सुरक्षा और गोपनीयता

आपका इंटरव्यू ऑडियो
कभी हमारे सर्वर पर नहीं रहता।

SubcueAI नेटिव रूप से बना है, ट्रांज़िट और रेस्ट दोनों में एन्क्रिप्टेड, और आपके इंटरव्यू ऑडियो के मामले में जानबूझकर स्टेटलेस। यहाँ बिल्कुल कैसे।

अंतिम अपडेट: 15 मई 2026

ऑडियो हैंडलिंग

इंटरव्यू ऑडियो कभी आपकी मशीन को स्थायी रूप से नहीं छोड़ता।

स्थानीय रूप से कैप्चर: macOS / Windows ऐप आपकी वीडियो कॉल से ऑडियो कैप्चर करने के लिए ScreenCaptureKit (Mac) और WASAPI loopback (Win) उपयोग करता है। कोई ब्राउज़र एक्सटेंशन नहीं, कोई मीटिंग बॉट नहीं।
STT के लिए स्ट्रीम: ऑडियो रियल-टाइम ट्रांसक्रिप्शन के लिए स्पीच-टू-टेक्स्ट प्रदाता को स्ट्रीम किया जाता है (संग्रहित नहीं)। ट्रांसक्रिप्शन चंक आते ही ऑडियो बफ़र मेमोरी से हटा दिया जाता है।
शून्य सर्वर पर्सिस्टेंस: हम अपने बैकएंड में ऑडियो वेवफॉर्म कभी डिस्क पर नहीं लिखते। R2 / D1 / KV केवल ट्रांसक्रिप्शन और मेटाडेटा रखते हैं।
ट्रांसक्रिप्शन आपका हटाने के लिए: /dashboard/records से प्रति-रिकॉर्ड हटाना तुरंत ट्रांसक्रिप्शन और AI विश्लेषण दोनों मिटा देता है।

एन्क्रिप्शन

ट्रांज़िट + रेस्ट पर

ट्रांज़िट में

TLS 1.3

Cloudflare के माध्यम से अनिवार्य HTTPS। HSTS preload max-age=63072000 (2 वर्ष) के साथ।

रेस्ट पर

AES-256

Cloudflare R2 (रिज़्यूमे / जॉब विवरण / रिलीज़ बाइनरी) डिफ़ॉल्ट रूप से SSE-256 उपयोग करता है।

प्रमाणीकरण

PBKDF2 + JWT

पासवर्ड हैशिंग: PBKDF2 100,000 पुनरावृत्तियाँ। सत्र टोकन: HMAC-SHA256 से हस्ताक्षरित JWT।

उप-प्रोसेसर

आपके डेटा को कौन छूता है

Subcue AI LLC डेटा नियंत्रक है। निम्नलिखित उप-प्रोसेसर अनुबंध के तहत ग्राहक डेटा के विशिष्ट हिस्सों को संभालते हैं। प्रत्येक प्रविष्टि बताती है कि वे क्या देखते हैं और उनका बुनियादी ढाँचा कहाँ स्थित है।

प्रदाता	उद्देश्य	क्षेत्र
Cloudflare	होस्टिंग, CDN, D1 (डेटाबेस), KV, R2 (ऑब्जेक्ट स्टोरेज), Vectorize (एम्बेडिंग)	वैश्विक edge / US-EU
OpenAI	AI उत्तर जनरेशन के लिए GPT-4o	संयुक्त राज्य
Deepgram	स्पीच-टू-टेक्स्ट (रियल-टाइम)	संयुक्त राज्य
ElevenLabs	स्पीच-टू-टेक्स्ट (वैकल्पिक)	संयुक्त राज्य
Paddle	Merchant of Record + चेकआउट, बिलिंग, कर अनुपालन	यूनाइटेड किंगडम
Stripe	भुगतान प्रसंस्करण (चुनिंदा फ़्लो)	संयुक्त राज्य
Apple	App Store इन-ऐप खरीदारी (iOS/macOS उपयोगकर्ता)	संयुक्त राज्य
Resend	लेनदेन ईमेल (सत्यापन, रसीदें)	संयुक्त राज्य
Google Analytics	वेब एनालिटिक्स — अनामकृत उपयोग मेट्रिक्स (IP मास्क्ड)	संयुक्त राज्य

इस सूची के अपडेट सेवा की शर्तें संशोधनों में घोषित किए जाते हैं।

पहुँच और प्रमाणीकरण

टोकन, सत्र, निरसन

JWT एक्सेस टोकन, TTL 1 घंटा।
Refresh टोकन HttpOnly Secure SameSite=Lax कुकीज़ में संग्रहित, संग्रहण से पहले सर्वर-साइड हैश।
सर्वर-साइड निरसन सूची — लॉगआउट सभी डिवाइस पर तुरंत टोकन अमान्य कर देता है।
OAuth फ़्लो (Google / Apple) सर्वर-टू-सर्वर होते हैं; एक्सेस टोकन कभी ब्राउज़र JavaScript तक नहीं पहुँचते।
डेस्कटॉप ऐप एकल-उपयोग auth code विनिमय के साथ कस्टम subcue:// प्रोटोकॉल उपयोग करता है — नेटिव macOS / Windows OAuth फ़्लो के समान सुरक्षा मॉडल।

HTTP सुरक्षा हेडर

प्रत्येक प्रतिक्रिया क्या ले जाती है

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=()
Content-Security-Policy-Report-Only: ...

अनुपालन

क्षेत्रीय विनियम

GDPR (EU / EEA / UK)

हम EU व्यक्तिगत डेटा को सहमति, अनुबंध प्रदर्शन और वैध हितों सहित कानूनी आधारों पर संसाधित करते हैं। डेटा विषय अधिकार (पहुँच, सुधार, मिटाना, पोर्टेबिलिटी) का सम्मान किया जाता है — अपना अनुरोध contact@subcue.app पर भेजें।

CCPA (कैलिफ़ोर्निया)

कैलिफ़ोर्निया निवासियों को जानने, हटाने और डेटा बिक्री से इनकार करने का अधिकार है। हम व्यक्तिगत डेटा नहीं बेचते। CCPA अनुरोध GDPR के समान पते पर भेजें।

डेटा प्रतिधारण

हम क्या रखते हैं, कितने समय

खाता डेटा: जब तक आपका खाता सक्रिय है, रखा जाता है।
इंटरव्यू ट्रांसक्रिप्शन: रिकॉर्ड हटाने तक रखा जाता है। प्रति-रिकॉर्ड हटाना /dashboard/records पर उपलब्ध।
ऑडियो वेवफॉर्म: कभी संग्रहित नहीं।
खाता हटाना: सभी व्यक्तिगत डेटा 30 दिनों में मिटा दिया जाता है। अनामकृत समग्र आँकड़े (जैसे कुल इंटरव्यू) अनिश्चित काल तक रखे जाते हैं।
टेलीमेट्री इवेंट: डिफ़ॉल्ट 90 दिन रखे जाते हैं (admin में कॉन्फ़िगर करने योग्य), फिर दैनिक cron द्वारा स्वतः साफ़।

जिम्मेदार प्रकटीकरण

कोई भेद्यता मिली?

contact@subcue.app पर विषय [SECURITY] के साथ ईमेल करें। हम प्रतिबद्ध हैं:

48 घंटों में प्राप्ति की पुष्टि।
5 कार्यदिवसों में ट्रायेज अपडेट।
सार्वजनिक चर्चा से पहले 90-दिवसीय जिम्मेदार प्रकटीकरण समयरेखा का पालन।
समस्या हल होने पर रिपोर्टर्स को सार्वजनिक रूप से (सहमति से) श्रेय।

दायरे से बाहर: सोशल इंजीनियरिंग, भौतिक हमले, तृतीय-पक्ष उप-प्रोसेसर पर हमले।

इस पेज के बारे में प्रश्न? contact@subcue.app पर ईमेल करें।

यह भी देखें: गोपनीयता नीति · सेवा की शर्तें

आपका इंटरव्यू ऑडियोकभी हमारे सर्वर पर नहीं रहता।