FixVibe

// privacy

Polasaí Príobháideachais

nuashonraithe · 2026-05-17

Cé muid

Tá FixVibe á oibriú ag EGO HERO LLC (“muid”, “sinn”), an rialaitheoir sonraí do na sonraí pearsanta a thuairiscítear sa pholasaí seo. Le haghaidh ceisteanna príobháideachais, lena n-áirítear iarrataí ábhair sonraí faoi GDPR, UK GDPR, nó CCPA, déan teagmháil le privacy@fixvibe.app. Maidir le haon rud eile, scríobh chuig support@fixvibe.app.

Cad a bhailímid, cén fáth, agus cá fhad a choinnímid é

  • Sonraí cuntais

    Seoladh ríomhphoist, aitheantóir OAuth (má shíníonn tú isteach le Google nó GitHub), agus aon ainm a fhaighimid ó do sholáthraí OAuth. Úsáidtear iad chun thú a fhíordheimhniú agus chun teagmháil a dhéanamh leat faoi do chuntas. Coinnítear iad fad a bhíonn do chuntas gníomhach. Nuair a scriosann tú do chuntas, baintear na sonraí seo laistigh de 30 lá, ach amháin nuair a cheanglaítear orainn iad a choinneáil (mar shampla, taifid billing faoi dhlí cánach).

    bonn dleathach · Comhlíonadh conartha — Art. 6(1)(b) GDPR

  • Spriocanna scanadh agus torthaí

    Na URLanna a scanann tú, na hiarrataí a dhéanaimid chuig na URLanna sin, agus na torthaí a tháirgimid. Stóráiltear iad i gcoinne d’eagraíochta. Scriosaimid go huathoibríoch taifid atá níos sine ná fuinneog choinneála do phlean: 30 lá (Hobby), 90 lá (Pro), 365 lá (Unlimited). Is féidir leat do stair scanadh a easpórtáil nó a scriosadh am ar bith ó Cuntas → Príobháideachas.

    bonn dleathach · Comhlíonadh conartha — Art. 6(1)(b) GDPR

  • Seisiúin scanadh anaithnid

    Má ritheann tú scanadh gan síniú isteach, eisímid fianán sínithe HMAC (fixvibe_anon_session, saolré 24 uair an chloig) ina bhfuil ID randamach teimhneach. Scriosaimid go huathoibríoch taifid scanadh anaithnid neamhéilithe tar éis 24 uair an chloig. Má chláraíonn tú laistigh den fhuinneog 24 uair an chloig, aistríonn do scanadh isteach i do chuntas nua. Ní bhíonn a fhios againn cé hiad úsáideoirí anaithnide mura gcláraíonn siad.

    bonn dleathach · Riachtanach go docht — ePrivacy Art. 5(3) exemption

  • Sonraí billing

    Is é Stripe ár bpróiseálaí íocaíochta. Stórálann siad sonraí do chárta ar bhonneagar PCI-DSS; ní stórálaimid ach Stripe customer ID, stádas síntiúis, plean, tús/deireadh tréimhse, agus taifead beag idempotency d’imeachtaí webhook. Féach fógra príobháideachais Stripe ag stripe.com/privacy.

    bonn dleathach · Comhlíonadh conartha — Art. 6(1)(b) GDPR

  • Server logs agus audit logs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    bonn dleathach · Leas dlisteanach — Art. 6(1)(f) GDPR

  • Comhtháthú GitHub (roghnach, Pro+ amháin)

    Má nascann tú cuntas GitHub ó Cuntas → Integrations, stórálaimid OAuth access token criptithe do d’eagraíocht, do GitHub login + numeric user ID, agus na scopes a deonaíodh. Úsáidimid an token amháin chun repositories a léamh a dtionscnaíonn tú scananna ina gcoinne. Faightear source code in aghaidh an scanadh, próiseáiltear i gcuimhne é, agus ní mhaireann ach fianaise torthaí aonair (ní full source dumps). Scriostar é laistigh de 30 lá tar éis dícheangail.

    bonn dleathach · Comhlíonadh conartha / toiliú — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (roghnach)

    Stóráiltear tokens a chruthaíonn tú ag Cuntas → API tokens mar SHA-256 hash, na chéad 8 gcarachtar plaintext (le haghaidh aitheantais), an t-ainm a shann tú, agus timestamps cruthaithe/úsáide deireanaí/aisghairthe. Taispeántar an plaintext duit go díreach uair amháin ar chruthú agus ní mhaireann sé riamh. Is bearer credentials iad tokens: féadfaidh aon duine a bhfuil an luach aige do scananna a léamh agus cinn nua a thosú go dtí go n-aisghairfidh tú iad. Fíordheimhnítear an MCP server ag /api/mcp leis na tokens céanna, nochtann sé na sonraí céanna a nochtfadh an dashboard, agus ní chruthaíonn sé catagóir sonraí ar leith.

    bonn dleathach · Comhlíonadh conartha — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    bonn dleathach · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (roghnach, Unlimited amháin)

    Má tá monitoring cumasaithe agat ar fhearann fíoraithe, gabhaimid go tréimhsiúil certificate-transparency log entries, DNS records, agus threat-intel listings (Spamhaus DBL, URLhaus) don fhearann sin. Tá hostnames sna snapshots seo a d’údaraigh tú dúinn a scanadh cheana agus torthaí poiblí ó public lookups. Ní ghabhtar aon sonraí pearsanta de d’end-users. Scriostar snapshots níos sine ná 7 lá go huathoibríoch; coinnítear an baseline is déanaí de réir signal type.

    bonn dleathach · Comhlíonadh conartha — Art. 6(1)(b) GDPR

  • Ath-scananna sceidealaithe (roghnach, Pro+ amháin)

    Má chumasaíonn tú scheduled scans ar fhearann fíoraithe, taifeadaimid an cadence, am an rith dheireanaigh, am an chéad rith eile, agus cén t-úsáideoir a chumasaigh an sceideal. Oidhreachtann gach scanadh a spreagtar le cron an authorization-to-scan attestation a rinneadh nuair a fíoraíodh an fearann den chéad uair — ní dhéanann tú athfhianú in aghaidh an rith. Díchumasaigh am ar bith ag Domains → Schedule.

    bonn dleathach · Comhlíonadh conartha — Art. 6(1)(b) GDPR

  • Analytics (roghnach, faoi réir toilithe)

    Má thugann tú toiliú analytics agus má tá analytics cumraithe againn don deployment atá á úsáid agat, úsáidimid soláthraí product-analytics a urramaíonn príobháideachas (seachfhreastailte trínár bhfearann féin) chun úsáid anaithnid a thaifeadadh — cé na cnaipí a chliceáiltear, cé na checks a ritheann daoine, cá háit sa funnel a scoireann úsáideoirí. Ní chuirimid URLanna a scanann tú, ábhar fianaise, ná sonraí pearsanta isteach in analytics events. Aisghair toiliú am ar bith trí .

    bonn dleathach · Toiliú — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Fuascailt tairisceana bolscaireachta

    Nuair a fhuasclaíonn tú cód bolscaireachta, nasc cuiridh, nó creidmheas atreoraithe, stóráilimid cód an fheachtais, an plean agus an fad a dheonaíomar, na stampaí ama tosaithe agus deiridh trialach, an plean a bhí agat roimh an triail, agus hais HMAC-SHA256 de do sheoladh IP ag am na fuascailte (ní stóráilimid an IP amh riamh — tá an hais ann ach amháin ionas gur féidir linn teorainneacha aon-fuascailte-in-aghaidh-an-líonra a fhorfheidhmiú, agus déanann rothlú na heochrach HMAC bhunúsach na haisí stóráilte go léir a chur ar neamhní gan duine ar bith a nochtadh). Coinnítear ar feadh saoil an fheachtais móide 18 mí chun críocha cuntasaíochta agus imscrúdaithe calaoise, ansin scriostar leis an gcuid eile de thaifead an fheachtais.

    bonn dleathach · Leas dlisteanach (cosc calaoise, cuntasaíocht) — Airt. 6(1)(f) GDPR

  • Comórtais, crannchuir, agus dúshláin

    Má iontrálann tú Dúshlán FixVibe (cosúil leis an Dúshlán Réamheitilte Slándála), stóráilimid an ríomhphost teagmhála a chuireann tú isteach (riachtanach ionas gur féidir linn teagmháil a dhéanamh leat má bhuann tú), na hainmneacha úsáideora Reddit agus Product Hunt a chuireann tú ar fáil go roghnach, do scan ID agus fréamhfhearann, an cineál tionscadail féin-thuairiscithe, cruach, agus téacs rud-amháin-a-d'fhoghlaim-mé a chuireann tú ar fáil go roghnach, an luach cainéal-aimsithe a roghnaíonn tú go roghnach, agus na trí bhosca toilithe riachtanacha a ghlacann tú (údarú, rialacha, teagmháil). Má thiceálann tú an toiliú roghnach léirithe-ar-mhargaíocht ar leithligh, féadfaimid do scór poiblí, rátáil, cruach, ainm úsáideora, agus athfhriotal a cuireadh isteach a thaispeáint ar leathanach baile FixVibe, ar an leathanach dúshláin, nó ar phostáil athchoimre — riamh aon réimse eile, agus riamh gan an roghnú-isteach sin. Coinnítear iontrálacha dúshláin ar feadh saoil an Dúshláin móide 18 mí chun críocha fíoraithe agus díospóide. Is féidir leat an toiliú léirithe-ar-mhargaíocht a tharraingt siar ag am ar bith trí ríomhphost a sheoladh chuig privacy@fixvibe.app; ní imríonn tarraingt siar tionchar ar phróiseáil dleathach roimh an tarraingt siar.

    bonn dleathach · Comhlíonadh conartha (an Dúshlán a reáchtáil) agus toiliú (léiriú) — Airt. 6(1)(b) agus 6(1)(a) GDPR

Cad NACH mbailímid

  • Ní dhíolaimid do chuid sonraí riamh.
  • Ní leabaímid third-party ad-tech, fingerprinting, ná session-replay scripts.
  • Ní chuirimid do scan target URLs ná fianaise torthaí isteach in analytics properties — ní mhaireann na sonraí sin ach inár mbunachar sonraí, faoi chosaint row-level security.
  • Ní roinnimid do chuid sonraí le tríú páirtithe dá margaíocht féin.

Sub-processors

Braitheann muid ar na Sub-processors seo a leanas chun FixVibe a rith:

  • Vercel Inc. (USA) — application hosting agus edge network. Fógra príobháideachais: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. Tá bunachar sonraí táirgeachta FixVibe i réigiún AWS us-east-1. Fógra príobháideachais: supabase.com/privacy.
  • Stripe Inc. (USA) — próiseáil íocaíochta do phleananna íoctha. Fógra príobháideachais: stripe.com/privacy.
  • Upstash, Inc. (USA, via the Vercel Marketplace) — rate limiting le tacaíocht Redis; ní stórálann sé ach counters gearrshaolacha bunaithe ar IP. Fógra príobháideachais: upstash.com/privacy.
  • PostHog Inc. (USA) — product analytics, ach amháin má thugann tú toiliú analytics agus ach amháin nuair atá analytics cumraithe don deployment atá á úsáid agat. Fógra príobháideachais: posthog.com/privacy.
  • GitHub, Inc. (USA) — ach amháin má nascann tú an comhtháthú roghnach GitHub. Úsáidimid API GitHub chun repositories a léamh a dtionscnaíonn tú scananna ina gcoinne. Fógra príobháideachais: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — seachadadh ríomhphoist transactionach. Faigheann sé do sheoladh ríomhphoist agus corp an ríomhphoist nuair a sheolaimid ríomhphoist scan-completed, scheduled-scan, live-threat alert, agus weekly-digest. Coinníonn Resend delivery metadata (timestamps, status, bounce records) chun críocha oibríochtúla; ní sheolaimid ríomhphost margaíochta trí Resend riamh. Fógra príobháideachais: resend.com/legal/privacy-policy.

Braitheann aistrithe sonraí pearsanta lasmuigh den EEA/UK ar Standard Contractual Clauses an European Commission (nó International Data Transfer Addendum an UK), agus iad forlíonta leis na bearta encryption-in-transit agus encryption-at-rest a thuairiscítear faoi “Security” thíos.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Do chearta

Faoi GDPR, UK GDPR, agus dlíthe coibhéiseacha (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act etc.), tá sé de cheart agat:

  • cóip de do chuid sonraí a rochtain (is féidir leat é seo a dhéanamh mar fhéinseirbhís ó Cuntas → Príobháideachas);
  • do chuid sonraí a cheartú;
  • do chuid sonraí a scriosadh (mar fhéinseirbhís freisin);
  • agóid a dhéanamh i gcoinne próiseáil bunaithe ar leasanna dlisteanacha;
  • toiliú analytics a tharraingt siar am ar bith trí ;
  • data portability — tá d’easpórtáil i JSON;
  • gearán a thaisceadh le d’údarás maoirseachta áitiúil (EU/UK/EEA) nó coibhéis.

Freagraímid d’iarrataí cearta infhíoraithe laistigh de 30 lá. Maidir le hiarrataí nach féidir linn a shásamh trí fhéinseirbhís (ceartú réimse nach nochtann muid, srianadh próiseála, agóid), seol ríomhphost chuig support@fixvibe.app leis an líne ábhair “Privacy request”.

Cónaitheoirí California (CCPA / CPRA)

Ní dhíolaimid d’fhaisnéis phearsanta. Ní roinnimid faisnéis phearsanta le haghaidh cross-context behavioral advertising. Ní ritheann analytics trí PostHog ach amháin tar éis duit toiliú a thabhairt inár cookie banner; is féidir leat an toiliú sin a tharraingt siar am ar bith trí nó trí chliceáil ar Your Privacy Choices sa footer.

Más cónaitheoir California thú, tá sé de cheart agat freisin:

  • a fháil amach cén fhaisnéis phearsanta a bhailímid, na foinsí, na críocha, agus aon tríú páirtithe lena roinnimid í (mionsonraithe thuas ar fad);
  • scriosadh d’fhaisnéise pearsanta a iarraidh (mar fhéinseirbhís trí Cuntas → Príobháideachas nó trí ríomhphost a chur chugainn);
  • faisnéis phearsanta mhíchruinn a cheartú;
  • úsáid agus nochtadh faisnéise pearsanta íogaire a theorannú — ní bhailímid aon rud thar authentication credentials agus session metadata, atá araon riachtanach chun an service a sholáthar;
  • diúltú do sale nó sharing — níl sé infheidhme mar ní dhéanaimid ceachtar acu;
  • gan idirdhealú a fhulaingt as aon cheann de na cearta thuas a fheidhmiú.

Urramaímid comharthaí Global Privacy Control (GPC) go huathoibríoch; má sheoltar GPC header, caitear le do chuairt amhail is dá mba gur dhiúltaigh tú go sainráite d’aon toiliú analytics amach anseo.

Slándáil

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Níl aon chlár slándála foirfe. Má chreideann tú gur aimsigh tú vulnerability in FixVibe, tuairiscigh é chuig support@fixvibe.app.

Athruithe ar an bpolasaí seo

Má dhéanaimid athruithe ábhartha — Sub-processors nua, catagóirí nua sonraí, tréimhsí coinneála nua — nuashonróimid an dáta thuas agus cuirfimid ar an eolas thú san aip. Ní spreagann ceartúcháin bheaga foclaíochta fógra.

Teagmháil

privacy@fixvibe.app — freagraí de ghnáth laistigh de 5 lá gnó, agus riamh níos faide ná 30 lá mar a éilíonn GDPR Art. 12(3).

Polasaí Príobháideachais · FixVibe