FixVibe

// preifatrwydd

Polisi Preifatrwydd

diweddarwyd ddiwethaf · 2026-05-17

Pwy ydym ni

Mae FixVibe yn cael ei weithredu gan EGO HERO LLC (“ni”, “ein”), y rheolwr data ar gyfer y data personol a ddisgrifir yn y polisi hwn. Ar gyfer cwestiynau preifatrwydd, gan gynnwys ceisiadau gwrthrych data o dan GDPR, UK GDPR neu CCPA, cysylltwch â privacy@fixvibe.app. Am unrhyw beth arall, ysgrifennwch at support@fixvibe.app.

Yr hyn rydym yn ei gasglu, pam, ac am ba hyd rydym yn ei gadw

  • Data cyfrif

    Cyfeiriad e-bost, dynodwr OAuth (os ydych yn mewngofnodi gyda Google neu GitHub), ac unrhyw enw rydym yn ei dderbyn gan eich darparwr OAuth. Caiff ei ddefnyddio i’ch dilysu ac i gysylltu â chi am eich cyfrif. Caiff ei gadw tra bo eich cyfrif yn weithredol. Pan fyddwch yn dileu eich cyfrif, caiff y data hwn ei ddileu o fewn 30 diwrnod, ac eithrio lle mae’n ofynnol i ni ei gadw (e.e., cofnodion bilio o dan gyfraith dreth).

    sail gyfreithiol · Cyflawni contract — Art. 6(1)(b) GDPR

  • Targedau sganio a chanfyddiadau

    Yr URLau rydych yn eu sganio, y ceisiadau rydym yn eu gwneud i’r URLau hynny, a’r canfyddiadau rydym yn eu cynhyrchu. Cânt eu storio yn erbyn eich sefydliad. Rydym yn dileu cofnodion sy’n hŷn na ffenestr gadw eich cynllun yn awtomatig: 30 diwrnod (Hobby), 90 diwrnod (Pro), 365 diwrnod (Unlimited). Gallwch allforio neu ddileu eich hanes sganio unrhyw bryd o Cyfrif → Preifatrwydd.

    sail gyfreithiol · Cyflawni contract — Art. 6(1)(b) GDPR

  • Sesiynau sganio dienw

    Os ydych yn rhedeg sgan heb fewngofnodi, rydym yn cyhoeddi cwci wedi’i lofnodi â HMAC (fixvibe_anon_session, oes 24 awr) sy’n dal ID hap opâg. Rydym yn dileu cofnodion sgan dienw heb eu hawlio yn awtomatig ar ôl 24 awr. Os byddwch yn cofrestru o fewn y ffenestr 24 awr, bydd eich sgan yn mudo i’ch cyfrif newydd. Nid ydym yn gwybod pwy yw defnyddwyr dienw oni bai eu bod yn cofrestru.

    sail gyfreithiol · Hollol angenrheidiol — eithriad ePrivacy Art. 5(3)

  • Data bilio

    Stripe yw ein prosesydd taliadau. Mae’n storio manylion eich cerdyn ar seilwaith PCI-DSS; dim ond ID cwsmer Stripe, statws tanysgrifiad, cynllun, dechrau/diwedd cyfnod, a chofnod bach o idempotency digwyddiadau webhook rydym yn eu storio. Gweler hysbysiad preifatrwydd Stripe yn stripe.com/privacy.

    sail gyfreithiol · Cyflawni contract — Art. 6(1)(b) GDPR

  • Logiau gweinydd a logiau archwilio

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    sail gyfreithiol · Buddiant cyfreithlon — Art. 6(1)(f) GDPR

  • Integreiddiad GitHub (dewisol, Pro+ yn unig)

    Os ydych yn cysylltu cyfrif GitHub o Cyfrif → Integreiddiadau, rydym yn storio token mynediad OAuth wedi’i amgryptio ar gyfer eich sefydliad, eich mewngofnod GitHub + ID defnyddiwr rhifol, a’r scopes a ganiatawyd. Defnyddiwn y token yn unig i ddarllen storfeydd rydych yn cychwyn sganiau yn eu herbyn. Caiff cod ffynhonnell ei nôl fesul sgan, ei brosesu yn y cof, a dim ond tystiolaeth canfyddiadau unigol a gedwir (dim dympiau cod ffynhonnell llawn). Caiff ei ddileu o fewn 30 diwrnod ar ôl datgysylltu.

    sail gyfreithiol · Cyflawni contract / caniatâd — Art. 6(1)(b) + 6(1)(a) GDPR

  • Tocynnau API + gweinydd MCP (dewisol)

    Mae tocynnau rydych yn eu creu yn Cyfrif → Tocynnau API yn cael eu storio fel hash SHA-256, y 8 nod testun plaen cyntaf (ar gyfer adnabod), yr enw a neilltuwyd gennych, ynghyd â stampiau amser creu/defnydd diwethaf/dirymu. Dangosir y testun plaen i chi yn union unwaith wrth ei greu ac ni chaiff byth ei gadw. Mae tocynnau yn gymwysterau bearer: gall unrhyw un sydd â’r gwerth ddarllen eich sganiau a dechrau rhai newydd nes i chi ddirymu. Mae’r gweinydd MCP yn /api/mcp yn cael ei ddilysu gan yr un tocynnau, yn datgelu’r un data ag y byddai’r dangosfwrdd, ac nid yw’n creu categori data ar wahân.

    sail gyfreithiol · Cyflawni contract — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    sail gyfreithiol · Performance of contract — Art. 6(1)(b) GDPR

  • Canfod bygythiadau byw (dewisol, Unlimited yn unig)

    Os oes gennych fonitro wedi’i alluogi ar barth wedi’i wirio, rydym yn cipio’n gyfnodol gofnodion log tryloywder tystysgrifau, cofnodion DNS, a rhestrau gwybodaeth bygythiadau (Spamhaus DBL, URLhaus) ar gyfer y parth hwnnw. Mae’r cipluniau hyn yn cynnwys enwau gwesteiwr rydych eisoes wedi ein hawdurdodi i’w sganio a chanlyniadau cyhoeddus ymholiadau cyhoeddus. Ni chaiff data personol eich defnyddwyr terfynol ei gipio. Caiff cipluniau sy’n hŷn na 7 diwrnod eu dileu’n awtomatig; cedwir y baseline mwyaf diweddar fesul math o signal.

    sail gyfreithiol · Cyflawni contract — Art. 6(1)(b) GDPR

  • Ail-sganiau wedi’u hamserlennu (dewisol, Pro+ yn unig)

    Os ydych yn galluogi sganiau wedi’u hamserlennu ar barth wedi’i wirio, rydym yn cofnodi’r cadence, amser y rhediad diwethaf, amser y rhediad nesaf, a pha ddefnyddiwr a alluogodd yr amserlen. Mae pob sgan a sbardunir gan cron yn etifeddu’r ardystiad awdurdodi-i-sganio a wnaed pan wiriodd y parth am y tro cyntaf — nid ydych yn ail-ardystio fesul rhediad. Analluogwch unrhyw bryd yn Parthau → Amserlen.

    sail gyfreithiol · Cyflawni contract — Art. 6(1)(b) GDPR

  • Dadansoddeg (dewisol, wedi’i gatiau gan ganiatâd)

    Os ydych yn rhoi caniatâd dadansoddeg ac mae gennym ddadansoddeg wedi’i ffurfweddu ar gyfer y deployment rydych yn ei ddefnyddio, rydym yn defnyddio darparwr dadansoddeg cynnyrch sy’n parchu preifatrwydd (wedi’i ddirprwyo drwy ein parth ein hunain) i gofnodi defnydd dienw — pa fotymau sy’n cael eu clicio, pa wiriadau mae pobl yn eu rhedeg, ble yn y funnel mae defnyddwyr yn gadael. Nid ydym yn rhoi URLau rydych yn eu sganio, cynnwys tystiolaeth, na data personol mewn digwyddiadau dadansoddeg. Tynnwch ganiatâd yn ôl unrhyw bryd drwy .

    sail gyfreithiol · Caniatâd — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Adferiad cynnig hyrwyddo

    Pan fyddwch yn adfer cod hyrwyddo, dolen wahodd, neu gredyd atgyfeirio, rydym yn storio cod yr ymgyrch, y cynllun a'r cyfnod a roesom, stampiau amser dechrau a gorffen y treial, y cynllun a oedd gennych cyn y treial, a hash HMAC-SHA256 o'ch cyfeiriad IP ar adeg yr adferiad (dydyn ni byth yn storio'r IP amrwd — mae'r hash yn bodoli'n unig fel y gallwn orfodi terfynau un-adferiad-fesul-rhwydwaith, ac mae cylchdroi'r allwedd HMAC sylfaenol yn annilysu pob hash a storir heb ddatgelu unrhyw un). Cedwir am oes yr ymgyrch ynghyd ag 18 mis at ddibenion cyfrifyddu ac ymchwilio i dwyll, yna fe'i dilëir gyda gweddill cofnod yr ymgyrch.

    sail gyfreithiol · Diddordeb cyfreithlon (atal twyll, cyfrifyddu) — Erthygl 6(1)(f) GDPR

  • Cystadlaethau, ymrasys ffortiwn, a heriau

    Os byddwch yn cofrestru i Her FixVibe (megis Her Cyn-Hediad Diogelwch), rydym yn storio'r e-bost cyswllt rydych yn ei gyflwyno (gofynnol fel y gallwn ni gysylltu â chi os byddwch yn ennill), yr enwau defnyddiwr Reddit a Product Hunt rydych yn eu darparu'n ddewisol, eich Scan ID a pharth gwraidd, y math o brosiect, stac, ac un peth a ddysgais hunan-adroddedig rydych yn eu darparu'n ddewisol, y gwerth sianel-darganfod rydych yn ei ddewis yn ddewisol, a'r tri blwch ticio caniatâd gofynnol rydych yn eu derbyn (awdurdodiad, rheolau, cyswllt). Os ydych ar wahân yn ticio'r caniatâd arddangos-ar-farchnata dewisol, efallai y byddwn yn arddangos eich sgôr cyhoeddus, sgôr, stac, enw defnyddiwr, a dyfynbris a gyflwynwyd ar hafan FixVibe, tudalen yr her, neu bostiad crynhoad — byth unrhyw faes arall, a byth heb yr opt-in hwnnw. Cedwir cofnodion her am oes yr Her ynghyd ag 18 mis at ddibenion gwirio ac anghydfod. Gallwch dynnu'n ôl y caniatâd arddangos-ar-farchnata ar unrhyw adeg drwy e-bostio privacy@fixvibe.app; nid yw tynnu'n ôl yn effeithio ar brosesu cyfreithlon cyn y tynnu'n ôl.

    sail gyfreithiol · Cyflawni contract (rhedeg yr Her) a chaniatâd (arddangos) — Erthygl 6(1)(b) a 6(1)(a) GDPR

Yr hyn NAD YDYM yn ei gasglu

  • Nid ydym byth yn gwerthu eich data.
  • Nid ydym yn mewnosod ad-tech trydydd parti, fingerprinting, na sgriptiau ailchwarae sesiwn.
  • Nid ydym yn rhoi URLau targedau eich sganiau na thystiolaeth canfyddiadau mewn priodweddau dadansoddeg — mae’r data hwnnw’n byw yn ein cronfa ddata yn unig, wedi’i gatiau gan ddiogelwch lefel rhes.
  • Nid ydym yn rhannu eich data â thrydydd partïon ar gyfer eu marchnata eu hunain.

Is-broseswyr

Rydym yn dibynnu ar yr is-broseswyr canlynol i redeg FixVibe:

  • Vercel Inc. (USA) — lletya cymhwysiad a rhwydwaith edge. Hysbysiad preifatrwydd: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — cronfa ddata Postgres, dilysu, storio ffeiliau, Realtime. Mae cronfa ddata cynhyrchu FixVibe yn rhanbarth AWS us-east-1. Hysbysiad preifatrwydd: supabase.com/privacy.
  • Stripe Inc. (USA) — prosesu taliadau ar gyfer cynlluniau taledig. Hysbysiad preifatrwydd: stripe.com/privacy.
  • Upstash, Inc. (USA, drwy Vercel Marketplace) — cyfyngu cyfradd wedi’i gefnogi gan Redis; yn storio cownteri byrhoedlog seiliedig ar IP yn unig. Hysbysiad preifatrwydd: upstash.com/privacy.
  • PostHog Inc. (USA) — dadansoddeg cynnyrch, dim ond os ydych yn rhoi caniatâd dadansoddeg a dim ond pan fo dadansoddeg wedi’i ffurfweddu ar gyfer y deployment rydych yn ei ddefnyddio. Hysbysiad preifatrwydd: posthog.com/privacy.
  • GitHub, Inc. (USA) — dim ond os ydych yn cysylltu’r integreiddiad GitHub dewisol. Rydym yn defnyddio API GitHub i ddarllen storfeydd rydych yn cychwyn sganiau yn eu herbyn. Hysbysiad preifatrwydd: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — dosbarthu e-bost trafodion. Mae’n derbyn eich cyfeiriad e-bost a chorff yr e-bost pan fyddwn yn anfon e-byst sgan-wedi’i gwblhau, sgan-wedi’i amserlennu, rhybudd bygythiad byw, a chrynodeb wythnosol. Mae Resend yn cadw metadata dosbarthu (stampiau amser, statws, cofnodion bownsio) at ddibenion gweithredol; nid ydym byth yn anfon e-bost marchnata drwy Resend. Hysbysiad preifatrwydd: resend.com/legal/privacy-policy.

Mae trosglwyddiadau data personol y tu allan i’r EEA/UK yn dibynnu ar Standard Contractual Clauses y European Commission (neu International Data Transfer Addendum y UK), wedi’u hategu gan y mesurau amgryptio-mewn-trawsyrru ac amgryptio-wrth-orffwys a ddisgrifir yn “Diogelwch” isod.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Eich hawliau

O dan GDPR, UK GDPR, a chyfreithiau cyfwerth (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act, ac ati), mae gennych hawl i:

  • gael mynediad at gopi o’ch data (gallwch wneud hyn yn hunangwasanaeth o Cyfrif → Preifatrwydd);
  • gael eich data wedi’i gywiro;
  • gael eich data wedi’i ddileu (hefyd yn hunangwasanaeth);
  • gwrthwynebu prosesu ar sail buddiannau cyfreithlon;
  • tynnu caniatâd ar gyfer dadansoddeg yn ôl unrhyw bryd drwy ;
  • cludadwyedd data — mae eich allforiad yn JSON;
  • cyflwyno cwyn i’ch awdurdod goruchwylio lleol (EU/UK/EEA) neu gyfwerth.

Rydym yn ymateb i geisiadau hawliau gwiriadwy o fewn 30 diwrnod. Ar gyfer ceisiadau na allwn eu bodloni drwy hunangwasanaeth (cywiro maes nad ydym yn ei ddatgelu, cyfyngu prosesu, gwrthwynebiad), e-bostiwch support@fixvibe.app gyda’r llinell bwnc “Cais preifatrwydd”.

Trigolion California (CCPA / CPRA)

Nid ydym yn gwerthu eich gwybodaeth bersonol. Nid ydym yn rhannu gwybodaeth bersonol ar gyfer hysbysebu ymddygiadol traws-gyd-destun. Dim ond ar ôl i chi roi caniatâd yn ein baner cwcis y mae dadansoddeg drwy PostHog yn rhedeg; gallwch dynnu’r caniatâd hwnnw yn ôl unrhyw bryd drwy neu drwy glicio Eich Dewisiadau Preifatrwydd yn y troedyn.

Os ydych yn breswylydd California, mae gennych hefyd hawl i:

  • wybod pa wybodaeth bersonol rydym yn ei chasglu, y ffynonellau, y dibenion, ac unrhyw drydydd partïon rydym yn ei rhannu â nhw (pob un wedi’i fanylu uchod);
  • ofyn am ddileu eich gwybodaeth bersonol (hunangwasanaeth drwy Cyfrif → Preifatrwydd neu drwy e-bostio atom);
  • gywiro gwybodaeth bersonol anghywir;
  • gyfyngu ar ddefnyddio a datgelu gwybodaeth bersonol sensitif — nid ydym yn casglu dim y tu hwnt i gymwysterau dilysu a metadata sesiwn, sydd ill dau yn ofynnol i ddarparu’r gwasanaeth;
  • optio allan o werthu neu rannu — nid yw’n berthnasol gan nad ydym yn gwneud y naill na’r llall;
  • beidio â chael eich gwahaniaethu yn eich erbyn am arfer unrhyw un o’r uchod.

Rydym yn anrhydeddu signalau Global Privacy Control (GPC) yn awtomatig; mae anfon pennyn GPC yn trin eich ymweliad fel pe baech wedi optio allan yn benodol o unrhyw ganiatâd dadansoddeg yn y dyfodol.

Diogelwch

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Nid oes unrhyw raglen ddiogelwch yn berffaith. Os ydych yn credu eich bod wedi dod o hyd i wendid yn FixVibe, rhowch wybod amdano i support@fixvibe.app.

Newidiadau i’r polisi hwn

Os gwnawn newidiadau sylweddol — is-broseswyr newydd, categorïau data newydd, cyfnodau cadw newydd — byddwn yn diweddaru’r dyddiad uchod ac yn eich hysbysu yn yr ap. Nid yw mân gywiriadau geiriad yn sbarduno hysbysiad.

Cyswllt

privacy@fixvibe.app — mae atebion fel arfer o fewn 5 diwrnod busnes, byth yn hwy na 30 diwrnod fel sy’n ofynnol gan GDPR Art. 12(3).

Polisi Preifatrwydd · FixVibe