FixVibe

// privacy

د محرمیت پالیسي

وروستی تازه · 2026-05-17

موږ څوک یو

FixVibe د EGO HERO LLC له خوا چلول کېږي (“موږ”، “موږ ته”)، چې په دې پالیسي کې د بیان شوي personal data لپاره data controller دی. د GDPR، UK GDPR، یا CCPA لاندې د data subject requests په ګډون د محرمیت پوښتنو لپاره له privacy@fixvibe.app سره اړیکه ونیسئ. د بل هر څه لپاره support@fixvibe.app ته ولیکئ.

موږ څه راټولوو، ولې، او څومره وخت یې ساتو

  • د حساب ډاټا

    د بریښنالیک پته، OAuth identifier (که تاسو د Google یا GitHub له لارې sign in کوئ)، او هر نوم چې موږ یې ستاسو له OAuth provider څخه ترلاسه کوو. دا ستاسو د authenticate کولو او ستاسو د حساب په اړه د اړیکې لپاره کارېږي. تر هغه ساتل کېږي چې ستاسو حساب فعال وي. کله چې تاسو خپل حساب delete کوئ، دا ډاټا د 30 ورځو دننه لرې کېږي، پرته له هغو ځایونو چې موږ یې ساتلو ته اړ یو (د بېلګې په توګه، د tax law لاندې billing records).

    قانوني بنسټ · د قرارداد عملي کول — Art. 6(1)(b) GDPR

  • د سکین هدفونه او موندنې

    هغه URLs چې تاسو یې scan کوئ، هغه requests چې موږ یې دې URLs ته کوو، او هغه findings چې موږ یې تولیدوو. دا ستاسو له organization سره ساتل کېږي. موږ د ستاسو د plan له retention window څخه زاړه records په اتومات ډول delete کوو: 30 ورځې (Hobby)، 90 ورځې (Pro)، 365 ورځې (Unlimited). تاسو کولی شئ هر وخت له Account → Privacy څخه خپله scan history export یا delete کړئ.

    قانوني بنسټ · د قرارداد عملي کول — Art. 6(1)(b) GDPR

  • Anonymous scan sessions

    که تاسو له sign in پرته scan چلوئ، موږ یو HMAC-signed cookie (fixvibe_anon_session، 24-hour lifetime) صادروو چې opaque random ID لري. موږ unclaimed anonymous scan records له 24 ساعتونو وروسته په اتومات ډول delete کوو. که تاسو د 24-hour window دننه sign up وکړئ، ستاسو scan ستاسو نوي account ته migrate کېږي. موږ نه پوهېږو anonymous users څوک دي، تر څو چې sign up ونه کړي.

    قانوني بنسټ · سخت اړین — ePrivacy Art. 5(3) exemption

  • د billing ډاټا

    Stripe زموږ payment processor دی. هغوی ستاسو card details په PCI-DSS infrastructure کې ساتي؛ موږ یوازې Stripe customer ID، subscription status، plan، period start/end، او د webhook events یو کوچنی idempotency record ساتو. د Stripe privacy notice په stripe.com/privacy کې وګورئ.

    قانوني بنسټ · د قرارداد عملي کول — Art. 6(1)(b) GDPR

  • Server logs او audit logs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    قانوني بنسټ · مشروع ګټه — Art. 6(1)(f) GDPR

  • GitHub integration (اختیاري، یوازې Pro+)

    که تاسو له Account → Integrations څخه GitHub account connect کړئ، موږ ستاسو د organization لپاره encrypted OAuth access token، ستاسو GitHub login + numeric user ID، او granted scopes ساتو. موږ token یوازې د هغو repositories لوستلو لپاره کاروو چې تاسو یې scans against initiate کوئ. Source code د هر scan لپاره fetched کېږي، په memory کې processed کېږي، او یوازې individual finding evidence persisted کېږي (full source dumps نه). له disconnect وروسته د 30 ورځو دننه delete کېږي.

    قانوني بنسټ · د قرارداد عملي کول / رضایت — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (اختیاري)

    هغه tokens چې تاسو یې په Account → API tokens کې جوړوئ د SHA-256 hash، لومړي 8 plaintext characters (د پېژندنې لپاره)، هغه name چې تاسو ټاکلی، او created/last-used/revoked timestamps په توګه ساتل کېږي. Plaintext د جوړېدو پر مهال یوازې یو ځل تاسو ته ښکاري او هېڅکله persisted نه کېږي. Tokens bearer credentials دي: هر څوک چې value ولري ستاسو scans لوستلی شي او تر revoke پورې نوي scans شروع کولی شي. په /api/mcp کې MCP server د هماغو tokens له لارې authenticated کېږي، هغه data expose کوي چې dashboard به یې ښکاره کړي، او جلا data category نه جوړوي.

    قانوني بنسټ · د قرارداد عملي کول — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    قانوني بنسټ · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (اختیاري، یوازې Unlimited)

    که په verified domain کې monitoring enabled وي، موږ د هغه domain لپاره certificate-transparency log entries، DNS records، او threat-intel listings (Spamhaus DBL، URLhaus) په دوره يي ډول capture کوو. دا snapshots هغه hostnames لري چې تاسو موږ ته مخکې له مخکې د scan اجازه ورکړې او د public lookups public results لري. ستاسو د end-users هېڅ personal data نه capture کېږي. له 7 ورځو زاړه snapshots په اتومات ډول delete کېږي؛ د هر signal type لپاره تر ټولو وروستی baseline ساتل کېږي.

    قانوني بنسټ · د قرارداد عملي کول — Art. 6(1)(b) GDPR

  • Scheduled re-scans (اختیاري، یوازې Pro+)

    که تاسو په verified domain کې scheduled scans enable کړئ، موږ cadence، last run time، next run time، او هغه user record کوو چې schedule یې enable کړی. هر cron-triggered scan هغه authorization-to-scan attestation inherit کوي چې domain په لومړي ځل verified کېدو کې ورکړل شوی و — تاسو د هر run لپاره بیا attest کولو ته اړتیا نه لرئ. هر وخت یې په Domains → Schedule کې disable کړئ.

    قانوني بنسټ · د قرارداد عملي کول — Art. 6(1)(b) GDPR

  • Analytics (اختیاري، consent-gated)

    که تاسو analytics consent ورکړئ او د هغه deployment لپاره چې کاروئ analytics configured وي، موږ د anonymous usage record کولو لپاره privacy-respecting product-analytics provider کاروو (زموږ د خپل domain له لارې proxied) — کوم buttons clicked کېږي، خلک کوم checks run کوي، او users په funnel کې چېرته drop off کېږي. موږ هغه URLs چې تاسو scan کوئ، evidence content، یا personal data په analytics events کې نه اچوو. هر وخت د له لارې consent revoke کړئ.

    قانوني بنسټ · رضایت — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • د پروموشن وړاندیز غوښتنه

    کله چې تاسو د پروموشن کوډ، د بلنې لینک، یا د سپارښتنې کریډیټ غوښتنه وکړئ، موږ د کمپاین کوډ، هغه پلان او موده چې موږ ورکړې، د ازموینې د پیل او پای د وخت نښې، هغه پلان چې تاسو د ازموینې دمخه لرلی، او د غوښتلو په وخت کې ستاسو د IP پته د HMAC-SHA256 هش ذخیره کوو (موږ هیڅکله خام IP نه ذخیره کوو — هش یوازې شتون لري ترڅو موږ د هر شبکې یوه-غوښتلو محدودیتونه پلي کړو، او د اساسي HMAC کلید تاو راتاو ټول ذخیره شوي هشونه پرته له دې چې هیڅوک افشا کړي نا اعتبار کوي). د کمپاین د ژوند او 18 میاشتو لپاره د حساب او د درغلۍ څیړنې اهدافو لپاره ساتل کیږي، بیا د کمپاین ریکارډ پاتې سره ړنګ کیږي.

    قانوني بنسټ · مشروع علاقه (د درغلۍ مخنیوی، حسابداري) — Art. 6(1)(f) GDPR

  • مسابقې، لاټرۍ، او چیلنجونه

    که تاسو په یوه FixVibe چیلنج کې ننوځئ (لکه د امنیت پری فلایټ چیلنج)، موږ ستاسو سپارل شوي د اړیکې بریښنالیک ذخیره کوو (اړین دی ترڅو موږ تاسو ته ورسیږو که چیرې وګټئ)، د Reddit او Product Hunt کارن نومونه چې تاسو په اختیاري توګه وړاندې کوي، ستاسو د سکین ID او ریښه ډومین، د ځان راپور ورکړل شوي د پروژې ډول، سټک، او یوه شی-ما-زده-کړل شوی متن چې تاسو په اختیاري توګه وړاندې کوي، د کشف-چینل ارزښت چې تاسو په اختیاري توګه غوره کوي، او درې اړین د رضایت چیک باکسونه چې تاسو یې مني (اجازه، قواعد، اړیکه). که تاسو په جلا توګه د اختیاري د مارکیټینګ څرګندیدو رضایت ولګئ، موږ ښایي ستاسو عامه نمره، درجه، سټک، کارن نوم، او سپارل شوی اقتباس د FixVibe په کور پاڼه، د چیلنج پاڼه، یا د بیاکتنې پوسټ کې وښیو — هیڅکله بل ساحه، او هیڅکله پرته له هغه اختیار څخه. د چیلنج ننوتنې د چیلنج د ژوند او 18 میاشتو لپاره د تایید او شخړې اهدافو لپاره ساتل کیږي. تاسو کولی شئ په هر وخت کې د privacy@fixvibe.app ته د بریښنالیک لیږلو له لارې د مارکیټینګ څرګندیدو رضایت بیرته واخلئ؛ بیرته اخیستل د بیرته اخیستلو دمخه د قانوني پروسس باندې اغیزه نه کوي.

    قانوني بنسټ · د تړون اجرا (د چیلنج چلول) او رضایت (څرګندیدل) — Art. 6(1)(b) او 6(1)(a) GDPR

موږ څه نه راټولوو

  • موږ هېڅکله ستاسو data نه پلورو.
  • موږ third-party ad-tech، fingerprinting، یا session-replay scripts نه embed کوو.
  • موږ ستاسو scan target URLs یا finding evidence په analytics properties کې نه اچوو — هغه data یوازې زموږ په database کې ژوند کوي، د row-level security له لارې gated.
  • موږ ستاسو data د دریمو اړخونو له خپل marketing لپاره له هغوی سره share نه کوو.

Sub-processors

د FixVibe چلولو لپاره موږ پر لاندې sub-processors تکیه کوو:

  • Vercel Inc. (USA) — application hosting او edge network. Privacy notice: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres database، authentication، file storage، Realtime. د FixVibe production database په AWS us-east-1 region کې دی. Privacy notice: supabase.com/privacy.
  • Stripe Inc. (USA) — د paid plans لپاره payment processing. Privacy notice: stripe.com/privacy.
  • Upstash, Inc. (USA، د Vercel Marketplace له لارې) — Redis-backed rate limiting؛ یوازې short-lived IP-based counters ساتي. Privacy notice: upstash.com/privacy.
  • PostHog Inc. (USA) — product analytics، یوازې که تاسو analytics consent ورکړئ او analytics د هغه deployment لپاره configured وي چې تاسو یې کاروئ. Privacy notice: posthog.com/privacy.
  • GitHub, Inc. (USA) — یوازې که تاسو optional GitHub integration connect کړئ. موږ د GitHub API کاروو څو هغه repositories ولولو چې تاسو یې scans against initiate کوئ. Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — transactional email delivery. کله چې موږ scan-completed، scheduled-scan، live-threat alert، او weekly-digest emails لېږو، ستاسو email address او email body ترلاسه کوي. Resend د operational purposes لپاره delivery metadata (timestamps، status، bounce records) ساتي؛ موږ هېڅکله د Resend له لارې marketing email نه لېږو. Privacy notice: resend.com/legal/privacy-policy.

له EEA/UK څخه بهر د personal data transfers د European Commission په Standard Contractual Clauses (یا د UK په International Data Transfer Addendum) تکیه کوي، چې لاندې په “Security” کې د بیان شوو encryption-in-transit او encryption-at-rest measures له خوا تکمیل شوي دي.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

ستاسو حقوق

د GDPR، UK GDPR، او ورته قوانینو (CCPA/CPRA، LGPD، PIPEDA، Australian Privacy Act وغيره) لاندې، تاسو حق لرئ چې:

  • د خپل data copy ته access وکړئ (دا له Account → Privacy څخه self-serve کولی شئ)؛
  • خپل data corrected کړئ؛
  • خپل data deleted کړئ (هم self-serve)؛
  • د legitimate interests پر بنسټ processing ته object وکړئ؛
  • د له لارې هر وخت د analytics لپاره consent withdraw کړئ؛
  • data portability — ستاسو export په JSON کې دی؛
  • له خپل local supervisory authority (EU/UK/EEA) یا ورته ادارې سره complaint lodge کړئ.

موږ verifiable rights requests ته د 30 ورځو دننه ځواب ورکوو. د هغو requests لپاره چې موږ یې له self-serve لارې نشو پوره کولی (د هغه field rectification چې موږ یې expose نه کوو، د processing restriction، objection)، support@fixvibe.app ته د subject line “Privacy request” سره email وکړئ.

د California اوسېدونکي (CCPA / CPRA)

موږ ستاسو personal information نه پلورو. موږ personal information د cross-context behavioral advertising لپاره share نه کوو. د PostHog له لارې analytics یوازې هغه وخت چلېږي چې تاسو زموږ په cookie banner کې consent ورکړئ؛ تاسو کولی شئ هر وخت د له لارې یا په footer کې د Your Privacy Choices په کلیک کولو سره دا consent withdraw کړئ.

که تاسو د California اوسېدونکی یاست، تاسو دا حقونه هم لرئ:

  • پوه شئ چې موږ کوم personal information collect کوو، sources، purposes، او کوم third parties چې ورسره یې share کوو (ټول پورته تشریح شوي)؛
  • د خپل personal information deletion request وکړئ (له Account → Privacy څخه self-serve یا موږ ته د email له لارې)؛
  • ناسم personal information correct کړئ؛
  • د sensitive personal information use او disclosure limit کړئ — موږ د authentication credentials او session metadata پرته بل څه نه collect کوو، او دواړه د service برابرولو لپاره اړین دي؛
  • له sale یا sharing څخه opt out وکړئ — پلي کېدونکی نه دی، ځکه موږ دواړه نه کوو؛
  • د پورته حقونو د کارولو لپاره له discrimination سره مخ نه شئ.

موږ د Global Privacy Control (GPC) signals په اتومات ډول honor کوو؛ د GPC header لېږل ستاسو visit داسې ګڼي لکه تاسو چې د راتلونکې analytics consent څخه په څرګند ډول opted out کړي وي.

Security

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

هېڅ security program perfect نه دی. که تاسو باور لرئ چې په FixVibe کې مو vulnerability موندلې، مهرباني وکړئ support@fixvibe.app ته یې report کړئ.

په دې پالیسي کې بدلونونه

که موږ material changes وکړو — نوي sub-processors، د data نوي categories، نوي retention periods — موږ به پورته date update کړو او تاسو ته به in-app notify درکړو. کوچني wording fixes notification نه trigger کوي.

اړیکه

privacy@fixvibe.app — ځوابونه معمولاً د 5 business days دننه وي، هېڅکله د GDPR Art. 12(3) له مخې اړینو 30 ورځو څخه اوږد نه وي.

د محرمیت پالیسي · FixVibe