FixVibe

// privacy

Polîtîkaya Veşartî

nûjenkirina dawî · 2026-05-17

Em kî ne

FixVibe ji aliyê EGO HERO LLC ve tê birêve birin (“em”, “me”), ku data controller ji bo personal data ya di vê polîtîkayê de hatiye ravekirin e. Ji bo pirsên veşartiyê, di nav de data subject requests di bin GDPR, UK GDPR, an CCPA de, bi privacy@fixvibe.app re têkilî daynin. Ji bo her tiştê din, ji support@fixvibe.app re binivîse.

Em çi berhev dikin, çima, û çiqas demê digirin

  • Daneyên hesabê

    Navnîşana e-nameyê, OAuth identifier (heke tu bi Google an GitHub sign in bikî), û her navek ku em ji OAuth provider a te werdigirin. Ji bo authenticate kirina te û têkilîdanîna bi te re derbarê hesabê te tê bikaranîn. Heta hesabê te çalak be tê ragirtin. Dema ku tu hesabê xwe jê bibî, ev data di nav 30 rojan de tê rakirin, ji bilî cihên ku em mecbûr in wê bigirin (mînak, billing records di bin qanûna bacê de).

    bingehê qanûnî · Pêkanîna peymanê — Art. 6(1)(b) GDPR

  • Armancên scan û dîtin

    URLs ku tu scan dikî, requests ku em ji bo wan URLs dikin, û findings ku em çêdikin. Li dijî organization a te têne tomar kirin. Em records ku ji retention window a plan a te kevntir in bixweber jê dibin: 30 roj (Hobby), 90 roj (Pro), 365 roj (Unlimited). Tu dikaryî her dem scan history a xwe ji Account → Privacy export an delete bikî.

    bingehê qanûnî · Pêkanîna peymanê — Art. 6(1)(b) GDPR

  • Danişînên scan a bênav

    Heke tu bêyî sign in scanekê bixebitînî, em HMAC-signed cookie (fixvibe_anon_session, 24-hour lifetime) derdixin ku opaque random ID digire. Em unclaimed anonymous scan records piştî 24 saetan bixweber jê dibin. Heke tu di nav 24-hour window de sign up bikî, scan a te diçe nav hesabê te yê nû. Em nizanim anonymous users kî ne heya ku ew sign up nekin.

    bingehê qanûnî · Bi tundî pêwîst — ePrivacy Art. 5(3) exemption

  • Daneyên billing

    Stripe payment processor a me ye. Ew card details a te li ser PCI-DSS infrastructure digirin; em tenê Stripe customer ID, subscription status, plan, period start/end, û idempotency record a biçûk ji webhook events digirin. Privacy notice a Stripe li stripe.com/privacy bibîne.

    bingehê qanûnî · Pêkanîna peymanê — Art. 6(1)(b) GDPR

  • Server logs û audit logs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    bingehê qanûnî · Berjewendiya rewa — Art. 6(1)(f) GDPR

  • GitHub integration (bijarte, tenê Pro+)

    Heke tu GitHub account ji Account → Integrations ve girê bidî, em encrypted OAuth access token ji bo organization a te, GitHub login + numeric user ID a te, û granted scopes digirin. Em token tenê ji bo xwendina repositories ku tu scans li dijî wan dest pê dikî bikar tînin. Source code ji bo her scan tê fetched kirin, di memory de tê processed kirin, û tenê individual finding evidence tê persisted kirin (full source dumps tune). Di nav 30 rojan piştî disconnect de tê jêbirin.

    bingehê qanûnî · Pêkanîna peymanê / razîbûn — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (bijarte)

    Tokens ku tu li Account → API tokens çêdikî wek SHA-256 hash, 8 plaintext characters yên ewil (ji bo nasandinê), name ku te daye, û created/last-used/revoked timestamps têne ragirtin. Plaintext di dema afirandinê de tenê carekê ji te re tê nîşandan û qet persisted nabe. Tokens bearer credentials in: her kesê ku value hebe dikare scans a te bixwîne û heta ku tu revoke nekî yên nû dest pê bike. MCP server li /api/mcp bi heman tokens authenticated dibe, heman data ya ku dashboard nîşan dide expose dike, û data category a cuda çênake.

    bingehê qanûnî · Pêkanîna peymanê — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    bingehê qanûnî · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (bijarte, tenê Unlimited)

    Heke monitoring li ser verified domain a te enabled be, em ji bo wê domain certificate-transparency log entries, DNS records, û threat-intel listings (Spamhaus DBL, URLhaus) bi awayekî demdemî capture dikin. Ev snapshots hostnames ku te berê destûr daye em scan bikin û public results ên public lookups digirin. Tu personal data ya end-users a te nayê capture kirin. Snapshots ku ji 7 rojan kevntir in bixweber têne jêbirin; baseline a herî nû ji bo her signal type tê ragirtin.

    bingehê qanûnî · Pêkanîna peymanê — Art. 6(1)(b) GDPR

  • Re-scanên plansazkirî (bijarte, tenê Pro+)

    Heke tu scheduled scans li ser verified domain enabled bikî, em cadence, last run time, next run time, û user ê ku schedule enabled kiriye tomar dikin. Her cron-triggered scan authorization-to-scan attestation ya ku dema domain yekem car verified bû hatibû kirin inherit dike — ji bo her runê re-attest nakî. Her dem li Domains → Schedule disable bike.

    bingehê qanûnî · Pêkanîna peymanê — Art. 6(1)(b) GDPR

  • Analytics (bijarte, consent-gated)

    Heke tu analytics consent bidî û em analytics ji bo deployment ku tu bikar tînî configured hebe, em privacy-respecting product-analytics provider bikar tînin (proxied di riya domain a xwe de) ji bo tomar kirina anonymous usage — kîjan buttons clicked dibin, mirov kîjan checks run dikin, users li ku di funnel de drop off dibin. Em URLs ku tu scan dikî, evidence content, an personal data naxin nav analytics events. Razîbûnê her dem bi rêya revoke bike.

    bingehê qanûnî · Razîbûn — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Mafdayîna pêşkêşa reklamê

    Dema hûn kodek pêşkêşê, lînka vexwendinê, an krediyek referansê mafdar dikin, em koda kampanyayê, plan û dirêjahiya ku me dayî, mohra demê ya dest pê û dawiya ceribandinê, plana ku we berî ceribandinê di destê xwe de bû, û hashê HMAC-SHA256 ya navnîşana IP-ya we di dema mafdayînê de hilîn (em tu carî IP-ya xav hilnaynin — hash tenê heye da ku em bikaribin sînorên yek-mafdayîn-ji-her-torê bicîh bînin, û zivirîna mifteya HMAC ya bingehîn hemû hash-ên hilanîn betal dike bê eşkerekirina kesî). Ji bo jiyana kampanyayê plus 18 mehan ji bo armancên hesabkirinê û lêkolîna xapokiyê tê parastin, paşê bi mayîna tomara kampanyayê tê jêbirin.

    bingehê qanûnî · Berjewendiya rewa (rêgirtina xapokiyê, hesabkirinê) — Mad. 6(1)(f) GDPR

  • Pêşbirk, qurez, û pêşbazî

    Eger hûn têkevin Pêşbirkek FixVibe (wek Pêşbirka Pêş-Frêkirina Ewlehiyê), em e-nameya têkiliyê ya ku hûn pêşkêş dikin (pêwîst da ku em bigihîjin we eger hûn serketî bin), navên bikarhênerê Reddit û Product Hunt ên ku hûn bijare pêşkêş dikin, ID-ya skenerê we û navdomena root, cûreya projeyê ya xwe-ragihandî, stack, û nivîsa tiştek-min-fêr-bû ya ku hûn bijare pêşkêş dikin, nirxa kanala kifşkirinê ya ku hûn bijare hildibijêrin, û sê qutiyên razîbûnê yên pêwîst ên ku hûn qebûl dikin (destûrdarî, qaîde, têkilî) hildigirin. Eger hûn ji hev cuda razîbûna pêşkêş-li-bazirganiyê ya bijare nîşan bidin, em dibe ku encama we ya giştî, nirxandin, stack, navê bikarhêner, û gotina pêşkêşkirî li ser rûpela serekî ya FixVibe, rûpela pêşbirkê, an postek kurte nîşan bidin — qet tu qadek din, û qet bê wê opt-inê. Têketinên pêşbirkê ji bo jiyana Pêşbirkê plus 18 mehan ji bo armancên verastkirinê û nakokiyê têne parastin. Hûn dikarin razîbûna pêşkêş-li-bazirganiyê her dem bi e-nameya privacy@fixvibe.app vekişînin; vekişîn bandorê li pêvajoya qanûnî ya berî vekişînê nake.

    bingehê qanûnî · Performansa peymanê (meşandina Pêşbirkê) û razîbûn (pêşkêşkirin) — Mad. 6(1)(b) û 6(1)(a) GDPR

Em çi berhev nakin

  • Em qet daneyên te nafiroşin.
  • Em third-party ad-tech, fingerprinting, an session-replay scripts embed nakin.
  • Em scan target URLs an finding evidence a te naxin nav analytics properties — ew data tenê di database a me de dijî, bi row-level security tê girtin.
  • Em daneyên te ji bo marketing a xwe ya third parties re parve nakin.

Sub-processors

Em ji bo xebitandina FixVibe xwe dispêrin van sub-processors:

  • Vercel Inc. (USA) — application hosting û edge network. Privacy notice: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. FixVibe production database li AWS us-east-1 region e. Privacy notice: supabase.com/privacy.
  • Stripe Inc. (USA) — payment processing ji bo paid plans. Privacy notice: stripe.com/privacy.
  • Upstash, Inc. (USA, bi rêya Vercel Marketplace) — Redis-backed rate limiting; tenê short-lived IP-based counters digire. Privacy notice: upstash.com/privacy.
  • PostHog Inc. (USA) — product analytics, tenê heke tu analytics consent bidî û tenê dema analytics ji bo deployment ku tu bikar tînî configured be. Privacy notice: posthog.com/privacy.
  • GitHub, Inc. (USA) — tenê heke tu optional GitHub integration girê bidî. Em GitHub’s API bikar tînin ji bo xwendina repositories ku tu scans li dijî wan dest pê dikî. Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — transactional email delivery. Dema ku em scan-completed, scheduled-scan, live-threat alert, û weekly-digest emails dişînin, email address û email body a te werdigire. Resend delivery metadata (timestamps, status, bounce records) ji bo operational purposes digire; em qet marketing email bi rêya Resend naşînin. Privacy notice: resend.com/legal/privacy-policy.

Transfers a personal data li derveyî EEA/UK xwe dispêrin Standard Contractual Clauses ên European Commission (an UK International Data Transfer Addendum), ku bi encryption-in-transit û encryption-at-rest measures ên di “Security” ya jêrîn de hatine ravekirin têne temamkirin.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Mafên te

Di bin GDPR, UK GDPR, û zagonên wekhev de (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act hwd.), mafê te heye ku:

  • access a copy ji data a xwe bikî (tu dikaryî vê self-serve ji Hesab → Veşartî bikî);
  • data a xwe corrected bikî;
  • data a xwe deleted bikî (her wiha self-serve);
  • li dijî processing ya li ser legitimate interests object bikî;
  • razîbûna analytics her dem bi rêya withdraw bikî;
  • data portability — export a te di JSON de ye;
  • complaint li cem local supervisory authority a xwe (EU/UK/EEA) an saziya wekhev lodge bikî.

Em di nav 30 rojan de bersiva verifiable rights requests didin. Ji bo requests ku em bi self-serve nikarin têr bikin (rectification a field ku em expose nakin, restriction of processing, objection), bi subject line “Privacy request” ji support@fixvibe.app re email bike.

Niştecihên California (CCPA / CPRA)

Em personal information a te nafiroşin. Em personal information ji bo cross-context behavioral advertising parve nakin. Analytics bi rêya PostHog tenê piştî ku tu di cookie banner a me de consent bidî dixebite; tu dikaryî wê consent her dem bi rêya an bi tikandina Hilbijartinên Veşartî yên Te di footer de withdraw bikî.

Heke tu niştecihê California yî, her wiha mafê te heye ku:

  • bizane em kîjan personal information berhev dikin, sources, purposes, û her third parties ku em wê bi wan re share dikin (hemû li jor bi hûrgulî hatine dayîn);
  • deletion a personal information a xwe bixwazî (self-serve bi Account → Privacy an bi email ji me re);
  • personal information a nerast correct bikî;
  • use û disclosure a sensitive personal information sînor bikî — em ji authentication credentials û session metadata wêdetir tiştek berhev nakin, û her du ji bo pêşkêşkirina service pêwîst in;
  • ji sale an sharing opt out bikî — ne tê sepandin ji ber ku em tu yekê nakin;
  • ji bo pêkanîna her yek ji mafên jorîn rastî cudakariyê neyî.

Em Global Privacy Control (GPC) signals bixweber rêz digirin; şandina GPC header visit a te wekî ku te bi eşkere ji her future analytics consent opt out kiriye tê hesibandin.

Ewlehî

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Tu security program bêkêmasî nîne. Heke tu bawer bikî ku te vulnerability di FixVibe de dît, ji kerema xwe wê ji support@fixvibe.app re report bike.

Guhertinên vê polîtîkayê

Heke em material changes bikin — sub-processors a nû, categories a nû ya data, retention periods a nû — em ê tarîxa jor update bikin û te in-app notify bikin. Minor wording fixes notification çênakin.

Têkilî

privacy@fixvibe.app — bersiv bi gelemperî di nav 5 rojên xebatê de tê, û qet ji 30 rojan dirêjtir nabe wekî ku GDPR Art. 12(3) hewce dike.

Polîtîkaya Veşartî · FixVibe