Securitate și confidențialitate
Audio-ul interviului tău
nu trăiește niciodată pe serverele noastre.
SubcueAI este construit nativ, criptat în tranzit și în repaus, și deliberat fără stare în privința audio-ului interviurilor tale. Iată exact cum.
Ultima actualizare: 15 mai 2026
Gestionarea audio
Audio-ul interviului nu îți părăsește niciodată mașina permanent.
- Capturat local: aplicația macOS / Windows folosește ScreenCaptureKit (Mac) și WASAPI loopback (Win) pentru a captura audio din apelul tău video. Fără extensie de browser, fără bot de întâlnire.
- Transmis pentru STT: audio este transmis (nu stocat) unui furnizor de recunoaștere vocală pentru transcriere în timp real. Buffer-ul audio este eliberat din memorie de îndată ce fragmentul de transcriere ajunge.
- Zero persistență pe server: nu scriem niciodată forma de undă audio pe disc în backend-ul nostru. R2 / D1 / KV conțin doar transcrieri și metadate.
- Transcrierea e a ta să o ștergi: ștergerea per înregistrare din /dashboard/records șterge imediat atât transcrierea, cât și analiza AI.
Criptare
Tranzit + în repaus
În tranzit
TLS 1.3
HTTPS forțat prin Cloudflare. HSTS preload cu max-age=63072000 (2 ani).
În repaus
AES-256
Cloudflare R2 (CV-uri / fișe de post / binare de release) folosește SSE-256 implicit.
Autentificare
PBKDF2 + JWT
Hash-uire parole: PBKDF2 100.000 iterații. Token-uri de sesiune: JWT semnate cu HMAC-SHA256.
Sub-procesatori
Cine îți atinge datele
Subcue AI LLC este operatorul de date. Următorii sub-procesatori gestionează părți specifice din datele clienților sub contract. Fiecare intrare listează ce văd și unde se află infrastructura lor.
| Furnizor | Scop | Regiune |
|---|---|---|
| Cloudflare | Găzduire, CDN, D1 (bază de date), KV, R2 (stocare obiecte), Vectorize (embeddings) | Edge global / SUA-UE |
| OpenAI | GPT-4o pentru generarea răspunsurilor AI | Statele Unite |
| Deepgram | Recunoaștere vocală (timp real) | Statele Unite |
| ElevenLabs | Recunoaștere vocală (alternativă) | Statele Unite |
| Paddle | Merchant of Record + checkout, facturare, conformitate fiscală | Regatul Unit |
| Stripe | Procesare plăți (fluxuri selectate) | Statele Unite |
| Apple | Achiziții în aplicație App Store (utilizatori iOS/macOS) | Statele Unite |
| Resend | E-mail tranzacțional (verificare, chitanțe) | Statele Unite |
| Google Analytics | Analiză web — metrici de utilizare anonimizate (IP mascat) | Statele Unite |
Actualizările acestei liste sunt anunțate în revizuirile Termenilor de Serviciu.
Acces și autentificare
Token-uri, sesiuni, revocare
- Token-uri de acces JWT, TTL 1 oră.
- Token-uri refresh stocate în cookie-uri HttpOnly Secure SameSite=Lax, hash-uite pe server înainte de stocare.
- Listă de revocare pe server — delogarea invalidează token-urile imediat pe toate dispozitivele.
- Fluxurile OAuth (Google / Apple) au loc server-la-server; token-urile de acces nu ajung niciodată la JavaScript-ul browserului.
- Aplicația desktop folosește protocolul personalizat subcue:// cu schimb de auth code unic — același model de securitate ca fluxurile OAuth native macOS / Windows.
Anteturi de securitate HTTP
Ce poartă fiecare răspuns
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload X-Frame-Options: DENY X-Content-Type-Options: nosniff Referrer-Policy: strict-origin-when-cross-origin Permissions-Policy: camera=(), microphone=(), geolocation=() Content-Security-Policy-Report-Only: ...
Conformitate
Reglementări regionale
GDPR (UE / SEE / Regatul Unit)
Procesăm datele personale UE pe baze legale incluzând consimțământ, executarea contractului și interese legitime. Drepturile persoanelor vizate (acces, rectificare, ștergere, portabilitate) sunt respectate — trimite cererea la contact@subcue.app.
CCPA (California)
Rezidenții Californiei au dreptul de a ști, șterge și refuza vânzarea datelor. Nu vindem date personale. Trimite cererile CCPA la aceeași adresă ca GDPR.
Păstrarea datelor
Ce păstrăm, cât timp
- Date cont: păstrate cât timp contul tău e activ.
- Transcrieri interviu: păstrate până ștergi înregistrarea. Ștergere per înregistrare disponibilă la /dashboard/records.
- Forme de undă audio: niciodată persistate.
- Ștergere cont: toate datele personale șterse în 30 de zile. Statistici agregate anonimizate (ex. total interviuri asistate) păstrate nedefinit.
- Evenimente telemetrie: păstrate 90 de zile implicit (configurabil în admin), apoi purjate automat de cron zilnic.
Divulgare responsabilă
Ai găsit o vulnerabilitate?
Trimite e-mail la contact@subcue.app cu subiectul [SECURITY]. Ne angajăm să:
- Confirmăm primirea în 48 de ore.
- Oferim o actualizare de triaj în 5 zile lucrătoare.
- Urmăm o cronologie de divulgare responsabilă de 90 de zile înainte de discuția publică.
- Creditarea publică a raportorilor (cu consimțământ) după rezolvarea problemei.
În afara domeniului: inginerie socială, atacuri fizice, atacuri asupra sub-procesatorilor terți.
Întrebări despre această pagină? Trimite e-mail la contact@subcue.app.
Vezi și: Politica de Confidențialitate · Termenii de Serviciu