গোপনীয়তা নীতি

FixVibe পরিচালনা করে EGO HERO LLC (“আমরা”, “আমাদের”), যা এই নীতিতে বর্ণিত ব্যক্তিগত তথ্যের জন্য ডেটা নিয়ন্ত্রক। GDPR, UK GDPR, বা CCPA-এর অধীনে ডেটা বিষয়কের অনুরোধসহ গোপনীয়তা সম্পর্কিত প্রশ্নের জন্য privacy@fixvibe.app-এ যোগাযোগ করুন। অন্য যেকোনো বিষয়ে support@fixvibe.app-এ লিখুন।

• অ্যাকাউন্ট ডেটা

  ইমেল ঠিকানা, OAuth শনাক্তকারী (যদি আপনি Google বা GitHub দিয়ে সাইন ইন করেন), এবং আপনার OAuth প্রদানকারীর কাছ থেকে আমরা যে কোনো নাম পাই। আপনাকে প্রমাণীকরণ করতে এবং আপনার অ্যাকাউন্ট সম্পর্কে যোগাযোগ করতে ব্যবহৃত হয়। আপনার অ্যাকাউন্ট সক্রিয় থাকা পর্যন্ত সংরক্ষিত থাকে। আপনি অ্যাকাউন্ট মুছে ফেললে, এই ডেটা ৩০ দিনের মধ্যে সরিয়ে দেওয়া হয়, যেখানে আমাদের তা ধরে রাখা বাধ্যতামূলক (যেমন, কর আইনের অধীনে বিলিং রেকর্ড) সেই ক্ষেত্র বাদে।

  আইনি ভিত্তি · চুক্তি সম্পাদন — Art. 6(1)(b) GDPR

• স্ক্যান লক্ষ্য ও ফাইন্ডিং

  আপনি যে URL স্ক্যান করেন, আমরা সেই URL-গুলিতে যে অনুরোধ করি, এবং আমরা যে ফাইন্ডিং তৈরি করি। এগুলি আপনার প্রতিষ্ঠানের সঙ্গে সংরক্ষিত হয়। আপনার প্ল্যানের সংরক্ষণ উইন্ডোর চেয়ে পুরোনো রেকর্ড আমরা স্বয়ংক্রিয়ভাবে মুছে ফেলি: ৩০ দিন (Hobby), ৯০ দিন (Pro), ৩৬৫ দিন (Unlimited)। Account → Privacy থেকে আপনি যেকোনো সময় আপনার স্ক্যান ইতিহাস রপ্তানি বা মুছে ফেলতে পারেন।

  আইনি ভিত্তি · চুক্তি সম্পাদন — Art. 6(1)(b) GDPR

• বেনামী স্ক্যান সেশন

  আপনি সাইন ইন না করে স্ক্যান চালালে, আমরা একটি HMAC-স্বাক্ষরিত cookie (fixvibe_anon_session, ২৪ ঘণ্টার মেয়াদ) ইস্যু করি, যাতে একটি অস্পষ্ট র‍্যান্ডম ID থাকে। দাবি না করা বেনামী স্ক্যান রেকর্ড আমরা ২৪ ঘণ্টা পর স্বয়ংক্রিয়ভাবে মুছে ফেলি। আপনি ২৪ ঘণ্টার উইন্ডোর মধ্যে সাইন আপ করলে, আপনার স্ক্যান আপনার নতুন অ্যাকাউন্টে স্থানান্তরিত হয়। বেনামী ব্যবহারকারীরা সাইন আপ না করলে আমরা জানি না তারা কারা।

  আইনি ভিত্তি · কঠোরভাবে প্রয়োজনীয় — ePrivacy Art. 5(3) অব্যাহতি

• বিলিং ডেটা

  Stripe আমাদের পেমেন্ট প্রসেসর। তারা আপনার কার্ডের বিবরণ PCI-DSS অবকাঠামোতে সংরক্ষণ করে; আমরা শুধু Stripe customer ID, subscription status, plan, period start/end, এবং webhook event-এর একটি ছোট idempotency record সংরক্ষণ করি। Stripe-এর privacy notice stripe.com/privacy-এ দেখুন।

  আইনি ভিত্তি · চুক্তি সম্পাদন — Art. 6(1)(b) GDPR

• সার্ভার লগ ও অডিট লগ

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  আইনি ভিত্তি · বৈধ স্বার্থ — Art. 6(1)(f) GDPR

• GitHub ইন্টিগ্রেশন (ঐচ্ছিক, শুধু Pro+)

  আপনি Account → Integrations থেকে GitHub অ্যাকাউন্ট সংযুক্ত করলে, আমরা আপনার প্রতিষ্ঠানের জন্য encrypted OAuth access token, আপনার GitHub login + numeric user ID, এবং অনুমোদিত scopes সংরক্ষণ করি। আপনি যে repositories-এর বিরুদ্ধে স্ক্যান শুরু করেন সেগুলি পড়তেই আমরা token ব্যবহার করি। Source code প্রতি-স্ক্যানে আনা হয়, memory-তে প্রক্রিয়া করা হয়, এবং শুধুমাত্র পৃথক finding evidence সংরক্ষিত থাকে (সম্পূর্ণ source dump নয়)। disconnect করার ৩০ দিনের মধ্যে মুছে ফেলা হয়।

  আইনি ভিত্তি · চুক্তি সম্পাদন / সম্মতি — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokens + MCP server (ঐচ্ছিক)

  Account → API tokens-এ আপনি যে tokens তৈরি করেন, সেগুলি SHA-256 hash, প্রথম ৮টি plaintext characters (শনাক্তকরণের জন্য), আপনার দেওয়া নাম, এবং created/last-used/revoked timestamps হিসেবে সংরক্ষিত হয়। plaintext তৈরি করার সময় আপনাকে ঠিক একবার দেখানো হয় এবং কখনও সংরক্ষণ করা হয় না। Tokens bearer credentials: যার কাছে value আছে, সে আপনার scans পড়তে এবং নতুন scans শুরু করতে পারে, যতক্ষণ না আপনি revoke করেন। /api/mcp-এ MCP server একই tokens দিয়ে authenticated, dashboard যে data দেখাত একই data expose করে, এবং আলাদা কোনো data category তৈরি করে না।

  আইনি ভিত্তি · চুক্তি সম্পাদন — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  আইনি ভিত্তি · Performance of contract — Art. 6(1)(b) GDPR

• Live threat detection (ঐচ্ছিক, শুধু Unlimited)

  আপনার verified domain-এ monitoring enabled থাকলে, আমরা পর্যায়ক্রমে সেই domain-এর certificate-transparency log entries, DNS records, এবং threat-intel listings (Spamhaus DBL, URLhaus) capture করি। এসব snapshots-এ এমন hostnames থাকে যেগুলি scan করার অনুমতি আপনি আগেই দিয়েছেন এবং public lookups-এর public results থাকে। আপনার end-users-এর কোনো personal data capture করা হয় না। ৭ দিনের বেশি পুরোনো snapshots স্বয়ংক্রিয়ভাবে মুছে ফেলা হয়; প্রতিটি signal type-এর জন্য সবচেয়ে সাম্প্রতিক baseline রাখা হয়।

  আইনি ভিত্তি · চুক্তি সম্পাদন — Art. 6(1)(b) GDPR

• নির্ধারিত পুনরায় স্ক্যান (ঐচ্ছিক, শুধু Pro+)

  আপনি verified domain-এ scheduled scans enabled করলে, আমরা cadence, last run time, next run time, এবং কোন user schedule enabled করেছেন তা record করি। প্রতিটি cron-triggered scan domain প্রথম verified হওয়ার সময় করা authorization-to-scan attestation inherit করে — প্রতি run-এ আপনাকে আবার attest করতে হয় না। Domains → Schedule থেকে যেকোনো সময় disable করুন।

  আইনি ভিত্তি · চুক্তি সম্পাদন — Art. 6(1)(b) GDPR

• Analytics (ঐচ্ছিক, consent-gated)

  আপনি analytics consent দিলে এবং আপনি যে deployment ব্যবহার করছেন তাতে analytics configured থাকলে, আমরা anonymous usage record করতে privacy-respecting product-analytics provider (আমাদের নিজস্ব domain দিয়ে proxied) ব্যবহার করি — কোন buttons clicked হয়, মানুষ কোন checks চালায়, funnel-এর কোথায় users drop off করে। আপনার scan করা URL, evidence content, বা personal data আমরা analytics events-এ রাখি না। Cookie settings দিয়ে যেকোনো সময় consent revoke করুন।

  আইনি ভিত্তি · সম্মতি — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• প্রচারমূলক অফার রিডেম্পশন

  আপনি যখন একটি প্রোমো কোড, আমন্ত্রণ লিঙ্ক বা রেফারেল ক্রেডিট রিডিম করেন, আমরা ক্যাম্পেইন কোড, আমরা প্রদান করা প্ল্যান এবং সময়কাল, ট্রায়াল শুরু এবং শেষের টাইমস্ট্যাম্প, ট্রায়ালের আগে আপনার যে প্ল্যান ছিল এবং রিডেম্পশনের সময় আপনার IP ঠিকানার একটি HMAC-SHA256 হ্যাশ সংরক্ষণ করি (আমরা কখনই কাঁচা IP সংরক্ষণ করি না — হ্যাশটি কেবলমাত্র এই কারণে বিদ্যমান যাতে আমরা প্রতি-নেটওয়ার্ক রিডেম্পশন সীমা প্রয়োগ করতে পারি, এবং অন্তর্নিহিত HMAC কী ঘোরানো সমস্ত সংরক্ষিত হ্যাশকে অবৈধ করে কোনো প্রকাশ ছাড়াই)। অ্যাকাউন্টিং এবং প্রতারণা-অনুসন্ধান উদ্দেশ্যে ক্যাম্পেইনের জীবন প্লাস ১৮ মাসের জন্য রাখা হয়, তারপর ক্যাম্পেইন রেকর্ডের বাকি অংশের সাথে মুছে ফেলা হয়।

  আইনি ভিত্তি · বৈধ আগ্রহ (প্রতারণা প্রতিরোধ, অ্যাকাউন্টিং) — Art. 6(1)(f) GDPR

• প্রতিযোগিতা, সুইপস্টেক এবং চ্যালেঞ্জ

  আপনি যদি একটি FixVibe চ্যালেঞ্জে প্রবেশ করেন (যেমন সিকিউরিটি প্রিফ্লাইট চ্যালেঞ্জ), আমরা আপনার জমা দেওয়া যোগাযোগের ইমেল (প্রয়োজনীয় যাতে আপনি জিতলে আমরা আপনার সাথে যোগাযোগ করতে পারি), আপনি ঐচ্ছিকভাবে প্রদান করা Reddit এবং Product Hunt ইউজারনেম, আপনার স্ক্যান ID এবং রুট ডোমেইন, স্ব-রিপোর্ট করা প্রকল্পের ধরন, স্ট্যাক এবং আপনি ঐচ্ছিকভাবে প্রদান করা এক-জিনিস-আমি-শিখেছি টেক্সট, আপনি ঐচ্ছিকভাবে নির্বাচন করা আবিষ্কার-চ্যানেল মান এবং আপনি গ্রহণ করা তিনটি প্রয়োজনীয় সম্মতি চেকবক্স (অনুমোদন, নিয়ম, যোগাযোগ) সংরক্ষণ করি। আপনি যদি আলাদাভাবে ঐচ্ছিক মার্কেটিং-এ-ফিচার্ড সম্মতি টিক দেন, আমরা FixVibe হোমপেজ, চ্যালেঞ্জ পেজ বা রিক্যাপ পোস্টে আপনার পাবলিক স্কোর, রেটিং, স্ট্যাক, ইউজারনেম এবং জমা দেওয়া উদ্ধৃতি প্রদর্শন করতে পারি — কখনও অন্য কোনো ফিল্ড নয়, এবং সেই অপ্ট-ইন ছাড়া কখনও নয়। যাচাইকরণ এবং বিরোধের উদ্দেশ্যে চ্যালেঞ্জ এন্ট্রিগুলো চ্যালেঞ্জের জীবন প্লাস ১৮ মাসের জন্য রাখা হয়। আপনি যেকোনো সময় privacy@fixvibe.app ইমেল করে মার্কেটিং-এ-ফিচার্ড সম্মতি প্রত্যাহার করতে পারেন; প্রত্যাহার করা প্রত্যাহারের আগে আইনি প্রক্রিয়াকরণকে প্রভাবিত করে না।

  আইনি ভিত্তি · চুক্তির কার্য সম্পাদন (চ্যালেঞ্জ চালানো) এবং সম্মতি (ফিচারিং) — Art. 6(1)(b) এবং 6(1)(a) GDPR

• আমরা কখনও আপনার ডেটা বিক্রি করি না।
• আমরা third-party ad-tech, fingerprinting, বা session-replay scripts embed করি না।
• আমরা আপনার scan target URLs বা finding evidence analytics properties-এ রাখি না — সেই data শুধু আমাদের database-এ থাকে, row-level security দ্বারা gated।
• আমরা third parties-এর নিজস্ব marketing-এর জন্য আপনার data তাদের সঙ্গে share করি না।

FixVibe চালাতে আমরা নিম্নলিখিত সাব-প্রসেসরদের উপর নির্ভর করি:

• Vercel Inc. (USA) — application hosting এবং edge network। Privacy notice: vercel.com/legal/privacy-policy।
• Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime। FixVibe production database AWS us-east-1 region-এ। Privacy notice: supabase.com/privacy।
• Stripe Inc. (USA) — paid plans-এর জন্য payment processing। Privacy notice: stripe.com/privacy।
• Upstash, Inc. (USA, Vercel Marketplace-এর মাধ্যমে) — Redis-backed rate limiting; শুধু short-lived IP-based counters সংরক্ষণ করে। Privacy notice: upstash.com/privacy।
• PostHog Inc. (USA) — product analytics, শুধু আপনি analytics consent দিলে এবং শুধু আপনি যে deployment ব্যবহার করছেন তাতে analytics configured থাকলে। Privacy notice: posthog.com/privacy।
• GitHub, Inc. (USA) — শুধু আপনি optional GitHub integration সংযুক্ত করলে। আপনি যে repositories-এর বিরুদ্ধে scans শুরু করেন সেগুলি পড়তে আমরা GitHub API ব্যবহার করি। Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement।
• Resend, Inc. (USA) — transactional email delivery। আমরা scan-completed, scheduled-scan, live-threat alert, এবং weekly-digest emails পাঠালে আপনার email address ও email body গ্রহণ করে। Resend operational purposes-এর জন্য delivery metadata (timestamps, status, bounce records) রাখে; আমরা Resend দিয়ে কখনও marketing email পাঠাই না। Privacy notice: resend.com/legal/privacy-policy।

EEA/UK-এর বাইরে personal data transfers European Commission-এর Standard Contractual Clauses (অথবা UK-এর International Data Transfer Addendum)-এর উপর নির্ভর করে, এবং নিচের “Security” অংশে বর্ণিত encryption-in-transit ও encryption-at-rest measures দ্বারা সম্পূরক।

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR, UK GDPR, এবং সমতুল্য আইনগুলির (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act ইত্যাদি) অধীনে, আপনার অধিকার রয়েছে:

• আপনার data-এর copy access করার (আপনি Account → Privacy থেকে self-serve করতে পারেন);
• আপনার data corrected করার;
• আপনার data deleted করার (self-serve-ও);
• legitimate interests-এর ভিত্তিতে processing-এ object করার;
• Cookie settings দিয়ে যেকোনো সময় analytics-এর consent withdraw করার;
• data portability — আপনার export JSON-এ;
• আপনার local supervisory authority (EU/UK/EEA) বা সমতুল্য কর্তৃপক্ষের কাছে complaint lodge করার।

আমরা যাচাইযোগ্য rights requests-এর উত্তর ৩০ দিনের মধ্যে দিই। যেসব requests self-serve দিয়ে পূরণ করা যায় না (আমরা expose করি না এমন field-এর rectification, restriction of processing, objection), সেগুলির জন্য subject line “Privacy request” দিয়ে support@fixvibe.app-এ email করুন।

আমরা আপনার personal information বিক্রি করি না। আমরা cross-context behavioral advertising-এর জন্য personal information share করি না। PostHog-এর মাধ্যমে analytics শুধু তখনই চলে যখন আপনি আমাদের cookie banner-এ consent দেন; আপনি Cookie settings দিয়ে বা footer-এ Your Privacy Choices ক্লিক করে যেকোনো সময় সেই consent withdraw করতে পারেন।

আপনি California বাসিন্দা হলে, আপনার আরও অধিকার রয়েছে:

• আমরা কোন personal information collect করি, sources, purposes, এবং যেসব third parties-এর সঙ্গে share করি তা জানার (সব উপরে বিস্তারিত আছে);
• আপনার personal information deletion অনুরোধ করার (Account → Privacy থেকে self-serve বা আমাদের email করে);
• ভুল personal information correct করার;
• sensitive personal information-এর use এবং disclosure limit করার — আমরা authentication credentials এবং session metadata-এর বাইরে কিছু collect করি না, দুটোই service দেওয়ার জন্য required;
• sale বা sharing থেকে opt out করার — প্রযোজ্য নয়, কারণ আমরা কোনোটিই করি না;
• উপরের যেকোনো অধিকার প্রয়োগের জন্য বৈষম্যের শিকার না হওয়ার।

আমরা Global Privacy Control (GPC) signals স্বয়ংক্রিয়ভাবে সম্মান করি; GPC header পাঠানো আপনার visit-কে এমনভাবে গণ্য করে যেন আপনি future analytics consent থেকে স্পষ্টভাবে opt out করেছেন।

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

কোনো security program perfect নয়। আপনি যদি মনে করেন FixVibe-এ vulnerability পেয়েছেন, অনুগ্রহ করে support@fixvibe.app-এ report করুন।

আমরা material changes করলে — নতুন sub-processors, data-এর নতুন categories, নতুন retention periods — উপরের date update করব এবং আপনাকে in-app notify করব। Minor wording fixes notification trigger করে না।

privacy@fixvibe.app — replies সাধারণত ৫ business days-এর মধ্যে, এবং GDPR Art. 12(3)-এর প্রয়োজনীয় ৩০ days-এর বেশি কখনও নয়।