FixVibe

// privacy

गोपनीयता-नीतिः

अन्तिमं नवीकृतम् · 2026-05-17

वयं के स्मः

FixVibe EGO HERO LLC द्वारा सञ्चालितः अस्ति; स एव अस्यां नीतौ वर्णितस्य व्यक्तिगत-दत्तांशस्य दत्तांश-नियन्त्रकः। गोपनीयता-प्रश्नानां कृते, GDPR, UK GDPR, अथवा CCPA-अधीन दत्तांश-विषय-अनुरोधाः सहितम्, privacy@fixvibe.app सम्पर्क्यताम्। अन्यसर्वार्थं support@fixvibe.app इत्यत्र लिखतु।

वयं किं संगृह्णीमः, किमर्थं, कियत्कालं च धारयामः

  • खाता-दत्तांशः

    विद्युत्पत्र-पत्ता, OAuth-परिचायकः (यदि Google अथवा GitHub द्वारा प्रवेशं करोति), तथा OAuth-प्रदातृतः प्राप्तं नाम यत्किमपि। भवन्तं प्रमाणीकरणाय तथा खातासम्बन्धि सम्पर्काय उपयुज्यते। खाता सक्रियः यावत् धार्यते। खाता विलोपने एषः दत्तांशः 30 दिनेषु निष्कास्यते, यत्र तं धारयितुं वयं बाध्याः स्मः तत्र विना (उदा. कर-विधेः अधीनं billing अभिलेखाः)।

    विधिसम्मतः आधारः · Performance of contract — Art. 6(1)(b) GDPR

  • स्कैन-लक्ष्याणि निष्कर्षाश्च

    भवता स्कैन कृताः URLs, तेषु URLs प्रति अस्माभिः कृताः अनुरोधाः, तथा वयं उत्पादयामः निष्कर्षाः। भवतः संस्थायाः अधीनं संगृहीताः। भवतः योजनायाः retention window इत्यस्मात् प्राचीनतरान् अभिलेखान् वयं स्वयमेव विलोपयामः: 30 दिनानि (Hobby), 90 दिनानि (Pro), 365 दिनानि (Unlimited)। Account → Privacy इत्यतः भवान् कदापि स्वं स्कैन-इतिहासं निर्यातयितुं वा विलोपयितुं वा शक्नोति।

    विधिसम्मतः आधारः · Performance of contract — Art. 6(1)(b) GDPR

  • अनाम-स्कैन-सत्राणि

    यदि भवान् प्रवेशं विना स्कैन करोति, वयं HMAC-हस्ताक्षरितां cookie (fixvibe_anon_session, 24-घण्टा-आयुः) निर्गच्छामः, यस्यां अपारदर्शी यादृच्छिकः ID स्थितः भवति। अनाम-स्कैनस्य अयुक्त-अभिलेखान् वयं 24 घण्टानन्तरं स्वयमेव विलोपयामः। यदि भवान् 24-घण्टा-अवधौ पञ्जीकरोति, भवतः स्कैन नव-खाते स्थानान्तर्यते। अनाम-उपयोक्तारः के इति वयं न जानीमः यावत् ते पञ्जीकुर्वन्ति न।

    विधिसम्मतः आधारः · Strictly necessary — ePrivacy Art. 5(3) exemption

  • billing-दत्तांशः

    Stripe अस्माकं payment processor अस्ति। ते भवतः card-विवरणानि PCI-DSS infrastructure मध्ये धारयन्ति; वयं केवलं Stripe customer ID, subscription status, plan, period start/end, तथा webhook-घटनानां लघु idempotency अभिलेखं धारयामः। Stripe-स्य privacy notice stripe.com/privacy इत्यत्र पश्यतु।

    विधिसम्मतः आधारः · Performance of contract — Art. 6(1)(b) GDPR

  • server logs तथा audit logs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    विधिसम्मतः आधारः · Legitimate interest — Art. 6(1)(f) GDPR

  • GitHub integration (वैकल्पिकम्, केवलं Pro+)

    यदि भवान् Account → Integrations इत्यतः GitHub खातां संयोजयति, वयं भवतः संस्थायाः कृते encrypted OAuth access token, भवतः GitHub login + numeric user ID, तथा granted scopes धारयामः। token केवलं तेषां repositories पठनार्थं उपयुज्यते येषां विरुद्धं भवान् स्कैन आरभते। source code प्रति-स्कैन आनीयते, स्मृतौ संसाध्यते, केवलं पृथक् finding evidence एव स्थायिरूपेण धार्यते (पूर्ण source dumps न)। विच्छेदात् 30 दिनेषु विलोप्यते।

    विधिसम्मतः आधारः · Performance of contract / consent — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (वैकल्पिकम्)

    Account → API tokens इत्यत्र भवान् यान् tokens निर्माति ते SHA-256 hash-रूपेण, परिचयार्थं प्रथमाः 8 plaintext अक्षराः, भवता दत्तं नाम, तथा created/last-used/revoked timestamps सहितं संगृह्यन्ते। plaintext निर्माणसमये भवते एकवारमेव दर्श्यते, कदापि न धार्यते। tokens bearer credentials सन्ति: यस्य कस्यचित् मूल्यं अस्ति सः भवतः scans पठितुं नवान् आरभितुं च शक्नोति यावत् भवान् निरस्यति। /api/mcp स्थितः MCP server तैरेव tokens द्वारा authenticated अस्ति, dashboard यत् दत्तांशं दर्शयेत् तदेव प्रकाशयति, पृथक् data category न निर्माति।

    विधिसम्मतः आधारः · Performance of contract — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    विधिसम्मतः आधारः · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (वैकल्पिकम्, केवलं Unlimited)

    यदि verified domain मध्ये monitoring enabled अस्ति, वयं तस्य domain-कृते certificate-transparency log entries, DNS records, तथा threat-intel listings (Spamhaus DBL, URLhaus) कालान्तरैः गृह्णीमः। एते snapshots तान् hostnames धारयन्ति येषां scan-अनुमतिं भवान् पूर्वमेव दत्तवान्, तथा public lookups-स्य सार्वजनिक-परिणामान्। भवतः end-users-स्य personal data न गृह्यते। 7 दिनात् प्राचीनतराः snapshots स्वयमेव विलोप्यन्ते; नवीनतमः baseline प्रति signal type धार्यते।

    विधिसम्मतः आधारः · Performance of contract — Art. 6(1)(b) GDPR

  • Scheduled re-scans (वैकल्पिकम्, केवलं Pro+)

    यदि भवान् verified domain मध्ये scheduled scans सक्षम करोति, वयं cadence, last run time, next run time, तथा schedule सक्षम कृतवान् उपयोक्ता इति लिखामः। प्रत्येकः cron-triggered scan प्रथम-domain-verification समये कृताम् authorization-to-scan attestation एव अनुवर्तते — प्रति run पुनः attestation न आवश्यकम्। Domains → Schedule इत्यतः कदापि निष्क्रियं कुरुत।

    विधिसम्मतः आधारः · Performance of contract — Art. 6(1)(b) GDPR

  • Analytics (वैकल्पिकम्, consent-gated)

    यदि भवान् analytics consent ददाति तथा भवता उपयुज्यमाने deployment मध्ये analytics configured अस्ति, वयं privacy-respecting product-analytics provider (अस्माकं स्व-domain द्वारा proxied) उपयुज्य anonymous usage अभिलिखामः — कानि buttons नुद्यन्ते, के checks जनाः चालयन्ति, funnel मध्ये users कुत्र त्यजन्ति। भवता स्कैन-कृताः URLs, evidence content, अथवा personal data analytics events मध्ये न स्थापयामः। द्वारा कदापि consent प्रत्याहरतु।

    विधिसम्मतः आधारः · Consent — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • प्रोन्नति-ऑफर् मोचनम्

    यदा भवान् promo-कूटं, आमन्त्रण-लिङ्क्, सन्दर्भण-credit वा मोचयति, तदा वयं प्रचार-कूटं, यां योजनां अवधिं च वयं दत्तवन्तः, परीक्षण-आरम्भ-समाप्ति-समय-मुद्राः, परीक्षणात् पूर्वं भवता धृतां योजनां, मोचन-काले भवतः IP पते इत्यस्य HMAC-SHA256 hash च संगृह्णीमः (वयं कदापि कच्चं IP न संगृह्णीमः — hash केवलं अस्ति येन वयं प्रति-जाल-एक-मोचन-सीमाः लागू कर्तुं शक्नुमः, अन्तर्निहित HMAC कुञ्चिकायाः परिवर्तनं सर्वान् संगृहीतान् hash अमान्य-करोति विना कस्यापि अनावरणम्)। प्रचारस्य जीवनस्य + १८ मासेभ्यः लेखा-कपट-अन्वेषण-कृते रक्षितम्, ततः प्रचार-अभिलेखस्य शेषेण सह विलोपितम्।

    विधिसम्मतः आधारः · वैध-स्वार्थः (कपट-निवारणं, लेखा) — कला. ६(१)(च) GDPR

  • प्रतियोगिताः, sweepstakes, आह्वानानि च

    यदि भवान् FixVibe आह्वाने (यथा सुरक्षा-प्रागुड्डयन-आह्वानम्) प्रविशति, तदा वयं भवता प्रस्तुतं सम्पर्क-ईमेल् (आवश्यकं येन भवान् यदि जयति तदा वयं सम्पर्कं कर्तुं शक्नुमः), वैकल्पिकं प्रदत्तानि Reddit Product Hunt च उपयोक्तृ-नामानि, भवतः scan ID मूल-क्षेत्रं च, स्व-घोषित-प्रकल्प-प्रकारं, स्टैक्, एकं-वस्तु-यद्-शिक्षितं पाठं वैकल्पिकं प्रदत्तं, वैकल्पिकं चयितं प्राप्ति-चैनल-मूल्यं, त्रीणि आवश्यक-सम्मति-चेकबॉक्स (अधिकारः, नियमाः, सम्पर्कः) भवता स्वीकृतानि च संगृह्णीमः। यदि भवान् पृथक्तया वैकल्पिकं विपणन-उपस्थापन-सम्मतिं अङ्कयति, तदा वयं भवतः सार्वजनिकं अङ्कं, मूल्याङ्कनं, स्टैक्, उपयोक्तृ-नाम, प्रस्तुत-उद्धरणं च FixVibe मुख्य-पृष्ठे, आह्वान-पृष्ठे, recap पोस्ट् वा प्रदर्शयितुं शक्नुमः — कदापि किमप्यन्यं क्षेत्रं न, तस्या opt-in विना न च। आह्वान-प्रविष्टयः आह्वानस्य जीवनस्य + १८ मासेभ्यः सत्यापन-विवाद-कृते रक्षिताः। भवान् privacy@fixvibe.app इत्यत्र ईमेलेन कदाचित् विपणन-उपस्थापन-सम्मतिं प्रत्याहर्तुं शक्नोति; प्रत्याहारः प्रत्याहार-पूर्व-विधि-अनुकूल-प्रसंस्करणं न प्रभावयति।

    विधिसम्मतः आधारः · सन्धि-प्रदर्शनम् (आह्वानं चालयन्) सम्मतिः च (उपस्थापनम्) — कला. ६(१)(ख) ६(१)(क) च GDPR

वयं यत् न संगृह्णीमः

  • वयं भवतः दत्तांशं कदापि न विक्रीणीमः।
  • वयं third-party ad-tech, fingerprinting, अथवा session-replay scripts न आरोपयामः।
  • भवतः scan target URLs वा finding evidence वा analytics properties मध्ये न स्थापयामः — सः दत्तांशः केवलं अस्माकं database मध्ये, row-level security द्वारा संरक्षितः, तिष्ठति।
  • तेषां स्व-विपणनार्थं भवतः दत्तांशं third parties सह न साझीकुर्मः।

Sub-processors

FixVibe चालयितुं वयं निम्नलिखितान् sub-processors आश्रयामः:

  • Vercel Inc. (USA) — application hosting तथा edge network। Privacy notice: vercel.com/legal/privacy-policy।
  • Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime। FixVibe production database AWS us-east-1 region मध्ये अस्ति। Privacy notice: supabase.com/privacy।
  • Stripe Inc. (USA) — paid plans कृते payment processing। Privacy notice: stripe.com/privacy।
  • Upstash, Inc. (USA, Vercel Marketplace द्वारा) — Redis-backed rate limiting; केवलं अल्पजीविनः IP-based counters धारयति। Privacy notice: upstash.com/privacy।
  • PostHog Inc. (USA) — product analytics, केवलं यदि भवान् analytics consent ददाति तथा भवता उपयुज्यमाने deployment मध्ये analytics configured अस्ति। Privacy notice: posthog.com/privacy।
  • GitHub, Inc. (USA) — केवलं यदि भवान् वैकल्पिकं GitHub integration संयोजयति। वयं GitHub-स्य API उपयुज्य तानि repositories पठामः येषां विरुद्धं भवान् scans आरभते। Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement।
  • Resend, Inc. (USA) — transactional email delivery। scan-completed, scheduled-scan, live-threat alert, तथा weekly-digest emails प्रेषणकाले भवतः email address तथा email body प्राप्नोति। Resend संचालनार्थं delivery metadata (timestamps, status, bounce records) धारयति; वयं Resend द्वारा marketing email कदापि न प्रेषयामः। Privacy notice: resend.com/legal/privacy-policy।

EEA/UK बहिः personal data transfers European Commission-स्य Standard Contractual Clauses (अथवा UK-स्य International Data Transfer Addendum) उपरि आश्रिताः, याभिः अधोलिखिते “Security” भागे वर्णितैः encryption-in-transit तथा encryption-at-rest उपायैः पूरिताः।

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

भवतः अधिकाराः

GDPR, UK GDPR, तथा सदृश-विधयः (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act etc.) अधीनं भवतः अधिकारः अस्ति:

  • भवतः दत्तांशस्य प्रतिलिपिं अभिगन्तुम् (एतत् Account → Privacy इत्यतः स्व-सेवया कर्तुं शक्यते);
  • भवतः दत्तांशं संशोधितुं;
  • भवतः दत्तांशं विलोपयितुं (स्व-सेवया अपि);
  • legitimate interests-आधारित processing प्रति आपत्तिं कर्तुम्;
  • analytics consent कदापि द्वारा प्रत्याहर्तुम्;
  • data portability — भवतः export JSON मध्ये अस्ति;
  • स्वकीय local supervisory authority (EU/UK/EEA) अथवा समकक्षस्य समीपे complaint दातुम्।

वयं verifiable rights requests 30 दिनेषु प्रत्युत्तरयामः। ये अनुरोधाः self-serve द्वारा पूर्णाः न शक्यन्ते (अप्रकाशितस्य field-स्य rectification, processing restriction, objection), तेषां कृते “Privacy request” विषय-पङ्क्त्या support@fixvibe.app इत्यत्र email प्रेषयतु।

California residents (CCPA / CPRA)

वयं भवतः personal information न विक्रीणीमः। वयं cross-context behavioral advertising कृते personal information न साझा कुर्मः। PostHog-द्वारा analytics केवलं भवता अस्माकं cookie banner मध्ये consent दत्ते अनन्तरं चलति; भवान् द्वारा वा footer मध्ये Your Privacy Choices नुत्वा वा कदापि तत् consent प्रत्याहर्तुं शक्नोति।

यदि भवान् California resident अस्ति, भवतः अपि अधिकारः अस्ति:

  • वयं किम् personal information संगृह्णीमः, स्रोतांसि, प्रयोजनानि, तथा यैः third parties सह तत् साझा कुर्मः तान् ज्ञातुम् (सर्वं उपरि विस्तरेण);
  • भवतः personal information विलोपनं याचितुम् (Account → Privacy द्वारा self-serve अथवा अस्मान् email कृत्वा);
  • असमीचीनां personal information संशोधितुम्;
  • sensitive personal information-स्य उपयोगं प्रकाशनं च सीमयितुम् — authentication credentials तथा session metadata इत्येतयोः अतिरिक्तं वयं न किमपि संगृह्णीमः, उभे सेवा-प्रदानाय आवश्यके;
  • sale अथवा sharing तः opt out कर्तुम् — न लागू, यतः वयं उभयं न कुर्मः;
  • उपर्युक्त-अधिकारानां कस्यचित् प्रयोगे भेदभावं न अनुभवितुम्।

वयं Global Privacy Control (GPC) signals स्वयमेव सम्मानयामः; GPC header प्रेषणं भवतः भेटं भावि analytics consent कस्यापि स्पष्ट opt-out इव गृह्णाति।

Security

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

कोऽपि security program परिपूर्णः नास्ति। यदि भवान् FixVibe मध्ये vulnerability प्राप्तवान् इति मन्यते, कृपया तत् support@fixvibe.app इत्यत्र प्रतिवेदयतु।

अस्याः नीत्याः परिवर्तनानि

यदि वयं material changes कुर्मः — नवे sub-processors, नवानि data categories, नवे retention periods — उपरि स्थितां तिथिं अद्यतनं कृत्वा भवन्तं in-app सूचयिष्यामः। लघु wording fixes सूचना न जनयन्ति।

सम्पर्कः

privacy@fixvibe.app — उत्तराणि साधारणतया 5 business days मध्ये, GDPR Art. 12(3)-अनुसारं आवश्यकात् 30 दिनात् कदापि दीर्घतरं न।

गोपनीयता-नीतिः · FixVibe