ગોપનીયતા નીતિ

FixVibe EGO HERO LLC દ્વારા સંચાલિત છે (“અમે”, “અમને”), જે આ નીતિમાં વર્ણવાયેલા વ્યક્તિગત ડેટા માટે data controller છે. GDPR, UK GDPR, અથવા CCPA હેઠળની data subject વિનંતીઓ સહિત ગોપનીયતા પ્રશ્નો માટે privacy@fixvibe.app નો સંપર્ક કરો. અન્ય કોઈ પણ બાબત માટે support@fixvibe.app પર લખો.

• એકાઉન્ટ ડેટા

  ઇમેઇલ સરનામું, OAuth ઓળખકર્તા (જો તમે Google અથવા GitHub વડે સાઇન ઇન કરો), અને તમારા OAuth provider પાસેથી મળતું કોઈ નામ. તમને authenticate કરવા અને તમારા એકાઉન્ટ વિશે સંપર્ક કરવા માટે વપરાય છે. તમારું એકાઉન્ટ સક્રિય હોય ત્યાં સુધી રાખવામાં આવે છે. તમે એકાઉન્ટ કાઢી નાખો ત્યારે, જ્યાં અમારે રાખવું જરૂરી હોય તે સિવાય (ઉદાહરણ તરીકે tax law હેઠળ billing records), આ ડેટા 30 દિવસમાં દૂર થાય છે.

  કાયદેસર આધાર · કરારનું પાલન — Art. 6(1)(b) GDPR

• સ્કૅન લક્ષ્યો અને તારણો

  તમે સ્કૅન કરો તે URLs, અમે તે URLs ને કરીએ તે requests, અને અમે ઉત્પન્ન કરીએ તે findings. તે તમારી organization સામે સંગ્રહાય છે. અમે તમારા plan ની retention window કરતાં જૂના records આપમેળે કાઢી નાખીએ છીએ: 30 દિવસ (Hobby), 90 દિવસ (Pro), 365 દિવસ (Unlimited). તમે Account → Privacy માંથી કોઈ પણ સમયે તમારો scan history export અથવા delete કરી શકો છો.

  કાયદેસર આધાર · કરારનું પાલન — Art. 6(1)(b) GDPR

• અનામિક સ્કૅન સત્રો

  જો તમે સાઇન ઇન કર્યા વિના scan ચલાવો, તો અમે opaque random ID ધરાવતી HMAC-signed cookie (fixvibe_anon_session, 24-hour lifetime) જારી કરીએ છીએ. દાવો ન કરાયેલા anonymous scan records અમે 24 કલાક પછી આપમેળે કાઢી નાખીએ છીએ. જો તમે 24 કલાકની window માં sign up કરો, તો તમારો scan તમારા નવા account માં migrate થાય છે. Anonymous users sign up ન કરે ત્યાં સુધી તેઓ કોણ છે તે અમે જાણતા નથી.

  કાયદેસર આધાર · કઠોરપણે જરૂરી — ePrivacy Art. 5(3) exemption

• બિલિંગ ડેટા

  Stripe અમારો payment processor છે. તેઓ તમારા card details PCI-DSS infrastructure પર સંગ્રહે છે; અમે ફક્ત Stripe customer ID, subscription status, plan, period start/end, અને webhook events નો નાનો idempotency record રાખીએ છીએ. Stripe ની privacy notice stripe.com/privacy પર જુઓ.

  કાયદેસર આધાર · કરારનું પાલન — Art. 6(1)(b) GDPR

• Server logs અને audit logs

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  કાયદેસર આધાર · Legitimate interest — Art. 6(1)(f) GDPR

• GitHub integration (વૈકલ્પિક, ફક્ત Pro+)

  જો તમે Account → Integrations માંથી GitHub account connect કરો, તો અમે તમારી organization માટે encrypted OAuth access token, તમારું GitHub login + numeric user ID, અને granted scopes સંગ્રહીએ છીએ. Token નો ઉપયોગ ફક્ત તમે scan શરૂ કરો તે repositories વાંચવા માટે કરીએ છીએ. Source code દરેક scan માટે fetch થાય છે, memory માં process થાય છે, અને ફક્ત individual finding evidence જ persist થાય છે (full source dumps નહીં). Disconnect કર્યા પછી 30 દિવસમાં કાઢી નાખવામાં આવે છે.

  કાયદેસર આધાર · કરારનું પાલન / consent — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokens + MCP server (વૈકલ્પિક)

  Account → API tokens પર તમે બનાવો તે tokens SHA-256 hash તરીકે, ઓળખ માટે પ્રથમ 8 plaintext characters, તમે આપેલું નામ, અને created/last-used/revoked timestamps સાથે સંગ્રહાય છે. Plaintext તમને creation સમયે એક જ વાર બતાવવામાં આવે છે અને ક્યારેય persist થતું નથી. Tokens bearer credentials છે: જે કોઈ પાસે value હોય તે તમારા scans વાંચી શકે અને તમે revoke કરો ત્યાં સુધી નવા scans શરૂ કરી શકે. /api/mcp પરનો MCP server એ જ tokens વડે authenticated છે, dashboard દર્શાવતો એ જ data expose કરે છે, અને અલગ data category બનાવતો નથી.

  કાયદેસર આધાર · કરારનું પાલન — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  કાયદેસર આધાર · Performance of contract — Art. 6(1)(b) GDPR

• Live threat detection (વૈકલ્પિક, ફક્ત Unlimited)

  જો verified domain પર monitoring enabled હોય, તો અમે તે domain માટે certificate-transparency log entries, DNS records, અને threat-intel listings (Spamhaus DBL, URLhaus) સમયાંતરે capture કરીએ છીએ. આ snapshots માં તમે અમને scan કરવા અધિકૃત કરેલા hostnames અને public lookups ના public results હોય છે. તમારા end-users નો કોઈ personal data capture થતો નથી. 7 દિવસથી જૂના snapshots આપમેળે delete થાય છે; દરેક signal type માટે સૌથી તાજેતરનું baseline retained રહે છે.

  કાયદેસર આધાર · કરારનું પાલન — Art. 6(1)(b) GDPR

• નિયોજિત re-scans (વૈકલ્પિક, ફક્ત Pro+)

  જો તમે verified domain પર scheduled scans enable કરો, તો અમે cadence, last run time, next run time, અને schedule enable કરનાર user record કરીએ છીએ. દરેક cron-triggered scan domain પહેલી વાર verified થયો ત્યારે કરાયેલ authorization-to-scan attestation વારસામાં લે છે — દરેક run માટે ફરી attest કરવાની જરૂર નથી. Domains → Schedule પર કોઈ પણ સમયે disable કરો.

  કાયદેસર આધાર · કરારનું પાલન — Art. 6(1)(b) GDPR

• Analytics (વૈકલ્પિક, consent-gated)

  જો તમે analytics consent આપો અને તમે વાપરો તે deployment માટે analytics configured હોય, તો અમે anonymous usage record કરવા privacy-respecting product-analytics provider (અમારા પોતાના domain મારફતે proxied) નો ઉપયોગ કરીએ છીએ — કયા buttons click થાય છે, લોકો કયા checks ચલાવે છે, funnel માં users ક્યાં drop off થાય છે. તમે scan કરો તે URLs, evidence content, અથવા personal data અમે analytics events માં મૂકતા નથી. Cookie settings દ્વારા કોઈ પણ સમયે consent revoke કરો.

  કાયદેસર આધાર · Consent — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• પ્રમોશનલ ઓફર રિડેમ્પશન

  જ્યારે તમે પ્રોમો કોડ, આમંત્રણ લિંક, અથવા રેફરલ ક્રેડિટનો ઉપયોગ કરો છો, ત્યારે અમે કેમ્પેઇન કોડ, અમે આપેલી યોજના અને સમયગાળો, ટ્રાયલ શરૂ અને સમાપ્તિ ટાઇમસ્ટેમ્પ, ટ્રાયલ પહેલાં તમારી પાસે જે યોજના હતી, અને રિડેમ્પશન સમયે તમારા IP સરનામાંનો HMAC-SHA256 હેશ સંગ્રહિત કરીએ છીએ (અમે ક્યારેય કાચા IP ને સંગ્રહિત કરતા નથી — હેશ ફક્ત એટલા માટે અસ્તિત્વમાં છે કે અમે પ્રતિ-નેટવર્ક-એક-રિડેમ્પશન મર્યાદાને લાગુ કરી શકીએ, અને અંતર્ગત HMAC કીને ફેરવવાથી તમામ સંગ્રહિત હેશ કોઈને ખુલ્લા કર્યા વગર અમાન્ય થાય છે). એકાઉન્ટિંગ અને છેતરપિંડી-તપાસના હેતુઓ માટે કેમ્પેઇનના જીવનકાળ વત્તા 18 મહિના માટે જાળવી રાખવામાં આવે છે, પછી કેમ્પેઇન રેકોર્ડના બાકીના ભાગ સાથે કાઢી નાખવામાં આવે છે.

  કાયદેસર આધાર · કાનૂની હિત (છેતરપિંડી નિવારણ, એકાઉન્ટિંગ) — Art. 6(1)(f) GDPR

• સ્પર્ધાઓ, સ્વીપસ્ટેક, અને ચેલેન્જ

  જો તમે FixVibe ચેલેન્જમાં ભાગ લો છો (જેમ કે સુરક્ષા પ્રીફ્લાઇટ ચેલેન્જ), તો અમે તમે સબમિટ કરો છો તે સંપર્ક ઇમેઇલ (જરૂરી જેથી તમે જીતો તો અમે તમારો સંપર્ક કરી શકીએ), તમે વૈકલ્પિક રીતે પ્રદાન કરો છો તે Reddit અને Product Hunt યુઝરનેમ્સ, તમારી સ્કેન ID અને રૂટ ડોમેન, સ્વ-રિપોર્ટેડ પ્રોજેક્ટ પ્રકાર, સ્ટેક, અને તમે વૈકલ્પિક રીતે પ્રદાન કરો છો તે one-thing-I-learned ટેક્સ્ટ, તમે વૈકલ્પિક રીતે પસંદ કરો છો તે discovery-channel મૂલ્ય, અને તમે સ્વીકારો છો તે ત્રણ જરૂરી સંમતિ ચેકબોક્સ (અધિકૃતતા, નિયમો, સંપર્ક) સંગ્રહિત કરીએ છીએ. જો તમે અલગથી વૈકલ્પિક featured-on-marketing સંમતિ પર ટિક કરો છો, તો અમે તમારો જાહેર સ્કોર, રેટિંગ, સ્ટેક, યુઝરનેમ, અને સબમિટ કરેલું અવતરણ FixVibe હોમપેજ, ચેલેન્જ પૃષ્ઠ, અથવા રીકેપ પોસ્ટ પર પ્રદર્શિત કરી શકીએ છીએ — ક્યારેય કોઈ અન્ય ફીલ્ડ નહીં, અને તે ઓપ્ટ-ઇન વગર ક્યારેય નહીં. ચકાસણી અને વિવાદના હેતુઓ માટે ચેલેન્જ એન્ટ્રીઓ ચેલેન્જના જીવનકાળ વત્તા 18 મહિના માટે જાળવી રાખવામાં આવે છે. તમે privacy@fixvibe.app ને ઇમેઇલ કરીને કોઈપણ સમયે featured-on-marketing સંમતિ પાછી ખેંચી શકો છો; પાછી ખેંચવાથી પાછી ખેંચતા પહેલાંની કાનૂની પ્રક્રિયા પ્રભાવિત થતી નથી.

  કાયદેસર આધાર · કરારની કામગીરી (ચેલેન્જ ચલાવવી) અને સંમતિ (ફીચરિંગ) — Art. 6(1)(b) અને 6(1)(a) GDPR

• અમે તમારો data ક્યારેય વેચતા નથી.
• અમે third-party ad-tech, fingerprinting, અથવા session-replay scripts embed કરતા નથી.
• અમે તમારા scan target URLs અથવા finding evidence ને analytics properties માં મૂકતા નથી — તે data ફક્ત અમારી database માં રહે છે, row-level security વડે gated.
• અમે third parties ને તેમના પોતાના marketing માટે તમારો data share કરતા નથી.

FixVibe ચલાવવા માટે અમે નીચેના sub-processors પર આધાર રાખીએ છીએ:

• Vercel Inc. (USA) — application hosting અને edge network. Privacy notice: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. FixVibe production database AWS us-east-1 region માં છે. Privacy notice: supabase.com/privacy.
• Stripe Inc. (USA) — paid plans માટે payment processing. Privacy notice: stripe.com/privacy.
• Upstash, Inc. (USA, via the Vercel Marketplace) — Redis-backed rate limiting; ફક્ત short-lived IP-based counters સંગ્રહે છે. Privacy notice: upstash.com/privacy.
• PostHog Inc. (USA) — product analytics, ફક્ત તમે analytics consent આપો અને તમે વાપરો તે deployment માટે analytics configured હોય ત્યારે. Privacy notice: posthog.com/privacy.
• GitHub, Inc. (USA) — ફક્ત તમે વૈકલ્પિક GitHub integration connect કરો ત્યારે. તમે scan શરૂ કરો તે repositories વાંચવા માટે અમે GitHub API વાપરીએ છીએ. Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — transactional email delivery. અમે scan-completed, scheduled-scan, live-threat alert, અને weekly-digest emails મોકલીએ ત્યારે તમારું email address અને email body મેળવે છે. Resend operational purposes માટે delivery metadata (timestamps, status, bounce records) રાખે છે; અમે Resend મારફતે marketing email ક્યારેય મોકલતા નથી. Privacy notice: resend.com/legal/privacy-policy.

EEA/UK બહાર personal data ના transfers European Commission ના Standard Contractual Clauses (અથવા UK International Data Transfer Addendum) પર આધાર રાખે છે, અને નીચે “Security” માં વર્ણવેલા encryption-in-transit તથા encryption-at-rest measures વડે પૂરક બને છે.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR, UK GDPR, અને સમકક્ષ કાયદા (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act વગેરે) હેઠળ, તમને અધિકાર છે:

• તમારા data ની copy access કરવાનો (તમે આ Account → Privacy માંથી self-serve કરી શકો છો);
• તમારો data correct કરાવવાનો;
• તમારો data delete કરાવવાનો (self-serve પણ ઉપલબ્ધ);
• legitimate interests પર આધારિત processing સામે object કરવાનો;
• Cookie settings દ્વારા કોઈ પણ સમયે analytics માટે consent withdraw કરવાનો;
• data portability — તમારો export JSON માં છે;
• તમારી local supervisory authority (EU/UK/EEA) અથવા સમકક્ષ પાસે complaint lodge કરવાનો.

ચકાસી શકાય તેવી rights requests ને અમે 30 દિવસમાં respond કરીએ છીએ. Self-serve મારફતે પૂરી ન કરી શકાય તેવી requests (અમે expose ન કરેલા field ની rectification, restriction of processing, objection) માટે, subject line “Privacy request” સાથે support@fixvibe.app પર email કરો.

અમે તમારી personal information વેચતા નથી. અમે cross-context behavioral advertising માટે personal information share કરતા નથી. PostHog મારફતે analytics ફક્ત તમે અમારા cookie banner માં consent આપ્યા પછી ચાલે છે; તમે તે consent કોઈ પણ સમયે Cookie settings દ્વારા અથવા footer માં Your Privacy Choices click કરીને withdraw કરી શકો છો.

જો તમે California resident છો, તો તમને આ અધિકારો પણ છે:

• અમે કઈ personal information collect કરીએ છીએ, sources, purposes, અને અમે કયા third parties સાથે share કરીએ છીએ તે જાણવાનો (બધી વિગતો ઉપર છે);
• તમારી personal information delete કરવાની વિનંતી કરવાનો (Account → Privacy દ્વારા self-serve અથવા અમને email કરીને);
• અચોક્કસ personal information correct કરવાનો;
• sensitive personal information ના use અને disclosure ને limit કરવાનો — authentication credentials અને session metadata સિવાય અમે કંઈ collect કરતા નથી, અને બંને service આપવા જરૂરી છે;
• sale અથવા sharing માંથી opt out કરવાનો — લાગુ નથી કારણ કે અમે બંને કરતા નથી;
• ઉપરના કોઈ અધિકારનો ઉપયોગ કરવા બદલ discriminated against ન થવાનો.

અમે Global Privacy Control (GPC) signals આપમેળે honor કરીએ છીએ; GPC header મોકલવાથી તમારી visit એવી ગણાય છે કે તમે future analytics consent માંથી સ્પષ્ટ રીતે opted out કર્યું છે.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

કોઈ security program સંપૂર્ણ નથી. જો તમને લાગે કે તમે FixVibe માં vulnerability શોધી છે, તો કૃપા કરીને support@fixvibe.app પર report કરો.

જો અમે material changes કરીએ — નવા sub-processors, data ની નવી categories, નવા retention periods — તો ઉપરની date update કરી તમને in-app notify કરીશું. નાનાં wording fixes notification trigger કરતા નથી.

privacy@fixvibe.app — જવાબ સામાન્ય રીતે 5 business days માં, અને GDPR Art. 12(3) મુજબ જરૂરી 30 દિવસથી ક્યારેય વધુ નહીં.