FixVibe

// privacy

Ìlànà Ìpamọ́

ìmúdójúìwọ̀n tí ó kẹ́yìn · 2026-05-17

Ta ni wa

FixVibe ni EGO HERO LLC ń ṣiṣẹ́ (“àwa”, “tiwa”), olùṣàkóso dátà fún dátà ara ẹni tí a ṣàlàyé nínú ìlànà yìí. Fún ìbéèrè ìpamọ́, pẹ̀lú ìbéèrè data subject labẹ́ GDPR, UK GDPR, tàbí CCPA, kan sí privacy@fixvibe.app. Fún ohun mìíràn, kọ sí support@fixvibe.app.

Ohun tí a ń gba, ìdí rẹ̀, àti ìgbà tí a fi ń pa á mọ́

  • Dátà àkáǹtì

    Àdírẹ́sì ímeèlì, OAuth identifier (tí ẹ bá wọlé pẹ̀lú Google tàbí GitHub), àti orúkọ èyíkéyìí tí a gba láti ọ̀dọ̀ OAuth provider yín. A máa ń lò ó láti jẹ́rìísí yín àti láti kan sí yín nípa àkáǹtì yín. A máa ń pa á mọ́ nígbà tí àkáǹtì yín bá ṣi ń ṣiṣẹ́. Nígbà tí ẹ bá pa àkáǹtì yín rẹ́, a máa yọ dátà yìí kúrò láàárín ọjọ́ 30, àfi níbi tí a ti ní láti pa á mọ́ (fún àpẹẹrẹ, billing records labẹ́ òfin owó-orí).

    ìpìlẹ̀ òfin · Ìmúṣẹ àdéhùn — Art. 6(1)(b) GDPR

  • Àwọn ibi skan àti àwọn ìwádìí

    Àwọn URL tí ẹ ń skan, àwọn ìbéèrè tí a ṣe sí àwọn URL wọ̀nyí, àti àwọn ìwádìí tí a ṣe. A máa ń tọ́jú wọn sí ẹgbẹ́ agbari yín. A máa ń pa records tí ó ju retention window ti plan yín lọ rẹ́ laifọwọyi: ọjọ́ 30 (Hobby), ọjọ́ 90 (Pro), ọjọ́ 365 (Unlimited). Ẹ lè export tàbí pa scan history yín rẹ́ nígbàkúgbà láti Àkáǹtì → Ìpamọ́.

    ìpìlẹ̀ òfin · Ìmúṣẹ àdéhùn — Art. 6(1)(b) GDPR

  • Àwọn session skan aláìlórúkọ

    Tí ẹ bá ṣe skan láì wọlé, a máa fún un yín ní cookie tí HMAC fọwọ́ sí (fixvibe_anon_session, ìgbésí ayé wákàtí 24) tí ó ní ID aláìṣòro tí a dá laileto. A máa ń pa anonymous scan records tí ẹnikẹ́ni kò claim rẹ́ lẹ́yìn wákàtí 24 laifọwọyi. Tí ẹ bá forúkọ sílẹ̀ láàárín window wákàtí 24, skan yín máa lọ sínú àkáǹtì tuntun yín. A kò mọ ẹni tí anonymous users jẹ́ àfi tí wọ́n bá forúkọ sílẹ̀.

    ìpìlẹ̀ òfin · Ohun tí ó ṣe pàtàkì gan-an — ìyọkúrò ePrivacy Art. 5(3)

  • Dátà billing

    Stripe ni payment processor wa. Wọ́n ń tọ́jú card details yín lórí infrastructure PCI-DSS; àwa ń tọ́jú Stripe customer ID kan, subscription status, plan, period start/end, àti record idempotency kékeré fún webhook events nikan. Wo privacy notice Stripe ní stripe.com/privacy.

    ìpìlẹ̀ òfin · Ìmúṣẹ àdéhùn — Art. 6(1)(b) GDPR

  • Server logs àti audit logs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    ìpìlẹ̀ òfin · Ìfẹ́ tó bófin mu — Art. 6(1)(f) GDPR

  • GitHub integration (aṣayan, Pro+ nikan)

    Tí ẹ bá so àkáǹtì GitHub pọ̀ láti Àkáǹtì → Integrations, a máa tọ́jú OAuth access token tí a encrypt fún ẹgbẹ́ agbari yín, GitHub login yín + numeric user ID, àti scopes tí a fún. A máa ń lo token náà nìkan láti ka repositories tí ẹ bẹ̀rẹ̀ skan sí. A máa ń fa source code fún skan kọ̀ọ̀kan, process rẹ̀ nínú memory, a sì máa ń pa individual finding evidence nikan mọ́ (kò sí full source dumps). A máa pa á rẹ́ láàárín ọjọ́ 30 lẹ́yìn disconnect.

    ìpìlẹ̀ òfin · Ìmúṣẹ àdéhùn / ìyọ̀nda — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (aṣayan)

    Tokens tí ẹ dá ní Àkáǹtì → API tokens ni a máa ń tọ́jú gẹ́gẹ́ bí SHA-256 hash, àwọn character plaintext 8 àkọ́kọ́ (fún ìdánimọ̀), orúkọ tí ẹ fún un, àti timestamps fún created/last-used/revoked. A máa ń fi plaintext hàn yín lẹ́ẹ̀kan ṣoṣo nígbà creation, a kò sì pa á mọ́. Tokens jẹ́ bearer credentials: ẹnikẹ́ni tí ó ní iye náà lè ka skan yín àti bẹ̀rẹ̀ tuntun títí ẹ fi revoke. MCP server ní /api/mcp ni authentication pẹ̀lú tokens kanna, ó ń fi data kanna tí dashboard máa fi hàn han, kò sì dá data category tuntun sílẹ̀.

    ìpìlẹ̀ òfin · Ìmúṣẹ àdéhùn — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

    ìpìlẹ̀ òfin · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (aṣayan, Unlimited nikan)

    Tí monitoring bá ṣiṣẹ́ lórí verified domain, a máa ń gba certificate-transparency log entries, DNS records, àti threat-intel listings (Spamhaus DBL, URLhaus) fún domain yẹn lẹ́ẹ̀kọ̀ọ̀kan. Àwọn snapshots wọ̀nyí ní hostnames tí ẹ ti fún wa ní àṣẹ láti skan àti public results ti public lookups. A kò gba personal data ti end-users yín. A máa ń pa snapshots tí ó ju ọjọ́ 7 lọ rẹ́ laifọwọyi; baseline tuntun jù lọ ni a ń pa mọ́ fún signal type kọ̀ọ̀kan.

    ìpìlẹ̀ òfin · Ìmúṣẹ àdéhùn — Art. 6(1)(b) GDPR

  • Scheduled re-scans (aṣayan, Pro+ nikan)

    Tí ẹ bá enable scheduled scans lórí verified domain, a máa kọ cadence, last run time, next run time, àti user tí ó enable schedule náà sílẹ̀. Skan kọ̀ọ̀kan tí cron bá fa jogún authorization-to-scan attestation tí a ṣe nígbà tí domain náà kọ́kọ́ jẹ́ verified — ẹ kò tun attest fún run kọ̀ọ̀kan. Disable nígbàkúgbà ní Domains → Schedule.

    ìpìlẹ̀ òfin · Ìmúṣẹ àdéhùn — Art. 6(1)(b) GDPR

  • Analytics (aṣayan, consent-gated)

    Tí ẹ bá fún ní analytics consent àti pé a ti configure analytics fún deployment tí ẹ ń lò, a máa lo product-analytics provider tí ó bọ̀wọ̀ fún ìpamọ́ (proxied through our own domain) láti gba anonymous usage — àwọn button tí a tẹ̀, àwọn checks tí àwọn ènìyàn ṣe, ibi tí users ti jáde kúrò nínú funnel. A kò fi URL tí ẹ skan, evidence content, tàbí personal data sínú analytics events. Ẹ lè revoke consent nígbàkúgbà nípasẹ̀ .

    ìpìlẹ̀ òfin · Ìyọ̀nda — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

  • Gbígba ìfunni ìpolówó

    Nígbà tí o gba kóòdù ìpolówó, ọ̀nà ìpè, tàbí kírédítì ìfihàn, a tọju kóòdù ìpolówó, ètò àti àkókò tí a fún, àwọn àkókò ìbẹ̀rẹ̀ àti ìparí ìdánwò, ètò tí o ní kí o tó ìdánwò, àti hash HMAC-SHA256 ti adirẹsi IP rẹ ní àkókò gbígba (a kò tọju IP aise láé — hash wà nìkan kí a le fi ipá mú àwọn ààlà gbígba-ọ̀kan-fún-nẹ́tíwọ́kì, àti yíyípadà bọ́tìnì HMAC tí ó wà ní ìsàlẹ̀ sọ gbogbo hash tí a tọju di aláìṣẹ́ láìfi ẹnikẹni hàn). A pa fún ọjọ́ ayé ìpolówó pẹ̀lú oṣù 18 fún àkọọ́lẹ̀ àti àwọn ìdí àyẹ̀wò jìbìtì, lẹ́yìn náà parẹ́ pẹ̀lú àkọsílẹ̀ ìpolówó yòókù.

    ìpìlẹ̀ òfin · Ìre tí ó tọ́ (ìdènà jìbìtì, àkọọ́lẹ̀) — Art. 6(1)(f) GDPR

  • Àwọn ìdíje, ìfilọ́lẹ̀, àti ìpèníjà

    Tí o bá wọlé sí Ìpèníjà FixVibe (gẹ́gẹ́ bí Ìdíje Ìmúrasílẹ̀ Aabo), a tọju ímeèlì àjọṣepọ̀ tí o fi sílẹ̀ (tí a nílò kí a le pe ọ tí o bá ṣẹ́gun), àwọn orúkọ olùmúlò Reddit àti Product Hunt tí o fún ní àyàn, scan ID rẹ àti gbòǹgbò àdúgbò, irú iṣẹ́ tí o sọ fún ara rẹ, akopọ̀, àti ọ̀rọ̀ ohun-kan-tí-mo-kọ́ tí o fún ní àyàn, iye ọ̀nà-ìṣàwárí tí o yàn ní àyàn, àti àwọn àpótí ìfọwọ́sí mẹ́ta tí ó nílò tí o gba (àṣẹ, òfin, àjọṣepọ̀). Tí o bá ṣàmì ní ọ̀tọ̀ọ̀tọ̀ sí ìfọwọ́sí tí a fi hàn lórí tita tí ó jẹ́ àyàn, a le fi àpapọ̀ gbangba rẹ, ìṣirò, akopọ̀, orúkọ olùmúlò, àti ọ̀rọ̀ tí o fi sílẹ̀ hàn lórí ojú-ìwé ile FixVibe, ojú-ìwé ìdíje, tàbí ìkéde àtúnyẹ̀wò — láé kì í ṣe pápá mìíràn kankan, àti láé láìsí ìyàn yẹn. A pa àwọn ìforúkọsílẹ̀ Ìpèníjà fún ọjọ́ ayé Ìpèníjà pẹ̀lú oṣù 18 fún ìfọwọ́sí àti àwọn ìdí àríyànjiyàn. O le fa ìfọwọ́sí tí a fi hàn lórí tita kúrò nígbàkigbà nípa fífi ímeèlì ránṣẹ́ sí privacy@fixvibe.app; fífa kúrò kò kan iṣẹ́ ofin kí o tó fífa kúrò.

    ìpìlẹ̀ òfin · Iṣẹ́ àdéhùn (ṣíṣe Ìpèníjà) àti ìfọwọ́sí (fífi hàn) — Art. 6(1)(b) àti 6(1)(a) GDPR

Ohun tí a KÒ gba

  • A kì í tà data yín rárá.
  • A kì í embed third-party ad-tech, fingerprinting, tàbí session-replay scripts.
  • A kì í fi scan target URL yín tàbí finding evidence sínú analytics properties — data yẹn wà nínú database wa nikan, tí row-level security ń ṣọ́.
  • A kì í pín data yín pẹ̀lú third parties fún marketing tiwọn.

Sub-processors

A gbẹ́kẹ̀lé àwọn sub-processors wọ̀nyí láti ṣiṣẹ́ FixVibe:

  • Vercel Inc. (USA) — application hosting àti edge network. Privacy notice: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. FixVibe production database wà ní region AWS us-east-1. Privacy notice: supabase.com/privacy.
  • Stripe Inc. (USA) — payment processing fún paid plans. Privacy notice: stripe.com/privacy.
  • Upstash, Inc. (USA, via Vercel Marketplace) — Redis-backed rate limiting; ó ń tọ́jú short-lived IP-based counters nikan. Privacy notice: upstash.com/privacy.
  • PostHog Inc. (USA) — product analytics, nikan tí ẹ bá fún ní analytics consent àti nikan nígbà tí analytics bá configured fún deployment tí ẹ ń lò. Privacy notice: posthog.com/privacy.
  • GitHub, Inc. (USA) — nikan tí ẹ bá so optional GitHub integration pọ̀. A ń lo API ti GitHub láti ka repositories tí ẹ bẹ̀rẹ̀ skan sí. Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — transactional email delivery. Ó gba àdírẹ́sì ímeèlì yín àti email body nígbà tí a bá fi scan-completed, scheduled-scan, live-threat alert, àti weekly-digest emails ránṣẹ́. Resend ń pa delivery metadata (timestamps, status, bounce records) mọ́ fún operational purposes; a kì í fi marketing email ránṣẹ́ nípasẹ̀ Resend rárá. Privacy notice: resend.com/legal/privacy-policy.

Transfers ti personal data síta EEA/UK gbẹ́kẹ̀lé Standard Contractual Clauses ti European Commission (tàbí International Data Transfer Addendum ti UK), pẹ̀lú àwọn encryption-in-transit àti encryption-at-rest measures tí a ṣàlàyé nínú “Security” ní isalẹ.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Àwọn ẹ̀tọ́ yín

Labẹ́ GDPR, UK GDPR, àti àwọn òfin tó dọ́gba (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act abbl.), ẹ ní ẹ̀tọ́ láti:

  • wọlé sí copy data yín (ẹ lè ṣe èyí fúnra yín láti Àkáǹtì → Ìpamọ́);
  • jẹ́ kí a ṣe correction data yín;
  • jẹ́ kí a pa data yín rẹ́ (pẹ̀lú self-serve);
  • tako processing tí ó dá lórí legitimate interests;
  • yọ consent fún analytics kúrò nígbàkúgbà nípasẹ̀ ;
  • data portability — export yín wà ní JSON;
  • fi ẹ̀sùn kan local supervisory authority yín (EU/UK/EEA) tàbí equivalent.

A máa ń dáhùn sí verifiable rights requests láàárín ọjọ́ 30. Fún requests tí a kò lè satisfy via self-serve (rectification of a field tí a kò expose, restriction of processing, objection), fi email ránṣẹ́ sí support@fixvibe.app pẹ̀lú subject line “Privacy request”.

Àwọn olùgbé California (CCPA / CPRA)

A kò tà personal information yín. A kò share personal information fún cross-context behavioral advertising. Analytics through PostHog ń ṣiṣẹ́ lẹ́yìn tí ẹ bá fún ní consent nínú cookie banner wa nikan; ẹ lè withdraw consent yẹn nígbàkúgbà via tàbí nípa títẹ Àwọn Ìyàn Ìpamọ́ Yín ní footer.

Tí ẹ bá jẹ́ olùgbé California, ẹ tún ní ẹ̀tọ́ láti:

  • mọ personal information tí a gba, àwọn sources, àwọn purposes, àti third parties èyíkéyìí tí a share rẹ̀ pẹ̀lú (gbogbo rẹ̀ ti ṣàlàyé lókè);
  • béèrè fún deletion ti personal information yín (self-serve via Àkáǹtì → Ìpamọ́ tàbí nípa fífi email ránṣẹ́ sí wa);
  • ṣe correction sí personal information tí kò péye;
  • da use àti disclosure ti sensitive personal information dúró — a kò gba ohunkóhun ju authentication credentials àti session metadata lọ, mejeeji ni a nílò láti pèsè service;
  • opt out of sale tàbí sharing — kò lò nítorí a kò ṣe méjèèjì;
  • má ṣe jẹ́ ẹni tí a discriminate against fún lílo èyíkéyìí nínú àwọn ti òkè.

A máa ń honor Global Privacy Control (GPC) signals laifọwọyi; fífi GPC header ránṣẹ́ jẹ́ kí a ka visit yín bí ẹni pé ẹ ti opt out kedere kúrò nínú analytics consent ọjọ́ iwájú.

Security

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Kò sí security program tí ó pé. Tí ẹ bá gbà pé ẹ ti rí vulnerability nínú FixVibe, ẹ jọ̀wọ́ report rẹ̀ sí support@fixvibe.app.

Àwọn ayípadà sí ìlànà yìí

Tí a bá ṣe material changes — sub-processors tuntun, categories data tuntun, retention periods tuntun — a ó update ọjọ́ lókè, a ó sì notify yín in-app. Minor wording fixes kì í trigger notification.

Ìbánisọ̀rọ̀

privacy@fixvibe.app — replies sábà máa ń wá láàárín ọjọ́ iṣẹ́ 5, kò sì ní ju ọjọ́ 30 lọ gẹ́gẹ́ bí GDPR Art. 12(3) ṣe ní.

Ìlànà Ìpamọ́ · FixVibe