FixVibe

// privacy

פּריוואַטקייט פּאָליסי

לעצטע אַפּדייט · 2026-05-17

ווער מיר זענען

FixVibe ווערט באַטריבן דורך EGO HERO LLC (“מיר”, “אונדז”), דער דאַטן-קאָנטראָלירער פֿאַר די פּערזענלעכע דאַטן באַשריבן אין דער פּאָליסי. פֿאַר פּריוואַטקייט פֿראגעס, אַרײַנגערעכנט דאַטן-סוביעקט בקשות אונטער GDPR, UK GDPR, אָדער CCPA, קאָנטאַקטירט privacy@fixvibe.app. פֿאַר אַלץ אַנדערש, שרייבט צו support@fixvibe.app.

וואָס מיר קלייבן, פֿאַרוואָס, און ווי לאַנג מיר האַלטן עס

  • חשבון דאַטן

    אימעיל אַדרעס, OAuth אידענטיפֿיקאַטאָר (אויב איר מעלדט זיך אָן מיט Google אָדער GitHub), און יעדן נאָמען וואָס מיר באַקומען פֿון אייער OAuth provider. גענוצט צו אָטענטיפֿיצירן אייך און קאָנטאַקטירן אייך וועגן אייער חשבון. געהאַלטן בשעת אייער חשבון איז אַקטיוו. ווען איר מעקט אויס אייער חשבון, ווערן דיזע דאַטן אַוועקגענומען אינעם לויף פֿון 30 טעג, חוץ וווּ מיר מוזן זיי האַלטן (למשל, billing records אונטער tax law).

    געזעצלעכע באַזע · אויספֿירונג פֿון קאָנטראַקט — Art. 6(1)(b) GDPR

  • סקאַן צילן און פֿינדינגז

    די URLs וואָס איר סקאַנירט, די בקשות וואָס מיר מאַכן צו יענע URLs, און די פֿינדינגז וואָס מיר פּראָדוצירן. געהאַלטן קעגן אייער אָרגאַניזאַציע. מיר מעקן אויטאָמאַטיש רעקאָרדס עלטער ווי אייער פּלאַנס retention window: 30 טעג (Hobby), 90 טעג (Pro), 365 טעג (Unlimited). איר קענט עקספּאָרטירן אָדער אויסמעקן אייער סקאַן-היסטאָריע אין יעדן צייט פֿון Account → Privacy.

    געזעצלעכע באַזע · אויספֿירונג פֿון קאָנטראַקט — Art. 6(1)(b) GDPR

  • אַנאָנימע סקאַן סעסיעס

    אויב איר לויפֿט אַ סקאַן אָן זיך אַנמעלדן, געבן מיר אַרויס אַן HMAC-signed cookie (fixvibe_anon_session, 24-שעה לעבן) וואָס האַלט אַן opaque random ID. מיר מעקן אויטאָמאַטיש אומגעקליימטע אַנאָנימע סקאַן רעקאָרדס נאָך 24 שעה. אויב איר שרײַבט זיך איין אינעם 24-שעה פֿענצטער, גייט אייער סקאַן אַריבער אין אייער נײַעם חשבון. מיר ווייסן ניט ווער אַנאָנימע באַניצער זענען חוץ אויב זיי שרײַבן זיך איין.

    געזעצלעכע באַזע · שטרענג נייטיק — ePrivacy Art. 5(3) באַפֿרײַונג

  • בילינג דאַטן

    Stripe איז אונדזער payment processor. זיי האַלטן אייער קאַרטל-פּרטים אויף PCI-DSS infrastructure; מיר האַלטן נאָר אַ Stripe customer ID, subscription status, פּלאַן, period start/end, און אַ קליינע idempotency רעקאָרד פֿון webhook events. זעט Stripe-ס פּריוואַטקייט מעלדונג אויף stripe.com/privacy.

    געזעצלעכע באַזע · אויספֿירונג פֿון קאָנטראַקט — Art. 6(1)(b) GDPR

  • Server logs און audit logs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    געזעצלעכע באַזע · לעגיטימער אינטערעס — Art. 6(1)(f) GDPR

  • GitHub אינטעגראַציע (אָפּציאָנעל, נאָר Pro+)

    אויב איר פֿאַרבינדט אַ GitHub account פֿון Account → Integrations, האַלטן מיר אַן encrypted OAuth access token פֿאַר אייער אָרגאַניזאַציע, אייער GitHub login + numeric user ID, און די granted scopes. מיר נוצן דעם token בלויז צו לייענען repositories קעגן וועלכע איר הייבט אָן סקאַנס. Source code ווערט געפֿעטשט פּער-סקאַן, פּראָצעסירט אין memory, און נאָר יחידדיקע finding evidence ווערט געהאַלטן (קיין full source dumps). אויסגעמעקט אינעם לויף פֿון 30 טעג נאָך disconnect.

    געזעצלעכע באַזע · אויספֿירונג פֿון קאָנטראַקט / הסכמה — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (אָפּציאָנעל)

    Tokens וואָס איר שאַפֿט ביי Account → API tokens ווערן געהאַלטן ווי אַ SHA-256 hash, די ערשטע 8 plaintext characters (פֿאַר identification), דער נאָמען וואָס איר האָט צוגעגעבן, פּלוס created/last-used/revoked timestamps. דער plaintext ווערט אייך געוויזן פּונקט איין מאָל בײַ שאַפֿן און ווערט קיינמאָל ניט געהאַלטן. Tokens זענען bearer credentials: יעדער מיט דעם value קען לייענען אייערע סקאַנס און אָנהייבן נײַע ביז איר revoke. דער MCP server ביי /api/mcp ווערט אָטענטיפֿיצירט דורך די זעלבע tokens, שטעלט אַרויס די זעלבע דאַטן וואָס דער dashboard וואָלט געוויזן, און שאַפֿט קיין באַזונדערע דאַטן-קאַטעגאָריע ניט.

    געזעצלעכע באַזע · אויספֿירונג פֿון קאָנטראַקט — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    געזעצלעכע באַזע · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (אָפּציאָנעל, נאָר Unlimited)

    אויב איר האָט monitoring אָנגעשטעלט אויף אַ באַשטעטיקטן domain, כאַפּן מיר פּעריאָדיש certificate-transparency log entries, DNS records, און threat-intel listings (Spamhaus DBL, URLhaus) פֿאַר יענעם domain. דיזע snapshots אַנטהאַלטן hostnames וואָס איר האָט שוין אָטאָריזירט אונדז צו סקאַנירן און די עפנטלעכע רעזולטאַטן פֿון public lookups. קיין פּערזענלעכע דאַטן פֿון אייערע end-users ווערן ניט געכאַפּט. Snapshots עלטער ווי 7 טעג ווערן אויטאָמאַטיש אויסגעמעקט; די לעצטע baseline ווערט געהאַלטן פּער signal type.

    געזעצלעכע באַזע · אויספֿירונג פֿון קאָנטראַקט — Art. 6(1)(b) GDPR

  • שעדיולד רי-סקאַנס (אָפּציאָנעל, נאָר Pro+)

    אויב איר מאַכט אָן scheduled scans אויף אַ באַשטעטיקטן domain, רעקאָרדירן מיר דעם cadence, לעצטע לויף צייט, קומענדיקע לויף צייט, און וועלכער user האָט אָנגעשטעלט דעם schedule. יעדער cron-triggered scan ירשנט די authorization-to-scan attestation געמאַכט ווען דער domain איז צום ערשטן מאָל באַשטעטיקט געוואָרן — איר דאַרפֿט ניט ווידער attest פּער לויף. אויסמאַכן קען מען אין יעדן צייט ביי Domains → Schedule.

    געזעצלעכע באַזע · אויספֿירונג פֿון קאָנטראַקט — Art. 6(1)(b) GDPR

  • אַנאַליטיק (אָפּציאָנעל, געבונדן צו הסכמה)

    אויב איר גיט analytics consent און מיר האָבן analytics configured פֿאַר דעם deployment וואָס איר נוצט, נוצן מיר אַ privacy-respecting product-analytics provider (proxied through our own domain) צו רעקאָרדירן אַנאָנימע נוצן — וועלכע buttons ווערן געקליקט, וועלכע checks מענטשן לויפֿן, וווּ users drop off אינעם funnel. מיר לייגן ניט די URLs וואָס איר סקאַנירט, evidence content, אָדער פּערזענלעכע דאַטן אין analytics events. נעמט צוריק הסכמה אין יעדן צייט דורך .

    געזעצלעכע באַזע · הסכמה — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • פּראָמאָציאָנעלן אָנבאָט אויסלייז

    ווען איר אויסלייזט אַ פּראָמאָ קאָד, אַרײַנלאַד לינק, אָדער רעפֿעראַל קרעדיט, האַלטן מיר דעם קאַמפּיין קאָד, דעם פּלאַן און דויער וואָס מיר האָבן געגעבן, די פּרובע אָנהייב און סוף צײַט שטעמפּלען, דעם פּלאַן וואָס איר האָט געהאַט פֿאַר דער פּרובע, און אַ HMAC-SHA256 כעש פֿון דײַן IP אַדרעס בײַם צײַט פֿון אויסלייז (מיר האַלטן קיינמאָל נישט די רויע IP — דער כעש איז דאָ בלויז אַזוי מיר קענען דורכפֿירן איין-אויסלייז-פּער-נעטץ גרענעצן, און רעטירן דעם אונטערלאַגערן HMAC שליסל מאַכט אומגילטיק אַלע אויפֿגעהאַלטענע כעשעס אָן אַנטפּלעקן עמעצן). אויפֿגעהאַלטן פֿאַר דעם לעבן פֿון דעם קאַמפּיין פּלוס 18 חדשים פֿאַר חשבונדיקע און שווינדל-אויספֿאָרשונג צוועקן, דעמאָלט אויסגעלאָשט מיט דעם רעשט פֿון דעם קאַמפּיין רעקאָרד.

    געזעצלעכע באַזע · באַרעכטיקטער אינטערעס (שווינדל פאַרהיטונג, חשבונדיק) — אַרט. 6(1)(f) GDPR

  • קאָנקורסן, סוויפּסטעיקס, און אַרויסרופֿן

    אויב איר גייט אַרײַן אין אַ FixVibe אַרויסרוף (אַזאַ ווי דער זיכערהייט פּריפֿלייט אַרויסרוף), האַלטן מיר דעם קאָנטאַקט אימעיל וואָס איר פֿאָרלייגט (פאדערט אַזוי מיר קענען אײַך דערגרייכן אויב איר געווינט), די Reddit און Product Hunt באַניצער נעמען וואָס איר אַפּציאָנעל צושטעלט, דײַן סקאַן ID און שורש דאָמאַין, דעם זעלבסט-באַריכטעטן פּראָיעקט טיפּ, סטעק, און איין-זאַך-איך-האָב-געלערנט טעקסט וואָס איר אַפּציאָנעל צושטעלט, די דיסקאַווערי-קאַנאַל ווערט וואָס איר אַפּציאָנעל אויסקלייבט, און די דרײַ פאדערטע צושטימונג טשעקבאָקסעס וואָס איר אַקצעפּטירט (באַפֿולמעכטיקונג, כּללים, קאָנטאַקט). אויב איר באַזונדער קלייבט די אַפּציאָנעלע פֿעאַטשורט-אויף-מאַרקעטינג צושטימונג, קענען מיר ווײַזן דײַן עפֿנטלעכן ציפֿער, רעיטינג, סטעק, באַניצער נאָמען, און פֿאָרגעלייגטע ציטירונג אויף דעם FixVibe היים זײַטל, אַרויסרוף זײַטל, אָדער רעקאַפּ פּאָסט — קיינמאָל קיין אַנדערן פֿעלד, און קיינמאָל אָן דער אַרײַן-קלייב. אַרויסרוף אַרײַנגאַנגען זײַנען אויפֿגעהאַלטן פֿאַר דעם לעבן פֿון דעם אַרויסרוף פּלוס 18 חדשים פֿאַר באַשטעטיקונג און מחלוקת צוועקן. איר קענט אַוועקנעמען די פֿעאַטשורט-אויף-מאַרקעטינג צושטימונג אין יעדער צײַט דורך אימעילן privacy@fixvibe.app; אַוועקנעמען אַפֿעקטירט נישט געזעצלעכע פּראָצעסירונג פֿאַר דעם אַוועקנעמען.

    געזעצלעכע באַזע · אויספֿירונג פֿון קאָנטראַקט (לויפֿן דעם אַרויסרוף) און צושטימונג (פֿעאַטשורן) — אַרט. 6(1)(b) און 6(1)(a) GDPR

וואָס מיר קלייבן ניט

  • מיר פֿאַרקויפֿן קיינמאָל ניט אייערע דאַטן.
  • מיר עמבעדן ניט קיין third-party ad-tech, fingerprinting, אָדער session-replay scripts.
  • מיר לייגן ניט אייערע scan target URLs אָדער finding evidence אין analytics properties — יענע דאַטן לעבן נאָר אין אונדזער database, באַשיצט דורך row-level security.
  • מיר טיילן ניט אייערע דאַטן מיט דריטע צדדים פֿאַר זייער אייגענעם marketing.

סאַב-פּראָצעסירערס

מיר פֿאַרלאָזן זיך אויף די פֿאָלגנדיקע סאַב-פּראָצעסירערס צו לויפֿן FixVibe:

  • Vercel Inc. (USA) — application hosting און edge network. פּריוואַטקייט מעלדונג: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. די FixVibe production database איז אין דער AWS us-east-1 region. פּריוואַטקייט מעלדונג: supabase.com/privacy.
  • Stripe Inc. (USA) — payment processing פֿאַר paid plans. פּריוואַטקייט מעלדונג: stripe.com/privacy.
  • Upstash, Inc. (USA, via the Vercel Marketplace) — Redis-backed rate limiting; האַלט נאָר קורץ-לעביקע IP-based counters. פּריוואַטקייט מעלדונג: upstash.com/privacy.
  • PostHog Inc. (USA) — product analytics, נאָר אויב איר גיט analytics consent און נאָר ווען analytics איז configured פֿאַר דעם deployment וואָס איר נוצט. פּריוואַטקייט מעלדונג: posthog.com/privacy.
  • GitHub, Inc. (USA) — נאָר אויב איר פֿאַרבינדט די אָפּציאָנעלע GitHub integration. מיר נוצן GitHub API צו לייענען repositories קעגן וועלכע איר הייבט אָן סקאַנס. פּריוואַטקייט מעלדונג: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — transactional email delivery. באקומט אייער אימעיל אַדרעס און דעם אימעיל גוף ווען מיר שיקן scan-completed, scheduled-scan, live-threat alert, און weekly-digest emails. Resend האַלט delivery metadata (timestamps, status, bounce records) פֿאַר operations צוועקן; מיר שיקן קיינמאָל ניט marketing email דורך Resend. פּריוואַטקייט מעלדונג: resend.com/legal/privacy-policy.

טראַנספֿערס פֿון פּערזענלעכע דאַטן אַרויס פֿון EEA/UK פֿאַרלאָזן זיך אויף די European Commission's Standard Contractual Clauses (אָדער דעם UK's International Data Transfer Addendum), צוגעשטיצט דורך די encryption-in-transit און encryption-at-rest מיטלען באַשריבן אין “Security” אונטן.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

אייערע רעכטן

אונטער GDPR, UK GDPR, און גלײַכווערטיקע געזעצן (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act etc.), האָט איר דאָס רעכט צו:

  • צוטריט צו אַ קאָפּיע פֿון אייערע דאַטן (איר קענט דאָס טאָן self-serve פֿון Account → Privacy);
  • לאָזן פֿאַרריכטן אייערע דאַטן;
  • לאָזן אויסמעקן אייערע דאַטן (אויך self-serve);
  • זיך אַנטקעגנשטעלן processing באזירט אויף legitimate interests;
  • צוריקנעמען analytics הסכמה אין יעדן צייט דורך ;
  • data portability — אייער export איז אין JSON;
  • אַרײַנגעבן אַ קלאָג בײַ אייער לאקאלער supervisory authority (EU/UK/EEA) אָדער גלײַכווערטיקער אינסטאַנץ.

מיר ענטפֿערן אויף verifiable rights requests אינעם לויף פֿון 30 טעג. פֿאַר בקשות וואָס מיר קענען ניט באַפֿרידיקן דורך self-serve (rectification פֿון אַ field וואָס מיר expose ניט, restriction of processing, objection), שיקט אימעיל צו support@fixvibe.app מיט subject line “Privacy request”.

קאַליפֿאָרניע תושבים (CCPA / CPRA)

מיר פֿאַרקויפֿן ניט אייער פּערזענלעכע אינפֿאָרמאַציע. מיר טיילן ניט פּערזענלעכע אינפֿאָרמאַציע פֿאַר cross-context behavioral advertising. Analytics דורך PostHog לויפֿט נאָר נאָך דעם וואָס איר גיט הסכמה אין אונדזער cookie banner; איר קענט צוריקנעמען יענע הסכמה אין יעדן צייט דורך אָדער דורך קליקן אייערע פּריוואַטקייט וועלן אינעם footer.

אויב איר זענט אַ קאַליפֿאָרניע תושב, האָט איר אויך דאָס רעכט צו:

  • וויסן וואָס פּערזענלעכע אינפֿאָרמאַציע מיר קלייבן, די מקורים, די צוועקן, און יעדע דריטע צד מיט וועלכער מיר טיילן עס (אַלץ דעטאַלירט אויבן);
  • פֿאַרלאַנגן אויסמעקן פֿון אייער פּערזענלעכע אינפֿאָרמאַציע (self-serve דורך Account → Privacy אָדער דורך אימעיל צו אונדז);
  • פֿאַרריכטן אומפּינקטלעכע פּערזענלעכע אינפֿאָרמאַציע;
  • באַגרענעצן די נוצן און אַנטפּלעקונג פֿון sensitive personal information — מיר קלייבן גאָרניט אויסער authentication credentials און session metadata, ביידע נייטיק צו צושטעלן דעם service;
  • opt out פֿון sale אָדער sharing — ניט צולייגלעך ווײַל מיר טאָן ניט קיין איינס פֿון ביידע;
  • ניט ווערן דיסקרימינירט פֿאַרן אויסאיבן קיין איינע פֿון די אויבנדערמאָנטע.

מיר ערן Global Privacy Control (GPC) signals אויטאָמאַטיש; שיקן אַ GPC header באַהאַנדלט אייער באַזוך ווי איר וואָלט אויסדרוקלעך opted out פֿון יעדער צוקונפֿטיקער analytics consent.

זיכערהייט

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

קיין security program איז ניט פּערפֿעקט. אויב איר גלויבט אַז איר האָט געפֿונען אַ vulnerability אין FixVibe, ביטע מעלדט עס צו support@fixvibe.app.

ענדערונגען צו דער פּאָליסי

אויב מיר מאַכן material changes — נײַע sub-processors, נײַע categories פֿון דאַטן, נײַע retention periods — וועלן מיר דערהײַנטיקן דעם דאַטום אויבן און אייך מעלדן אין-app. קליינע נוסח-פֿאַרריכטונגען טריגערן קיין מעלדונג ניט.

קאָנטאַקט

privacy@fixvibe.app — ענטפֿערס געווענלעך אינעם לויף פֿון 5 ביזנעס טעג, קיינמאָל ניט לענגער ווי 30 טעג ווי געפֿאָדערט דורך GDPR Art. 12(3).

פּריוואַטקייט פּאָליסי · FixVibe