FixVibe

// privacy

Құпиялық саясаты

соңғы жаңарту · 2026-05-17

Біз кімбіз

FixVibe қызметін EGO HERO LLC (“біз”, “біздің”) басқарады, ол осы саясатта сипатталған жеке деректердің деректер контроллері болып табылады. GDPR, UK GDPR немесе CCPA бойынша деректер субъектісінің сұрауларын қоса алғанда, құпиялық сұрақтары үшін privacy@fixvibe.app мекенжайына хабарласыңыз. Басқа кез келген мәселе бойынша support@fixvibe.app мекенжайына жазыңыз.

Біз не жинаймыз, не үшін және қанша уақыт сақтаймыз

  • Аккаунт деректері

    Электронды пошта мекенжайы, OAuth identifier (Google немесе GitHub арқылы кірсеңіз) және OAuth provider-дан алатын кез келген атыңыз. Сізді аутентификациялау және аккаунтыңыз туралы байланысу үшін пайдаланылады. Аккаунтыңыз белсенді болғанша сақталады. Аккаунтыңызды жойған кезде бұл деректер 30 күн ішінде өшіріледі, біз оны сақтауға міндетті жерлерді қоспағанда (мыс., салық заңнамасы бойынша биллинг жазбалары).

    заңды негіз · Келісімшартты орындау — Art. 6(1)(b) GDPR

  • Сканерлеу нысандары мен нәтижелері

    Сіз сканерлейтін URLs, сол URLs-ке жасайтын requests және біз шығаратын findings. Ұйымыңызға байланысты сақталады. Жоспарыңыздың сақтау мерзімінен ескі records автоматты түрде жойылады: 30 күн (Hobby), 90 күн (Pro), 365 күн (Unlimited). Сканерлеу тарихыңызды кез келген уақытта Account → Privacy бөлімінен export немесе delete ете аласыз.

    заңды негіз · Келісімшартты орындау — Art. 6(1)(b) GDPR

  • Анонимді сканерлеу сессиялары

    Жүйеге кірмей сканерлеуді іске қоссаңыз, біз opaque random ID сақтайтын HMAC-signed cookie (fixvibe_anon_session, 24-hour lifetime) шығарамыз. Талап етілмеген анонимді сканерлеу жазбаларын 24 сағаттан кейін автоматты түрде жоямыз. 24-hour window ішінде тіркелсеңіз, сканерлеуіңіз жаңа аккаунтыңызға көшіріледі. Анонимді пайдаланушылар кім екенін олар тіркелмейінше білмейміз.

    заңды негіз · Қатаң қажетті — ePrivacy Art. 5(3) босатуы

  • Биллинг деректері

    Stripe біздің payment processor болып табылады. Олар card details-іңізді PCI-DSS infrastructure-та сақтайды; біз тек Stripe customer ID, subscription status, plan, period start/end және webhook events-тің шағын idempotency record-ын сақтаймыз. Stripe privacy notice-ын stripe.com/privacy мекенжайынан қараңыз.

    заңды негіз · Келісімшартты орындау — Art. 6(1)(b) GDPR

  • Сервер журналдары және аудит журналдары

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    заңды негіз · Заңды мүдде — Art. 6(1)(f) GDPR

  • GitHub integration (міндетті емес, тек Pro+)

    GitHub account-ты Account → Integrations бөлімінен қоссаңыз, ұйымыңыз үшін encrypted OAuth access token, GitHub login + numeric user ID және granted scopes сақтаймыз. Token-ді тек сіз scans бастайтын repositories-ті оқу үшін пайдаланамыз. Source code әр scan үшін fetched болады, memory ішінде өңделеді және тек individual finding evidence сақталады (full source dumps жоқ). Disconnect жасағаннан кейін 30 күн ішінде жойылады.

    заңды негіз · Келісімшартты орындау / келісім — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (міндетті емес)

    Account → API tokens ішінде жасаған tokens SHA-256 hash ретінде, алғашқы 8 plaintext characters (сәйкестендіру үшін), берген name, сондай-ақ created/last-used/revoked timestamps түрінде сақталады. Plaintext жасалған кезде сізге дәл бір рет көрсетіледі және ешқашан сақталмайды. Tokens bearer credentials болып табылады: value-сы бар кез келген адам scans-тарыңызды оқи алады және сіз revoke еткенге дейін жаңаларын бастай алады. /api/mcp мекенжайындағы MCP server сол tokens арқылы authenticated болады, dashboard көрсететін data-ны көрсетеді және бөлек data category жасамайды.

    заңды негіз · Келісімшартты орындау — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    заңды негіз · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (міндетті емес, тек Unlimited)

    Verified domain бойынша monitoring қосулы болса, біз сол domain үшін certificate-transparency log entries, DNS records және threat-intel listings (Spamhaus DBL, URLhaus) мерзімді түрде capture етеміз. Бұл snapshots сіз бізге scan жасауға бұрыннан authorise еткен hostnames және public lookups-тың public results-ын қамтиды. End-users-іңіздің personal data-сы capture етілмейді. 7 күннен ескі snapshots автоматты түрде жойылады; әр signal type үшін ең соңғы baseline сақталады.

    заңды негіз · Келісімшартты орындау — Art. 6(1)(b) GDPR

  • Жоспарланған қайта сканерлеулер (міндетті емес, тек Pro+)

    Verified domain бойынша scheduled scans қоссаңыз, біз cadence, last run time, next run time және schedule қосқан user-ді жазамыз. Әр cron-triggered scan domain алғаш verified болған кезде жасалған authorization-to-scan attestation-ды мұраға алады — әр run үшін қайта attest етпейсіз. Кез келген уақытта Domains → Schedule бөлімінен өшіріңіз.

    заңды негіз · Келісімшартты орындау — Art. 6(1)(b) GDPR

  • Analytics (міндетті емес, consent-gated)

    Analytics consent берсеңіз және сіз пайдаланып жатқан deployment үшін analytics configured болса, біз anonymous usage жазу үшін privacy-respecting product-analytics provider қолданамыз (өз domain-іміз арқылы proxied) — қай buttons clicked болады, адамдар қандай checks run етеді, funnel ішінде users қай жерде drop off жасайды. Сіз scan ететін URLs, evidence content немесе personal data-ны analytics events ішіне салмаймыз. Келісімді кез келген уақытта арқылы қайтарыңыз.

    заңды негіз · Келісім — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Жарнамалық ұсынысты өтеу

    Сіз промокодты, шақыру сілтемесін немесе рекомендациялық кредитті өтеген кезде, біз науқан кодын, біз берген жоспар мен ұзақтығын, сынақ нұсқасының бастау және аяқталу уақыт белгілерін, сынақ нұсқасына дейін ұстаған жоспарды және өтеу кезіндегі IP мекенжайыңыздың HMAC-SHA256 хэшін сақтаймыз (біз ешқашан өңделмеген IP сақтамаймыз — хэш тек бір желі үшін бір өтеу шектеулерін қолдану үшін бар, ал негізгі HMAC кілтін айналдыру кез келген адамды әшкереламей-ақ барлық сақталған хэштерді жарамсыз етеді). Есеп жүргізу және алаяқтықты тексеру мақсаттары үшін науқан мерзімі плюс 18 ай ішінде сақталады, содан кейін науқан жазбасының қалған бөлігімен бірге жойылады.

    заңды негіз · Заңды мүдде (алаяқтықтың алдын алу, есеп жүргізу) — GDPR Art. 6(1)(f)

  • Конкурстар, лотереялар және челленджтер

    Сіз FixVibe Челленджіне (мысалы, қауіпсіздік алдын ала тексеру челленджіне) қатысқан жағдайда, біз сіз жіберетін байланыс электрондық поштасын (жеңсеңіз сізбен байланысу үшін қажет), сіз міндетті емес ретінде беретін Reddit және Product Hunt пайдаланушы аттарын, сканерлеу идентификаторыңызды және түбір доменді, өзіңіз хабарлаған жоба түрін, стекті және міндетті емес ретінде беретін бір нәрсе үйрендім мәтінін, міндетті емес ретінде таңдаған ашу арнасының мәнін және сіз қабылдайтын үш қажетті келісім құсбелгісін (рұқсат, ережелер, байланыс) сақтаймыз. Егер сіз бөлек міндетті емес маркетингте көрсетілу келісіміне құсбелгі қойсаңыз, біз сіздің жалпыға қолжетімді ұпайыңызды, рейтингіңізді, стекіңізді, пайдаланушы атыңызды және жіберілген дәйексөзіңізді FixVibe басты бетінде, челлендж бетінде немесе қорытынды постта көрсете аламыз — ешқашан басқа өрісті емес және ешқашан сол келісімсіз. Челлендж өтінімдері тексеру және дау-дамай мақсаттары үшін Челлендж мерзімі плюс 18 ай ішінде сақталады. Сіз маркетингте көрсетілу келісімін кез келген уақытта privacy@fixvibe.app мекенжайына электрондық пошта жіберу арқылы кері қайтарып ала аласыз; кері қайтару кері қайтарудан бұрынғы заңды өңдеуге әсер етпейді.

    заңды негіз · Шарттың орындалуы (Челленджді өткізу) және келісім (көрсету) — GDPR Art. 6(1)(b) және 6(1)(a)

Біз не жинамаймыз

  • Деректеріңізді ешқашан сатпаймыз.
  • Third-party ad-tech, fingerprinting немесе session-replay scripts енгізбейміз.
  • Scan target URLs немесе finding evidence-ті analytics properties ішіне салмаймыз — ол data тек біздің database ішінде, row-level security арқылы қорғалған.
  • Деректеріңізді third parties-ке олардың own marketing үшін бөліспейміз.

Қосалқы өңдеушілер

FixVibe-ті іске қосу үшін мына қосалқы өңдеушілерге сүйенеміз:

  • Vercel Inc. (USA) — application hosting және edge network. Privacy notice: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. FixVibe production database AWS us-east-1 region ішінде орналасқан. Privacy notice: supabase.com/privacy.
  • Stripe Inc. (USA) — paid plans үшін payment processing. Privacy notice: stripe.com/privacy.
  • Upstash, Inc. (USA, Vercel Marketplace арқылы) — Redis-backed rate limiting; тек short-lived IP-based counters сақтайды. Privacy notice: upstash.com/privacy.
  • PostHog Inc. (USA) — product analytics, тек analytics consent бергенде және сіз пайдаланып жатқан deployment үшін analytics configured болғанда. Privacy notice: posthog.com/privacy.
  • GitHub, Inc. (USA) — optional GitHub integration қоссаңыз ғана. Біз GitHub's API арқылы сіз scans бастайтын repositories-ті оқимыз. Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — transactional email delivery. Scan-completed, scheduled-scan, live-threat alert және weekly-digest emails жібергенде email address және email body алады. Resend operational purposes үшін delivery metadata (timestamps, status, bounce records) сақтайды; Resend арқылы marketing email ешқашан жібермейміз. Privacy notice: resend.com/legal/privacy-policy.

EEA/UK аумағынан тыс personal data transfers European Commission-ның Standard Contractual Clauses-ына (немесе UK International Data Transfer Addendum-ына) сүйенеді, төмендегі “Security” бөлімінде сипатталған encryption-in-transit және encryption-at-rest measures арқылы толықтырылады.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Сіздің құқықтарыңыз

GDPR, UK GDPR және баламалы заңдар (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act т.б.) бойынша сіздің мына құқықтарыңыз бар:

  • data-ңыздың көшірмесіне access алу (мұны Аккаунт → Құпиялық бөлімінен self-serve жасай аласыз);
  • data-ңызды corrected ету;
  • data-ңызды deleted ету (сондай-ақ self-serve);
  • legitimate interests негізіндегі processing-ке object ету;
  • analytics келісімін кез келген уақытта арқылы withdraw ету;
  • data portability — export-ыңыз JSON ішінде;
  • local supervisory authority (EU/UK/EEA) немесе баламалы органға complaint беру.

Verifiable rights requests-ке 30 күн ішінде жауап береміз. Self-serve арқылы орындай алмайтын requests үшін (біз expose етпейтін field rectification, processing restriction, objection) support@fixvibe.app мекенжайына “Privacy request” subject line-ымен email жіберіңіз.

Калифорния тұрғындары (CCPA / CPRA)

Біз personal information-ыңызды сатпаймыз. Cross-context behavioral advertising үшін personal information бөліспейміз. PostHog арқылы analytics тек cookie banner ішінде consent бергеннен кейін іске қосылады; бұл consent-ті кез келген уақытта арқылы немесе footer ішіндегі Сіздің құпиялық таңдауларыңыз сілтемесін басу арқылы withdraw ете аласыз.

Калифорния тұрғыны болсаңыз, сізде қосымша мына құқықтар бар:

  • қандай personal information жинайтынымызды, sources, purposes және оны бөлісетін third parties бар-жоғын білу (бәрі жоғарыда толық сипатталған);
  • personal information-ыңызды deletion сұрау (self-serve Account → Privacy арқылы немесе бізге email жіберу арқылы);
  • дұрыс емес personal information-ды correct ету;
  • sensitive personal information use және disclosure шектеу — authentication credentials және session metadata-дан басқа ештеңе жинамаймыз, екеуі де service көрсету үшін қажет;
  • sale немесе sharing-тен opt out — қолданылмайды, өйткені біз екеуін де жасамаймыз;
  • жоғарыдағы құқықтардың кез келгенін жүзеге асырғаныңыз үшін кемсітілмеу.

Global Privacy Control (GPC) signals-ды автоматты түрде ескереміз; GPC header жіберу сіздің visit-іңізді кез келген future analytics consent-тен нақты opt out жасағандай қарастырады.

Қауіпсіздік

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Ешбір security program мінсіз емес. FixVibe ішінде vulnerability таптым деп ойласаңыз, оны support@fixvibe.app мекенжайына хабарлаңыз.

Осы саясаттағы өзгерістер

Material changes енгізсек — жаңа sub-processors, data-ның жаңа categories, жаңа retention periods — жоғарыдағы күнді жаңартып, сізге in-app хабарлаймыз. Minor wording fixes хабарлама тудырмайды.

Байланыс

privacy@fixvibe.app — жауаптар әдетте 5 жұмыс күні ішінде келеді, GDPR Art. 12(3) талап ететіндей ешқашан 30 күннен аспайды.

Құпиялық саясаты · FixVibe