Biztonság és adatvédelem
Az interjúhangod
soha nem él a szervereinken.
A SubcueAI natívan épült, átvitelben és nyugalomban is titkosított, és szándékosan állapot nélküli az interjúhang tekintetében. Pontosan így működik.
Utoljára frissítve: 2026. május 15.
Hangkezelés
Az interjúhang soha nem hagyja el véglegesen a gépedet.
- Helyileg rögzítve: a macOS / Windows alkalmazás ScreenCaptureKit (Mac) és WASAPI loopback (Win) eljárással rögzíti a hangot a videohívásodból. Nincs böngészőbővítmény, nincs meeting-bot.
- Stream STT-hez: a hangot (nem tárolva) egy beszédfelismerő szolgáltatónak továbbítjuk valós idejű átírásra. A hangpuffer felszabadul a memóriából, amint az átírási darab megérkezik.
- Nulla szerver-perzisztencia: soha nem írjuk a hanghullámot lemezre a backendünkben. R2 / D1 / KV csak átiratokat és metaadatokat tartanak.
- Az átirat törölhető: a /dashboard/records rekord szerinti törlése azonnal eltávolítja az átiratot és az AI-elemzést is.
Titkosítás
Átvitel + nyugalom
Átvitelben
TLS 1.3
Kötelező HTTPS Cloudflare-en keresztül. HSTS preload max-age=63072000 (2 év).
Nyugalomban
AES-256
A Cloudflare R2 (önéletrajzok / állásleírások / release binárisok) alapértelmezetten SSE-256-ot használ.
Hitelesítés
PBKDF2 + JWT
Jelszó-hashelés: PBKDF2 100 000 iteráció. Session tokenek: HMAC-SHA256-tal aláírt JWT.
Alfeldolgozók
Ki érinti az adataidat
A Subcue AI LLC az adatkezelő. A következő alfeldolgozók szerződés alapján kezelik az ügyféladatok meghatározott részeit. Minden bejegyzés felsorolja, mit látnak és hol található az infrastruktúrájuk.
| Szolgáltató | Cél | Régió |
|---|---|---|
| Cloudflare | Hosting, CDN, D1 (adatbázis), KV, R2 (objektumtár), Vectorize (embedding) | Globális edge / USA-EU |
| OpenAI | GPT-4o AI-válasz generáláshoz | Egyesült Államok |
| Deepgram | Beszédfelismerés (valós idejű) | Egyesült Államok |
| ElevenLabs | Beszédfelismerés (alternatíva) | Egyesült Államok |
| Paddle | Merchant of Record + checkout, számlázás, adómegfelelés | Egyesült Királyság |
| Stripe | Fizetésfeldolgozás (kiválasztott folyamatok) | Egyesült Államok |
| Apple | App Store alkalmazáson belüli vásárlások (iOS/macOS felhasználók) | Egyesült Államok |
| Resend | Tranzakciós e-mail (visszaigazolás, nyugták) | Egyesült Államok |
| Google Analytics | Webanalitika — anonimizált használati metrikák (IP-maszkolt) | Egyesült Államok |
A lista frissítéseit a Szolgáltatási feltételek módosításaiban hirdetjük meg.
Hozzáférés és hitelesítés
Tokenek, sessionök, visszavonás
- JWT hozzáférési tokenek, TTL 1 óra.
- Refresh tokenek HttpOnly Secure SameSite=Lax sütikben tárolva, szerveroldalon tárolás előtt hashelve.
- Szerveroldali visszavonási lista — a kijelentkezés azonnal érvényteleníti a tokeneket minden eszközön.
- Az OAuth (Google / Apple) folyamatok szerver-szerver között zajlanak; a hozzáférési tokenek soha nem érik el a böngésző JavaScript-jét.
- A desktop alkalmazás egyedi subcue:// protokollt használ egyszeri auth code cserével — ugyanaz a biztonsági modell, mint a natív macOS / Windows OAuth folyamatoké.
HTTP biztonsági fejlécek
Mit hordoz minden válasz
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload X-Frame-Options: DENY X-Content-Type-Options: nosniff Referrer-Policy: strict-origin-when-cross-origin Permissions-Policy: camera=(), microphone=(), geolocation=() Content-Security-Policy-Report-Only: ...
Megfelelőség
Regionális szabályozások
GDPR (EU / EGT / Egyesült Királyság)
Az EU személyes adatait jogi alapokon dolgozzuk fel, beleértve a hozzájárulást, a szerződés teljesítését és a jogos érdekeket. Az érintettek jogait (hozzáférés, helyesbítés, törlés, hordozhatóság) tiszteletben tartjuk — kérelmet a contact@subcue.app címre.
CCPA (Kalifornia)
A kaliforniai lakosoknak joguk van tudni, törölni és kizárni az adat-eladást. Nem adunk el személyes adatokat. CCPA kérelmeket ugyanarra a címre, mint a GDPR-t.
Adatmegőrzés
Mit tartunk meg, mennyi ideig
- Fiókadatok: megőrizve, amíg a fiókod aktív.
- Interjú-átiratok: megőrizve, amíg nem törlöd a rekordot. Rekord szerinti törlés elérhető a /dashboard/records címen.
- Hanghullámok: soha nem tárolódnak.
- Fióktörlés: minden személyes adat 30 napon belül törölve. Anonimizált összesített statisztikák (pl. összes interjú szám) határozatlan ideig megőrizve.
- Telemetria-események: 90 napig megőrizve alapértelmezetten (admin-ban konfigurálható), majd napi cron automatikusan tisztítja.
Felelős feltárás
Sebezhetőséget találtál?
E-mail a contact@subcue.app címre tárgy [SECURITY] mellett. Vállaljuk, hogy:
- A vételt 48 órán belül visszaigazoljuk.
- Triage-frissítést 5 munkanapon belül adunk.
- 90 napos felelős feltárási idővonalat követünk a nyilvános vita előtt.
- A jelentőket nyilvánosan elismerjük (beleegyezéssel) a probléma megoldása után.
Hatókörön kívül: social engineering, fizikai támadások, harmadik fél alfeldolgozók elleni támadások.
Kérdés ezzel az oldallal kapcsolatban? E-mail a contact@subcue.app címre.
Lásd még: Adatvédelmi tájékoztató · Szolgáltatási feltételek