COSMOSCRIBE
Войти
ЦЕНТР ДОВЕРИЯ

Безопасность ваших данных

Аудиофайлы и расшифровки обрабатываются и хранятся в дата-центрах на территории Российской Федерации. Каждый аудиофайл шифруется потоковым шифром с проверкой целостности на каждом фрагменте ещё до записи в постоянное хранилище — на диске остаётся только зашифрованный контейнер, а ключ хранится отдельно от данных. Распознавание речи и AI-функции выполняются на собственной серверной инфраструктуре Cosmo Scribe внутри российского контура — содержимое не передаётся в сторонние и зарубежные сервисы. Cosmo Scribe — российский оператор персональных данных: опубликованы Политика конфиденциальности и Согласие на обработку, запросы субъектов ПДн обрабатываются в течение 30 дней. Использование сервиса не освобождает заказчика от обязанностей собственного оператора ПДн в отношении субъектов, чьи голоса оказались на записи.

Дата последнего обновления: 31.05.2026

Данные в РФ AI в нашем контуре Потоковое шифрование Оператор ПДн в РФ

Что мы делаем для защиты ваших данных

Шесть принципов, которые применяются по умолчанию ко всем пользователям — гостям и зарегистрированным.

ИНФРАСТРУКТУРА

Данные в дата-центрах на территории РФ

Веб-приложение и база данных работают на собственной серверной инфраструктуре, аудиофайлы хранятся в дата-центрах на территории Российской Федерации. На облачном объектном хранилище лежат только зашифрованные контейнеры — без главного ключа их содержимое прочитать невозможно, а ключ остаётся на нашей стороне. Передача данных за пределы РФ не осуществляется.

AI В НАШЕМ КОНТУРЕ

Распознавание и AI — в российском контуре

И распознавание речи, и AI-функции (краткое содержание, чат с записью, перевод, чек-листы) выполняются на собственной серверной AI-инфраструктуре Cosmo Scribe в дата-центре в РФ. Доступ к ней закрыт для всех, кроме самого приложения; содержимое аудио и расшифровок не передаётся в сторонние и зарубежные AI-сервисы — OpenAI и аналогичные облачные сервисы не используются.

ШИФРОВАНИЕ

Потоковое шифрование до записи на диск

Каждый аудиофайл шифруется потоковым шифром с проверкой целостности на каждом фрагменте (XChaCha20-Poly1305) на стороне приложения ещё до записи в хранилище. У каждой записи — свой одноразовый ключ, главный ключ хранится отдельно от данных и резервных копий. Соединения с браузером и платёжным шлюзом ЮKassa — по защищённому протоколу TLS 1.3, пароли — в виде необратимого хеша.

УДАЛЕНИЕ И СРОКИ

Удаление по запросу и автоочистка

Любую транскрипцию можно удалить из истории в один клик. Учётную запись и все связанные данные — через раздел «Профиль» → «Удалить аккаунт». Гостевые аудиофайлы удаляются автоматически сразу после получения результата. По истечении срока хранения по тарифу записи удаляются автоматически — и из базы, и из объектного хранилища.

ОПЕРАТОР ПДн

Российский оператор персональных данных

Мы зарегистрированы как российский оператор персональных данных. Опубликованы Политика конфиденциальности и Согласие на обработку, указаны цели и сроки обработки, перечень получателей и права субъекта ПДн. Запросы субъектов обрабатываются в течение 30 дней. Использование сервиса не освобождает заказчика от обязанностей собственного оператора ПДн в отношении тех, чьи голоса оказались на записи.

ТРЕТЬИ ЛИЦА

Минимум подрядчиков

Закрытый перечень получателей данных опубликован ниже. Никаких рекламных трекеров, скрытого отслеживания устройств или продажи данных. В вашу CRM данные передаются только если вы сами подключили интеграцию и по вашей команде. Только то, что технически нужно для работы сервиса.

Как обрабатывается ваше аудио

От загрузки до результата — что именно происходит с файлом и где он хранится.

  1. 1

    Защищённая загрузка

    Файл передаётся с вашего устройства на сервер по защищённому соединению (TLS). На промежуточных узлах содержимое не читается.

  2. 2

    Шифрование и хранение в РФ

    Перед записью в постоянное хранилище аудиофайл шифруется. На диске — в том числе в облачном объектном хранилище провайдера — остаётся только зашифрованный контейнер; главный ключ хранится отдельно от данных. Хранилище — в дата-центрах РФ, доступ строго ограничен, события журналируются.

  3. 3

    Распознавание и AI в нашем контуре

    Для распознавания файл расшифровывается во временную память и передаётся в нашу систему распознавания речи и в AI-модели Cosmo Scribe, развёрнутые на собственной серверной инфраструктуре в российском контуре. Доступ закрыт для всех, кроме самого приложения; в зарубежные сервисы ничего не уходит.

  4. 4

    Возврат результата

    Готовая расшифровка появляется в личном кабинете (или в браузере для гостевого режима). Гостевой аудиофайл удаляется сразу после получения результата. Зарегистрированные пользователи управляют файлами вручную в истории транскрипций.

ШИФРОВАНИЕ В ХРАНИЛИЩЕ

Аудио шифруется до записи на диск

Каждый аудиофайл шифруется на стороне приложения ещё до того, как попадёт в постоянное хранилище. На диске остаётся только зашифрованный контейнер — без главного ключа прочитать содержимое невозможно. Это работает и тогда, когда файлы лежат в облачном объектном хранилище: провайдер видит только криптограмму.

АЛГОРИТМ

Современный криптографический стандарт

Аудио шифруется современным потоковым шифром с проверкой целостности на каждом фрагменте (XChaCha20-Poly1305) — это один из самых надёжных криптографических стандартов индустрии. Файлы шифруются по частям, что позволяет работать с большими записями без загрузки целиком в память.

СХЕМА КЛЮЧЕЙ

Уникальный ключ для каждого файла

У каждого файла свой одноразовый ключ. Сам ключ дополнительно зашифрован главным ключом сервиса и хранится рядом с записью в базе данных. Главный ключ живёт отдельно от данных и от резервных копий хранилища, есть офлайновая копия (на физическом носителе без подключения к сети).

РОТАЦИЯ

Без перешифровки самих файлов

Главный ключ можно менять (старый → новый) без перешифровки исходных файлов: пересоздаются только служебные ключи в базе данных. Утечка ключа от одного файла не компрометирует другие — у каждого свой.

Какие угрозы это закрывает

  • Утечка резервной копии хранилища без одновременной утечки главного ключа — копия остаётся бесполезным шумом.
  • Компрометация провайдера облачного хранилища — провайдер хранит и видит только зашифрованный контейнер.
  • Судебный или административный запрос к провайдеру хранилища в обход самого сервиса — выдать получится только зашифрованный контейнер, не открытое содержимое.
  • Утечка копии базы данных отдельно от файлов — в базе лежат только запакованные служебные ключи без главного ключа.

Что мы честно НЕ закрываем

  • Полная компрометация серверного приложения. Если злоумышленник получает выполнение кода на нашем сервере — он становится «приложением», у него есть и ключи, и доступ к данным.
  • Сквозное шифрование между вами и сервисом (когда расшифровать данные может только ваше устройство, а сам сервер видит лишь зашифрованный поток). Технически невозможно для серверной транскрибации: серверу необходимо видеть аудио в открытом виде, чтобы распознать речь. На время обработки открытое содержимое живёт во временной памяти, не на диске.
  • Совместная утечка главного ключа и хранилища. Поэтому ключ хранится в отдельном защищённом канале, с офлайновой копией.

Жизненный цикл аудио

Загрузка
Файл шифруется потоково; в открытом виде проходит только через временную память сервера, не записывается на диск.
Транскрибация
Для распознавания файл расшифровывается во временную память на короткое время. После получения результата временная копия немедленно удаляется.
Хранение
Зашифрованный контейнер остаётся в постоянном хранилище. При воспроизведении в плеере расшифровка идёт «на лету» и не пишется на диск.
Удаление
При удалении из интерфейса или истечении срока хранения по тарифу — и файл, и служебные данные шифрования удаляются физически, в том числе из объектного хранилища.
ХРАНЕНИЕ И СРОКИ

Что хранится и сколько

Прозрачно: какие данные сохраняются, в каком виде и когда удаляются.

Гостевое аудио
Не сохраняется
Удаляется сразу после получения результата
Аудио в аккаунте
Зашифрованный контейнер (XChaCha20-Poly1305)
До истечения срока хранения по вашему тарифу или ручного удаления; затем стирается физически, в том числе из объектного хранилища
Текст расшифровки и AI-результаты
В базе данных, в открытом виде — нужно для поиска и работы с результатом
Пока вы не удалите запись или аккаунт
Пароль
Необратимый хеш (bcrypt) — даже мы не видим оригинал
Пока существует аккаунт
Платёжные карты
У нас не хранятся — оплата проходит на стороне ЮKassa
Защита гостевого режима от злоупотреблений
Анонимный идентификатор устройства, IP, подсеть — технический учёт лимитов, не профиль пользователя
Краткоживущие счётчики

При удалении аккаунта безвозвратно стираются все связанные данные: аудио, расшифровки, AI-результаты, словарь, история транскрипций и закладок.

Кому передаются ваши данные

Перечень получателей закрытый — за его пределы данные не передаются. Передача персональных данных за пределы Российской Федерации не осуществляется.

ЮKassa (ООО НКО «ЮMoney»)
Приём платежей за оказание услуг и формирование чеков. Передаются только платёжные реквизиты — без содержимого транскрипций. Данные банковских карт у нас не хранятся.
ФНС России («Мой налог»)
Формирование чеков самозанятого по 422-ФЗ. Передаётся факт и сумма платежа.
Хостинг-провайдер (РФ)
Размещение веб-приложения и базы данных на территории РФ. Доступа к содержимому нет — только инфраструктурный слой (электропитание, сеть, физическая безопасность ДЦ).
Облачное хранилище аудио (РФ)
Хранение аудиофайлов в дата-центре на территории РФ. Провайдер видит только зашифрованный контейнер — без главного ключа содержимое прочитать невозможно. Ключ хранится отдельно, на нашей стороне.
CRM-система заказчика (Битрикс24, amoCRM)
Только если вы сами подключили интеграцию и только по вашей команде. Передаются результаты конкретной обработки (краткое содержание, задачи) в вашу собственную CRM. Без вашего действия не передаётся ничего.
Вход через Яндекс или Google
Только при входе через социальные сети. Передаются email и имя пользователя для создания или связывания учётной записи.
Государственные органы
Только по официальному запросу в порядке, установленном законодательством Российской Федерации.

Аудиофайлы и тексты расшифровок не передаются никому из этого перечня в открытом виде: на облачном хранилище лежит только зашифрованный контейнер, а распознавание и AI работают на нашей собственной инфраструктуре внутри российского контура.

Ваши права как субъекта персональных данных

Согласно 152-ФЗ, вы имеете право в любой момент:

  • Получить информацию об обработке своих персональных данных оператором.
  • Уточнить, исправить или дополнить свои данные через раздел «Профиль».
  • Удалить учётную запись и все связанные данные одной кнопкой в Профиле.
  • Отозвать согласие на обработку и потребовать уничтожения данных.
  • Обжаловать действия оператора в Роскомнадзоре или в суде.
Запросы по 152-ФЗ обрабатываются в течение 30 календарных дней. Направляйте на: info@cosmoscribe.ru

Гостевой режим и зарегистрированные пользователи

Принципы работы с данными немного отличаются — выбирайте подходящий вам режим.

ГОСТЕВОЙ РЕЖИМ

Анонимная транскрибация без сохранения

  • Регистрация не требуется — нет email, имени и пароля.
  • Аудиофайл удаляется автоматически сразу после получения результата — в постоянное хранилище ничего не записывается.
  • Расшифровка не сохраняется в нашей базе данных.
  • Действуют лимиты на количество и длительность; для защиты от злоупотреблений ведётся технический учёт (анонимный идентификатор устройства, IP, подсеть) — это не профиль и не реклама.
ЗАРЕГИСТРИРОВАННЫЕ

Личный кабинет с полным контролем

  • Аудиофайлы и расшифровки видны только вам.
  • Публичные ссылки создаются вручную — пароль и срок действия настраиваются.
  • Любой файл удаляется в один клик из истории.
  • Удаление аккаунта стирает всё: аудио, расшифровки, словарь, историю платежей.

Защита гостевого режима — это защита сервиса от автоматических злоупотреблений, а не профилирование пользователя. Учёт ведётся композитно (устройство / IP / подсеть), а не только по одному IP, и дополняется ограничением длительности файла и числа одновременных запросов.

Частые вопросы о безопасности

Если вашего вопроса нет — напишите нам, добавим его сюда.

Где физически хранятся мои аудиофайлы?
Аудиофайлы размещаются в дата-центрах на территории Российской Федерации — на нашей инфраструктуре и в российском облачном объектном хранилище. На облачном хранилище лежит только зашифрованный контейнер: без главного ключа, который хранится отдельно на нашей стороне, прочитать содержимое невозможно. Передача персональных данных за пределы РФ не осуществляется, доступ к хранилищу строго ограничен, события безопасности журналируются.
Используете ли вы зарубежные AI-сервисы для распознавания и краткого содержания?
Нет. Распознавание речи, краткое содержание, AI-чат, перевод и чек-листы выполняются на собственной AI-инфраструктуре Cosmo Scribe, развёрнутой в российском контуре. Содержимое аудиофайлов и расшифровок не передаётся в сторонние и зарубежные AI-сервисы — OpenAI и аналогичные облачные сервисы не используются.
Могу ли я удалить все свои данные?
Да. В личном кабинете в разделе «Профиль» есть функция «Удалить аккаунт» — она безвозвратно стирает учётную запись, аудиофайлы, расшифровки, словарь, историю транскрипций и закладок. Можно также направить письменный запрос об удалении на email оператора — мы исполним его в течение 30 дней.
Сколько времени хранятся мои записи?
Гостевое аудио не сохраняется — оно удаляется сразу после получения результата. Аудио зарегистрированных пользователей хранится до истечения срока хранения по вашему тарифу или до ручного удаления, после чего стирается физически, в том числе из объектного хранилища. Текст расшифровки и AI-результаты остаются в аккаунте, пока вы сами не удалите запись или аккаунт. Подробности — в таблице «Что хранится и сколько» выше.
Зашифрованы ли аудиофайлы на сервере?
Да. Каждый аудиофайл шифруется на стороне приложения до записи в постоянное хранилище — на диске (в том числе в облачном объектном хранилище) остаётся только зашифрованный контейнер. У каждого файла свой одноразовый ключ, который, в свою очередь, зашифрован главным ключом сервиса. Главный ключ хранится отдельно от данных и от резервных копий хранилища. Дополнительно: соединения по защищённому протоколу, пароли пользователей хранятся в виде необратимого хеша, доступ к серверу — по личным ключам с журналированием событий.
Что значит «сквозного шифрования нет»? Это плохо?
Сквозное шифрование между вашим устройством и сервисом (когда расшифровать данные может только ваше устройство, а сервер видит лишь зашифрованный поток) мы сознательно не реализуем — для распознавания речи серверу необходимо видеть содержимое аудио в открытом виде. Это техническое ограничение любой онлайн-транскрибации: если кто-то обещает сквозное шифрование для серверной транскрибации — он либо лукавит, либо использует распознавание прямо в браузере (что несравнимо хуже по качеству на длинных файлах). Что мы делаем взамен: открытое содержимое во время распознавания живёт только во временной памяти, не пишется на диск, удаляется сразу после получения результата.
Что произойдёт при утечке резервной копии хранилища?
Без главного ключа резервная копия — бесполезный шум. Главный ключ хранится отдельно от данных и от резервных копий хранилища, имеет офлайновую копию у владельца сервиса. Это же относится и к облачному хранилищу: провайдер видит только зашифрованный контейнер. Дополнительно: даже если у злоумышленника окажется ключ от одного файла, остальные файлы по-прежнему зашифрованы своими уникальными ключами. Честная оговорка: одновременная утечка и хранилища, и главного ключа, и серверного приложения снимает эту защиту — отдельные слои нужны именно для того, чтобы такой компрометации требовались несколько независимых проникновений.
Передаёте ли вы данные третьим лицам?
Закрытый перечень: ЮKassa (приём платежей), ФНС (чеки по 422-ФЗ), хостинг-провайдер РФ (инфраструктура), российское облачное хранилище (только зашифрованные контейнеры), вход через Яндекс или Google (только при авторизации через соцсеть). В вашу CRM (Битрикс24, amoCRM) данные уходят только если вы сами подключили интеграцию и по вашей команде. Содержимое аудио и расшифровок не передаётся в открытом виде никому. Никаких рекламных трекеров, продажи данных и передачи за пределы РФ.
Что передаётся в мою CRM при подключении интеграции?
Только если вы сами подключили CRM-интеграцию (Битрикс24 или amoCRM) и только по вашей команде. Передаются результаты конкретной обработки — краткое содержание встречи или звонка и сформированные задачи — в вашу собственную CRM, по защищённому каналу. Реквизиты подключения хранятся в зашифрованном виде. Без вашего действия в CRM не передаётся ничего, а сами аудиофайлы туда не отправляются.
Что происходит с гостевыми загрузками?
Гостевая транскрибация полностью анонимна. Аудиофайл удаляется автоматически сразу после получения результата — в постоянное хранилище ничего не записывается. Для защиты сервиса от автоматических злоупотреблений действуют лимиты на количество и длительность, а учёт ведётся композитно (анонимный идентификатор устройства, IP, подсеть), а не только по одному IP. Это технический учёт лимитов, а не профиль пользователя и не реклама.
Вы оператор персональных данных по 152-ФЗ?
Да, Cosmo Scribe — российский оператор персональных данных. Опубликованы Политика конфиденциальности (/privacy) и Согласие на обработку персональных данных (/consent), указаны цели и сроки обработки, перечень получателей и права субъекта ПДн. Запросы по 152-ФЗ обрабатываются в течение 30 дней. Важно: использование сервиса не делает заказчика автоматически соответствующим 152-ФЗ в отношении субъектов, чьи голоса оказались на записи, — за процедуры (согласия субъектов, обезличивание, регламенты обработки) отвечает сам заказчик как оператор ПДн своих записей.
Что такое «защита перед шарингом» и заменяет ли она 152-ФЗ-обезличивание?
Защита перед шарингом — это инструмент, который автоматически размечает в расшифровке частые шаблоны персональных данных: телефоны, email-адреса, банковские карты, а также имена и физические адреса (последние — через нашу собственную AI на инфраструктуре в РФ). Каждую метку можно включить или выключить вручную, а также добавить пропущенные. Это НЕ функция compliance-обезличивания: она помогает оператору ПДн исполнять обязанности, но не заменяет ваши собственные процедуры обезличивания, согласия субъектов и регламенты обработки. Перед публикацией защищённой версии всегда требуется ручная проверка. Подробнее на странице /zashchita-pdn. Доступно на тарифах Pro и Unlimited.
Удаляет ли защита перед шарингом оригинал записи?
Нет. Защищённая версия — это отдельный текстовый артефакт. Оригинальный транскрипт и аудио сохраняются в вашем аккаунте без изменений. Чтобы стереть оригинал — используйте удаление транскрипции целиком в разделе «История» или удаление аккаунта в «Профиле».
Куда сообщать об уязвимости?
На email оператора с темой «security» — обработаем приоритетно. Также см. /.well-known/security.txt — стандартный канал для ответственного раскрытия уязвимостей (по международному стандарту RFC 9116).
ОТВЕТСТВЕННОЕ РАСКРЫТИЕ УЯЗВИМОСТЕЙ

Нашли уязвимость?

Напишите на email оператора с темой «security» или используйте стандартный канал /.well-known/security.txt (по международному стандарту RFC 9116). Мы признательны за приватные сообщения об уязвимостях и не предпринимаем юридических действий против добросовестных исследователей.

Написать о уязвимости Стандартный файл security.txt (RFC 9116)

Юридические документы

Полные тексты по обработке персональных данных и условиям сервиса.

Защита перед шарингом

Автоматическая разметка ПДн в расшифровке (телефоны, email, карты, имена, адреса). Не функция compliance — помощь оператору.

Политика конфиденциальности

Полный текст по 152-ФЗ — какие данные обрабатываем, как, зачем и в какие сроки.

Согласие на обработку ПДн

Текст согласия — цели, перечень данных, сроки, права субъекта.

Условия использования

Правила сервиса, ограничения, ответственность сторон.

Публичная оферта

Договор на оказание услуг транскрибации, реквизиты исполнителя.

Контакты

Email, Telegram, юридические реквизиты оператора.
На главную