Bezpečnost a soukromí
Audio vašeho pohovoru
nikdy nežije na našich serverech.
SubcueAI je postaven nativně, šifrován při přenosu i v klidu a záměrně bez stavu, pokud jde o audio vašich pohovorů. Tady přesně jak.
Naposledy aktualizováno: 15. května 2026
Zpracování audia
Audio pohovoru nikdy neopouští váš počítač trvale.
- Lokálně zachyceno: aplikace macOS / Windows používá ScreenCaptureKit (Mac) a WASAPI loopback (Win) k zachycení audia z vašeho videohovoru. Žádné rozšíření prohlížeče, žádný bot schůzky.
- Streamováno pro STT: audio je streamováno (nikoli uloženo) do poskytovatele rozpoznávání řeči pro přepis v reálném čase. Audio buffer je uvolněn z paměti, jakmile dorazí fragment přepisu.
- Nulová serverová persistence: nikdy nezapisujeme zvukovou vlnu na disk v našem backendu. R2 / D1 / KV obsahují pouze přepisy a metadata.
- Přepis lze smazat: smazání jednoho záznamu z /dashboard/records okamžitě vymaže přepis i AI analýzu.
Šifrování
Přenos + v klidu
Při přenosu
TLS 1.3
Vynucené HTTPS přes Cloudflare. HSTS preload s max-age=63072000 (2 roky).
V klidu
AES-256
Cloudflare R2 (životopisy / popisy pozic / release binárky) používá SSE-256 ve výchozím nastavení.
Autentizace
PBKDF2 + JWT
Hashování hesel: PBKDF2 100 000 iterací. Session tokeny: JWT podepsané HMAC-SHA256.
Sub-procesoři
Kdo se dotýká vašich dat
Subcue AI LLC je správce dat. Následující sub-procesoři zpracovávají konkrétní části zákaznických dat na základě smlouvy. Každý záznam uvádí, co vidí a kde se nachází jejich infrastruktura.
| Poskytovatel | Účel | Region |
|---|---|---|
| Cloudflare | Hosting, CDN, D1 (databáze), KV, R2 (úložiště objektů), Vectorize (embeddings) | Globální edge / USA-EU |
| OpenAI | GPT-4o pro generování AI odpovědí | Spojené státy |
| Deepgram | Rozpoznávání řeči (reálný čas) | Spojené státy |
| ElevenLabs | Rozpoznávání řeči (alternativní) | Spojené státy |
| Paddle | Merchant of Record + checkout, fakturace, daňový soulad | Spojené království |
| Stripe | Zpracování plateb (vybrané toky) | Spojené státy |
| Apple | In-app nákupy v App Store (uživatelé iOS/macOS) | Spojené státy |
| Resend | Transakční e-mail (ověření, účtenky) | Spojené státy |
| Google Analytics | Webová analytika — anonymizované metriky využití (IP maskována) | Spojené státy |
Aktualizace tohoto seznamu se oznamují v revizích Podmínek služby.
Přístup a autentizace
Tokeny, sezení, odvolání
- JWT přístupové tokeny, TTL 1 hodina.
- Refresh tokeny uložené v HttpOnly Secure SameSite=Lax cookies, hashované na straně serveru před uložením.
- Server-side seznam odvolání — odhlášení okamžitě zneplatní tokeny na všech zařízeních.
- OAuth toky (Google / Apple) probíhají server-na-server; přístupové tokeny nikdy nedorazí do JavaScriptu prohlížeče.
- Desktopová aplikace používá vlastní protokol subcue:// s jednorázovou výměnou auth code — stejný bezpečnostní model jako nativní OAuth toky macOS / Windows.
Bezpečnostní HTTP hlavičky
Co nese každá odpověď
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload X-Frame-Options: DENY X-Content-Type-Options: nosniff Referrer-Policy: strict-origin-when-cross-origin Permissions-Policy: camera=(), microphone=(), geolocation=() Content-Security-Policy-Report-Only: ...
Soulad
Regionální regulace
GDPR (EU / EHS / Spojené království)
Zpracováváme osobní údaje EU na základě právních důvodů včetně souhlasu, plnění smlouvy a oprávněných zájmů. Práva subjektů údajů (přístup, oprava, výmaz, přenositelnost) jsou respektována — pošlete svou žádost na contact@subcue.app.
CCPA (Kalifornie)
Obyvatelé Kalifornie mají právo vědět, smazat a odmítnout prodej dat. Osobní data neprodáváme. Žádosti CCPA zasílejte na stejnou adresu jako GDPR.
Uchovávání dat
Co uchováváme a jak dlouho
- Data účtu: uchovávána, dokud je váš účet aktivní.
- Přepisy pohovorů: uchovávány, dokud nesmažete záznam. Mazání po záznamech k dispozici na /dashboard/records.
- Audio vlny: nikdy neuchovávány.
- Smazání účtu: všechna osobní data vymazána do 30 dnů. Anonymizované agregované statistiky (např. celkový počet pohovorů) uchovávány na neurčito.
- Události telemetrie: uchovávány 90 dní ve výchozím nastavení (konfigurovatelné v admin), pak automaticky čištěny denním cron.
Odpovědné zveřejnění
Našli jste zranitelnost?
E-mail na contact@subcue.app s předmětem [SECURITY]. Zavazujeme se:
- Potvrdit přijetí do 48 hodin.
- Poskytnout aktualizaci triáže do 5 pracovních dnů.
- Dodržet 90denní časovou osu odpovědného zveřejnění před veřejnou diskuzí.
- Veřejně poděkovat hlásícím (se souhlasem) po vyřešení problému.
Mimo rozsah: sociální inženýrství, fyzické útoky, útoky na sub-procesory třetích stran.
Otázky k této stránce? E-mail na contact@subcue.app.
Viz také: Zásady ochrany osobních údajů · Podmínky služby