ਪ੍ਰਾਈਵੇਸੀ ਪਾਲਿਸੀ

FixVibe EGO HERO LLC ਵੱਲੋਂ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ (“ਅਸੀਂ”, “ਸਾਨੂੰ”), ਜੋ ਇਸ ਪਾਲਿਸੀ ਵਿੱਚ ਵਰਣਿਤ ਨਿੱਜੀ ਡਾਟੇ ਲਈ data controller ਹੈ। GDPR, UK GDPR, ਜਾਂ CCPA ਅਧੀਨ data subject requests ਸਮੇਤ ਪ੍ਰਾਈਵੇਸੀ ਸਵਾਲਾਂ ਲਈ privacy@fixvibe.app ਨਾਲ ਸੰਪਰਕ ਕਰੋ। ਹੋਰ ਕਿਸੇ ਗੱਲ ਲਈ support@fixvibe.app ਤੇ ਲਿਖੋ।

• ਖਾਤਾ ਡਾਟਾ

  ਈਮੇਲ ਪਤਾ, OAuth identifier (ਜੇ ਤੁਸੀਂ Google ਜਾਂ GitHub ਨਾਲ sign in ਕਰਦੇ ਹੋ), ਅਤੇ ਤੁਹਾਡੇ OAuth provider ਤੋਂ ਸਾਨੂੰ ਮਿਲਣ ਵਾਲਾ ਕੋਈ ਵੀ ਨਾਮ। ਇਹ ਤੁਹਾਨੂੰ authenticate ਕਰਨ ਅਤੇ ਤੁਹਾਡੇ ਖਾਤੇ ਬਾਰੇ ਸੰਪਰਕ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਤੁਹਾਡਾ ਖਾਤਾ ਸਰਗਰਮ ਰਹਿਣ ਤੱਕ ਰੱਖਿਆ ਜਾਂਦਾ ਹੈ। ਜਦੋਂ ਤੁਸੀਂ ਆਪਣਾ ਖਾਤਾ ਮਿਟਾਉਂਦੇ ਹੋ, ਇਹ ਡਾਟਾ 30 ਦਿਨਾਂ ਦੇ ਅੰਦਰ ਹਟਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਸਿਵਾਏ ਜਿੱਥੇ ਸਾਨੂੰ ਇਸਨੂੰ ਰੱਖਣਾ ਲਾਜ਼ਮੀ ਹੋਵੇ (ਉਦਾਹਰਨ ਲਈ, tax law ਅਧੀਨ billing records)।

  ਕਾਨੂੰਨੀ ਆਧਾਰ · ਸਮਝੌਤੇ ਦੀ ਕਾਰਗੁਜ਼ਾਰੀ — Art. 6(1)(b) GDPR

• ਸਕੈਨ ਟੀਚੇ ਅਤੇ ਖੋਜਾਂ

  ਉਹ URLs ਜੋ ਤੁਸੀਂ ਸਕੈਨ ਕਰਦੇ ਹੋ, ਉਹ requests ਜੋ ਅਸੀਂ ਉਹਨਾਂ URLs ਨੂੰ ਕਰਦੇ ਹਾਂ, ਅਤੇ ਉਹ findings ਜੋ ਅਸੀਂ ਬਣਾਉਂਦੇ ਹਾਂ। ਇਹ ਤੁਹਾਡੀ organization ਨਾਲ ਸਟੋਰ ਹੁੰਦਾ ਹੈ। ਅਸੀਂ ਤੁਹਾਡੇ plan ਦੀ retention window ਤੋਂ ਪੁਰਾਣੇ records ਆਪਣੇ ਆਪ ਮਿਟਾ ਦਿੰਦੇ ਹਾਂ: 30 ਦਿਨ (Hobby), 90 ਦਿਨ (Pro), 365 ਦਿਨ (Unlimited)। ਤੁਸੀਂ Account → Privacy ਤੋਂ ਕਿਸੇ ਵੀ ਵੇਲੇ ਆਪਣੀ scan history export ਜਾਂ delete ਕਰ ਸਕਦੇ ਹੋ।

  ਕਾਨੂੰਨੀ ਆਧਾਰ · ਸਮਝੌਤੇ ਦੀ ਕਾਰਗੁਜ਼ਾਰੀ — Art. 6(1)(b) GDPR

• ਅਨਾਮ ਸਕੈਨ ਸੈਸ਼ਨ

  ਜੇ ਤੁਸੀਂ sign in ਕੀਤੇ ਬਿਨਾਂ ਸਕੈਨ ਚਲਾਉਂਦੇ ਹੋ, ਅਸੀਂ ਇੱਕ opaque random ID ਰੱਖਣ ਵਾਲੀ HMAC-signed cookie (fixvibe_anon_session, 24-hour lifetime) ਜਾਰੀ ਕਰਦੇ ਹਾਂ। ਅਸੀਂ unclaimed anonymous scan records ਨੂੰ 24 ਘੰਟਿਆਂ ਬਾਅਦ ਆਪਣੇ ਆਪ ਮਿਟਾ ਦਿੰਦੇ ਹਾਂ। ਜੇ ਤੁਸੀਂ 24-hour window ਦੇ ਅੰਦਰ sign up ਕਰਦੇ ਹੋ, ਤੁਹਾਡਾ scan ਤੁਹਾਡੇ ਨਵੇਂ account ਵਿੱਚ migrate ਹੋ ਜਾਂਦਾ ਹੈ। Anonymous users ਕੌਣ ਹਨ, ਇਹ ਅਸੀਂ ਨਹੀਂ ਜਾਣਦੇ ਜਦ ਤੱਕ ਉਹ sign up ਨਾ ਕਰਨ।

  ਕਾਨੂੰਨੀ ਆਧਾਰ · ਸਖ਼ਤੀ ਨਾਲ ਲੋੜੀਂਦਾ — ePrivacy Art. 5(3) exemption

• ਬਿਲਿੰਗ ਡਾਟਾ

  Stripe ਸਾਡਾ payment processor ਹੈ। ਉਹ ਤੁਹਾਡੇ card details ਨੂੰ PCI-DSS infrastructure ਤੇ ਸਟੋਰ ਕਰਦੇ ਹਨ; ਅਸੀਂ ਸਿਰਫ਼ Stripe customer ID, subscription status, plan, period start/end, ਅਤੇ webhook events ਦਾ ਇੱਕ ਛੋਟਾ idempotency record ਸਟੋਰ ਕਰਦੇ ਹਾਂ। Stripe ਦਾ privacy notice stripe.com/privacy ਤੇ ਵੇਖੋ।

  ਕਾਨੂੰਨੀ ਆਧਾਰ · ਸਮਝੌਤੇ ਦੀ ਕਾਰਗੁਜ਼ਾਰੀ — Art. 6(1)(b) GDPR

• ਸਰਵਰ ਲੌਗ ਅਤੇ ਆਡਿਟ ਲੌਗ

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  ਕਾਨੂੰਨੀ ਆਧਾਰ · ਜਾਇਜ਼ ਹਿਤ — Art. 6(1)(f) GDPR

• GitHub integration (ਵਿਕਲਪਿਕ, ਸਿਰਫ਼ Pro+)

  ਜੇ ਤੁਸੀਂ Account → Integrations ਤੋਂ GitHub account connect ਕਰਦੇ ਹੋ, ਅਸੀਂ ਤੁਹਾਡੀ organization ਲਈ encrypted OAuth access token, ਤੁਹਾਡਾ GitHub login + numeric user ID, ਅਤੇ granted scopes ਸਟੋਰ ਕਰਦੇ ਹਾਂ। ਅਸੀਂ token ਨੂੰ ਸਿਰਫ਼ ਉਹ repositories ਪੜ੍ਹਨ ਲਈ ਵਰਤਦੇ ਹਾਂ ਜਿਨ੍ਹਾਂ ਦੇ ਵਿਰੁੱਧ ਤੁਸੀਂ scans initiate ਕਰਦੇ ਹੋ। Source code ਹਰ scan ਲਈ fetched ਹੁੰਦਾ ਹੈ, memory ਵਿੱਚ processed ਹੁੰਦਾ ਹੈ, ਅਤੇ ਸਿਰਫ਼ individual finding evidence persisted ਹੁੰਦਾ ਹੈ (full source dumps ਨਹੀਂ)। Disconnect ਤੋਂ 30 ਦਿਨਾਂ ਦੇ ਅੰਦਰ ਮਿਟਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।

  ਕਾਨੂੰਨੀ ਆਧਾਰ · ਸਮਝੌਤੇ ਦੀ ਕਾਰਗੁਜ਼ਾਰੀ / ਸਹਿਮਤੀ — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokens + MCP server (ਵਿਕਲਪਿਕ)

  Account → API tokens ਵਿੱਚ ਤੁਸੀਂ ਬਣਾਉਂਦੇ tokens SHA-256 hash, ਪਹਿਲੇ 8 plaintext characters (ਪਛਾਣ ਲਈ), ਤੁਹਾਡੇ ਦਿੱਤੇ name, ਅਤੇ created/last-used/revoked timestamps ਵਜੋਂ ਸਟੋਰ ਹੁੰਦੇ ਹਨ। Plaintext ਬਣਾਉਣ ਵੇਲੇ ਤੁਹਾਨੂੰ ਸਿਰਫ਼ ਇੱਕ ਵਾਰ ਦਿਖਾਇਆ ਜਾਂਦਾ ਹੈ ਅਤੇ ਕਦੇ persisted ਨਹੀਂ ਹੁੰਦਾ। Tokens bearer credentials ਹਨ: value ਵਾਲਾ ਕੋਈ ਵੀ ਵਿਅਕਤੀ ਤੁਹਾਡੇ scans ਪੜ੍ਹ ਸਕਦਾ ਹੈ ਅਤੇ ਤੁਹਾਡੇ revoke ਕਰਨ ਤੱਕ ਨਵੇਂ scans ਸ਼ੁਰੂ ਕਰ ਸਕਦਾ ਹੈ। /api/mcp ਤੇ MCP server ਉਹਨਾਂ ਹੀ tokens ਨਾਲ authenticated ਹੁੰਦਾ ਹੈ, dashboard ਜੋ data ਦਿਖਾਏਗਾ ਉਹੀ data expose ਕਰਦਾ ਹੈ, ਅਤੇ ਵੱਖਰੀ data category ਨਹੀਂ ਬਣਾਉਂਦਾ।

  ਕਾਨੂੰਨੀ ਆਧਾਰ · ਸਮਝੌਤੇ ਦੀ ਕਾਰਗੁਜ਼ਾਰੀ — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  ਕਾਨੂੰਨੀ ਆਧਾਰ · Performance of contract — Art. 6(1)(b) GDPR

• Live threat detection (ਵਿਕਲਪਿਕ, ਸਿਰਫ਼ Unlimited)

  ਜੇ verified domain ਤੇ monitoring enabled ਹੈ, ਅਸੀਂ ਉਸ domain ਲਈ certificate-transparency log entries, DNS records, ਅਤੇ threat-intel listings (Spamhaus DBL, URLhaus) ਸਮੇਂ-ਸਮੇਂ ਤੇ capture ਕਰਦੇ ਹਾਂ। ਇਹ snapshots ਉਹ hostnames ਰੱਖਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਨੂੰ ਤੁਸੀਂ ਪਹਿਲਾਂ ਹੀ scan ਕਰਨ ਲਈ authorise ਕੀਤਾ ਹੈ ਅਤੇ public lookups ਦੇ public results ਰੱਖਦੇ ਹਨ। ਤੁਹਾਡੇ end-users ਦਾ ਕੋਈ personal data capture ਨਹੀਂ ਹੁੰਦਾ। 7 ਦਿਨਾਂ ਤੋਂ ਪੁਰਾਣੇ snapshots ਆਪਣੇ ਆਪ ਮਿਟਾ ਦਿੱਤੇ ਜਾਂਦੇ ਹਨ; ਹਰ signal type ਲਈ ਸਭ ਤੋਂ ਤਾਜ਼ਾ baseline ਰੱਖਿਆ ਜਾਂਦਾ ਹੈ।

  ਕਾਨੂੰਨੀ ਆਧਾਰ · ਸਮਝੌਤੇ ਦੀ ਕਾਰਗੁਜ਼ਾਰੀ — Art. 6(1)(b) GDPR

• ਨਿਰਧਾਰਤ ਮੁੜ-ਸਕੈਨ (ਵਿਕਲਪਿਕ, ਸਿਰਫ਼ Pro+)

  ਜੇ ਤੁਸੀਂ verified domain ਤੇ scheduled scans enable ਕਰਦੇ ਹੋ, ਅਸੀਂ cadence, last run time, next run time, ਅਤੇ schedule enable ਕਰਨ ਵਾਲੇ user ਨੂੰ record ਕਰਦੇ ਹਾਂ। ਹਰ cron-triggered scan ਉਹ authorization-to-scan attestation inherit ਕਰਦਾ ਹੈ ਜੋ domain ਪਹਿਲੀ ਵਾਰ verified ਹੋਣ ਤੇ ਦਿੱਤੀ ਗਈ ਸੀ — ਹਰ run ਲਈ ਤੁਹਾਨੂੰ ਮੁੜ attest ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ। Domains → Schedule ਤੇ ਕਿਸੇ ਵੀ ਵੇਲੇ disable ਕਰੋ।

  ਕਾਨੂੰਨੀ ਆਧਾਰ · ਸਮਝੌਤੇ ਦੀ ਕਾਰਗੁਜ਼ਾਰੀ — Art. 6(1)(b) GDPR

• Analytics (ਵਿਕਲਪਿਕ, consent-gated)

  ਜੇ ਤੁਸੀਂ analytics consent ਦਿੰਦੇ ਹੋ ਅਤੇ ਤੁਹਾਡੇ ਵਰਤੇ ਜਾ ਰਹੇ deployment ਲਈ analytics configured ਹੈ, ਅਸੀਂ anonymous usage record ਕਰਨ ਲਈ privacy-respecting product-analytics provider (ਸਾਡੇ ਆਪਣੇ domain ਰਾਹੀਂ proxied) ਵਰਤਦੇ ਹਾਂ — ਕਿਹੜੇ buttons clicked ਹੁੰਦੇ ਹਨ, ਲੋਕ ਕਿਹੜੇ checks run ਕਰਦੇ ਹਨ, funnel ਵਿੱਚ users ਕਿੱਥੇ drop off ਕਰਦੇ ਹਨ। ਅਸੀਂ ਉਹ URLs ਜੋ ਤੁਸੀਂ scan ਕਰਦੇ ਹੋ, evidence content, ਜਾਂ personal data ਨੂੰ analytics events ਵਿੱਚ ਨਹੀਂ ਰੱਖਦੇ। Cookie settings ਰਾਹੀਂ ਕਿਸੇ ਵੀ ਵੇਲੇ consent revoke ਕਰੋ।

  ਕਾਨੂੰਨੀ ਆਧਾਰ · ਸਹਿਮਤੀ — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• ਪ੍ਰਚਾਰ ਪੇਸ਼ਕਸ਼ ਰਿਡੈਂਪਸ਼ਨ

  ਜਦੋਂ ਤੁਸੀਂ ਇੱਕ ਪ੍ਰਮੋ ਕੋਡ, ਸੱਦਾ ਲਿੰਕ, ਜਾਂ ਰੈਫਰਲ ਕ੍ਰੈਡਿਟ ਰਿਡੀਮ ਕਰਦੇ ਹੋ, ਤਾਂ ਅਸੀਂ ਮੁਹਿੰਮ ਕੋਡ, ਅਸੀਂ ਪ੍ਰਦਾਨ ਕੀਤੀ ਯੋਜਨਾ ਅਤੇ ਮਿਆਦ, ਅਜ਼ਮਾਇਸ਼ ਸ਼ੁਰੂ ਅਤੇ ਅੰਤ ਟਾਈਮਸਟੈਂਪ, ਅਜ਼ਮਾਇਸ਼ ਤੋਂ ਪਹਿਲਾਂ ਤੁਹਾਡੇ ਕੋਲ ਜੋ ਯੋਜਨਾ ਸੀ, ਅਤੇ ਰਿਡੈਂਪਸ਼ਨ ਦੇ ਸਮੇਂ ਤੁਹਾਡੇ IP ਪਤੇ ਦੀ ਇੱਕ HMAC-SHA256 ਹੈਸ਼ ਸਟੋਰ ਕਰਦੇ ਹਾਂ (ਅਸੀਂ ਕਦੇ ਵੀ ਕੱਚਾ IP ਸਟੋਰ ਨਹੀਂ ਕਰਦੇ — ਹੈਸ਼ ਸਿਰਫ਼ ਇਸ ਲਈ ਮੌਜੂਦ ਹੈ ਤਾਂ ਜੋ ਅਸੀਂ ਇੱਕ-ਰਿਡੈਂਪਸ਼ਨ-ਪ੍ਰਤੀ-ਨੈੱਟਵਰਕ ਸੀਮਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰ ਸਕੀਏ, ਅਤੇ ਅੰਡਰਲਾਈੰਗ HMAC ਕੁੰਜੀ ਨੂੰ ਘੁੰਮਾਉਣਾ ਕਿਸੇ ਨੂੰ ਵੀ ਉਜਾਗਰ ਕੀਤੇ ਬਿਨਾਂ ਸਾਰੇ ਸਟੋਰ ਕੀਤੇ ਹੈਸ਼ਾਂ ਨੂੰ ਅਯੋਗ ਕਰ ਦਿੰਦਾ ਹੈ)। ਲੇਖਾ-ਜੋਖਾ ਅਤੇ ਧੋਖਾਧੜੀ-ਜਾਂਚ ਉਦੇਸ਼ਾਂ ਲਈ ਮੁਹਿੰਮ ਦੀ ਜ਼ਿੰਦਗੀ ਪਲੱਸ 18 ਮਹੀਨੇ ਲਈ ਬਰਕਰਾਰ ਰੱਖਿਆ ਜਾਂਦਾ ਹੈ, ਫਿਰ ਮੁਹਿੰਮ ਰਿਕਾਰਡ ਦੇ ਬਾਕੀ ਹਿੱਸੇ ਨਾਲ ਮਿਟਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।

  ਕਾਨੂੰਨੀ ਆਧਾਰ · ਜਾਇਜ਼ ਹਿੱਤ (ਧੋਖਾਧੜੀ ਰੋਕਥਾਮ, ਲੇਖਾ-ਜੋਖਾ) — ਆਰਟ. 6(1)(f) GDPR

• ਮੁਕਾਬਲੇ, ਸਵੀਪਸਟੇਕ, ਅਤੇ ਚੈਲੇਂਜ

  ਜੇ ਤੁਸੀਂ FixVibe ਚੈਲੇਂਜ ਵਿੱਚ ਦਾਖਲ ਹੁੰਦੇ ਹੋ (ਜਿਵੇਂ ਕਿ ਸੁਰੱਖਿਆ ਪ੍ਰੀਫਲਾਈਟ ਚੈਲੇਂਜ), ਅਸੀਂ ਉਹ ਸੰਪਰਕ ਈਮੇਲ ਸਟੋਰ ਕਰਦੇ ਹਾਂ ਜੋ ਤੁਸੀਂ ਜਮ੍ਹਾਂ ਕਰਦੇ ਹੋ (ਲੋੜੀਂਦਾ ਹੈ ਤਾਂ ਜੋ ਅਸੀਂ ਜਿੱਤਣ 'ਤੇ ਤੁਹਾਡੇ ਨਾਲ ਸੰਪਰਕ ਕਰ ਸਕੀਏ), ਉਹ Reddit ਅਤੇ Product Hunt ਉਪਭੋਗਤਾ ਨਾਮ ਜੋ ਤੁਸੀਂ ਵਿਕਲਪਿਕ ਤੌਰ 'ਤੇ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹੋ, ਤੁਹਾਡੀ ਸਕੈਨ ID ਅਤੇ ਰੂਟ ਡੋਮੇਨ, ਸਵੈ-ਰਿਪੋਰਟ ਕੀਤੀ ਪ੍ਰੋਜੈਕਟ ਕਿਸਮ, ਸਟੈਕ, ਅਤੇ ਇੱਕ-ਚੀਜ਼-ਮੈਂ-ਸਿੱਖੀ ਟੈਕਸਟ ਜੋ ਤੁਸੀਂ ਵਿਕਲਪਿਕ ਤੌਰ 'ਤੇ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹੋ, ਖੋਜ-ਚੈਨਲ ਮੁੱਲ ਜੋ ਤੁਸੀਂ ਵਿਕਲਪਿਕ ਤੌਰ 'ਤੇ ਚੁਣਦੇ ਹੋ, ਅਤੇ ਤਿੰਨ ਲੋੜੀਂਦੇ ਸਹਿਮਤੀ ਚੈੱਕਬਾਕਸ ਜੋ ਤੁਸੀਂ ਸਵੀਕਾਰ ਕਰਦੇ ਹੋ (ਅਧਿਕਾਰ, ਨਿਯਮ, ਸੰਪਰਕ)। ਜੇ ਤੁਸੀਂ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਵਿਕਲਪਿਕ ਮਾਰਕੀਟਿੰਗ-'ਤੇ-ਫੀਚਰਡ ਸਹਿਮਤੀ 'ਤੇ ਨਿਸ਼ਾਨ ਲਗਾਉਂਦੇ ਹੋ, ਅਸੀਂ ਤੁਹਾਡੇ ਜਨਤਕ ਸਕੋਰ, ਰੇਟਿੰਗ, ਸਟੈਕ, ਉਪਭੋਗਤਾ ਨਾਮ, ਅਤੇ ਜਮ੍ਹਾਂ ਕੀਤੇ ਹਵਾਲੇ ਨੂੰ FixVibe ਹੋਮਪੇਜ, ਚੈਲੇਂਜ ਪੰਨੇ, ਜਾਂ ਰੀਕੈਪ ਪੋਸਟ 'ਤੇ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰ ਸਕਦੇ ਹਾਂ — ਕਦੇ ਵੀ ਕੋਈ ਹੋਰ ਖੇਤਰ ਨਹੀਂ, ਅਤੇ ਉਸ ਆਪਟ-ਇਨ ਤੋਂ ਬਿਨਾਂ ਕਦੇ ਨਹੀਂ। ਤਸਦੀਕ ਅਤੇ ਵਿਵਾਦ ਉਦੇਸ਼ਾਂ ਲਈ ਚੈਲੇਂਜ ਦੀ ਜ਼ਿੰਦਗੀ ਪਲੱਸ 18 ਮਹੀਨੇ ਲਈ ਚੈਲੇਂਜ ਐਂਟਰੀਆਂ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਿਆ ਜਾਂਦਾ ਹੈ। ਤੁਸੀਂ privacy@fixvibe.app 'ਤੇ ਈਮੇਲ ਕਰਕੇ ਕਿਸੇ ਵੀ ਸਮੇਂ ਮਾਰਕੀਟਿੰਗ-'ਤੇ-ਫੀਚਰਡ ਸਹਿਮਤੀ ਵਾਪਸ ਲੈ ਸਕਦੇ ਹੋ; ਵਾਪਸੀ ਵਾਪਸੀ ਤੋਂ ਪਹਿਲਾਂ ਦੀ ਕਾਨੂੰਨੀ ਪ੍ਰੋਸੈਸਿੰਗ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਕਰਦੀ।

  ਕਾਨੂੰਨੀ ਆਧਾਰ · ਇਕਰਾਰਨਾਮੇ ਦਾ ਪ੍ਰਦਰਸ਼ਨ (ਚੈਲੇਂਜ ਚਲਾਉਣਾ) ਅਤੇ ਸਹਿਮਤੀ (ਫੀਚਰਿੰਗ) — ਆਰਟ. 6(1)(b) ਅਤੇ 6(1)(a) GDPR

• ਅਸੀਂ ਤੁਹਾਡਾ ਡਾਟਾ ਕਦੇ ਨਹੀਂ ਵੇਚਦੇ।
• ਅਸੀਂ third-party ad-tech, fingerprinting, ਜਾਂ session-replay scripts embed ਨਹੀਂ ਕਰਦੇ।
• ਅਸੀਂ ਤੁਹਾਡੇ scan target URLs ਜਾਂ finding evidence ਨੂੰ analytics properties ਵਿੱਚ ਨਹੀਂ ਪਾਂਦੇ — ਉਹ data ਸਿਰਫ਼ ਸਾਡੇ database ਵਿੱਚ ਰਹਿੰਦਾ ਹੈ, row-level security ਨਾਲ gated।
• ਅਸੀਂ ਤੁਹਾਡਾ ਡਾਟਾ ਤੀਜੀਆਂ ਧਿਰਾਂ ਨਾਲ ਉਹਨਾਂ ਦੀ ਆਪਣੀ marketing ਲਈ share ਨਹੀਂ ਕਰਦੇ।

FixVibe ਚਲਾਉਣ ਲਈ ਅਸੀਂ ਹੇਠਾਂ ਦਿੱਤੇ sub-processors ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਾਂ:

• Vercel Inc. (USA) — application hosting ਅਤੇ edge network। Privacy notice: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime। FixVibe production database AWS us-east-1 region ਵਿੱਚ ਹੈ। Privacy notice: supabase.com/privacy.
• Stripe Inc. (USA) — paid plans ਲਈ payment processing। Privacy notice: stripe.com/privacy.
• Upstash, Inc. (USA, Vercel Marketplace ਰਾਹੀਂ) — Redis-backed rate limiting; ਸਿਰਫ਼ short-lived IP-based counters ਸਟੋਰ ਕਰਦਾ ਹੈ। Privacy notice: upstash.com/privacy.
• PostHog Inc. (USA) — product analytics, ਸਿਰਫ਼ ਜੇ ਤੁਸੀਂ analytics consent ਦਿੰਦੇ ਹੋ ਅਤੇ ਤੁਹਾਡੇ ਵਰਤੇ ਜਾ ਰਹੇ deployment ਲਈ analytics configured ਹੈ। Privacy notice: posthog.com/privacy.
• GitHub, Inc. (USA) — ਸਿਰਫ਼ ਜੇ ਤੁਸੀਂ optional GitHub integration connect ਕਰਦੇ ਹੋ। ਤੁਸੀਂ ਜਿਨ੍ਹਾਂ repositories ਦੇ ਵਿਰੁੱਧ scans initiate ਕਰਦੇ ਹੋ, ਉਹ ਪੜ੍ਹਨ ਲਈ ਅਸੀਂ GitHub API ਵਰਤਦੇ ਹਾਂ। Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — transactional email delivery। ਜਦੋਂ ਅਸੀਂ scan-completed, scheduled-scan, live-threat alert, ਅਤੇ weekly-digest emails ਭੇਜਦੇ ਹਾਂ ਤਾਂ ਇਹ ਤੁਹਾਡਾ email address ਅਤੇ email body ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। Resend operational purposes ਲਈ delivery metadata (timestamps, status, bounce records) ਰੱਖਦਾ ਹੈ; ਅਸੀਂ Resend ਰਾਹੀਂ ਕਦੇ marketing email ਨਹੀਂ ਭੇਜਦੇ। Privacy notice: resend.com/legal/privacy-policy.

EEA/UK ਤੋਂ ਬਾਹਰ personal data transfers European Commission ਦੇ Standard Contractual Clauses (ਜਾਂ UK ਦੇ International Data Transfer Addendum) ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ, ਜਿਨ੍ਹਾਂ ਨੂੰ ਹੇਠਾਂ “Security” ਵਿੱਚ ਵਰਣਿਤ encryption-in-transit ਅਤੇ encryption-at-rest measures ਨਾਲ ਪੂਰਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR, UK GDPR, ਅਤੇ ਸਮਾਨ ਕਾਨੂੰਨਾਂ (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act ਆਦਿ) ਅਧੀਨ, ਤੁਹਾਨੂੰ ਇਹ ਅਧਿਕਾਰ ਹਨ:

• ਆਪਣੇ data ਦੀ copy access ਕਰਨਾ (ਤੁਸੀਂ ਇਹ Account → Privacy ਤੋਂ self-serve ਕਰ ਸਕਦੇ ਹੋ);
• ਆਪਣਾ data corrected ਕਰਵਾਉਣਾ;
• ਆਪਣਾ data deleted ਕਰਵਾਉਣਾ (self-serve ਵੀ);
• legitimate interests ਤੇ ਆਧਾਰਿਤ processing ਤੇ object ਕਰਨਾ;
• Cookie settings ਰਾਹੀਂ ਕਿਸੇ ਵੀ ਵੇਲੇ analytics ਲਈ consent withdraw ਕਰਨਾ;
• data portability — ਤੁਹਾਡਾ export JSON ਵਿੱਚ ਹੈ;
• ਆਪਣੀ local supervisory authority (EU/UK/EEA) ਜਾਂ ਸਮਾਨ ਸੰਸਥਾ ਕੋਲ complaint lodge ਕਰਨਾ।

ਅਸੀਂ verifiable rights requests ਦਾ 30 ਦਿਨਾਂ ਵਿੱਚ ਜਵਾਬ ਦਿੰਦੇ ਹਾਂ। ਉਹ requests ਜੋ ਅਸੀਂ self-serve ਰਾਹੀਂ ਪੂਰੇ ਨਹੀਂ ਕਰ ਸਕਦੇ (ਕਿਸੇ ਅਜਿਹੇ field ਦੀ rectification ਜੋ ਅਸੀਂ expose ਨਹੀਂ ਕਰਦੇ, processing ਦੀ restriction, objection), “Privacy request” subject line ਨਾਲ support@fixvibe.app ਤੇ email ਕਰੋ।

ਅਸੀਂ ਤੁਹਾਡੀ personal information ਨਹੀਂ ਵੇਚਦੇ। ਅਸੀਂ cross-context behavioral advertising ਲਈ personal information share ਨਹੀਂ ਕਰਦੇ। PostHog ਰਾਹੀਂ analytics ਸਾਡੇ cookie banner ਵਿੱਚ ਤੁਹਾਡੀ consent ਤੋਂ ਬਾਅਦ ਹੀ ਚੱਲਦਾ ਹੈ; ਤੁਸੀਂ Cookie settings ਰਾਹੀਂ ਜਾਂ footer ਵਿੱਚ Your Privacy Choices ਤੇ click ਕਰਕੇ ਕਿਸੇ ਵੀ ਵੇਲੇ ਇਹ consent withdraw ਕਰ ਸਕਦੇ ਹੋ।

ਜੇ ਤੁਸੀਂ ਕੈਲੀਫੋਰਨੀਆ ਵਾਸੀ ਹੋ, ਤੁਹਾਨੂੰ ਇਹ ਅਧਿਕਾਰ ਵੀ ਹਨ:

• ਜਾਣਨਾ ਕਿ ਅਸੀਂ ਕਿਹੜੀ personal information collect ਕਰਦੇ ਹਾਂ, sources, purposes, ਅਤੇ ਕੋਈ third parties ਜਿਨ੍ਹਾਂ ਨਾਲ ਅਸੀਂ ਇਸਨੂੰ share ਕਰਦੇ ਹਾਂ (ਸਭ ਉੱਪਰ ਵਿਸਥਾਰ ਨਾਲ ਦਿੱਤਾ ਹੈ);
• ਆਪਣੀ personal information ਦੀ deletion request ਕਰਨੀ (Account → Privacy ਰਾਹੀਂ self-serve ਜਾਂ ਸਾਨੂੰ email ਕਰਕੇ);
• ਗਲਤ personal information correct ਕਰਨੀ;
• sensitive personal information ਦੀ use ਅਤੇ disclosure limit ਕਰਨੀ — authentication credentials ਅਤੇ session metadata ਤੋਂ ਇਲਾਵਾ ਅਸੀਂ ਕੁਝ ਨਹੀਂ collect ਕਰਦੇ, ਅਤੇ ਦੋਵੇਂ service ਦੇਣ ਲਈ ਲੋੜੀਂਦੇ ਹਨ;
• sale ਜਾਂ sharing ਤੋਂ opt out ਕਰਨਾ — ਲਾਗੂ ਨਹੀਂ ਕਿਉਂਕਿ ਅਸੀਂ ਦੋਵੇਂ ਨਹੀਂ ਕਰਦੇ;
• ਉੱਪਰ ਦਿੱਤੇ ਅਧਿਕਾਰਾਂ ਵਿੱਚੋਂ ਕਿਸੇ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ discrimination ਨਾ ਹੋਣਾ।

ਅਸੀਂ Global Privacy Control (GPC) signals ਦਾ ਆਪਣੇ ਆਪ ਸਨਮਾਨ ਕਰਦੇ ਹਾਂ; GPC header ਭੇਜਣ ਨਾਲ ਤੁਹਾਡੀ visit ਨੂੰ ਭਵਿੱਖ ਦੀ analytics consent ਤੋਂ ਸਪਸ਼ਟ opt out ਵਾਂਗ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ।

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

ਕੋਈ security program perfect ਨਹੀਂ ਹੁੰਦਾ। ਜੇ ਤੁਹਾਨੂੰ ਲੱਗਦਾ ਹੈ ਕਿ ਤੁਸੀਂ FixVibe ਵਿੱਚ vulnerability ਲੱਭੀ ਹੈ, ਕਿਰਪਾ ਕਰਕੇ ਇਸਨੂੰ support@fixvibe.app ਤੇ report ਕਰੋ।

ਜੇ ਅਸੀਂ material changes ਕਰਦੇ ਹਾਂ — ਨਵੇਂ sub-processors, data ਦੀਆਂ ਨਵੀਆਂ categories, ਨਵੇਂ retention periods — ਅਸੀਂ ਉੱਪਰਲੀ date update ਕਰਾਂਗੇ ਅਤੇ ਤੁਹਾਨੂੰ in-app notify ਕਰਾਂਗੇ। ਛੋਟੇ wording fixes notification trigger ਨਹੀਂ ਕਰਦੇ।

privacy@fixvibe.app — ਜਵਾਬ ਆਮ ਤੌਰ ਤੇ 5 business days ਵਿੱਚ, ਅਤੇ GDPR Art. 12(3) ਅਨੁਸਾਰ ਲਾਜ਼ਮੀ 30 ਦਿਨਾਂ ਤੋਂ ਕਦੇ ਵੱਧ ਨਹੀਂ।