Zabezpečení pro schůzky, které nahráváte.
Notabium je cloudová služba. Vaše nahrávky jsou šifrované, vázané na váš účet a můžete je kdykoli smazat. Tady je přesně to, jak je chráníme.
Kde jsou vaše data uložena
Nahrávky, přepisy, shrnutí a údaje účtu jsou uloženy v naší cloudové infrastruktuře na Supabase (Postgres a Storage), přičemž Cloudflare zajišťuje DNS. Přepis probíhá přes ElevenLabs (se záložním řešením Groq) a AI shrnutí a chat fungují přes Anthropic Claude. Vaše schůzky nepoužíváme k trénování modelů.
Řízení přístupu
Každá nahrávka je vázaná na svého vlastníka. V databázi vynucujeme zabezpečení na úrovni řádků (row-level security), takže schůzku si může přečíst pouze její vlastník a lidé, se kterými ji vlastník výslovně sdílí. Pro každý přístup k vašim datům je nutné ověření.
Šifrování
- Při přenosu: TLS / HTTPS na každém koncovém bodu. HSTS preload na notabium.com. Pouze moderní šifrovací sady.
- V klidu: nahrávky a soubory jsou uloženy se šifrováním na straně serveru v Supabase Storage; údaje účtu jsou v naší šifrované databázi Postgres.
- Tajemství: přístupové údaje k API a servisní klíče jsou uchovávány jako spravovaná tajemství v naší infrastruktuře, nikdy nejsou zapsány do zdrojového kódu ani vystaveny klientovi.
Oznámení o nahrávání a souhlas
Notabium je postaven tak, aby lidé na schůzce věděli, že se nahrává:
- Notabium Notetaker se připojuje jako viditelný účastník a v chatu schůzky oznámí, že probíhá nahrávání. Je pasivní: nikdy nemluví a nikdy nejedná vaším jménem.
- Webový rekordér a rekordér v rozšíření před začátkem nahrávání požádá hostitele o potvrzení, že účastníci byli informováni.
- Stav souhlasu ukládáme pro každou schůzku, takže existuje záznam o tom, jak bylo nahrávání oznámeno.
Soulad s předpisy
- V souladu s GDPR: už od návrhu. Minimalizace dat, přístup vázaný na vlastníka a smazání na vyžádání.
- Vaše data zůstávají vaše: neprodáváme je a vaše schůzky nepoužíváme k trénování modelů. Nahrávky uchováváme, dokud schůzku nesmažete nebo nezrušíte svůj účet.
- SOC 2: stavíme na poskytovatelích infrastruktury (Supabase, Cloudflare), kteří mají vlastní programy SOC 2, a vyvíjíme vlastní organizační kontroly.
- HIPAA / BAA: Notabium je cloudová služba a není v souladu s HIPAA. Nenabízíme smlouvy Business Associate Agreement. Nepoužívejte prosím Notabium k nahrávání schůzek, které obsahují chráněné zdravotní informace.
Zodpovědné nahlašování
Pokud najdete bezpečnostní problém, napište na notabium@proton.me. Přijetí potvrdíme do 24 hodin a domluvíme s vámi harmonogram zveřejnění. Zatím nemáme bug bounty, ale nahlašovatele rádi uvedeme v poznámkách k vydání, pokud si to přejí.
Nezveřejňujte problém veřejně, dokud nevydáme opravu. Bezpečnostní opravy se snažíme vydat do 7 dnů od potvrzených nahlášení.