Gaghtniutyan kaghakhakanutyvun

FixVibe ծառայությունը շահագործվում է EGO HERO LLC-ի կողմից (“մենք”, “մեզ”), որը այս քաղաքականությունում նկարագրված անձնական տվյալների տվյալների վերահսկիչն է։ Գաղտնիության հարցերի, ներառյալ GDPR, UK GDPR կամ CCPA-ի ներքո տվյալների սուբյեկտի հարցումների համար, կապվեք privacy@fixvibe.app-ով։ Մնացած բոլոր հարցերով գրեք support@fixvibe.app-ին։

• Հաշվի տվյալներ

  Էլ․ փոստի հասցե, OAuth identifier (եթե մուտք եք գործում Google-ի կամ GitHub-ի միջոցով) և ձեր OAuth provider-ից ստացված ցանկացած անուն։ Օգտագործվում է ձեզ նույնականացնելու և ձեր հաշվի մասին կապվելու համար։ Պահվում է, քանի դեռ ձեր հաշիվը ակտիվ է։ Երբ ջնջում եք ձեր հաշիվը, այս տվյալները հեռացվում են 30 օրվա ընթացքում, բացառությամբ այն դեպքերի, երբ պարտավոր ենք պահել դրանք (օրինակ՝ հարկային օրենքով պահանջվող billing records)։

  իրավական հիմք · Պայմանագրի կատարում — Art. 6(1)(b) GDPR

• Սկանավորման թիրախներ և հայտնաբերումներ

  Այն URL-ները, որոնք սկանավորում եք, այդ URL-ներին մեր կատարած հարցումները և մեր արտադրած findings-ը։ Դրանք պահվում են ձեր կազմակերպության հետ կապակցված։ Մենք ավտոմատ ջնջում ենք ձեր պլանի պահպանման պատուհանից ավելի հին records-ը՝ 30 օր (Hobby), 90 օր (Pro), 365 օր (Unlimited)։ Ցանկացած պահի կարող եք արտահանել կամ ջնջել ձեր սկանավորման պատմությունը Հաշիվ → Գաղտնիություն բաժնից։

  իրավական հիմք · Պայմանագրի կատարում — Art. 6(1)(b) GDPR

• Անանուն սկանավորման սեսիաներ

  Եթե սկան եք գործարկում առանց մուտք գործելու, մենք թողարկում ենք HMAC-signed cookie (fixvibe_anon_session, 24 ժամ ժամկետով), որը պահում է անթափանց պատահական ID։ Մենք ավտոմատ ջնջում ենք չպահանջված անանուն սկանավորման records-ը 24 ժամ հետո։ Եթե գրանցվում եք 24 ժամյա պատուհանում, ձեր սկանը տեղափոխվում է ձեր նոր հաշիվ։ Մենք չենք իմանում, թե ովքեր են անանուն users-ը, եթե նրանք չեն գրանցվում։

  իրավական հիմք · Խիստ անհրաժեշտ — ePrivacy Art. 5(3) բացառություն

• Billing տվյալներ

  Stripe-ը մեր payment processor-ն է։ Նրանք պահում են ձեր card details-ը PCI-DSS ենթակառուցվածքում․ մենք պահում ենք միայն Stripe customer ID, subscription status, plan, period start/end և webhook events-ի փոքր idempotency record։ Տեսեք Stripe-ի privacy notice-ը stripe.com/privacy հասցեում։

  իրավական հիմք · Պայմանագրի կատարում — Art. 6(1)(b) GDPR

• Սերվերի logs և audit logs

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  իրավական հիմք · Լեգիտիմ շահ — Art. 6(1)(f) GDPR

• GitHub ինտեգրում (ըստ ցանկության, միայն Pro+)

  Եթե GitHub account եք միացնում Հաշիվ → Ինտեգրումներ բաժնից, մենք ձեր կազմակերպության համար պահում ենք encrypted OAuth access token, ձեր GitHub login + numeric user ID և granted scopes-ը։ Token-ը օգտագործում ենք միայն այն repositories-ը կարդալու համար, որոնց դեմ դուք scans եք սկսում։ Source code-ը fetched է լինում յուրաքանչյուր սկանի համար, մշակվում է memory-ում, և պահպանվում է միայն individual finding evidence-ը (ոչ full source dumps)։ Անջատումից հետո ջնջվում է 30 օրվա ընթացքում։

  իրավական հիմք · Պայմանագրի կատարում / համաձայնություն — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokens + MCP server (ըստ ցանկության)

  Հաշիվ → API tokens բաժնում ստեղծած tokens-ը պահվում են որպես SHA-256 hash, առաջին 8 plaintext characters-ը (նույնականացման համար), ձեր նշանակած անունը, ինչպես նաև created/last-used/revoked timestamps-ը։ Plaintext-ը ստեղծման պահին ցուցադրվում է ձեզ ճիշտ մեկ անգամ և երբեք չի պահպանվում։ Tokens-ը bearer credentials են․ արժեքն ունեցող ցանկացած անձ կարող է կարդալ ձեր scans-ը և սկսել նորերը, մինչև դուք revoke անեք։ /api/mcp հասցեում MCP server-ը նույն tokens-ով է authenticated, ցուցադրում է նույն data-ն, ինչ dashboard-ը, և առանձին data category չի ստեղծում։

  իրավական հիմք · Պայմանագրի կատարում — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  իրավական հիմք · Performance of contract — Art. 6(1)(b) GDPR

• Կենդանի սպառնալիքների հայտնաբերում (ըստ ցանկության, միայն Unlimited)

  Եթե monitoring-ը միացված է verified domain-ի համար, մենք պարբերաբար capture ենք անում certificate-transparency log entries, DNS records և threat-intel listings (Spamhaus DBL, URLhaus) այդ domain-ի համար։ Այս snapshots-ը պարունակում են hostnames, որոնք դուք արդեն authorise եք արել մեզ scan անելու, և public lookups-ի public results-ը։ Ձեր end-users-ի personal data չի capture արվում։ 7 օրից հին snapshots-ը ավտոմատ ջնջվում են․ ամենավերջին baseline-ը պահվում է յուրաքանչյուր signal type-ի համար։

  իրավական հիմք · Պայմանագրի կատարում — Art. 6(1)(b) GDPR

• Պլանավորված վերասկանումներ (ըստ ցանկության, միայն Pro+)

  Եթե verified domain-ի համար scheduled scans եք միացնում, մենք գրանցում ենք cadence-ը, last run time-ը, next run time-ը և այն user-ին, ով միացրել է schedule-ը։ Յուրաքանչյուր cron-triggered scan ժառանգում է authorization-to-scan attestation-ը, որը տրվել է domain-ի առաջին verification-ի ժամանակ — յուրաքանչյուր run-ի համար նորից attest չեք անում։ Անջատեք ցանկացած պահի Domains → Schedule բաժնում։

  իրավական հիմք · Պայմանագրի կատարում — Art. 6(1)(b) GDPR

• Analytics (ըստ ցանկության, consent-gated)

  Եթե analytics consent եք տալիս և ձեր օգտագործած deployment-ի համար analytics configured է, մենք օգտագործում ենք privacy-respecting product-analytics provider (proxied մեր սեփական domain-ով)՝ անանուն usage գրանցելու համար — որ buttons-ն են clicked, որ checks-ն են մարդիկ run անում, funnel-ում որտեղ են users drop off լինում։ Մենք ձեր scan արած URLs-ը, evidence content-ը կամ personal data-ն չենք դնում analytics events-ում։ Ցանկացած պահի հետ կանչեք համաձայնությունը Cookie կարգավորումներ-ով։

  իրավական հիմք · Համաձայնություն — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Ակցիոն առաջարկի ստացում

  Երբ դուք ստանում եք պրոմո կոդ, հրավերի հղում կամ ուղեկից վարկ, մենք պահում ենք արշավի կոդը, պլանը և տևողությունը, որը մենք տրամադրել ենք, փորձարկման մեկնարկի և ավարտի ժամանակադրոշմները, փորձարկումից առաջ ձեր ունեցած պլանը, և ստացման պահին ձեր IP հասցեի HMAC-SHA256 հեշը (մենք երբեք չենք պահում հում IP — հեշը գոյություն ունի միայն որպեսզի մենք կարողանանք կիրառել մեկ-ստացում-մեկ-ցանց սահմանափակումներ, և ընդհանուր HMAC բանալին պտտելը անվավեր է դարձնում բոլոր պահված հեշերը՝ առանց որևէ մեկին բացահայտելու)։ Պահվում է արշավի կյանքի ընթացքում գումարած 18 ամիս՝ հաշվապահական և խարդախության հետաքննության նպատակներով, այնուհետև ջնջվում է արշավի գրառման մնացած մասի հետ։

  իրավական հիմք · Օրինական հետաքրքրություն (խարդախության կանխում, հաշվապահություն) — Art. 6(1)(f) GDPR

• Մրցույթներ, վիճակահանություններ և մարտահրավերներ

  Եթե դուք մուտք եք գործում FixVibe Մարտահրավեր (օրինակ՝ Անվտանգության նախաթռիչքային մարտահրավեր), մենք պահում ենք ձեր ներկայացրած կոնտակտային էլ. փոստը (պահանջվում է, որպեսզի մենք կարողանանք կապվել ձեզ հետ, եթե հաղթեք), Reddit-ի և Product Hunt-ի օգտանունները, որոնք դուք ընտրովի կերպով տրամադրում եք, ձեր scan ID-ն և արմատային տիրույթը, ինքնահայտնաբերված նախագծի տեսակը, ստեկը և մեկ-բան-որ-սովորեցի տեքստը, որը դուք ընտրովի կերպով տրամադրում եք, ընտրովի կերպով ընտրած հայտնաբերման-ալիքի արժեքը, և երեք պահանջվող համաձայնության վանդակները, որոնք դուք ընդունում եք (լիազորում, կանոններ, կապ)։ Եթե դուք առանձին նշում եք ընտրովի մարքեթինգում-ցուցադրման համաձայնությունը, մենք կարող ենք ցուցադրել ձեր հանրային միավորը, վարկանիշը, ստեկը, օգտանունը և ներկայացված մեջբերումը FixVibe-ի գլխավոր էջում, մարտահրավերի էջում կամ ամփոփ գրառման մեջ — երբեք ոչ մի այլ դաշտ, և երբեք առանց այդ թույլտվության։ Մարտահրավերի մուտքերը պահվում են Մարտահրավերի կյանքի ընթացքում գումարած 18 ամիս՝ հաստատման և վեճի նպատակներով։ Դուք կարող եք հետ վերցնել մարքեթինգում-ցուցադրման համաձայնությունը ցանկացած ժամանակ՝ ուղարկելով էլ. փոստ privacy@fixvibe.app; հետկանչումը չի ազդում մինչ այդ իրականացված օրինական մշակման վրա։

  իրավական հիմք · Պայմանագրի կատարում (Մարտահրավերի անցկացում) և համաձայնություն (ցուցադրում) — Art. 6(1)(b) և 6(1)(a) GDPR

• Մենք երբեք չենք վաճառում ձեր data-ն։
• Մենք չենք ներկառուցում third-party ad-tech, fingerprinting կամ session-replay scripts։
• Մենք ձեր scan target URLs-ը կամ finding evidence-ը չենք դնում analytics properties-ում — այդ data-ն ապրում է միայն մեր database-ում՝ row-level security-ով սահմանափակված։
• Մենք ձեր data-ն չենք կիսում third parties-ի հետ նրանց սեփական marketing-ի համար։

FixVibe-ը գործարկելու համար մենք հենվում ենք հետևյալ sub-processors-ի վրա․

• Vercel Inc. (USA) — application hosting և edge network։ Privacy notice: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime։ FixVibe production database-ը գտնվում է AWS us-east-1 region-ում։ Privacy notice: supabase.com/privacy.
• Stripe Inc. (USA) — payment processing paid plans-ի համար։ Privacy notice: stripe.com/privacy.
• Upstash, Inc. (USA, Vercel Marketplace-ի միջոցով) — Redis-backed rate limiting․ պահում է միայն short-lived IP-based counters։ Privacy notice: upstash.com/privacy.
• PostHog Inc. (USA) — product analytics, միայն եթե analytics consent եք տալիս և միայն երբ analytics-ը configured է ձեր օգտագործած deployment-ի համար։ Privacy notice: posthog.com/privacy.
• GitHub, Inc. (USA) — միայն եթե միացնում եք optional GitHub integration-ը։ Մենք օգտագործում ենք GitHub's API-ը ձեր սկսած scans-ի repositories-ը կարդալու համար։ Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — transactional email delivery։ Ստանում է ձեր email address-ը և email body-ն, երբ ուղարկում ենք scan-completed, scheduled-scan, live-threat alert և weekly-digest emails։ Resend-ը operational purposes-ի համար պահում է delivery metadata (timestamps, status, bounce records)․ մենք երբեք marketing email չենք ուղարկում Resend-ով։ Privacy notice: resend.com/legal/privacy-policy.

EEA/UK-ից դուրս personal data-ի transfers-ը հիմնվում են European Commission's Standard Contractual Clauses-ի (կամ UK's International Data Transfer Addendum-ի) վրա՝ լրացված ստորև “Անվտանգություն” բաժնում նկարագրված encryption-in-transit և encryption-at-rest միջոցներով։

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR, UK GDPR և համարժեք օրենքների (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act և այլն) ներքո դուք իրավունք ունեք՝

• մուտք ստանալու ձեր data-ի պատճենին (կարող եք դա self-serve անել Հաշիվ → Գաղտնիություն բաժնից);
• ուղղել տալու ձեր data-ն;
• ջնջել տալու ձեր data-ն (նաև self-serve);
• առարկելու legitimate interests-ի վրա հիմնված processing-ին;
• ցանկացած պահի հետ կանչելու analytics-ի համաձայնությունը Cookie կարգավորումներ-ով;
• data portability — ձեր export-ը JSON է;
• բողոք ներկայացնելու ձեր տեղական supervisory authority-ին (EU/UK/EEA) կամ համարժեք մարմնին։

Մենք verifiable rights requests-ին պատասխանում ենք 30 օրվա ընթացքում։ Այն requests-ի համար, որոնք self-serve-ով չենք կարող բավարարել (մեր չցուցադրած field-ի rectification, restriction of processing, objection), գրեք support@fixvibe.app-ին subject line “Privacy request”-ով։

Մենք չենք վաճառում ձեր personal information-ը։ Մենք չենք կիսում personal information-ը cross-context behavioral advertising-ի համար։ PostHog-ի միջոցով analytics-ը գործարկվում է միայն cookie banner-ում consent տալուց հետո․ այդ consent-ը կարող եք ցանկացած պահի հետ կանչել Cookie կարգավորումներ-ով կամ footer-ում Ձեր գաղտնիության ընտրությունները սեղմելով։

Եթե Կալիֆոռնիայի բնակիչ եք, դուք նաև իրավունք ունեք՝

• իմանալու, թե ինչ personal information ենք հավաքում, աղբյուրները, նպատակները և այն third parties-ը, որոնց հետ կիսում ենք այն (բոլորը մանրամասն նշված են վերևում);
• խնդրելու ձեր personal information-ի ջնջում (self-serve Հաշիվ → Գաղտնիություն բաժնից կամ մեզ email ուղարկելով);
• ուղղելու ոչ ճշգրիտ personal information-ը;
• սահմանափակելու sensitive personal information-ի use և disclosure-ը — մենք չենք հավաքում ոչինչ բացի authentication credentials-ից և session metadata-ից, որոնք երկուսն էլ անհրաժեշտ են service-ը մատուցելու համար;
• opt out անել sale-ից կամ sharing-ից — կիրառելի չէ, քանի որ մենք ոչ մեկը չենք անում;
• վերոնշյալ իրավունքներից որևէ մեկը կիրառելու համար չխտրականացվելու։

Մենք ավտոմատ հարգում ենք Global Privacy Control (GPC) signals-ը․ GPC header ուղարկելը ձեր visit-ը դիտարկում է այնպես, կարծես դուք հստակ opt out եք արել ցանկացած future analytics consent-ից։

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Ոչ մի security program կատարյալ չէ։ Եթե կարծում եք, որ vulnerability եք գտել FixVibe-ում, խնդրում ենք հաղորդել այն support@fixvibe.app-ին։

Եթե մենք կատարենք նյութական փոփոխություններ — նոր sub-processors, data-ի նոր categories, նոր retention periods — կթարմացնենք վերևի ամսաթիվը և ձեզ in-app կծանուցենք։ Փոքր wording fixes-ը ծանուցում չեն առաջացնում։

privacy@fixvibe.app — պատասխանները սովորաբար գալիս են 5 աշխատանքային օրվա ընթացքում, և երբեք ոչ ավելի ուշ, քան 30 օր՝ ինչպես պահանջում է GDPR Art. 12(3)։