| layout | title | description | lang |
|---|---|---|---|
default |
SafeScribe — Arquitetura de Segurança |
Como o SafeScribe protege seus dados de áudio — visão técnica da nossa abordagem Privacy by Design. |
pt |
Última atualização: março de 2026
Visão geral
Criptografia TLS 1.2+ e certificate pinning em cada conexão. Nenhum proxy consegue interceptar os dados.
O áudio nunca toca o disco. Processamento em memória volátil, exclusão imediata após a transcrição.
Seu e-mail e nome nunca são armazenados. Apenas um hash unidirecional do seu identificador de conta é mantido.
Armazenamento AES-256 no dispositivo. Chaves exclusivamente em armazenamento seguro por hardware (iOS Keychain / Android Keystore).
Os relatórios de falhas são limpos de dados pessoais antes de sair do seu dispositivo.
Princípio de design
Serviços de transcrição convencionais gravam o áudio em disco e podem retê-lo indefinidamente. O SafeScribe recebe o áudio na RAM, processa-o e o exclui assim que você recebe sua transcrição — nenhum byte é gravado em armazenamento permanente. O diagrama de fluxo de dados abaixo ilustra o processo completo.
A diferença fundamental: mesmo em caso de apreensão física do servidor, não haveria dados de áudio ou transcrição — eles existiam apenas em memória volátil.
Camada 1
| Proteção | O que previne |
|---|---|
| Criptografia TLS 1.2+ | Interceptação do tráfego de rede |
| Certificate pinning | Ataques man-in-the-middle, servidores falsos |
| Checksum SHA-256 | Adulteração da transcrição em trânsito |
O app contém uma impressão digital criptográfica do certificado do servidor SafeScribe. Mesmo que uma autoridade certificadora fosse comprometida, o app rejeitaria qualquer conexão que não levasse ao servidor real do SafeScribe.
Camada 2
Este é o núcleo do design de privacidade do SafeScribe. O servidor executa os pesos do modelo Whisper da OpenAI através do motor de inferência auto-hospedado faster-whisper — sem chamadas a APIs de terceiros. O armazenamento de dados está configurado para operação completamente volátil, sem persistência em disco.
- ✓ Uma reinicialização do servidor apaga permanentemente todos os dados em memória — por design
- ✓ Nenhum arquivo, backup ou log contém seus dados de áudio
- ✓ Uma análise forense do servidor não revelaria nenhum conteúdo de áudio
Armazenamento temporário no servidor (apenas RAM):
| Dados | Excluídos quando |
|---|---|
| Bytes de áudio | Transcrição concluída |
| Texto da transcrição | Recebimento confirmado |
| Metadados do trabalho | Recebimento confirmado |
Armazenamento permanente no servidor (em disco):
| Dados | Finalidade | Contém DCP? |
|---|---|---|
| Identificador pseudônimo | Registro de faturamento | Não — hash unidirecional, não reversível |
| Duração e custo | Registro financeiro | Não |
| Tamanho do arquivo (bytes) | Análise do serviço | Não |
| Contagem de palavras | Análise do serviço | Não |
| Marcas de tempo | Trilha de auditoria | Não |
Camada 3
O SafeScribe usa Google Sign-In e Sign in with Apple. Seus dados pessoais nunca são armazenados:
| O que o provedor de autenticação nos envia | O que armazenamos |
|---|---|
| Endereço de e-mail | Não armazenado |
| Nome de exibição | Não armazenado |
| Identificador de conta | Apenas hash criptográfico unidirecional |
O hash unidirecional do seu identificador:
- ✓ Não pode ser revertido para revelar sua identidade
- ✓ É único para você — usado exclusivamente para faturamento
- ✓ Não contém nenhuma informação pessoal
Camada 4
As transcrições armazenadas no seu dispositivo são protegidas por:
| Proteção | Tecnologia |
|---|---|
| Criptografia | AES-256 |
| Armazenamento de chaves | iOS Keychain / Android Keystore |
| Banco de dados | Contêineres criptografados |
Mesmo com acesso direto ao sistema de arquivos, os dados de transcrição aparecem como binário ilegível. A chave fica em armazenamento seguro por hardware, fora dos arquivos do app. Desinstalar o app destrói a chave permanentemente.
Camada 5
Se o app encontrar um erro, um relatório de falha pode ser enviado opcionalmente. Antes de sair do seu dispositivo, os itens a seguir são removidos automaticamente:
Você pode desativar completamente os relatórios de falhas nas configurações de privacidade do app.
Camada 6
Cada etapa do processamento exclui imediatamente os dados da etapa anterior: o áudio é excluído após a transcrição, a transcrição é excluída após a confirmação. O diagrama de fluxo de dados mostra o processo completo com todos os pontos de exclusão.
Não é um processo de limpeza em segundo plano. A exclusão ocorre imediatamente como parte do pipeline de processamento.
Percurso completo
{: #your-datas-journey}
Gravar/selecionar áudio | Pré-processar localmente | Criptografar+enviar --TLS--> Receber na RAM | Transcrição IA (apenas RAM) | Áudio DELETADO | Receber transcrição <-TLS- Enviar transcrição | | Verificar integridade Aguardar confirmação | | Armazenar cifrado Confirmar-> Transcrição DELETADA localmente (AES-256) Metadados DELETADOS | | Concluído ZERO dados restam
Transparência
Encorajamos pesquisadores de segurança e defensores da privacidade a verificar nossas afirmações:
- Análise de rede O Wireshark ou Charles Proxy permite confirmar que todo o tráfego do SafeScribe é criptografado com TLS; qualquer tentativa de interceptação é bloqueada pelo certificate pinning.
- Avaliações publicadas Nossa Avaliação de Impacto de Proteção de Dados contém a análise completa de riscos e o registro de decisões.
- Divulgação responsável Encontrou uma vulnerabilidade? Entre em contato com security@safescribe.dev.