果你在已驗證網域上啟用了監控,我們會定期擷取該網域的憑證透明度日誌項目、DNS 記錄和威脅情報列表(Spamhaus DBL、URLhaus)。這些快照包含你已授權我們掃描的主機名稱,以及公開查詢的公開結果。我們不會擷取你的終端使用者的個人資料。超過 7 天的快照會自動刪除;每種信號類型會保留最新基線。

    法律依據 · 履行合約 — Art. 6(1)(b) GDPR

  • 排程重新掃描(可選,僅限 Pro+)

    如果你在已驗證網域上啟用排程掃描,我們會記錄頻率、上次執行時間、下次執行時間以及啟用該排程的使用者。每次由 cron 觸發的掃描都會繼承網域首次驗證時作出的掃描授權聲明 — 你無需在每次執行時重新聲明。可隨時在網域 → 排程中停用。

    法律依據 · 履行合約 — Art. 6(1)(b) GDPR

  • 分析(可選,需取得同意)

    如果你授予分析同意,並且我們為你使用的部署配置了分析,我們會使用尊重隱私的產品分析提供者(透過我們自己的網域代理)記錄匿名使用情況 — 哪些按鈕被點擊、使用者執行哪些檢查、使用者在漏斗中哪裡流失。我們不會把你掃描的 URL、證據內容或個人資料放入分析事件。你可以隨時透過 撤回同意。

    法律依據 · 同意 — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • 促銷優惠領取

    當您領取促銷代碼、邀請連結或推薦積分時,我們儲存活動代碼、我們授予的方案和持續時間、試用開始和結束時間戳、您試用前持有的方案,以及您領取時 IP 位址的 HMAC-SHA256 雜湊(我們從不儲存原始 IP — 雜湊存在只是為了讓我們可以強制執行每個網路一次領取限制,並且輪換底層 HMAC 金鑰會使所有儲存的雜湊失效而不會暴露任何人)。為了會計和欺詐調查目的保留活動的生命週期加上 18 個月,然後與活動記錄的其餘部分一起刪除。

    法律依據 · 正當利益(欺詐預防、會計)— GDPR 第 6(1)(f) 條

  • 競賽、抽獎和挑戰

    如果您參加 FixVibe 挑戰(例如 Security Preflight Challenge),我們儲存您提交的聯絡電子郵件(如您獲勝以便我們聯繫您必需)、您選擇性提供的 Reddit 和 Product Hunt 使用者名稱、您的 scan ID 和根網域、您選擇性提供的自我報告專案類型、stack 和我學到的一件事文字、您選擇性選擇的發現管道值,以及您接受的三個必要同意核取方塊(授權、規則、聯絡)。如果您另外勾選選擇性的在行銷中展示同意,我們可能在 FixVibe 首頁、挑戰頁面或回顧貼文上顯示您的公開分數、評級、stack、使用者名稱和提交的引言 — 從不其他欄位,也從不沒有該選擇加入。挑戰報名為驗證和爭議目的保留挑戰的生命週期加上 18 個月。您可以隨時透過電子郵件 privacy@fixvibe.app 撤回在行銷中展示同意;撤回不影響撤回前的合法處理。

    法律依據 · 合約履行(運行挑戰)和同意(展示)— GDPR 第 6(1)(b) 和 6(1)(a) 條

我們不會收集的內容

  • 我們絕不會出售你的資料。
  • 我們不會嵌入第三方廣告技術、指紋辨識或工作階段重播腳本。
  • 我們不會把你的掃描目標 URL 或發現證據放入分析屬性 — 這些資料只存在於我們的資料庫中,並由資料列層級安全性保護。
  • 我們不會為了第三方自身的行銷而與他們共享你的資料。

次級處理者

我們依賴以下次級處理者來運行 FixVibe:

  • Vercel Inc.(美國)— 應用程式託管和邊緣網路。隱私聲明:vercel.com/legal/privacy-policy。
  • Supabase Inc.(美國)— Postgres 資料庫、身分驗證、檔案儲存、Realtime。FixVibe 生產資料庫位於 AWS us-east-1 區域。隱私聲明:supabase.com/privacy。
  • Stripe Inc.(美國)— 付費方案的付款處理。隱私聲明:stripe.com/privacy。
  • Upstash, Inc.(美國,透過 Vercel Marketplace)— 基於 Redis 的速率限制;只儲存短期 IP 計數器。隱私聲明:upstash.com/privacy。
  • PostHog Inc.(美國)— 產品分析,僅在你授予分析同意且你使用的部署已配置分析時使用。隱私聲明:posthog.com/privacy。
  • GitHub, Inc.(美國)— 僅在你連接可選 GitHub 整合時使用。我們使用 GitHub 的 API 讀取你發起掃描的儲存庫。隱私聲明:docs.github.com/site-policy/privacy-policies/github-general-privacy-statement。
  • Resend, Inc.(美國)— 交易性電子郵件發送。當我們發送掃描完成、排程掃描、即時威脅警報和每週摘要郵件時,Resend 會收到你的電子郵件地址和郵件正文。Resend 為營運目的保留發送中繼資料(時間戳、狀態、退信記錄);我們絕不會透過 Resend 發送行銷郵件。隱私聲明:resend.com/legal/privacy-policy。

向 EEA/英國以外傳輸個人資料時,我們依賴歐盟委員會的標準契約條款(或英國的國際資料傳輸附錄),並輔以下方“安全”部分所述的傳輸中加密和靜態加密措施。

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

你的權利

根據 GDPR、UK GDPR 和同等法律(CCPA/CPRA、LGPD、PIPEDA、Australian Privacy Act 等),你有權:

  • 存取你的資料副本(你可以從 帳號 → 隱私自助完成);
  • 更正你的資料;
  • 刪除你的資料(也可自助完成);
  • 反對基於合法利益的處理;
  • 隨時透過 撤回分析同意;
  • 資料可攜性 — 你的匯出檔案為 JSON;
  • 向你當地的監管機構(歐盟/英國/EEA)或同等機構提出投訴。

我們會在 30 天內回覆可驗證的權利請求。對於無法透過自助方式滿足的請求(更正我們未公開的欄位、限制處理、反對處理),請發送電子郵件至 support@fixvibe.app,主旨為“Privacy request”。

加利福尼亞州居民(CCPA / CPRA)

我們不會出售你的個人資訊。我們不會為了跨情境行為廣告而共享個人資訊。透過 PostHog 進行的分析只會在你於 Cookie 橫幅中授予同意後運行;你可以隨時透過 撤回該同意,或點擊頁腳中的 你的隱私選擇

如果你是加利福尼亞州居民,你還享有以下權利:

  • 了解我們收集哪些個人資訊、來源、目的,以及我們與哪些第三方共享(以上均已詳細說明);
  • 請求刪除你的個人資訊(可透過帳號 → 隱私自助完成,或給我們發送電子郵件);
  • 更正不準確的個人資訊;
  • 限制敏感個人資訊的使用和披露 — 除身分驗證憑證和工作階段中繼資料外,我們不收集任何敏感個人資訊,而這兩者都是提供服務所必需的;
  • 選擇退出出售或共享 — 不適用,因為我們兩者都不做;
  • 不會因行使上述任何權利而受到歧視。

我們會自動遵守 Global Privacy Control(GPC)信號;發送 GPC 標頭會讓我們將你的造訪視為已明確退出任何未來的分析同意。

安全

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

沒有任何安全計畫是完美的。如果你認為你在 FixVibe 中發現了漏洞,請向 support@fixvibe.app報告。

本政策的變更

如果我們作出重大變更 — 新增次級處理者、新的資料類別、新的保留期間 — 我們會更新上方日期並在應用程式內通知你。輕微措辭修正不會觸發通知。

聯絡方式

privacy@fixvibe.app — 通常在 5 個工作天內回覆,絕不會超過 GDPR Art. 12(3) 要求的 30 天。

隱私政策 · FixVibe