安全与隐私
您的面试音频
永不在我们服务器留存。
SubcueAI 采用原生桌面架构,传输 + 存储双重加密,对面试音频做到完全无服务端持久化。下面是细节。
最后更新:2026 年 5 月 15 日
音频处理
面试音频不会永久离开您的设备。
- 本地捕获: macOS 用 ScreenCaptureKit、Windows 用 WASAPI loopback 直接从视频通话取音频。无浏览器插件、无会议机器人。
- 流式 STT: 音频以流式推送给语音识别服务做实时转录,不写入磁盘。转录段返回后内存缓冲立即丢弃。
- 服务端零持久化: 我们的后端 R2 / D1 / KV 只保留转录和元数据,从不存储音频波形。
- 转录可由您删除: 在 /dashboard/records 单条删除即可同时清除转录和 AI 分析。
加密
传输 + 存储
传输中
TLS 1.3
通过 Cloudflare 强制 HTTPS。HSTS preload max-age=63072000(2 年)。
存储中
AES-256
Cloudflare R2(简历 / JD / 发布物)默认 SSE-256 服务端加密。
认证
PBKDF2 + JWT
密码哈希:PBKDF2 100,000 轮迭代。会话令牌:HMAC-SHA256 签名 JWT。
子处理器
谁会接触到您的数据
Subcue AI LLC 是数据控制方。下列子处理器在合同约束下处理特定数据切片,每行说明处理用途和所在地。
| 服务方 | 用途 | 数据中心 |
|---|---|---|
| Cloudflare | 托管、CDN、D1(数据库)、KV、R2(对象存储)、Vectorize(向量嵌入) | 全球边缘 / 美国-欧洲 |
| OpenAI | GPT-4o 生成 AI 答案 | 美国 |
| Deepgram | 实时语音识别(STT) | 美国 |
| ElevenLabs | 语音识别(备选) | 美国 |
| Paddle | Merchant of Record + 结账 / 账单 / 税务合规 | 英国 |
| Stripe | 支付处理(部分流程) | 美国 |
| Apple | App Store 应用内购买(iOS/macOS 用户) | 美国 |
| Resend | 事务性邮件(验证、收据) | 美国 |
| Google Analytics | 网站分析 — 匿名使用指标(IP 脱敏) | 美国 |
此清单更新会在 服务条款 修订中公告。
认证与访问
令牌、会话、撤销
- JWT 访问令牌,有效期 1 小时。
- 刷新令牌存于 HttpOnly Secure SameSite=Lax Cookie,服务端入库前 hash 一次。
- 服务端撤销列表——登出即时使所有设备的令牌失效。
- OAuth(Google / Apple)走服务端流程,访问令牌从不进入浏览器 JavaScript。
- 桌面客户端用 subcue:// 自定义协议 + 一次性 auth code 兑换——与 macOS / Windows 原生 OAuth 同等安全模型。
HTTP 安全响应头
每个响应都附带
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload X-Frame-Options: DENY X-Content-Type-Options: nosniff Referrer-Policy: strict-origin-when-cross-origin Permissions-Policy: camera=(), microphone=(), geolocation=() Content-Security-Policy-Report-Only: ...
合规
区域法规
GDPR(欧盟 / EEA / 英国)
我们依据 GDPR 处理欧盟个人数据,合法性基础包括用户同意、合同履行与正当利益。数据主体权利(查阅、更正、删除、可携带)受保障——邮件 contact@subcue.app 提交申请。
CCPA(加州)
加州居民有权知悉、删除、拒绝数据出售。我们不出售个人数据。CCPA 请求与 GDPR 走同一邮箱。
数据留存
我们保留什么、保留多久
- 账号数据: 账号活跃期间保留。
- 面试转录: 保留直到您删除该条记录。可在 /dashboard/records 逐条删除。
- 音频波形: 从不持久化。
- 账号注销: 所有个人数据 30 天内清除。匿名聚合统计(如总面试次数)无限期保留。
- 遥测事件: 默认保留 90 天(admin 可配),每日定时任务自动清理。
漏洞披露
发现安全漏洞?
请邮件 contact@subcue.app,主题加 [SECURITY]。我们承诺:
- 48 小时内确认收到。
- 5 个工作日内给出初步评估。
- 遵循 90 天负责任披露时间线,修复后再公开讨论。
- 修复后经报告者同意公开致谢。
不在范围:社会工程、物理攻击、对第三方子处理器的攻击。
对本页有疑问?邮件 contact@subcue.app。