// privacy
ကိုယ်ရေးကိုယ်တာ မူဝါဒ
နောက်ဆုံးအပ်ဒိတ် · 2026-05-17
ကျွန်ုပ်တို့သည် မည်သူများဖြစ်သနည်း
FixVibe ကို EGO HERO LLC (“ကျွန်ုပ်တို့”, “ကျွန်ုပ်တို့၏”) မှ လည်ပတ်ပြီး ဤမူဝါဒတွင် ဖော်ပြထားသော personal data အတွက် data controller ဖြစ်သည်။ GDPR, UK GDPR သို့မဟုတ် CCPA အောက်ရှိ data subject request များအပါအဝင် privacy မေးခွန်းများအတွက် privacy@fixvibe.app သို့ ဆက်သွယ်ပါ။ အခြားအရာများအတွက် support@fixvibe.app သို့ ရေးပါ။
ကျွန်ုပ်တို့က ဘာကို စုဆောင်းသနည်း၊ ဘာကြောင့် စုဆောင်းသနည်း၊ ဘယ်လောက်ကြာ ထိန်းသိမ်းသနည်း
အကောင့်ဒေတာ
အီးမေးလ်လိပ်စာ၊ OAuth identifier (Google သို့မဟုတ် GitHub ဖြင့် sign in ဝင်ပါက) နှင့် သင်၏ OAuth provider ထံမှ ကျွန်ုပ်တို့ရရှိသော မည်သည့်အမည်မဆို။ သင့်ကို authenticate ပြုလုပ်ရန်နှင့် သင့်အကောင့်အကြောင်း ဆက်သွယ်ရန် အသုံးပြုသည်။ သင့်အကောင့် အသက်ဝင်နေသရွေ့ ထိန်းသိမ်းထားသည်။ သင်အကောင့်ကို ဖျက်သည့်အခါ ဤဒေတာကို 30 ရက်အတွင်း ဖယ်ရှားမည်ဖြစ်ပြီး၊ ထိန်းသိမ်းရန်လိုအပ်သောအခြေအနေများ (ဥပမာ အခွန်ဥပဒေအောက်ရှိ billing records) မှလွဲ၍ ဖြစ်သည်။
ဥပဒေမှီခိုအခြေခံ · စာချုပ်ကို ဆောင်ရွက်ခြင်း — Art. 6(1)(b) GDPR
Scan targets နှင့် findings
သင် scan လုပ်သော URL များ၊ ထို URL များသို့ ကျွန်ုပ်တို့ပြုလုပ်သော request များနှင့် ကျွန်ုပ်တို့ ထုတ်လုပ်သော findings များ။ သင့်အဖွဲ့အစည်းနှင့် ချိတ်ဆက်၍ သိမ်းဆည်းထားသည်။ သင့် plan ၏ retention window ထက်ဟောင်းသော records များကို အလိုအလျောက် ဖျက်သည်: 30 ရက် (Hobby), 90 ရက် (Pro), 365 ရက် (Unlimited)။ သင်၏ scan history ကို Account → Privacy မှ မည်သည့်အချိန်မဆို export သို့မဟုတ် delete ပြုလုပ်နိုင်သည်။
ဥပဒေမှီခိုအခြေခံ · စာချုပ်ကို ဆောင်ရွက်ခြင်း — Art. 6(1)(b) GDPR
အမည်မသိ scan sessions
Sign in မဝင်ဘဲ scan လုပ်ပါက opaque random ID ပါဝင်သော HMAC-signed cookie (fixvibe_anon_session, 24-hour lifetime) ကို ကျွန်ုပ်တို့ ထုတ်ပေးသည်။ မတောင်းယူထားသော anonymous scan records များကို 24 နာရီပြီးနောက် အလိုအလျောက် ဖျက်သည်။ 24-hour window အတွင်း sign up လုပ်ပါက သင်၏ scan သည် သင့်အကောင့်အသစ်သို့ ရွှေ့ပြောင်းမည်။ Anonymous users များသည် sign up မလုပ်မချင်း မည်သူဖြစ်သည်ကို ကျွန်ုပ်တို့ မသိပါ။
ဥပဒေမှီခိုအခြေခံ · လုံးဝလိုအပ်သော — ePrivacy Art. 5(3) exemption
Billing data
Stripe သည် ကျွန်ုပ်တို့၏ payment processor ဖြစ်သည်။ ၎င်းတို့သည် သင့် card details ကို PCI-DSS infrastructure ပေါ်တွင် သိမ်းဆည်းသည်; ကျွန်ုပ်တို့သည် Stripe customer ID, subscription status, plan, period start/end နှင့် webhook events အတွက် idempotency record အသေးစားကိုသာ သိမ်းဆည်းသည်။ Stripe ၏ privacy notice ကို stripe.com/privacy တွင် ကြည့်ပါ။
ဥပဒေမှီခိုအခြေခံ · စာချုပ်ကို ဆောင်ရွက်ခြင်း — Art. 6(1)(b) GDPR
Server logs နှင့် audit logs
Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.
ဥပဒေမှီခိုအခြေခံ · တရားဝင် အကျိုးစီးပွား — Art. 6(1)(f) GDPR
GitHub integration (မဖြစ်မနေမဟုတ်၊ Pro+ သာ)
Account → Integrations မှ GitHub account ကို ချိတ်ဆက်ပါက သင့်အဖွဲ့အစည်းအတွက် encrypted OAuth access token, သင်၏ GitHub login + numeric user ID နှင့် granted scopes ကို သိမ်းဆည်းသည်။ Token ကို သင်စတင် scan လုပ်သော repositories ကိုဖတ်ရန်သာ အသုံးပြုသည်။ Source code ကို scan တစ်ကြိမ်ချင်းစီတွင် fetch လုပ်ပြီး memory ထဲတွင် process လုပ်ကာ individual finding evidence ကိုသာ သိမ်းဆည်းသည် (full source dumps မရှိပါ)။ Disconnect ပြီးနောက် 30 ရက်အတွင်း ဖျက်သည်။
ဥပဒေမှီခိုအခြေခံ · စာချုပ်ကို ဆောင်ရွက်ခြင်း / သဘောတူညီချက် — Art. 6(1)(b) + 6(1)(a) GDPR
API tokens + MCP server (မဖြစ်မနေမဟုတ်)
Account → API tokens တွင် သင်ဖန်တီးသော tokens ကို SHA-256 hash, plaintext အက္ခရာ 8 လုံးပထမပိုင်း (ဖော်ထုတ်ရန်), သင်သတ်မှတ်ထားသောအမည်နှင့် created/last-used/revoked timestamps အဖြစ် သိမ်းဆည်းသည်။ Plaintext ကို ဖန်တီးချိန်တွင် တစ်ကြိမ်တိတိသာ ပြသပြီး မည်သည့်အခါမှ သိမ်းဆည်းမထားပါ။ Tokens များသည် bearer credentials ဖြစ်သည်: တန်ဖိုးကို ရရှိသူမည်သူမဆို သင်ပြန်လည်ရုပ်သိမ်းသည်အထိ သင်၏ scans ကို ဖတ်နိုင်ပြီး scan အသစ်များကို စတင်နိုင်သည်။ /api/mcp ရှိ MCP server သည် ထို tokens များနှင့်ပင် authenticated ပြုလုပ်ပြီး dashboard က ပြသမည့် data တူညီသော data ကို ထုတ်ပြကာ သီးခြား data category မဖန်တီးပါ။
ဥပဒေမှီခိုအခြေခံ · စာချုပ်ကို ဆောင်ရွက်ခြင်း — Art. 6(1)(b) GDPR
Outbound webhooks (optional, paid plans)
If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.
ဥပဒေမှီခိုအခြေခံ · Performance of contract — Art. 6(1)(b) GDPR
Live threat detection (မဖြစ်မနေမဟုတ်၊ Unlimited သာ)
Verified domain တစ်ခုတွင် monitoring ကို enable လုပ်ထားပါက ထို domain အတွက် certificate-transparency log entries, DNS records နှင့် threat-intel listings (Spamhaus DBL, URLhaus) ကို အချိန်ပိုင်းအလိုက် capture လုပ်သည်။ ဤ snapshots တွင် သင်ကျွန်ုပ်တို့အား scan ခွင့်ပြုထားပြီးဖြစ်သော hostnames နှင့် public lookups ၏ public results ပါဝင်သည်။ သင့် end-users ၏ personal data မည်သည့်အရာမှ မဖမ်းယူပါ။ 7 ရက်ထက်ဟောင်းသော snapshots များကို အလိုအလျောက် ဖျက်သည်; signal type တစ်ခုချင်းစီအတွက် နောက်ဆုံး baseline ကို ထိန်းသိမ်းထားသည်။
ဥပဒေမှီခိုအခြေခံ · စာချုပ်ကို ဆောင်ရွက်ခြင်း — Art. 6(1)(b) GDPR
Scheduled re-scans (မဖြစ်မနေမဟုတ်၊ Pro+ သာ)
Verified domain တစ်ခုတွင် scheduled scans ကို enable လုပ်ပါက cadence, last run time, next run time နှင့် schedule ကို enable လုပ်သော user ကို မှတ်တမ်းတင်သည်။ Cron-triggered scan တစ်ကြိမ်ချင်းစီသည် domain ကို ပထမဆုံး verify လုပ်သည့်အခါ ပြုလုပ်ထားသော authorization-to-scan attestation ကို ဆက်ခံသည် — run တစ်ကြိမ်ချင်းစီတွင် ပြန်လည် attest မလိုအပ်ပါ။ Domains → Schedule တွင် မည်သည့်အချိန်မဆို disable လုပ်ပါ။
ဥပဒေမှီခိုအခြေခံ · စာချုပ်ကို ဆောင်ရွက်ခြင်း — Art. 6(1)(b) GDPR
Analytics (မဖြစ်မနေမဟုတ်၊ သဘောတူညီချက်ဖြင့်သာ)
သင် analytics consent ပေးပြီး သင်အသုံးပြုနေသော deployment အတွက် analytics configured ဖြစ်ပါက ကျွန်ုပ်တို့သည် privacy-respecting product-analytics provider (ကျွန်ုပ်တို့၏ domain မှ proxied) ကို အသုံးပြုပြီး anonymous usage ကို မှတ်တမ်းတင်သည် — မည်သည့် buttons ကို click လုပ်သည်၊ လူများ မည်သည့် checks ကို run သည်၊ funnel ထဲတွင် users မည်သည့်နေရာမှ ထွက်သွားသည်။ သင် scan လုပ်သော URL များ၊ evidence content သို့မဟုတ် personal data ကို analytics events ထဲသို့ မထည့်ပါ။ မှ မည်သည့်အချိန်မဆို consent ကို ရုပ်သိမ်းနိုင်သည်။
ဥပဒေမှီခိုအခြေခံ · သဘောတူညီချက် — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)
ပရိုမိုးရှင်း ကမ်းလှမ်းချက် redemption
သင် promo code၊ ဖိတ်ခေါ်လင့်ခ် သို့မဟုတ် referral credit ကို redeem လုပ်သည့်အခါ၊ ကျွန်ုပ်တို့သည် campaign code၊ ကျွန်ုပ်တို့ ပေးအပ်ခဲ့သော plan နှင့် ကြာချိန်၊ trial စတင်နှင့်ပြီးဆုံးအချိန်တံဆိပ်များ၊ trial မပြုလုပ်မီ သင်ထားရှိခဲ့သော plan၊ နှင့် redemption အချိန်တွင် သင်၏ IP address ၏ HMAC-SHA256 hash (ကျွန်ုပ်တို့သည် raw IP ကို ဘယ်တော့မှ မသိမ်းပါ — hash သည် one-redemption-per-network ကန့်သတ်ချက်များကို လိုက်နာစေနိုင်ရန်အတွက်သာ တည်ရှိနေပြီး underlying HMAC key ကို လှည့်ပတ်ခြင်းသည် မည်သူ့ကိုမှ ထုတ်ဖော်ခြင်းမရှိဘဲ သိမ်းဆည်းထားသော hash များအားလုံးကို ပျက်ပြယ်စေသည်) ကို သိမ်းဆည်းပါသည်။ Campaign ၏ သက်တမ်းအပြင် ၁၈ လ ထပ်ပေါင်း၍ accounting နှင့် fraud-investigation ရည်ရွယ်ချက်များအတွက် သိမ်းဆည်းပြီး ၎င်းနောက် campaign record ၏ ကျန်အပိုင်းနှင့်အတူ ဖျက်ပစ်သည်။
ဥပဒေမှီခိုအခြေခံ · တရားဝင်အကျိုးစီးပွား (fraud prevention၊ accounting) — Art. 6(1)(f) GDPR
ပြိုင်ပွဲများ၊ sweepstakes များနှင့် challenge များ
FixVibe Challenge တစ်ခု (Security Preflight Challenge ကဲ့သို့) ကို သင်ဝင်ရောက်ပါက၊ သင်တင်သွင်းသော ဆက်သွယ်ရန် email (သင် အနိုင်ရပါက ဆက်သွယ်နိုင်ရန် လိုအပ်သည်)၊ သင် optional ပေးအပ်သော Reddit နှင့် Product Hunt usernames များ၊ သင်၏ scan ID နှင့် root domain၊ သင် optional ပေးအပ်သော self-reported project အမျိုးအစား၊ stack နှင့် one-thing-I-learned စာသား၊ သင် optional ရွေးချယ်သော discovery-channel တန်ဖိုး၊ နှင့် သင်လက်ခံသော လိုအပ်သော consent checkbox သုံးခု (ခွင့်ပြုချက်၊ စည်းမျဉ်းများ၊ ဆက်သွယ်မှု) တို့ကို ကျွန်ုပ်တို့ သိမ်းဆည်းပါသည်။ သင် သီးခြားသဘောတူသော optional featured-on-marketing consent ကို ထည့်ပါက၊ ကျွန်ုပ်တို့သည် သင်၏ အများသိ ရမှတ်၊ rating၊ stack၊ username နှင့် တင်သွင်းသော quote ကို FixVibe homepage၊ challenge page သို့မဟုတ် recap post တွင် ဖော်ပြနိုင်ပါသည် — အခြားမည်သည့် field ကိုမှ ဘယ်တော့မှ မပြ၊ ထို opt-in မရှိဘဲ ဘယ်တော့မှ မပြ။ Challenge entries များကို Challenge ၏ သက်တမ်းအပြင် ၁၈ လ ထပ်ပေါင်း၍ verification နှင့် dispute ရည်ရွယ်ချက်များအတွက် သိမ်းဆည်းသည်။ privacy@fixvibe.app သို့ email ပို့ခြင်းဖြင့် featured-on-marketing consent ကို မည်သည့်အချိန်တွင်မဆို သင် ရုပ်သိမ်းနိုင်သည်; ရုပ်သိမ်းခြင်းသည် ရုပ်သိမ်းမှုမတိုင်မီ တရားဝင် ပြုလုပ်မှုကို မထိခိုက်ပါ။
ဥပဒေမှီခိုအခြေခံ · စာချုပ်လုပ်ဆောင်ခြင်း (Challenge ကို run ခြင်း) နှင့် consent (featuring) — Art. 6(1)(b) နှင့် 6(1)(a) GDPR
ကျွန်ုပ်တို့ မစုဆောင်းသောအရာများ
- သင့်ဒေတာကို ကျွန်ုပ်တို့ ဘယ်တော့မှ မရောင်းပါ။
- Third-party ad-tech, fingerprinting သို့မဟုတ် session-replay scripts များကို ကျွန်ုပ်တို့ embed မလုပ်ပါ။
- သင်၏ scan target URLs သို့မဟုတ် finding evidence ကို analytics properties ထဲသို့ မထည့်ပါ — ထိုဒေတာသည် row-level security ဖြင့် ကာကွယ်ထားသော ကျွန်ုပ်တို့၏ database ထဲတွင်သာ ရှိသည်။
- သင့်ဒေတာကို third parties ၏ ကိုယ်ပိုင် marketing အတွက် မျှဝေမပေးပါ။
Sub-processors
FixVibe ကို လည်ပတ်ရန် အောက်ပါ sub-processors များကို မှီခိုသည်:
- Vercel Inc. (USA) — application hosting နှင့် edge network။ Privacy notice: vercel.com/legal/privacy-policy။
- Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime။ FixVibe production database သည် AWS us-east-1 region တွင် ရှိသည်။ Privacy notice: supabase.com/privacy။
- Stripe Inc. (USA) — paid plans အတွက် payment processing။ Privacy notice: stripe.com/privacy။
- Upstash, Inc. (USA, Vercel Marketplace မှတစ်ဆင့်) — Redis-backed rate limiting; short-lived IP-based counters များကိုသာ သိမ်းဆည်းသည်။ Privacy notice: upstash.com/privacy။
- PostHog Inc. (USA) — product analytics, သင် analytics consent ပေးပြီး သင်အသုံးပြုနေသော deployment အတွက် analytics configured ဖြစ်သောအခါသာ။ Privacy notice: posthog.com/privacy။
- GitHub, Inc. (USA) — optional GitHub integration ကို ချိတ်ဆက်ပါကသာ။ သင်စတင် scan လုပ်သော repositories ကို ဖတ်ရန် GitHub API ကို အသုံးပြုသည်။ Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement။
- Resend, Inc. (USA) — transactional email delivery။ Scan-completed, scheduled-scan, live-threat alert နှင့် weekly-digest emails များ ပေးပို့သည့်အခါ သင့် email address နှင့် email body ကို လက်ခံသည်။ Resend သည် operational purposes အတွက် delivery metadata (timestamps, status, bounce records) ကို ထိန်းသိမ်းသည်; Resend မှတစ်ဆင့် marketing email မပို့ပါ။ Privacy notice: resend.com/legal/privacy-policy။
EEA/UK အပြင်ဘက်သို့ personal data လွှဲပြောင်းမှုများသည် European Commission ၏ Standard Contractual Clauses (သို့မဟုတ် UK ၏ International Data Transfer Addendum) ကို မှီခိုပြီး အောက်ရှိ “Security” တွင် ဖော်ပြထားသော encryption-in-transit နှင့် encryption-at-rest measures များဖြင့် ဖြည့်စွက်ထားသည်။
We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.
သင့်အခွင့်အရေးများ
GDPR, UK GDPR နှင့် ညီမျှသောဥပဒေများ (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act စသည်) အောက်တွင် သင်တွင် အောက်ပါအခွင့်အရေးများ ရှိသည်:
- သင့်ဒေတာ မိတ္တူကို access ပြုလုပ်ရန် (ဤအရာကို Account → Privacy မှ self-serve ပြုလုပ်နိုင်သည်);
- သင့်ဒေတာကို ပြင်ဆင်စေရန်;
- သင့်ဒေတာကို ဖျက်စေရန် (self-serve လည်း ဖြစ်သည်);
- legitimate interests အပေါ်အခြေခံသည့် processing ကို ကန့်ကွက်ရန်;
- analytics အတွက် consent ကို မှ မည်သည့်အချိန်မဆို ရုပ်သိမ်းရန်;
- data portability — သင်၏ export သည် JSON ဖြစ်သည်;
- သင့်ဒေသခံ supervisory authority (EU/UK/EEA) သို့မဟုတ် ညီမျှသောအဖွဲ့အစည်းသို့ complaint တင်ရန်။
ကျွန်ုပ်တို့သည် စိစစ်နိုင်သော rights requests များကို 30 ရက်အတွင်း တုံ့ပြန်သည်။ Self-serve မှ ဖြည့်ဆည်းမရနိုင်သော တောင်းဆိုချက်များ (ကျွန်ုပ်တို့ မဖော်ပြသော field တစ်ခု၏ rectification, restriction of processing, objection) အတွက် subject line “Privacy request” ဖြင့် support@fixvibe.app သို့ email ပို့ပါ။
California နေထိုင်သူများ (CCPA / CPRA)
သင့် personal information ကို ကျွန်ုပ်တို့ မရောင်းပါ။ Cross-context behavioral advertising အတွက် personal information ကို မမျှဝေပါ။ PostHog မှ analytics သည် ကျွန်ုပ်တို့၏ cookie banner တွင် သင် consent ပေးပြီးနောက်မှသာ run သည်; ထို consent ကို မှ သို့မဟုတ် footer ရှိ Your Privacy Choices ကို click လုပ်၍ မည်သည့်အချိန်မဆို ရုပ်သိမ်းနိုင်သည်။
သင်သည် California နေထိုင်သူဖြစ်ပါက သင့်တွင် ထပ်မံ၍ အောက်ပါအခွင့်အရေးများ ရှိသည်:
- ကျွန်ုပ်တို့ စုဆောင်းသော personal information, sources, purposes နှင့် မည်သည့် third parties နှင့် မျှဝေသည်ကို သိရန် (အထက်တွင် အားလုံး အသေးစိတ်ဖော်ပြထားသည်);
- သင့် personal information ဖျက်ရန် တောင်းဆိုရန် (Account → Privacy မှ self-serve သို့မဟုတ် ကျွန်ုပ်တို့ထံ email ပို့ခြင်း);
- မမှန်ကန်သော personal information ကို ပြင်ရန်;
- sensitive personal information အသုံးပြုမှုနှင့် ထုတ်ဖော်မှုကို ကန့်သတ်ရန် — ဝန်ဆောင်မှုပေးရန် လိုအပ်သော authentication credentials နှင့် session metadata မှလွဲ၍ ဘာမျှ မစုဆောင်းပါ;
- sale သို့မဟုတ် sharing မှ opt out လုပ်ရန် — ကျွန်ုပ်တို့ နှစ်ခုစလုံး မလုပ်သောကြောင့် မသက်ဆိုင်ပါ;
- အထက်ပါအခွင့်အရေးများကို အသုံးပြုခြင်းကြောင့် ခွဲခြားဆက်ဆံခြင်း မခံရရန်။
Global Privacy Control (GPC) signals များကို အလိုအလျောက် လေးစားသည်; GPC header ပို့ခြင်းသည် သင်၏ လာရောက်မှုကို future analytics consent များမှ သေချာစွာ opt out လုပ်ထားသကဲ့သို့ သတ်မှတ်သည်။
Security
We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.
လုံခြုံရေးအစီအစဉ် တစ်ခုမျှ ပြည့်စုံသည့်အရာ မဟုတ်ပါ။ FixVibe တွင် vulnerability တွေ့ရှိသည်ဟု ယုံကြည်ပါက support@fixvibe.app သို့ report လုပ်ပါ။
ဤမူဝါဒအပြောင်းအလဲများ
Material changes — sub-processors အသစ်များ၊ data categories အသစ်များ၊ retention periods အသစ်များ — ပြုလုပ်ပါက အထက်ပါ date ကို update လုပ်ပြီး သင့်ကို in-app မှ အသိပေးမည်။ စကားလုံးပြင်ဆင်မှုအသေးစားများသည် notification မဖြစ်စေပါ။
ဆက်သွယ်ရန်
privacy@fixvibe.app — ပုံမှန်အားဖြင့် 5 business days အတွင်း တုံ့ပြန်ပြီး GDPR Art. 12(3) လိုအပ်ချက်အရ 30 ရက်ထက် ဘယ်တော့မှ မကြာပါ။