गोपनीयता धोरण

FixVibe EGO HERO LLC द्वारे चालवले जाते (“आम्ही”, “आम्हाला”), जे या धोरणात वर्णन केलेल्या वैयक्तिक डेटासाठी data controller आहे. GDPR, UK GDPR, किंवा CCPA अंतर्गत data subject विनंत्यांसह गोपनीयता प्रश्नांसाठी privacy@fixvibe.app वर संपर्क करा. इतर कोणत्याही बाबीसाठी support@fixvibe.app वर लिहा.

• खाते डेटा

  ईमेल पत्ता, OAuth ओळखकर्ता (तुम्ही Google किंवा GitHub वापरून sign in केल्यास), आणि तुमच्या OAuth provider कडून मिळणारे कोणतेही नाव. तुम्हाला authenticate करण्यासाठी आणि तुमच्या account बद्दल संपर्क करण्यासाठी वापरले जाते. तुमचे account सक्रिय असताना ठेवले जाते. तुम्ही account delete करता तेव्हा, आम्हाला ते ठेवणे आवश्यक असलेल्या प्रसंगी वगळता (उदाहरणार्थ tax law अंतर्गत billing records), हा data 30 दिवसांत काढला जातो.

  कायदेशीर आधार · कराराची अंमलबजावणी — Art. 6(1)(b) GDPR

• Scan targets आणि findings

  तुम्ही scan करता ते URLs, त्या URLs वर आम्ही करतो त्या requests, आणि आम्ही तयार करतो ते findings. ते तुमच्या organization शी जोडून stored केले जातात. तुमच्या plan च्या retention window पेक्षा जुने records आम्ही आपोआप delete करतो: 30 दिवस (Hobby), 90 दिवस (Pro), 365 दिवस (Unlimited). Account → Privacy मधून तुम्ही कधीही तुमचा scan history export किंवा delete करू शकता.

  कायदेशीर आधार · कराराची अंमलबजावणी — Art. 6(1)(b) GDPR

• अनामिक scan sessions

  तुम्ही sign in न करता scan चालवल्यास, आम्ही opaque random ID असलेली HMAC-signed cookie (fixvibe_anon_session, 24-hour lifetime) issue करतो. Claim न केलेले anonymous scan records आम्ही 24 तासांनंतर आपोआप delete करतो. तुम्ही 24-hour window मध्ये sign up केल्यास, तुमचा scan तुमच्या नवीन account मध्ये migrate होतो. Anonymous users sign up करेपर्यंत ते कोण आहेत हे आम्हाला माहीत नसते.

  कायदेशीर आधार · कठोरपणे आवश्यक — ePrivacy Art. 5(3) exemption

• Billing data

  Stripe आमचा payment processor आहे. ते तुमचे card details PCI-DSS infrastructure वर store करतात; आम्ही फक्त Stripe customer ID, subscription status, plan, period start/end, आणि webhook events चा छोटा idempotency record ठेवतो. Stripe ची privacy notice stripe.com/privacy वर पहा.

  कायदेशीर आधार · कराराची अंमलबजावणी — Art. 6(1)(b) GDPR

• Server logs आणि audit logs

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  कायदेशीर आधार · Legitimate interest — Art. 6(1)(f) GDPR

• GitHub integration (पर्यायी, फक्त Pro+)

  तुम्ही Account → Integrations मधून GitHub account connect केल्यास, आम्ही तुमच्या organization साठी encrypted OAuth access token, तुमचे GitHub login + numeric user ID, आणि granted scopes store करतो. Token फक्त तुम्ही scan सुरू करता त्या repositories वाचण्यासाठी वापरतो. Source code प्रत्येक scan साठी fetch केला जातो, memory मध्ये process होतो, आणि फक्त individual finding evidence persist होते (full source dumps नाहीत). Disconnect केल्यानंतर 30 दिवसांत delete केला जातो.

  कायदेशीर आधार · कराराची अंमलबजावणी / consent — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokens + MCP server (पर्यायी)

  Account → API tokens वर तुम्ही तयार केलेले tokens SHA-256 hash म्हणून, ओळखीसाठी पहिली 8 plaintext characters, तुम्ही दिलेले नाव, आणि created/last-used/revoked timestamps सह store केले जातात. Plaintext creation वेळी तुम्हाला नेमके एकदाच दाखवला जातो आणि कधीही persist होत नाही. Tokens bearer credentials आहेत: ज्याच्याकडे value आहे तो तुमचे scans वाचू शकतो आणि तुम्ही revoke करेपर्यंत नवीन scans सुरू करू शकतो. /api/mcp वरील MCP server त्याच tokens ने authenticated आहे, dashboard दाखवेल तोच data expose करतो, आणि वेगळी data category तयार करत नाही.

  कायदेशीर आधार · कराराची अंमलबजावणी — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  कायदेशीर आधार · Performance of contract — Art. 6(1)(b) GDPR

• Live threat detection (पर्यायी, फक्त Unlimited)

  Verified domain वर monitoring enabled असल्यास, त्या domain साठी certificate-transparency log entries, DNS records, आणि threat-intel listings (Spamhaus DBL, URLhaus) आम्ही वेळोवेळी capture करतो. या snapshots मध्ये तुम्ही आम्हाला scan करण्यास आधीच authorised केलेली hostnames आणि public lookups चे public results असतात. तुमच्या end-users चा personal data capture होत नाही. 7 दिवसांपेक्षा जुने snapshots आपोआप delete होतात; प्रत्येक signal type साठी सर्वात अलीकडचे baseline retained राहते.

  कायदेशीर आधार · कराराची अंमलबजावणी — Art. 6(1)(b) GDPR

• Scheduled re-scans (पर्यायी, फक्त Pro+)

  Verified domain वर scheduled scans enable केल्यास, आम्ही cadence, last run time, next run time, आणि schedule enable करणारा user record करतो. प्रत्येक cron-triggered scan domain प्रथम verified झाल्यावर केलेले authorization-to-scan attestation inherit करतो — प्रत्येक run साठी पुन्हा attest करावे लागत नाही. Domains → Schedule येथे कधीही disable करा.

  कायदेशीर आधार · कराराची अंमलबजावणी — Art. 6(1)(b) GDPR

• Analytics (पर्यायी, consent-gated)

  तुम्ही analytics consent दिल्यास आणि तुम्ही वापरत असलेल्या deployment साठी analytics configured असल्यास, anonymous usage record करण्यासाठी आम्ही privacy-respecting product-analytics provider (आमच्या स्वतःच्या domain द्वारे proxied) वापरतो — कोणती buttons click होतात, लोक कोणते checks run करतात, funnel मध्ये users कुठे drop off होतात. तुम्ही scan करता ते URLs, evidence content, किंवा personal data आम्ही analytics events मध्ये ठेवत नाही. Cookie settings द्वारे कधीही consent revoke करा.

  कायदेशीर आधार · Consent — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• प्रोमोशनल ऑफर रिडम्पशन

  जेव्हा तुम्ही प्रोमो कोड, आमंत्रण लिंक किंवा रेफरल क्रेडिट रिडीम करता, तेव्हा आम्ही मोहिमेचा कोड, आम्ही दिलेला प्लॅन आणि कालावधी, ट्रायलचे प्रारंभ आणि शेवट टाइमस्टॅम्प्स, ट्रायलच्या आधी तुम्ही असलेला प्लॅन आणि रिडम्पशनच्या वेळी तुमच्या IP अॅड्रेसचा HMAC-SHA256 हॅश संग्रहित करतो (आम्ही कधीही कच्चा IP संग्रहित करत नाही — हॅश फक्त म्हणून अस्तित्वात आहे की आम्ही एक-रिडम्पशन-प्रति-नेटवर्क मर्यादा लागू करू शकू आणि अंतर्निहित HMAC की फिरवल्याने कोणालाही उघड न करता सर्व संग्रहित हॅश अवैध होतात). लेखा आणि फसवणूक-तपास उद्देशांसाठी मोहिमेच्या आयुष्यासाठी अधिक १८ महिने राखले जाते, नंतर मोहीम रेकॉर्डच्या इतर भागासह हटवले जाते.

  कायदेशीर आधार · वैध हित (फसवणूक प्रतिबंध, लेखा) — Art. 6(1)(f) GDPR

• स्पर्धा, स्वीपस्टेक्स आणि चॅलेंजेस

  जर तुम्ही FixVibe चॅलेंजमध्ये प्रवेश केलात (जसे की सिक्युरिटी प्रीफ्लाइट चॅलेंज), तर आम्ही तुम्ही सबमिट केलेला संपर्क ईमेल (आवश्यक जेणेकरून तुम्ही जिंकलात तर आम्ही तुमच्यापर्यंत पोहोचू शकतो), तुम्ही पर्यायीपणे पुरवलेले Reddit आणि Product Hunt यूजरनेम्स, तुमचा scan ID आणि रूट डोमेन, स्वत:-नोंदवलेला प्रकल्प प्रकार, स्टॅक आणि तुम्ही पर्यायीपणे पुरवलेला एक-गोष्ट-मी-शिकलो मजकूर, तुम्ही पर्यायीपणे निवडलेले डिस्कव्हरी-चॅनेल मूल्य आणि तुम्ही स्वीकारलेले तीन आवश्यक संमती चेकबॉक्सेस (अधिकृतता, नियम, संपर्क) संग्रहित करतो. जर तुम्ही पर्यायी featured-on-marketing संमती स्वतंत्रपणे टिक केली, तर आम्ही तुमचा सार्वजनिक स्कोअर, रेटिंग, स्टॅक, यूजरनेम आणि सबमिट केलेले उद्धरण FixVibe होमपेज, चॅलेंज पेज किंवा रिकॅप पोस्टवर प्रदर्शित करू शकतो — इतर कोणतेही फील्ड कधीही नाही आणि त्या ऑप्ट-इन शिवाय कधीही नाही. चॅलेंज प्रवेश सत्यापन आणि वाद उद्देशांसाठी चॅलेंजच्या आयुष्यासाठी अधिक १८ महिने राखले जातात. तुम्ही privacy@fixvibe.app वर ईमेल करून कधीही featured-on-marketing संमती मागे घेऊ शकता; मागे घेण्याने मागे घेण्यापूर्वी कायदेशीर प्रक्रियेवर परिणाम होत नाही.

  कायदेशीर आधार · करार पूर्तता (चॅलेंज चालवणे) आणि संमती (फिचरिंग) — Art. 6(1)(b) आणि 6(1)(a) GDPR

• आम्ही तुमचा data कधीही विकत नाही.
• आम्ही third-party ad-tech, fingerprinting, किंवा session-replay scripts embed करत नाही.
• तुमचे scan target URLs किंवा finding evidence आम्ही analytics properties मध्ये ठेवत नाही — तो data फक्त आमच्या database मध्ये राहतो, row-level security ने gated.
• Third parties ना त्यांच्या स्वतःच्या marketing साठी आम्ही तुमचा data share करत नाही.

FixVibe चालवण्यासाठी आम्ही खालील sub-processors वर अवलंबून आहोत:

• Vercel Inc. (USA) — application hosting आणि edge network. Privacy notice: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. FixVibe production database AWS us-east-1 region मध्ये आहे. Privacy notice: supabase.com/privacy.
• Stripe Inc. (USA) — paid plans साठी payment processing. Privacy notice: stripe.com/privacy.
• Upstash, Inc. (USA, via the Vercel Marketplace) — Redis-backed rate limiting; फक्त short-lived IP-based counters store करते. Privacy notice: upstash.com/privacy.
• PostHog Inc. (USA) — product analytics, फक्त तुम्ही analytics consent दिल्यास आणि तुम्ही वापरत असलेल्या deployment साठी analytics configured असल्यास. Privacy notice: posthog.com/privacy.
• GitHub, Inc. (USA) — फक्त तुम्ही पर्यायी GitHub integration connect केल्यास. तुम्ही scan सुरू करता त्या repositories वाचण्यासाठी आम्ही GitHub API वापरतो. Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — transactional email delivery. आम्ही scan-completed, scheduled-scan, live-threat alert, आणि weekly-digest emails पाठवतो तेव्हा तुमचा email address आणि email body प्राप्त करते. Resend operational purposes साठी delivery metadata (timestamps, status, bounce records) ठेवते; आम्ही Resend द्वारे marketing email कधीही पाठवत नाही. Privacy notice: resend.com/legal/privacy-policy.

EEA/UK बाहेर personal data transfers European Commission च्या Standard Contractual Clauses (किंवा UK International Data Transfer Addendum) वर आधारित असतात, आणि खाली “Security” मध्ये वर्णन केलेल्या encryption-in-transit आणि encryption-at-rest measures ने पूरक असतात.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR, UK GDPR, आणि समकक्ष कायदे (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act इत्यादी) अंतर्गत, तुम्हाला अधिकार आहे:

• तुमच्या data ची copy access करण्याचा (हे तुम्ही Account → Privacy मधून self-serve करू शकता);
• तुमचा data corrected करवून घेण्याचा;
• तुमचा data deleted करवून घेण्याचा (self-serve देखील);
• legitimate interests वर आधारित processing ला object करण्याचा;
• Cookie settings द्वारे analytics consent कधीही withdraw करण्याचा;
• data portability — तुमचा export JSON मध्ये आहे;
• तुमच्या local supervisory authority (EU/UK/EEA) किंवा समकक्षाकडे complaint lodge करण्याचा.

Verifiable rights requests ना आम्ही 30 दिवसांत respond करतो. Self-serve द्वारे पूर्ण करता न येणाऱ्या requests साठी (आम्ही expose न केलेल्या field ची rectification, restriction of processing, objection), subject line “Privacy request” सह support@fixvibe.app वर email करा.

आम्ही तुमची personal information विकत नाही. Cross-context behavioral advertising साठी personal information share करत नाही. PostHog द्वारे analytics फक्त तुम्ही आमच्या cookie banner मध्ये consent दिल्यानंतर runs होते; तुम्ही तो consent Cookie settings द्वारे किंवा footer मधील Your Privacy Choices click करून कधीही withdraw करू शकता.

तुम्ही California resident असल्यास, तुम्हाला पुढील अधिकारही आहेत:

• आम्ही कोणती personal information collect करतो, sources, purposes, आणि आम्ही ज्या third parties सोबत share करतो ते जाणून घेण्याचा (सर्व तपशील वर दिले आहेत);
• तुमची personal information delete करण्याची विनंती करण्याचा (Account → Privacy द्वारे self-serve किंवा आम्हाला email करून);
• चुकीची personal information correct करण्याचा;
• sensitive personal information चा use आणि disclosure limit करण्याचा — authentication credentials आणि session metadata शिवाय आम्ही काही collect करत नाही, आणि सेवा देण्यासाठी दोन्ही आवश्यक आहेत;
• sale किंवा sharing मधून opt out करण्याचा — आम्ही दोन्ही करत नसल्याने लागू नाही;
• वरील कोणताही अधिकार वापरल्यामुळे discriminated against न होण्याचा.

Global Privacy Control (GPC) signals आम्ही आपोआप honor करतो; GPC header पाठवल्यास तुमची visit भविष्यातील analytics consent मधून स्पष्टपणे opted out केल्यासारखी मानली जाते.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

कोणताही security program perfect नसतो. तुम्हाला FixVibe मध्ये vulnerability सापडली असे वाटत असल्यास, कृपया support@fixvibe.app वर report करा.

आम्ही material changes केल्यास — नवीन sub-processors, data च्या नवीन categories, नवीन retention periods — वरची date update करू आणि तुम्हाला in-app notify करू. लहान wording fixes notification trigger करत नाहीत.

privacy@fixvibe.app — replies सहसा 5 business days मध्ये, GDPR Art. 12(3) नुसार आवश्यक 30 दिवसांपेक्षा कधीही जास्त नाही.