FixVibe

// privacy

គោលការណ៍ឯកជនភាព

បានធ្វើបច្ចុប្បន្នភាពចុងក្រោយ · 2026-05-17

យើងជានរណា

FixVibe ត្រូវបានដំណើរការដោយ EGO HERO LLC (“យើង”, “របស់យើង”) ដែលជា data controller សម្រាប់ personal data ដែលបានពណ៌នានៅក្នុងគោលការណ៍នេះ។ សម្រាប់សំណួរអំពីឯកជនភាព រួមទាំង data subject requests ក្រោម GDPR, UK GDPR ឬ CCPA សូមទាក់ទង privacy@fixvibe.app។ សម្រាប់រឿងផ្សេងទៀត សូមសរសេរទៅ support@fixvibe.app

អ្វីដែលយើងប្រមូល ហេតុអ្វី និងរយៈពេលដែលយើងរក្សាទុក

  • ទិន្នន័យគណនី

    អាសយដ្ឋានអ៊ីមែល, OAuth identifier (ប្រសិនបើអ្នក sign in ជាមួយ Google ឬ GitHub) និងឈ្មោះណាមួយដែលយើងទទួលពី OAuth provider របស់អ្នក។ ប្រើសម្រាប់ authenticate អ្នក និងទាក់ទងអ្នកអំពីគណនីរបស់អ្នក។ រក្សាទុកនៅពេលគណនីរបស់អ្នកនៅតែសកម្ម។ នៅពេលអ្នកលុបគណនីរបស់អ្នក ទិន្នន័យនេះត្រូវបានយកចេញក្នុងរយៈពេល 30 ថ្ងៃ លើកលែងតែកន្លែងដែលយើងត្រូវរក្សាទុកវា (ឧ. billing records ក្រោមច្បាប់ពន្ធ)។

    មូលដ្ឋានច្បាប់ · ការអនុវត្តកិច្ចសន្យា — Art. 6(1)(b) GDPR

  • គោលដៅស្កែន និងការរកឃើញ

    URLs ដែលអ្នកស្កែន, requests ដែលយើងធ្វើទៅ URLs ទាំងនោះ និង findings ដែលយើងផលិត។ រក្សាទុកភ្ជាប់នឹង organization របស់អ្នក។ យើងលុប records ដែលចាស់ជាង retention window នៃ plan របស់អ្នកដោយស្វ័យប្រវត្តិ: 30 ថ្ងៃ (Hobby), 90 ថ្ងៃ (Pro), 365 ថ្ងៃ (Unlimited)។ អ្នកអាច export ឬ delete scan history របស់អ្នកបានគ្រប់ពេលពី Account → Privacy។

    មូលដ្ឋានច្បាប់ · ការអនុវត្តកិច្ចសន្យា — Art. 6(1)(b) GDPR

  • Session ស្កែនអនាមិក

    ប្រសិនបើអ្នករត់ scan ដោយមិន sign in យើងចេញ HMAC-signed cookie (fixvibe_anon_session, 24-hour lifetime) ដែលកាន់ opaque random ID។ យើងលុប unclaimed anonymous scan records ដោយស្វ័យប្រវត្តិបន្ទាប់ពី 24 ម៉ោង។ ប្រសិនបើអ្នក sign up ក្នុង 24-hour window, scan របស់អ្នកនឹង migrate ទៅក្នុងគណនីថ្មីរបស់អ្នក។ យើងមិនដឹងថា anonymous users ជានរណា លុះត្រាតែពួកគេ sign up។

    មូលដ្ឋានច្បាប់ · ចាំបាច់យ៉ាងតឹងរឹង — ePrivacy Art. 5(3) ករណីលើកលែង

  • ទិន្នន័យ billing

    Stripe ជា payment processor របស់យើង។ ពួកគេរក្សាទុក card details របស់អ្នកលើ PCI-DSS infrastructure; យើងរក្សាទុកតែ Stripe customer ID, subscription status, plan, period start/end និង idempotency record តូចមួយនៃ webhook events។ សូមមើល privacy notice របស់ Stripe នៅ stripe.com/privacy។

    មូលដ្ឋានច្បាប់ · ការអនុវត្តកិច្ចសន្យា — Art. 6(1)(b) GDPR

  • Server logs និង audit logs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    មូលដ្ឋានច្បាប់ · ផលប្រយោជន៍ស្របច្បាប់ — Art. 6(1)(f) GDPR

  • GitHub integration (ស្រេចចិត្ត, Pro+ only)

    ប្រសិនបើអ្នកភ្ជាប់ GitHub account ពី Account → Integrations យើងរក្សាទុក encrypted OAuth access token សម្រាប់ organization របស់អ្នក, GitHub login + numeric user ID របស់អ្នក និង granted scopes។ យើងប្រើ token តែសម្រាប់អាន repositories ដែលអ្នក initiate scans ប្រឆាំងនឹងវា។ Source code ត្រូវបាន fetched សម្រាប់ scan នីមួយៗ, processed in memory និងរក្សាទុកតែ individual finding evidence (គ្មាន full source dumps)។ ត្រូវបានលុបក្នុងរយៈពេល 30 ថ្ងៃបន្ទាប់ពី disconnect។

    មូលដ្ឋានច្បាប់ · ការអនុវត្តកិច្ចសន្យា / ការយល់ព្រម — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (ស្រេចចិត្ត)

    Tokens ដែលអ្នកបង្កើតនៅ Account → API tokens ត្រូវបានរក្សាទុកជា SHA-256 hash, 8 plaintext characters ដំបូង (សម្រាប់ការកំណត់អត្តសញ្ញាណ), name ដែលអ្នកផ្តល់ និង created/last-used/revoked timestamps។ Plaintext ត្រូវបានបង្ហាញឱ្យអ្នកមើលត្រឹមមួយដងនៅពេលបង្កើត ហើយមិនដែល persisted ទេ។ Tokens ជា bearer credentials: អ្នកណាដែលមាន value អាចអាន scans របស់អ្នក និងចាប់ផ្តើម scans ថ្មីៗរហូតដល់អ្នក revoke។ MCP server នៅ /api/mcp ត្រូវបាន authenticated ដោយ tokens ដូចគ្នា, បង្ហាញ data ដូច dashboard នឹងបង្ហាញ និងមិនបង្កើត data category ដាច់ដោយឡែកទេ។

    មូលដ្ឋានច្បាប់ · ការអនុវត្តកិច្ចសន្យា — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    មូលដ្ឋានច្បាប់ · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (ស្រេចចិត្ត, Unlimited only)

    ប្រសិនបើអ្នកមាន monitoring enabled លើ verified domain យើង capture certificate-transparency log entries, DNS records និង threat-intel listings (Spamhaus DBL, URLhaus) សម្រាប់ domain នោះជាប្រចាំ។ snapshots ទាំងនេះមាន hostnames ដែលអ្នកបាន authorise ឱ្យយើង scan រួចហើយ និង public results នៃ public lookups។ មិនមាន personal data របស់ end-users របស់អ្នកត្រូវបាន capture ទេ។ Snapshots ដែលចាស់ជាង 7 ថ្ងៃត្រូវបានលុបដោយស្វ័យប្រវត្តិ; baseline ថ្មីបំផុតត្រូវបានរក្សាទុកសម្រាប់ signal type នីមួយៗ។

    មូលដ្ឋានច្បាប់ · ការអនុវត្តកិច្ចសន្យា — Art. 6(1)(b) GDPR

  • ការស្កែនឡើងវិញតាមកាលវិភាគ (ស្រេចចិត្ត, Pro+ only)

    ប្រសិនបើអ្នក enable scheduled scans លើ verified domain យើង record cadence, last run time, next run time និង user ដែល enable schedule។ cron-triggered scan នីមួយៗ inherit authorization-to-scan attestation ដែលបានធ្វើនៅពេល domain ត្រូវបាន verified ជាលើកដំបូង — អ្នកមិនចាំបាច់ re-attest ក្នុង run នីមួយៗទេ។ Disable បានគ្រប់ពេលនៅ Domains → Schedule។

    មូលដ្ឋានច្បាប់ · ការអនុវត្តកិច្ចសន្យា — Art. 6(1)(b) GDPR

  • Analytics (ស្រេចចិត្ត, consent-gated)

    ប្រសិនបើអ្នក grant analytics consent ហើយ analytics configured សម្រាប់ deployment ដែលអ្នកកំពុងប្រើ យើងប្រើ privacy-respecting product-analytics provider (proxied តាម domain របស់យើងផ្ទាល់) ដើម្បី record anonymous usage — buttons ណាត្រូវបាន clicked, checks ណាដែលមនុស្ស run, users drop off នៅកន្លែងណាក្នុង funnel។ យើងមិនដាក់ URLs ដែលអ្នក scan, evidence content ឬ personal data ក្នុង analytics events ទេ។ Revoke consent បានគ្រប់ពេលតាម

    មូលដ្ឋានច្បាប់ · ការយល់ព្រម — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • ការទាមទារការផ្តល់ជូនផ្សព្វផ្សាយ

    នៅពេលអ្នកទាមទារកូដផ្សព្វផ្សាយ តំណអញ្ជើញ ឬឥណទានបញ្ជូន យើងរក្សាទុកកូដយុទ្ធនាការ គម្រោងនិងរយៈពេលដែលយើងបានផ្តល់ កាលបរិច្ឆេទចាប់ផ្តើមនិងបញ្ចប់ការសាកល្បង គម្រោងដែលអ្នកមានមុនការសាកល្បង និង hash HMAC-SHA256 នៃអាសយដ្ឋាន IP របស់អ្នកនៅពេលទាមទារ (យើងមិនដែលរក្សាទុក IP ដើមទេ — hash មានតែដើម្បីយើងអាចអនុវត្តដែនកំណត់មួយការទាមទារក្នុងបណ្តាញ ហើយការផ្លាស់ប្តូរសោ HMAC មូលដ្ឋាននឹងធ្វើឱ្យ hash ដែលរក្សាទុកទាំងអស់អស់សុពលភាពដោយមិនបង្ហាញនរណាម្នាក់ឡើយ)។ រក្សាទុកសម្រាប់ជីវិតយុទ្ធនាការបូក 18 ខែសម្រាប់គោលបំណងគណនេយ្យនិងការស៊ើបអង្កេតការក្លែងបន្លំ បន្ទាប់មកលុបជាមួយកំណត់ត្រាយុទ្ធនាការដែលនៅសល់។

    មូលដ្ឋានច្បាប់ · ប្រយោជន៍ស្របច្បាប់ (ការការពារការក្លែងបន្លំ គណនេយ្យ) — មាត្រា 6(1)(f) GDPR

  • ការប្រកួតប្រជែង sweepstakes និងការប្រកួត

    ប្រសិនបើអ្នកចូលរួមការប្រកួត FixVibe (ដូចជា Security Preflight Challenge) យើងរក្សាទុកអ៊ីមែលទំនាក់ទំនងដែលអ្នកដាក់ស្នើ (តម្រូវការដើម្បីយើងអាចទាក់ទងអ្នកប្រសិនបើអ្នកឈ្នះ) ឈ្មោះអ្នកប្រើ Reddit និង Product Hunt ដែលអ្នកផ្តល់ជាជម្រើស scan ID និងដែនរ៉ូតរបស់អ្នក ប្រភេទគម្រោងដែលរាយការណ៍ដោយខ្លួនឯង stack និងអត្ថបទរឿងមួយដែលខ្ញុំបានរៀនដែលអ្នកផ្តល់ជាជម្រើស តម្លៃប៉ុស្តិ៍រកឃើញដែលអ្នកជ្រើសរើសជាជម្រើស និងប្រអប់ធីកការយល់ព្រមដែលត្រូវការទាំងបីដែលអ្នកទទួលយក (ការអនុញ្ញាត ច្បាប់ ទំនាក់ទំនង)។ ប្រសិនបើអ្នកធីកការយល់ព្រម បង្ហាញនៅលើទីផ្សារ ដែលជាជម្រើសដាច់ដោយឡែក យើងអាចបង្ហាញពិន្ទុជាសាធារណៈ ការវាយតម្លៃ stack ឈ្មោះអ្នកប្រើ និងសម្តីសម្តែងដែលដាក់ស្នើនៅលើទំព័រដើម FixVibe ទំព័រប្រកួតប្រជែង ឬប៉ុស្តិ៍សង្ខេប — មិនដែលប្រអប់ផ្សេងទៀតទេ ហើយមិនដែលគ្មាន opt-in នោះទេ។ ការចូលរួមការប្រកួតត្រូវបានរក្សាទុកសម្រាប់ជីវិតការប្រកួតបូក 18 ខែសម្រាប់ការផ្ទៀងផ្ទាត់និងគោលបំណងជម្លោះ។ អ្នកអាចដកការយល់ព្រមបង្ហាញនៅលើទីផ្សារនៅពេលណាក៏បានដោយផ្ញើអ៊ីមែលទៅ privacy@fixvibe.app; ការដកមិនប៉ះពាល់ដល់ដំណើរការស្របច្បាប់មុនការដកទេ។

    មូលដ្ឋានច្បាប់ · ការអនុវត្តកិច្ចសន្យា (ដំណើរការការប្រកួត) និងការយល់ព្រម (ការបង្ហាញ) — មាត្រា 6(1)(b) និង 6(1)(a) GDPR

អ្វីដែលយើងមិនប្រមូល

  • យើងមិនដែលលក់ទិន្នន័យរបស់អ្នកទេ។
  • យើងមិន embed third-party ad-tech, fingerprinting ឬ session-replay scripts ទេ។
  • យើងមិនដាក់ scan target URLs ឬ finding evidence របស់អ្នកទៅក្នុង analytics properties ទេ — data នោះនៅតែក្នុង database របស់យើងប៉ុណ្ណោះ ដែលត្រូវបាន gated ដោយ row-level security។
  • យើងមិន share ទិន្នន័យរបស់អ្នកជាមួយ third parties សម្រាប់ marketing ផ្ទាល់ខ្លួនរបស់ពួកគេទេ។

Sub-processors

យើងពឹងផ្អែកលើ sub-processors ខាងក្រោមដើម្បីដំណើរការ FixVibe:

  • Vercel Inc. (USA) — application hosting និង edge network។ Privacy notice: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime។ FixVibe production database ស្ថិតនៅក្នុង AWS us-east-1 region។ Privacy notice: supabase.com/privacy.
  • Stripe Inc. (USA) — payment processing សម្រាប់ paid plans។ Privacy notice: stripe.com/privacy.
  • Upstash, Inc. (USA, តាម Vercel Marketplace) — Redis-backed rate limiting; រក្សាទុកតែ short-lived IP-based counters។ Privacy notice: upstash.com/privacy.
  • PostHog Inc. (USA) — product analytics តែប៉ុណ្ណោះប្រសិនបើអ្នក grant analytics consent និងតែពេល analytics configured សម្រាប់ deployment ដែលអ្នកកំពុងប្រើ។ Privacy notice: posthog.com/privacy.
  • GitHub, Inc. (USA) — តែប៉ុណ្ណោះប្រសិនបើអ្នកភ្ជាប់ optional GitHub integration។ យើងប្រើ GitHub’s API ដើម្បីអាន repositories ដែលអ្នក initiate scans ប្រឆាំងនឹងវា។ Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — transactional email delivery។ ទទួល email address និង email body របស់អ្នកនៅពេលយើងផ្ញើ scan-completed, scheduled-scan, live-threat alert និង weekly-digest emails។ Resend រក្សា delivery metadata (timestamps, status, bounce records) សម្រាប់ operational purposes; យើងមិនដែលផ្ញើ marketing email តាម Resend ទេ។ Privacy notice: resend.com/legal/privacy-policy.

Transfers of personal data នៅក្រៅ EEA/UK ពឹងផ្អែកលើ Standard Contractual Clauses របស់ European Commission (ឬ UK International Data Transfer Addendum) ដែលត្រូវបានបន្ថែមដោយ encryption-in-transit និង encryption-at-rest measures ដែលបានពណ៌នានៅក្នុង “Security” ខាងក្រោម។

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

សិទ្ធិរបស់អ្នក

ក្រោម GDPR, UK GDPR និងច្បាប់ស្មើភាពគ្នា (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act ។ល។) អ្នកមានសិទ្ធិ:

  • access copy នៃ data របស់អ្នក (អ្នកអាចធ្វើ self-serve ពី គណនី → ឯកជនភាព);
  • ឱ្យ data របស់អ្នកត្រូវបាន corrected;
  • ឱ្យ data របស់អ្នកត្រូវបាន deleted (self-serve ផងដែរ);
  • object ទៅ processing ដែលផ្អែកលើ legitimate interests;
  • withdraw consent សម្រាប់ analytics បានគ្រប់ពេលតាម ;
  • data portability — export របស់អ្នកនៅក្នុង JSON;
  • lodge complaint ជាមួយ local supervisory authority របស់អ្នក (EU/UK/EEA) ឬស្ថាប័នស្មើគ្នា។

យើងឆ្លើយតបចំពោះ verifiable rights requests ក្នុងរយៈពេល 30 ថ្ងៃ។ សម្រាប់ requests ដែលយើងមិនអាចបំពេញតាម self-serve បាន (rectification នៃ field ដែលយើងមិន expose, restriction of processing, objection) សូម email ទៅ support@fixvibe.app ដោយប្រើ subject line “Privacy request”។

អ្នករស់នៅ California (CCPA / CPRA)

យើងមិនលក់ personal information របស់អ្នកទេ។ យើងមិន share personal information សម្រាប់ cross-context behavioral advertising ទេ។ Analytics តាម PostHog ដំណើរការតែបន្ទាប់ពីអ្នក grant consent ក្នុង cookie banner របស់យើង; អ្នកអាច withdraw consent នោះបានគ្រប់ពេលតាម ឬដោយចុច ជម្រើសឯកជនភាពរបស់អ្នក នៅ footer។

ប្រសិនបើអ្នកជាអ្នករស់នៅ California អ្នកក៏មានសិទ្ធិ:

  • ដឹងថាយើងប្រមូល personal information អ្វីខ្លះ, sources, purposes និង third parties ណាមួយដែលយើង share វាជាមួយ (ទាំងអស់បានលម្អិតខាងលើ);
  • request deletion នៃ personal information របស់អ្នក (self-serve តាម Account → Privacy ឬដោយ email មកយើង);
  • correct personal information មិនត្រឹមត្រូវ;
  • limit use និង disclosure នៃ sensitive personal information — យើងមិនប្រមូលអ្វីក្រៅពី authentication credentials និង session metadata ដែលទាំងពីរត្រូវការដើម្បីផ្តល់ service;
  • opt out ពី sale ឬ sharing — មិនអាចអនុវត្តបាន ព្រោះយើងមិនធ្វើទាំងពីរ;
  • មិនត្រូវបានរើសអើងសម្រាប់ការអនុវត្តសិទ្ធិខាងលើណាមួយ។

យើងគោរព Global Privacy Control (GPC) signals ដោយស្វ័យប្រវត្តិ; ការផ្ញើ GPC header ចាត់ទុក visit របស់អ្នកដូចជាអ្នកបាន opt out យ៉ាងច្បាស់ពី future analytics consent ណាមួយ។

សុវត្ថិភាព

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

គ្មាន security program ណាល្អឥតខ្ចោះទេ។ ប្រសិនបើអ្នកជឿថាអ្នកបានរកឃើញ vulnerability ក្នុង FixVibe សូម report វាទៅ support@fixvibe.app

ការផ្លាស់ប្តូរគោលការណ៍នេះ

ប្រសិនបើយើងធ្វើ material changes — sub-processors ថ្មី, categories ថ្មីនៃ data, retention periods ថ្មី — យើងនឹង update កាលបរិច្ឆេទខាងលើ និង notify អ្នក in-app។ Minor wording fixes មិនបង្ក notification ទេ។

ទំនាក់ទំនង

privacy@fixvibe.app — ជាធម្មតាឆ្លើយតបក្នុង 5 ថ្ងៃធ្វើការ ហើយមិនដែលយូរជាង 30 ថ្ងៃ ដូចដែលត្រូវបានទាមទារដោយ GDPR Art. 12(3)។

គោលការណ៍ឯកជនភាព · FixVibe