පෞද්ගලිකත්ව ප්‍රතිපත්තිය

FixVibe EGO HERO LLC (“අපි”, “අපට”) විසින් ක්‍රියාත්මක කෙරේ; මෙම ප්‍රතිපත්තියේ විස්තර කරන පෞද්ගලික දත්ත සඳහා දත්ත පාලකයා එයයි. GDPR, UK GDPR, හෝ CCPA යටතේ දත්ත විෂය ඉල්ලීම් ඇතුළු පෞද්ගලිකත්ව ප්‍රශ්න සඳහා privacy@fixvibe.app අමතන්න. වෙනත් ඕනෑම දෙයක් සඳහා support@fixvibe.app වෙත ලියන්න.

• ගිණුම් දත්ත

  ඊමේල් ලිපිනය, OAuth identifier (ඔබ Google හෝ GitHub සමඟ sign in කළහොත්), සහ ඔබේ OAuth provider වෙතින් අපට ලැබෙන ඕනෑම නමක්. ඔබව authenticate කිරීමට සහ ඔබේ ගිණුම පිළිබඳව ඔබව සම්බන්ධ කර ගැනීමට භාවිතා වේ. ඔබේ ගිණුම active වන තෙක් තබාගනී. ඔබ ඔබේ ගිණුම මකා දැමූ විට, මෙම දත්ත දින 30ක් ඇතුළත ඉවත් කෙරේ, අපට එය තබාගත යුතු අවස්ථා හැර (උදා., බදු නීතිය යටතේ billing records).

  නෛතික පදනම · ගිවිසුම ක්‍රියාත්මක කිරීම — Art. 6(1)(b) GDPR

• ස්කෑන් ඉලක්ක සහ සොයාගැනීම්

  ඔබ scan කරන URLs, ඒ URLs වෙත අප කරන requests, සහ අප නිපදවන findings. ඔබේ organization සමඟ ගබඩා කරයි. ඔබේ plan එකේ retention window ඉක්මවා ඇති records අප ස්වයංක්‍රීයව මකා දමමු: දින 30 (Hobby), දින 90 (Pro), දින 365 (Unlimited). Account → Privacy වෙතින් ඔබට ඕනෑම වේලාවක ඔබේ scan history export හෝ delete කළ හැකිය.

  නෛතික පදනම · ගිවිසුම ක්‍රියාත්මක කිරීම — Art. 6(1)(b) GDPR

• නිර්නාමික ස්කෑන් සැසි

  ඔබ sign in නොකර scan එකක් run කළහොත්, අපි opaque random ID එකක් තබාගන්නා HMAC-signed cookie (fixvibe_anon_session, පැය 24ක lifetime) නිකුත් කරමු. claimed නොකළ anonymous scan records පැය 24කට පසු ස්වයංක්‍රීයව මකා දමමු. ඔබ පැය 24ක window ඇතුළත sign up කළහොත්, ඔබේ scan ඔබේ නව account එකට migrate වේ. Anonymous users කවුදැයි ඔවුන් sign up කරන තෙක් අපි නොදනිමු.

  නෛතික පදනම · අත්‍යවශ්‍යයි — ePrivacy Art. 5(3) exemption

• Billing data

  Stripe අපගේ payment processor වේ. Stripe ඔබේ card details PCI-DSS infrastructure මත ගබඩා කරයි; අපි Stripe customer ID, subscription status, plan, period start/end, සහ webhook events සඳහා කුඩා idempotency record එකක් පමණක් ගබඩා කරමු. Stripe හි privacy notice stripe.com/privacy හි බලන්න.

  නෛතික පදනම · ගිවිසුම ක්‍රියාත්මක කිරීම — Art. 6(1)(b) GDPR

• Server logs සහ audit logs

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  නෛතික පදනම · නීත්‍යානුකූල අභිරුචිය — Art. 6(1)(f) GDPR

• GitHub integration (විකල්ප, Pro+ පමණයි)

  ඔබ Account → Integrations වෙතින් GitHub account එකක් සම්බන්ධ කළහොත්, අපි ඔබේ organization සඳහා encrypted OAuth access token, ඔබේ GitHub login + numeric user ID, සහ granted scopes ගබඩා කරමු. අපි token එක ඔබ scan ආරම්භ කරන repositories කියවීමට පමණක් භාවිතා කරමු. Source code එක් scan එකකට fetch කර, memory තුළ process කර, individual finding evidence පමණක් persisted කරයි (full source dumps නැත). disconnect කළ පසු දින 30ක් ඇතුළත මකා දමයි.

  නෛතික පදනම · ගිවිසුම ක්‍රියාත්මක කිරීම / අනුමැතිය — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokens + MCP server (විකල්ප)

  ඔබ Account → API tokens හි සාදන tokens SHA-256 hash ලෙස, හඳුනාගැනීම සඳහා පළමු plaintext characters 8, ඔබ දුන් නම, සහ created/last-used/revoked timestamps සමඟ ගබඩා වේ. plaintext එක creation අවස්ථාවේ ඔබට එක් වරක් පමණක් පෙන්වනු ලබන අතර කිසිවිටෙක persisted නොවේ. Tokens bearer credentials වේ: value එක ඇති ඕනෑම කෙනෙකුට ඔබ revoke කරන තෙක් ඔබේ scans කියවිය හැකි අතර නව scans ආරම්භ කළ හැක. /api/mcp හි MCP server එම tokens මඟින්ම authenticated වේ, dashboard එක පෙන්වන එකම data expose කරයි, සහ වෙනම data category එකක් නිර්මාණය නොකරයි.

  නෛතික පදනම · ගිවිසුම ක්‍රියාත්මක කිරීම — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  නෛතික පදනම · Performance of contract — Art. 6(1)(b) GDPR

• Live threat detection (විකල්ප, Unlimited පමණයි)

  ඔබ verified domain එකක monitoring enabled කර තිබේ නම්, අපි එම domain සඳහා certificate-transparency log entries, DNS records, සහ threat-intel listings (Spamhaus DBL, URLhaus) කාලාන්තරයෙන් capture කරමු. මෙම snapshots තුළ ඔබ දැනටමත් අපට scan කිරීමට authorize කළ hostnames සහ public lookups හි public results අඩංගු වේ. ඔබේ end-users ගේ personal data capture නොවේ. දින 7කට වඩා පැරණි snapshots ස්වයංක්‍රීයව මකා දමයි; නවතම baseline එක signal type එකකට අනුව රඳවාගනී.

  නෛතික පදනම · ගිවිසුම ක්‍රියාත්මක කිරීම — Art. 6(1)(b) GDPR

• Scheduled re-scans (විකල්ප, Pro+ පමණයි)

  ඔබ verified domain එකක scheduled scans enable කළහොත්, අපි cadence, last run time, next run time, සහ schedule enable කළ user කවුද යන්න record කරමු. සෑම cron-triggered scan එකක්ම domain එක පළමුව verified වූ විට කළ authorization-to-scan attestation එක inherit කරයි — ඔබට එක් එක් run සඳහා re-attest කිරීමට අවශ්‍ය නැත. Domains → Schedule වෙතින් ඕනෑම වේලාවක disable කරන්න.

  නෛතික පදනම · ගිවිසුම ක්‍රියාත්මක කිරීම — Art. 6(1)(b) GDPR

• Analytics (විකල්ප, consent-gated)

  ඔබ analytics consent ලබාදී ඇති අතර ඔබ භාවිතා කරන deployment සඳහා analytics configured කර තිබේ නම්, අපි anonymous usage record කිරීමට privacy-respecting product-analytics provider එකක් (අපේ domain එක හරහා proxied) භාවිතා කරමු — click වන buttons, මිනිසුන් run කරන checks, funnel එකේ users drop off වන ස්ථාන. ඔබ scan කරන URLs, evidence content, හෝ personal data අපි analytics events තුළ තබන්නේ නැත. Cookie settings හරහා ඕනෑම වේලාවක consent revoke කරන්න.

  නෛතික පදනම · අනුමැතිය — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• ප්‍රවර්ධන පිරිනැමීම් ලබා ගැනීම

  ඔබ ප්‍රවර්ධන කේතයක්, ආරාධනා සබැඳියක්, හෝ යොමු කිරීමේ ණයක් ලබා ගන්නා විට, අපි ව්‍යාපාර කේතය, අප ලබා දුන් සැලැස්ම සහ කාලසීමාව, අත්හදා බැලීමේ ආරම්භක සහ අවසාන කාල මුද්‍රා, අත්හදා බැලීමට පෙර ඔබ දරා සිටි සැලැස්ම, සහ ලබා ගැනීමේ වේලාවේදී ඔබේ IP ලිපිනයේ HMAC-SHA256 හැෂ් එකක් ගබඩා කරමු (අපි කිසි විටෙක අමු IP එක ගබඩා නොකරමු — හැෂ් එක පවතින්නේ අපට ජාලයකට එක් ලබා ගැනීමක් සීමා බලාත්මක කළ හැකි පරිදි පමණි, සහ යටින් ඇති HMAC යතුර කරකැවීම කිසිවෙකු නිරාවරණය නොකර ගබඩා කර ඇති සියලුම හැෂ් අවලංගු කරයි). ගිණුම් සහ වංචා-විමර්ශන කටයුතු සඳහා ව්‍යාපාරයේ ආයු කාලය ප්‍රමාද මාස 18 ක් සඳහා රඳවා තබා ඇත, පසුව ව්‍යාපාර වාර්තාවේ ඉතිරි කොටස සමඟ මකා දමනු ලැබේ.

  නෛතික පදනම · නීත්‍යනුකූල අවශ්‍යතාව (වංචා වැළැක්වීම, ගිණුම් කිරීම) — Art. 6(1)(f) GDPR

• තරඟ, සම්පත්, සහ අභියෝග

  ඔබ FixVibe අභියෝගයකට (ආරක්ෂණ පූර්ව ගුවන් ගමන් අභියෝගය වැනි) ඇතුළු වන්නේ නම්, අපි ඔබ ඉදිරිපත් කරන සම්බන්ධතා ඊමේල් (ඔබ දිනුවොත් ඔබ වෙත ළඟා වීමට අවශ්‍ය), ඔබ විකල්පමය ලෙස සපයන Reddit සහ Product Hunt පරිශීලක නාම, ඔබේ scan ID සහ මූල ඩොමේනය, ස්වයං-වාර්තා කරන ව්‍යාපෘති වර්ගය, ස්ටැක්, සහ ඔබ විකල්පමය ලෙස සපයන එක්-දෙයක්-මම-ඉගෙන-ගත්තා පෙළ, ඔබ විකල්පමය ලෙස තෝරන සොයා ගැනීමේ-නාලිකා අගය, සහ ඔබ පිළිගන්නා අවශ්‍ය එකඟතා පිරික්සුම් කොටු තුන (අවසරය, නීති, සම්බන්ධතා) ගබඩා කරමු. ඔබ වෙනම විකල්ප අලෙවිකරණයේ ඉස්මතු කරන එකඟතාව සලකුණු කරන්නේ නම්, අපි ඔබේ පොදු ලකුණු, ශ්‍රේණිගත කිරීම, ස්ටැක්, පරිශීලක නාමය, සහ ඉදිරිපත් කළ උද්ධෘතය FixVibe මුල් පිටුවේ, අභියෝග පිටුවේ, හෝ සාරාංශ පෝස්ටුවක පෙන්විය හැකිය — වෙනත් ක්ෂේත්‍රයක් කිසි විටෙක නැත, සහ එම ඔප්ට්-ඉන් එක නොමැතිව කිසි විටෙක. අභියෝග ඇතුළත් වීම් සත්‍යාපන සහ ආරවුල් කටයුතු සඳහා අභියෝගයේ ආයු කාලය ප්‍රමාද මාස 18 ක් සඳහා රඳවා තබා ඇත. privacy@fixvibe.app වෙත ඊමේල් කිරීමෙන් ඔබට ඕනෑම වේලාවක අලෙවිකරණයේ ඉස්මතු කරන එකඟතාව ඉල්ලා අස්කර ගත හැකිය; ඉල්ලා අස්කර ගැනීම ඉල්ලා අස්කර ගැනීමට පෙර නීත්‍යනුකූල සැකසීමට බලපාන්නේ නැත.

  නෛතික පදනම · ගිවිසුමේ ක්‍රියාකාරිත්වය (අභියෝගය ක්‍රියාත්මක කිරීම) සහ එකඟතාව (ඉස්මතු කිරීම) — Art. 6(1)(b) සහ 6(1)(a) GDPR

• අපි ඔබේ data කිසිවිටෙක විකුණන්නේ නැත.
• අපි third-party ad-tech, fingerprinting, හෝ session-replay scripts embed කරන්නේ නැත.
• ඔබේ scan target URLs හෝ finding evidence අපි analytics properties තුළ තබන්නේ නැත — එම data අපේ database තුළ පමණක් පවතින අතර row-level security මඟින් gated වේ.
• අපි ඔබේ data third parties සමඟ ඔවුන්ගේම marketing සඳහා share කරන්නේ නැත.

FixVibe ක්‍රියාත්මක කිරීමට අපි පහත sub-processors මත රඳා පවතිමු:

• Vercel Inc. (USA) — application hosting සහ edge network. Privacy notice: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. FixVibe production database AWS us-east-1 region හි ඇත. Privacy notice: supabase.com/privacy.
• Stripe Inc. (USA) — paid plans සඳහා payment processing. Privacy notice: stripe.com/privacy.
• Upstash, Inc. (USA, Vercel Marketplace හරහා) — Redis-backed rate limiting; short-lived IP-based counters පමණක් ගබඩා කරයි. Privacy notice: upstash.com/privacy.
• PostHog Inc. (USA) — product analytics, ඔබ analytics consent ලබාදුන් විට සහ ඔබ භාවිතා කරන deployment සඳහා analytics configured කර ඇති විට පමණි. Privacy notice: posthog.com/privacy.
• GitHub, Inc. (USA) — ඔබ optional GitHub integration එක සම්බන්ධ කරන විට පමණි. ඔබ scan ආරම්භ කරන repositories කියවීමට අපි GitHub API භාවිතා කරමු. Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — transactional email delivery. අපි scan-completed, scheduled-scan, live-threat alert, සහ weekly-digest emails යවන විට ඔබේ email address සහ email body ලබාගනී. Resend operational purposes සඳහා delivery metadata (timestamps, status, bounce records) රඳවාගනී; අපි Resend හරහා marketing email කිසිවිටෙක නොයවමු. Privacy notice: resend.com/legal/privacy-policy.

EEA/UK වලින් පිටතට personal data මාරු කිරීම් European Commission හි Standard Contractual Clauses (හෝ UK International Data Transfer Addendum) මත රඳා පවතින අතර, පහත “Security” හි විස්තර කර ඇති encryption-in-transit සහ encryption-at-rest ක්‍රියාමාර්ග මඟින් පූරක වේ.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR, UK GDPR, සහ සමාන නීති (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act etc.) යටතේ, ඔබට පහත අයිතිවාසිකම් ඇත:

• ඔබේ data පිටපතකට access ලබා ගැනීමට (මෙය ඔබට Account → Privacy වෙතින් self-serve ලෙස කළ හැකිය);
• ඔබේ data corrected කර ගැනීමට;
• ඔබේ data deleted කර ගැනීමට (self-serve ලෙසද);
• legitimate interests මත පදනම් වූ processing වලට object කිරීමට;
• Cookie settings හරහා ඕනෑම වේලාවක analytics consent withdraw කිරීමට;
• data portability — ඔබේ export JSON වේ;
• ඔබේ local supervisory authority (EU/UK/EEA) හෝ equivalent වෙත complaint lodge කිරීමට.

අපි verifiable rights requests වෙත දින 30ක් ඇතුළත ප්‍රතිචාර දක්වමු. self-serve හරහා සපුරා දිය නොහැකි requests සඳහා (අප expose නොකරන field එකක rectification, restriction of processing, objection), “Privacy request” subject line සමඟ support@fixvibe.app වෙත email කරන්න.

අපි ඔබේ personal information විකුණන්නේ නැත. cross-context behavioral advertising සඳහා personal information share කරන්නේ නැත. PostHog හරහා analytics ක්‍රියාත්මක වන්නේ අපගේ cookie banner තුළ ඔබ consent ලබාදුන් පසුව පමණි; ඔබට Cookie settings හරහා හෝ footer එකේ Your Privacy Choices click කිරීමෙන් ඕනෑම වේලාවක එම consent withdraw කළ හැක.

ඔබ California resident කෙනෙකු නම්, ඔබට තවදුරටත් පහත අයිතිවාසිකම් ඇත:

• අපි collect කරන personal information, sources, purposes, සහ අප share කරන third parties (සියල්ල ඉහත විස්තර කර ඇත) දැන ගැනීමට;
• ඔබේ personal information delete කරන ලෙස request කිරීමට (Account → Privacy හරහා self-serve හෝ අපට email කිරීමෙන්);
• වැරදි personal information correct කිරීමට;
• sensitive personal information භාවිතය සහ disclosure සීමා කිරීමට — service ලබාදීමට අවශ්‍ය authentication credentials සහ session metadata හැර අපි කිසිවක් collect නොකරමු;
• sale හෝ sharing වලින් opt out වීමට — අපි දෙකම නොකරන බැවින් අදාළ නොවේ;
• ඉහත අයිතිවාසිකම් වලින් ඕනෑම එකක් ක්‍රියාත්මක කිරීම නිසා discriminated against නොවීමට.

අපි Global Privacy Control (GPC) signals ස්වයංක්‍රීයව ගෞරව කරමු; GPC header එකක් යැවීම ඔබ අනාගත analytics consent කිසිවකට පැහැදිලිව opt out වී ඇති ලෙස ඔබේ visit එක සලකයි.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

කිසිදු security program එකක් perfect නොවේ. ඔබ FixVibe තුළ vulnerability එකක් සොයාගෙන ඇතැයි විශ්වාස කරන්නේ නම්, කරුණාකර support@fixvibe.app වෙත report කරන්න.

අපි material changes කළහොත් — නව sub-processors, නව categories of data, නව retention periods — ඉහත date update කර ඔබට in-app notify කරන්නෙමු. සුළු wording fixes notification trigger නොකරයි.

privacy@fixvibe.app — පිළිතුරු සාමාන්‍යයෙන් business days 5ක් තුළ, GDPR Art. 12(3) අනුව අවශ්‍ය දින 30කට වඩා කිසිවිටෙක දිගු නොවේ.