Keamanan data dan privasi

Ikhtisar

Whisperer mendengarkan panggilan Anda, jadi kami mengambil pendekatan konservatif terhadap data Anda: kami hanya menyimpan apa yang diperlukan untuk riwayat dan pencarian, kami menawarkan mode di mana tidak ada yang disimpan, dan kami melindungi akses berdasarkan prinsip fail-closed (tolak secara default). Halaman ini menjelaskan apa yang disimpan dan di mana, cara kerja mode privat no-logs, mekanisme apa yang melindungi data Anda, dan cara menghapusnya.

Prinsip-prinsip intinya: panel overlay tidak terlihat saat berbagi layar, file disimpan secara lokal di Mac Anda, dan akses ke data pengguna lain dikunci oleh pemeriksaan kepemilikan. Kami tidak mengklaim sertifikasi yang tidak dimiliki produk ini — hanya langkah-langkah yang benar-benar diterapkan.

Kapan menggunakannya

  • Anda sedang mengevaluasi Whisperer dari sudut pandang privasi sebelum menggunakannya pada panggilan kerja.
  • Anda ingin memahami apa yang disimpan setelah sesi dan apa yang tidak.
  • Anda perlu melakukan percakapan sensitif dan tidak meninggalkan jejak (mode no-logs).
  • Anda ingin menghapus data Anda atau memahami hak Anda atasnya (GDPR).

Apa yang disimpan dan di mana

  • Transkrip dan jawaban model disimpan untuk riwayat dan pencarian di seluruh sesi sebelumnya — kecuali untuk sesi dalam mode no-logs (lihat di bawah).
  • Basis pengetahuan (catatan) disimpan sampai Anda menghapusnya sendiri.
  • File (misalnya, materi) disimpan secara lokal: tidak ada penyimpanan objek eksternal (S3).
  • Token akses klien di macOS disimpan dalam Keychain dan dienkripsi.

Mode no-logs (privat)

No-logs (efemeral) adalah mode sesi untuk percakapan sensitif:

  1. Transkrip dan jawaban model tidak ditulis ke basis data.
  2. Setelah sesi berakhir, data terkait dihapus.
  3. Menit tetap dikonsumsi dari kuota Anda (penghitung terpisah, no_logs_minutes_used) — Anda menghemat penyimpanan, bukan waktu.

Gunakan no-logs ketika isi percakapan lebih penting daripada riwayatnya: negosiasi yang terikat NDA, topik pribadi atau medis, wawancara rahasia.

Bagaimana data dilindungi

Whisperer dibangun di atas prinsip keamanan secara default:

  1. Fail-closed. Jika hak akses tidak dikonfirmasi secara eksplisit, akses ditolak — bukan diberikan "untuk berjaga-jaga".
  2. Pemeriksaan kepemilikan. Anda hanya melihat sesi, catatan, dan pengaturan Anda sendiri; permintaan ke pengidentifikasi pengguna lain ditolak.
  3. Validasi input. Data eksternal divalidasi sebelum diproses.
  4. Isolasi konteks pengguna. Data yang Anda berikan ke asisten diperlakukan sebagai materi referensi dan tidak dapat menggantikan instruksi tingkat sistem.
  5. Token di Keychain. Di macOS, token klien dienkripsi dan tersimpan di Keychain sistem, bukan dalam file teks biasa.
  6. Token WebSocket di header. Token diteruskan dalam header Authorization, bukan di URL/query — sehingga tidak bocor ke log server dan proxy.
  7. Manajemen sesi token. Versi token (token_version) membatalkan token lama saat pengubahan kata sandi atau keluar dari semua perangkat; cookie refresh bersifat httpOnly, dengan perlindungan CSRF (double-submit).
  8. Rahasia di .env. Kunci dan kata sandi tidak disimpan dalam kode.

Penghapusan data dan GDPR

  1. Menghapus sesi. Sesi dan riwayatnya dapat dihapus di dasbor web — ini menghapus transkrip dan jawaban terkait.
  2. Menghapus catatan. Basis pengetahuan disimpan sampai Anda menghapusnya; menghapus catatan juga menghapusnya dari indeks RAG.
  3. Tidak meninggalkan jejak sejak awal. Untuk menjaga data percakapan tertentu agar sama sekali tidak masuk ke penyimpanan, jalankan sesi dalam mode no-logs.
  4. Penghapusan akun penuh dan permintaan hak subjek data ditangani melalui dukungan: tulis ke dukungan dengan permintaan untuk menghapus atau mengekspor data Anda.

Tangkapan layar

📸 [Tangkapan layar: tombol mode no-logs di pengaturan sesi]

📸 [Tangkapan layar: riwayat sesi di dasbor dengan aksi "Hapus"]

📸 [Tangkapan layar: overlay tidak ada di jendela berbagi layar]

Kesalahan umum

  • Mengira no-logs menghemat menit. Menit dikonsumsi seperti biasa; hanya datanya yang tidak disimpan.
  • Mengharapkan sesi biasa tidak disimpan. Di luar no-logs, transkrip dan jawaban disimpan untuk riwayat dan pencarian.
  • Menganggap menghapus catatan membiarkannya tetap ada dalam saran. Menghapusnya akan menghapus catatan dari basis pengetahuan dan indeks RAG sekaligus.
  • Mencari tombol "hapus akun" di dasbor. Penghapusan akun penuh ditangani melalui dukungan.

Praktik terbaik

  • Untuk percakapan sensitif, aktifkan no-logs terlebih dahulu — "menghapus setelah kejadian" apa yang sudah disimpan lebih sulit daripada tidak merekamnya sejak awal.
  • Secara rutin bersihkan riwayat sesi yang tidak lagi Anda perlukan.
  • Jangan masukkan rahasia (kata sandi, token) ke dalam konteks pengguna dan catatan — ini dikirim ke model sebagai bagian dari prompt.
  • Gunakan kata sandi yang kuat dan keluar dari semua perangkat jika Anda mencurigai adanya kompromi: ini membatalkan token yang telah diterbitkan.
  • Ingat bahwa overlay tidak terlihat saat berbagi layar, tetapi audio yang terdengar dari lawan bicara tetap dikenali — perhatikan hal ini pada panggilan grup.

Artikel terkait