FixVibe

// privacy

Сиёсати махфият

Навсозии охирин · 2026-05-17

Мо кӣ ҳастем

FixVibe аз ҷониби EGO HERO LLC идора мешавад (“мо”, “ба мо”), ки барои маълумоти шахсии дар ин сиёсат тавсифшуда data controller мебошад. Барои саволҳои махфият, аз ҷумла дархостҳои data subject тибқи GDPR, UK GDPR, ё CCPA, ба privacy@fixvibe.app муроҷиат кунед. Барои ҳар чизи дигар ба support@fixvibe.app нависед.

Чиро ҷамъ мекунем, барои чӣ ва чӣ муддат нигоҳ медорем

  • Маълумоти ҳисоб

    Суроғаи email, OAuth identifier (агар шумо бо Google ё GitHub ворид шавед), ва ҳар номе, ки аз OAuth provider-и шумо мегирем. Барои тасдиқи шахсияти шумо ва тамос дар бораи ҳисоби шумо истифода мешавад. То вақте ки ҳисоби шумо фаъол аст нигоҳ дошта мешавад. Вақте ҳисобро нест мекунед, ин маълумот дар давоми 30 рӯз хориҷ мешавад, ба истиснои ҳолатҳое ки мо бояд онро нигоҳ дорем (масалан, billing records тибқи қонуни андоз).

    асоси ҳуқуқӣ · Иҷрои шартнома — Art. 6(1)(b) GDPR

  • Ҳадафҳои скан ва натиҷаҳо

    URL-ҳое, ки шумо скан мекунед, дархостҳое, ки мо ба он URL-ҳо мефиристем, ва findings-е, ки мо истеҳсол мекунем. Онҳо ба organization-и шумо вобаста нигоҳ дошта мешаванд. Мо record-ҳои аз равзанаи нигоҳдории plan-и шумо кӯҳнатарро худкор нест мекунем: 30 рӯз (Hobby), 90 рӯз (Pro), 365 рӯз (Unlimited). Шумо метавонед scan history-и худро ҳар вақт аз Ҳисоб → Махфият export ё delete кунед.

    асоси ҳуқуқӣ · Иҷрои шартнома — Art. 6(1)(b) GDPR

  • Сессияҳои скани anonymous

    Агар шумо бе воридшавӣ скан иҷро кунед, мо cookie-и HMAC-signed (fixvibe_anon_session, умри 24 соат) медиҳем, ки opaque random ID нигоҳ медорад. Мо unclaimed anonymous scan records-ро баъд аз 24 соат худкор нест мекунем. Агар шумо дар равзанаи 24 соат sign up кунед, скани шумо ба ҳисоби нави шумо мегузарад. Мо намедонем anonymous users кистанд, магар онҳо sign up кунанд.

    асоси ҳуқуқӣ · Қатъиян зарур — ePrivacy Art. 5(3) exemption

  • Маълумоти billing

    Stripe payment processor-и мост. Онҳо тафсилоти корти шуморо дар PCI-DSS infrastructure нигоҳ медоранд; мо танҳо Stripe customer ID, subscription status, plan, period start/end, ва як idempotency record-и хурди webhook events-ро нигоҳ медорем. Privacy notice-и Stripe-ро дар stripe.com/privacy бинед.

    асоси ҳуқуқӣ · Иҷрои шартнома — Art. 6(1)(b) GDPR

  • Server logs ва audit logs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    асоси ҳуқуқӣ · Манфиати қонунӣ — Art. 6(1)(f) GDPR

  • GitHub integration (ихтиёрӣ, танҳо Pro+)

    Агар шумо аз Ҳисоб → Integrations ҳисоби GitHub-ро пайваст кунед, мо encrypted OAuth access token барои organization-и шумо, GitHub login + numeric user ID-и шумо, ва scopes-и додашударо нигоҳ медорем. Мо token-ро танҳо барои хондани repositories-е истифода мекунем, ки шумо сканашонро оғоз мекунед. Source code барои ҳар скан гирифта шуда, дар memory process мешавад, ва танҳо individual finding evidence нигоҳ дошта мешавад (full source dumps нест). Дар давоми 30 рӯз пас аз disconnect нест мешавад.

    асоси ҳуқуқӣ · Иҷрои шартнома / розигӣ — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (ихтиёрӣ)

    Token-ҳое, ки шумо дар Ҳисоб → API tokens месозед, ҳамчун SHA-256 hash, 8 plaintext characters-и аввал (барои шиносоӣ), номе ки додед, ва created/last-used/revoked timestamps нигоҳ дошта мешаванд. Plaintext ҳангоми сохтан танҳо як бор ба шумо нишон дода мешавад ва ҳаргиз нигоҳ дошта намешавад. Tokens bearer credentials мебошанд: ҳар касе ки value-ро дошта бошад, метавонад scans-и шуморо хонад ва то revoke шуданашон scans-и нав оғоз кунад. MCP server дар /api/mcp бо ҳамин tokens authenticated мешавад, ҳамон data-еро expose мекунад, ки dashboard нишон медод, ва data category-и ҷудогона эҷод намекунад.

    асоси ҳуқуқӣ · Иҷрои шартнома — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    асоси ҳуқуқӣ · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (ихтиёрӣ, танҳо Unlimited)

    Агар monitoring дар verified domain фаъол бошад, мо давра ба давра certificate-transparency log entries, DNS records, ва threat-intel listings (Spamhaus DBL, URLhaus)-ро барои он domain мегирем. Ин snapshots hostnames-еро доранд, ки шумо аллакай ба мо барои скан иҷозат додаед, ва натиҷаҳои public lookups мебошанд. Ҳеҷ personal data-и end-users-и шумо гирифта намешавад. Snapshots-и аз 7 рӯз кӯҳнатар худкор нест мешаванд; baseline-и охирин барои ҳар signal type нигоҳ дошта мешавад.

    асоси ҳуқуқӣ · Иҷрои шартнома — Art. 6(1)(b) GDPR

  • Сканҳои такрории ба нақша гирифташуда (ихтиёрӣ, танҳо Pro+)

    Агар шумо scheduled scans-ро дар verified domain фаъол кунед, мо cadence, last run time, next run time, ва кадом user schedule-ро фаъол кардааст сабт мекунем. Ҳар cron-triggered scan ҳамон authorization-to-scan attestation-ро мерос мегирад, ки ҳангоми аввалин verification-и domain дода шуда буд — барои ҳар run дубора attest намекунед. Ҳар вақт аз Domains → Schedule ғайрифаъол кунед.

    асоси ҳуқуқӣ · Иҷрои шартнома — Art. 6(1)(b) GDPR

  • Analytics (ихтиёрӣ, бо розигӣ)

    Агар шумо analytics consent диҳед ва мо барои deployment-е, ки истифода мекунед, analytics configured дошта бошем, мо provider-и product-analytics-и privacy-respecting-ро (proxied through домени худи мо) барои сабти anonymous usage истифода мебарем — кадом buttons clicked мешаванд, одамон кадом checks run мекунанд, ва users дар funnel аз куҷо drop off мешаванд. Мо URL-ҳое, ки шумо скан мекунед, evidence content, ё personal data-ро ба analytics events намегузорем. Розигиро ҳар вақт тавассути revoke кунед.

    асоси ҳуқуқӣ · Розигӣ — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Даъвои пешниҳоди промо

    Ҳангоме ки шумо рамзи промо, истиноди даъват ё кредити рефералиро даъво мекунед, мо рамзи кампания, нақша ва давомнокие, ки додем, замимаҳои вақти оғоз ва анҷоми озмоиш, нақшаеро, ки шумо пеш аз озмоиш доштед ва hash-и HMAC-SHA256-и суроғаи IP-и шуморо дар вақти даъво захира мекунем (мо ҳаргиз IP-и хом захира намекунем — hash танҳо вуҷуд дорад, то мо тавонем маҳдудияти як-даъво-ба-ҳар-шабакаро иҷро кунем ва даври таҷдиди калиди HMAC-и асосӣ ҳамаи hash-ҳои захирашударо бекор мекунад, бе ифшои касе). Барои умри кампания ва иловаатан 18 моҳ барои ҳисобдорӣ ва тафтиши қаллобӣ нигоҳ дошта мешавад, сипас бо боқимондаи сабти кампания ҳазф мешавад.

    асоси ҳуқуқӣ · Манфиати қонунӣ (пешгирии қаллобӣ, ҳисобдорӣ) — Моддаи 6(1)(f) GDPR

  • Озмунҳо, лотереяҳо ва чолишҳо

    Агар шумо дар Чолиши FixVibe иштирок кунед (ба монанди Чолиши Препрессии Амният), мо почтаи тамоси пешниҳодкардаи шуморо (барои тамос гирифтан агар ғолиб шавед зарур аст), номҳои корбари Reddit ва Product Hunt-ро, ки шумо ба таври ихтиёрӣ пешниҳод мекунед, scan ID ва домени решаи шумо, намуди лоиҳа, стек ва матни як-чизе-ки-омӯхтам, ки ба таври ихтиёрӣ пешниҳод мекунед, қимати канали кашфе, ки шумо ба таври ихтиёрӣ интихоб мекунед ва се қуттии тасдиқи зарурӣ (иҷоза, қоидаҳо, тамос), ки шумо мепазиред, захира мекунем. Агар шумо ба таври алоҳида розигии ихтиёрии дар маркетинг нишон додашуда-ро интихоб кунед, мо метавонем холи ҷамъиятӣ, рейтинг, стек, номи корбар ва иқтибоси пешниҳодкардаи шуморо дар саҳифаи аввалини FixVibe, саҳифаи чолиш ё хабари ҷамъбастӣ намоиш диҳем — ҳаргиз ҳеҷ майдони дигар ва ҳаргиз бе он opt-in. Иштирокҳои чолиш барои умри Чолиш ва иловаатан 18 моҳ барои мақсадҳои тасдиқ ва баҳсҳо нигоҳ дошта мешаванд. Шумо метавонед розигии дар маркетинг нишон додашударо дар ҳар лаҳза бо ирсоли почта ба privacy@fixvibe.app бозпас гиред; бозпасгирӣ ба коркарди қонунӣ пеш аз бозпасгирӣ таъсир намекунад.

    асоси ҳуқуқӣ · Иҷрои шартнома (гузаронидани Чолиш) ва розигӣ (нишон додан) — Моддаи 6(1)(b) ва 6(1)(a) GDPR

Он чи мо ҷамъ намекунем

  • Мо ҳаргиз data-и шуморо намефурӯшем.
  • Мо third-party ad-tech, fingerprinting, ё session-replay scripts-ро ҷойгир намекунем.
  • Мо scan target URLs ё finding evidence-и шуморо ба analytics properties намегузорем — он data танҳо дар database-и мо зиндагӣ мекунад ва бо row-level security маҳдуд аст.
  • Мо data-и шуморо бо шахсони сеюм барои marketing-и худи онҳо share намекунем.

Sub-processors

Мо барои иҷрои FixVibe ба sub-processors-и зерин такя мекунем:

  • Vercel Inc. (USA) — application hosting ва edge network. Privacy notice: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. FixVibe production database дар AWS us-east-1 region ҷойгир аст. Privacy notice: supabase.com/privacy.
  • Stripe Inc. (USA) — payment processing барои paid plans. Privacy notice: stripe.com/privacy.
  • Upstash, Inc. (USA, тавассути Vercel Marketplace) — Redis-backed rate limiting; танҳо counters-и IP-based-и кӯтоҳмуддатро нигоҳ медорад. Privacy notice: upstash.com/privacy.
  • PostHog Inc. (USA) — product analytics, танҳо агар шумо analytics consent диҳед ва analytics барои deployment-е, ки истифода мекунед, configured бошад. Privacy notice: posthog.com/privacy.
  • GitHub, Inc. (USA) — танҳо агар optional GitHub integration-ро пайваст кунед. Мо GitHub API-ро барои хондани repositories-е истифода мекунем, ки шумо сканашонро оғоз мекунед. Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — transactional email delivery. Вақте ки мо scan-completed, scheduled-scan, live-threat alert, ва weekly-digest emails мефиристем, email address ва email body-и шуморо мегирад. Resend delivery metadata (timestamps, status, bounce records)-ро барои operational purposes нигоҳ медорад; мо ҳеҷ гоҳ marketing email-ро тавассути Resend намефиристем. Privacy notice: resend.com/legal/privacy-policy.

Transfers-и personal data ба берун аз EEA/UK ба Standard Contractual Clauses-и European Commission (ё International Data Transfer Addendum-и UK) такя мекунанд, ки бо чораҳои encryption-in-transit ва encryption-at-rest дар “Security” поён тавсифшуда пурра мешаванд.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Ҳуқуқҳои шумо

Тибқи GDPR, UK GDPR, ва қонунҳои ҳамарзиш (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act ва ғайра), шумо ҳуқуқ доред:

  • ба copy-и data-и худ access гиред (инро метавонед аз Ҳисоб → Махфият self-serve анҷом диҳед);
  • data-и худро corrected кунед;
  • data-и худро deleted кунед (ҳамчунин self-serve);
  • ба processing дар асоси legitimate interests object кунед;
  • розигиро барои analytics ҳар вақт тавассути withdraw кунед;
  • data portability — export-и шумо дар JSON аст;
  • ба local supervisory authority-и худ (EU/UK/EEA) ё мақоми ҳамарзиш complaint lodge кунед.

Мо ба verifiable rights requests дар давоми 30 рӯз ҷавоб медиҳем. Барои requests-е, ки self-serve иҷро карда наметавонем (rectification-и field-е, ки expose намекунем, restriction of processing, objection), ба support@fixvibe.app бо subject line “Privacy request” email фиристед.

Сокинони California (CCPA / CPRA)

Мо personal information-и шуморо намефурӯшем. Мо personal information-ро барои cross-context behavioral advertising share намекунем. Analytics тавассути PostHog танҳо баъд аз он иҷро мешавад, ки шумо дар cookie banner-и мо consent диҳед; шумо метавонед ин consent-ро ҳар вақт тавассути ё бо зер кардани Интихобҳои махфияти шумо дар footer withdraw кунед.

Агар шумо сокини California бошед, инчунин ҳуқуқ доред:

  • донед, ки мо кадом personal information-ро collect мекунем, sources, purposes, ва ҳар third parties-е, ки бо онҳо share мекунем (ҳамааш боло тафсил шудааст);
  • deletion-и personal information-и худро request кунед (self-serve тавассути Ҳисоб → Махфият ё бо email ба мо);
  • personal information-и нодурустро correct кунед;
  • use ва disclosure-и sensitive personal information-ро limit кунед — мо ғайр аз authentication credentials ва session metadata, ки ҳар ду барои пешниҳоди service заруранд, чизе collect намекунем;
  • аз sale ё sharing opt out кунед — татбиқ намешавад, зеро мо ҳеҷ кадомро намекунем;
  • барои истифодаи ҳуқуқҳои боло мавриди discrimination қарор нагиред.

Мо Global Privacy Control (GPC) signals-ро худкор honor мекунем; фиристодани GPC header visit-и шуморо чунин мешуморад, ки гӯё шумо аз ҳар analytics consent-и оянда explicitly opt out кардаед.

Security

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Ҳеҷ security program комил нест. Агар бовар доред, ки дар FixVibe vulnerability ёфтаед, лутфан онро ба support@fixvibe.app report кунед.

Тағйирот ба ин сиёсат

Агар мо material changes ворид кунем — sub-processors-и нав, data categories-и нав, retention periods-и нав — date-и болоро update мекунем ва шуморо in-app notify мекунем. Wording fixes-и хурд notification trigger намекунанд.

Тамос

privacy@fixvibe.app — ҷавобҳо одатан дар 5 business days, ҳеҷ гоҳ дертар аз 30 рӯз, чунон ки GDPR Art. 12(3) талаб мекунад.

Сиёсати махфият · FixVibe