FixVibe

// privacy

سياسة الخصوصية

آخر تحديث · 2026-05-17

من نحن

تتولى EGO HERO LLC تشغيل FixVibe (“نحن”، “لنا”)، وهي المتحكم في البيانات الشخصية الموضحة في هذه السياسة. للأسئلة المتعلقة بالخصوصية، بما في ذلك طلبات أصحاب البيانات بموجب GDPR أو UK GDPR أو CCPA، تواصل عبر privacy@fixvibe.app. ولأي شيء آخر، اكتب إلى support@fixvibe.app.

ما الذي نجمعه، ولماذا، ومدة الاحتفاظ به

  • بيانات الحساب

    عنوان البريد الإلكتروني، ومعرّف OAuth إذا سجّلت الدخول باستخدام Google أو GitHub، وأي اسم نتلقاه من موفر OAuth لديك. نستخدم ذلك لمصادقتك والتواصل معك بشأن حسابك. نحتفظ به ما دام حسابك نشطاً. عند حذف حسابك، تُزال هذه البيانات خلال 30 يوماً، إلا عندما نكون ملزمين بالاحتفاظ بها، مثل سجلات الفوترة بموجب قوانين الضرائب.

    الأساس القانوني · تنفيذ العقد — Art. 6(1)(b) GDPR

  • أهداف الفحص والنتائج

    عناوين URL التي تفحصها، والطلبات التي نرسلها إلى تلك العناوين، والنتائج التي ننتجها. تُخزّن ضمن مؤسستك. نحذف تلقائياً السجلات الأقدم من نافذة الاحتفاظ الخاصة بخطتك: 30 يوماً (Hobby)، 90 يوماً (Pro)، 365 يوماً (Unlimited). يمكنك تصدير سجل الفحوصات أو حذفه في أي وقت من الحساب → الخصوصية.

    الأساس القانوني · تنفيذ العقد — Art. 6(1)(b) GDPR

  • جلسات الفحص المجهولة

    إذا أجريت فحصاً دون تسجيل الدخول، نصدر ملف تعريف ارتباط موقّعاً بواسطة HMAC باسم fixvibe_anon_session، مدته 24 ساعة، يحتوي على ID عشوائي غير شفاف. نحذف تلقائياً سجلات الفحص المجهولة غير المطالَب بها بعد 24 ساعة. إذا سجّلت خلال نافذة 24 ساعة، ينتقل فحصك إلى حسابك الجديد. لا نعرف هوية المستخدمين المجهولين ما لم يسجلوا.

    الأساس القانوني · ضروري تماماً — استثناء ePrivacy Art. 5(3)

  • بيانات الفوترة

    Stripe هو معالج المدفوعات لدينا. يخزن تفاصيل بطاقتك على بنية تحتية PCI-DSS؛ ونحن لا نخزن إلا Stripe customer ID، وحالة الاشتراك، والخطة، وبداية ونهاية الفترة، وسجلاً صغيراً مانعاً للتكرار لأحداث webhook. راجع إشعار خصوصية Stripe على stripe.com/privacy.

    الأساس القانوني · تنفيذ العقد — Art. 6(1)(b) GDPR

  • سجلات الخادم وسجلات التدقيق

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    الأساس القانوني · مصلحة مشروعة — Art. 6(1)(f) GDPR

  • تكامل GitHub، اختياري، Pro+ فقط

    إذا ربطت حساب GitHub من الحساب → التكاملات، فإننا نخزن رمز وصول OAuth مشفراً لمؤسستك، وGitHub login الخاص بك مع ID المستخدم الرقمي، والنطاقات الممنوحة. نستخدم الرمز فقط لقراءة repositories التي تبدأ فحصها. يتم جلب شفرة المصدر لكل فحص، ومعالجتها في الذاكرة، ولا يتم الاحتفاظ إلا بأدلة النتائج الفردية، دون نسخ كاملة من شفرة المصدر. تُحذف خلال 30 يوماً من قطع الربط.

    الأساس القانوني · تنفيذ العقد / الموافقة — Art. 6(1)(b) + 6(1)(a) GDPR

  • رموز API + خادم MCP، اختياري

    الرموز التي تنشئها في الحساب → رموز API تُخزن على شكل SHA-256 hash، وأول 8 أحرف نصية صريحة للتعريف، والاسم الذي عينته، إضافة إلى الطوابع الزمنية للإنشاء وآخر استخدام والإلغاء. يظهر النص الصريح لك مرة واحدة فقط عند الإنشاء ولا يُحفظ أبداً. الرموز هي بيانات اعتماد bearer: أي شخص لديه القيمة يمكنه قراءة فحوصاتك وبدء فحوصات جديدة إلى أن تلغيها. خادم MCP عند /api/mcp تتم مصادقته بالرموز نفسها، ويعرض البيانات نفسها التي تعرضها لوحة التحكم، ولا ينشئ فئة بيانات منفصلة.

    الأساس القانوني · تنفيذ العقد — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    الأساس القانوني · Performance of contract — Art. 6(1)(b) GDPR

  • الكشف المباشر عن التهديدات، اختياري، Unlimited فقط

    إذا كان لديك رصد مفعّل على نطاق متحقق منه، فإننا نلتقط دورياً إدخالات سجلات certificate-transparency، وسجلات DNS، وقوائم معلومات التهديدات (Spamhaus DBL، URLhaus) لذلك النطاق. تحتوي هذه اللقطات على hostnames التي سبق أن خوّلتنا بفحصها والنتائج العامة للاستعلامات العامة. لا تُلتقط أي بيانات شخصية لمستخدميك النهائيين. تُحذف اللقطات الأقدم من 7 أيام تلقائياً؛ ويتم الاحتفاظ بأحدث خط أساس لكل نوع إشارة.

    الأساس القانوني · تنفيذ العقد — Art. 6(1)(b) GDPR

  • إعادة الفحص المجدولة، اختيارية، Pro+ فقط

    إذا فعّلت الفحوصات المجدولة على نطاق متحقق منه، فإننا نسجل الوتيرة، ووقت آخر تشغيل، ووقت التشغيل التالي، وأي مستخدم فعّل الجدول. كل فحص يُشغّله cron يرث إفادة التفويض بالفحص التي قُدمت عند التحقق من النطاق أول مرة — ولا تحتاج إلى إعادة الإفادة في كل تشغيل. عطّل ذلك في أي وقت من النطاقات → الجدولة.

    الأساس القانوني · تنفيذ العقد — Art. 6(1)(b) GDPR

  • التحليلات، اختيارية، مشروطة بالموافقة

    إذا منحت موافقة التحليلات وكانت التحليلات مهيأة للنشر الذي تستخدمه، فإننا نستخدم مزود تحليلات منتج يحترم الخصوصية وممرراً عبر نطاقنا الخاص لتسجيل استخدام مجهول — الأزرار التي يتم النقر عليها، والفحوصات التي يجريها الأشخاص، ومواضع خروج المستخدمين من مسار التحويل. لا نضع عناوين URL التي تفحصها، أو محتوى الأدلة، أو البيانات الشخصية في أحداث التحليلات. يمكنك سحب الموافقة في أي وقت عبر .

    الأساس القانوني · الموافقة — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • استلام العرض الترويجي

    عندما تستلم رمزاً ترويجياً، رابط دعوة، أو اعتماد إحالة، نُخزّن رمز الحملة، الخطة والمدة التي منحناها، الطوابع الزمنية لبداية ونهاية التجربة، الخطة التي كانت لديك قبل التجربة، وHMAC-SHA256 hash لعنوان IP الخاص بك وقت الاستلام (لا نُخزّن أبداً IP الخام — الـ hash موجود فقط لنستطيع تطبيق حدود استلام-واحد-لكل-شبكة، وتدوير مفتاح HMAC الأساسي يُبطل كل الـ hashes المُخزَّنة بدون كشف أحد). يُحفظ لعمر الحملة بالإضافة إلى 18 شهراً لأغراض المحاسبة والتحقيق في الاحتيال، ثم يُحذف مع باقي سجل الحملة.

    الأساس القانوني · المصلحة المشروعة (منع الاحتيال، المحاسبة) — المادة 6(1)(f) GDPR

  • المسابقات، اليانصيب، والتحديات

    إذا شاركت في تحدي FixVibe (مثل Security Preflight Challenge)، نُخزّن بريد التواصل الذي تُقدّمه (مطلوب لنستطيع التواصل معك إذا فزت)، أسماء مستخدمي Reddit وProduct Hunt التي تُقدّمها اختيارياً، scan ID ونطاق الجذر الخاص بك، نوع المشروع المُبلَّغ ذاتياً، الستاك، ونص الشيء-الذي-تعلمته الذي تُقدّمه اختيارياً، قيمة قناة الاكتشاف التي تختارها اختيارياً، وخانات الموافقة الثلاث المطلوبة التي تقبلها (التفويض، القواعد، التواصل). إذا وضعت علامة بشكل منفصل على موافقة إبراز-في-التسويق الاختيارية، قد نعرض نتيجتك العامة، التقييم، الستاك، اسم المستخدم، والاقتباس المُقدَّم على الصفحة الرئيسية لـ FixVibe، صفحة التحدي، أو منشور التلخيص — لا حقول أخرى أبداً، ولا أبداً بدون ذلك opt-in. مشاركات التحدي تُحفظ لعمر التحدي بالإضافة إلى 18 شهراً لأغراض التحقق والنزاعات. يمكنك سحب موافقة الإبراز-في-التسويق في أي وقت بإرسال بريد إلى privacy@fixvibe.app؛ السحب لا يؤثر على المعالجة المشروعة قبل السحب.

    الأساس القانوني · تنفيذ العقد (إدارة التحدي) والموافقة (الإبراز) — المادتان 6(1)(b) و6(1)(a) GDPR

ما لا نجمعه

  • لا نبيع بياناتك أبداً.
  • لا نضمّن تقنيات إعلانية تابعة لجهات خارجية أو fingerprinting أو نصوص session-replay.
  • لا نضع عناوين URL لأهداف الفحص أو أدلة النتائج في خصائص التحليلات — هذه البيانات موجودة فقط في قاعدة بياناتنا، ومحمية بأمان على مستوى الصفوف.
  • لا نشارك بياناتك مع أطراف ثالثة لأغراض التسويق الخاصة بها.

المعالِجون الفرعيون

نعتمد على المعالِجين الفرعيين التاليين لتشغيل FixVibe:

  • Vercel Inc. (الولايات المتحدة) — استضافة التطبيق وشبكة الحافة. إشعار الخصوصية: vercel.com/legal/privacy-policy.
  • Supabase Inc. (الولايات المتحدة) — قاعدة بيانات Postgres، والمصادقة، وتخزين الملفات، وRealtime. تقع قاعدة بيانات FixVibe الإنتاجية في منطقة AWS us-east-1. إشعار الخصوصية: supabase.com/privacy.
  • Stripe Inc. (الولايات المتحدة) — معالجة المدفوعات للخطط المدفوعة. إشعار الخصوصية: stripe.com/privacy.
  • Upstash, Inc. (الولايات المتحدة، عبر Vercel Marketplace) — تحديد المعدل المدعوم بواسطة Redis؛ يخزن فقط عدادات قصيرة الأجل مستندة إلى IP. إشعار الخصوصية: upstash.com/privacy.
  • PostHog Inc. (الولايات المتحدة) — تحليلات المنتج، فقط إذا منحت موافقة التحليلات وفقط عندما تكون التحليلات مهيأة للنشر الذي تستخدمه. إشعار الخصوصية: posthog.com/privacy.
  • GitHub, Inc. (الولايات المتحدة) — فقط إذا ربطت تكامل GitHub الاختياري. نستخدم GitHub API لقراءة repositories التي تبدأ فحصها. إشعار الخصوصية: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (الولايات المتحدة) — تسليم البريد الإلكتروني الخاص بالمعاملات. يتلقى عنوان بريدك الإلكتروني ونص الرسالة عندما نرسل رسائل إكمال الفحص، والفحص المجدول، وتنبيه التهديد المباشر، والملخص الأسبوعي. تحتفظ Resend ببيانات تعريف التسليم، مثل الطوابع الزمنية والحالة وسجلات الارتداد، لأغراض تشغيلية؛ ولا نرسل أبداً بريداً تسويقياً عبر Resend. إشعار الخصوصية: resend.com/legal/privacy-policy.

تعتمد عمليات نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية/UK على البنود التعاقدية القياسية للمفوضية الأوروبية أو UK International Data Transfer Addendum، معززة بتدابير التشفير أثناء النقل والتشفير في حالة السكون الموضحة في قسم “الأمان” أدناه.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

حقوقك

بموجب GDPR وUK GDPR والقوانين المكافئة (CCPA/CPRA، LGPD، PIPEDA، Australian Privacy Act إلخ)، لديك الحق في:

  • الوصول إلى نسخة من بياناتك (يمكنك القيام بذلك ذاتياً من الحساب → الخصوصية
  • تصحيح بياناتك؛
  • حذف بياناتك (ذاتياً أيضاً)؛
  • الاعتراض على المعالجة المستندة إلى المصالح المشروعة؛
  • سحب الموافقة على التحليلات في أي وقت عبر ؛
  • قابلية نقل البيانات — يكون تصديرك بصيغة JSON؛
  • تقديم شكوى إلى سلطة الإشراف المحلية لديك (EU/UK/EEA) أو ما يعادلها.

نرد على طلبات الحقوق القابلة للتحقق خلال 30 يوماً. بالنسبة للطلبات التي لا يمكننا تلبيتها ذاتياً، مثل تصحيح حقل لا نعرضه، أو تقييد المعالجة، أو الاعتراض، أرسل بريداً إلى support@fixvibe.app بعنوان موضوع “طلب خصوصية”.

سكان كاليفورنيا (CCPA / CPRA)

لا نبيع معلوماتك الشخصية. لا نشارك المعلومات الشخصية لأغراض الإعلان السلوكي عبر السياقات. لا تعمل التحليلات عبر PostHog إلا بعد أن تمنح الموافقة في شريط ملفات تعريف الارتباط لدينا؛ ويمكنك سحب تلك الموافقة في أي وقت عبر أو بالنقر على خياراتك الخاصة بالخصوصية في التذييل.

إذا كنت مقيماً في كاليفورنيا، فلديك أيضاً الحق في:

  • معرفة المعلومات الشخصية التي نجمعها، ومصادرها، وأغراضها، وأي أطراف ثالثة نشاركها معها، وكل ذلك مفصل أعلاه؛
  • طلب حذف معلوماتك الشخصية، ذاتياً عبر الحساب → الخصوصية أو بمراسلتنا؛
  • تصحيح المعلومات الشخصية غير الدقيقة؛
  • تقييد استخدام المعلومات الشخصية الحساسة والإفصاح عنها — لا نجمع شيئاً منها بخلاف بيانات اعتماد المصادقة وبيانات تعريف الجلسة، وكلاهما مطلوب لتقديم الخدمة؛
  • الانسحاب من البيع أو المشاركة — غير منطبق لأننا لا نفعل أياً منهما؛
  • ألا تتعرض للتمييز بسبب ممارسة أي مما سبق.

نحترم إشارات Global Privacy Control (GPC) تلقائياً؛ إرسال GPC header يجعل زيارتك تعامل كما لو أنك اخترت صراحةً الخروج من أي موافقة مستقبلية على التحليلات.

الأمان

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

لا يوجد برنامج أمان مثالي. إذا كنت تعتقد أنك وجدت ثغرة في FixVibe، فيرجى الإبلاغ عنها إلى support@fixvibe.app.

التغييرات على هذه السياسة

إذا أجرينا تغييرات جوهرية — معالِجين فرعيين جدد، أو فئات بيانات جديدة، أو مدد احتفاظ جديدة — فسنحدّث التاريخ أعلاه ونخطرك داخل التطبيق. لا تؤدي إصلاحات الصياغة البسيطة إلى إشعار.

التواصل

privacy@fixvibe.app — تكون الردود عادةً خلال 5 أيام عمل، ولا تتجاوز أبداً 30 يوماً كما يقتضي GDPR Art. 12(3).

سياسة الخصوصية · FixVibe