ଗୋପନୀୟତା ନୀତି

FixVibe EGO HERO LLC ଦ୍ୱାରା ପରିଚାଳିତ (“ଆମେ”, “ଆମକୁ”), ଏହି ନୀତିରେ ବର୍ଣ୍ଣିତ personal data ପାଇଁ data controller। GDPR, UK GDPR, କିମ୍ବା CCPA ଅଧୀନରେ data subject request ସହିତ ଗୋପନୀୟତା ପ୍ରଶ୍ନ ପାଇଁ privacy@fixvibe.app ସହ ଯୋଗାଯୋଗ କରନ୍ତୁ। ଅନ୍ୟ ସବୁ ପାଇଁ support@fixvibe.app କୁ ଲେଖନ୍ତୁ।

• ଖାତା ଡାଟା

  ଇମେଲ୍ ଠିକଣା, OAuth identifier (ଆପଣ Google କିମ୍ବା GitHub ଦ୍ୱାରା sign in କଲେ), ଏବଂ ଆପଣଙ୍କ OAuth provider ଠାରୁ ଆମେ ପାଉଥିବା ଯେକୌଣସି ନାମ। ଆପଣଙ୍କୁ authenticate କରିବା ଏବଂ ଆପଣଙ୍କ ଖାତା ବିଷୟରେ ସମ୍ପର୍କ କରିବା ପାଇଁ ବ୍ୟବହୃତ। ଆପଣଙ୍କ ଖାତା ସକ୍ରିୟ ଥିବା ସମୟ ପର୍ଯ୍ୟନ୍ତ ରଖାଯାଏ। ଆପଣ ଖାତା ବିଲୋପ କଲେ, 30 ଦିନ ମଧ୍ୟରେ ଏହି ଡାଟା ହଟାଯାଏ, ଯେଉଁଠାରେ ଆମେ ଏହା ରଖିବାକୁ ଆଇନଗତ ଭାବେ ବାଧ୍ୟ (ଉଦାହରଣ, tax law ଅଧୀନରେ billing records) ସେଥିରେ ଛାଡ଼।

  ଆଇନଗତ ଆଧାର · ଚୁକ୍ତିର କାର୍ଯ୍ୟନିଷ୍ପାଦନ — Art. 6(1)(b) GDPR

• ସ୍କ୍ୟାନ ଲକ୍ଷ୍ୟ ଏବଂ ଖୋଜ

  ଆପଣ ସ୍କ୍ୟାନ କରୁଥିବା URLs, ସେହି URLs କୁ ଆମେ କରୁଥିବା requests, ଏବଂ ଆମେ ଉତ୍ପାଦ କରୁଥିବା findings। ଏଗୁଡ଼ିକ ଆପଣଙ୍କ organization ସହ ସଂରକ୍ଷିତ। ଆପଣଙ୍କ plan ର retention window ଠାରୁ ପୁରୁଣା records ଆମେ ସ୍ୱୟଂଚାଳିତ ଭାବେ ବିଲୋପ କରୁ: 30 ଦିନ (Hobby), 90 ଦିନ (Pro), 365 ଦିନ (Unlimited)। Account → Privacy ରୁ ଯେକୌଣସି ସମୟରେ ଆପଣଙ୍କ scan history export କିମ୍ବା delete କରିପାରିବେ।

  ଆଇନଗତ ଆଧାର · ଚୁକ୍ତିର କାର୍ଯ୍ୟନିଷ୍ପାଦନ — Art. 6(1)(b) GDPR

• ଅନାମିକ ସ୍କ୍ୟାନ ସେସନ୍

  ଆପଣ sign in ନ କରି ସ୍କ୍ୟାନ ଚଲାଇଲେ, ଆମେ ଏକ opaque random ID ଧରିଥିବା HMAC-signed cookie (fixvibe_anon_session, 24-hour lifetime) ଜାରି କରୁ। ଦାବି ନ ହୋଇଥିବା anonymous scan records କୁ 24 ଘଣ୍ଟା ପରେ ଆମେ ସ୍ୱୟଂଚାଳିତ ଭାବେ ବିଲୋପ କରୁ। 24-hour window ମଧ୍ୟରେ ଆପଣ sign up କଲେ, ଆପଣଙ୍କ scan ଆପଣଙ୍କ ନୂତନ account କୁ migrate ହୁଏ। Anonymous users sign up ନ କଲେ ସେମାନେ କିଏ ତାହା ଆମେ ଜାଣୁ ନାହିଁ।

  ଆଇନଗତ ଆଧାର · କଠୋର ଭାବେ ଆବଶ୍ୟକ — ePrivacy Art. 5(3) exemption

• ବିଲିଂ ଡାଟା

  Stripe ଆମର payment processor। ସେମାନେ PCI-DSS infrastructure ଉପରେ ଆପଣଙ୍କ card details ସଂରକ୍ଷଣ କରନ୍ତି; ଆମେ କେବଳ Stripe customer ID, subscription status, plan, period start/end, ଏବଂ webhook events ର ଛୋଟ idempotency record ସଂରକ୍ଷଣ କରୁ। Stripe ର privacy notice stripe.com/privacy ରେ ଦେଖନ୍ତୁ।

  ଆଇନଗତ ଆଧାର · ଚୁକ୍ତିର କାର୍ଯ୍ୟନିଷ୍ପାଦନ — Art. 6(1)(b) GDPR

• ସର୍ଭର ଲଗ୍ ଏବଂ ଅଡିଟ୍ ଲଗ୍

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  ଆଇନଗତ ଆଧାର · ବୈଧ ହିତ — Art. 6(1)(f) GDPR

• GitHub integration (ଇଚ୍ଛାନୁସାରେ, କେବଳ Pro+)

  ଆପଣ Account → Integrations ରୁ GitHub account connect କଲେ, ଆମେ ଆପଣଙ୍କ organization ପାଇଁ encrypted OAuth access token, ଆପଣଙ୍କ GitHub login + numeric user ID, ଏବଂ granted scopes ସଂରକ୍ଷଣ କରୁ। ଆପଣ ଯେ repositories ବିରୁଦ୍ଧରେ scans initiate କରନ୍ତି ସେଗୁଡ଼ିକ ପଢ଼ିବା ପାଇଁ ମାତ୍ର ଆମେ token ବ୍ୟବହାର କରୁ। Source code ପ୍ରତ୍ୟେକ scan ପାଇଁ fetched ହୁଏ, memory ରେ processed ହୁଏ, ଏବଂ କେବଳ individual finding evidence persisted ହୁଏ (full source dumps ନୁହେଁ)। Disconnect ପରେ 30 ଦିନ ମଧ୍ୟରେ ବିଲୋପ।

  ଆଇନଗତ ଆଧାର · ଚୁକ୍ତିର କାର୍ଯ୍ୟନିଷ୍ପାଦନ / ସମ୍ମତି — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokens + MCP server (ଇଚ୍ଛାନୁସାରେ)

  Account → API tokens ରେ ଆପଣ ସୃଷ୍ଟି କରୁଥିବା tokens SHA-256 hash, ପ୍ରଥମ 8 plaintext characters (ପରିଚୟ ପାଇଁ), ଆପଣ ଦେଇଥିବା name, ଏବଂ created/last-used/revoked timestamps ଭାବେ ସଂରକ୍ଷିତ। Plaintext ସୃଷ୍ଟି ସମୟରେ ଆପଣଙ୍କୁ ମାତ୍ର ଏକଥର ଦେଖାଯାଏ ଏବଂ କେବେ persisted ହୁଏ ନାହିଁ। Tokens bearer credentials: value ଥିବା ଯେକେହି ଆପଣଙ୍କ scans ପଢ଼ିପାରେ ଏବଂ ଆପଣ revoke କରିବା ପର୍ଯ୍ୟନ୍ତ ନୂତନ scans ଆରମ୍ଭ କରିପାରେ। /api/mcp ର MCP server ସେହି tokens ଦ୍ୱାରା authenticated, dashboard ଯେ data ଦେଖାଇଥାନ୍ତା ସେହି data expose କରେ, ଏବଂ ଅଲଗା data category ସୃଷ୍ଟି କରେ ନାହିଁ।

  ଆଇନଗତ ଆଧାର · ଚୁକ୍ତିର କାର୍ଯ୍ୟନିଷ୍ପାଦନ — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  ଆଇନଗତ ଆଧାର · Performance of contract — Art. 6(1)(b) GDPR

• Live threat detection (ଇଚ୍ଛାନୁସାରେ, କେବଳ Unlimited)

  Verified domain ଉପରେ monitoring enabled ଥିଲେ, ଆମେ ସେହି domain ପାଇଁ certificate-transparency log entries, DNS records, ଏବଂ threat-intel listings (Spamhaus DBL, URLhaus) ସମୟ ସମୟରେ capture କରୁ। ଏହି snapshots ରେ ଆପଣ ଆଗରୁ scan କରିବାକୁ authorise କରିଥିବା hostnames ଏବଂ public lookups ର public results ରହିଥାଏ। ଆପଣଙ୍କ end-users ଙ୍କ personal data କୌଣସି ଧରାଯାଏ ନାହିଁ। 7 ଦିନଠାରୁ ପୁରୁଣା snapshots ସ୍ୱୟଂଚାଳିତ ଭାବେ ବିଲୋପ ହୁଏ; ପ୍ରତ୍ୟେକ signal type ପାଇଁ ସବୁଠୁ ନବୀନ baseline ରଖାଯାଏ।

  ଆଇନଗତ ଆଧାର · ଚୁକ୍ତିର କାର୍ଯ୍ୟନିଷ୍ପାଦନ — Art. 6(1)(b) GDPR

• ନିର୍ଦ୍ଧାରିତ ପୁନଃ-ସ୍କ୍ୟାନ (ଇଚ୍ଛାନୁସାରେ, କେବଳ Pro+)

  ଆପଣ verified domain ଉପରେ scheduled scans enable କଲେ, ଆମେ cadence, last run time, next run time, ଏବଂ କେଉଁ user schedule enable କଲେ ସେଥି ରେକର୍ଡ କରୁ। ପ୍ରତ୍ୟେକ cron-triggered scan, domain ପ୍ରଥମେ verified ହେବାବେଳେ ଦିଆଯାଇଥିବା authorization-to-scan attestation ଉତ୍ତରାଧିକାର କରେ — ପ୍ରତ୍ୟେକ run ପାଇଁ ଆପଣକୁ ପୁନଃ attest କରିବା ଦରକାର ନାହିଁ। Domains → Schedule ରେ ଯେକୌଣସି ସମୟରେ disable କରନ୍ତୁ।

  ଆଇନଗତ ଆଧାର · ଚୁକ୍ତିର କାର୍ଯ୍ୟନିଷ୍ପାଦନ — Art. 6(1)(b) GDPR

• Analytics (ଇଚ୍ଛାନୁସାରେ, consent-gated)

  ଆପଣ analytics consent ଦେଲେ ଏବଂ ଆପଣ ବ୍ୟବହାର କରୁଥିବା deployment ପାଇଁ analytics configured ଥିଲେ, ଆମେ anonymous usage record କରିବାକୁ privacy-respecting product-analytics provider (ଆମ ନିଜ domain ମାଧ୍ୟମରେ proxied) ବ୍ୟବହାର କରୁ — କେଉଁ buttons clicked ହୁଏ, କେଉଁ checks ଲୋକେ run କରନ୍ତି, funnel ର କେଉଁଠି users drop off କରନ୍ତି। ଆପଣ scan କରୁଥିବା URLs, evidence content, କିମ୍ବା personal data କୁ analytics events ଭିତରେ ଆମେ ରଖୁନାହୁଁ। Cookie settings ମାଧ୍ୟମରେ ଯେକୌଣସି ସମୟରେ consent revoke କରନ୍ତୁ।

  ଆଇନଗତ ଆଧାର · ସମ୍ମତି — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• ପ୍ରୋମୋସନାଲ୍ ଅଫର୍ ରିଡେମ୍ପସନ୍

  ଯେତେବେଳେ ଆପଣ ଏକ ପ୍ରୋମୋ କୋଡ୍, ଆମନ୍ତ୍ରଣ ଲିଙ୍କ୍, କିମ୍ବା ରେଫେରାଲ୍ କ୍ରେଡିଟ୍ ରିଡିମ୍ କରନ୍ତି, ଆମେ ଅଭିଯାନ କୋଡ୍, ଆମେ ପ୍ରଦାନ କରିଥିବା ଯୋଜନା ଓ ଅବଧି, ଟ୍ରାଏଲ୍ ଆରମ୍ଭ ଓ ଶେଷ ଟାଇମଷ୍ଟାମ୍ପ, ଟ୍ରାଏଲ୍ ପୂର୍ବରୁ ଆପଣ ଧାରଣ କରିଥିବା ଯୋଜନା, ଏବଂ ରିଡେମ୍ପସନ୍ ସମୟରେ ଆପଣଙ୍କ IP ଠିକଣାର ଏକ HMAC-SHA256 ହ୍ୟାସ୍ (ଆମେ କଦାପି କଞ୍ଚା IP ସଞ୍ଚୟ କରୁ ନାହିଁ — ହ୍ୟାସ୍ କେବଳ ଏଣୁ ଅଛି ଯାହାଫଳରେ ଆମେ ପ୍ରତି-ନେଟୱର୍କ ଗୋଟିଏ-ରିଡେମ୍ପସନ୍ ସୀମା ପ୍ରୟୋଗ କରିପାରିବୁ, ଏବଂ ଅନ୍ତର୍ନିହିତ HMAC କୀ ଘୂର୍ଣ୍ଣନ କରିବା କାହାକୁ ପ୍ରକାଶ ନକରି ସମସ୍ତ ସଞ୍ଚିତ ହ୍ୟାସ୍ ଅମାନ୍ୟ କରେ) ସଞ୍ଚୟ କରୁ। ଲେଖା ଏବଂ ଠକେଇ-ଅନୁସନ୍ଧାନ ଉଦ୍ଦେଶ୍ୟ ପାଇଁ ଅଭିଯାନର ଆୟୁଷ ସହିତ ୧୮ ମାସ ସଞ୍ଚିତ, ତା'ପରେ ବାକି ଅଭିଯାନ ରେକର୍ଡ ସହିତ ବିଲୋପ କରାଯାଏ।

  ଆଇନଗତ ଆଧାର · ବୈଧ ସ୍ୱାର୍ଥ (ଠକେଇ ପ୍ରତିରୋଧ, ଲେଖା) — Art. 6(1)(f) GDPR

• ପ୍ରତିଯୋଗିତା, ସ୍ୱୀପଷ୍ଟେକ୍ସ, ଓ ଚ୍ୟାଲେଞ୍ଜ୍

  ଯଦି ଆପଣ ଏକ FixVibe ଚ୍ୟାଲେଞ୍ଜରେ ଯୋଗ ଦିଅନ୍ତି (ଯେପରି ସୁରକ୍ଷା ପ୍ରିଫ୍ଲାଇଟ୍ ଚ୍ୟାଲେଞ୍ଜ୍), ଆମେ ଆପଣ ଦାଖଲ କରୁଥିବା ଯୋଗାଯୋଗ ଇମେଲ୍ (ଆବଶ୍ୟକ ଯାହାଫଳରେ ଆପଣ ଜିତିଲେ ଆମେ ଯୋଗାଯୋଗ କରିପାରିବୁ), ଆପଣ ଇଚ୍ଛାଧୀନ ଭାବେ ପ୍ରଦାନ କରୁଥିବା Reddit ଓ Product Hunt ୟୁଜରନେମ୍, ଆପଣଙ୍କ ସ୍କାନ୍ ID ଓ ରୁଟ୍ ଡୋମେନ୍, ଆପଣ ଇଚ୍ଛାଧୀନ ଭାବେ ପ୍ରଦାନ କରୁଥିବା ସ୍ୱୟଂ-ରିପୋର୍ଟ ପ୍ରୋଜେକ୍ଟ ପ୍ରକାର, ଷ୍ଟାକ୍, ଓ ମୁଁ-ଶିଖିଲି-ଗୋଟିଏ-କଥା ଟେକ୍ସଟ୍, ଆପଣ ଇଚ୍ଛାଧୀନ ଭାବେ ବାଛୁଥିବା ଆବିଷ୍କାର-ଚ୍ୟାନେଲ୍ ମୂଲ୍ୟ, ଏବଂ ଆପଣ ସ୍ୱୀକାର କରୁଥିବା ତିନୋଟି ଆବଶ୍ୟକ ସମ୍ମତି ଚେକବକ୍ସ (ଅଥରାଇଜେସନ୍, ନିୟମ, ଯୋଗାଯୋଗ) ସଞ୍ଚୟ କରୁ। ଯଦି ଆପଣ ଇଚ୍ଛାଧୀନ ମାର୍କେଟିଂରେ-ଫିଚର୍ଡ୍ ସମ୍ମତି ଅଲଗା ଭାବେ ଟିକ୍ କରନ୍ତି, ଆମେ FixVibe ହୋମପେଜ୍, ଚ୍ୟାଲେଞ୍ଜ୍ ପୃଷ୍ଠା, କିମ୍ବା ରିକ୍ୟାପ୍ ପୋଷ୍ଟରେ ଆପଣଙ୍କର ସର୍ବସାଧାରଣ ସ୍କୋର୍, ରେଟିଂ, ଷ୍ଟାକ୍, ୟୁଜରନେମ୍, ଓ ଦାଖଲ ହୋଇଥିବା ଉଦ୍ଧୃତି ପ୍ରଦର୍ଶନ କରିପାରୁ — କଦାପି ଅନ୍ୟ କୌଣସି କ୍ଷେତ୍ର ନୁହେଁ, ଏବଂ କଦାପି ସେହି ଅପ୍ଟ-ଇନ୍ ବିନା ନୁହେଁ। ଯାଞ୍ଚ ଓ ବିବାଦ ଉଦ୍ଦେଶ୍ୟ ପାଇଁ ଚ୍ୟାଲେଞ୍ଜ୍ ଏଣ୍ଟ୍ରି ଚ୍ୟାଲେଞ୍ଜର ଆୟୁଷ ସହିତ ୧୮ ମାସ ସଞ୍ଚିତ। privacy@fixvibe.app କୁ ଇମେଲ୍ କରି ଆପଣ ଯେକୌଣସି ସମୟରେ ମାର୍କେଟିଂରେ-ଫିଚର୍ଡ୍ ସମ୍ମତି ପ୍ରତ୍ୟାହାର କରିପାରନ୍ତି; ପ୍ରତ୍ୟାହାର ପ୍ରତ୍ୟାହାର ପୂର୍ବର ବୈଧ ପ୍ରକ୍ରିୟାକୁ ପ୍ରଭାବିତ କରେ ନାହିଁ।

  ଆଇନଗତ ଆଧାର · ଚୁକ୍ତିର ସମ୍ପାଦନ (ଚ୍ୟାଲେଞ୍ଜ୍ ଚଲାଇବା) ଓ ସମ୍ମତି (ଫିଚରିଂ) — Art. 6(1)(b) ଓ 6(1)(a) GDPR

• ଆମେ କେବେ ଆପଣଙ୍କ ଡାଟା ବିକ୍ରି କରୁ ନାହୁଁ।
• ଆମେ third-party ad-tech, fingerprinting, କିମ୍ବା session-replay scripts embed କରୁ ନାହୁଁ।
• ଆପଣଙ୍କ scan target URLs କିମ୍ବା finding evidence କୁ analytics properties ଭିତରେ ଆମେ ରଖୁ ନାହୁଁ — ସେହି data କେବଳ ଆମ database ଭିତରେ ରହେ, row-level security ଦ୍ୱାରା gated।
• ତୃତୀୟ ପକ୍ଷଙ୍କ ନିଜ marketing ପାଇଁ ଆମେ ଆପଣଙ୍କ ଡାଟା ସେମାନଙ୍କ ସହ share କରୁ ନାହୁଁ।

FixVibe ଚାଲାଇବା ପାଇଁ ଆମେ ନିମ୍ନଲିଖିତ sub-processors ଉପରେ ନିର୍ଭର କରୁ:

• Vercel Inc. (USA) — application hosting ଏବଂ edge network। Privacy notice: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime। FixVibe production database AWS us-east-1 region ରେ ଅଛି। Privacy notice: supabase.com/privacy.
• Stripe Inc. (USA) — paid plans ପାଇଁ payment processing। Privacy notice: stripe.com/privacy.
• Upstash, Inc. (USA, Vercel Marketplace ମାଧ୍ୟମରେ) — Redis-backed rate limiting; କେବଳ short-lived IP-based counters ସଂରକ୍ଷଣ କରେ। Privacy notice: upstash.com/privacy.
• PostHog Inc. (USA) — product analytics, କେବଳ ଆପଣ analytics consent ଦେଲେ ଏବଂ ଆପଣ ବ୍ୟବହାର କରୁଥିବା deployment ପାଇଁ analytics configured ଥିଲେ। Privacy notice: posthog.com/privacy.
• GitHub, Inc. (USA) — କେବଳ ଆପଣ optional GitHub integration connect କଲେ। ଆପଣ initiate କରୁଥିବା scans ବିରୁଦ୍ଧରେ repositories ପଢ଼ିବାକୁ ଆମେ GitHub API ବ୍ୟବହାର କରୁ। Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — transactional email delivery। ଆମେ scan-completed, scheduled-scan, live-threat alert, ଏବଂ weekly-digest emails ପଠାଇଲେ ଆପଣଙ୍କ email address ଏବଂ email body ପାଏ। Resend operational purposes ପାଇଁ delivery metadata (timestamps, status, bounce records) ରଖେ; Resend ମାଧ୍ୟମରେ ଆମେ କେବେ marketing email ପଠାଉ ନାହୁଁ। Privacy notice: resend.com/legal/privacy-policy.

EEA/UK ବାହାରେ personal data transfers European Commission ର Standard Contractual Clauses (କିମ୍ବା UK ର International Data Transfer Addendum) ଉପରେ ନିର୍ଭର କରେ, ତଳେ “Security” ରେ ବର୍ଣ୍ଣିତ encryption-in-transit ଏବଂ encryption-at-rest measures ଦ୍ୱାରା ସହାୟତାପ୍ରାପ୍ତ।

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR, UK GDPR, ଏବଂ ସମତୁଲ୍ୟ ଆଇନ (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act ଇତ୍ୟାଦି) ଅଧୀନରେ ଆପଣଙ୍କ ପାଖରେ ଏହି ଅଧିକାର ଅଛି:

• ଆପଣଙ୍କ data ର copy access କରିବା (Account → Privacy ରୁ self-serve ଭାବେ କରିପାରିବେ);
• ଆପଣଙ୍କ data corrected କରାଇବା;
• ଆପଣଙ୍କ data deleted କରାଇବା (self-serve ମଧ୍ୟ);
• legitimate interests ଆଧାରରେ processing ଉପରେ object କରିବା;
• Cookie settings ମାଧ୍ୟମରେ ଯେକୌଣସି ସମୟରେ analytics ପାଇଁ consent withdraw କରିବା;
• data portability — ଆପଣଙ୍କ export JSON ରେ ଥାଏ;
• ଆପଣଙ୍କ local supervisory authority (EU/UK/EEA) କିମ୍ବା ସମତୁଲ୍ୟ ସଂସ୍ଥା ପାଖରେ complaint lodge କରିବା।

Verifiable rights requests କୁ ଆମେ 30 ଦିନ ମଧ୍ୟରେ respond କରୁ। Self-serve ମାଧ୍ୟମରେ ପୂରଣ କରିପାରୁନଥିବା requests ପାଇଁ (ଆମେ expose ନ କରୁଥିବା field ର rectification, processing ର restriction, objection), “Privacy request” subject line ସହ support@fixvibe.app କୁ email କରନ୍ତୁ।

ଆମେ ଆପଣଙ୍କ personal information ବିକ୍ରି କରୁ ନାହୁଁ। Cross-context behavioral advertising ପାଇଁ personal information share କରୁ ନାହୁଁ। PostHog ମାଧ୍ୟମରେ analytics କେବଳ ଆପଣ cookie banner ରେ consent ଦେବା ପରେ ଚାଲେ; Cookie settings ମାଧ୍ୟମରେ କିମ୍ବା footer ରେ Your Privacy Choices କ୍ଲିକ୍ କରି ଯେକୌଣସି ସମୟରେ ସେହି consent withdraw କରିପାରିବେ।

ଆପଣ କ୍ୟାଲିଫୋର୍ନିଆ ବାସିନ୍ଦା ହେଲେ, ଆପଣଙ୍କର ଏହି ଅଧିକାର ମଧ୍ୟ ଅଛି:

• ଆମେ କେଉଁ personal information ସଂଗ୍ରହ କରୁ, sources, purposes, ଏବଂ କେଉଁ third parties ସହ share କରୁ (ସବୁ ଉପରେ ବିସ୍ତାରିତ) ଜାଣିବା;
• ଆପଣଙ୍କ personal information deletion request କରିବା (Account → Privacy ମାଧ୍ୟମରେ self-serve କିମ୍ବା ଆମକୁ email କରି);
• ଭୁଲ personal information ସଠିକ କରିବା;
• sensitive personal information ର use ଏବଂ disclosure limit କରିବା — authentication credentials ଏବଂ session metadata ଛାଡ଼ି ଆମେ କିଛି ସଂଗ୍ରହ କରୁନାହୁଁ, ଏବଂ ଦୁହିଁ service ପ୍ରଦାନ ପାଇଁ ଆବଶ୍ୟକ;
• sale କିମ୍ବା sharing ରୁ opt out କରିବା — ଆମେ ଦୁଇଟି ମଧ୍ୟ କରୁନଥିବାରୁ ପ୍ରଯୋଜ୍ୟ ନୁହେଁ;
• ଉପରୋକ୍ତ କୌଣସି ଅଧିକାର exercise କରିବା ପାଇଁ discrimination ନ ହେବା।

ଆମେ Global Privacy Control (GPC) signals କୁ ସ୍ୱୟଂଚାଳିତ ଭାବେ ସମ୍ମାନ କରୁ; GPC header ପଠାଇଲେ, ଆପଣଙ୍କ visit କୁ ଭବିଷ୍ୟତ analytics consent ରୁ ସ୍ପଷ୍ଟ ଭାବେ opt out କରିଥିବା ପରି ଧରାଯାଏ।

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

କୌଣସି security program perfect ନୁହେଁ। ଆପଣ FixVibe ଭିତରେ vulnerability ମିଳିଛି ବୋଲି ଭାବିଲେ, ଦୟାକରି support@fixvibe.app କୁ report କରନ୍ତୁ।

ଆମେ material changes କଲେ — ନୂତନ sub-processors, data ର ନୂତନ categories, ନୂତନ retention periods — ଉପର date update କରିବୁ ଏବଂ in-app ରେ ଆପଣଙ୍କୁ notify କରିବୁ। ସାଧାରଣ wording fixes notification trigger କରେ ନାହିଁ।

privacy@fixvibe.app — ଉତ୍ତର ସାଧାରଣତଃ 5 business days ମଧ୍ୟରେ, GDPR Art. 12(3) ଦ୍ୱାରା ଆବଶ୍ୟକ 30 ଦିନଠାରୁ କେବେ ଅଧିକ ନୁହେଁ।