Безопасность

Ваши данные под защитой

Мы строим продукт вокруг приватности: доступ ограничен аккаунтом, пароли хэшируются, а исходные файлы можно удалять.

Ваши файлы и транскрипции не используются для обучения нейросетей.

Шифрование HTTPS / TLS Изоляция задач по аккаунту Без обучения на данных Удаление файлов по запросу
Серверы в РФ · 152-ФЗ Пароли — bcrypt GDPR + 152-ФЗ ст.20
Безопасность

Данные остаются вашими

Файлы обрабатываются на серверах в России в рамках 152-ФЗ и не уходят на обучение сторонних моделей. Запись и результат можно удалить в любой момент.

  • Серверы в РФ, соответствие 152-ФЗ
  • Данные не используются для обучения моделей
  • Удаление файлов и результатов в один клик

Шифрование в пути

Данные передаются по HTTPS. Пароли хэшируются (bcrypt) и не хранятся в открытом виде.

Изоляция задач

Каждый пользователь видит только свои файлы и результаты. Доступ защищён сессией.

Удаление файлов

Вы можете удалить задачу в кабинете. Политика автоудаления настраивается под продукт.

Практики безопасности

Мы закрываем базовые риски SaaS‑сервиса и делаем поведение прозрачным.

  • Сессии и cookies — безопасное хранение сессии в браузере.
  • Логи — технические логи для диагностики, без “слива” содержимого.
  • Контроль доступа — изоляция задач по пользователю и проверка прав на API.
  • Приватность AI — фокус на том, чтобы ваши данные оставались вашими.
Важно понимать

Безопасность — это процесс. Для продакшена стоит включить HTTPS, настроить домены, политики хранения и права доступа.

Если вашей команде нужны дополнительные меры безопасности — напишите в поддержку, обсудим варианты.

Обрабатывайте файлы спокойно

Создайте аккаунт и держите все задачи в личном кабинете — с контролем доступа и удалением.

FAQ — Безопасность и приватность

Частые вопросы про хранение файлов, доступ и обработку данных.

Кто видит мои файлы и результаты?
Только вы и команда поддержки по вашему явному запросу. Каждая задача жёстко изолирована по user_id на уровне БД и API — другой пользователь физически не получит доступ к вашим файлам, даже если знает task_id (ACL проверяется на каждом запросе).

Кто имеет техническую возможность видеть данные:
  • Вы — через личный кабинет, REST API (X-API-Key), Telegram-бот после привязки аккаунта
  • Команда поддержки — только если вы открыли тикет с задачей и явно дали согласие посмотреть конкретный task_id. Каждый доступ логируется в admin_actions audit-trail
  • Никто другой — ни Яндекс, ни OpenAI, ни Google, ни третьи API. Все AI-модели работают на наших GPU без сетевых вызовов
Для бизнес-клиентов — шаблоны NDA и DPA + опция отключения логирования содержимого транскрипций.
Через сколько удаляются исходные файлы?
По умолчанию — сразу после обработки. Текст результата остаётся в кабинете без срока, исходные медиафайлы — удаляются.

Опции retention'а (настраивается на каждый файл при загрузке):
  • Сразу после обработки (default) — медиа удаляется через 5–30 минут после готовности транскрипции
  • 7 дней / 30 дней / 90 дней — для возможности перетранскрибации с другими настройками (другой шаблон саммари, словарь и т.д.)
  • Никогда — для Pro-команд: исходники хранятся пока вы их сами не удалите
За 24 часа до удаления приходит email-напоминание с возможностью скачать или продлить хранение. Тексты, саммари и экспорты — хранятся в кабинете без срока, скачать или удалить в любой момент.
Используются ли мои данные для обучения моделей?
Нет. Мы не используем ваши тексты и аудио для обучения ML-моделей. Никогда, без исключений, без opt-in согласия.

Конкретно:
  • Wonder Speech и Wonder Large — pre-trained модели стороннего происхождения. Мы не дообучаем их на пользовательских данных
  • Локальный fine-tune пользовательского словаря — только для вашего аккаунта, изолировано
  • Сбор feedback'а («кнопка 👍/👎 на сегменте») — добровольный и анонимный, без передачи raw-аудио
Это отличает нас от бесплатных онлайн-сервисов, у которых в TOS обычно зашита передача данных OpenAI для training. У нас inference происходит на наших серверах под нашим контролем.
Как защищены пароли?
Bcrypt с salt-фактором 12 (≈250ms на хэш — экономически невыгодно brute-force даже на дорогих GPU). Plain-text пароли не хранятся нигде, не логируются.

Дополнительные защиты:
  • Brute-force protection — после 10 неудачных попыток за 15 мин аккаунт временно блокируется (HTTP 429), уведомление приходит на email
  • Rate-limit на /login и /reset-password — slowapi + nginx
  • OAuth-логин — Яндекс, ВКонтакте, Mail.ru, Telegram. Без локального пароля вообще, если используете OAuth
  • JWT-токены — в HttpOnly + Secure + SameSite=Strict cookies, не доступны JS (защита от XSS-кражи)
  • 2FA — в planning для Pro/Team тарифов
Сброс пароля — через одноразовую ссылку с TTL 1 час. История логинов и IP — в настройках профиля.
Есть ли шифрование при передаче?
Да — HTTPS / TLS 1.2+ обязательно, HSTS включён. Любые HTTP-запросы автоматически редиректятся на HTTPS.

Технические детали:
  • TLS 1.3 — современный protocol, perfect forward secrecy (ключ для каждой сессии новый)
  • HSTS preload — браузер запоминает что wonderscribe.pro работает только по HTTPS (нельзя downgrade-атакой откатить на HTTP)
  • SSL Labs A+ — стабильно держим максимальный рейтинг (можно проверить на ssllabs.com)
  • Шифрование в покое — диски серверов encrypted (LUKS), бэкапы шифруются перед отправкой в off-site storage
  • Серверы в РФ — соответствие 152-ФЗ для российских пользователей, данные не покидают юрисдикцию
Сертификаты — Let's Encrypt с auto-renewal каждые 60 дней. Истечение мониторится — алёрт за 14 дней до expiry.