FixVibe

// privacy

سیاست حفظ حریم خصوصی

آخرین به‌روزرسانی · 2026-05-17

ما که هستیم

FixVibe توسط EGO HERO LLC (“ما”، “به ما”) اداره می‌شود؛ کنترلر داده برای داده‌های شخصی توصیف‌شده در این سیاست. برای پرسش‌های حریم خصوصی، از جمله درخواست‌های صاحب داده تحت GDPR، UK GDPR یا CCPA، با privacy@fixvibe.app تماس بگیرید. برای هر موضوع دیگر، به support@fixvibe.app بنویسید.

چه چیزهایی جمع‌آوری می‌کنیم، چرا، و چه مدت نگه می‌داریم

  • داده‌های حساب

    نشانی ایمیل، شناسه OAuth اگر با Google یا GitHub وارد شوید، و هر نامی که از ارائه‌دهنده OAuth شما دریافت کنیم. برای احراز هویت شما و تماس با شما درباره حسابتان استفاده می‌شود. تا زمانی که حساب شما فعال است نگهداری می‌شود. وقتی حساب خود را حذف می‌کنید، این داده‌ها ظرف 30 روز حذف می‌شوند، مگر در مواردی که ملزم به نگهداری آن‌ها باشیم، مانند سوابق صورتحساب طبق قانون مالیات.

    مبنای قانونی · اجرای قرارداد — Art. 6(1)(b) GDPR

  • اهداف اسکن و یافته‌ها

    آدرس‌های URL که اسکن می‌کنید، درخواست‌هایی که ما به آن URLها می‌فرستیم، و یافته‌هایی که تولید می‌کنیم. این موارد در سازمان شما ذخیره می‌شوند. ما به‌طور خودکار سوابق قدیمی‌تر از پنجره نگهداشت طرح شما را حذف می‌کنیم: 30 روز (Hobby)، 90 روز (Pro)، 365 روز (Unlimited). شما می‌توانید هر زمان تاریخچه اسکن خود را از حساب → حریم خصوصی صادر یا حذف کنید.

    مبنای قانونی · اجرای قرارداد — Art. 6(1)(b) GDPR

  • نشست‌های اسکن ناشناس

    اگر بدون ورود اسکن اجرا کنید، ما یک کوکی امضاشده با HMAC به نام fixvibe_anon_session با عمر 24 ساعته صادر می‌کنیم که یک ID تصادفی مبهم را نگه می‌دارد. سوابق اسکن ناشناس مطالبه‌نشده را پس از 24 ساعت به‌طور خودکار حذف می‌کنیم. اگر در پنجره 24 ساعته ثبت‌نام کنید، اسکن شما به حساب جدیدتان منتقل می‌شود. ما نمی‌دانیم کاربران ناشناس چه کسانی هستند مگر اینکه ثبت‌نام کنند.

    مبنای قانونی · کاملاً ضروری — استثنای ePrivacy Art. 5(3)

  • داده‌های صورتحساب

    Stripe پردازشگر پرداخت ماست. آن‌ها جزئیات کارت شما را روی زیرساخت PCI-DSS ذخیره می‌کنند؛ ما فقط Stripe customer ID، وضعیت اشتراک، طرح، شروع و پایان دوره، و یک رکورد کوچک idempotency از رویدادهای webhook را ذخیره می‌کنیم. اعلامیه حریم خصوصی Stripe را در stripe.com/privacy ببینید.

    مبنای قانونی · اجرای قرارداد — Art. 6(1)(b) GDPR

  • لاگ‌های سرور و لاگ‌های حسابرسی

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    مبنای قانونی · منفعت مشروع — Art. 6(1)(f) GDPR

  • یکپارچه‌سازی GitHub، اختیاری، فقط Pro+

    اگر از حساب → یکپارچه‌سازی‌ها یک حساب GitHub متصل کنید، ما برای سازمان شما یک توکن دسترسی OAuth رمزنگاری‌شده، GitHub login و ID عددی کاربر شما، و scopes اعطاشده را ذخیره می‌کنیم. از توکن فقط برای خواندن repositories که شما اسکن آن‌ها را آغاز می‌کنید استفاده می‌کنیم. کد منبع برای هر اسکن دریافت می‌شود، در حافظه پردازش می‌شود، و فقط شواهد تک‌تک یافته‌ها پایدار می‌ماند؛ هیچ کپی کامل از کد منبع نگهداری نمی‌شود. ظرف 30 روز پس از قطع اتصال حذف می‌شود.

    مبنای قانونی · اجرای قرارداد / رضایت — Art. 6(1)(b) + 6(1)(a) GDPR

  • توکن‌های API + سرور MCP، اختیاری

    توکن‌هایی که در حساب → توکن‌های API ایجاد می‌کنید به‌صورت SHA-256 hash، 8 نویسه اول متن آشکار برای شناسایی، نامی که تعیین کرده‌اید، به‌علاوه مهرزمان‌های ایجاد، آخرین استفاده و لغو ذخیره می‌شوند. متن آشکار دقیقاً یک بار هنگام ایجاد به شما نشان داده می‌شود و هرگز نگهداری نمی‌شود. توکن‌ها اعتبارنامه‌های bearer هستند: هر کس مقدار را داشته باشد می‌تواند اسکن‌های شما را بخواند و تا زمانی که لغو کنید اسکن‌های جدید شروع کند. سرور MCP در /api/mcp با همان توکن‌ها احراز هویت می‌شود، همان داده‌هایی را نمایش می‌دهد که داشبورد نمایش می‌دهد، و دسته داده جداگانه‌ای ایجاد نمی‌کند.

    مبنای قانونی · اجرای قرارداد — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    مبنای قانونی · Performance of contract — Art. 6(1)(b) GDPR

  • تشخیص زنده تهدید، اختیاری، فقط Unlimited

    اگر پایش را روی یک دامنه تأییدشده فعال کرده باشید، ما به‌صورت دوره‌ای ورودی‌های certificate-transparency log، سوابق DNS، و فهرست‌های threat-intel (Spamhaus DBL، URLhaus) را برای آن دامنه ثبت می‌کنیم. این snapshots شامل hostnames است که قبلاً اجازه اسکن آن‌ها را به ما داده‌اید و نتایج عمومی جست‌وجوهای عمومی را در بر می‌گیرد. هیچ داده شخصی از کاربران نهایی شما ثبت نمی‌شود. snapshots قدیمی‌تر از 7 روز به‌طور خودکار حذف می‌شوند؛ جدیدترین baseline برای هر نوع سیگنال نگهداری می‌شود.

    مبنای قانونی · اجرای قرارداد — Art. 6(1)(b) GDPR

  • اسکن‌های مجدد زمان‌بندی‌شده، اختیاری، فقط Pro+

    اگر اسکن‌های زمان‌بندی‌شده را روی یک دامنه تأییدشده فعال کنید، ما تناوب، زمان آخرین اجرا، زمان اجرای بعدی، و کاربری را که زمان‌بندی را فعال کرده ثبت می‌کنیم. هر اسکن فعال‌شده توسط cron همان گواهی مجوز اسکن را به ارث می‌برد که هنگام نخستین تأیید دامنه داده شده بود — شما برای هر اجرا دوباره تأیید نمی‌کنید. هر زمان از دامنه‌ها → زمان‌بندی غیرفعال کنید.

    مبنای قانونی · اجرای قرارداد — Art. 6(1)(b) GDPR

  • تحلیل‌ها، اختیاری، وابسته به رضایت

    اگر رضایت تحلیل‌ها را بدهید و برای deployment مورد استفاده شما تحلیل‌ها را پیکربندی کرده باشیم، از یک ارائه‌دهنده product-analytics حریم‌خصوصی‌محور که از طریق دامنه خودمان proxy می‌شود برای ثبت استفاده ناشناس بهره می‌بریم — اینکه کدام دکمه‌ها کلیک می‌شوند، افراد کدام بررسی‌ها را اجرا می‌کنند، کاربران در کجای funnel ریزش می‌کنند. URLهایی که اسکن می‌کنید، محتوای شواهد، یا داده‌های شخصی را وارد رویدادهای analytics نمی‌کنیم. رضایت را هر زمان از طریق لغو کنید.

    مبنای قانونی · رضایت — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • دریافت پیشنهاد تبلیغاتی

    هنگامی که یک کد تبلیغاتی، لینک دعوت یا اعتبار ارجاع را دریافت می‌کنید، ما کد کمپین، پلن و مدتی که اعطا کردیم، زمان‌های شروع و پایان نسخه آزمایشی، پلنی که قبل از نسخه آزمایشی داشتید، و یک هش HMAC-SHA256 از آدرس IP شما در زمان دریافت را ذخیره می‌کنیم (ما هرگز IP خام را ذخیره نمی‌کنیم — هش فقط برای این وجود دارد که بتوانیم محدودیت یک‌دریافت-به-ازای-هر-شبکه را اعمال کنیم، و چرخش کلید HMAC زیربنایی تمام هش‌های ذخیره‌شده را بدون افشای هیچ‌کس باطل می‌کند). برای مدت عمر کمپین به‌علاوه ۱۸ ماه برای حسابداری و اهداف بررسی تقلب نگه‌داری می‌شود، سپس با بقیه سابقه کمپین حذف می‌شود.

    مبنای قانونی · منافع مشروع (پیشگیری از تقلب، حسابداری) — ماده ۶(۱)(و) GDPR

  • مسابقات، قرعه‌کشی‌ها و چالش‌ها

    اگر در یک چالش FixVibe (مانند چالش پیش‌پرواز امنیتی) شرکت می‌کنید، ما ایمیل تماسی که ارسال می‌کنید (الزامی است تا در صورت برنده شدن بتوانیم با شما تماس بگیریم)، نام‌های کاربری Reddit و Product Hunt که اختیاراً ارائه می‌دهید، Scan ID و دامنه ریشه شما، نوع پروژه، استک و متن «یک چیزی که آموختم» که اختیاراً ارائه می‌دهید، مقدار کانال کشف که اختیاراً انتخاب می‌کنید، و سه چک‌باکس رضایت الزامی که می‌پذیرید (مجوز، قوانین، تماس) را ذخیره می‌کنیم. اگر جداگانه رضایت اختیاری معرفی-در-بازاریابی را علامت بزنید، ممکن است امتیاز عمومی، رتبه‌بندی، استک، نام کاربری و نقل‌قول ارسالی شما را در صفحه اصلی FixVibe، صفحه چالش یا یک پست جمع‌بندی نمایش دهیم — هرگز هیچ فیلد دیگری، و هرگز بدون آن انتخاب. ورودی‌های چالش برای مدت عمر چالش به‌علاوه ۱۸ ماه برای اهداف تأیید و اختلاف نگه‌داری می‌شوند. می‌توانید رضایت معرفی-در-بازاریابی را هر زمان با ایمیل به privacy@fixvibe.app پس بگیرید؛ پس گرفتن بر پردازش قانونی قبل از پس گرفتن تأثیر نمی‌گذارد.

    مبنای قانونی · اجرای قرارداد (اجرای چالش) و رضایت (معرفی) — ماده ۶(۱)(ب) و ۶(۱)(الف) GDPR

چه چیزهایی را جمع‌آوری نمی‌کنیم

  • ما هرگز داده‌های شما را نمی‌فروشیم.
  • ما ad-tech شخص ثالث، fingerprinting یا اسکریپت‌های session-replay را جاسازی نمی‌کنیم.
  • URLهای هدف اسکن یا شواهد یافته‌های شما را وارد ویژگی‌های analytics نمی‌کنیم — آن داده‌ها فقط در پایگاه داده ما زندگی می‌کنند و با امنیت در سطح ردیف محافظت می‌شوند.
  • داده‌های شما را برای بازاریابی خود اشخاص ثالث با آن‌ها به اشتراک نمی‌گذاریم.

زیرپردازندگان

برای اجرای FixVibe به زیرپردازندگان زیر متکی هستیم:

  • Vercel Inc. (ایالات متحده) — میزبانی برنامه و edge network. اعلامیه حریم خصوصی: vercel.com/legal/privacy-policy.
  • Supabase Inc. (ایالات متحده) — پایگاه داده Postgres، احراز هویت، ذخیره فایل، Realtime. پایگاه داده تولیدی FixVibe در منطقه AWS us-east-1 قرار دارد. اعلامیه حریم خصوصی: supabase.com/privacy.
  • Stripe Inc. (ایالات متحده) — پردازش پرداخت برای طرح‌های پولی. اعلامیه حریم خصوصی: stripe.com/privacy.
  • Upstash, Inc. (ایالات متحده، از طریق Vercel Marketplace) — rate limiting مبتنی بر Redis؛ فقط شمارنده‌های کوتاه‌عمر مبتنی بر IP را ذخیره می‌کند. اعلامیه حریم خصوصی: upstash.com/privacy.
  • PostHog Inc. (ایالات متحده) — product analytics، فقط اگر رضایت تحلیل‌ها را بدهید و فقط وقتی تحلیل‌ها برای deployment مورد استفاده شما پیکربندی شده باشد. اعلامیه حریم خصوصی: posthog.com/privacy.
  • GitHub, Inc. (ایالات متحده) — فقط اگر یکپارچه‌سازی اختیاری GitHub را متصل کنید. ما از GitHub API برای خواندن repositories که اسکن آن‌ها را آغاز می‌کنید استفاده می‌کنیم. اعلامیه حریم خصوصی: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (ایالات متحده) — تحویل ایمیل‌های تراکنشی. وقتی ایمیل‌های تکمیل اسکن، اسکن زمان‌بندی‌شده، هشدار تهدید زنده، و خلاصه هفتگی را می‌فرستیم، نشانی ایمیل شما و متن ایمیل را دریافت می‌کند. Resend فراداده تحویل، مانند مهرزمان‌ها، وضعیت و سوابق bounce را برای اهداف عملیاتی نگه می‌دارد؛ ما هرگز از طریق Resend ایمیل بازاریابی نمی‌فرستیم. اعلامیه حریم خصوصی: resend.com/legal/privacy-policy.

انتقال داده‌های شخصی به خارج از EEA/UK بر بندهای قراردادی استاندارد کمیسیون اروپا یا UK International Data Transfer Addendum تکیه دارد، همراه با تدابیر رمزنگاری در انتقال و رمزنگاری در حالت سکون که در بخش “امنیت” در پایین شرح داده شده است.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

حقوق شما

تحت GDPR، UK GDPR و قوانین معادل (CCPA/CPRA، LGPD، PIPEDA، Australian Privacy Act و غیره)، شما حق دارید:

  • به نسخه‌ای از داده‌های خود دسترسی داشته باشید (می‌توانید این کار را به‌صورت self-serve از حساب → حریم خصوصی انجام دهید)؛
  • داده‌های خود را اصلاح کنید؛
  • داده‌های خود را حذف کنید (این هم self-serve است)؛
  • به پردازش مبتنی بر منافع مشروع اعتراض کنید؛
  • رضایت تحلیل‌ها را هر زمان از طریق پس بگیرید؛
  • قابلیت انتقال داده — خروجی شما در JSON است؛
  • شکایت خود را نزد مقام ناظر محلی (EU/UK/EEA) یا مرجع معادل ثبت کنید.

ما به درخواست‌های حقوق قابل راستی‌آزمایی ظرف 30 روز پاسخ می‌دهیم. برای درخواست‌هایی که نمی‌توانیم از طریق self-serve برآورده کنیم، مانند اصلاح فیلدی که نمایش نمی‌دهیم، محدودسازی پردازش یا اعتراض، با خط موضوع “درخواست حریم خصوصی” به support@fixvibe.app ایمیل بزنید.

ساکنان کالیفرنیا (CCPA / CPRA)

ما اطلاعات شخصی شما را نمی‌فروشیم. اطلاعات شخصی را برای تبلیغات رفتاری cross-context به اشتراک نمی‌گذاریم. تحلیل‌ها از طریق PostHog فقط پس از آن اجرا می‌شود که در نوار کوکی ما رضایت بدهید؛ می‌توانید هر زمان از طریق یا با کلیک روی انتخاب‌های حریم خصوصی شما در footer آن رضایت را پس بگیرید.

اگر ساکن کالیفرنیا هستید، همچنین حق دارید:

  • بدانید چه اطلاعات شخصی جمع‌آوری می‌کنیم، منابع، اهداف، و هر شخص ثالثی که با او به اشتراک می‌گذاریم، که همه در بالا توضیح داده شده است؛
  • درخواست حذف اطلاعات شخصی خود را بدهید، self-serve از طریق حساب → حریم خصوصی یا با ایمیل زدن به ما؛
  • اطلاعات شخصی نادرست را اصلاح کنید؛
  • استفاده و افشای اطلاعات شخصی حساس را محدود کنید — ما هیچ‌یک را فراتر از اعتبارنامه‌های احراز هویت و فراداده نشست جمع‌آوری نمی‌کنیم، و هر دو برای ارائه خدمت لازم‌اند؛
  • از فروش یا اشتراک‌گذاری خارج شوید — قابل اعمال نیست چون ما هیچ‌کدام را انجام نمی‌دهیم؛
  • به دلیل اعمال هر یک از موارد بالا مورد تبعیض قرار نگیرید.

ما سیگنال‌های Global Privacy Control (GPC) را به‌طور خودکار رعایت می‌کنیم؛ ارسال GPC header بازدید شما را طوری تلقی می‌کند که گویی صراحتاً از هر رضایت آینده برای تحلیل‌ها خارج شده‌اید.

امنیت

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

هیچ برنامه امنیتی کامل نیست. اگر باور دارید آسیب‌پذیری‌ای در FixVibe پیدا کرده‌اید، لطفاً آن را به support@fixvibe.app گزارش کنید.

تغییرات این سیاست

اگر تغییرات مادی ایجاد کنیم — زیرپردازندگان جدید، دسته‌های جدید داده، یا دوره‌های جدید نگهداشت — تاریخ بالا را به‌روزرسانی کرده و درون برنامه به شما اطلاع می‌دهیم. اصلاحات کوچک نگارشی اطلاع‌رسانی ایجاد نمی‌کنند.

تماس

privacy@fixvibe.app — پاسخ‌ها معمولاً ظرف 5 روز کاری، و هرگز طولانی‌تر از 30 روز مطابق GDPR Art. 12(3)، ارسال می‌شوند.

سیاست حفظ حریم خصوصی · FixVibe