الأمان والخصوصية
صوت مقابلتك
لا يعيش أبدًا على خوادمنا.
تم بناء SubcueAI أصليًا، ومشفّر أثناء النقل وفي السكون، وعديم الحالة عمدًا فيما يخص صوت مقابلاتك. إليك بالضبط كيف.
آخر تحديث: 15 مايو 2026
معالجة الصوت
صوت المقابلة لا يغادر جهازك أبدًا بشكل دائم.
- يُلتقط محليًا: يستخدم تطبيق macOS / Windows واجهة ScreenCaptureKit (Mac) و WASAPI loopback (Win) لالتقاط الصوت من مكالمة الفيديو. لا امتداد متصفح، لا روبوت اجتماع.
- يُبَثّ لـ STT: يُبَثّ الصوت (دون تخزينه) إلى مزود تحويل الكلام إلى نص للتفريغ الفوري. يُحرَّر مخزن الصوت المؤقت من الذاكرة فور وصول جزء التفريغ.
- صفر استمرارية على الخادم: لا نكتب أبدًا الموجة الصوتية على القرص في الواجهة الخلفية. R2 / D1 / KV تحتفظ فقط بالنصوص والبيانات الوصفية.
- النص ملكك لحذفه: الحذف لكل سجل من /dashboard/records يمحو فورًا النص وتحليل الذكاء الاصطناعي معًا.
التشفير
النقل + في السكون
أثناء النقل
TLS 1.3
HTTPS إجباري عبر Cloudflare. HSTS preload بـ max-age=63072000 (سنتان).
في السكون
AES-256
Cloudflare R2 (السير الذاتية / وصف الوظائف / ملفات الإصدار) يستخدم SSE-256 افتراضيًا.
المصادقة
PBKDF2 + JWT
تجزئة كلمات المرور: PBKDF2 بـ 100,000 تكرار. رموز الجلسة: JWT موقّعة بـ HMAC-SHA256.
المعالجون الفرعيون
من يلمس بياناتك
Subcue AI LLC هي المتحكم في البيانات. يتعامل المعالجون الفرعيون التالون مع أجزاء محددة من بيانات العملاء بموجب عقد. كل إدخال يسرد ما يرونه وأين تقع بنيتهم التحتية.
| المزود | الغرض | المنطقة |
|---|---|---|
| Cloudflare | الاستضافة، CDN، D1 (قاعدة بيانات)، KV، R2 (تخزين الكائنات)، Vectorize (التضمينات) | حافة عالمية / أمريكا-أوروبا |
| OpenAI | GPT-4o لتوليد إجابات الذكاء الاصطناعي | الولايات المتحدة |
| Deepgram | تحويل الكلام إلى نص (فوري) | الولايات المتحدة |
| ElevenLabs | تحويل الكلام إلى نص (بديل) | الولايات المتحدة |
| Paddle | Merchant of Record + الدفع والفوترة والامتثال الضريبي | المملكة المتحدة |
| Stripe | معالجة المدفوعات (تدفقات مختارة) | الولايات المتحدة |
| Apple | مشتريات داخل التطبيق من App Store (مستخدمو iOS/macOS) | الولايات المتحدة |
| Resend | بريد المعاملات (التحقق، الإيصالات) | الولايات المتحدة |
| Google Analytics | تحليلات الويب — مقاييس استخدام مجهّلة (إخفاء IP) | الولايات المتحدة |
يُعلَن عن تحديثات هذه القائمة في مراجعات شروط الخدمة.
الوصول والمصادقة
الرموز، الجلسات، الإلغاء
- رموز وصول JWT، TTL ساعة واحدة.
- رموز التحديث مخزّنة في كوكيز HttpOnly Secure SameSite=Lax، مُجزّأة على الخادم قبل التخزين.
- قائمة إلغاء على الخادم — تسجيل الخروج يُبطل الرموز فورًا على جميع الأجهزة.
- تدفقات OAuth (Google / Apple) تحدث خادم-إلى-خادم؛ رموز الوصول لا تصل أبدًا إلى JavaScript المتصفح.
- يستخدم تطبيق سطح المكتب بروتوكول subcue:// المخصص مع تبادل auth code لمرة واحدة — نفس نموذج الأمان لتدفقات OAuth الأصلية في macOS / Windows.
رؤوس أمان HTTP
ما يحمله كل رد
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload X-Frame-Options: DENY X-Content-Type-Options: nosniff Referrer-Policy: strict-origin-when-cross-origin Permissions-Policy: camera=(), microphone=(), geolocation=() Content-Security-Policy-Report-Only: ...
الامتثال
اللوائح الإقليمية
GDPR (الاتحاد الأوروبي / EEA / المملكة المتحدة)
نعالج البيانات الشخصية للاتحاد الأوروبي على أسس قانونية تشمل الموافقة وتنفيذ العقد والمصالح المشروعة. تُحترم حقوق أصحاب البيانات (الوصول، التصحيح، المحو، النقل) — أرسل طلبك إلى contact@subcue.app.
CCPA (كاليفورنيا)
لسكان كاليفورنيا الحق في المعرفة والحذف ورفض بيع البيانات. لا نبيع البيانات الشخصية. أرسل طلبات CCPA إلى نفس عنوان GDPR.
الاحتفاظ بالبيانات
ما نحتفظ به، ولكم من الوقت
- بيانات الحساب: محفوظة طالما حسابك نشط.
- نصوص المقابلات: محفوظة حتى تحذف السجل. الحذف لكل سجل متاح في /dashboard/records.
- الموجات الصوتية: لا تُحفظ أبدًا.
- حذف الحساب: تُمحى كل البيانات الشخصية خلال 30 يومًا. الإحصاءات المجمّعة المجهّلة (مثل إجمالي المقابلات) تُحفظ إلى أجل غير مسمى.
- أحداث القياس عن بُعد: تُحفظ 90 يومًا افتراضيًا (قابلة للتهيئة في admin)، ثم تُنظّف تلقائيًا بمهمة cron يومية.
الإفصاح المسؤول
وجدت ثغرة؟
راسل contact@subcue.app بسطر الموضوع [SECURITY]. نلتزم بما يلي:
- تأكيد الاستلام خلال 48 ساعة.
- تقديم تحديث الفرز خلال 5 أيام عمل.
- اتباع جدول زمني للإفصاح المسؤول مدته 90 يومًا قبل النقاش العلني.
- الإشادة بالمبلِّغين علنًا (بموافقتهم) بعد حل المشكلة.
خارج النطاق: الهندسة الاجتماعية، الهجمات المادية، الهجمات على المعالجين الفرعيين الخارجيين.
أسئلة حول هذه الصفحة؟ راسل contact@subcue.app.
انظر أيضًا: سياسة الخصوصية · شروط الخدمة