კონფიდენციალურობის პოლიტიკა

FixVibe-ს ოპერირებს EGO HERO LLC (“ჩვენ”, “ჩვენი”), რომელიც ამ პოლიტიკაში აღწერილი პერსონალური მონაცემების მონაცემთა კონტროლერია. კონფიდენციალურობის საკითხებზე, მათ შორის მონაცემთა სუბიექტის მოთხოვნებზე GDPR-ის, UK GDPR-ის ან CCPA-ის ფარგლებში, დაუკავშირდით privacy@fixvibe.app-ს. სხვა საკითხებზე მოგვწერეთ support@fixvibe.app-ზე.

• ანგარიშის მონაცემები

  ელ-ფოსტის მისამართი, OAuth identifier (თუ Google-ით ან GitHub-ით შედიხართ) და ნებისმიერი სახელი, რომელსაც თქვენი OAuth provider-ისგან ვიღებთ. გამოიყენება თქვენი ავტენტიფიკაციისთვის და ანგარიშთან დაკავშირებით დასაკავშირებლად. ინახება სანამ თქვენი ანგარიში აქტიურია. ანგარიშის წაშლისას ეს მონაცემები 30 დღის განმავლობაში იშლება, გარდა იმ შემთხვევებისა, როცა მათი შენახვა გვევალება (მაგ., საგადასახადო კანონმდებლობით ბილინგის ჩანაწერები).

  სამართლებრივი საფუძველი · ხელშეკრულების შესრულება — Art. 6(1)(b) GDPR

• სკანირების სამიზნეები და მიგნებები

  URL-ები, რომლებსაც ასკანირებთ, მოთხოვნები, რომლებსაც ამ URL-ებზე ვაგზავნით, და მიგნებები, რომლებსაც ვაწარმოებთ. ინახება თქვენს ორგანიზაციასთან მიბმულად. ავტომატურად ვშლით ჩანაწერებს, რომლებიც თქვენი გეგმის შენახვის პერიოდზე ძველია: 30 დღე (Hobby), 90 დღე (Pro), 365 დღე (Unlimited). ნებისმიერ დროს შეგიძლიათ თქვენი სკანირების ისტორიის ექსპორტი ან წაშლა Account → Privacy-დან.

  სამართლებრივი საფუძველი · ხელშეკრულების შესრულება — Art. 6(1)(b) GDPR

• ანონიმური სკანირების სესიები

  თუ სკანირებას შესვლის გარეშე გაუშვებთ, ჩვენ გამოვცემთ HMAC-signed cookie-ს (fixvibe_anon_session, 24-hour lifetime), რომელიც გაუმჭვირვალე შემთხვევით ID-ს შეიცავს. მიუკუთვნებელ ანონიმური სკანირების ჩანაწერებს 24 საათის შემდეგ ავტომატურად ვშლით. თუ 24-hour window-ის განმავლობაში დარეგისტრირდებით, თქვენი სკანირება თქვენს ახალ ანგარიშში გადაინაცვლებს. ანონიმური მომხმარებლების ვინაობა არ ვიცით, თუ ისინი არ დარეგისტრირდებიან.

  სამართლებრივი საფუძველი · მკაცრად აუცილებელი — ePrivacy Art. 5(3) გამონაკლისი

• ბილინგის მონაცემები

  Stripe არის ჩვენი payment processor. ისინი თქვენს card details-ს PCI-DSS infrastructure-ზე ინახავენ; ჩვენ ვინახავთ მხოლოდ Stripe customer ID-ს, subscription status-ს, plan-ს, period start/end-ს და webhook events-ის მცირე idempotency record-ს. იხილეთ Stripe-ის privacy notice მისამართზე stripe.com/privacy.

  სამართლებრივი საფუძველი · ხელშეკრულების შესრულება — Art. 6(1)(b) GDPR

• სერვერის ლოგები და აუდიტის ლოგები

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  სამართლებრივი საფუძველი · ლეგიტიმური ინტერესი — Art. 6(1)(f) GDPR

• GitHub integration (არასავალდებულო, მხოლოდ Pro+)

  თუ GitHub account-ს Account → Integrations-დან დააკავშირებთ, ჩვენ თქვენი ორგანიზაციისთვის encrypted OAuth access token-ს, თქვენს GitHub login-ს + numeric user ID-ს და granted scopes-ს ვინახავთ. Token-ს ვიყენებთ მხოლოდ იმ repositories-ის წასაკითხად, რომლებზეც თქვენ იწყებთ scans. Source code თითოეული scan-ისთვის მიიღება, memory-ში მუშავდება და ინახება მხოლოდ individual finding evidence (full source dumps არა). disconnect-დან 30 დღის განმავლობაში იშლება.

  სამართლებრივი საფუძველი · ხელშეკრულების შესრულება / თანხმობა — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokens + MCP server (არასავალდებულო)

  Account → API tokens-ში შექმნილი tokens ინახება SHA-256 hash-ის სახით, პირველი 8 plaintext characters-ით (იდენტიფიკაციისთვის), თქვენს მიერ მინიჭებული name-ით და created/last-used/revoked timestamps-ით. Plaintext შექმნისას ზუსტად ერთხელ გეჩვენებათ და არასდროს ინახება. Tokens არის bearer credentials: ვისაც value აქვს, შეუძლია თქვენი scans-ის წაკითხვა და ახლების დაწყება, სანამ revoke-ს არ გააკეთებთ. MCP server /api/mcp-ზე იგივე tokens-ით არის authenticated, აჩვენებს იმავე data-ს, რასაც dashboard აჩვენებდა, და ცალკე data category-ს არ ქმნის.

  სამართლებრივი საფუძველი · ხელშეკრულების შესრულება — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  სამართლებრივი საფუძველი · Performance of contract — Art. 6(1)(b) GDPR

• Live threat detection (არასავალდებულო, მხოლოდ Unlimited)

  თუ verified domain-ზე monitoring ჩართული გაქვთ, ამ domain-ისთვის პერიოდულად ვიღებთ certificate-transparency log entries-ს, DNS records-ს და threat-intel listings-ს (Spamhaus DBL, URLhaus). ეს snapshots შეიცავს hostnames-ს, რომელთა scan-ზეც უკვე მოგვეცით ავტორიზაცია, და public lookups-ის public results-ს. თქვენი end-users-ის personal data არ გროვდება. 7 დღეზე ძველი snapshots ავტომატურად იშლება; ყოველი signal type-ისთვის ინახება ყველაზე ახალი baseline.

  სამართლებრივი საფუძველი · ხელშეკრულების შესრულება — Art. 6(1)(b) GDPR

• დაგეგმილი ხელახალი სკანირებები (არასავალდებულო, მხოლოდ Pro+)

  თუ verified domain-ზე scheduled scans-ს ჩართავთ, ჩვენ ვინახავთ cadence-ს, last run time-ს, next run time-ს და user-ს, რომელმაც schedule ჩართო. თითოეული cron-triggered scan იღებს authorization-to-scan attestation-ს, რომელიც domain-ის პირველად verified გახდომისას გაკეთდა — ყოველი run-ისთვის ხელახლა attest არ გჭირდებათ. ნებისმიერ დროს გამორთეთ Domains → Schedule-ზე.

  სამართლებრივი საფუძველი · ხელშეკრულების შესრულება — Art. 6(1)(b) GDPR

• Analytics (არასავალდებულო, consent-gated)

  თუ analytics consent-ს მოგვცემთ და თქვენს გამოყენებულ deployment-ზე analytics configured არის, anonymous usage-ის ჩასაწერად privacy-respecting product-analytics provider-ს ვიყენებთ (proxied ჩვენი domain-ის გავლით) — რომელ buttons-ს აწკაპებენ, რომელ checks-ს უშვებენ ადამიანები, funnel-ში სად ტოვებენ users პროცესს. Analytics events-ში არ ვათავსებთ თქვენ მიერ scan-ირებულ URLs-ს, evidence content-ს ან personal data-ს. თანხმობა ნებისმიერ დროს გაიხმეთ ქუქი პარამეტრები-დან.

  სამართლებრივი საფუძველი · თანხმობა — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• სარეკლამო შეთავაზების მიღება

  როცა იღებთ პრომო კოდს, მოწვევის ბმულს ან რეფერალურ კრედიტს, ჩვენ ვინახავთ კამპანიის კოდს, გეგმას და ხანგრძლივობას, რომელიც მივანიჭეთ, საცდელი პერიოდის დაწყების და დასრულების დროის შტამპებს, გეგმას, რომელიც გქონდათ საცდელ პერიოდამდე, და თქვენი IP მისამართის HMAC-SHA256 ჰეშს მიღების დროს (ჩვენ არასოდეს ვინახავთ ნედლ IP-ს — ჰეში არსებობს მხოლოდ იმისთვის, რომ შევძლოთ ერთი-მიღება-პერ-ქსელის ლიმიტების აღსრულება და HMAC გასაღების მონაცვლეობა ბათილს ხდის ყველა შენახულ ჰეშს ვინმეს გამოვლენის გარეშე). ინახება კამპანიის ხანგრძლივობით პლუს 18 თვით ბუღალტრული აღრიცხვის და თაღლითობის გამოძიების მიზნებისთვის, შემდეგ წაიშლება კამპანიის დანარჩენ ჩანაწერთან ერთად.

  სამართლებრივი საფუძველი · ლეგიტიმური ინტერესი (თაღლითობის პრევენცია, ბუღალტერია) — მუხ. 6(1)(f) GDPR

• კონკურსები, sweepstakes-ები და გამოწვევები

  თუ შემოხვალთ FixVibe გამოწვევაში (როგორიცაა უსაფრთხოების Preflight გამოწვევა), ჩვენ ვინახავთ საკონტაქტო ელფოსტას, რომელსაც წარადგენთ (აუცილებელია, რათა შეგვეძლოს დაგიკავშირდეთ თუ მოიგებთ), Reddit და Product Hunt მომხმარებლის სახელებს, რომელსაც სურვილისამებრ უზრუნველყოფთ, თქვენი სკანერის ID-ს და ფესვის დომენს, თვითდაანგარიშებულ პროექტის ტიპს, stack-ს და ერთი-რამ-ვისწავლე ტექსტს, რომელსაც სურვილისამებრ უზრუნველყოფთ, აღმოჩენის-არხის მნიშვნელობას, რომელსაც სურვილისამებრ ირჩევთ, და სამ სავალდებულო თანხმობის ჩამრთველს, რომელსაც იღებთ (ავტორიზაცია, წესები, კონტაქტი). თუ ცალკე მონიშნავთ გამოჩენილი-მარკეტინგზე არასავალდებულო თანხმობას, ჩვენ შეიძლება გამოვაჩინოთ თქვენი საჯარო ქულა, რეიტინგი, stack, მომხმარებლის სახელი და წარდგენილი ციტატა FixVibe-ის მთავარ გვერდზე, გამოწვევის გვერდზე ან მიმოხილვის პოსტში — არასოდეს რომელიმე სხვა ველი და არასოდეს ამ opt-in-ის გარეშე. გამოწვევის ჩანაწერები ინახება გამოწვევის ხანგრძლივობით პლუს 18 თვით დადასტურების და დავის მიზნებისთვის. შეგიძლიათ ნებისმიერ დროს გააუქმოთ გამოჩენილი-მარკეტინგზე თანხმობა privacy@fixvibe.app-ზე წერილით; გაუქმება არ ეხება კანონიერ დამუშავებას გაუქმებამდე.

  სამართლებრივი საფუძველი · კონტრაქტის შესრულება (გამოწვევის გაშვება) და თანხმობა (გამოჩენა) — მუხ. 6(1)(b) და 6(1)(a) GDPR

• თქვენს მონაცემებს არასდროს ვყიდით.
• third-party ad-tech-ს, fingerprinting-ს ან session-replay scripts-ს არ ვაშენებთ.
• თქვენს scan target URLs-ს ან finding evidence-ს analytics properties-ში არ ვათავსებთ — ეს data მხოლოდ ჩვენს database-ში ცხოვრობს და row-level security-ით არის შეზღუდული.
• თქვენს მონაცემებს third parties-ს მათი საკუთარი marketing-ისთვის არ ვუზიარებთ.

FixVibe-ის მუშაობისთვის შემდეგ ქვე-დამმუშავებლებს ვეყრდნობით:

• Vercel Inc. (USA) — application hosting და edge network. Privacy notice: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. FixVibe production database მდებარეობს AWS us-east-1 region-ში. Privacy notice: supabase.com/privacy.
• Stripe Inc. (USA) — payment processing paid plans-ისთვის. Privacy notice: stripe.com/privacy.
• Upstash, Inc. (USA, Vercel Marketplace-ის მეშვეობით) — Redis-backed rate limiting; ინახავს მხოლოდ short-lived IP-based counters-ს. Privacy notice: upstash.com/privacy.
• PostHog Inc. (USA) — product analytics, მხოლოდ თუ analytics consent-ს მოგვცემთ და მხოლოდ მაშინ, როცა analytics configured არის თქვენს გამოყენებულ deployment-ზე. Privacy notice: posthog.com/privacy.
• GitHub, Inc. (USA) — მხოლოდ თუ optional GitHub integration-ს დააკავშირებთ. ჩვენ GitHub's API-ს ვიყენებთ იმ repositories-ის წასაკითხად, რომლებზეც თქვენ იწყებთ scans. Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — transactional email delivery. იღებს თქვენს email address-ს და email body-ს, როცა scan-completed, scheduled-scan, live-threat alert და weekly-digest emails-ს ვგზავნით. Resend operational purposes-ისთვის ინახავს delivery metadata-ს (timestamps, status, bounce records); Resend-ის მეშვეობით marketing email-ს არასდროს ვაგზავნით. Privacy notice: resend.com/legal/privacy-policy.

EEA/UK-ის გარეთ personal data-ს transfers ეყრდნობა European Commission-ის Standard Contractual Clauses-ს (ან UK-ის International Data Transfer Addendum-ს), რასაც ავსებს ქვემოთ “Security”-ში აღწერილი encryption-in-transit და encryption-at-rest measures.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR-ის, UK GDPR-ის და ეკვივალენტური კანონების (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act და სხვ.) ფარგლებში გაქვთ უფლება:

• მიიღოთ თქვენი data-ს ასლი (ამის გაკეთება თვითმომსახურებით შეგიძლიათ ანგარიში → კონფიდენციალურობა-დან);
• გაასწორებინოთ თქვენი data;
• წააშლევინოთ თქვენი data (ასევე თვითმომსახურებით);
• გააპროტესტოთ legitimate interests-ზე დაფუძნებული processing;
• ნებისმიერ დროს გაიხმოთ analytics-ის თანხმობა ქუქი პარამეტრები-დან;
• data portability — თქვენი export არის JSON-ში;
• შეიტანოთ complaint თქვენს local supervisory authority-ში (EU/UK/EEA) ან ეკვივალენტურ ორგანოში.

verifiable rights requests-ს 30 დღის განმავლობაში ვპასუხობთ. მოთხოვნებისთვის, რომლებსაც self-serve-ით ვერ ვასრულებთ (იმ field-ის rectification, რომელსაც არ ვაჩვენებთ, processing-ის restriction, objection), მოგვწერეთ support@fixvibe.app-ზე subject line-ით “Privacy request”.

თქვენს personal information-ს არ ვყიდით. cross-context behavioral advertising-ისთვის personal information-ს არ ვუზიარებთ. PostHog-ის მეშვეობით analytics მუშაობს მხოლოდ მას შემდეგ, რაც ჩვენს cookie banner-ში consent-ს მოგვცემთ; ამ consent-ის გაწვევა ნებისმიერ დროს შეგიძლიათ ქუქი პარამეტრები-დან ან footer-ში თქვენი კონფიდენციალურობის არჩევანი-ზე დაწკაპებით.

თუ კალიფორნიის მაცხოვრებელი ხართ, დამატებით გაქვთ უფლება:

• იცოდეთ რა personal information-ს ვაგროვებთ, წყაროები, მიზნები და third parties, რომლებსაც მას ვუზიარებთ (ყველაფერი ზემოთ დეტალურად არის აღწერილი);
• მოითხოვოთ თქვენი personal information-ის deletion (self-serve Account → Privacy-დან ან ჩვენთვის ელ-ფოსტის გაგზავნით);
• გაასწოროთ არაზუსტი personal information;
• შეზღუდოთ sensitive personal information-ის use და disclosure — authentication credentials-ისა და session metadata-ს გარდა არაფერს ვაგროვებთ, ორივე კი service-ის მისაწოდებლად არის საჭირო;
• sale-ს ან sharing-ს opt out — არ ვრცელდება, რადგან არც ერთს არ ვაკეთებთ;
• არ იყოთ დისკრიმინირებული ზემოთ ჩამოთვლილი რომელიმე უფლების განხორციელებისთვის.

Global Privacy Control (GPC) signals-ს ავტომატურად ვცემთ პატივს; GPC header-ის გაგზავნა თქვენს ვიზიტს ისე განიხილავს, თითქოს ნებისმიერი მომავალი analytics consent-იდან აშკარად opt out გაგეკეთებინოთ.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

არცერთი security program არ არის სრულყოფილი. თუ ფიქრობთ, რომ FixVibe-ში vulnerability იპოვეთ, გთხოვთ შეატყობინოთ support@fixvibe.app-ზე.

თუ material changes-ს შევიტანთ — ახალი sub-processors, data-ს ახალი categories, ახალი retention periods — ზემოთ მოცემულ თარიღს განვაახლებთ და in-app შეგატყობინებთ. Minor wording fixes შეტყობინებას არ იწვევს.

privacy@fixvibe.app — პასუხები ჩვეულებრივ 5 სამუშაო დღეში მოდის, და არასდროს აღემატება 30 დღეს, როგორც GDPR Art. 12(3) მოითხოვს.