FixWeb

// privacy

Нууцлалын бодлого

сүүлд шинэчилсэн · 2026-05-15

Бид хэн бэ

FixWeb-г EGO HERO LLC (“бид”, “манай”) ажиллуулдаг бөгөөд энэ бодлогод тайлбарласан хувийн өгөгдлийн data controller юм. Нууцлалын асуулт, үүнд GDPR, UK GDPR эсвэл CCPA-ын дагуух data subject хүсэлтүүдийг privacy@fixweb.app хаягаар илгээнэ үү. Бусад бүх зүйлд support@fixweb.app руу бичнэ үү.

Бид юу цуглуулдаг, яагаад, хэр удаан хадгалдаг

  • Бүртгэлийн өгөгдөл

    Имэйл хаяг, OAuth identifier (Google эсвэл GitHub-аар нэвтэрсэн бол), мөн таны OAuth provider-оос бидэнд ирсэн аливаа нэр. Таныг authenticate хийх болон бүртгэлийн талаар холбоо барихад ашиглана. Таны бүртгэл идэвхтэй байх хугацаанд хадгална. Та бүртгэлээ устгахад, бид хадгалах үүрэгтэй тохиолдлоос бусад үед (жишээ нь татварын хуулийн дагуух billing records) энэ өгөгдлийг 30 хоногийн дотор устгана.

    lawful basis · Гэрээний гүйцэтгэл — Art. 6(1)(b) GDPR

  • Скан хийх зорилтууд ба олдворууд

    Таны скан хийдэг URLs, тэдгээр URLs руу бидний илгээдэг requests, мөн бидний үүсгэдэг findings. Танай organization-д холбож хадгална. Таны plan-ын retention window-оос хуучин records-ыг бид автоматаар устгана: 30 хоног (Hobby), 90 хоног (Pro), 365 хоног (Unlimited). Та Account → Privacy хэсгээс scan history-гаа хүссэн үедээ export эсвэл delete хийж болно.

    lawful basis · Гэрээний гүйцэтгэл — Art. 6(1)(b) GDPR

  • Нэргүй скан session-ууд

    Хэрэв та нэвтрэхгүйгээр scan ажиллуулбал бид opaque random ID агуулсан HMAC-signed cookie (fixweb_anon_session, 24-hour lifetime) олгоно. Claim хийгдээгүй anonymous scan records-ыг 24 цагийн дараа автоматаар устгана. Хэрэв та 24-hour window дотор sign up хийвэл таны scan шинэ account руу migrate хийгдэнэ. Anonymous users sign up хийхээс нааш бид тэднийг хэн болохыг мэдэхгүй.

    lawful basis · Зайлшгүй шаардлагатай — ePrivacy Art. 5(3) exemption

  • Billing өгөгдөл

    Stripe бол манай payment processor. Тэд таны card details-ыг PCI-DSS infrastructure дээр хадгалдаг; бид зөвхөн Stripe customer ID, subscription status, plan, period start/end, мөн webhook events-ийн жижиг idempotency record хадгалдаг. Stripe privacy notice-г stripe.com/privacy дээрээс үзнэ үү.

    lawful basis · Гэрээний гүйцэтгэл — Art. 6(1)(b) GDPR

  • Server logs ба audit logs

    Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

    lawful basis · Legitimate interest — Art. 6(1)(f) GDPR

  • GitHub integration (optional, Pro+ only)

    Хэрэв та Account → Integrations хэсгээс GitHub account холбовол бид танай organization-д зориулсан encrypted OAuth access token, таны GitHub login + numeric user ID, мөн granted scopes-ыг хадгална. Token-ыг зөвхөн таны scan эхлүүлсэн repositories-г read хийхэд ашиглана. Source code нь scan бүрээр fetch хийгдэж, memory-д process хийгдээд, зөвхөн individual finding evidence persist хийгдэнэ (full source dumps байхгүй). Disconnect хийснээс хойш 30 хоногийн дотор устгагдана.

    lawful basis · Гэрээний гүйцэтгэл / зөвшөөрөл — Art. 6(1)(b) + 6(1)(a) GDPR

  • API tokens + MCP server (optional)

    Account → API tokens хэсэгт таны үүсгэсэн tokens нь SHA-256 hash, identification-д зориулсан эхний 8 plaintext characters, таны өгсөн name, мөн created/last-used/revoked timestamps хэлбэрээр хадгалагдана. Plaintext нь creation үед танд яг нэг удаа харагдах бөгөөд хэзээ ч persist хийгдэхгүй. Tokens бол bearer credentials: value-тэй хэн ч таны scans-ыг уншиж, таныг revoke хийх хүртэл шинээр start хийж чадна. /api/mcp дээрх MCP server нь ижил tokens-оор authenticated болж, dashboard харуулахтай ижил data-г expose хийдэг бөгөөд тусдаа data category үүсгэдэггүй.

    lawful basis · Гэрээний гүйцэтгэл — Art. 6(1)(b) GDPR

  • Outbound webhooks (optional, paid plans)

    If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixWeb sub-processors.

    lawful basis · Performance of contract — Art. 6(1)(b) GDPR

  • Live threat detection (optional, Unlimited only)

    Verified domain дээр monitoring enabled байвал бид тухайн domain-д зориулсан certificate-transparency log entries, DNS records, threat-intel listings (Spamhaus DBL, URLhaus)-ыг үе үе capture хийнэ. Эдгээр snapshots нь таны бидэнд scan хийхээр аль хэдийн authorised болгосон hostnames болон public lookups-ын public results-ыг агуулна. Таны end-users-ын personal data capture хийгдэхгүй. 7 хоногоос хуучин snapshots автоматаар устгагдана; signal type бүрийн most recent baseline хадгалагдана.

    lawful basis · Гэрээний гүйцэтгэл — Art. 6(1)(b) GDPR

  • Scheduled re-scans (optional, Pro+ only)

    Хэрэв та verified domain дээр scheduled scans идэвхжүүлбэл бид cadence, last run time, next run time, мөн schedule-ыг идэвхжүүлсэн user-ийг бүртгэнэ. Cron-triggered scan бүр нь domain анх verified болох үед хийсэн authorization-to-scan attestation-ыг inherit хийнэ — run бүр дээр дахин attest хийх шаардлагагүй. Domains → Schedule хэсгээс хүссэн үедээ disable хийнэ үү.

    lawful basis · Гэрээний гүйцэтгэл — Art. 6(1)(b) GDPR

  • Analytics (optional, consent-gated)

    Хэрэв та analytics consent өгсөн бөгөөд таны ашиглаж буй deployment-д analytics configured бол бид anonymous usage бүртгэхийн тулд privacy-respecting product-analytics provider (манай өөрийн domain-оор proxied) ашиглана — аль buttons clicked болж байна, хүмүүс ямар checks run хийж байна, funnel дотор users хаана drop off болж байна. Таны scan хийдэг URLs, evidence content эсвэл personal data-г analytics events-д оруулахгүй. ашиглан хүссэн үедээ consent revoke хийнэ үү.

    lawful basis · Зөвшөөрөл — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

Бид цуглуулдаггүй зүйлс

  • Бид таны өгөгдлийг хэзээ ч зардаггүй.
  • Бид third-party ad-tech, fingerprinting эсвэл session-replay scripts embed хийдэггүй.
  • Бид таны scan target URLs эсвэл finding evidence-г analytics properties-д оруулдаггүй — тэр data зөвхөн манай database-д, row-level security-ээр gated байдлаар хадгалагдана.
  • Бид таны data-г гуравдагч этгээдийн өөрсдийн marketing-д зориулж share хийдэггүй.

Sub-processors

FixWeb-г ажиллуулахын тулд бид дараах sub-processors-д тулгуурладаг:

  • Vercel Inc. (USA) — application hosting ба edge network. Privacy notice: vercel.com/legal/privacy-policy.
  • Supabase Inc. (USA) — Postgres database, authentication, file storage, Realtime. FixWeb production database нь AWS us-east-1 region-д байна. Privacy notice: supabase.com/privacy.
  • Stripe Inc. (USA) — paid plans-ын payment processing. Privacy notice: stripe.com/privacy.
  • Upstash, Inc. (USA, via the Vercel Marketplace) — Redis-backed rate limiting; зөвхөн short-lived IP-based counters хадгална. Privacy notice: upstash.com/privacy.
  • PostHog Inc. (USA) — product analytics, зөвхөн та analytics consent өгсөн бөгөөд таны ашиглаж буй deployment-д analytics configured үед. Privacy notice: posthog.com/privacy.
  • GitHub, Inc. (USA) — зөвхөн та optional GitHub integration холбосон үед. Таны scan эхлүүлсэн repositories-г read хийхийн тулд бид GitHub API ашигладаг. Privacy notice: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
  • Resend, Inc. (USA) — transactional email delivery. Бид scan-completed, scheduled-scan, live-threat alert, weekly-digest emails илгээх үед таны email address болон email body-г хүлээн авна. Resend нь operational purposes-д зориулж delivery metadata (timestamps, status, bounce records) хадгалдаг; бид Resend-ээр marketing email хэзээ ч илгээдэггүй. Privacy notice: resend.com/legal/privacy-policy.

EEA/UK-аас гадуур personal data transfers нь European Commission Standard Contractual Clauses (эсвэл UK International Data Transfer Addendum)-д тулгуурлаж, доорх “Security” хэсэгт тайлбарласан encryption-in-transit болон encryption-at-rest арга хэмжээгээр supplement хийгддэг.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixWeb sub-processors.

Таны эрхүүд

GDPR, UK GDPR болон ижил төстэй хууль (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act гэх мэт)-ийн дагуу танд дараах эрхүүд бий:

  • өөрийн data-гийн copy-д access авах (үүнийг Account → Privacy-аас self-serve байдлаар хийж болно);
  • өөрийн data-г corrected болгуулах;
  • өөрийн data-г deleted болгуулах (мөн self-serve);
  • legitimate interests-д тулгуурласан processing-д object хийх;
  • -ээр analytics consent-ыг хүссэн үедээ withdraw хийх;
  • data portability — таны export JSON хэлбэртэй байна;
  • өөрийн local supervisory authority (EU/UK/EEA) эсвэл equivalent байгууллагад complaint lodge хийх.

Бид verifiable rights requests-д 30 хоногийн дотор respond хийнэ. Self-serve-ээр satisfy хийж болохгүй requests-д (бид expose хийдэггүй field-ийн rectification, processing-ийн restriction, objection) “Privacy request” subject line-тайгаар support@fixweb.app руу email илгээнэ үү.

California residents (CCPA / CPRA)

Бид таны personal information-г зардаггүй. Бид cross-context behavioral advertising-д personal information share хийдэггүй. PostHog-оор analytics нь зөвхөн та манай cookie banner дээр consent өгсний дараа ажиллана; та тэр consent-ыг -ээр эсвэл footer дахь Your Privacy Choices дээр дарж хүссэн үедээ withdraw хийж болно.

Хэрэв та California resident бол танд мөн дараах эрхүүд бий:

  • бид ямар personal information collect хийдэг, sources, purposes, мөн бид share хийдэг third parties-ыг мэдэх (бүгд дээр дэлгэрэнгүй бичсэн);
  • өөрийн personal information deletion хүсэх (Account → Privacy-аар self-serve эсвэл бидэнд email илгээж);
  • буруу personal information correct хийх;
  • sensitive personal information-ийн use болон disclosure-г limit хийх — бид authentication credentials болон session metadata-аас өөр зүйл collect хийдэггүй бөгөөд эдгээр нь service үзүүлэхэд шаардлагатай;
  • sale эсвэл sharing-аас opt out хийх — бид аль алиныг нь хийдэггүй тул хамаарахгүй;
  • дээрх эрхүүдийн алиныг ч хэрэгжүүлсний төлөө discriminated against болохгүй байх.

Бид Global Privacy Control (GPC) signals-ыг автоматаар honor хийдэг; GPC header илгээвэл таны visit-ыг ирээдүйн analytics consent-оос explicitly opted out хийсэн мэт авч үзнэ.

Security

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixWeb, and between FixWeb and our sub-processors, uses TLS 1.2 or higher.

No security program is perfect. If you believe you have found a vulnerability in FixWeb itself, please report it to support@fixweb.app.

Энэ бодлогын өөрчлөлтүүд

Хэрэв бид material changes хийвэл — new sub-processors, new categories of data, new retention periods — дээрх date-г update хийж, танд in-app мэдэгдэнэ. Minor wording fixes нь notification trigger хийхгүй.

Холбоо барих

privacy@fixweb.app — хариу ихэвчлэн 5 business days дотор ирнэ, GDPR Art. 12(3)-д шаардсан 30 days-аас хэзээ ч хэтрэхгүй.

Нууцлалын бодлого · FixWeb