गोपनीयता नीति

FixVibe EGO HERO LLC (“हामी”, “हामीलाई”) द्वारा सञ्चालित छ, जुन यस नीतिमा वर्णन गरिएको व्यक्तिगत डाटाका लागि डाटा नियन्त्रक हो। GDPR, UK GDPR, वा CCPA अन्तर्गतका डाटा विषय अनुरोधहरू सहित गोपनीयतासम्बन्धी प्रश्नहरूका लागि privacy@fixvibe.app मा सम्पर्क गर्नुहोस्। अरू कुनै कुराका लागि support@fixvibe.app मा लेख्नुहोस्।

• खाता डाटा

  इमेल ठेगाना, OAuth identifier (यदि तपाईं Google वा GitHub मार्फत साइन इन गर्नुहुन्छ), र तपाईंको OAuth provider बाट प्राप्त हुने कुनै पनि नाम। तपाईंलाई प्रमाणीकरण गर्न र तपाईंको खाताबारे सम्पर्क गर्न प्रयोग गरिन्छ। तपाईंको खाता सक्रिय रहँदासम्म राखिन्छ। तपाईंले खाता मेटाउँदा, यो डाटा ३० दिनभित्र हटाइन्छ, हामीले राख्नै पर्ने अवस्थाबाहेक (जस्तै, कर कानून अन्तर्गत बिलिङ रेकर्डहरू)।

  कानूनी आधार · सम्झौताको कार्यान्वयन — Art. 6(1)(b) GDPR

• स्क्यान लक्ष्यहरू र निष्कर्षहरू

  तपाईंले स्क्यान गर्ने URL हरू, ती URL हरूमा हामीले गर्ने अनुरोधहरू, र हामीले उत्पादन गर्ने निष्कर्षहरू। तपाईंको संगठनसँग सम्बन्धित गरी भण्डारण गरिन्छ। हामी तपाईंको योजनाको retention window भन्दा पुराना रेकर्डहरू स्वतः मेटाउँछौं: ३० दिन (Hobby), ९० दिन (Pro), ३६५ दिन (Unlimited)। तपाईं Account → Privacy बाट कुनै पनि समयमा आफ्नो स्क्यान इतिहास export वा delete गर्न सक्नुहुन्छ।

  कानूनी आधार · सम्झौताको कार्यान्वयन — Art. 6(1)(b) GDPR

• अनाम स्क्यान सत्रहरू

  यदि तपाईं साइन इन नगरी स्क्यान चलाउनुहुन्छ भने, हामी opaque random ID राख्ने HMAC-signed cookie (fixvibe_anon_session, २४ घण्टाको आयु) जारी गर्छौं। हामी दाबी नगरिएका anonymous scan records २४ घण्टापछि स्वतः मेटाउँछौं। यदि तपाईं २४ घण्टाको समयसीमाभित्र साइन अप गर्नुहुन्छ भने, तपाईंको स्क्यान तपाईंको नयाँ खातामा सर्छ। anonymous users को हुन् भन्ने कुरा उनीहरू साइन अप नगरेसम्म हामीलाई थाहा हुँदैन।

  कानूनी आधार · कडाइका साथ आवश्यक — ePrivacy Art. 5(3) exemption

• बिलिङ डाटा

  Stripe हाम्रो payment processor हो। Stripe ले तपाईंका कार्ड विवरणहरू PCI-DSS infrastructure मा राख्छ; हामी केवल Stripe customer ID, subscription status, plan, period start/end, र webhook events को सानो idempotency record मात्र राख्छौं। Stripe को privacy notice stripe.com/privacy मा हेर्नुहोस्।

  कानूनी आधार · सम्झौताको कार्यान्वयन — Art. 6(1)(b) GDPR

• Server logs र audit logs

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  कानूनी आधार · वैध हित — Art. 6(1)(f) GDPR

• GitHub integration (वैकल्पिक, Pro+ मात्र)

  यदि तपाईं Account → Integrations बाट GitHub account जोड्नुहुन्छ भने, हामी तपाईंको संगठनका लागि encrypted OAuth access token, तपाईंको GitHub login + numeric user ID, र granted scopes राख्छौं। हामी token लाई तपाईंले स्क्यान सुरु गरेका repositories पढ्न मात्र प्रयोग गर्छौं। Source code प्रत्येक स्क्यानमा fetch हुन्छ, memory मा process हुन्छ, र individual finding evidence मात्र persisted हुन्छ (full source dumps हुँदैनन्)। disconnect गरेपछि ३० दिनभित्र मेटाइन्छ।

  कानूनी आधार · सम्झौताको कार्यान्वयन / सहमति — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokens + MCP server (वैकल्पिक)

  तपाईंले Account → API tokens मा बनाउने tokens SHA-256 hash, पहिचानका लागि पहिलो ८ plaintext characters, तपाईंले दिएको नाम, र created/last-used/revoked timestamps सहित भण्डारण हुन्छन्। plaintext सिर्जना गर्दा तपाईंलाई एक पटक मात्र देखाइन्छ र कहिल्यै persisted हुँदैन। Tokens bearer credentials हुन्: जससँग value छ उसले तपाईंले revoke नगरेसम्म तपाईंका scans पढ्न र नयाँ scans सुरु गर्न सक्छ। /api/mcp मा रहेको MCP server यिनै tokens बाट authenticated हुन्छ, dashboard ले देखाउने उही data expose गर्छ, र छुट्टै data category बनाउँदैन।

  कानूनी आधार · सम्झौताको कार्यान्वयन — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  कानूनी आधार · Performance of contract — Art. 6(1)(b) GDPR

• Live threat detection (वैकल्पिक, Unlimited मात्र)

  यदि तपाईंले verified domain मा monitoring enabled राख्नुभएको छ भने, हामी त्यस domain का लागि certificate-transparency log entries, DNS records, र threat-intel listings (Spamhaus DBL, URLhaus) आवधिक रूपमा capture गर्छौं। यी snapshots मा तपाईंले हामीलाई scan गर्न अधिकृत गरिसकेका hostnames र public lookups का public results हुन्छन्। तपाईंका end-users को personal data capture हुँदैन। ७ दिनभन्दा पुराना snapshots स्वतः मेटिन्छन्; सबैभन्दा पछिल्लो baseline प्रत्येक signal type अनुसार राखिन्छ।

  कानूनी आधार · सम्झौताको कार्यान्वयन — Art. 6(1)(b) GDPR

• Scheduled re-scans (वैकल्पिक, Pro+ मात्र)

  यदि तपाईं verified domain मा scheduled scans enable गर्नुहुन्छ भने, हामी cadence, last run time, next run time, र schedule enable गर्ने user रेकर्ड गर्छौं। प्रत्येक cron-triggered scan ले domain पहिलो पटक verified हुँदा गरिएको authorization-to-scan attestation नै inherit गर्छ — प्रत्येक run मा फेरि attest गर्नुपर्दैन। Domains → Schedule बाट कुनै पनि समयमा disable गर्नुहोस्।

  कानूनी आधार · सम्झौताको कार्यान्वयन — Art. 6(1)(b) GDPR

• Analytics (वैकल्पिक, consent-gated)

  यदि तपाईं analytics consent दिनुहुन्छ र तपाईंले प्रयोग गरिरहनुभएको deployment का लागि analytics configured छ भने, हामी anonymous usage रेकर्ड गर्न privacy-respecting product-analytics provider (हाम्रो आफ्नै domain मार्फत proxied) प्रयोग गर्छौं — कुन buttons क्लिक हुन्छन्, कुन checks मानिसहरूले चलाउँछन्, funnel मा users कहाँ drop off हुन्छन्। हामी तपाईंले scan गर्ने URLs, evidence content, वा personal data लाई analytics events मा राख्दैनौं। Cookie settings मार्फत कुनै पनि समयमा consent revoke गर्नुहोस्।

  कानूनी आधार · सहमति — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• प्रचारात्मक प्रस्ताव रिडेम्प्शन

  जब तपाईं प्रोमो कोड, निमन्त्रणा लिङ्क, वा रेफरल क्रेडिट रिडिम गर्नुहुन्छ, हामी अभियान कोड, हामीले प्रदान गरेको योजना र अवधि, ट्रायल सुरु र अन्त्य टाइमस्ट्याम्पहरू, ट्रायलअघि तपाईंले राख्नुभएको योजना, र रिडेम्प्शनको समयमा तपाईंको IP ठेगानाको HMAC-SHA256 ह्यास भण्डारण गर्छौं (हामी कच्चा IP कहिल्यै भण्डारण गर्दैनौं — ह्यास केवल यसैले अस्तित्वमा छ ताकि हामी प्रति-नेटवर्क एक-रिडेम्प्शन सीमाहरू लागू गर्न सकौं, र अन्तर्निहित HMAC कुञ्जी घुमाउँदा कसैलाई पनि नखुलाई सबै भण्डारित ह्यासहरू अमान्य हुन्छन्)। अभियानको जीवन र लेखा र धोखाधडी-अनुसन्धान उद्देश्यका लागि १८ महिनाका लागि राखिन्छ, त्यसपछि अभियान रेकर्डको बाँकीसँग मेटाइन्छ।

  कानूनी आधार · वैधानिक रुचि (धोखाधडी रोकथाम, लेखा) — Art. 6(1)(f) GDPR

• प्रतियोगिताहरू, स्वीपस्टेक्स, र च्यालेन्जहरू

  यदि तपाईंले FixVibe च्यालेन्ज (जस्तै सुरक्षा प्रिफ्लाइट च्यालेन्ज) मा प्रवेश गर्नुहुन्छ भने, हामी तपाईंले पेश गर्नुभएको सम्पर्क इमेल (तपाईं जित्नुभयो भने सम्पर्क गर्न आवश्यक), तपाईंले वैकल्पिक रूपमा प्रदान गर्नुभएको Reddit र Product Hunt प्रयोगकर्ता नामहरू, तपाईंको स्क्यान ID र मूल डोमेन, स्वयं-रिपोर्ट गरिएको परियोजना प्रकार, स्ट्याक, र तपाईंले वैकल्पिक रूपमा प्रदान गर्नुभएको एक-कुरा-म-सिकेँ पाठ, तपाईंले वैकल्पिक रूपमा छनोट गर्नुभएको खोज-च्यानल मान, र तपाईंले स्वीकार गर्नुभएको तीन आवश्यक सहमति चेकबक्सहरू भण्डारण गर्छौं (प्राधिकरण, नियमहरू, सम्पर्क)। यदि तपाईंले अलग्गै वैकल्पिक मार्केटिङमा-फिचर सहमतिमा टिक लगाउनुभयो भने, हामी तपाईंको सार्वजनिक स्कोर, रेटिङ, स्ट्याक, प्रयोगकर्ता नाम, र पेश गरिएको उद्धरण FixVibe होमपेज, च्यालेन्ज पृष्ठ, वा रिक्याप पोस्टमा प्रदर्शन गर्न सक्छौं — कुनै अन्य फिल्ड कहिल्यै होइन, र त्यो अप्ट-इन बिना कहिल्यै होइन। च्यालेन्ज प्रविष्टिहरू प्रमाणीकरण र विवाद उद्देश्यका लागि च्यालेन्जको जीवन र १८ महिनाका लागि राखिन्छ। तपाईं privacy@fixvibe.app मा इमेल गरेर कुनै पनि समयमा मार्केटिङमा-फिचर सहमति फिर्ता लिन सक्नुहुन्छ; फिर्ता लिनुले फिर्ताअघिको कानूनी प्रशोधनलाई असर गर्दैन।

  कानूनी आधार · सम्झौताको प्रदर्शन (च्यालेन्ज चलाउने) र सहमति (फिचर गर्ने) — Art. 6(1)(b) र 6(1)(a) GDPR

• हामी तपाईंको डाटा कहिल्यै बेच्दैनौं।
• हामी third-party ad-tech, fingerprinting, वा session-replay scripts embed गर्दैनौं।
• हामी तपाईंका scan target URLs वा finding evidence लाई analytics properties मा राख्दैनौं — त्यो डाटा हाम्रो database मा मात्र रहन्छ, row-level security द्वारा gated।
• हामी तपाईंको डाटा third parties सँग उनीहरूको आफ्नै marketing का लागि share गर्दैनौं।

FixVibe चलाउन हामी निम्न sub-processors मा भर पर्छौं:

• Vercel Inc. (USA) — application hosting र edge network। Privacy notice: vercel.com/legal/privacy-policy।
• Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime। FixVibe production database AWS us-east-1 region मा छ। Privacy notice: supabase.com/privacy।
• Stripe Inc. (USA) — paid plans का लागि payment processing। Privacy notice: stripe.com/privacy।
• Upstash, Inc. (USA, Vercel Marketplace मार्फत) — Redis-backed rate limiting; छोटो समय रहने IP-based counters मात्र राख्छ। Privacy notice: upstash.com/privacy।
• PostHog Inc. (USA) — product analytics, तपाईंले analytics consent दिनुभएको र तपाईंले प्रयोग गरिरहेको deployment का लागि analytics configured भएको अवस्थामा मात्र। Privacy notice: posthog.com/privacy।
• GitHub, Inc. (USA) — तपाईंले optional GitHub integration जोड्नुभएको अवस्थामा मात्र। हामी तपाईंले स्क्यान सुरु गरेका repositories पढ्न GitHub API प्रयोग गर्छौं। Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement।
• Resend, Inc. (USA) — transactional email delivery। हामी scan-completed, scheduled-scan, live-threat alert, र weekly-digest emails पठाउँदा तपाईंको email address र email body प्राप्त गर्छ। Resend ले operational purposes का लागि delivery metadata (timestamps, status, bounce records) राख्छ; हामी Resend मार्फत marketing email कहिल्यै पठाउँदैनौं। Privacy notice: resend.com/legal/privacy-policy।

EEA/UK बाहिर personal data को transfer European Commission का Standard Contractual Clauses (वा UK International Data Transfer Addendum) मा भर पर्छ, तलको “Security” मा वर्णन गरिएका encryption-in-transit र encryption-at-rest उपायहरूले पूरक।

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR, UK GDPR, र समान कानूनहरू (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act etc.) अन्तर्गत, तपाईंलाई निम्न अधिकार छन्:

• तपाईंको डाटाको प्रतिलिपि access गर्ने (यो तपाईं Account → Privacy बाट self-serve गर्न सक्नुहुन्छ);
• तपाईंको डाटा corrected गराउने;
• तपाईंको डाटा deleted गराउने (self-serve पनि);
• legitimate interests मा आधारित processing मा object गर्ने;
• Cookie settings मार्फत analytics consent कुनै पनि समयमा withdraw गर्ने;
• data portability — तपाईंको export JSON मा हुन्छ;
• आफ्नो local supervisory authority (EU/UK/EEA) वा equivalent मा complaint lodge गर्ने।

हामी verifiable rights requests लाई ३० दिनभित्र जवाफ दिन्छौं। self-serve बाट पूरा गर्न नसक्ने requests का लागि (हामी expose नगर्ने field को rectification, restriction of processing, objection), “Privacy request” subject line सहित support@fixvibe.app मा email गर्नुहोस्।

हामी तपाईंको personal information बेच्दैनौं। हामी cross-context behavioral advertising का लागि personal information share गर्दैनौं। PostHog मार्फत analytics हाम्रो cookie banner मा तपाईंले consent दिएपछि मात्र चल्छ; तपाईं Cookie settings मार्फत वा footer मा Your Privacy Choices क्लिक गरेर कुनै पनि समयमा त्यो consent withdraw गर्न सक्नुहुन्छ।

यदि तपाईं California resident हुनुहुन्छ भने, तपाईंलाई यी अधिकार पनि छन्:

• हामी कुन personal information सङ्कलन गर्छौं, स्रोतहरू, उद्देश्यहरू, र हामीले share गर्ने कुनै third parties (सबै माथि विस्तृत) जान्ने;
• तपाईंको personal information delete गर्न अनुरोध गर्ने (Account → Privacy मार्फत self-serve वा हामीलाई email गरेर);
• गलत personal information correct गर्ने;
• sensitive personal information को use र disclosure limit गर्ने — हामी authentication credentials र session metadata बाहेक केही सङ्कलन गर्दैनौं, र यी दुवै सेवा प्रदान गर्न आवश्यक छन्;
• sale वा sharing बाट opt out गर्ने — लागू हुँदैन किनभने हामी यी दुवै गर्दैनौं;
• माथिका कुनै पनि अधिकार प्रयोग गरेको कारण discriminated against नहुने।

हामी Global Privacy Control (GPC) signals स्वतः मान्छौं; GPC header पठाउँदा तपाईंको visit लाई भविष्यको कुनै analytics consent बाट स्पष्ट रूपमा opt out गरेको जस्तै मानिन्छ।

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

कुनै security program पूर्ण हुँदैन। यदि तपाईंले FixVibe मा vulnerability फेला पारेको विश्वास गर्नुहुन्छ भने, कृपया support@fixvibe.app मा report गर्नुहोस्।

यदि हामी material changes गर्छौं — नयाँ sub-processors, नयाँ categories of data, नयाँ retention periods — हामी माथिको date update गर्नेछौं र तपाईंलाई in-app notify गर्नेछौं। सामान्य wording fixes ले notification trigger गर्दैन।

privacy@fixvibe.app — जवाफहरू सामान्यतया ५ business days भित्र, GDPR Art. 12(3) ले मागेको ३० दिनभन्दा कहिल्यै ढिलो हुँदैन।