FixVibe

// privacy

رازداري پاليسي

آخري اپڊيٽ · 2026-05-17

اسان ڪير آهيون

FixVibe کي EGO HERO LLC هلائي ٿو، جيڪو هن پاليسي ۾ بيان ڪيل ذاتي ڊيٽا لاءِ ڊيٽا ڪنٽرولر آهي (“اسان”، “اسان کي”)۔ رازداري بابت سوالن لاءِ، GDPR، UK GDPR، يا CCPA تحت ڊيٽا سبجيڪٽ درخواستن سميت، privacy@fixvibe.app سان رابطو ڪريو۔ ٻين سڀني ڳالهين لاءِ support@fixvibe.app تي لکو۔

اسان ڇا گڏ ڪريون ٿا، ڇو، ۽ ڪيتري دير رکون ٿا

  • اڪائونٽ ڊيٽا

    اي ميل پتو، OAuth سڃاڻپ ڪندڙ (جيڪڏهن توهان Google يا GitHub سان سائن اِن ڪريو)، ۽ جيڪو به نالو اسان کي توهان جي OAuth فراهم ڪندڙ کان ملي۔ توهان جي تصديق ڪرڻ ۽ توهان جي اڪائونٽ بابت رابطو ڪرڻ لاءِ استعمال ٿئي ٿو۔ توهان جو اڪائونٽ فعال رهڻ تائين رکيو وڃي ٿو۔ جڏهن توهان پنهنجو اڪائونٽ حذف ڪريو ٿا، هي ڊيٽا 30 ڏينهن اندر هٽايو وڃي ٿو، سواءِ جتي اسان کي ان کي رکڻ لازمي هجي (مثال طور، ٽيڪس قانون تحت billing records)۔

    قانوني بنياد · Performance of contract — Art. 6(1)(b) GDPR

  • اسڪين هدف ۽ نتيجا

    اهي URLs جيڪي توهان اسڪين ڪريو ٿا، اهي درخواستون جيڪي اسان انهن URLs ڏانهن موڪليون ٿا، ۽ اهي نتيجا جيڪي اسان ٺاهيون ٿا۔ توهان جي تنظيم سان گڏ محفوظ ٿين ٿا۔ اسان توهان جي پلان جي retention window کان پراڻا رڪارڊ پاڻمرادو حذف ڪريون ٿا: 30 ڏينهن (Hobby)، 90 ڏينهن (Pro)، 365 ڏينهن (Unlimited)۔ توهان Account → Privacy مان ڪنهن به وقت پنهنجي اسڪين تاريخ برآمد يا حذف ڪري سگهو ٿا۔

    قانوني بنياد · Performance of contract — Art. 6(1)(b) GDPR

  • گمنام اسڪين سيشن

    جيڪڏهن توهان سائن اِن کان سواءِ اسڪين هلائيندا آهيو، اسان HMAC-signed cookie (fixvibe_anon_session، 24 ڪلاڪ عمر) جاري ڪندا آهيون جنهن ۾ مبهم بي ترتيب ID هوندي آهي۔ اسان دعويٰ نه ڪيل گمنام اسڪين رڪارڊ 24 ڪلاڪن کان پوءِ پاڻمرادو حذف ڪندا آهيون۔ جيڪڏهن توهان 24 ڪلاڪن جي اندر سائن اپ ڪريو ٿا، توهان جو اسڪين توهان جي نئين اڪائونٽ ۾ منتقل ٿي ويندو آهي۔ اسان نٿا ڄاڻون ته گمنام استعمال ڪندڙ ڪير آهن جيستائين اهي سائن اپ نه ڪن۔

    قانوني بنياد · Strictly necessary — ePrivacy Art. 5(3) exemption

  • billing ڊيٽا

    Stripe اسان جو payment processor آهي۔ اهي توهان جي card details کي PCI-DSS infrastructure تي محفوظ ڪن ٿا؛ اسان صرف Stripe customer ID، subscription status، plan، period start/end، ۽ webhook events جو ننڍو idempotency record رکون ٿا۔ Stripe جو privacy notice stripe.com/privacy تي ڏسو۔

    قانوني بنياد · Performance of contract — Art. 6(1)(b) GDPR

  • server logs ۽ audit logs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    قانوني بنياد · Legitimate interest — Art. 6(1)(f) GDPR

  • GitHub integration (اختياري، صرف Pro+)

    جيڪڏهن توهان Account → Integrations مان GitHub اڪائونٽ ڳنڍيو ٿا، اسان توهان جي تنظيم لاءِ encrypted OAuth access token، توهان جو GitHub login + numeric user ID، ۽ granted scopes محفوظ ڪريون ٿا۔ اسان token صرف انهن repositories کي پڙهڻ لاءِ استعمال ڪندا آهيون جن خلاف توهان اسڪين شروع ڪريو ٿا۔ source code هر اسڪين تي آندو ويندو آهي، memory ۾ process ٿيندو آهي، ۽ صرف individual finding evidence محفوظ رهندي آهي (ڪابه full source dumps نه)۔ disconnect ڪرڻ کان 30 ڏينهن اندر حذف ٿيندو آهي۔

    قانوني بنياد · Performance of contract / consent — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (اختياري)

    جيڪي tokens توهان Account → API tokens تي ٺاهيو ٿا، اهي SHA-256 hash طور محفوظ ٿين ٿا، سڃاڻپ لاءِ پهريان 8 plaintext اکر، توهان ڏنل نالو، ۽ created/last-used/revoked timestamps سميت۔ plaintext ٺاهڻ وقت توهان کي بلڪل هڪ ڀيرو ڏيکاريو ويندو آهي ۽ ڪڏهن به محفوظ نٿو ٿئي۔ tokens bearer credentials آهن: جنهن وٽ value آهي اهو توهان جا scans پڙهي ۽ نوان شروع ڪري سگهي ٿو جيستائين توهان revoke نه ڪريو۔ /api/mcp تي MCP server ساڳين tokens سان authenticated آهي، dashboard جهڙو ئي ڊيٽا ڏيکاري ٿو، ۽ ڪا الڳ data category پيدا نٿو ڪري۔

    قانوني بنياد · Performance of contract — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    قانوني بنياد · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (اختياري، صرف Unlimited)

    جيڪڏهن verified domain تي monitoring enabled آهي، اسان وقت بوقت ان domain لاءِ certificate-transparency log entries، DNS records، ۽ threat-intel listings (Spamhaus DBL، URLhaus) capture ڪندا آهيون۔ اهي snapshots اهي hostnames رکن ٿا جن کي اسڪين ڪرڻ جي اجازت توهان اڳ ۾ ڏني آهي، ۽ public lookups جا public results۔ توهان جي end-users جو personal data capture نٿو ٿئي۔ 7 ڏينهن کان پراڻا snapshots پاڻمرادو حذف ٿين ٿا؛ سڀ کان تازو baseline هر signal type لاءِ رکيو وڃي ٿو۔

    قانوني بنياد · Performance of contract — Art. 6(1)(b) GDPR

  • Scheduled re-scans (اختياري، صرف Pro+)

    جيڪڏهن توهان verified domain تي scheduled scans فعال ڪريو ٿا، اسان cadence، last run time، next run time، ۽ schedule فعال ڪندڙ user کي record ڪندا آهيون۔ هر cron-triggered scan اها ئي authorization-to-scan attestation ورثي ۾ وٺندو آهي جيڪا domain پهريون ڀيرو verify ٿيڻ وقت ڪئي وئي هئي — هر run لاءِ ٻيهر attest ڪرڻ جي ضرورت ناهي۔ Domains → Schedule مان ڪنهن به وقت بند ڪريو۔

    قانوني بنياد · Performance of contract — Art. 6(1)(b) GDPR

  • Analytics (اختياري، consent-gated)

    جيڪڏهن توهان analytics consent ڏيو ٿا ۽ توهان جي استعمال ڪيل deployment لاءِ analytics configured آهي، اسان privacy-respecting product-analytics provider (اسان جي پنهنجي domain مان proxied) استعمال ڪري anonymous usage record ڪندا آهيون — ڪهڙا buttons click ٿين ٿا، ماڻهو ڪهڙا checks هلائين ٿا، funnel ۾ users ڪٿي drop off ٿين ٿا۔ اسان توهان جا scan URLs، evidence content، يا personal data analytics events ۾ نٿا رکون۔ ذريعي ڪنهن به وقت consent واپس وٺو۔

    قانوني بنياد · Consent — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • پروموشنل آڇ ريڊمپشن

    جڏھن توھان ھڪ پروموشن ڪوڊ، دعوت لنڪ، يا ريفرل ڪريڊٽ ريڊيم ڪريو ٿا، اسان مھم ڪوڊ، اھو پلان ۽ مدت جيڪا اسان ڏني، آزمائشي شروعاتي ۽ آخري ٽائيم اسٽيمپس، اھو پلان جيڪو توھان آزمائشي کان پھريان رکيو، ۽ ريڊمپشن وقت توھان جي IP پتي جو HMAC-SHA256 ھيش محفوظ ڪريون ٿا (اسان ڪڏھن به خام IP محفوظ نه ٿا ڪريون — ھيش صرف ان ڪري موجود آھي ته جيئن اسان ھر-نيٽ ورڪ-لاءِ-ھڪ-ريڊمپشن جي حدن کي لاڳو ڪري سگھون، ۽ بنيادي HMAC ڪيءَ کي rotate ڪرڻ سان سڀ محفوظ ھيش بنا ڪنھن کي ظاھر ڪرڻ جي باطل ٿي ويندا). اڪائونٽنگ ۽ فراڊ-تحقيقاتي مقصدن لاءِ مھم جي زندگي ۽ 18 مھينا برقرار رکيا ويا، پوءِ باقي مھم رڪارڊ سان گڏ ختم ڪيا ويا.

    قانوني بنياد · جائز مفاد (فراڊ روڪٿام، اڪائونٽنگ) — آرٽ. 6(1)(f) GDPR

  • مقابلا، سويپ اسٽيڪس، ۽ چيلنج

    جيڪڏھن توھان FixVibe چيلنج ۾ داخل ٿيو ٿا (جيئن سيڪيورٽي پريفلائيٽ چيلنج)، اسان رابطي وارو اي ميل محفوظ ڪريون ٿا جيڪو توھان جمع ڪرايو (گھربل ته جيئن جيڪڏھن توھان کٽو ته اسان توھان تائين پھچي سگھون)، Reddit ۽ Product Hunt يوزرنيمز جيڪي توھان اختياري طور مهيا ڪريو ٿا، توھان جو اسڪين ID ۽ روٽ ڊومين، خود-رپورٽ ٿيل پروجيڪٽ جو قسم، اسٽيڪ، ۽ ھڪ-شيءِ-جيڪا-مون-سکي متن جيڪو توھان اختياري طور مهيا ڪريو ٿا، اھا discovery-channel قدر جيڪا توھان اختياري طور چونڊيو ٿا، ۽ اھي ٽي گھربل رضامندي چيڪ باڪس جيڪي توھان قبول ڪريو ٿا (اختيار، قاعدا، رابطو). جيڪڏھن توھان الڳ طور اختياري featured-on-marketing رضامندي تي ٽڪ ڪريو ٿا، اسان FixVibe ھوم پيج، چيلنج پيج، يا ريڪيپ پوسٽ تي توھان جو عوامي اسڪور، ريٽنگ، اسٽيڪ، يوزرنيم، ۽ جمع ٿيل اقتباس ڏيکاري سگھون ٿا — ڪڏھن به ڪا ٻي فيلڊ نه، ۽ ڪڏھن به ان opt-in کانسواءِ نه. چيلنج داخلائون تصديق ۽ تڪرار جي مقصدن لاءِ چيلنج جي زندگي ۽ 18 مھينا برقرار رکيا ويا. توھان featured-on-marketing رضامندي ڪنھن به وقت privacy@fixvibe.app تي اي ميل ڪري واپس وٺي سگھو ٿا؛ واپسي واپسي کان پھريان قانوني پروسيسنگ کي متاثر نه ٿي ڪري.

    قانوني بنياد · معاهدي جي ڪارڪردگي (چيلنج ھلائڻ) ۽ رضامندي (نمايان ڪرڻ) — آرٽ. 6(1)(b) ۽ 6(1)(a) GDPR

اسان ڇا گڏ نٿا ڪريون

  • اسان توهان جي ڊيٽا ڪڏهن به نٿا وڪڻون۔
  • اسان third-party ad-tech، fingerprinting، يا session-replay scripts شامل نٿا ڪريون۔
  • اسان توهان جا scan target URLs يا finding evidence analytics properties ۾ نٿا رکون — اهو ڊيٽا صرف اسان جي database ۾ رهي ٿو، row-level security سان بند ٿيل۔
  • اسان توهان جي ڊيٽا third parties سان انهن جي پنهنجي marketing لاءِ share نٿا ڪريون۔

Sub-processors

FixVibe هلائڻ لاءِ اسان هيٺين sub-processors تي ڀاڙيون ٿا:

  • Vercel Inc. (USA) — application hosting ۽ edge network۔ Privacy notice: vercel.com/legal/privacy-policy۔
  • Supabase Inc. (USA) — Postgres database، authentication، file storage، Realtime۔ FixVibe production database AWS us-east-1 region ۾ آهي۔ Privacy notice: supabase.com/privacy۔
  • Stripe Inc. (USA) — paid plans لاءِ payment processing۔ Privacy notice: stripe.com/privacy۔
  • Upstash, Inc. (USA، Vercel Marketplace ذريعي) — Redis-backed rate limiting؛ صرف short-lived IP-based counters محفوظ ڪري ٿو۔ Privacy notice: upstash.com/privacy۔
  • PostHog Inc. (USA) — product analytics، صرف جيڪڏهن توهان analytics consent ڏيو ٿا ۽ صرف جڏهن توهان جي استعمال ڪيل deployment لاءِ analytics configured آهي۔ Privacy notice: posthog.com/privacy۔
  • GitHub, Inc. (USA) — صرف جيڪڏهن توهان اختياري GitHub integration ڳنڍيو ٿا۔ اسان GitHub جي API استعمال ڪري repositories پڙهون ٿا جن خلاف توهان scans شروع ڪريو ٿا۔ Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement۔
  • Resend, Inc. (USA) — transactional email delivery۔ جڏهن اسان scan-completed، scheduled-scan، live-threat alert، ۽ weekly-digest emails موڪليون ٿا ته توهان جو email address ۽ email body وصول ڪري ٿو۔ Resend operational purposes لاءِ delivery metadata (timestamps، status، bounce records) محفوظ ڪري ٿو؛ اسان Resend ذريعي marketing email ڪڏهن به نٿا موڪليون۔ Privacy notice: resend.com/legal/privacy-policy۔

EEA/UK کان ٻاهر personal data transfers European Commission جي Standard Contractual Clauses (يا UK جي International Data Transfer Addendum) تي ڀاڙين ٿيون، جن کي هيٺ “Security” ۾ بيان ڪيل encryption-in-transit ۽ encryption-at-rest قدمن سان مڪمل ڪيو ويو آهي۔

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

توهان جا حق

GDPR، UK GDPR، ۽ برابر قانونن (CCPA/CPRA، LGPD، PIPEDA، Australian Privacy Act وغيره) تحت، توهان کي حق آهي ته:

  • توهان پنهنجي ڊيٽا جي ڪاپي تائين رسائي حاصل ڪريو (هي توهان Account → Privacy مان self-serve ڪري سگهو ٿا)؛
  • توهان جي ڊيٽا درست ڪرائي؛
  • توهان جي ڊيٽا حذف ڪرائي (self-serve پڻ)؛
  • legitimate interests تي ٻڌل processing تي اعتراض ڪريو؛
  • analytics لاءِ consent ڪنهن به وقت ذريعي واپس وٺو؛
  • data portability — توهان جو export JSON ۾ آهي؛
  • پنهنجي local supervisory authority (EU/UK/EEA) يا برابر اداري وٽ complaint داخل ڪريو۔

اسان verifiable rights requests کي 30 ڏينهن اندر جواب ڏيندا آهيون۔ جيڪي درخواستون self-serve ذريعي پوريون نٿيون ٿي سگهن (اهڙي field جي rectification جيڪا اسان expose نٿا ڪريون، restriction of processing، objection)، انهن لاءِ support@fixvibe.app تي subject line “Privacy request” سان email ڪريو۔

California residents (CCPA / CPRA)

اسان توهان جي personal information نٿا وڪڻون۔ اسان cross-context behavioral advertising لاءِ personal information share نٿا ڪريون۔ PostHog ذريعي analytics صرف تڏهن هلندو آهي جڏهن توهان اسان جي cookie banner ۾ consent ڏيو؛ توهان ذريعي يا footer ۾ Your Privacy Choices تي click ڪري ڪنهن به وقت اهو consent واپس وٺي سگهو ٿا۔

جيڪڏهن توهان California resident آهيو، توهان کي هي حق پڻ آهن:

  • ڄاڻو ته اسان ڪهڙي personal information گڏ ڪريون ٿا، ذريعا، مقصد، ۽ اهي third parties جن سان اسان اها share ڪريون ٿا (سڀ ڪجهه مٿي تفصيل سان آهي)؛
  • توهان جي personal information جي deletion جي درخواست ڪريو (Account → Privacy ذريعي self-serve يا اسان کي email ڪري)؛
  • غلط personal information درست ڪريو؛
  • sensitive personal information جي استعمال ۽ disclosure کي محدود ڪريو — اسان authentication credentials ۽ session metadata کان سواءِ ڪجهه نٿا گڏ ڪريون، ٻئي service ڏيڻ لاءِ ضروري آهن؛
  • sale يا sharing مان opt out ڪريو — لاڳو نٿو ٿئي، ڇاڪاڻ ته اسان ٻنهي مان ڪو به نٿا ڪريون؛
  • مٿي ڏنل ڪنهن به حق کي استعمال ڪرڻ سبب discriminated against نه ٿيو۔

اسان Global Privacy Control (GPC) signals کي پاڻمرادو عزت ڏيون ٿا؛ GPC header موڪلڻ توهان جي visit کي اهڙو سمجهائيندو آهي ڄڻ توهان future analytics consent مان واضح طور opt out ڪيو هجي۔

Security

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

ڪوبه security program مڪمل ناهي۔ جيڪڏهن توهان کي لڳي ٿو ته توهان FixVibe ۾ vulnerability ڳولي آهي، مهرباني ڪري اها support@fixvibe.app تي report ڪريو۔

هن پاليسي ۾ تبديليون

جيڪڏهن اسان material changes ڪريون ٿا — نوان sub-processors، data جون نيون categories، نوان retention periods — اسان مٿي date اپڊيٽ ڪري توهان کي in-app اطلاع ڏينداسين۔ معمولي wording fixes notification trigger نٿا ڪن۔

رابطو

privacy@fixvibe.app — جواب عام طور 5 business days اندر، GDPR Art. 12(3) موجب گهربل 30 ڏينهن کان ڪڏهن به وڌيڪ نه۔

رازداري پاليسي · FixVibe