Güvenlik ve Gizlilik
Mülakat sesiniz
asla sunucularımızda yaşamaz.
SubcueAI native olarak inşa edilmiş, aktarımda ve beklemede şifrelenmiş ve mülakat sesiniz söz konusu olduğunda kasıtlı olarak durumsuzdur. İşte tam olarak nasıl.
Son güncelleme: 15 Mayıs 2026
Ses işleme
Mülakat sesi makinenizi asla kalıcı olarak terk etmez.
- Yerel olarak yakalanır: macOS / Windows uygulaması görüntülü görüşmenizden ses yakalamak için ScreenCaptureKit (Mac) ve WASAPI loopback (Win) kullanır. Tarayıcı uzantısı yok, toplantı botu yok.
- STT için akış: ses, gerçek zamanlı transkripsiyon için bir konuşma tanıma sağlayıcısına akıtılır (saklanmaz). Transkripsiyon parçası ulaşır ulaşmaz ses arabelleği bellekten serbest bırakılır.
- Sıfır sunucu kalıcılığı: backend'imizde ses dalga formunu asla diske yazmıyoruz. R2 / D1 / KV yalnızca transkripsiyonları ve meta verileri tutar.
- Transkripsiyon silmek sizde: /dashboard/records üzerinden kayıt başına silme, hem transkripsiyonu hem de AI analizini anında siler.
Şifreleme
Aktarım + beklemede
Aktarımda
TLS 1.3
Cloudflare üzerinden zorunlu HTTPS. HSTS preload max-age=63072000 (2 yıl).
Beklemede
AES-256
Cloudflare R2 (özgeçmişler / iş tanımları / sürüm ikili dosyaları) varsayılan olarak SSE-256 kullanır.
Kimlik doğrulama
PBKDF2 + JWT
Parola hashleme: PBKDF2 100.000 yineleme. Oturum tokenları: HMAC-SHA256 ile imzalı JWT.
Alt-işleyiciler
Verilerinize kim dokunuyor
Subcue AI LLC veri sorumlusudur. Aşağıdaki alt-işleyiciler sözleşme kapsamında müşteri verilerinin belirli dilimlerini işler. Her giriş ne gördüklerini ve altyapılarının nerede olduğunu listeler.
| Sağlayıcı | Amaç | Bölge |
|---|---|---|
| Cloudflare | Barındırma, CDN, D1 (veritabanı), KV, R2 (nesne depolama), Vectorize (embeddings) | Küresel edge / ABD-AB |
| OpenAI | AI yanıt üretimi için GPT-4o | Amerika Birleşik Devletleri |
| Deepgram | Konuşma tanıma (gerçek zamanlı) | Amerika Birleşik Devletleri |
| ElevenLabs | Konuşma tanıma (alternatif) | Amerika Birleşik Devletleri |
| Paddle | Merchant of Record + ödeme, faturalama, vergi uyumu | Birleşik Krallık |
| Stripe | Ödeme işleme (seçili akışlar) | Amerika Birleşik Devletleri |
| Apple | App Store uygulama içi satın alımlar (iOS/macOS kullanıcıları) | Amerika Birleşik Devletleri |
| Resend | İşlemsel e-posta (doğrulama, makbuzlar) | Amerika Birleşik Devletleri |
| Google Analytics | Web analitiği — anonimleştirilmiş kullanım metrikleri (IP maskeli) | Amerika Birleşik Devletleri |
Bu listenin güncellemeleri Hizmet Şartları revizyonlarında duyurulur.
Erişim ve kimlik doğrulama
Tokenlar, oturumlar, iptal
- JWT erişim tokenları, TTL 1 saat.
- Refresh tokenları HttpOnly Secure SameSite=Lax çerezlerinde saklanır, depolamadan önce sunucu tarafında hashlenir.
- Sunucu tarafı iptal listesi — çıkış, tüm cihazlardaki tokenları anında geçersiz kılar.
- OAuth akışları (Google / Apple) sunucudan sunucuya gerçekleşir; erişim tokenları asla tarayıcı JavaScript'ine ulaşmaz.
- Masaüstü uygulaması, tek kullanımlık auth code değişimiyle özel subcue:// protokolünü kullanır — native macOS / Windows OAuth akışlarıyla aynı güvenlik modeli.
HTTP güvenlik başlıkları
Her yanıtın taşıdığı
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload X-Frame-Options: DENY X-Content-Type-Options: nosniff Referrer-Policy: strict-origin-when-cross-origin Permissions-Policy: camera=(), microphone=(), geolocation=() Content-Security-Policy-Report-Only: ...
Uyumluluk
Bölgesel düzenlemeler
GDPR (AB / AEA / Birleşik Krallık)
AB kişisel verilerini rıza, sözleşme ifası ve meşru menfaatler dahil yasal dayanaklarla işliyoruz. Veri sahibi hakları (erişim, düzeltme, silme, taşınabilirlik) saygı görür — talebinizi contact@subcue.app adresine gönderin.
CCPA (Kaliforniya)
Kaliforniya sakinleri bilme, silme ve veri satışını reddetme hakkına sahiptir. Kişisel veri satmıyoruz. CCPA taleplerini GDPR ile aynı adrese gönderin.
Veri saklama
Neyi, ne kadar süre tutuyoruz
- Hesap verileri: hesabınız aktif olduğu sürece tutulur.
- Mülakat transkripsiyonları: kaydı silene kadar tutulur. Kayıt başına silme /dashboard/records üzerinde mevcut.
- Ses dalga formları: asla saklanmaz.
- Hesap silme: tüm kişisel veriler 30 gün içinde silinir. Anonimleştirilmiş toplu istatistikler (ör. toplam mülakat sayısı) süresiz tutulur.
- Telemetri olayları: varsayılan 90 gün tutulur (admin'de yapılandırılabilir), sonra günlük cron ile otomatik temizlenir.
Sorumlu açıklama
Bir güvenlik açığı mı buldunuz?
contact@subcue.app adresine konu satırı [SECURITY] ile e-posta gönderin. Şunları taahhüt ederiz:
- 48 saat içinde alındı onayı.
- 5 iş günü içinde triyaj güncellemesi.
- Kamuya açık tartışmadan önce 90 günlük sorumlu açıklama zaman çizelgesine uyma.
- Sorun çözüldüğünde raporlayanları (onayla) kamuya açık olarak takdir etme.
Kapsam dışı: sosyal mühendislik, fiziksel saldırılar, üçüncü taraf alt-işleyicilere saldırılar.
Bu sayfa hakkında sorular mı var? contact@subcue.app adresine e-posta gönderin.
Ayrıca bakın: Gizlilik Politikası · Hizmet Şartları