የግላዊነት ፖሊሲ

FixVibe በEGO HERO LLC ይንቀሳቀሳል (“እኛ”, “እኛን”)፣ በዚህ ፖሊሲ የተገለጸው የግል ውሂብ የውሂብ ተቆጣጣሪ ነው። GDPR, UK GDPR, ወይም CCPA ስር ያሉ የውሂብ ተዋናይ ጥያቄዎችን ጨምሮ ለግላዊነት ጥያቄዎች privacy@fixvibe.app ያግኙን። ለሌላ ማንኛውም ጉዳይ support@fixvibe.app ይጻፉ።

• የመለያ ውሂብ

  የኢሜይል አድራሻ፣ OAuth መለያ (በGoogle ወይም GitHub ከገቡ)፣ እና ከOAuth አቅራቢዎ የምንቀበለው ስም። እርስዎን ለማረጋገጥ እና ስለ መለያዎ ለማግኘት ይጠቀማል። መለያዎ ንቁ እስከሆነ ይያዛል። መለያዎን ሲሰርዙ፣ ሕግ እንድንይዘው ካልጠየቀን በቀር (ለምሳሌ በግብር ሕግ ስር የክፍያ መዝገቦች)፣ ይህ ውሂብ በ30 ቀናት ውስጥ ይወገዳል።

  ሕጋዊ መሠረት · የውል አፈጻጸም — Art. 6(1)(b) GDPR

• የስካን ዒላማዎች እና ግኝቶች

  የሚስካኑት URLs፣ ወደ እነዚያ URLs የምንልካቸው ጥያቄዎች፣ እና የምንፈጥራቸው ግኝቶች። ከድርጅትዎ ጋር ይቀመጣሉ። ከፕላንዎ የማቆያ መስኮት በላይ የቆዩ መዝገቦችን በራስ-ሰር እንሰርዛለን: 30 ቀናት (Hobby), 90 ቀናት (Pro), 365 ቀናት (Unlimited)። የስካን ታሪክዎን ከመለያ → ግላዊነት በማንኛውም ጊዜ መላክ ወይም መሰረዝ ይችላሉ።

  ሕጋዊ መሠረት · የውል አፈጻጸም — Art. 6(1)(b) GDPR

• ስም-አልባ የስካን ሰሽኖች

  ሳይገቡ ስካን ካካሄዱ፣ የዓይን-የለሽ የዘፈቀደ ID የሚይዝ HMAC-የተፈረመ cookie (fixvibe_anon_session, 24-hour lifetime) እንሰጣለን። ያልተጠየቁ ስም-አልባ የስካን መዝገቦችን ከ24 ሰዓታት በኋላ በራስ-ሰር እንሰርዛለን። በ24 ሰዓቱ መስኮት ውስጥ ከተመዘገቡ፣ ስካንዎ ወደ አዲሱ መለያዎ ይዛወራል። ስም-አልባ ተጠቃሚዎች ካልተመዘገቡ በቀር ማን እንደሆኑ አናውቅም።

  ሕጋዊ መሠረት · ጥብቅ አስፈላጊ — ePrivacy Art. 5(3) ነፃነት

• የክፍያ ውሂብ

  Stripe የክፍያ ሂደታችን ነው። የካርድ ዝርዝሮችዎን በPCI-DSS መሠረተ ልማት ላይ ያከማቻሉ፤ እኛ የStripe ደንበኛ ID፣ የደንበኝነት ሁኔታ፣ ፕላን፣ የጊዜ መጀመሪያ/መጨረሻ፣ እና የwebhook ክስተቶች ትንሽ idempotency መዝገብ ብቻ እንይዛለን። የStripe የግላዊነት ማሳወቂያ በstripe.com/privacy ይመልከቱ።

  ሕጋዊ መሠረት · የውል አፈጻጸም — Art. 6(1)(b) GDPR

• የአገልጋይ ሎጎች እና የኦዲት ሎጎች

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  ሕጋዊ መሠረት · ሕጋዊ ፍላጎት — Art. 6(1)(f) GDPR

• GitHub ውህደት (አማራጭ፣ Pro+ ብቻ)

  ከመለያ → ውህደቶች የGitHub መለያ ካገናኙ፣ ለድርጅትዎ የተመሰጠረ OAuth access token፣ የGitHub login + numeric user ID፣ እና የተሰጡ scopes እንይዛለን። ቶከኑን እርስዎ ስካን የሚጀምሩባቸውን repositories ለማንበብ ብቻ እንጠቀማለን። Source code በእያንዳንዱ ስካን ይመጣል፣ በmemory ውስጥ ይሰራል፣ እና የግኝት ማስረጃ ነጥቦች ብቻ ይቀመጣሉ (ሙሉ source dumps የሉም)። ከማቋረጥ በ30 ቀናት ውስጥ ይሰረዛል።

  ሕጋዊ መሠረት · የውል አፈጻጸም / ፈቃድ — Art. 6(1)(b) + 6(1)(a) GDPR

• API ቶከኖች + MCP አገልጋይ (አማራጭ)

  በመለያ → API tokens የሚፈጥሯቸው ቶከኖች SHA-256 hash፣ የመጀመሪያ 8 ግልጽ ጽሑፍ ቁምፊዎች (ለመለያየት)፣ የሰጡት ስም፣ እና የተፈጠረ/መጨረሻ-ጥቅም/የተሻረ ጊዜ ማህተሞች እንዲሁ ይቀመጣሉ። ግልጽ ጽሑፉ በፍጠራ ጊዜ አንድ ጊዜ ብቻ ይታይዎታል እና ፈጽሞ አይቀመጥም። ቶከኖች bearer credentials ናቸው: ዋጋውን ያለው ማንኛውም ሰው እስኪሻሩ ድረስ ስካኖችዎን ሊያነብ እና አዲስ ስካኖች ሊጀምር ይችላል። በ/api/mcp ያለው MCP አገልጋይ በእነዚሁ ቶከኖች ይረጋገጣል፣ dashboard የሚያሳየውን ተመሳሳይ ውሂብ ያቀርባል፣ እና የተለየ የውሂብ ምድብ አይፈጥርም።

  ሕጋዊ መሠረት · የውል አፈጻጸም — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  ሕጋዊ መሠረት · Performance of contract — Art. 6(1)(b) GDPR

• ቀጥታ የስጋት መለየት (አማራጭ፣ Unlimited ብቻ)

  በተረጋገጠ ዶሜን ላይ monitoring ከነቃ፣ ለዚያ ዶሜን የcertificate-transparency log entries፣ DNS records፣ እና threat-intel listings (Spamhaus DBL, URLhaus) በየጊዜው እንይዛለን። እነዚህ snapshots እርስዎ እንድንስካን ቀድሞውኑ የፈቀዱልን hostnames እና የሕዝብ lookups የሕዝብ ውጤቶችን ይይዛሉ። የend-usersዎ የግል ውሂብ አይያዝም። ከ7 ቀናት በላይ የቆዩ snapshots በራስ-ሰር ይሰረዛሉ፤ በእያንዳንዱ signal type የቅርብ ጊዜ baseline ይያዛል።

  ሕጋዊ መሠረት · የውል አፈጻጸም — Art. 6(1)(b) GDPR

• የተያዙ ዳግም-ስካኖች (አማራጭ፣ Pro+ ብቻ)

  በተረጋገጠ ዶሜን ላይ የተያዙ ስካኖችን ካነቁ፣ cadence፣ የመጨረሻ አሂድ ጊዜ፣ ቀጣይ አሂድ ጊዜ፣ እና የscheduleን ያነቃው ተጠቃሚ እንመዘግባለን። እያንዳንዱ cron-triggered scan ዶሜኑ መጀመሪያ ሲረጋገጥ የተሰጠውን authorization-to-scan attestation ይወርሳል — በእያንዳንዱ አሂድ እንደገና አያረጋግጡም። በDomains → Schedule ማንኛውም ጊዜ ያጥፉ።

  ሕጋዊ መሠረት · የውል አፈጻጸም — Art. 6(1)(b) GDPR

• ትንታኔ (አማራጭ፣ በፈቃድ የተገደበ)

  የትንታኔ ፈቃድ ከሰጡ እና ለሚጠቀሙበት deployment ትንታኔ ከተዋቀረ፣ ስም-አልባ አጠቃቀምን — የትኞቹ አዝራሮች እንደሚጫኑ፣ ሰዎች የትኞቹ checks እንደሚያሂዱ፣ ተጠቃሚዎች በfunnel ውስጥ የት እንደሚቆሙ — ለመመዝገብ ግላዊነትን የሚከብር product-analytics provider (በራሳችን ዶሜን በproxy የሚሄድ) እንጠቀማለን። የሚስካኑትን URLs፣ የማስረጃ ይዘት፣ ወይም የግል ውሂብ ወደ analytics events አናስገባም። በየኩኪ ቅንብሮች ማንኛውም ጊዜ ፈቃድ ይሻሩ።

  ሕጋዊ መሠረት · ፈቃድ — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• የማስተዋወቂያ አቅርቦት ቤዛ

  የማስተዋወቂያ ኮድ፣ የግብዣ አገናኝ ወይም የሪፈራል ብድር ሲቤዙ፣ የዘመቻ ኮድን፣ የሰጠነውን ዕቅድ እና ጊዜን፣ የሙከራ መጀመሪያ እና መጨረሻ የጊዜ ማህተሞችን፣ ከሙከራው በፊት የነበረዎትን ዕቅድ፣ እና በቤዛ ጊዜ የእርስዎ IP አድራሻ HMAC-SHA256 hash እናከማቻለን (በፍፁም ጥሬ IPን አናከማችም — hash የሚገኘው የአንድ-ቤዛ-በ-አውታረ መረብ ገደቦችን ለማስፈጸም ብቻ ነው፣ እና በስር ያለውን HMAC ቁልፍ ማሽከርከር ሁሉንም የተከማቹ hashesን ያስቀምጣል ማንንም ሳያጋልጥ)። ለሂሳብ እና ለማጭበርበር ምርመራ ዓላማዎች ለዘመቻው ዕድሜ ሲደመር 18 ወራት ይቆያል፣ ከዚያም ከዘመቻው መዝገብ የተቀረው ጋር ይሰረዛል።

  ሕጋዊ መሠረት · ህጋዊ ፍላጎት (ማጭበርበር መከላከል፣ ሂሳብ አያያዝ) — አርት. 6(1)(f) GDPR

• ውድድሮች፣ ስዊፕስቴክስ እና ፈተናዎች

  FixVibe ፈተና (እንደ የደህንነት ቅድመ-በረራ ፈተና ያለ) ካስገቡ፣ የሚያስገቡትን የግንኙነት ኢሜል (ካሸነፉ ሊገናኝዎ የተፈለገ)፣ በአማራጭ የሚያቀርቡትን የReddit እና Product Hunt የተጠቃሚ ስሞች፣ የእርስዎ scan ID እና ስር ጎራ፣ በራስ-የተናገሩትን የፕሮጀክት አይነት፣ ስታክ እና በአማራጭ የሚያቀርቡትን አንድ-ነገር-የተማርኩት ጽሑፍ፣ በአማራጭ የሚመርጡትን የግኝት-ቻናል ዋጋ፣ እና የሚቀበሏቸውን ሦስት የተፈለጉ የስምምነት አመልካች ሳጥኖችን (ፈቃድ፣ ህጎች፣ ግንኙነት) እናከማቻለን። የተለየ የአማራጭ በማርኬቲንግ-ላይ-ይታያል ስምምነት ላይ ምልክት ካደረጉ፣ የእርስዎን የሕዝብ ውጤት፣ ደረጃ፣ ስታክ፣ የተጠቃሚ ስም እና የተላከ ጥቅስ በFixVibe homepage፣ የፈተና ገጽ ወይም recap post ላይ ልናሳይ እንችላለን — በፍፁም ሌላ መስክ አይደለም፣ እና በፍፁም ያለ ያ opt-in አይደለም። የፈተና ግቤቶች ለማረጋገጫ እና ለክርክር ዓላማዎች ለፈተናው ዕድሜ ሲደመር 18 ወራት ይቆያሉ። በማንኛውም ጊዜ ለprivacy@fixvibe.app ኢሜል በመላክ የበማርኬቲንግ-ላይ-ይታያል ስምምነቱን ማውጣት ይችላሉ፤ ማውጣት ከመውጣት በፊት ህጋዊ ሂደትን አይነካም።

  ሕጋዊ መሠረት · የውል አፈጻጸም (ፈተናውን ማካሄድ) እና ስምምነት (ማቅረብ) — አርት. 6(1)(b) እና 6(1)(a) GDPR

• ውሂብዎን ፈጽሞ አንሸጥም።
• የሦስተኛ ወገን ad-tech፣ fingerprinting፣ ወይም session-replay scripts አናካትትም።
• የስካን ዒላማ URLs ወይም የግኝት ማስረጃን ወደ analytics properties አናስገባም — ያ ውሂብ በrow-level security የተጠበቀ በdatabaseአችን ውስጥ ብቻ ይኖራል።
• ውሂብዎን ለሦስተኛ ወገኖች ለራሳቸው ግብይት አናጋራም።

FixVibeን ለማስኬድ በሚከተሉት ንዑስ-ሂደታጆች እንመሰረታለን:

• Vercel Inc. (USA) — የመተግበሪያ ማስተናገጃ እና edge network። የግላዊነት ማሳወቂያ: vercel.com/legal/privacy-policy።
• Supabase Inc. (USA) — Postgres database፣ authentication፣ file storage፣ Realtime። የFixVibe production database በAWS us-east-1 ክልል ውስጥ ነው። የግላዊነት ማሳወቂያ: supabase.com/privacy።
• Stripe Inc. (USA) — ለተከፋይ ፕላኖች የክፍያ ሂደት። የግላዊነት ማሳወቂያ: stripe.com/privacy።
• Upstash, Inc. (USA, via the Vercel Marketplace) — Redis-backed rate limiting፤ አጭር ጊዜ የሚቆዩ IP-based counters ብቻ ይይዛል። የግላዊነት ማሳወቂያ: upstash.com/privacy።
• PostHog Inc. (USA) — product analytics፣ የትንታኔ ፈቃድ ከሰጡ ብቻ እና ለሚጠቀሙበት deployment ትንታኔ በተዋቀረ ጊዜ ብቻ። የግላዊነት ማሳወቂያ: posthog.com/privacy።
• GitHub, Inc. (USA) — አማራጭ የGitHub ውህደትን ካገናኙ ብቻ። እርስዎ ስካን የሚጀምሩባቸውን repositories ለማንበብ የGitHub API እንጠቀማለን። የግላዊነት ማሳወቂያ: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement።
• Resend, Inc. (USA) — transactional email delivery። scan-completed፣ scheduled-scan፣ live-threat alert፣ እና weekly-digest emails ስንልክ የኢሜይል አድራሻዎን እና የኢሜይሉን ይዘት ይቀበላል። Resend የdelivery metadata (timestamps, status, bounce records) ለoperational purposes ይይዛል፤ በResend በኩል marketing email ፈጽሞ አንልክም። የግላዊነት ማሳወቂያ: resend.com/legal/privacy-policy።

የግል ውሂብ ከEEA/UK ውጭ ሲዛወር በEuropean Commission Standard Contractual Clauses (ወይም የUK International Data Transfer Addendum) ላይ ይመሰረታል፣ ከታች በ“ደህንነት” የተገለጹት የencryption-in-transit እና encryption-at-rest ርምጃዎች ጋር ተጨምሮ።

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

በGDPR, UK GDPR, እና ተመሳሳይ ሕጎች (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act ወዘተ) ስር፣ የሚከተሉት መብቶች አሉዎት:

• የውሂብዎን ቅጂ መድረስ (ይህንን ከመለያ → ግላዊነት በራስ-አገልግሎት ማድረግ ይችላሉ);
• ውሂብዎ እንዲስተካከል;
• ውሂብዎ እንዲሰረዝ (ይህም በራስ-አገልግሎት ይቻላል);
• በሕጋዊ ፍላጎት ላይ የተመሠረተ ሂደትን መቃወም;
• የትንታኔ ፈቃድን በየኩኪ ቅንብሮች ማንኛውም ጊዜ መሻር;
• data portability — ኤክስፖርትዎ በJSON ነው;
• በአካባቢዎ ያለ supervisory authority (EU/UK/EEA) ወይም ተመሳሳይ አካል ጋር ቅሬታ ማቅረብ።

ለሚረጋገጡ የመብት ጥያቄዎች በ30 ቀናት ውስጥ እንመልሳለን። በራስ-አገልግሎት ልናሟላቸው ለማንችላቸው ጥያቄዎች (የማናሳየውን መስክ ማስተካከል፣ restriction of processing፣ objection)፣ በርዕስ መስመር “Privacy request” ወደ support@fixvibe.app ኢሜይል ይላኩ።

የግል መረጃዎን አንሸጥም። የግል መረጃን ለcross-context behavioral advertising አናጋራም። በPostHog ትንታኔ በኩኪ ባነራችን ፈቃድ ከሰጡ በኋላ ብቻ ይሰራል፤ ያንን ፈቃድ በየኩኪ ቅንብሮች ወይም በfooter ውስጥ Your Privacy Choices በመጫን ማንኛውም ጊዜ መሻር ይችላሉ።

የCalifornia ነዋሪ ከሆኑ፣ ተጨማሪ የሚከተሉት መብቶች አሉዎት:

• የምንሰበስበውን የግል መረጃ፣ ምንጮቹን፣ ዓላማዎቹን፣ እና የምንጋራውን ማንኛውም ሦስተኛ ወገን ማወቅ (ሁሉም ከላይ በዝርዝር ተገልጿል);
• የግል መረጃዎ እንዲሰረዝ መጠየቅ (በAccount → Privacy በራስ-አገልግሎት ወይም በኢሜይል በመጻፍ);
• የተሳሳተ የግል መረጃን ማስተካከል;
• የsensitive personal information አጠቃቀምን እና መግለጫን መገደብ — ከauthentication credentials እና session metadata በስተቀር አንሰበስብም፣ ሁለቱም አገልግሎቱን ለማቅረብ ያስፈልጋሉ;
• ከsale ወይም sharing መውጣት — አንዳቸውንም ስለማናደርግ አይተገበርም;
• ከላይ ያሉትን ማንኛውንም መብት ስለተጠቀሙ እንዳይደርስብዎ መድሎ።

Global Privacy Control (GPC) ምልክቶችን በራስ-ሰር እናከብራለን፤ GPC header መላክ ጉብኝትዎን ለወደፊት የትንታኔ ፈቃድ በግልጽ እንደወጡ ያደርገዋል።

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

ፍጹም የሆነ የደህንነት ፕሮግራም የለም። በFixVibe ውስጥ vulnerability እንዳገኙ ካመኑ፣ እባክዎ ወደ support@fixvibe.app ያሳውቁን።

ቁሳዊ ለውጦችን — አዲስ ንዑስ-ሂደታጆች፣ አዲስ የውሂብ ምድቦች፣ አዲስ የማቆያ ጊዜዎች — ካደረግን፣ ከላይ ያለውን ቀን እናዘምናለን እና በመተግበሪያ ውስጥ እናሳውቅዎታለን። ትንሽ የቃላት ማስተካከያዎች ማሳወቂያ አያስነሱም።

privacy@fixvibe.app — ብዙውን ጊዜ በ5 የሥራ ቀናት ውስጥ እንመልሳለን፣ GDPR Art. 12(3) እንደሚጠይቀው ከ30 ቀናት በላይ ፈጽሞ አይዘገይም።