Defaults.Exposed › गोपनीयता नीति
गोपनीयता नीति
अंतिम अपडेट: 2026-07-07 · संस्करण: 1.0 (canonical; scheduled external legal/accountant review 2026-09-04)
संक्षिप्त संस्करण
- यदि आप मुफ़्त स्कैन चलाते हैं, तो हम डोमेन, आपकी अनुमानित स्थान/IP, और आप कहाँ से आए लॉग करते हैं — जाँच चलाने, दुरुपयोग रोकने, और हमारे ट्रैफ़िक को समझने के लिए। कोई खाता नहीं, कोई ईमेल नहीं चाहिए। स्कैन बॉक्स पर एक छोटा नोटिस आपको सबमिट करने से पहले यह बताता है।
- यदि आप Fix Guide माँगते हैं या कुछ खरीदते हैं, तो हम आपका ईमेल और डोमेन एकत्र करते हैं। कोई खाता नहीं और कोई पासवर्ड नहीं — आप अपने ईमेल और एक बार के कोड से साइन इन करते हैं, और हस्ताक्षरित magic links के माध्यम से अपने डिलिवरेबल तक पहुँचते हैं।
- भुगतान हमारे भुगतान प्रदाता, Stripe, के माध्यम से जाते हैं। आपके कार्ड विवरण सीधे Stripe को जाते हैं — हम कभी आपका पूरा कार्ड नंबर नहीं देखते या संग्रहीत करते।
- हम आपको मार्केटिंग ईमेल केवल तभी भेजते हैं जब आप opt in करते हैं, और हर ईमेल में एक unsubscribe लिंक होता है। सेवा संदेश (रसीदें, गाइड, आपके द्वारा माँगे गए अलर्ट, नवीनीकरण नोटिस) एक बंद सेट हैं और कोई विज्ञापन नहीं रखते।
- कुकीज़: बिल्कुल-आवश्यक कुकीज़, समग्र उपयोग आँकड़ों के लिए Google Analytics 4, और एक first-touch attribution cookie जो याद रखता है कि आप पहले कहाँ से आए। कोई विज्ञापन कुकीज़ नहीं।
- हम विश्वसनीय प्रोसेसर के एक छोटे सेट का उपयोग करते हैं (भुगतान, ईमेल, एनालिटिक्स, होस्टिंग, DNS)। हम आपका डेटा नहीं बेचते।
- आपके डेटा पर आपके अधिकार हैं — पहुँच, सुधार, हटाना, opt-out। UAE-आधारित होना EU/UK कानून के तहत आपके अधिकार नहीं छीनता। हमसे संपर्क करें और हम कार्रवाई करेंगे।
1. आपके डेटा का ज़िम्मेदार कौन है
नियंत्रक Defaults Exposed FZ-LLC है, एक UAE फ्री-ज़ोन कंपनी (“Defaults.Exposed”, “हम”), पंजीकृत कार्यालय CWEP3805, Compass Building, Al Shohada Road, Al Hamra Industrial Zone-FZ, Ras Al Khaimah, United Arab Emirates · ट्रेड लाइसेंस नं. 47034427 · पंजीकरण नं. 0000004091879 (Ras Al Khaimah Economic Zone Authority)। गोपनीयता संपर्क: [email protected]।
हम EU और UK ग्राहकों की सेवा करते हैं और EU में डेटा संसाधित और संग्रहीत करते हैं, इसलिए हम ऐसे संचालन करते हैं जैसे GDPR/UK-GDPR उस डेटा पर लागू होता है, और हम एक UAE इकाई के रूप में UAE PDPL (Federal Decree-Law No. 45 of 2021) का भी सम्मान करते हैं।
1.1 Data Protection Officer / प्रतिनिधि। हमने कोई वैधानिक DPO या EU प्रतिनिधि नियुक्त नहीं किया है; गोपनीयता प्रश्न [email protected] पर जाते हैं और संस्थापक द्वारा संभाले जाते हैं।
2. हम क्या एकत्र करते हैं, क्यों, और हमारा वैध आधार क्या है
| हम एकत्र करते हैं | कब | क्यों | वैध आधार |
|---|---|---|---|
| आपके द्वारा दर्ज डोमेन | मुफ़्त स्कैन, Fix Guide, खरीद | आकलन चलाने / सेवा देने के लिए | Legitimate interest (स्कैन); contract (पेड) |
| अनुमानित स्थान, IP, referrer, UTM/source | हर स्कैन | सुरक्षा, दुरुपयोग-रोकथाम, ट्रैफ़िक एनालिटिक्स, attribution | Legitimate interest (documented LIA — §2.3 देखें) |
| किसी डोमेन के लिए ग्रेड, स्कोर, विफल जाँचें | स्कैन / Fix Guide | परिणाम और lead record उत्पन्न और संग्रहीत करने के लिए | Legitimate interest; contract (पेड) |
| ईमेल पता | Fix Guide अनुरोध, खरीद, साइन-इन | गाइड/रसीद/डिलिवरेबल और सेवा संदेश भेजने के लिए, और आपको साइन इन करने के लिए (एक बार के कोड + magic links — कोई पासवर्ड नहीं, कोई खाता नहीं) | Fix Guide: deliver करने के लिए legitimate interest (एक मुफ़्त गाइड “contract” नहीं है); खरीद: contract |
| Marketing consent flag | यदि आप opt-in टिक करते हैं | केवल तभी मार्केटिंग भेजने के लिए यदि आपने सहमति दी | Consent |
| एक बार के सत्यापन कोड | साइन-इन और स्वामित्व जाँच | यह पुष्टि करने के लिए कि यह आप हैं / कि आप डोमेन को नियंत्रित करते हैं | Contract; legitimate interest |
| तृतीय पक्ष के admin/technical contact (नाम, ईमेल, फोन) जो आप हमें अपनी ओर से कार्य करने के लिए देते हैं | Done-for-you / Managed intake | आपके द्वारा खरीदे गए काम को समन्वित करने के लिए — कुछ और नहीं (§2.5 देखें) | Legitimate interest (documented LIA — §2.3 देखें), पहले संपर्क पर उस व्यक्ति को नोटिस के साथ |
| ऑर्डर + सदस्यता विवरण (राशि, स्तर, स्थिति, processor reference) | खरीद | पूरा करने, समर्थन, वापसी, और कर रिकॉर्ड रखने के लिए | Contract; legal obligation |
| साक्ष्य बंडल (पेड Deliverables के लिए देखे गए सार्वजनिक DNS/TLS/email रिकॉर्ड) | Dossier / प्रमाणपत्र | रिपोर्ट उत्पन्न करने के लिए | Contract |
ऑर्डर और entitlements (email, domain) से जुड़े हैं और हमारे EU सर्वर पर हमारे application database में संग्रहीत हैं।
2.1 हम जानबूझकर special-category डेटा एकत्र नहीं करते, और आपको हमें कोई नहीं भेजना चाहिए। हम जो डोमेन डेटा आकलन करते हैं वह सार्वजनिक रूप से प्रकाशित DNS/web configuration है, निजी सामग्री नहीं। हम कभी पासवर्ड या क्रेडेंशियल एकत्र नहीं करते — न आपके, न आपके registrar के, न आपके DNS प्रदाता के। केवल प्रत्यायोजित पहुँच या निर्देशित परिवर्तन; हमारा intake password-like सामग्री को अस्वीकार करता है।
2.2 कार्ड डेटा। भुगतान हमारे भुगतान प्रदाता, Stripe, द्वारा संसाधित किए जाते हैं। आपके कार्ड विवरण सीधे Stripe को सबमिट किए जाते हैं; हम कभी आपका पूरा कार्ड नंबर प्राप्त या संग्रहीत नहीं करते।
2.3 Legitimate-interest assessments (LIA)। जहाँ हम ऊपर legitimate interest पर भरोसा करते हैं (स्कैन लॉगिंग + IP/location, तृतीय-पक्ष admin contact, non-marketing lead retention), हम एक documented balancing test (LIA) फ़ाइल पर रखते हैं और अनुरोध पर इसके परिणाम उपलब्ध कराएंगे। Legitimate interest का उपयोग नहीं किया जाता जहाँ consent आवश्यक है (marketing — §5 देखें) के लिए substitute के रूप में।
2.4 Collection के बिंदु पर नोटिस (मुफ़्त स्कैन)। स्कैन बॉक्स सबमिट करने से पहले एक-पंक्ति नोटिस दिखाता है: “We log the domain you check, your IP and rough location to run the scan, prevent abuse and improve the service — Privacy”, इस नीति से लिंक करते हुए। यह collection उस बिंदु पर transparent है जहाँ यह होती है।
2.5 तृतीय-पक्ष संपर्क जो आप हमें देते हैं। यदि आप अपने IT admin या एक liaison का नाम देते हैं ताकि हम आपकी ओर से कार्य कर सकें, तो हम उनके विवरण का उपयोग केवल आपके द्वारा खरीदे गए काम को समन्वित करने के लिए करते हैं। पहले संपर्क पर हम उस व्यक्ति को बताते हैं कि हम कौन हैं, हमारे पास उनके विवरण क्यों हैं, और उन्हें इस नीति और उनके अधिकारों की ओर इशारा करते हैं। जब काम पूरा होता है, हम उनके विवरण हटा देते हैं। आप पुष्टि करते हैं कि आप उनके विवरण हमारे साथ वैध रूप से साझा कर सकते हैं।
3. हम इसे किसके साथ साझा करते हैं (प्रोसेसर और प्राप्तकर्ता)
हम विश्वसनीय प्रदाताओं के एक छोटे सेट का उपयोग करते हैं, जिनमें से प्रत्येक data-processing agreement के तहत हमारे निर्देशों पर कार्य करता है। हम आपका व्यक्तिगत डेटा नहीं बेचते।
- Stripe (US/global) — भुगतान, सदस्यताएं, कर, रसीदें।
- Resend (US) — transactional और (सहमत) marketing email भेजना।
- Microsoft 365 (EU tenancy) — @defaults.exposed पर भेजे गए ईमेल प्राप्त करना। जहाँ Fix Guide या अन्य संदेश @defaults.exposed mailbox में कॉपी किया जाता है, वह copy M365 store में बैठती है और §6 में retention नियमों द्वारा कवर है।
- Google Analytics 4 — समग्र वेबसाइट एनालिटिक्स (नीचे Cookies देखें)।
- Cloudflare (global anycast) — सेवा स्तरों के लिए DNS प्लेटफ़ॉर्म जहाँ आप अपने डोमेन के nameservers को हमारे द्वारा संचालित zone को प्रत्यायोजित करते हैं।
- Hosting / infrastructure — हमारे सर्वर OVH के साथ EU में (France/Germany) चलते हैं; primary database और scan/IP logs हमारे अपने सर्वर पर हैं, न कि तृतीय-पक्ष SaaS database पर।
- Professional advisers / authorities — केवल जहाँ कानूनी रूप से आवश्यक हो, या कानूनी दावों की स्थापना या बचाव के लिए।
4. कुकीज़ और एनालिटिक्स
हम इसे हल्का और ईमानदार रखते हैं। साइट कोई विज्ञापन कुकीज़ सेट नहीं करती। जो चलता है:
| कुकी / तकनीक | श्रेणी | उद्देश्य |
|---|---|---|
| Session / CSRF | बिल्कुल आवश्यक | साइट और फ़ॉर्म को काम करने दें |
GA4 (_ga, _ga_*) | एनालिटिक्स | समग्र उपयोग — पेज, स्रोत, स्कैन/रिपोर्ट इवेंट |
First-touch attribution cookie (de_attr) | एनालिटिक्स/attribution | याद रखता है कि आप पहले कहाँ से आए, ताकि हम जान सकें कि कौन से channels काम करते हैं |
Google Analytics 4 हमें साइट के उपयोग के बारे में समग्र आँकड़े देता है। First-touch attribution cookie आपकी पहली विज़िट के स्रोत को रिकॉर्ड करता है और आपके स्कैन या साइन-अप के साथ जाता है ताकि हम इसे एट्रिब्यूट कर सकें। किसी का भी उपयोग विज्ञापन के लिए नहीं किया जाता, और हम यह डेटा ad networks के साथ साझा नहीं करते।
5. मार्केटिंग
5.1 हम मार्केटिंग ईमेल केवल तभी भेजते हैं जब आपने opt in किया हो (आपके lead/order पर consent flag)। हर मार्केटिंग ईमेल में एक unsubscribe link होता है, और आप इसे उपयोग करके या हमें ईमेल करके कभी भी opt out कर सकते हैं। मार्केटिंग से opt out करने से आवश्यक सेवा संदेश नहीं रुकते।
5.2 Transactional संदेश एक बंद सेट हैं, इस आधार पर भेजे गए कि आपने सेवा माँगी — marketing consent नहीं — और कोई promotional सामग्री नहीं रखते: (a) आपकी Fix Guide; (b) खरीद रसीदें और चालान; (c) आपका Dossier / Deliverable; (d) monitoring/security alerts जिनकी आपने सदस्यता ली; (e) कानून या शर्तों द्वारा आवश्यक सदस्यता नवीनीकरण और रद्दीकरण नोटिस। एक नवीनीकरण नोटिस केवल नवीनीकरण बताता है; यह up-sell नहीं करेगा। इस सूची से परे कुछ भी मार्केटिंग है और आपके opt-in की आवश्यकता है।
6. हम इसे कितने समय तक रखते हैं
- स्कैन डेटा: स्कैन परिणाम समग्र शोध डेटा के रूप में रखे जाते हैं — वे Defaults.Exposed जनगणना को फ़ीड करते हैं। यह शर्तों §9.3 में census/aggregate carve-out के retention समकक्ष है।
- Leads (आपने मुफ़्त Fix Guide माँगी या ईमेल में opt in किया): जब तक आप unsubscribe नहीं करते या हमसे मिटाने के लिए नहीं कहते तब तक रखे जाते हैं, फिर हटाए जाते हैं (कानून/रिकॉर्ड के लिए जो भी रखना आवश्यक है उसे छोड़कर)।
- ऑर्डर, entitlements, और seal records: 6 वर्षों के लिए financial records के रूप में रखे जाते हैं।
- Delegated-zone डेटा (सेवा स्तर जहाँ हम आपकी DNS zone संचालित करते हैं): offboarding के 30 दिन बाद हटाए जाते हैं — offboarding प्रक्रिया में 30-दिन grace window से मेल खाते हुए।
- Intake contact details (किसी भी तृतीय-पक्ष admin/liaison विवरण सहित): जब काम पूरा होता है तब हटाए जाते हैं।
- सत्यापन कोड: मिनट — वे समाप्त होते हैं और स्वचालित रूप से हटाए जाते हैं।
- साक्ष्य बंडल / सत्यापन पेज: आपका Dossier या प्रमाणपत्र एक सार्वजनिक रूप से सत्यापन योग्य artifact है — /verify पेज डोमेन, ग्रेड, और seal metadata दिखाता है (कोई व्यक्तिगत ईमेल नहीं), और कोई भी इसे हमेशा के लिए, बिना खाते के जाँच सकता है। यदि आप एक वैध मिटाने या वापसी अधिकार का प्रयोग करते हैं, तो verify पेज “withdrawn/refunded” के रूप में दिनांकित और चिह्नित किया जाता है बजाय चुपचाप हटाए जाने के — आपके अधिकार सम्मानित हैं और साक्ष्य श्रृंखला ईमानदार रहती है।
7. आपका डेटा कहाँ संसाधित होता है (अंतर्राष्ट्रीय स्थानांतरण)
ग्राहक और स्कैन डेटा हमारे EU सर्वर (OVH, France/Germany) पर रहता है। ईमेल Resend (US) के माध्यम से दिया जाता है और Microsoft 365 (EU tenancy) के माध्यम से प्राप्त किया जाता है। भुगतान Stripe (US/global) के माध्यम से चलते हैं। सेवा स्तरों के लिए DNS प्लेटफ़ॉर्म Cloudflare (global anycast) पर चलता है। वेबसाइट एनालिटिक्स Google Analytics 4 (Google, US) के माध्यम से चलती है।
जहाँ कोई processor EU/UK के बाहर है, transfers उस processor के standard contractual clauses / EU-US Data Privacy Framework certification पर निर्भर करती हैं — नामित processors में से प्रत्येक इन्हें प्रकाशित करता है। UAE इकाई के रूप में हम एक ही flows पर PDPL cross-border transfer basis भी लागू करते हैं।
| प्राप्तकर्ता | भूमिका | कहाँ | EU/UK डेटा के लिए सुरक्षा |
|---|---|---|---|
| OVH | Hosting, database, scan/IP logs | EU (France/Germany) | EU में संसाधित |
| Stripe | Payments | US/global | SCCs / DPF |
| Resend | Outbound email | US | SCCs / DPF |
| Microsoft 365 | Inbound email | EU tenancy | EU में संसाधित (Microsoft SCCs/DPF किसी भी ancillary transfers को कवर करता है) |
| Cloudflare | DNS platform (service tiers) | Global anycast | SCCs / DPF |
| Google (GA4) | Analytics | US | SCCs / DPF |
8. हम इसकी सुरक्षा कैसे करते हैं
हम एक सुरक्षा कंपनी हैं और अपने नियंत्रणों को generic छोड़ने के बजाय नाम देते हैं। Technical और organisational उपायों में शामिल हैं: encrypted transport (HTTPS); administrative पहुँच पर multi-factor authentication के साथ access controls; least-privilege roles; access logging and review; codebase से बाहर रखे गए secrets; और नियमित backups। दो चीज़ों को सख्त treatment मिलती है:
- Signing key जो Dossiers और प्रमाणपत्रों को seal करती है, code repository के बाहर रखी जाती है और एक documented incident-response और revocation procedure के तहत प्रबंधित की जाती है, एक defined rotation path के साथ; प्रत्येक verify पेज signing key की validity window बताता है।
- Client domains में Delegated access (service tiers) प्रति client लॉग और समीक्षा की जाती है। हम कभी आपके पासवर्ड नहीं रखते — पहुँच NS delegation या guided change द्वारा ही है।
कोई सिस्टम पूरी तरह सुरक्षित नहीं है, लेकिन हम Services को पहले स्थान पर आपके डेटा को न्यूनतम रखने के आसपास डिज़ाइन करते हैं: कोई खाता नहीं, कोई पासवर्ड नहीं, कोई संग्रहीत कार्ड नंबर नहीं।
8.1 यदि कुछ गलत होता है (breach response)। हम एक internal breach register रखते हैं। यदि हम आपके डेटा या आपकी delegated zone को प्रभावित करने वाली घटना की पुष्टि करते हैं, तो हम आपको ईमेल द्वारा अनावश्यक देरी के बिना और इसकी पुष्टि के 72 घंटों के भीतर सूचित करते हैं, और जहाँ कानून की आवश्यकता होती है वहाँ नियामकों को सूचित करते हैं। हमारे processor agreements प्रत्येक processor को अनावश्यक देरी के बिना हमें breach की सूचना देने की आवश्यकता रखते हैं ताकि हम इन deadlines को पूरा कर सकें।
9. आपके अधिकार
आप कहाँ हैं इसके आधार पर, आप हमसे अनुरोध कर सकते हैं: हमारे पास आपके बारे में डेटा access करना, इसे correct करना, इसे delete करना, कुछ processing को restrict या उस पर object करना, consent वापस लेना (जैसे marketing के लिए), और एक portable copy प्राप्त करना। इनमें से किसी का भी प्रयोग करने के लिए, [email protected] पर ईमेल करें; हम आपकी पहचान सत्यापित करेंगे और 30 दिनों के भीतर जवाब देंगे। हमारा UAE स्थान उन अधिकारों को सीमित नहीं करता जो आपके पास GDPR/UK-GDPR (या आपके स्थानीय consumer/data-protection कानून) के तहत हैं जहाँ वे आप पर लागू होते हैं। आपको अपने data-protection नियामक से भी शिकायत करने का अधिकार है — EU/UK व्यक्तियों के लिए, इसमें आपका घरेलू प्राधिकरण शामिल है।
10. बच्चे
Services व्यवसायों और वयस्कों के लिए हैं। हम जानबूझकर 16 वर्ष से कम आयु के बच्चों से डेटा एकत्र नहीं करते। यदि आपको विश्वास है कि किसी बच्चे ने हमें डेटा दिया है, तो हमसे संपर्क करें और हम इसे हटा देंगे।
11. परिवर्तन
हम इस नीति को अपडेट कर सकते हैं। महत्वपूर्ण परिवर्तन साइट पर या ईमेल द्वारा अधिसूचित किए जाएंगे। “अंतिम अपडेट” तारीख हमेशा वर्तमान संस्करण को दर्शाती है।
12. संपर्क
गोपनीयता प्रश्न या अनुरोध: [email protected] · Defaults Exposed FZ-LLC, CWEP3805, Compass Building, Al Shohada Road, Al Hamra Industrial Zone-FZ, Ras Al Khaimah, United Arab Emirates · ट्रेड लाइसेंस नं. 47034427 · पंजीकरण नं. 0000004091879 (Ras Al Khaimah Economic Zone Authority)।