FixVibe

// privacy

Məxfilik Siyasəti

son yenilənmə · 2026-05-17

Biz kimik

FixVibe EGO HERO LLC tərəfindən idarə olunur; bu siyasətdə təsvir edilən şəxsi məlumatlar üzrə məlumat nəzarətçisi “biz”ik. Məxfilik sualları, o cümlədən GDPR, UK GDPR və ya CCPA üzrə məlumat subyekti tələbləri üçün privacy@fixvibe.app ünvanına yazın. Qalan bütün məsələlər üçün support@fixvibe.app ünvanına yazın.

Nə toplayırıq, niyə toplayırıq və nə qədər saxlayırıq

  • Hesab məlumatları

    E-poçt ünvanı, OAuth identifikatoru (Google və ya GitHub ilə daxil olsanız) və OAuth provayderinizdən aldığımız hər hansı ad. Sizi autentifikasiya etmək və hesabınız haqqında sizinlə əlaqə saxlamaq üçün istifadə olunur. Hesabınız aktiv olduğu müddətdə saxlanılır. Hesabınızı sildikdə bu məlumatlar 30 gün ərzində silinir, saxlamalı olduğumuz hallar istisna olmaqla (məsələn, vergi qanunlarına görə hesablaşma qeydləri).

    hüquqi əsas · Müqavilənin icrası — Art. 6(1)(b) GDPR

  • Skan hədəfləri və tapıntılar

    Skan etdiyiniz URL-lər, həmin URL-lərə etdiyimiz sorğular və yaratdığımız tapıntılar. Təşkilatınızla bağlı saxlanılır. Planınızın saxlama müddətindən köhnə qeydləri avtomatik silirik: 30 gün (Hobby), 90 gün (Pro), 365 gün (Unlimited). Skan tarixçənizi istənilən vaxt Hesab → Məxfilik bölməsindən ixrac edə və ya silə bilərsiniz.

    hüquqi əsas · Müqavilənin icrası — Art. 6(1)(b) GDPR

  • Anonim skan sessiyaları

    Daxil olmadan skan işlədirsinizsə, qeyri-şəffaf təsadüfi ID saxlayan HMAC-imzalı çərəz (fixvibe_anon_session, 24 saatlıq ömür) veririk. Sahibsiz anonim skan qeydlərini 24 saatdan sonra avtomatik silirik. 24 saatlıq pəncərə ərzində qeydiyyatdan keçsəniz, skanınız yeni hesabınıza köçürülür. Anonim istifadəçilərin kim olduğunu onlar qeydiyyatdan keçməyincə bilmirik.

    hüquqi əsas · Ciddi zəruri — ePrivacy Art. 5(3) istisnası

  • Hesablaşma məlumatları

    Stripe ödəniş emalçımızdır. Kart məlumatlarınızı PCI-DSS infrastrukturu üzərində onlar saxlayır; biz yalnız Stripe müştəri ID-si, abunə statusu, plan, dövrün başlanğıcı/sonu və webhook hadisələrinin kiçik idempotentlik qeydini saxlayırıq. Stripe-in məxfilik bildirişinə stripe.com/privacy ünvanında baxın.

    hüquqi əsas · Müqavilənin icrası — Art. 6(1)(b) GDPR

  • Server jurnalları və audit jurnalları

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    hüquqi əsas · Qanuni maraq — Art. 6(1)(f) GDPR

  • GitHub inteqrasiyası (istəyə bağlı, yalnız Pro+)

    Hesab → İnteqrasiyalar bölməsindən GitHub hesabını qoşsanız, təşkilatınız üçün şifrələnmiş OAuth giriş tokenini, GitHub logininizi + rəqəmsal istifadəçi ID-nizi və verilmiş icazə sahələrini saxlayırıq. Tokendən yalnız skan etməyə başladığınız repozitoriyaları oxumaq üçün istifadə edirik. Mənbə kodu hər skan üçün götürülür, yaddaşda emal olunur və yalnız ayrı-ayrı tapıntı sübutları saxlanılır (tam mənbə dump-ları yoxdur). Ayırdıqdan sonra 30 gün ərzində silinir.

    hüquqi əsas · Müqavilənin icrası / razılıq — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokenləri + MCP serveri (istəyə bağlı)

    Hesab → API tokenləri bölməsində yaratdığınız tokenlər SHA-256 hash kimi, identifikasiya üçün ilk 8 açıq mətn simvolu, verdiyiniz ad və yaradılma/son istifadə/ləğv zaman möhürləri ilə saxlanılır. Açıq mətn sizə yaradılma zamanı yalnız bir dəfə göstərilir və heç vaxt saxlanılmır. Tokenlər bearer etimadnamələridir: dəyəri olan hər kəs siz ləğv edənədək skanlarınızı oxuya və yenilərini başlada bilər. /api/mcp ünvanındakı MCP serveri eyni tokenlərlə autentifikasiya olunur, panelin göstərəcəyi eyni məlumatları açır və ayrıca məlumat kateqoriyası yaratmır.

    hüquqi əsas · Müqavilənin icrası — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    hüquqi əsas · Performance of contract — Art. 6(1)(b) GDPR

  • Canlı təhlükə aşkarlanması (istəyə bağlı, yalnız Unlimited)

    Doğrulanmış domendə monitorinq aktivdirsə, həmin domen üçün dövri olaraq certificate-transparency jurnal yazılarını, DNS qeydlərini və threat-intel siyahılarını (Spamhaus DBL, URLhaus) toplayırıq. Bu snapshot-lar artıq skan etməyə icazə verdiyiniz host adlarını və ictimai sorğuların ictimai nəticələrini ehtiva edir. Son istifadəçilərinizin şəxsi məlumatları tutulmur. 7 gündən köhnə snapshot-lar avtomatik silinir; ən son baseline hər siqnal növü üzrə saxlanılır.

    hüquqi əsas · Müqavilənin icrası — Art. 6(1)(b) GDPR

  • Planlaşdırılmış yenidən skanlar (istəyə bağlı, yalnız Pro+)

    Doğrulanmış domendə planlaşdırılmış skanları aktiv etsəniz, periodu, son icra vaxtını, növbəti icra vaxtını və cədvəli hansı istifadəçinin aktiv etdiyini qeyd edirik. Hər cron ilə başladılan skan domen ilk dəfə doğrulananda verilmiş skan icazəsi təsdiqini miras alır — hər icrada yenidən təsdiqləmirsiniz. İstənilən vaxt Domenlər → Cədvəl bölməsindən söndürün.

    hüquqi əsas · Müqavilənin icrası — Art. 6(1)(b) GDPR

  • Analitika (istəyə bağlı, razılıqla məhdud)

    Analitika razılığı versəniz və istifadə etdiyiniz deployment üçün analitika konfiqurasiya olunubsa, anonim istifadəni qeyd etmək üçün məxfiliyə hörmət edən məhsul analitikası provayderindən (öz domenimiz üzərindən proksi edilmiş) istifadə edirik — hansı düymələr kliklənir, insanlar hansı yoxlamaları işlədir, istifadəçilər funnel-in harasında ayrılır. Skan etdiyiniz URL-ləri, sübut məzmununu və ya şəxsi məlumatları analitika hadisələrinə qoymuruq. Razılığı istənilən vaxt vasitəsilə geri alın.

    hüquqi əsas · Razılıq — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Promo təklifin tələb olunması

    Siz promo kod, dəvət linki və ya referal krediti istifadə etdiyinizdə biz kampaniya kodunu, verdiyimiz planı və müddəti, sınaq başlanğıc və bitiş zaman möhürlərini, sınaqdan əvvəl tutduğunuz planı və tələb anında IP ünvanınızın HMAC-SHA256 hash-ını saxlayırıq (biz heç vaxt xam IP-ni saxlamırıq — hash yalnız hər şəbəkə üçün bir tələb limitlərini tətbiq etmək üçün mövcuddur və əsas HMAC açarını fırlatmaq saxlanan bütün hash-ları heç kimi ifşa etmədən etibarsız edir). Mühasibatlıq və saxtakarlığın araşdırılması məqsədilə kampaniyanın ömrü plus 18 ay saxlanılır, sonra kampaniya qeydinin qalanı ilə birlikdə silinir.

    hüquqi əsas · Qanuni maraq (saxtakarlığın qarşısının alınması, mühasibatlıq) — Maddə 6(1)(f) GDPR

  • Müsabiqələr, lotereyalar və çağırışlar

    Əgər siz FixVibe Çağırışına (məsələn Təhlükəsizlik Preflight Çağırışı) qatılırsınızsa, biz təqdim etdiyiniz əlaqə e-poçtunu (qalib olsanız sizinlə əlaqə saxlamaq üçün tələb olunur), isteğe bağlı təqdim etdiyiniz Reddit və Product Hunt istifadəçi adlarınızı, skan ID-nizi və kök domeninizi, isteğe bağlı təqdim etdiyiniz özünüz tərəfindən hesabat verilmiş layihə növünü, stack-i və öyrəndiyim-bir-şey mətnini, isteğe bağlı seçdiyiniz kəşf kanalı dəyərini və qəbul etdiyiniz üç tələb olunan razılıq qutucuğunu (icazə, qaydalar, əlaqə) saxlayırıq. Əgər ayrıca isteğe bağlı marketinqdə-təqdim-olunma razılığını işarələsəniz, biz FixVibe ana səhifəsində, çağırış səhifəsində və ya təkrar postda sizin ictimai balınızı, reytinqinizi, stack-inizi, istifadəçi adınızı və təqdim etdiyiniz sitatı göstərə bilərik — heç vaxt başqa sahə deyil və heç vaxt bu opt-in olmadan. Çağırış qeydiyyatları təsdiq və mübahisə məqsədləri üçün Çağırışın ömrü plus 18 ay saxlanılır. Marketinqdə-təqdim-olunma razılığını istənilən vaxt privacy@fixvibe.app ünvanına e-poçt göndərərək geri ala bilərsiniz; geri çəkilmə geri çəkilmədən əvvəlki qanuni emala təsir etmir.

    hüquqi əsas · Müqavilənin yerinə yetirilməsi (Çağırışın keçirilməsi) və razılıq (təqdim etmə) — Maddə 6(1)(b) və 6(1)(a) GDPR

Nəyi toplamırıq

  • Məlumatlarınızı heç vaxt satmırıq.
  • Üçüncü tərəf reklam texnologiyası, fingerprinting və ya sessiya təkrar oynatma skriptləri yerləşdirmirik.
  • Skan hədəfi URL-lərinizi və ya tapıntı sübutlarını analitika mülklərinə qoymuruq — həmin məlumat yalnız verilənlər bazamızda yaşayır və sətir səviyyəsində təhlükəsizliklə qorunur.
  • Məlumatlarınızı üçüncü tərəflərlə onların öz marketinqi üçün paylaşmırıq.

Alt-emalçılar

FixVibe-i işlətmək üçün aşağıdakı alt-emalçılara güvənirik:

  • Vercel Inc. (ABŞ) — tətbiq hostinqi və edge şəbəkəsi. Məxfilik bildirişi: vercel.com/legal/privacy-policy.
  • Supabase Inc. (ABŞ) — Postgres verilənlər bazası, autentifikasiya, fayl saxlanması, Realtime. FixVibe istehsal verilənlər bazası AWS us-east-1 regionundadır. Məxfilik bildirişi: supabase.com/privacy.
  • Stripe Inc. (ABŞ) — ödənişli planlar üçün ödəniş emalı. Məxfilik bildirişi: stripe.com/privacy.
  • Upstash, Inc. (ABŞ, Vercel Marketplace vasitəsilə) — Redis əsaslı sürət məhdudlaşdırması; yalnız qısaömürlü IP əsaslı sayğaclar saxlayır. Məxfilik bildirişi: upstash.com/privacy.
  • PostHog Inc. (ABŞ) — məhsul analitikası, yalnız analitika razılığı verdiyinizdə və yalnız istifadə etdiyiniz deployment üçün analitika konfiqurasiya olunduqda. Məxfilik bildirişi: posthog.com/privacy.
  • GitHub, Inc. (ABŞ) — yalnız istəyə bağlı GitHub inteqrasiyasını qoşduğunuzda. Skan etməyə başladığınız repozitoriyaları oxumaq üçün GitHub API-dən istifadə edirik. Məxfilik bildirişi: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (ABŞ) — tranzaksiya e-poçtlarının çatdırılması. Skan tamamlandı, planlaşdırılmış skan, canlı təhlükə xəbərdarlığı və həftəlik icmal e-poçtları göndərdiyimizdə e-poçt ünvanınızı və e-poçt mətnini alır. Resend əməliyyat məqsədləri üçün çatdırılma metadatasını (zaman möhürləri, status, bounce qeydləri) saxlayır; Resend vasitəsilə heç vaxt marketinq e-poçtu göndərmirik. Məxfilik bildirişi: resend.com/legal/privacy-policy.

Şəxsi məlumatların EEA/UK xaricinə ötürülməsi Avropa Komissiyasının Standard Contractual Clauses-ına (və ya UK International Data Transfer Addendum-a), aşağıdakı “Təhlükəsizlik” bölməsində təsvir edilən ötürülmə və saxlanma zamanı şifrələmə tədbirləri ilə birlikdə əsaslanır.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Hüquqlarınız

GDPR, UK GDPR və ekvivalent qanunlar (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act və s.) çərçivəsində aşağıdakı hüquqlarınız var:

  • məlumatlarınızın surətinə giriş (bunu Hesab → Məxfilik bölməsindən özünüz edə bilərsiniz);
  • məlumatlarınızı düzəltdirmək;
  • məlumatlarınızı sildirmək (həmçinin özünə xidmətlə);
  • qanuni maraqlara əsaslanan emala etiraz etmək;
  • analitika razılığını istənilən vaxt vasitəsilə geri almaq;
  • məlumat daşınabilirliyi — ixracınız JSON formatındadır;
  • yerli nəzarət orqanınıza (EU/UK/EEA) və ya ekvivalent quruma şikayət vermək.

Yoxlanıla bilən hüquq tələblərinə 30 gün ərzində cavab veririk. Özünə xidmətlə təmin edə bilmədiyimiz tələblər üçün (göstərmədiyimiz sahənin düzəldilməsi, emalın məhdudlaşdırılması, etiraz), support@fixvibe.app ünvanına “Məxfilik tələbi” mövzusu ilə e-poçt göndərin.

Kaliforniya sakinləri (CCPA / CPRA)

Şəxsi məlumatlarınızı satmırıq. Şəxsi məlumatları çarpaz kontekstli davranış reklamı üçün paylaşmırıq. PostHog vasitəsilə analitika yalnız çərəz bannerimizdə razılıq verdikdən sonra işləyir; bu razılığı istənilən vaxt vasitəsilə və ya footer-də Məxfilik Seçimləriniz linkinə klikləməklə geri ala bilərsiniz.

Kaliforniya sakinisinizsə, əlavə olaraq aşağıdakı hüquqlara da maliksiniz:

  • hansı şəxsi məlumatları topladığımızı, mənbələri, məqsədləri və onları paylaşdığımız hər hansı üçüncü tərəfləri bilmək (hamısı yuxarıda ətraflı göstərilib);
  • şəxsi məlumatlarınızın silinməsini tələb etmək (Hesab → Məxfilik vasitəsilə özünüz və ya bizə e-poçt göndərərək);
  • yanlış şəxsi məlumatları düzəltmək;
  • həssas şəxsi məlumatların istifadəsini və açıqlanmasını məhdudlaşdırmaq — xidməti təqdim etmək üçün tələb olunan autentifikasiya etimadnamələri və sessiya metadatasından başqa heç nə toplamırıq;
  • satışdan və ya paylaşmadan imtina etmək — tətbiq olunmur, çünki ikisini də etmirik;
  • yuxarıdakılardan hər hansı birini həyata keçirdiyiniz üçün ayrı-seçkiliyə məruz qalmamaq.

Global Privacy Control (GPC) siqnallarını avtomatik olaraq qəbul edirik; GPC başlığının göndərilməsi səfərinizi gələcək analitika razılığından açıq şəkildə imtina etmiş kimi qəbul edir.

Təhlükəsizlik

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Heç bir təhlükəsizlik proqramı mükəmməl deyil. FixVibe-də zəiflik tapdığınızı düşünürsünüzsə, lütfən bunu support@fixvibe.app ünvanına bildirin.

Bu siyasətdə dəyişikliklər

Əhəmiyyətli dəyişikliklər etsək — yeni alt-emalçılar, yeni məlumat kateqoriyaları, yeni saxlama müddətləri — yuxarıdakı tarixi yeniləyəcəyik və sizi tətbiq daxilində xəbərdar edəcəyik. Kiçik ifadə düzəlişləri bildiriş yaratmır.

Əlaqə

privacy@fixvibe.app — cavablar adətən 5 iş günü ərzində, GDPR Art. 12(3) üzrə tələb olunan 30 gündən gec olmayaraq verilir.

Məxfilik Siyasəti · FixVibe