గోప్యతా విధానం

FixVibe ను EGO HERO LLC (“మేము”, “మాకు”) నిర్వహిస్తుంది; ఈ విధానంలో వివరించిన వ్యక్తిగత డేటాకు ఇది data controller. GDPR, UK GDPR, లేదా CCPA కింద data subject అభ్యర్థనలతో సహా గోప్యతా ప్రశ్నల కోసం privacy@fixvibe.app ను సంప్రదించండి. ఇతర విషయాల కోసం support@fixvibe.app కు రాయండి.

• అకౌంట్ డేటా

  ఇమెయిల్ చిరునామా, OAuth identifier (మీరు Google లేదా GitHub తో సైన్ ఇన్ చేస్తే), మరియు మీ OAuth provider నుండి మాకు అందే ఏ పేరు అయినా. మిమ్మల్ని authenticate చేయడానికి మరియు మీ అకౌంట్ గురించి మిమ్మల్ని సంప్రదించడానికి ఉపయోగిస్తాము. మీ అకౌంట్ యాక్టివ్‌గా ఉన్నంతకాలం నిల్వ ఉంటుంది. మీరు మీ అకౌంట్ తొలగించినప్పుడు, పన్ను చట్టం కింద billing records వంటి అవసరమైన నిల్వ మినహా, ఈ డేటా 30 రోజుల్లో తొలగించబడుతుంది.

  lawful basis · Performance of contract — Art. 6(1)(b) GDPR

• స్కాన్ లక్ష్యాలు మరియు ఫైండింగ్స్

  మీరు స్కాన్ చేసే URLs, ఆ URLs కు మేము చేసే requests, మరియు మేము ఉత్పత్తి చేసే findings. ఇవి మీ organization కు అనుసంధానంగా నిల్వవుతాయి. మీ plan retention window కంటే పాత records ను మేము స్వయంచాలకంగా తొలగిస్తాము: 30 రోజులు (Hobby), 90 రోజులు (Pro), 365 రోజులు (Unlimited). Account → Privacy నుండి మీరు ఎప్పుడైనా మీ scan history ను export చేయవచ్చు లేదా delete చేయవచ్చు.

  lawful basis · Performance of contract — Art. 6(1)(b) GDPR

• అనామక స్కాన్ సెషన్‌లు

  మీరు సైన్ ఇన్ చేయకుండా scan నడిపితే, opaque random ID కలిగిన HMAC-signed cookie (fixvibe_anon_session, 24-hour lifetime) మేము జారీ చేస్తాము. Claim చేయని anonymous scan records ను 24 గంటల తర్వాత మేము స్వయంచాలకంగా తొలగిస్తాము. 24 గంటల window లో మీరు sign up చేస్తే, మీ scan మీ కొత్త account లోకి migrate అవుతుంది. Anonymous users sign up చేసే వరకు వారు ఎవరో మాకు తెలియదు.

  lawful basis · Strictly necessary — ePrivacy Art. 5(3) exemption

• Billing డేటా

  Stripe మా payment processor. వారు మీ card details ను PCI-DSS infrastructure లో నిల్వ చేస్తారు; మేము Stripe customer ID, subscription status, plan, period start/end, మరియు webhook events యొక్క చిన్న idempotency record మాత్రమే నిల్వ చేస్తాము. Stripe privacy notice కోసం stripe.com/privacy చూడండి.

  lawful basis · Performance of contract — Art. 6(1)(b) GDPR

• Server logs మరియు audit logs

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  lawful basis · Legitimate interest — Art. 6(1)(f) GDPR

• GitHub integration (optional, Pro+ only)

  Account → Integrations నుండి మీరు GitHub account connect చేస్తే, మీ organization కోసం encrypted OAuth access token, మీ GitHub login + numeric user ID, మరియు granted scopes మేము నిల్వ చేస్తాము. మీరు scans ప్రారంభించే repositories ను read చేయడానికి మాత్రమే token ను ఉపయోగిస్తాము. Source code ప్రతి scan కోసం fetch చేయబడుతుంది, memory లో process చేయబడుతుంది, మరియు individual finding evidence మాత్రమే persist అవుతుంది (full source dumps ఉండవు). Disconnect చేసిన 30 రోజుల్లో తొలగించబడుతుంది.

  lawful basis · Performance of contract / consent — Art. 6(1)(b) + 6(1)(a) GDPR

• API tokens + MCP server (optional)

  Account → API tokens వద్ద మీరు create చేసే tokens SHA-256 hash గా, identification కోసం మొదటి 8 plaintext characters గా, మీరు పెట్టిన name తో, అలాగే created/last-used/revoked timestamps తో నిల్వ చేయబడతాయి. Plaintext creation సమయంలో మీకు ఒక్కసారి మాత్రమే చూపబడుతుంది మరియు ఎప్పుడూ persist చేయబడదు. Tokens bearer credentials: value ఉన్న ఎవరికైనా మీరు revoke చేసే వరకు మీ scans చదవడం మరియు కొత్తవి start చేయడం సాధ్యం. /api/mcp వద్ద ఉన్న MCP server అదే tokens ద్వారా authenticated అవుతుంది, dashboard చూపే అదే data ను expose చేస్తుంది, మరియు ప్రత్యేక data category సృష్టించదు.

  lawful basis · Performance of contract — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  lawful basis · Performance of contract — Art. 6(1)(b) GDPR

• Live threat detection (optional, Unlimited only)

  Verified domain పై monitoring enabled ఉంటే, ఆ domain కోసం certificate-transparency log entries, DNS records, మరియు threat-intel listings (Spamhaus DBL, URLhaus) ను మేము periodically capture చేస్తాము. ఈ snapshots లో మీరు scan చేయడానికి ఇప్పటికే authorize చేసిన hostnames మరియు public lookups యొక్క public results ఉంటాయి. మీ end-users యొక్క personal data capture చేయబడదు. 7 రోజులకు పాత snapshots స్వయంచాలకంగా delete అవుతాయి; ప్రతి signal type కోసం most recent baseline retain అవుతుంది.

  lawful basis · Performance of contract — Art. 6(1)(b) GDPR

• Scheduled re-scans (optional, Pro+ only)

  Verified domain పై scheduled scans enable చేస్తే, cadence, last run time, next run time, మరియు schedule enable చేసిన user ను మేము record చేస్తాము. ప్రతి cron-triggered scan, domain మొదట verify చేసినప్పుడు ఇచ్చిన authorization-to-scan attestation ను inherit చేస్తుంది — ప్రతి run కు మీరు మళ్లీ attest చేయాల్సిన అవసరం లేదు. Domains → Schedule వద్ద ఎప్పుడైనా disable చేయండి.

  lawful basis · Performance of contract — Art. 6(1)(b) GDPR

• Analytics (optional, consent-gated)

  మీరు analytics consent ఇస్తే మరియు మీరు ఉపయోగిస్తున్న deployment కోసం analytics configured ఉంటే, anonymous usage ను record చేయడానికి privacy-respecting product-analytics provider (మా స్వంత domain ద్వారా proxied) ను మేము ఉపయోగిస్తాము — ఏ buttons click అవుతున్నాయి, ప్రజలు ఏ checks run చేస్తున్నారు, funnel లో users ఎక్కడ drop off అవుతున్నారు. మీరు scan చేసే URLs, evidence content, లేదా personal data ను analytics events లో మేము పెట్టము. Cookie settings ద్వారా ఎప్పుడైనా consent revoke చేయండి.

  lawful basis · Consent — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• ప్రమోషనల్ ఆఫర్ రిడెంప్షన్

  మీరు ప్రమో కోడ్, ఆహ్వాన లింక్ లేదా రెఫరల్ క్రెడిట్‌ను రిడీమ్ చేసినప్పుడు, మేము క్యాంపెయిన్ కోడ్, మేము మంజూరు చేసిన ప్లాన్ మరియు వ్యవధి, ట్రయల్ ప్రారంభ మరియు ముగింపు టైమ్‌స్టాంప్‌లు, ట్రయల్ ముందు మీరు కలిగి ఉన్న ప్లాన్ మరియు రిడెంప్షన్ సమయంలో మీ IP చిరునామా యొక్క HMAC-SHA256 హాష్‌ను నిల్వ చేస్తాము (మేము ముడి IP ను ఎప్పుడూ నిల్వ చేయము — హాష్ నెట్‌వర్క్‌కు-ఒక-రిడెంప్షన్ పరిమితులను అమలు చేయడానికి మాత్రమే ఉంది మరియు అంతర్లీన HMAC కీని తిప్పడం వలన ఎవరినీ బహిర్గతం చేయకుండా అన్ని నిల్వ చేయబడిన హాష్‌లను చెల్లుబాటు లేకుండా చేస్తుంది). అకౌంటింగ్ మరియు మోసం-విచారణ ప్రయోజనాల కోసం క్యాంపెయిన్ జీవితకాలం ప్లస్ 18 నెలలు నిలుపుకోబడుతుంది, తర్వాత క్యాంపెయిన్ రికార్డ్‌లోని మిగిలిన వాటితో పాటు తొలగించబడుతుంది.

  lawful basis · చట్టబద్ధమైన ఆసక్తి (మోసం నివారణ, అకౌంటింగ్) — Art. 6(1)(f) GDPR

• పోటీలు, స్వీప్‌స్టేక్‌లు మరియు ఛాలెంజ్‌లు

  మీరు FixVibe ఛాలెంజ్ (సెక్యూరిటీ ప్రీఫ్లైట్ ఛాలెంజ్ వంటివి) లో ప్రవేశిస్తే, మీరు సమర్పించే సంప్రదింపు ఇమెయిల్ (మీరు గెలిస్తే మిమ్మల్ని చేరుకోవడానికి అవసరం), మీరు ఐచ్ఛికంగా అందించే Reddit మరియు Product Hunt యూజర్‌నేమ్‌లు, మీ స్కాన్ ID మరియు రూట్ డొమైన్, స్వీయ-నివేదిత ప్రాజెక్ట్ రకం, స్టాక్ మరియు మీరు ఐచ్ఛికంగా అందించే నేను-నేర్చుకున్నది-ఒక-విషయం వచనం, మీరు ఐచ్ఛికంగా ఎంచుకునే డిస్కవరీ-ఛానల్ విలువ మరియు మీరు అంగీకరించే మూడు అవసరమైన సమ్మతి చెక్‌బాక్స్‌లను (అధికారం, నియమాలు, సంప్రదింపు) మేము నిల్వ చేస్తాము. మీరు విడిగా ఐచ్ఛిక మార్కెటింగ్‌లో-ఫీచర్ చేయబడిన సమ్మతిని టిక్ చేస్తే, మేము మీ పబ్లిక్ స్కోర్, రేటింగ్, స్టాక్, యూజర్‌నేమ్ మరియు సమర్పించిన కోట్‌ను FixVibe హోమ్‌పేజీ, ఛాలెంజ్ పేజీ లేదా రీక్యాప్ పోస్ట్‌లో ప్రదర్శించవచ్చు — మరే ఇతర ఫీల్డ్ ఎప్పుడూ కాదు మరియు ఆ ఆప్ట్-ఇన్ లేకుండా ఎప్పుడూ కాదు. ధృవీకరణ మరియు వివాద ప్రయోజనాల కోసం ఛాలెంజ్ యొక్క జీవితకాలం ప్లస్ 18 నెలలు ఛాలెంజ్ ఎంట్రీలు నిలుపుకోబడతాయి. privacy@fixvibe.app కు ఇమెయిల్ చేయడం ద్వారా మీరు ఎప్పుడైనా మార్కెటింగ్‌లో-ఫీచర్ చేయబడిన సమ్మతిని ఉపసంహరించుకోవచ్చు; ఉపసంహరణ ఉపసంహరణ ముందు చట్టబద్ధమైన ప్రాసెసింగ్‌ను ప్రభావితం చేయదు.

  lawful basis · ఒప్పందం యొక్క నిర్వహణ (ఛాలెంజ్ నిర్వహించడం) మరియు సమ్మతి (ఫీచరింగ్) — Art. 6(1)(b) మరియు 6(1)(a) GDPR

• మీ డేటాను మేము ఎప్పుడూ అమ్మము.
• Third-party ad-tech, fingerprinting, లేదా session-replay scripts ను మేము embed చేయము.
• మీ scan target URLs లేదా finding evidence ను analytics properties లో మేము పెట్టము — ఆ data మా database లో మాత్రమే ఉంటుంది, row-level security ద్వారా gated అవుతుంది.
• Third parties తమ స్వంత marketing కోసం మీ data ను వారితో మేము share చేయము.

FixVibe నడపడానికి మేము ఈ sub-processors పై ఆధారపడుతాము:

• Vercel Inc. (USA) — application hosting మరియు edge network. Privacy notice: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. FixVibe production database AWS us-east-1 region లో ఉంది. Privacy notice: supabase.com/privacy.
• Stripe Inc. (USA) — paid plans కోసం payment processing. Privacy notice: stripe.com/privacy.
• Upstash, Inc. (USA, via the Vercel Marketplace) — Redis-backed rate limiting; short-lived IP-based counters మాత్రమే నిల్వ చేస్తుంది. Privacy notice: upstash.com/privacy.
• PostHog Inc. (USA) — product analytics, మీరు analytics consent ఇస్తే మరియు మీరు ఉపయోగిస్తున్న deployment కోసం analytics configured ఉన్నప్పుడే. Privacy notice: posthog.com/privacy.
• GitHub, Inc. (USA) — optional GitHub integration connect చేసినప్పుడే. మీరు scans ప్రారంభించే repositories ను read చేయడానికి మేము GitHub API ఉపయోగిస్తాము. Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — transactional email delivery. మేము scan-completed, scheduled-scan, live-threat alert, మరియు weekly-digest emails పంపినప్పుడు మీ email address మరియు email body ను receive చేస్తుంది. Operational purposes కోసం Resend delivery metadata (timestamps, status, bounce records) retain చేస్తుంది; Resend ద్వారా మేము marketing email ఎప్పుడూ పంపము. Privacy notice: resend.com/legal/privacy-policy.

EEA/UK వెలుపల personal data transfers European Commission Standard Contractual Clauses (లేదా UK International Data Transfer Addendum) పై ఆధారపడతాయి; “Security” క్రింద వివరించిన encryption-in-transit మరియు encryption-at-rest measures వీటిని supplement చేస్తాయి.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

GDPR, UK GDPR, మరియు సమానమైన చట్టాల (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act మొదలైనవి) కింద, మీకు ఈ హక్కులు ఉన్నాయి:

• మీ data copy కి access పొందడం (మీరు Account → Privacy నుండి self-serve గా చేయవచ్చు);
• మీ data correct చేయించుకోవడం;
• మీ data delete చేయించుకోవడం (self-serve కూడా);
• legitimate interests ఆధారంగా జరిగే processing కు object చేయడం;
• Cookie settings ద్వారా analytics consent ను ఎప్పుడైనా withdraw చేయడం;
• data portability — మీ export JSON లో ఉంటుంది;
• మీ local supervisory authority (EU/UK/EEA) లేదా equivalent వద్ద complaint lodge చేయడం.

Verifiable rights requests కు మేము 30 రోజుల్లో respond చేస్తాము. Self-serve ద్వారా satisfy చేయలేని requests కోసం (మేము expose చేయని field rectification, processing restriction, objection), “Privacy request” subject line తో support@fixvibe.app కు email చేయండి.

మేము మీ personal information అమ్మము. Cross-context behavioral advertising కోసం personal information share చేయము. మా cookie banner లో మీరు consent ఇచ్చిన తర్వాతే PostHog ద్వారా analytics run అవుతుంది; Cookie settings ద్వారా లేదా footer లో Your Privacy Choices click చేసి ఎప్పుడైనా ఆ consent withdraw చేయవచ్చు.

మీరు California resident అయితే, మీకు ఈ హక్కులూ ఉన్నాయి:

• మేము ఏ personal information collect చేస్తాము, sources, purposes, మరియు దాన్ని share చేసే ఏ third parties అయినా తెలుసుకోవడం (అన్నీ పైగా వివరించబడ్డాయి);
• మీ personal information deletion కోరడం (Account → Privacy ద్వారా self-serve లేదా మాకు email చేసి);
• తప్పు personal information correct చేయడం;
• sensitive personal information యొక్క use మరియు disclosure ను limit చేయడం — authentication credentials మరియు session metadata కంటే మేము మరేం collect చేయము; service అందించడానికి రెండూ అవసరం;
• sale లేదా sharing నుండి opt out కావడం — మేము రెండింటిలో ఏదీ చేయము కాబట్టి వర్తించదు;
• పైవాటిలో ఏ హక్కు వినియోగించినందుకు discrimination కు గురికాకపోవడం.

Global Privacy Control (GPC) signals ను మేము స్వయంచాలకంగా honor చేస్తాము; GPC header పంపితే, మీరు future analytics consent నుండి explicit గా opt out చేసినట్లే మీ visit ను treat చేస్తాము.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

ఏ security program కూడా perfect కాదు. FixVibe లో vulnerability దొరికిందని మీరు నమ్మితే, దయచేసి support@fixvibe.app కు report చేయండి.

మేము material changes చేస్తే — కొత్త sub-processors, కొత్త data categories, కొత్త retention periods — పై date ను update చేసి in-app notify చేస్తాము. Minor wording fixes notification trigger చేయవు.

privacy@fixvibe.app — replies సాధారణంగా 5 business days లో వస్తాయి, GDPR Art. 12(3) ప్రకారం అవసరమైన 30 days కంటే ఎప్పుడూ ఆలస్యం కాదు.