FixVibe

// privacy

Poileasaidh Prìobhaideachd

air ùrachadh mu dheireadh · 2026-05-17

Cò sinn

Tha FixVibe air a ruith le EGO HERO LLC (“sinn”, “dhuinn”), an data controller airson an dàta phearsanta a tha air a mhìneachadh sa phoileasaidh seo. Airson ceistean prìobhaideachd, a’ gabhail a-steach iarrtasan data subject fo GDPR, UK GDPR, no CCPA, cuir fios gu privacy@fixvibe.app. Airson rud sam bith eile, sgrìobh gu support@fixvibe.app.

Na chruinnicheas sinn, carson, agus dè cho fada ’s a chumas sinn e

  • Dàta cunntais

    Seòladh post-d, OAuth identifier (ma chlàraicheas tu a-steach le Google no GitHub), agus ainm sam bith a gheibh sinn bhon OAuth provider agad. Cleachdar seo gus do dhearbhadh agus fios a chur thugad mun chunntas agad. Thèid a chumail fhad ’s a tha an cunntas agad gnìomhach. Nuair a sguabas tu às do chunntas, thèid an dàta seo a thoirt air falbh taobh a-staigh 30 latha, ach far a bheil againn ri a chumail (m.e., clàran billing fo lagh chìsean).

    bunait laghail · Coileanadh cùmhnaint — Art. 6(1)(b) GDPR

  • Targaidean scan agus toraidhean

    Na URLan a sganas tu, na h-iarrtasan a nì sinn gu na URLan sin, agus na toraidhean a chruthaicheas sinn. Thèid an stòradh an aghaidh na buidhne agad. Sguabaidh sinn às gu fèin-obrachail clàran nas sine na uinneag glèidhidh a’ phlana agad: 30 latha (Hobby), 90 latha (Pro), 365 latha (Unlimited). Faodaidh tu eachdraidh nan scan agad às-mhalairt no a sguabadh às uair sam bith bho Chunntas → Prìobhaideachd.

    bunait laghail · Coileanadh cùmhnaint — Art. 6(1)(b) GDPR

  • Seiseanan scan gun urra

    Ma ruitheas tu scan gun chlàradh a-steach, bheir sinn a-mach briosgaid air a soidhnigeadh le HMAC (fixvibe_anon_session, fad-beatha 24 uair) anns a bheil ID air thuaiream doilleir. Sguabaidh sinn às gu fèin-obrachail clàran scan gun urra nach deach a thagradh an dèidh 24 uair. Ma chlàraicheas tu taobh a-staigh na h-uinneige 24 uair, gluaisidh an scan agad dhan chunntas ùr agad. Chan eil fios againn cò iad luchd-cleachdaidh gun urra mura clàraich iad.

    bunait laghail · Gu teann riatanach — ePrivacy Art. 5(3) exemption

  • Dàta billing

    Is e Stripe am pròiseasaiche pàighidh againn. Bidh iadsan a’ stòradh mion-fhiosrachadh na cairt agad air bun-structar PCI-DSS; chan eil sinne a’ stòradh ach Stripe customer ID, inbhe fo-sgrìobhaidh, plana, toiseach/deireadh ùine, agus clàr beag idempotency de webhook events. Faic brath prìobhaideachd Stripe aig stripe.com/privacy.

    bunait laghail · Coileanadh cùmhnaint — Art. 6(1)(b) GDPR

  • Server logs agus audit logs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    bunait laghail · Ùidh dhligheach — Art. 6(1)(f) GDPR

  • GitHub integration (roghainneil, Pro+ a-mhàin)

    Ma cheanglas tu cunntas GitHub bho Chunntas → Integrations, stòraidh sinn OAuth access token crioptaichte airson na buidhne agad, do GitHub login + numeric user ID, agus na scopes a chaidh a thoirt seachad. Cleachdaidh sinn an token dìreach gus repositories a leughadh a thòisicheas tu scan nan aghaidh. Thèid source code a tharraing gach scan, a phròiseasadh ann an cuimhne, agus cha mhair ach fianais toradh fa leth (chan eil full source dumps ann). Air a sguabadh às taobh a-staigh 30 latha bho dhì-cheangal.

    bunait laghail · Coileanadh cùmhnaint / aonta — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (roghainneil)

    Thèid tokens a chruthaicheas tu aig Cunntas → API tokens a stòradh mar SHA-256 hash, a’ chiad 8 caractaran plaintext (airson aithneachadh), an t-ainm a shònraich thu, agus timestamps cruthachaidh/cleachdadh mu dheireadh/cùl-ghairm. Thèid am plaintext a shealltainn dhut dìreach aon turas nuair a chruthaichear e agus cha tèid a chumail gu bràth. Is e bearer credentials a th’ ann an tokens: faodaidh neach sam bith leis an luach na scan agad a leughadh agus feadhainn ùra a thòiseachadh gus an cùl-ghairm thu iad. Tha am MCP server aig /api/mcp air a dhearbhadh leis na h-aon tokens, nochdaidh e an aon dàta a bhiodh an dashboard a’ sealltainn, agus cha chruthaich e roinn dàta air leth.

    bunait laghail · Coileanadh cùmhnaint — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    bunait laghail · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (roghainneil, Unlimited a-mhàin)

    Ma tha monitoring agad air a chur an comas air domain dearbhte, bidh sinn bho àm gu àm a’ glacadh certificate-transparency log entries, DNS records, agus threat-intel listings (Spamhaus DBL, URLhaus) airson an domain sin. Tha na snapshots sin a’ gabhail a-steach hostnames a thug thu cead dhuinn a sganadh mu thràth agus toraidhean poblach bho public lookups. Cha tèid dàta pearsanta de d’end-users a ghlacadh. Thèid snapshots nas sine na 7 latha a sguabadh às gu fèin-obrachail; thèid am baseline as ùire a chumail a rèir signal type.

    bunait laghail · Coileanadh cùmhnaint — Art. 6(1)(b) GDPR

  • Ath-sganan clàraichte (roghainneil, Pro+ a-mhàin)

    Ma chuireas tu scheduled scans an comas air domain dearbhte, clàraidh sinn an cadence, àm an ruith mu dheireadh, àm an ath ruith, agus dè an cleachdaiche a chuir an clàr an comas. Oighrichidh gach scan air a bhrosnachadh le cron an authorization-to-scan attestation a chaidh a dhèanamh nuair a chaidh an domain a dhearbhadh an toiseach — cha dèan thu ath-attest gach ruith. Cuir à comas uair sam bith aig Domains → Schedule.

    bunait laghail · Coileanadh cùmhnaint — Art. 6(1)(b) GDPR

  • Analytics (roghainneil, fo smachd aonta)

    Ma bheir thu aonta analytics agus ma tha analytics againn air a rèiteachadh airson an deployment a tha thu a’ cleachdadh, cleachdaidh sinn solaraiche product-analytics a tha mothachail air prìobhaideachd (air a phroxy tro ar domain fhèin) gus cleachdadh gun urra a chlàradh — dè na putanan a bhriogar, dè na checks a ruitheas daoine, càite san funnel a dh’fhàgas luchd-cleachdaidh. Cha chuir sinn URLan a sganas tu, susbaint fianais, no dàta pearsanta ann an analytics events. Tarraing aonta air ais uair sam bith tro .

    bunait laghail · Aonta — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Tagradh tairgse àrd-mhalairt

    Nuair a thagras tu còd àrd-mhalairt, ceangal cuiridh, no creideas iomraidh, stòraidh sinn còd na h-iomairt, am plana agus an ùine a thug sinn seachad, stampaichean-ama tòiseachaidh agus crìochnachaidh na deuchainne, am plana a bha agad mus do thòisich an deuchainn, agus hash HMAC-SHA256 den t-seòladh IP agad aig àm an tagraidh (cha bhi sinn a-riamh a' stòradh an IP amh — chan eil an hash ann ach gus an cuir sinn an gnìomh crìochan aon-tagraidh gach lìonra, agus le bhith ag atharrachadh na h-iuchrach HMAC bunaiteach, bidh na h-uile hash air an stòradh neo-dhligheach gun a bhith a' nochdadh duine). Glèidhte airson beatha na h-iomairt cuide ri 18 mìosan airson adhbharan cunntasachd is sgrùdadh-foillse, an uairsin air a dhubhadh a-mach còmhla ris a' chòrr de chlàr na h-iomairt.

    bunait laghail · Ùidh dligheach (casg foill, cunntasachd) — Art. 6(1)(f) GDPR

  • Farpaisean, crannchur-fortain, agus dùbhlain

    Ma thèid thu a-steach do Dhùbhlan FixVibe (mar an Dùbhlan Ro-itealachd Tèarainteachd), stòraidh sinn am post-d conaltraidh a chuireas tu a-steach (a tha riatanach gus an ruig sinn thu ma bhuannaicheas tu), na h-ainmean-cleachdaiche Reddit agus Product Hunt a bheir thu seachad gu roghainneil, an Scan ID agus prìomh fhearann agad, an seòrsa pròiseact fèin-aithris, stack, agus an teacsa aon-rud-a-dh'ionnsaich-mi a bheir thu seachad gu roghainneil, an luach seanail-lorgaidh a roghnaicheas tu gu roghainneil, agus na trì bogsaichean cead riatanach a tha thu a' gabhail (ùghdarrachadh, riaghailtean, conaltradh). Ma chuireas tu cromag gu fa leth ris a' chead roghainneil air a nochdadh-air-margaidheachd, faodaidh sinn an sgòr poblach, an rangachadh, an stack, an t-ainm-cleachdaiche, agus am briathar a chuir thu a-steach a thaisbeanadh air duilleag-dachaigh FixVibe, duilleag an dùbhlain, no post ath-aithris — cha bhi gu bràth raon sam bith eile, agus cha bhi gu bràth gun an roghainn sin. Tha inntrigidhean Dùbhlain glèidhte airson beatha an Dùbhlain cuide ri 18 mìosan airson adhbharan dearbhaidh agus connspaid. Faodaidh tu an cead air a nochdadh-air-margaidheachd a tharraing air ais uair sam bith le post-d gu privacy@fixvibe.app; chan eil tarraing air ais a' toirt buaidh air pròiseasadh laghail ron tarraing air ais.

    bunait laghail · Coileanadh cùmhnant (a' ruith an Dùbhlain) agus cead (a' nochdadh) — Art. 6(1)(b) agus 6(1)(a) GDPR

Na rudan NACH cruinnich sinn

  • Cha reic sinn an dàta agad gu bràth.
  • Cha chuir sinn third-party ad-tech, fingerprinting, no session-replay scripts a-steach.
  • Cha chuir sinn na scan target URLs agad no fianais thoraidhean ann an analytics properties — chan eil an dàta sin ach anns an database againn, fo gheata row-level security.
  • Cha roinn sinn an dàta agad le treas-phàrtaidhean airson am marketing fhèin.

Sub-processors

Tha sinn an urra ris na Sub-processors a leanas gus FixVibe a ruith:

  • Vercel Inc. (USA) — application hosting agus edge network. Brath prìobhaideachd: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. Tha database production FixVibe ann an roinn AWS us-east-1. Brath prìobhaideachd: supabase.com/privacy.
  • Stripe Inc. (USA) — pròiseasadh pàighidh airson planaichean pàighte. Brath prìobhaideachd: stripe.com/privacy.
  • Upstash, Inc. (USA, via the Vercel Marketplace) — rate limiting le taic Redis; cha stòraich e ach counters stèidhichte air IP a mhaireas goirid. Brath prìobhaideachd: upstash.com/privacy.
  • PostHog Inc. (USA) — product analytics, dìreach ma bheir thu aonta analytics agus dìreach nuair a tha analytics air a rèiteachadh airson an deployment a tha thu a’ cleachdadh. Brath prìobhaideachd: posthog.com/privacy.
  • GitHub, Inc. (USA) — dìreach ma cheanglas tu an GitHub integration roghainneil. Cleachdaidh sinn API GitHub gus repositories a leughadh a thòisicheas tu scan nan aghaidh. Brath prìobhaideachd: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — lìbhrigeadh post-d transactionach. Gheibh e do sheòladh post-d agus corp a’ phuist-d nuair a chuireas sinn puist-d scan-completed, scheduled-scan, live-threat alert, agus weekly-digest. Cumaidh Resend delivery metadata (timestamps, status, bounce records) airson adhbharan obrachaidh; cha chuir sinn post-d marketing tro Resend gu bràth. Brath prìobhaideachd: resend.com/legal/privacy-policy.

Tha gluasadan dàta pearsanta taobh a-muigh an EEA/UK an urra ri Standard Contractual Clauses an European Commission (no International Data Transfer Addendum an UK), air an cur ris leis na ceumannan encryption-in-transit agus encryption-at-rest a tha air am mìneachadh ann an “Security” gu h-ìosal.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Na còraichean agad

Fo GDPR, UK GDPR, agus laghan co-ionann (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act etc.), tha còir agad:

  • cothrom fhaighinn air lethbhreac den dàta agad (faodaidh tu seo a dhèanamh tro fhèin-sheirbheis bho Cunntas → Prìobhaideachd);
  • an dàta agad a cheartachadh;
  • an dàta agad a sguabadh às (cuideachd tro fhèin-sheirbheis);
  • gearain an aghaidh processing stèidhichte air ùidhean dligheach;
  • aonta analytics a tharraing air ais uair sam bith tro ;
  • data portability — tha an às-mhalairt agad ann an JSON;
  • gearan a chur gu d’ùghdarras stiùiridh ionadail (EU/UK/EEA) no co-ionann.

Freagraidh sinn iarrtasan chòraichean dearbhte taobh a-staigh 30 latha. Airson iarrtasan nach urrainn dhuinn a riarachadh tro fhèin-sheirbheis (ceartachadh raoin nach nochd sinn, cuingealachadh processing, gearan), cuir post-d gu support@fixvibe.app leis an loidhne cuspair “Privacy request”.

Luchd-còmhnaidh California (CCPA / CPRA)

Cha reic sinn am fiosrachadh pearsanta agad. Cha roinn sinn fiosrachadh pearsanta airson cross-context behavioral advertising. Cha ruith analytics tro PostHog ach an dèidh dhut aonta a thoirt sa cookie banner againn; faodaidh tu an t-aonta sin a tharraing air ais uair sam bith tro no le bhith a’ briogadh Your Privacy Choices sa footer.

Mas e neach-còmhnaidh California a th’ annad, tha còir agad cuideachd:

  • fios a bhith agad dè am fiosrachadh pearsanta a chruinnicheas sinn, na tùsan, na h-adhbharan, agus treas-phàrtaidhean sam bith leis am bi sinn ga roinn (mionaideach gu h-àrd uile);
  • iarrtas a dhèanamh gun tèid am fiosrachadh pearsanta agad a sguabadh às (fèin-sheirbheis tro Chunntas → Prìobhaideachd no le post-d thugainn);
  • fiosrachadh pearsanta mearachdach a cheartachadh;
  • cleachdadh agus foillseachadh fiosrachadh pearsanta mothachail a chuingealachadh — chan eil sinn a’ cruinneachadh dad nas fhaide na authentication credentials agus session metadata, a tha le chèile riatanach gus an service a thoirt seachad;
  • tarraing a-mach à sale no sharing — chan eil sin buntainneach oir chan eil sinn a’ dèanamh gin dhiubh;
  • gun leth-bhreith fhulang airson gin de na còraichean gu h-àrd a chleachdadh.

Tha sinn a’ toirt urram gu fèin-obrachail do chomharran Global Privacy Control (GPC); ma chuirear GPC header, làimhsichear an tadhal agad mar gum biodh tu air tarraing a-mach gu soilleir à aonta analytics sam bith san àm ri teachd.

Tèarainteachd

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Chan eil prògram tèarainteachd sam bith foirfe. Ma tha thu a’ creidsinn gun do lorg thu vulnerability ann am FixVibe, feuch an aithris thu e gu support@fixvibe.app.

Atharrachaidhean air a’ phoileasaidh seo

Ma nì sinn atharrachaidhean stuthail — Sub-processors ùra, roinnean dàta ùra, amannan glèidhidh ùra — ùraichidh sinn an ceann-latha gu h-àrd agus cuiridh sinn fios thugad san app. Cha bhrosnaich ceartachaidhean beaga briathrachais fios.

Conaltradh

privacy@fixvibe.app — freagairtean mar as trice taobh a-staigh 5 làithean-obrach, agus cha bhi iad nas fhaide na 30 latha mar a tha GDPR Art. 12(3) ag iarraidh.

Poileasaidh Prìobhaideachd · FixVibe