FixVibe

// privacy

นโยบายความเป็นส่วนตัว

อัปเดตล่าสุด · 2026-05-17

เราเป็นใคร

FixVibe ดำเนินการโดย EGO HERO LLC (“เรา”, “ของเรา”) ซึ่งเป็นผู้ควบคุมข้อมูลสำหรับข้อมูลส่วนบุคคลที่อธิบายในนโยบายนี้ สำหรับคำถามด้านความเป็นส่วนตัว รวมถึงคำขอของเจ้าของข้อมูลภายใต้ GDPR, UK GDPR หรือ CCPA โปรดติดต่อ privacy@fixvibe.app สำหรับเรื่องอื่น โปรดเขียนถึง support@fixvibe.app

เราเก็บรวบรวมอะไร เพราะเหตุใด และเก็บไว้นานเท่าใด

  • ข้อมูลบัญชี

    ที่อยู่อีเมล ตัวระบุ OAuth (หากคุณเข้าสู่ระบบด้วย Google หรือ GitHub) และชื่อใด ๆ ที่เราได้รับจากผู้ให้บริการ OAuth ของคุณ ใช้เพื่อยืนยันตัวตนของคุณและติดต่อคุณเกี่ยวกับบัญชีของคุณ เก็บไว้ขณะที่บัญชีของคุณยังใช้งานอยู่ เมื่อคุณลบบัญชี ข้อมูลนี้จะถูกนำออกภายใน 30 วัน ยกเว้นในกรณีที่เราจำเป็นต้องเก็บไว้ (เช่น บันทึกการเรียกเก็บเงินตามกฎหมายภาษี)

    ฐานทางกฎหมาย · การปฏิบัติตามสัญญา — Art. 6(1)(b) GDPR

  • เป้าหมายการสแกนและผลการค้นพบ

    URL ที่คุณสแกน คำขอที่เราส่งไปยัง URL เหล่านั้น และผลการค้นพบที่เราสร้างขึ้น จัดเก็บไว้กับองค์กรของคุณ เราจะลบบันทึกที่เก่ากว่าหน้าต่างการเก็บรักษาของแผนโดยอัตโนมัติ: 30 วัน (Hobby), 90 วัน (Pro), 365 วัน (Unlimited) คุณสามารถส่งออกหรือลบประวัติการสแกนได้ทุกเมื่อจาก บัญชี → ความเป็นส่วนตัว

    ฐานทางกฎหมาย · การปฏิบัติตามสัญญา — Art. 6(1)(b) GDPR

  • เซสชันการสแกนแบบไม่ระบุตัวตน

    หากคุณสแกนโดยไม่เข้าสู่ระบบ เราจะออกคุกกี้ที่ลงนามด้วย HMAC (fixvibe_anon_session, 24-hour lifetime) ซึ่งเก็บ ID แบบสุ่มที่ไม่เปิดเผยตัวตน เราจะลบบันทึกการสแกนแบบไม่ระบุตัวตนที่ไม่มีผู้รับสิทธิ์หลังจาก 24 ชั่วโมงโดยอัตโนมัติ หากคุณสมัครภายในช่วง 24 ชั่วโมง การสแกนของคุณจะย้ายเข้าสู่บัญชีใหม่ของคุณ เราไม่ทราบว่าผู้ใช้แบบไม่ระบุตัวตนคือใคร เว้นแต่พวกเขาจะสมัคร

    ฐานทางกฎหมาย · จำเป็นอย่างเคร่งครัด — ข้อยกเว้น ePrivacy Art. 5(3)

  • ข้อมูลการเรียกเก็บเงิน

    Stripe เป็นผู้ประมวลผลการชำระเงินของเรา Stripe จัดเก็บรายละเอียดบัตรของคุณบนโครงสร้างพื้นฐาน PCI-DSS เราจัดเก็บเฉพาะ Stripe customer ID สถานะการสมัครสมาชิก แผน วันเริ่มต้นและวันสิ้นสุดรอบระยะเวลา และบันทึก idempotency ขนาดเล็กของเหตุการณ์ webhook ดูประกาศความเป็นส่วนตัวของ Stripe ได้ที่ stripe.com/privacy

    ฐานทางกฎหมาย · การปฏิบัติตามสัญญา — Art. 6(1)(b) GDPR

  • บันทึกเซิร์ฟเวอร์และบันทึกการตรวจสอบ

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    ฐานทางกฎหมาย · ประโยชน์โดยชอบด้วยกฎหมาย — Art. 6(1)(f) GDPR

  • การผสานรวม GitHub (ไม่บังคับ เฉพาะ Pro+)

    หากคุณเชื่อมต่อบัญชี GitHub จาก บัญชี → การผสานรวม เราจะจัดเก็บ OAuth access token ที่เข้ารหัสสำหรับองค์กรของคุณ ชื่อเข้าสู่ระบบ GitHub + numeric user ID ของคุณ และ scope ที่ได้รับ เราใช้โทเคนนี้เฉพาะเพื่ออ่าน repository ที่คุณเริ่มสแกนเท่านั้น Source code จะถูกดึงเป็นรายสแกน ประมวลผลในหน่วยความจำ และเก็บไว้เฉพาะหลักฐานของผลการค้นพบแต่ละรายการ (ไม่มีการ dump source ทั้งหมด) ลบภายใน 30 วันหลังจากยกเลิกการเชื่อมต่อ

    ฐานทางกฎหมาย · การปฏิบัติตามสัญญา / ความยินยอม — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (ไม่บังคับ)

    โทเคนที่คุณสร้างที่ บัญชี → API tokens จะถูกจัดเก็บเป็น SHA-256 hash อักขระ plaintext 8 ตัวแรก (เพื่อการระบุ) ชื่อที่คุณตั้ง รวมถึงเวลาที่สร้าง ใช้ล่าสุด และเพิกถอน plaintext จะแสดงให้คุณเห็นเพียงครั้งเดียวตอนสร้างและจะไม่ถูกเก็บไว้ โทเคนเป็น bearer credentials: ใครก็ตามที่มีค่านี้สามารถอ่านการสแกนของคุณและเริ่มการสแกนใหม่ได้จนกว่าคุณจะเพิกถอน MCP server ที่ /api/mcp ยืนยันตัวตนด้วยโทเคนเดียวกัน แสดงข้อมูลเดียวกับที่ dashboard แสดง และไม่สร้างหมวดหมู่ข้อมูลแยกต่างหาก

    ฐานทางกฎหมาย · การปฏิบัติตามสัญญา — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    ฐานทางกฎหมาย · Performance of contract — Art. 6(1)(b) GDPR

  • การตรวจจับภัยคุกคามสด (ไม่บังคับ เฉพาะ Unlimited)

    หากคุณเปิดใช้การเฝ้าระวังบนโดเมนที่ยืนยันแล้ว เราจะเก็บ snapshot เป็นระยะของรายการ certificate-transparency log, DNS records และรายการ threat-intel (Spamhaus DBL, URLhaus) สำหรับโดเมนนั้น snapshot เหล่านี้มี hostname ที่คุณอนุญาตให้เราสแกนแล้วและผลสาธารณะของการค้นหาสาธารณะ ไม่มีการเก็บข้อมูลส่วนบุคคลของ end-users ของคุณ snapshot ที่เก่ากว่า 7 วันจะถูกลบโดยอัตโนมัติ ส่วน baseline ล่าสุดจะถูกเก็บไว้ตามประเภทสัญญาณ

    ฐานทางกฎหมาย · การปฏิบัติตามสัญญา — Art. 6(1)(b) GDPR

  • การสแกนซ้ำตามกำหนดเวลา (ไม่บังคับ เฉพาะ Pro+)

    หากคุณเปิดใช้การสแกนตามกำหนดเวลาบนโดเมนที่ยืนยันแล้ว เราจะบันทึก cadence เวลาที่รันล่าสุด เวลาที่จะรันครั้งถัดไป และผู้ใช้ที่เปิดใช้กำหนดเวลา การสแกนแต่ละครั้งที่ cron เรียกใช้จะสืบทอดคำรับรอง authorization-to-scan ที่ให้ไว้เมื่อโดเมนได้รับการยืนยันครั้งแรก — คุณไม่จำเป็นต้องรับรองใหม่ในแต่ละครั้ง ปิดใช้งานได้ทุกเมื่อที่ โดเมน → กำหนดเวลา

    ฐานทางกฎหมาย · การปฏิบัติตามสัญญา — Art. 6(1)(b) GDPR

  • Analytics (ไม่บังคับ อยู่ภายใต้ความยินยอม)

    หากคุณให้ความยินยอมด้าน analytics และเราได้กำหนดค่า analytics สำหรับ deployment ที่คุณใช้อยู่ เราจะใช้ผู้ให้บริการ product-analytics ที่เคารพความเป็นส่วนตัว (พร็อกซีผ่านโดเมนของเราเอง) เพื่อบันทึกการใช้งานแบบไม่ระบุตัวตน — ปุ่มใดถูกคลิก ผู้คนรันการตรวจสอบใด และผู้ใช้หลุดออกจาก funnel ตรงไหน เราไม่ใส่ URL ที่คุณสแกน เนื้อหาหลักฐาน หรือข้อมูลส่วนบุคคลลงใน analytics events ถอนความยินยอมได้ทุกเมื่อผ่าน

    ฐานทางกฎหมาย · ความยินยอม — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • การรับข้อเสนอโปรโมชัน

    เมื่อคุณรับรหัสโปรโมชัน, ลิงก์เชิญ หรือเครดิตการแนะนำ เราเก็บรหัสแคมเปญ, แผนและระยะเวลาที่เราให้, ประทับเวลาเริ่มต้นและสิ้นสุดของการทดลองใช้, แผนที่คุณมีก่อนการทดลองใช้ และ HMAC-SHA256 hash ของที่อยู่ IP ของคุณในเวลาที่รับ (เราไม่เคยเก็บ IP ดิบ — hash มีไว้เพื่อให้เราสามารถบังคับใช้ขีดจำกัดหนึ่งการรับต่อเครือข่ายเท่านั้น และการหมุนคีย์ HMAC ที่อยู่เบื้องล่างทำให้ hashes ที่เก็บไว้ทั้งหมดเป็นโมฆะโดยไม่เปิดเผยใคร) เก็บรักษาตลอดอายุของแคมเปญบวก 18 เดือนสำหรับการบัญชีและการตรวจสอบการฉ้อโกง จากนั้นลบพร้อมส่วนที่เหลือของบันทึกแคมเปญ

    ฐานทางกฎหมาย · ผลประโยชน์ที่ชอบด้วยกฎหมาย (การป้องกันการฉ้อโกง, การบัญชี) — ข้อ 6(1)(f) GDPR

  • การประกวด, การจับสลาก และความท้าทาย

    หากคุณเข้าร่วมความท้าทาย FixVibe (เช่น Security Preflight Challenge) เราเก็บอีเมลติดต่อที่คุณส่ง (จำเป็นเพื่อให้เราติดต่อคุณได้หากคุณชนะ), ชื่อผู้ใช้ Reddit และ Product Hunt ที่คุณให้เป็นทางเลือก, scan ID และ root domain ของคุณ, ประเภทโครงการที่รายงานตนเอง, stack และข้อความสิ่งหนึ่งที่ฉันได้เรียนรู้ที่คุณให้เป็นทางเลือก, ค่าช่องทางการค้นพบที่คุณเลือกเป็นทางเลือก และช่องทำเครื่องหมายยินยอมที่จำเป็นสามรายการที่คุณยอมรับ (การอนุญาต, กฎ, ติดต่อ) หากคุณเลือกแยกต่างหากความยินยอม นำเสนอในการตลาด เป็นทางเลือก เราอาจแสดงคะแนนสาธารณะ, เรตติ้ง, stack, ชื่อผู้ใช้ และคำพูดที่ส่งของคุณบนหน้าแรก FixVibe, หน้าความท้าทาย หรือโพสต์สรุป — ไม่เคยมีฟิลด์อื่นใด และไม่เคยมีโดยไม่มี opt-in นั้น การสมัครความท้าทายเก็บรักษาตลอดอายุของความท้าทายบวก 18 เดือนสำหรับการตรวจสอบและข้อพิพาท คุณสามารถถอนความยินยอมนำเสนอในการตลาดได้ทุกเมื่อโดยส่งอีเมลไปที่ privacy@fixvibe.app; การถอนไม่มีผลต่อการประมวลผลที่ชอบด้วยกฎหมายก่อนการถอน

    ฐานทางกฎหมาย · การปฏิบัติตามสัญญา (การดำเนินการความท้าทาย) และความยินยอม (การนำเสนอ) — ข้อ 6(1)(b) และ 6(1)(a) GDPR

สิ่งที่เราไม่เก็บรวบรวม

  • เราไม่ขายข้อมูลของคุณเด็ดขาด
  • เราไม่ฝัง ad-tech ของบุคคลที่สาม fingerprinting หรือ session-replay scripts
  • เราไม่ใส่ URL เป้าหมายการสแกนหรือหลักฐานผลการค้นพบของคุณลงใน analytics properties — ข้อมูลนั้นอยู่เฉพาะในฐานข้อมูลของเราและถูกคุมด้วย row-level security
  • เราไม่แชร์ข้อมูลของคุณกับบุคคลที่สามเพื่อการตลาดของพวกเขาเอง

ผู้ประมวลผลย่อย

เราอาศัยผู้ประมวลผลย่อยต่อไปนี้เพื่อให้ FixVibe ทำงาน:

  • Vercel Inc. (USA) — โฮสติ้งแอปพลิเคชันและ edge network ประกาศความเป็นส่วนตัว: vercel.com/legal/privacy-policy
  • Supabase Inc. (USA) — ฐานข้อมูล Postgres, authentication, file storage, Realtime ฐานข้อมูล production ของ FixVibe อยู่ในภูมิภาค AWS us-east-1 ประกาศความเป็นส่วนตัว: supabase.com/privacy
  • Stripe Inc. (USA) — การประมวลผลการชำระเงินสำหรับแผนแบบชำระเงิน ประกาศความเป็นส่วนตัว: stripe.com/privacy
  • Upstash, Inc. (USA, ผ่าน Vercel Marketplace) — rate limiting ที่รองรับด้วย Redis จัดเก็บเฉพาะตัวนับตาม IP ที่มีอายุสั้น ประกาศความเป็นส่วนตัว: upstash.com/privacy
  • PostHog Inc. (USA) — product analytics เฉพาะเมื่อคุณให้ความยินยอมด้าน analytics และเฉพาะเมื่อ analytics ถูกกำหนดค่าสำหรับ deployment ที่คุณใช้อยู่ ประกาศความเป็นส่วนตัว: posthog.com/privacy
  • GitHub, Inc. (USA) — เฉพาะเมื่อคุณเชื่อมต่อการผสานรวม GitHub ที่เป็นตัวเลือก เราใช้ GitHub API เพื่ออ่าน repository ที่คุณเริ่มสแกน ประกาศความเป็นส่วนตัว: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement
  • Resend, Inc. (USA) — การส่งอีเมลธุรกรรม ได้รับที่อยู่อีเมลและเนื้อหาอีเมลของคุณเมื่อเราส่งอีเมล scan-completed, scheduled-scan, live-threat alert และ weekly-digest Resend เก็บ metadata การส่ง (timestamp, status, bounce records) เพื่อวัตถุประสงค์ด้านปฏิบัติการ เราไม่ส่งอีเมลการตลาดผ่าน Resend ประกาศความเป็นส่วนตัว: resend.com/legal/privacy-policy

การโอนข้อมูลส่วนบุคคลออกนอก EEA/UK อาศัย Standard Contractual Clauses ของ European Commission (หรือ International Data Transfer Addendum ของ UK) เสริมด้วยมาตรการ encryption-in-transit และ encryption-at-rest ที่อธิบายใน “ความปลอดภัย” ด้านล่าง

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

สิทธิ์ของคุณ

ภายใต้ GDPR, UK GDPR และกฎหมายที่เทียบเท่า (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act ฯลฯ) คุณมีสิทธิ์ที่จะ:

  • เข้าถึงสำเนาข้อมูลของคุณ (คุณสามารถทำได้ด้วยตนเองจาก บัญชี → ความเป็นส่วนตัว);
  • ให้แก้ไขข้อมูลของคุณ;
  • ให้ลบข้อมูลของคุณ (ทำได้ด้วยตนเองเช่นกัน);
  • คัดค้านการประมวลผลที่อิงประโยชน์โดยชอบด้วยกฎหมาย;
  • ถอนความยินยอมสำหรับ analytics ได้ทุกเมื่อผ่าน ;
  • การเคลื่อนย้ายข้อมูล — การส่งออกของคุณอยู่ใน JSON;
  • ยื่นคำร้องต่อหน่วยงานกำกับดูแลท้องถิ่นของคุณ (EU/UK/EEA) หรือหน่วยงานเทียบเท่า

เราตอบคำขอใช้สิทธิ์ที่ตรวจสอบได้ภายใน 30 วัน สำหรับคำขอที่เราไม่สามารถดำเนินการผ่านบริการตนเองได้ (การแก้ไขฟิลด์ที่เราไม่เปิดเผย การจำกัดการประมวลผล การคัดค้าน) ส่งอีเมลไปที่ support@fixvibe.app โดยใช้หัวเรื่อง “Privacy request”

ผู้อยู่อาศัยในแคลิฟอร์เนีย (CCPA / CPRA)

เราไม่ขายข้อมูลส่วนบุคคลของคุณ เราไม่แชร์ข้อมูลส่วนบุคคลเพื่อการโฆษณาเชิงพฤติกรรมข้ามบริบท Analytics ผ่าน PostHog จะทำงานหลังจากคุณให้ความยินยอมในแบนเนอร์คุกกี้ของเราเท่านั้น คุณสามารถถอนความยินยอมนั้นได้ทุกเมื่อผ่าน หรือโดยคลิก ตัวเลือกความเป็นส่วนตัวของคุณ ใน footer

หากคุณเป็นผู้อยู่อาศัยในแคลิฟอร์เนีย คุณยังมีสิทธิ์ที่จะ:

  • ทราบว่าเราเก็บรวบรวมข้อมูลส่วนบุคคลใด แหล่งที่มา วัตถุประสงค์ และบุคคลที่สามใดที่เราแชร์ข้อมูลด้วย (ทั้งหมดระบุไว้ข้างต้น);
  • ขอลบข้อมูลส่วนบุคคลของคุณ (บริการตนเองผ่าน บัญชี → ความเป็นส่วนตัว หรือส่งอีเมลหาเรา);
  • แก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง;
  • จำกัดการใช้และการเปิดเผยข้อมูลส่วนบุคคลที่ละเอียดอ่อน — เราไม่เก็บรวบรวมข้อมูลใดเกินกว่าข้อมูลรับรองการยืนยันตัวตนและ session metadata ซึ่งทั้งสองอย่างจำเป็นต่อการให้บริการ;
  • ปฏิเสธการขายหรือการแชร์ — ไม่เกี่ยวข้องเพราะเราไม่ทำทั้งสองอย่าง;
  • ไม่ถูกเลือกปฏิบัติเนื่องจากการใช้สิทธิ์ใด ๆ ข้างต้น

เราเคารพสัญญาณ Global Privacy Control (GPC) โดยอัตโนมัติ การส่ง GPC header จะทำให้การเข้าชมของคุณถือเสมือนว่าคุณได้ปฏิเสธความยินยอม analytics ในอนาคตอย่างชัดแจ้งแล้ว

ความปลอดภัย

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

ไม่มีโปรแกรมความปลอดภัยใดสมบูรณ์แบบ หากคุณเชื่อว่าพบช่องโหว่ใน FixVibe โปรดรายงานไปที่ support@fixvibe.app

การเปลี่ยนแปลงนโยบายนี้

หากเราทำการเปลี่ยนแปลงที่มีสาระสำคัญ — ผู้ประมวลผลย่อยรายใหม่ หมวดหมู่ข้อมูลใหม่ ระยะเวลาเก็บรักษาใหม่ — เราจะอัปเดตวันที่ด้านบนและแจ้งคุณในแอป การแก้ถ้อยคำเล็กน้อยจะไม่ทำให้เกิดการแจ้งเตือน

ติดต่อ

privacy@fixvibe.app — โดยปกติตอบกลับภายใน 5 วันทำการ และไม่เกิน 30 วันตามที่ GDPR Art. 12(3) กำหนด

นโยบายความเป็นส่วนตัว · FixVibe