Seguridad y Privacidad
El audio de tu entrevista
nunca vive en nuestros servidores.
SubcueAI está construido en nativo, cifrado en tránsito y en reposo, y deliberadamente sin estado en lo que respecta a tu audio de entrevista. Aquí está exactamente cómo.
Última actualización: 15 de mayo de 2026
Manejo del audio
El audio de la entrevista nunca abandona tu máquina permanentemente.
- Captura local: la app de macOS / Windows usa ScreenCaptureKit (Mac) y WASAPI loopback (Win) para capturar el audio de tu videollamada. Sin extensiones de navegador, sin bots de reunión.
- Transmisión para STT: el audio se transmite (no se almacena) a un proveedor de reconocimiento de voz para transcripción en tiempo real. El búfer de audio se libera de la memoria en cuanto llega el fragmento de transcripción.
- Cero persistencia en servidor: nunca escribimos la forma de onda del audio en disco en nuestro backend. R2 / D1 / KV solo guardan transcripciones y metadatos.
- La transcripción es tuya para eliminar: la eliminación por registro desde /dashboard/records borra inmediatamente tanto la transcripción como el análisis IA.
Cifrado
Tránsito + en reposo
En tránsito
TLS 1.3
HTTPS forzado vía Cloudflare. HSTS preload con max-age=63072000 (2 años).
En reposo
AES-256
Cloudflare R2 (CV / descripciones de trabajo / binarios de release) usa SSE-256 por defecto.
Autenticación
PBKDF2 + JWT
Hash de contraseña: PBKDF2 100,000 iteraciones. Tokens de sesión: JWT firmados con HMAC-SHA256.
Subprocesadores
Quién toca tus datos
Subcue AI LLC es el responsable del tratamiento de datos. Los siguientes subprocesadores manejan partes específicas de los datos del cliente bajo contrato. Cada entrada lista lo que ven y dónde se ubica su infraestructura.
| Proveedor | Finalidad | Región |
|---|---|---|
| Cloudflare | Hosting, CDN, D1 (base de datos), KV, R2 (almacenamiento de objetos), Vectorize (embeddings) | Edge global / EE. UU.-UE |
| OpenAI | GPT-4o para generación de respuestas IA | Estados Unidos |
| Deepgram | Reconocimiento de voz (tiempo real) | Estados Unidos |
| ElevenLabs | Reconocimiento de voz (alternativo) | Estados Unidos |
| Paddle | Merchant of Record + checkout, facturación, cumplimiento fiscal | Reino Unido |
| Stripe | Procesamiento de pagos (flujos seleccionados) | Estados Unidos |
| Apple | Compras dentro de la app de App Store (usuarios iOS/macOS) | Estados Unidos |
| Resend | Correo transaccional (verificación, recibos) | Estados Unidos |
| Google Analytics | Analítica web — métricas de uso anonimizadas (IP enmascarada) | Estados Unidos |
Las actualizaciones de esta lista se anuncian en revisiones de Términos del Servicio.
Acceso y autenticación
Tokens, sesiones, revocación
- Tokens de acceso JWT, TTL de 1 hora.
- Tokens de refresh almacenados en cookies HttpOnly Secure SameSite=Lax, hasheados del lado del servidor antes del almacenamiento.
- Lista de revocación del lado del servidor — el cierre de sesión invalida los tokens inmediatamente en todos los dispositivos.
- Los flujos OAuth (Google / Apple) ocurren servidor a servidor; los tokens de acceso nunca llegan al JavaScript del navegador.
- La app de escritorio usa el protocolo personalizado subcue:// con intercambio de auth code de un solo uso — el mismo modelo de seguridad que los flujos OAuth nativos de macOS / Windows.
Cabeceras de seguridad HTTP
Lo que cada respuesta lleva
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload X-Frame-Options: DENY X-Content-Type-Options: nosniff Referrer-Policy: strict-origin-when-cross-origin Permissions-Policy: camera=(), microphone=(), geolocation=() Content-Security-Policy-Report-Only: ...
Cumplimiento
Regulaciones regionales
GDPR (UE / EEE / Reino Unido)
Procesamos datos personales de la UE bajo bases legales como consentimiento, ejecución de contrato e intereses legítimos. Los derechos de los interesados (acceso, rectificación, supresión, portabilidad) se respetan — envía tu solicitud a contact@subcue.app.
CCPA (California)
Los residentes de California tienen derecho a saber, eliminar y rechazar la venta de datos. No vendemos datos personales. Envía solicitudes CCPA a la misma dirección que GDPR.
Retención de datos
Qué conservamos, por cuánto tiempo
- Datos de cuenta: retenidos mientras tu cuenta esté activa.
- Transcripciones de entrevista: retenidas hasta que elimines el registro. Eliminación por registro disponible en /dashboard/records.
- Formas de onda de audio: nunca persistidas.
- Eliminación de cuenta: todos los datos personales borrados en 30 días. Estadísticas agregadas anonimizadas (ej. total de entrevistas asistidas) retenidas indefinidamente.
- Eventos de telemetría: retenidos 90 días por defecto (configurable en admin), luego purgados automáticamente por cron diario.
Divulgación responsable
¿Encontraste una vulnerabilidad?
Envía un email a contact@subcue.app con asunto [SECURITY]. Nos comprometemos a:
- Confirmar recepción dentro de 48 horas.
- Proporcionar una actualización de triaje dentro de 5 días hábiles.
- Seguir una línea de tiempo de divulgación responsable de 90 días antes de discusión pública.
- Acreditar a los reportadores públicamente (con consentimiento) una vez resuelto el problema.
Fuera de alcance: ingeniería social, ataques físicos, ataques a subprocesadores de terceros.
¿Preguntas sobre esta página? Envía un email a contact@subcue.app.
Ver también: Política de Privacidad · Términos del Servicio