FixVibe

// privacy

Нууцлалын бодлого

сүүлд шинэчилсэн · 2026-05-17

Бид хэн бэ

FixVibe-г EGO HERO LLC (“бид”, “манай”) ажиллуулдаг бөгөөд энэ бодлогод тайлбарласан хувийн өгөгдлийн data controller юм. Нууцлалын асуулт, үүнд GDPR, UK GDPR эсвэл CCPA-ын дагуух data subject хүсэлтүүдийг privacy@fixvibe.app хаягаар илгээнэ үү. Бусад бүх зүйлд support@fixvibe.app руу бичнэ үү.

Бид юу цуглуулдаг, яагаад, хэр удаан хадгалдаг

  • Бүртгэлийн өгөгдөл

    Имэйл хаяг, OAuth identifier (Google эсвэл GitHub-аар нэвтэрсэн бол), мөн таны OAuth provider-оос бидэнд ирсэн аливаа нэр. Таныг authenticate хийх болон бүртгэлийн талаар холбоо барихад ашиглана. Таны бүртгэл идэвхтэй байх хугацаанд хадгална. Та бүртгэлээ устгахад, бид хадгалах үүрэгтэй тохиолдлоос бусад үед (жишээ нь татварын хуулийн дагуух billing records) энэ өгөгдлийг 30 хоногийн дотор устгана.

    lawful basis · Гэрээний гүйцэтгэл — Art. 6(1)(b) GDPR

  • Скан хийх зорилтууд ба олдворууд

    Таны скан хийдэг URLs, тэдгээр URLs руу бидний илгээдэг requests, мөн бидний үүсгэдэг findings. Танай organization-д холбож хадгална. Таны plan-ын retention window-оос хуучин records-ыг бид автоматаар устгана: 30 хоног (Hobby), 90 хоног (Pro), 365 хоног (Unlimited). Та Account → Privacy хэсгээс scan history-гаа хүссэн үедээ export эсвэл delete хийж болно.

    lawful basis · Гэрээний гүйцэтгэл — Art. 6(1)(b) GDPR

  • Нэргүй скан session-ууд

    Хэрэв та нэвтрэхгүйгээр scan ажиллуулбал бид opaque random ID агуулсан HMAC-signed cookie (fixvibe_anon_session, 24-hour lifetime) олгоно. Claim хийгдээгүй anonymous scan records-ыг 24 цагийн дараа автоматаар устгана. Хэрэв та 24-hour window дотор sign up хийвэл таны scan шинэ account руу migrate хийгдэнэ. Anonymous users sign up хийхээс нааш бид тэднийг хэн болохыг мэдэхгүй.

    lawful basis · Зайлшгүй шаардлагатай — ePrivacy Art. 5(3) exemption

  • Billing өгөгдөл

    Stripe бол манай payment processor. Тэд таны card details-ыг PCI-DSS infrastructure дээр хадгалдаг; бид зөвхөн Stripe customer ID, subscription status, plan, period start/end, мөн webhook events-ийн жижиг idempotency record хадгалдаг. Stripe privacy notice-г stripe.com/privacy дээрээс үзнэ үү.

    lawful basis · Гэрээний гүйцэтгэл — Art. 6(1)(b) GDPR

  • Server logs ба audit logs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    lawful basis · Legitimate interest — Art. 6(1)(f) GDPR

  • GitHub integration (optional, Pro+ only)

    Хэрэв та Account → Integrations хэсгээс GitHub account холбовол бид танай organization-д зориулсан encrypted OAuth access token, таны GitHub login + numeric user ID, мөн granted scopes-ыг хадгална. Token-ыг зөвхөн таны scan эхлүүлсэн repositories-г read хийхэд ашиглана. Source code нь scan бүрээр fetch хийгдэж, memory-д process хийгдээд, зөвхөн individual finding evidence persist хийгдэнэ (full source dumps байхгүй). Disconnect хийснээс хойш 30 хоногийн дотор устгагдана.

    lawful basis · Гэрээний гүйцэтгэл / зөвшөөрөл — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (optional)

    Account → API tokens хэсэгт таны үүсгэсэн tokens нь SHA-256 hash, identification-д зориулсан эхний 8 plaintext characters, таны өгсөн name, мөн created/last-used/revoked timestamps хэлбэрээр хадгалагдана. Plaintext нь creation үед танд яг нэг удаа харагдах бөгөөд хэзээ ч persist хийгдэхгүй. Tokens бол bearer credentials: value-тэй хэн ч таны scans-ыг уншиж, таныг revoke хийх хүртэл шинээр start хийж чадна. /api/mcp дээрх MCP server нь ижил tokens-оор authenticated болж, dashboard харуулахтай ижил data-г expose хийдэг бөгөөд тусдаа data category үүсгэдэггүй.

    lawful basis · Гэрээний гүйцэтгэл — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    lawful basis · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (optional, Unlimited only)

    Verified domain дээр monitoring enabled байвал бид тухайн domain-д зориулсан certificate-transparency log entries, DNS records, threat-intel listings (Spamhaus DBL, URLhaus)-ыг үе үе capture хийнэ. Эдгээр snapshots нь таны бидэнд scan хийхээр аль хэдийн authorised болгосон hostnames болон public lookups-ын public results-ыг агуулна. Таны end-users-ын personal data capture хийгдэхгүй. 7 хоногоос хуучин snapshots автоматаар устгагдана; signal type бүрийн most recent baseline хадгалагдана.

    lawful basis · Гэрээний гүйцэтгэл — Art. 6(1)(b) GDPR

  • Scheduled re-scans (optional, Pro+ only)

    Хэрэв та verified domain дээр scheduled scans идэвхжүүлбэл бид cadence, last run time, next run time, мөн schedule-ыг идэвхжүүлсэн user-ийг бүртгэнэ. Cron-triggered scan бүр нь domain анх verified болох үед хийсэн authorization-to-scan attestation-ыг inherit хийнэ — run бүр дээр дахин attest хийх шаардлагагүй. Domains → Schedule хэсгээс хүссэн үедээ disable хийнэ үү.

    lawful basis · Гэрээний гүйцэтгэл — Art. 6(1)(b) GDPR

  • Analytics (optional, consent-gated)

    Хэрэв та analytics consent өгсөн бөгөөд таны ашиглаж буй deployment-д analytics configured бол бид anonymous usage бүртгэхийн тулд privacy-respecting product-analytics provider (манай өөрийн domain-оор proxied) ашиглана — аль buttons clicked болж байна, хүмүүс ямар checks run хийж байна, funnel дотор users хаана drop off болж байна. Таны scan хийдэг URLs, evidence content эсвэл personal data-г analytics events-д оруулахгүй. ашиглан хүссэн үедээ consent revoke хийнэ үү.

    lawful basis · Зөвшөөрөл — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Урамшуулалт саналын авалт

    Та урамшууллын код, урилгын холбоос, эсвэл рефералын кредит авах үед бид кампанит ажлын код, бид олгосон төлөвлөгөө болон хугацаа, туршилтын эхлэл ба төгсгөлийн цагийн тэмдэг, туршилтаас өмнө таны байсан төлөвлөгөө, болон авалтын үед таны IP хаягийн HMAC-SHA256 хэшийг хадгална (бид хэзээ ч түүхий IP хадгалдаггүй — хэш зөвхөн нэг сүлжээнд нэг авалтын хязгаарлалтыг хэрэгжүүлэх боломжтой байх үүднээс байх ба HMAC үндсэн түлхүүрийг эргүүлэх нь хэнийг ч ил болгохгүйгээр хадгалсан бүх хэшийг хүчингүй болгоно). Кампанит ажлын хугацаанд болон нягтлан бодох бүртгэл, луйврын мөрдөн байцаалтын зорилгоор нэмэлт 18 сар хадгалаад, кампанит ажлын бичлэгийн хамт устгана.

    lawful basis · Хууль ёсны ашиг сонирхол (луйвраас сэргийлэх, нягтлан бодох) — GDPR 6(1)(f) зүйл

  • Тэмцээн, сугалаа, болон шалгалтууд

    Хэрэв та FixVibe Шалгалтанд (Аюулгүй байдлын урьдчилсан шалгалтын тэмцээн гэх мэт) оролцох бол бид таны илгээсэн холбоо барих имэйл (ялвал тантай холбогдоход шаардлагатай), таны сонголтоор өгсөн Reddit ба Product Hunt хэрэглэгчийн нэрс, таны scan ID ба үндсэн домэйн, таны сонголтоор өгсөн өөрөө мэдүүлсэн төслийн төрөл, стек, болон сурсан нэг зүйл текст, таны сонголтоор сонгосон нээлтийн сувгийн утга, болон таны хүлээн зөвшөөрсөн гурван шаардлагатай зөвшөөрлийн хайрцагуудыг (зөвшөөрөл, дүрэм, холбоо барих) хадгална. Хэрэв та тусдаа сонголтоор маркетинг дээр онцлох зөвшөөрлийг тэмдэглэвэл бид FixVibe нүүр хуудас, шалгалтын хуудас, эсвэл хураангуй пост дээр таны нийтийн оноо, үнэлгээ, стек, хэрэглэгчийн нэр, болон илгээсэн ишлэлийг харуулж болно — өөр аль ч талбарыг хэзээ ч, бас тэр зөвшөөрөлгүйгээр хэзээ ч биш. Шалгалтын оролцоонуудыг шалгалтын хугацаанд болон шалгах, маргааны зорилгоор нэмэлт 18 сар хадгална. Та маркетинг дээр онцлох зөвшөөрлийг privacy@fixvibe.app руу имэйл бичих замаар хүссэн үедээ цуцалж болно; цуцлах нь цуцлахаас өмнөх хууль ёсны боловсруулалтад нөлөөлөхгүй.

    lawful basis · Гэрээний гүйцэтгэл (Шалгалтыг ажиллуулах) болон зөвшөөрөл (онцлох) — GDPR 6(1)(b) ба 6(1)(a) зүйл

Бид цуглуулдаггүй зүйлс

  • Бид таны өгөгдлийг хэзээ ч зардаггүй.
  • Бид third-party ad-tech, fingerprinting эсвэл session-replay scripts embed хийдэггүй.
  • Бид таны scan target URLs эсвэл finding evidence-г analytics properties-д оруулдаггүй — тэр data зөвхөн манай database-д, row-level security-ээр gated байдлаар хадгалагдана.
  • Бид таны data-г гуравдагч этгээдийн өөрсдийн marketing-д зориулж share хийдэггүй.

Sub-processors

FixVibe-г ажиллуулахын тулд бид дараах sub-processors-д тулгуурладаг:

  • Vercel Inc. (USA) — application hosting ба edge network. Privacy notice: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. FixVibe production database нь AWS us-east-1 region-д байна. Privacy notice: supabase.com/privacy.
  • Stripe Inc. (USA) — paid plans-ын payment processing. Privacy notice: stripe.com/privacy.
  • Upstash, Inc. (USA, via the Vercel Marketplace) — Redis-backed rate limiting; зөвхөн short-lived IP-based counters хадгална. Privacy notice: upstash.com/privacy.
  • PostHog Inc. (USA) — product analytics, зөвхөн та analytics consent өгсөн бөгөөд таны ашиглаж буй deployment-д analytics configured үед. Privacy notice: posthog.com/privacy.
  • GitHub, Inc. (USA) — зөвхөн та optional GitHub integration холбосон үед. Таны scan эхлүүлсэн repositories-г read хийхийн тулд бид GitHub API ашигладаг. Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — transactional email delivery. Бид scan-completed, scheduled-scan, live-threat alert, weekly-digest emails илгээх үед таны email address болон email body-г хүлээн авна. Resend нь operational purposes-д зориулж delivery metadata (timestamps, status, bounce records) хадгалдаг; бид Resend-ээр marketing email хэзээ ч илгээдэггүй. Privacy notice: resend.com/legal/privacy-policy.

EEA/UK-аас гадуур personal data transfers нь European Commission Standard Contractual Clauses (эсвэл UK International Data Transfer Addendum)-д тулгуурлаж, доорх “Security” хэсэгт тайлбарласан encryption-in-transit болон encryption-at-rest арга хэмжээгээр supplement хийгддэг.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Таны эрхүүд

GDPR, UK GDPR болон ижил төстэй хууль (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act гэх мэт)-ийн дагуу танд дараах эрхүүд бий:

  • өөрийн data-гийн copy-д access авах (үүнийг Account → Privacy-аас self-serve байдлаар хийж болно);
  • өөрийн data-г corrected болгуулах;
  • өөрийн data-г deleted болгуулах (мөн self-serve);
  • legitimate interests-д тулгуурласан processing-д object хийх;
  • -ээр analytics consent-ыг хүссэн үедээ withdraw хийх;
  • data portability — таны export JSON хэлбэртэй байна;
  • өөрийн local supervisory authority (EU/UK/EEA) эсвэл equivalent байгууллагад complaint lodge хийх.

Бид verifiable rights requests-д 30 хоногийн дотор respond хийнэ. Self-serve-ээр satisfy хийж болохгүй requests-д (бид expose хийдэггүй field-ийн rectification, processing-ийн restriction, objection) “Privacy request” subject line-тайгаар support@fixvibe.app руу email илгээнэ үү.

California residents (CCPA / CPRA)

Бид таны personal information-г зардаггүй. Бид cross-context behavioral advertising-д personal information share хийдэггүй. PostHog-оор analytics нь зөвхөн та манай cookie banner дээр consent өгсний дараа ажиллана; та тэр consent-ыг -ээр эсвэл footer дахь Your Privacy Choices дээр дарж хүссэн үедээ withdraw хийж болно.

Хэрэв та California resident бол танд мөн дараах эрхүүд бий:

  • бид ямар personal information collect хийдэг, sources, purposes, мөн бид share хийдэг third parties-ыг мэдэх (бүгд дээр дэлгэрэнгүй бичсэн);
  • өөрийн personal information deletion хүсэх (Account → Privacy-аар self-serve эсвэл бидэнд email илгээж);
  • буруу personal information correct хийх;
  • sensitive personal information-ийн use болон disclosure-г limit хийх — бид authentication credentials болон session metadata-аас өөр зүйл collect хийдэггүй бөгөөд эдгээр нь service үзүүлэхэд шаардлагатай;
  • sale эсвэл sharing-аас opt out хийх — бид аль алиныг нь хийдэггүй тул хамаарахгүй;
  • дээрх эрхүүдийн алиныг ч хэрэгжүүлсний төлөө discriminated against болохгүй байх.

Бид Global Privacy Control (GPC) signals-ыг автоматаар honor хийдэг; GPC header илгээвэл таны visit-ыг ирээдүйн analytics consent-оос explicitly opted out хийсэн мэт авч үзнэ.

Security

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Ямар ч security program төгс биш. Хэрэв та FixVibe-д vulnerability олсон гэж үзвэл support@fixvibe.app хаягаар report хийнэ үү.

Энэ бодлогын өөрчлөлтүүд

Хэрэв бид material changes хийвэл — new sub-processors, new categories of data, new retention periods — дээрх date-г update хийж, танд in-app мэдэгдэнэ. Minor wording fixes нь notification trigger хийхгүй.

Холбоо барих

privacy@fixvibe.app — хариу ихэвчлэн 5 business days дотор ирнэ, GDPR Art. 12(3)-д шаардсан 30 days-аас хэзээ ч хэтрэхгүй.

Нууцлалын бодлого · FixVibe