РусскийRUEnglishEN

Безопасность и приватность данных

Короткое описание

Whisperer слушает ваши созвоны, поэтому к данным мы относимся консервативно: храним только то, что нужно для истории и поиска, даём режим, в котором не сохраняется ничего, и защищаем доступ по принципу fail-closed (по умолчанию — запрет). Эта страница объясняет, что и где хранится, как работает приватный режим no-logs, какими механизмами защищены ваши данные и как их удалить.

Главные принципы: панель-оверлей невидима в трансляции экрана, файлы хранятся локально на вашем Mac, а доступ к чужим данным закрыт проверкой владения. Мы не заявляем здесь сертификаций, которых у продукта нет, — только реально реализованные меры.

Когда использовать

  • Вы оцениваете Whisperer с точки зрения приватности перед использованием на рабочих созвонах.
  • Хотите понять, что сохраняется после сессии, а что — нет.
  • Вам нужно провести чувствительный разговор и не оставить следов (режим no-logs).
  • Вы хотите удалить свои данные или разобраться в правах на них (GDPR).

Что и где хранится

  • Стенограмма и ответы модели сохраняются для истории и поиска по прошлым сессиям — кроме сессий в режиме no-logs (см. ниже).
  • База знаний (заметки) хранится до тех пор, пока вы сами её не удалите.
  • Файлы (например, материалы) хранятся локально: внешнего объектного хранилища (S3) нет.
  • Токены доступа клиента на macOS хранятся в Keychain и зашифрованы.

Режим No-logs (приватный)

No-logs (ephemeral) — режим сессии для чувствительных разговоров:

  1. Стенограмма и ответы модели не записываются в базу данных.
  2. После завершения сессии связанные данные удаляются.
  3. Минуты при этом всё равно расходуются из вашей квоты (отдельный счётчик no_logs_minutes_used) — экономится хранение, а не время.

Используйте no-logs, когда содержание разговора важнее истории: переговоры под NDA, личные или медицинские темы, конфиденциальные собеседования.

Как защищены данные

Whisperer построен по принципу безопасности по умолчанию:

  1. Fail-closed. Если право доступа не подтверждено явно — доступ запрещён, а не разрешён «на всякий случай».
  2. Проверка владения. Вы видите только свои сессии, заметки и настройки; обращение к чужому идентификатору отклоняется.
  3. Валидация входных данных. Внешние данные проверяются перед обработкой.
  4. Изоляция пользовательского контекста. Данные, которые вы передаёте ассистенту, обрабатываются как справочные и не могут перехватить управление системными инструкциями.
  5. Токены в Keychain. На macOS токены клиента шифруются и лежат в системном Keychain, а не в открытых файлах.
  6. WebSocket-токен в заголовке. Токен передаётся в заголовке Authorization, а не в URL/query — так он не утекает в логи серверов и прокси.
  7. Управление сессиями токенов. Версия токена (token_version) аннулирует старые токены при смене пароля или выходе со всех устройств; refresh-cookie — httpOnly, с CSRF-защитой (double-submit).
  8. Секреты — в .env. Ключи и пароли не хранятся в коде.

Удаление данных и GDPR

  1. Удаление сессий. Сессии и их историю можно удалять в веб-кабинете — это убирает связанные стенограммы и ответы.
  2. Удаление заметок. База знаний хранится до тех пор, пока вы её не удалите; удаление заметки убирает и её из индекса RAG.
  3. Не оставлять следов заранее. Чтобы данные конкретного разговора вообще не попали в хранилище, проводите сессию в режиме no-logs.
  4. Полное удаление аккаунта и обращения по правам субъекта данных оформляются через поддержку: напишите в поддержку с запросом на удаление или выгрузку данных.

Скриншоты

📸 [Скриншот: переключатель режима no-logs в настройках сессии]

📸 [Скриншот: история сессий в кабинете с действием «Удалить»]

📸 [Скриншот: оверлей, отсутствующий в окне демонстрации экрана]

Частые ошибки

  • Думать, что no-logs экономит минуты. Минуты расходуются как обычно; не сохраняются только данные.
  • Ожидать, что обычная сессия не сохранится. Вне no-logs стенограмма и ответы сохраняются для истории и поиска.
  • Считать, что удаление заметки оставит её в подсказках. Удаление убирает заметку и из базы знаний, и из индекса RAG.
  • Искать кнопку «удалить аккаунт» в кабинете. Полное удаление учётной записи оформляется через поддержку.

Лучшие практики

  • Для чувствительных разговоров заранее включайте no-logs — после сессии «стереть задним числом» сохранённое сложнее, чем не записывать вовсе.
  • Регулярно чистите историю сессий, которые вам больше не нужны.
  • Не кладите секреты (пароли, токены) в пользовательский контекст и заметки — он отправляется модели как часть промпта.
  • Используйте надёжный пароль и выход со всех устройств при подозрении на компрометацию: это аннулирует выданные токены.
  • Помните, что оверлей невидим в демонстрации экрана, но слышимый звук собеседника всё равно распознаётся — учитывайте это в групповых звонках.

Связанные статьи