தனியுரிமை கொள்கை

FixVibe EGO HERO LLC (“நாங்கள்”, “எங்களுக்கு”) மூலம் இயக்கப்படுகிறது; இந்த கொள்கையில் விவரிக்கப்பட்டுள்ள தனிப்பட்ட தரவிற்கான data controller அதுவே. GDPR, UK GDPR, அல்லது CCPA கீழான data subject requests உட்பட தனியுரிமை கேள்விகளுக்கு privacy@fixvibe.app ஐ தொடர்பு கொள்ளவும். வேறு எதற்கும் support@fixvibe.app க்கு எழுதவும்.

• கணக்கு தரவு

  மின்னஞ்சல் முகவரி, OAuth identifier (நீங்கள் Google அல்லது GitHub மூலம் sign in செய்தால்), மற்றும் உங்கள் OAuth provider இலிருந்து எங்களுக்கு கிடைக்கும் எந்த பெயரும். உங்களை authenticate செய்யவும் உங்கள் கணக்கைப் பற்றி தொடர்பு கொள்ளவும் பயன்படுத்தப்படுகிறது. உங்கள் கணக்கு active ஆக இருக்கும் வரை வைத்திருக்கப்படுகிறது. நீங்கள் உங்கள் கணக்கை நீக்கும்போது, இந்த தரவு 30 நாட்களுக்குள் அகற்றப்படும், அதை வைத்திருக்க நாம் சட்டப்படி கட்டாயப்படுத்தப்பட்டுள்ள இடங்களைத் தவிர (எ.கா., வரி சட்டத்தின் கீழ் billing records).

  சட்ட அடிப்படை · ஒப்பந்த செயல்பாடு — Art. 6(1)(b) GDPR

• ஸ்கேன் இலக்குகள் மற்றும் கண்டுபிடிப்புகள்

  நீங்கள் scan செய்யும் URLs, அந்த URLs க்கு நாங்கள் செய்யும் requests, மற்றும் நாங்கள் உருவாக்கும் findings. உங்கள் organization உடன் சேமிக்கப்படும். உங்கள் plan இன் retention window ஐ விட பழைய records ஐ நாங்கள் தானாக delete செய்கிறோம்: 30 நாட்கள் (Hobby), 90 நாட்கள் (Pro), 365 நாட்கள் (Unlimited). கணக்கு → தனியுரிமை இலிருந்து நீங்கள் எந்த நேரத்திலும் உங்கள் scan history ஐ export செய்யலாம் அல்லது delete செய்யலாம்.

  சட்ட அடிப்படை · ஒப்பந்த செயல்பாடு — Art. 6(1)(b) GDPR

• அடையாளமற்ற ஸ்கேன் அமர்வுகள்

  நீங்கள் sign in செய்யாமல் scan ஒன்றை run செய்தால், opaque random ID கொண்ட HMAC-signed cookie (fixvibe_anon_session, 24 மணி lifetime) ஐ நாங்கள் issue செய்கிறோம். claim செய்யப்படாத anonymous scan records ஐ 24 மணிநேரத்திற்குப் பிறகு தானாக delete செய்கிறோம். 24 மணி window க்குள் நீங்கள் sign up செய்தால், உங்கள் scan உங்கள் புதிய account க்கு migrate ஆகும். Anonymous users யார் என்பதை அவர்கள் sign up செய்யும் வரை நாங்கள் அறியமாட்டோம்.

  சட்ட அடிப்படை · கண்டிப்பாக அவசியம் — ePrivacy Art. 5(3) exemption

• Billing data

  Stripe எங்கள் payment processor. அவர்கள் உங்கள் card details ஐ PCI-DSS infrastructure இல் சேமிக்கிறார்கள்; நாங்கள் Stripe customer ID, subscription status, plan, period start/end, மற்றும் webhook events இன் சிறிய idempotency record மட்டும் சேமிக்கிறோம். Stripe இன் privacy notice ஐ stripe.com/privacy இல் பார்க்கவும்.

  சட்ட அடிப்படை · ஒப்பந்த செயல்பாடு — Art. 6(1)(b) GDPR

• Server logs மற்றும் audit logs

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  சட்ட அடிப்படை · சட்டப்பூர்வ நலன் — Art. 6(1)(f) GDPR

• GitHub integration (விருப்பம், Pro+ மட்டும்)

  நீங்கள் Account → Integrations இலிருந்து GitHub account ஐ connect செய்தால், உங்கள் organization க்கான encrypted OAuth access token, உங்கள் GitHub login + numeric user ID, மற்றும் granted scopes ஐ நாங்கள் சேமிக்கிறோம். நீங்கள் scans தொடங்கும் repositories ஐ வாசிப்பதற்காக மட்டுமே token ஐ பயன்படுத்துகிறோம். Source code ஒவ்வொரு scan க்கும் fetch செய்யப்படுகிறது, memory இல் process செய்யப்படுகிறது, மற்றும் individual finding evidence மட்டும் persisted ஆகிறது (full source dumps இல்லை). disconnect செய்த 30 நாட்களுக்குள் delete செய்யப்படும்.

  சட்ட அடிப்படை · ஒப்பந்த செயல்பாடு / சம்மதம் — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokens + MCP server (விருப்பம்)

  நீங்கள் Account → API tokens இல் உருவாக்கும் tokens SHA-256 hash ஆகவும், அடையாளம் காண முதல் 8 plaintext characters ஆகவும், நீங்கள் கொடுத்த பெயர், created/last-used/revoked timestamps உடனும் சேமிக்கப்படுகின்றன. plaintext உருவாக்கும்போது உங்களுக்கு ஒரே முறை மட்டுமே காட்டப்படும், ஒருபோதும் persisted ஆகாது. Tokens bearer credentials: value உள்ள யாராலும் நீங்கள் revoke செய்யும் வரை உங்கள் scans ஐ வாசிக்கவும் புதிய scans தொடங்கவும் முடியும். /api/mcp இல் உள்ள MCP server அதே tokens மூலம் authenticated ஆகிறது, dashboard காட்டும் அதே data வை expose செய்கிறது, மேலும் தனி data category ஒன்றை உருவாக்காது.

  சட்ட அடிப்படை · ஒப்பந்த செயல்பாடு — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  சட்ட அடிப்படை · Performance of contract — Art. 6(1)(b) GDPR

• Live threat detection (விருப்பம், Unlimited மட்டும்)

  verified domain இல் monitoring enabled இருந்தால், அந்த domain க்காக certificate-transparency log entries, DNS records, மற்றும் threat-intel listings (Spamhaus DBL, URLhaus) ஐ நாங்கள் காலகட்டப்படி capture செய்கிறோம். இந்த snapshots இல் நீங்கள் ஏற்கனவே scan செய்ய எங்களுக்கு authorize செய்த hostnames மற்றும் public lookups இன் public results உள்ளன. உங்கள் end-users இன் personal data capture செய்யப்படாது. 7 நாட்களுக்கு மேல் பழைய snapshots தானாக delete செய்யப்படும்; மிகச் சமீபத்திய baseline ஒவ்வொரு signal type க்கும் retained ஆகும்.

  சட்ட அடிப்படை · ஒப்பந்த செயல்பாடு — Art. 6(1)(b) GDPR

• Scheduled re-scans (விருப்பம், Pro+ மட்டும்)

  verified domain இல் scheduled scans ஐ enable செய்தால், cadence, last run time, next run time, மற்றும் schedule ஐ enable செய்த user யார் என்பதை நாங்கள் record செய்கிறோம். ஒவ்வொரு cron-triggered scan ம் domain முதலில் verified ஆனபோது செய்யப்பட்ட authorization-to-scan attestation ஐ inherit செய்கிறது — ஒவ்வொரு run க்கும் நீங்கள் re-attest செய்ய வேண்டியதில்லை. Domains → Schedule இல் எந்த நேரத்திலும் disable செய்யவும்.

  சட்ட அடிப்படை · ஒப்பந்த செயல்பாடு — Art. 6(1)(b) GDPR

• Analytics (விருப்பம், consent-gated)

  நீங்கள் analytics consent அளித்திருந்தால் மற்றும் நீங்கள் பயன்படுத்தும் deployment க்காக analytics configured இருந்தால், anonymous usage ஐ record செய்ய privacy-respecting product-analytics provider ஒன்றை (எங்கள் சொந்த domain வழியாக proxied) பயன்படுத்துகிறோம் — எந்த buttons click செய்யப்படுகின்றன, மக்கள் எந்த checks run செய்கிறார்கள், funnel இல் users எங்கே drop off ஆகிறார்கள். நீங்கள் scan செய்யும் URLs, evidence content, அல்லது personal data ஐ analytics events இல் வைக்கமாட்டோம். Cookie settings மூலம் எந்த நேரத்திலும் consent ஐ revoke செய்யலாம்.

  சட்ட அடிப்படை · சம்மதம் — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• விளம்பர சலுகை மீட்பு

  நீங்கள் ஒரு புரோமோ குறியீடு, அழைப்பு இணைப்பு அல்லது பரிந்துரை வரவை மீட்கும் போது, நாங்கள் பிரச்சார குறியீடு, நாங்கள் வழங்கிய திட்டம் மற்றும் காலம், சோதனை தொடக்க மற்றும் இறுதி நேர முத்திரைகள், சோதனைக்கு முன் நீங்கள் வைத்திருந்த திட்டம் மற்றும் மீட்பின் போது உங்கள் IP முகவரியின் HMAC-SHA256 ஹாஷ் ஆகியவற்றை சேமிக்கிறோம் (நாங்கள் ஒருபோதும் மூல IP ஐ சேமிப்பதில்லை — ஹாஷ் ஒன்று-நெட்வொர்க்கிற்கு-ஒரு-மீட்பு வரம்புகளை அமல்படுத்த மட்டுமே உள்ளது, மேலும் அடிப்படை HMAC விசையைச் சுழற்றுவது யாரையும் வெளிப்படுத்தாமல் சேமிக்கப்பட்ட அனைத்து ஹாஷ்களையும் செல்லாதாக்குகிறது). கணக்கியல் மற்றும் மோசடி விசாரணை நோக்கங்களுக்காக பிரச்சாரத்தின் ஆயுளும் கூடுதலாக 18 மாதங்களும் தக்கவைக்கப்படுகிறது, பின்னர் பிரச்சார பதிவின் மற்ற பகுதிகளுடன் நீக்கப்படுகிறது.

  சட்ட அடிப்படை · முறையான ஆர்வம் (மோசடி தடுப்பு, கணக்கியல்) — Art. 6(1)(f) GDPR

• போட்டிகள், விளம்பரப் பரிசுகள் மற்றும் சவால்கள்

  நீங்கள் ஒரு FixVibe சவாலில் நுழைந்தால் (பாதுகாப்பு முன்-விமான சவால் போன்றது), நீங்கள் சமர்ப்பிக்கும் தொடர்பு மின்னஞ்சல் (நீங்கள் வென்றால் உங்களை அடைய தேவை), நீங்கள் விருப்பப்படி வழங்கும் Reddit மற்றும் Product Hunt பயனர்பெயர்கள், உங்கள் ஸ்கேன் ஐடி மற்றும் ரூட் டொமைன், நீங்கள் விருப்பப்படி வழங்கும் சுய-அறிக்கையிடப்பட்ட திட்ட வகை, ஸ்டாக் மற்றும் ஒன்று-நான்-கற்றுக்கொண்ட உரை, நீங்கள் விருப்பப்படி தேர்ந்தெடுக்கும் கண்டுபிடிப்பு-சேனல் மதிப்பு மற்றும் நீங்கள் ஏற்றுக்கொள்ளும் மூன்று தேவையான ஒப்புதல் தேர்வுப் பெட்டிகள் (அதிகாரம், விதிகள், தொடர்பு) ஆகியவற்றை நாங்கள் சேமிக்கிறோம். நீங்கள் தனியாக விருப்ப மார்க்கெட்டிங்-இல்-சித்தரிக்கப்பட்ட ஒப்புதலை குறிப்பிட்டால், FixVibe முகப்புப் பக்கம், சவால் பக்கம் அல்லது மீள்பார்வை இடுகையில் உங்கள் பொது மதிப்பெண், மதிப்பீடு, ஸ்டாக், பயனர்பெயர் மற்றும் சமர்ப்பிக்கப்பட்ட மேற்கோளை நாங்கள் காட்டலாம் — ஒருபோதும் வேறு எந்த புலமும் இல்லை, மற்றும் அந்த ஒப்புதல் இல்லாமல் ஒருபோதும் இல்லை. சவால் பதிவுகள் சவாலின் ஆயுளும் கூடுதலாக 18 மாதங்களும் சரிபார்ப்பு மற்றும் சர்ச்சை நோக்கங்களுக்காக தக்கவைக்கப்படுகின்றன. privacy@fixvibe.app க்கு மின்னஞ்சல் அனுப்புவதன் மூலம் எந்த நேரத்திலும் மார்க்கெட்டிங்-இல்-சித்தரிக்கப்பட்ட ஒப்புதலை திரும்பப் பெறலாம்; திரும்பப் பெறுவது திரும்பப் பெறுவதற்கு முன் சட்டப்பூர்வ செயலாக்கத்தை பாதிக்காது.

  சட்ட அடிப்படை · ஒப்பந்த செயல்திறன் (சவாலை நடத்துதல்) மற்றும் ஒப்புதல் (சித்தரித்தல்) — Art. 6(1)(b) மற்றும் 6(1)(a) GDPR

• உங்கள் data வை நாங்கள் ஒருபோதும் விற்கமாட்டோம்.
• third-party ad-tech, fingerprinting, அல்லது session-replay scripts ஐ நாங்கள் embed செய்யமாட்டோம்.
• உங்கள் scan target URLs அல்லது finding evidence ஐ analytics properties இல் வைக்கமாட்டோம் — அந்த data எங்கள் database இல் மட்டும், row-level security மூலம் gated ஆக உள்ளது.
• third parties அவர்களின் சொந்த marketing க்காக உங்கள் data வை நாங்கள் share செய்யமாட்டோம்.

FixVibe ஐ இயக்க நாங்கள் பின்வரும் sub-processors மீது சார்ந்திருக்கிறோம்:

• Vercel Inc. (USA) — application hosting மற்றும் edge network. Privacy notice: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. FixVibe production database AWS us-east-1 region இல் உள்ளது. Privacy notice: supabase.com/privacy.
• Stripe Inc. (USA) — paid plans க்கான payment processing. Privacy notice: stripe.com/privacy.
• Upstash, Inc. (USA, Vercel Marketplace வழியாக) — Redis-backed rate limiting; short-lived IP-based counters மட்டும் சேமிக்கிறது. Privacy notice: upstash.com/privacy.
• PostHog Inc. (USA) — product analytics, நீங்கள் analytics consent அளித்ததும், நீங்கள் பயன்படுத்தும் deployment க்காக analytics configured இருந்ததும் மட்டுமே. Privacy notice: posthog.com/privacy.
• GitHub, Inc. (USA) — optional GitHub integration ஐ நீங்கள் connect செய்தால் மட்டுமே. நீங்கள் scans தொடங்கும் repositories ஐ வாசிக்க GitHub API ஐ நாங்கள் பயன்படுத்துகிறோம். Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — transactional email delivery. scan-completed, scheduled-scan, live-threat alert, மற்றும் weekly-digest emails அனுப்பும்போது உங்கள் email address மற்றும் email body ஐ பெறுகிறது. Resend operational purposes க்காக delivery metadata (timestamps, status, bounce records) வைத்திருக்கிறது; Resend மூலம் marketing email நாங்கள் ஒருபோதும் அனுப்பமாட்டோம். Privacy notice: resend.com/legal/privacy-policy.

EEA/UK க்கு வெளியே personal data transfers European Commission இன் Standard Contractual Clauses (அல்லது UK International Data Transfer Addendum) மீது சார்ந்திருக்கின்றன; கீழே உள்ள “Security” இல் விவரிக்கப்பட்டுள்ள encryption-in-transit மற்றும் encryption-at-rest நடவடிக்கைகள் இதற்கு துணைபுரிகின்றன.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR, UK GDPR, மற்றும் இணையான சட்டங்கள் (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act etc.) கீழ், உங்களுக்கு உரிமை உள்ளது:

• உங்கள் data இன் copy ஐ access செய்ய (இதை Account → Privacy இலிருந்து self-serve ஆக செய்யலாம்);
• உங்கள் data corrected ஆக செய்ய;
• உங்கள் data deleted ஆக செய்ய (self-serve வழியும்);
• legitimate interests அடிப்படையிலான processing க்கு object செய்ய;
• Cookie settings மூலம் எந்த நேரத்திலும் analytics consent ஐ withdraw செய்ய;
• data portability — உங்கள் export JSON ஆகும்;
• உங்கள் local supervisory authority (EU/UK/EEA) அல்லது equivalent இடம் complaint lodge செய்ய.

verifiable rights requests க்கு நாங்கள் 30 நாட்களுக்குள் பதிலளிக்கிறோம். self-serve மூலம் நிறைவேற்ற முடியாத requests க்கு (நாங்கள் expose செய்யாத field இன் rectification, restriction of processing, objection), “Privacy request” subject line உடன் support@fixvibe.app க்கு email செய்யவும்.

உங்கள் personal information ஐ நாங்கள் விற்கமாட்டோம். cross-context behavioral advertising க்காக personal information ஐ share செய்யமாட்டோம். எங்கள் cookie banner இல் நீங்கள் consent அளித்த பிறகு மட்டுமே PostHog வழியாக analytics இயங்கும்; Cookie settings மூலம் அல்லது footer இல் Your Privacy Choices ஐ click செய்வதன் மூலம் அந்த consent ஐ எந்த நேரத்திலும் withdraw செய்யலாம்.

நீங்கள் California resident என்றால், மேலும் உங்களுக்கு உரிமை உள்ளது:

• நாங்கள் collect செய்யும் personal information, sources, purposes, மற்றும் அதைப் share செய்யும் third parties (அனைத்தும் மேலே விவரிக்கப்பட்டுள்ளன) பற்றி அறிய;
• உங்கள் personal information ஐ delete செய்ய request செய்ய (Account → Privacy வழியாக self-serve அல்லது எங்களுக்கு email செய்து);
• தவறான personal information ஐ correct செய்ய;
• sensitive personal information இன் use மற்றும் disclosure ஐ limit செய்ய — service வழங்க தேவையான authentication credentials மற்றும் session metadata ஐத் தவிர எதையும் நாங்கள் collect செய்வதில்லை;
• sale அல்லது sharing இல் இருந்து opt out செய்ய — இரண்டையும் நாங்கள் செய்யாததால் பொருந்தாது;
• மேலுள்ள எந்த உரிமையையும் exercise செய்ததற்காக discriminated against ஆகாமல் இருக்க.

Global Privacy Control (GPC) signals ஐ நாங்கள் தானாக honor செய்கிறோம்; GPC header அனுப்புவது, எதிர்கால analytics consent எதிலிருந்தும் நீங்கள் வெளிப்படையாக opt out செய்துள்ளீர்கள் என உங்கள் visit ஐ கருதும்.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

எந்த security program ம் perfect அல்ல. FixVibe இல் vulnerability கண்டுபிடித்ததாக நீங்கள் நம்பினால், தயவுசெய்து support@fixvibe.app க்கு report செய்யவும்.

நாங்கள் material changes செய்தால் — புதிய sub-processors, புதிய categories of data, புதிய retention periods — மேலுள்ள date ஐ update செய்து உங்களுக்கு in-app notify செய்வோம். சிறிய wording fixes notification ஐ trigger செய்யாது.

privacy@fixvibe.app — பதில்கள் பொதுவாக 5 business days க்குள் வரும், GDPR Art. 12(3) தேவைப்படுவது போல 30 நாட்களைக் கடக்காது.