Dasar Privasi

FixVibe dikendalikan oleh EGO HERO LLC (“kami”), pengawal data untuk data peribadi yang diterangkan dalam dasar ini. Untuk soalan privasi, termasuk permintaan subjek data di bawah GDPR, UK GDPR, atau CCPA, hubungi privacy@fixvibe.app. Untuk perkara lain, tulis kepada support@fixvibe.app.

• Data akaun

  Alamat e-mel, pengecam OAuth (jika anda log masuk dengan Google atau GitHub), dan sebarang nama yang kami terima daripada pembekal OAuth anda. Digunakan untuk mengesahkan anda dan menghubungi anda tentang akaun anda. Disimpan selagi akaun anda aktif. Apabila anda memadam akaun anda, data ini dikeluarkan dalam masa 30 hari, kecuali apabila kami diwajibkan menyimpannya (cth., rekod pengebilan di bawah undang-undang cukai).

  asas undang-undang · Pelaksanaan kontrak — Art. 6(1)(b) GDPR

• Sasaran imbasan dan penemuan

  URL yang anda imbas, permintaan yang kami buat kepada URL tersebut, dan penemuan yang kami hasilkan. Disimpan terhadap organisasi anda. Kami memadam secara automatik rekod yang lebih lama daripada tetingkap pengekalan pelan anda: 30 hari (Hobby), 90 hari (Pro), 365 hari (Unlimited). Anda boleh mengeksport atau memadam sejarah imbasan anda pada bila-bila masa dari Akaun → Privasi.

  asas undang-undang · Pelaksanaan kontrak — Art. 6(1)(b) GDPR

• Sesi imbasan tanpa nama

  Jika anda menjalankan imbasan tanpa log masuk, kami mengeluarkan cookie bertandatangan HMAC (fixvibe_anon_session, hayat 24 jam) yang menyimpan ID rawak legap. Kami memadam secara automatik rekod imbasan tanpa nama yang tidak dituntut selepas 24 jam. Jika anda mendaftar dalam tetingkap 24 jam, imbasan anda berpindah ke akaun baharu anda. Kami tidak tahu siapa pengguna tanpa nama melainkan mereka mendaftar.

  asas undang-undang · Sangat diperlukan — pengecualian ePrivacy Art. 5(3)

• Data pengebilan

  Stripe ialah pemproses pembayaran kami. Mereka menyimpan butiran kad anda pada infrastruktur PCI-DSS; kami hanya menyimpan Stripe customer ID, status langganan, pelan, permulaan/akhir tempoh, dan rekod idempotency kecil untuk event webhook. Lihat notis privasi Stripe di stripe.com/privacy.

  asas undang-undang · Pelaksanaan kontrak — Art. 6(1)(b) GDPR

• Log pelayan dan log audit

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  asas undang-undang · Kepentingan sah — Art. 6(1)(f) GDPR

• Integrasi GitHub (pilihan, Pro+ sahaja)

  Jika anda menyambungkan akaun GitHub dari Akaun → Integrasi, kami menyimpan token akses OAuth yang disulitkan untuk organisasi anda, login GitHub + ID pengguna berangka anda, dan scopes yang diberikan. Kami menggunakan token semata-mata untuk membaca repositories yang anda mulakan imbasan terhadapnya. Source code diambil bagi setiap imbasan, diproses dalam memory, dan hanya evidence penemuan individu disimpan (tiada source dump penuh). Dipadam dalam masa 30 hari selepas disconnect.

  asas undang-undang · Pelaksanaan kontrak / persetujuan — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokens + MCP server (pilihan)

  Token yang anda cipta di Akaun → API tokens disimpan sebagai hash SHA-256, 8 aksara plaintext pertama (untuk pengenalan), nama yang anda berikan, serta timestamp dicipta/terakhir digunakan/dibatalkan. Plaintext ditunjukkan kepada anda tepat sekali semasa penciptaan dan tidak pernah disimpan. Token ialah kelayakan bearer: sesiapa yang mempunyai nilai itu boleh membaca imbasan anda dan memulakan yang baharu sehingga anda membatalkannya. MCP server di /api/mcp disahkan oleh token yang sama, mendedahkan data yang sama seperti dashboard, dan tidak mencipta kategori data berasingan.

  asas undang-undang · Pelaksanaan kontrak — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  asas undang-undang · Performance of contract — Art. 6(1)(b) GDPR

• Live threat detection (pilihan, Unlimited sahaja)

  Jika anda mengaktifkan monitoring pada domain yang disahkan, kami secara berkala menangkap certificate-transparency log entries, DNS records, dan threat-intel listings (Spamhaus DBL, URLhaus) untuk domain tersebut. Snapshot ini mengandungi hostnames yang telah anda benarkan kami imbas dan keputusan awam daripada public lookups. Tiada data peribadi end-users anda ditangkap. Snapshot yang lebih lama daripada 7 hari dipadam secara automatik; baseline terkini disimpan bagi setiap jenis signal.

  asas undang-undang · Pelaksanaan kontrak — Art. 6(1)(b) GDPR

• Imbasan semula berjadual (pilihan, Pro+ sahaja)

  Jika anda mengaktifkan scheduled scans pada domain yang disahkan, kami merekodkan cadence, masa terakhir dijalankan, masa seterusnya dijalankan, dan pengguna yang mengaktifkan jadual tersebut. Setiap imbasan yang dicetuskan cron mewarisi authorization-to-scan attestation yang dibuat semasa domain mula-mula disahkan — anda tidak perlu attest semula bagi setiap run. Nyahaktifkan pada bila-bila masa di Domain → Jadual.

  asas undang-undang · Pelaksanaan kontrak — Art. 6(1)(b) GDPR

• Analytics (pilihan, berpagar persetujuan)

  Jika anda memberikan analytics consent dan analytics dikonfigurasikan untuk deployment yang anda gunakan, kami menggunakan pembekal product-analytics yang menghormati privasi (diproksi melalui domain kami sendiri) untuk merekod penggunaan tanpa nama — butang mana yang diklik, check mana yang dijalankan orang, tempat users drop off dalam funnel. Kami tidak memasukkan URL yang anda imbas, kandungan evidence, atau data peribadi ke dalam event analytics. Batalkan persetujuan pada bila-bila masa melalui Cookie settings.

  asas undang-undang · Persetujuan — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Penebusan tawaran promosi

  Apabila anda menebus kod promosi, pautan jemputan, atau kredit rujukan, kami menyimpan kod kempen, pelan dan tempoh yang kami berikan, cap masa mula dan tamat percubaan, pelan yang anda pegang sebelum percubaan, dan hash HMAC-SHA256 alamat IP anda pada masa penebusan (kami tidak pernah menyimpan IP mentah — hash wujud hanya supaya kami boleh menguatkuasakan had satu-penebusan-setiap-rangkaian, dan memutarkan kunci HMAC asas membatalkan semua hash yang disimpan tanpa mendedahkan sesiapa). Disimpan untuk hayat kempen ditambah 18 bulan untuk tujuan perakaunan dan penyiasatan penipuan, kemudian dipadamkan bersama rekod kempen yang lain.

  asas undang-undang · Kepentingan sah (pencegahan penipuan, perakaunan) — Art. 6(1)(f) GDPR

• Peraduan, undian, dan cabaran

  Jika anda menyertai Cabaran FixVibe (seperti Cabaran Pra-Penerbangan Keselamatan), kami menyimpan e-mel hubungan yang anda hantar (diperlukan supaya kami boleh menghubungi anda jika anda menang), nama pengguna Reddit dan Product Hunt yang anda berikan secara pilihan, scan ID dan domain akar anda, jenis projek yang dilaporkan sendiri, stack, dan teks satu-perkara-yang-saya-pelajari yang anda berikan secara pilihan, nilai saluran-penemuan yang anda pilih secara pilihan, dan tiga kotak semak persetujuan yang diperlukan yang anda terima (kebenaran, peraturan, hubungan). Jika anda secara berasingan menandakan persetujuan pilihan dipaparkan-di-pemasaran, kami mungkin memaparkan skor awam, penarafan, stack, nama pengguna, dan petikan yang dihantar anda di laman utama FixVibe, halaman cabaran, atau siaran rumusan — tidak pernah mana-mana medan lain, dan tidak pernah tanpa opt-in tersebut. Penyertaan Cabaran disimpan untuk hayat Cabaran ditambah 18 bulan untuk tujuan pengesahan dan pertikaian. Anda boleh menarik balik persetujuan dipaparkan-di-pemasaran pada bila-bila masa dengan menghantar e-mel kepada privacy@fixvibe.app; menarik balik tidak menjejaskan pemprosesan sah sebelum penarikan.

  asas undang-undang · Pelaksanaan kontrak (menjalankan Cabaran) dan persetujuan (memaparkan) — Art. 6(1)(b) dan 6(1)(a) GDPR

• Kami tidak pernah menjual data anda.
• Kami tidak membenamkan third-party ad-tech, fingerprinting, atau session-replay scripts.
• Kami tidak memasukkan scan target URLs atau finding evidence anda ke dalam analytics properties — data itu hanya berada dalam database kami, dilindungi oleh row-level security.
• Kami tidak berkongsi data anda dengan third parties untuk marketing mereka sendiri.

Kami bergantung pada sub-pemproses berikut untuk menjalankan FixVibe:

• Vercel Inc. (USA) — application hosting dan edge network. Notis privasi: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. Database pengeluaran FixVibe berada di region AWS us-east-1. Notis privasi: supabase.com/privacy.
• Stripe Inc. (USA) — payment processing untuk pelan berbayar. Notis privasi: stripe.com/privacy.
• Upstash, Inc. (USA, melalui Vercel Marketplace) — rate limiting berasaskan Redis; hanya menyimpan counters berasaskan IP yang berumur pendek. Notis privasi: upstash.com/privacy.
• PostHog Inc. (USA) — product analytics, hanya jika anda memberikan analytics consent dan hanya apabila analytics dikonfigurasikan untuk deployment yang anda gunakan. Notis privasi: posthog.com/privacy.
• GitHub, Inc. (USA) — hanya jika anda menyambungkan integrasi GitHub pilihan. Kami menggunakan GitHub API untuk membaca repositories yang anda mulakan imbasan terhadapnya. Notis privasi: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — penghantaran e-mel transaksi. Menerima alamat e-mel anda dan badan e-mel apabila kami menghantar e-mel scan-completed, scheduled-scan, live-threat alert, dan weekly-digest. Resend menyimpan delivery metadata (timestamps, status, bounce records) untuk tujuan operasi; kami tidak pernah menghantar marketing email melalui Resend. Notis privasi: resend.com/legal/privacy-policy.

Pemindahan data peribadi ke luar EEA/UK bergantung pada Standard Contractual Clauses Suruhanjaya Eropah (atau International Data Transfer Addendum UK), dilengkapi oleh langkah encryption-in-transit dan encryption-at-rest yang diterangkan dalam “Security” di bawah.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Di bawah GDPR, UK GDPR, dan undang-undang setara (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act dll.), anda berhak untuk:

• mengakses salinan data anda (anda boleh melakukannya secara layan diri dari Akaun → Privasi);
• meminta data anda dibetulkan;
• meminta data anda dipadam (juga layan diri);
• membantah pemprosesan berdasarkan kepentingan sah;
• menarik balik persetujuan untuk analytics pada bila-bila masa melalui Cookie settings;
• portabiliti data — eksport anda dalam JSON;
• membuat aduan kepada pihak berkuasa penyelia tempatan anda (EU/UK/EEA) atau yang setara.

Kami memberi respons kepada permintaan hak yang boleh disahkan dalam masa 30 hari. Untuk permintaan yang tidak dapat kami penuhi melalui layan diri (pembetulan medan yang tidak kami dedahkan, sekatan pemprosesan, bantahan), e-mel ke support@fixvibe.app dengan baris subjek “Privacy request”.

Kami tidak menjual maklumat peribadi anda. Kami tidak berkongsi maklumat peribadi untuk pengiklanan tingkah laku merentas konteks. Analytics melalui PostHog hanya berjalan selepas anda memberikan persetujuan dalam banner cookie kami; anda boleh menarik balik persetujuan itu pada bila-bila masa melalui Cookie settings atau dengan mengklik Your Privacy Choices dalam footer.

Jika anda penduduk California, anda juga berhak untuk:

• mengetahui maklumat peribadi yang kami kumpulkan, sumbernya, tujuannya, dan mana-mana third parties yang kami kongsikan dengannya (semuanya diperincikan di atas);
• meminta pemadaman maklumat peribadi anda (layan diri melalui Akaun → Privasi atau dengan menghantar e-mel kepada kami);
• membetulkan maklumat peribadi yang tidak tepat;
• mengehadkan penggunaan dan pendedahan maklumat peribadi sensitif — kami tidak mengumpul apa-apa selain kelayakan pengesahan dan metadata sesi, kedua-duanya diperlukan untuk menyediakan perkhidmatan;
• menarik diri daripada penjualan atau perkongsian — tidak berkenaan kerana kami tidak melakukan kedua-duanya;
• tidak didiskriminasi kerana melaksanakan mana-mana hak di atas.

Kami menghormati isyarat Global Privacy Control (GPC) secara automatik; menghantar header GPC memperlakukan lawatan anda seolah-olah anda telah secara jelas menarik diri daripada sebarang persetujuan analytics masa hadapan.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Tiada program keselamatan yang sempurna. Jika anda percaya anda telah menemui vulnerability dalam FixVibe, sila laporkan kepada support@fixvibe.app.

Jika kami membuat perubahan material — sub-pemproses baharu, kategori data baharu, tempoh pengekalan baharu — kami akan mengemas kini tarikh di atas dan memberitahu anda dalam apl. Pembetulan wording kecil tidak mencetuskan pemberitahuan.

privacy@fixvibe.app — balasan biasanya dalam 5 hari perniagaan, tidak pernah melebihi 30 hari seperti yang dikehendaki oleh GDPR Art. 12(3).