FixVibe

// privacy

Sera ya Faragha

imesasishwa mwisho Β· 2026-05-17

Sisi ni nani

FixVibe inaendeshwa na EGO HERO LLC (β€œsisi”, β€œkwetu”), mdhibiti wa data kwa data ya kibinafsi iliyoelezwa katika sera hii. Kwa maswali ya faragha, yakiwemo maombi ya mhusika wa data chini ya GDPR, UK GDPR, au CCPA, wasiliana na privacy@fixvibe.app. Kwa jambo jingine lolote, andikia support@fixvibe.app.

Tunachokusanya, kwa nini, na tunakihifadhi kwa muda gani

  • Data ya akaunti

    Anwani ya barua pepe, kitambulisho cha OAuth (ukiingia kwa Google au GitHub), na jina lolote tunalopokea kutoka kwa mtoa huduma wako wa OAuth. Hutumika kukuthibitisha na kuwasiliana nawe kuhusu akaunti yako. Huhifadhiwa wakati akaunti yako iko hai. Unapofuta akaunti yako, data hii huondolewa ndani ya siku 30, isipokuwa pale tunapolazimika kuihifadhi (k.m., rekodi za bili chini ya sheria za kodi).

    msingi wa kisheria Β· Utekelezaji wa mkataba β€” Art. 6(1)(b) GDPR

  • Malengo ya skani na matokeo

    URLs unazoskani, maombi tunayofanya kwa URLs hizo, na matokeo tunayozalisha. Huhifadhiwa dhidi ya shirika lako. Tunafuta kiotomatiki rekodi zilizozeeka kuliko dirisha la uhifadhi la mpango wako: siku 30 (Hobby), siku 90 (Pro), siku 365 (Unlimited). Unaweza kusafirisha au kufuta historia yako ya skani wakati wowote kutoka Akaunti β†’ Faragha.

    msingi wa kisheria Β· Utekelezaji wa mkataba β€” Art. 6(1)(b) GDPR

  • Vipindi vya skani visivyojulikana

    Ukifanya skani bila kuingia, tunatoa cookie iliyotiwa saini kwa HMAC (fixvibe_anon_session, muda wa maisha wa saa 24) yenye ID nasibu isiyo wazi. Tunafuta kiotomatiki rekodi za skani zisizodaiwa baada ya saa 24. Ukijisajili ndani ya dirisha la saa 24, skani yako huhamia kwenye akaunti yako mpya. Hatujui watumiaji wasiojulikana ni nani isipokuwa wajisajili.

    msingi wa kisheria Β· Ni lazima kabisa β€” ePrivacy Art. 5(3) exemption

  • Data ya bili

    Stripe ndiye mchakataji wetu wa malipo. Wanahifadhi maelezo ya kadi yako kwenye miundombinu ya PCI-DSS; sisi huhifadhi tu Stripe customer ID, hali ya usajili, mpango, mwanzo/mwisho wa kipindi, na rekodi ndogo ya idempotency ya matukio ya webhook. Tazama notisi ya faragha ya Stripe kwenye stripe.com/privacy.

    msingi wa kisheria Β· Utekelezaji wa mkataba β€” Art. 6(1)(b) GDPR

  • Kumbukumbu za seva na kumbukumbu za ukaguzi

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    msingi wa kisheria Β· Maslahi halali β€” Art. 6(1)(f) GDPR

  • Muunganisho wa GitHub (hiari, Pro+ pekee)

    Ukiunganisha akaunti ya GitHub kutoka Akaunti β†’ Miunganisho, tunahifadhi OAuth access token iliyosimbwa kwa shirika lako, GitHub login yako + numeric user ID, na scopes zilizotolewa. Tunatumia token hiyo kusoma tu repositories ambazo unaanzisha skani dhidi yake. Source code huchukuliwa kwa kila skani, huchakatwa kwenye memory, na ushahidi wa matokeo binafsi pekee ndio huhifadhiwa (hakuna full source dumps). Hufutwa ndani ya siku 30 baada ya kukata muunganisho.

    msingi wa kisheria Β· Utekelezaji wa mkataba / idhini β€” Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (hiari)

    Tokens unazounda kwenye Akaunti β†’ API tokens huhifadhiwa kama SHA-256 hash, herufi 8 za kwanza za plaintext (kwa utambulisho), jina uliloweka, pamoja na timestamps za kuundwa/kutumika mara ya mwisho/kufutwa. Plaintext huonyeshwa kwako mara moja tu wakati wa uundaji na haihifadhiwi kamwe. Tokens ni bearer credentials: mtu yeyote mwenye thamani hiyo anaweza kusoma skani zako na kuanzisha mpya hadi uifute. MCP server kwenye /api/mcp huthibitishwa na tokens hizo hizo, hufichua data ile ile ambayo dashboard ingeonyesha, na haiundi kategoria tofauti ya data.

    msingi wa kisheria Β· Utekelezaji wa mkataba β€” Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account β†’ Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    msingi wa kisheria Β· Performance of contract β€” Art. 6(1)(b) GDPR

  • Ugunduzi wa vitisho moja kwa moja (hiari, Unlimited pekee)

    Ikiwa umewezesha monitoring kwenye domain iliyothibitishwa, tunanasa mara kwa mara certificate-transparency log entries, DNS records, na threat-intel listings (Spamhaus DBL, URLhaus) kwa domain hiyo. Snapshots hizi zina hostnames ambazo tayari umetuidhinisha kuziskani na matokeo ya umma ya public lookups. Hakuna data ya kibinafsi ya watumiaji wako wa mwisho inayokamatwa. Snapshots zilizozeeka zaidi ya siku 7 hufutwa kiotomatiki; baseline ya karibuni zaidi huhifadhiwa kwa kila signal type.

    msingi wa kisheria Β· Utekelezaji wa mkataba β€” Art. 6(1)(b) GDPR

  • Skani za kurudia zilizopangwa (hiari, Pro+ pekee)

    Ukiwezesha scheduled scans kwenye domain iliyothibitishwa, tunarekodi cadence, last run time, next run time, na mtumiaji aliyewasha ratiba hiyo. Kila cron-triggered scan hurithi authorization-to-scan attestation iliyofanywa domain ilipothibitishwa mara ya kwanza β€” huhitaji kuthibitisha tena kwa kila run. Zima wakati wowote kwenye Domains β†’ Schedule.

    msingi wa kisheria Β· Utekelezaji wa mkataba β€” Art. 6(1)(b) GDPR

  • Analytics (hiari, imefungwa kwa idhini)

    Ukitupa idhini ya analytics na tumeweka analytics kwa deployment unayotumia, tunatumia mtoa huduma wa product-analytics anayeheshimu faragha (akipitishwa kupitia domain yetu wenyewe) kurekodi matumizi yasiyojulikana β€” vitufe gani vinabofya, checks zipi watu huendesha, wapi kwenye funnel watumiaji huondoka. Hatuweki URLs unazoskani, evidence content, au personal data kwenye analytics events. Ondoa idhini wakati wowote kupitia .

    msingi wa kisheria Β· Idhini β€” Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Ukombozi wa ofa ya promosheni

    Unapokomboa msimbo wa promosheni, kiungo cha mwaliko, au krediti ya rufaa, tunahifadhi msimbo wa kampeni, mpango na muda tulioutoa, mihuri ya muda ya kuanza na kumaliza jaribio, mpango ulioshikilia kabla ya jaribio, na hashi ya HMAC-SHA256 ya anwani yako ya IP wakati wa ukombozi (kamwe hatuhifadhi IP ghafi β€” hashi inapatikana tu ili tuweze kutekeleza vikomo vya ukombozi-mmoja-kwa-mtandao, na kuzungusha ufunguo wa HMAC wa msingi unabatilisha hashi zote zilizohifadhiwa bila kufichua mtu yeyote). Inahifadhiwa kwa muda wa kampeni pamoja na miezi 18 kwa madhumuni ya uhasibu na uchunguzi wa udanganyifu, kisha kufutwa pamoja na rekodi zingine zote za kampeni.

    msingi wa kisheria Β· Maslahi halali (kuzuia udanganyifu, uhasibu) β€” Kifungu cha 6(1)(f) GDPR

  • Mashindano, mizania, na changamoto

    Iwapo unaingia katika Changamoto ya FixVibe (kama vile Changamoto ya Ukaguzi wa Awali wa Usalama), tunahifadhi barua pepe ya mawasiliano unayowasilisha (inayohitajika ili tuweze kukufikia ukishinda), majina ya watumiaji ya Reddit na Product Hunt unayotoa kwa hiari, Scan ID yako na kikoa cha mzizi, aina ya mradi uliyojiripoti, stack, na maandishi ya kitu-kimoja-nilichojifunza unayotoa kwa hiari, thamani ya njia-ya-ugunduzi unayochagua kwa hiari, na visanduku tatu vya idhini vinavyohitajika unavyokubali (idhini, sheria, mawasiliano). Iwapo unaweka tiki kando kwenye idhini ya hiari ya kuangaziwa-kwenye-uuzaji, tunaweza kuonyesha alama yako ya umma, ukadiriaji, stack, jina la mtumiaji, na nukuu iliyowasilishwa kwenye ukurasa wa kwanza wa FixVibe, ukurasa wa changamoto, au chapisho la muhtasari β€” kamwe sehemu nyingine yoyote, na kamwe bila idhini hiyo. Maingizo ya changamoto yanahifadhiwa kwa muda wa Changamoto pamoja na miezi 18 kwa madhumuni ya uthibitisho na mgogoro. Unaweza kuondoa idhini ya kuangaziwa-kwenye-uuzaji wakati wowote kwa kutuma barua pepe privacy@fixvibe.app; kuondoa hakuathiri usindikaji halali kabla ya kuondolewa.

    msingi wa kisheria Β· Utekelezaji wa mkataba (kuendesha Changamoto) na idhini (kuangazia) β€” Kifungu cha 6(1)(b) na 6(1)(a) GDPR

Kile AMBACHO HATUKUSANYI

  • Hatuuzi data yako kamwe.
  • Hatujumuishi ad-tech ya watu wengine, fingerprinting, au session-replay scripts.
  • Hatuweki URLs za malengo yako ya skani au ushahidi wa matokeo kwenye analytics properties β€” data hiyo huishi tu kwenye database yetu, ikiwa imezuiwa kwa row-level security.
  • Hatushiriki data yako na watu wengine kwa masoko yao wenyewe.

Wachakataji-wadogo

Tunategemea wachakataji-wadogo wafuatao kuendesha FixVibe:

  • Vercel Inc. (USA) β€” application hosting na edge network. Notisi ya faragha: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) β€” Postgres database, authentication, file storage, Realtime. FixVibe production database iko katika AWS us-east-1 region. Notisi ya faragha: supabase.com/privacy.
  • Stripe Inc. (USA) β€” uchakataji wa malipo kwa mipango ya kulipia. Notisi ya faragha: stripe.com/privacy.
  • Upstash, Inc. (USA, kupitia Vercel Marketplace) β€” Redis-backed rate limiting; huhifadhi tu counters za muda mfupi kulingana na IP. Notisi ya faragha: upstash.com/privacy.
  • PostHog Inc. (USA) β€” product analytics, ikiwa tu umetoa idhini ya analytics na ikiwa analytics imesanidiwa kwa deployment unayotumia. Notisi ya faragha: posthog.com/privacy.
  • GitHub, Inc. (USA) β€” ikiwa tu unaunganisha muunganisho wa hiari wa GitHub. Tunatumia GitHub API kusoma repositories ambazo unaanzisha skani dhidi yake. Notisi ya faragha: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) β€” uwasilishaji wa barua pepe za muamala. Hupokea anwani yako ya barua pepe na mwili wa barua pepe tunapotuma barua pepe za scan-completed, scheduled-scan, live-threat alert, na weekly-digest. Resend huhifadhi delivery metadata (timestamps, status, bounce records) kwa madhumuni ya uendeshaji; hatutumi kamwe barua pepe za masoko kupitia Resend. Notisi ya faragha: resend.com/legal/privacy-policy.

Uhamisho wa data ya kibinafsi nje ya EEA/UK hutegemea European Commission Standard Contractual Clauses (au UK International Data Transfer Addendum), ukiungwa mkono na hatua za encryption-in-transit na encryption-at-rest zilizoelezwa kwenye β€œUsalama” hapa chini.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Haki zako

Chini ya GDPR, UK GDPR, na sheria zinazolingana (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act n.k.), una haki ya:

  • kufikia nakala ya data yako (unaweza kufanya hivi mwenyewe kutoka Akaunti β†’ Faragha);
  • data yako kusahihishwa;
  • data yako kufutwa (pia kwa kujihudumia);
  • kupinga uchakataji unaotegemea maslahi halali;
  • kuondoa idhini ya analytics wakati wowote kupitia ;
  • uhamishikaji wa data β€” export yako iko katika JSON;
  • kuwasilisha malalamiko kwa mamlaka yako ya usimamizi ya eneo lako (EU/UK/EEA) au chombo kinacholingana.

Tunajibu maombi ya haki yanayoweza kuthibitishwa ndani ya siku 30. Kwa maombi tusiyoweza kukidhi kwa kujihudumia (marekebisho ya sehemu tusiyoionyesha, kizuizi cha uchakataji, pingamizi), tuma barua pepe kwa support@fixvibe.app yenye mada β€œPrivacy request”.

Wakazi wa California (CCPA / CPRA)

Hatuuzi taarifa zako za kibinafsi. Hatushiriki taarifa za kibinafsi kwa cross-context behavioral advertising. Analytics kupitia PostHog huendeshwa tu baada ya kutoa idhini kwenye bango letu la cookie; unaweza kuondoa idhini hiyo wakati wowote kupitia au kwa kubofya Your Privacy Choices kwenye footer.

Ikiwa wewe ni mkazi wa California, pia una haki ya:

  • kujua taarifa za kibinafsi tunazokusanya, vyanzo, madhumuni, na watu wengine wowote tunaoshiriki nao (yote yameelezwa juu);
  • kuomba kufutwa kwa taarifa zako za kibinafsi (kwa kujihudumia kupitia Akaunti β†’ Faragha au kwa kututumia barua pepe);
  • kusahihisha taarifa za kibinafsi zisizo sahihi;
  • kupunguza matumizi na ufichuzi wa taarifa nyeti za kibinafsi β€” hatukusanyi chochote zaidi ya authentication credentials na session metadata, vyote vinavyohitajika kutoa huduma;
  • kujiondoa kwenye uuzaji au ushirikishaji β€” halihusiki kwa sababu hatufanyi chochote kati ya hivyo;
  • kutobaguliwa kwa kutumia yoyote kati ya haki zilizo juu.

Tunaheshimu ishara za Global Privacy Control (GPC) kiotomatiki; kutuma GPC header huchukulia ziara yako kana kwamba umejiondoa waziwazi kwenye idhini yoyote ya baadaye ya analytics.

Usalama

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Hakuna programu ya usalama iliyo kamili. Ukiamini umepata udhaifu katika FixVibe, tafadhali ripoti kwa support@fixvibe.app.

Mabadiliko ya sera hii

Tukifanya mabadiliko muhimu β€” wachakataji-wadogo wapya, kategoria mpya za data, vipindi vipya vya uhifadhi β€” tutasasisha tarehe iliyo juu na kukuarifu ndani ya programu. Marekebisho madogo ya maneno hayasababishi arifa.

Mawasiliano

privacy@fixvibe.app β€” majibu kwa kawaida ndani ya siku 5 za kazi, kamwe si zaidi ya siku 30 kama inavyotakiwa na GDPR Art. 12(3).

Sera ya Faragha Β· FixVibe