VibeVox — Compliance Action Plan (MVCS)
Minimum Viable Compliance Set | B2B Launch Prerequisite Tracker
Alapja:
GDPR.md— részletes architektúra és jogi elemzés Jogi entitás: Europa Trade Studio LLC (US-bejegyzett) Ez a dokumentum: action plan — státuszok, sablonok, teendők. A compliance architektúra a GDPR.md-ban van. Social Proof integráció: ✅ GAP-3 végrehajtási sorrend (§1.5) beépítve (2026-04-18) — MVCS = B2B social proof asset (nem csak legal compliance) | forrás:social_proof_credibility_cee_analysis.md
Tartalomjegyzék
- MVCS dokumentum tracker
- Privacy Policy — frissítési teendők
- DPA (Data Processing Agreement) — sablon struktúra
- Zero Retention Policy — dokumentum sablon
- Sub-processor lista — sablon
- Cookie Policy — kötelező elemek
- ROPA (Article 30) — sablon
- EU Képviselő (Art. 27) — kijelölési folyamat
- NIS2 nyilatkozat sablon
- B2B Compliance csomag összeállítása
1. MVCS dokumentum tracker
A Minimum Viable Compliance Set az a 6+1 dokumentumcsomag, amely minimálisan szükséges ahhoz, hogy egy EU-s GDPR-kötelezett szervezet (ügyvédi iroda, klinika) megvásárolhassa a VibeVox-t.
A ❌ státuszú P0 dokumentumok a B2B launch hard prerequisite-jei. B2B ügyfél fogadása ezek nélkül nem lehetséges.
| # | Dokumentum | GDPR alap | Határidő | Státusz | Prioritás |
|---|---|---|---|---|---|
| 1 | Privacy Policy frissítés | Art. 13-14 | Fázis 1 launch előtt | ⚠️ Elavult | P0 |
| 2 | DPA — Managed Cloud B2B | Art. 28 | B2B launch előtt | ❌ Hiányzik | P0 |
| 3 | DPA — BYOK B2B | Art. 28 | B2B launch előtt | ❌ Hiányzik | P0 |
| 4 | Zero Retention Policy | Art. 5(1)(e) | B2B launch előtt | ❌ Hiányzik | P0 |
| 5 | Sub-processor Lista | Art. 28(2) | B2B launch előtt | ❌ Hiányzik | P0 |
| 6 | Cookie Policy | ePrivacy Dir. | Landing page launch előtt | ❌ Hiányzik | P0 |
| 7 | ROPA (Article 30) | Art. 30 | Első B2B ügyfél előtt | ❌ Hiányzik | P0 — UODO audit első kérdése |
| 8 | pgAudit aktiválás + DSAR protokoll | Art. 17 | B2B launch előtt | ❌ Hiányzik | P0 |
| 9 | SCC Module 2 Annex I-II + TIA (Groq) | Art. 46 | B2B launch előtt | ❌ Hiányzik | P1 |
| 10 | Breach Notification SOP | Art. 33-34 | B2B launch előtt | ❌ Hiányzik | P1 |
| +1 | EU Képviselő kijelölés (DataRep) | Art. 27 | ASAP | ❌ Regisztrálás szükséges | P0 |
1.5. GAP-3 Végrehajtási Sorrend — MVCS mint B2B Social Proof Asset
Forrás: social_proof_credibility_cee_analysis.md GAP-3 (2026-04-17).
A riport kulcsmegállapítása: a CEE B2B piacon (ügyvédi iroda, klinika, könyvelőiroda) a
DPA + Zero Retention Policy + Sub-processor lista nem legal compliance formalitás, hanem
maga a social proof — a „technikai testimonial" funkciót tölti be. Hagyományos testimonialok
(videós, fej-képes) zero hitelességet hordoznak egy DPO-nak — a compliance csomag ellenben
azonnal feloldja a B2B pipeline első 3 kérdését.
Konzekvencia: Minden nap, amíg a +1 DataRep ❌ státuszban van = minden B2B cold email
eleve elutasítva egy DPO vagy IT Veto által. A B2B sales ciklus nem indul el — függetlenül
attól, mennyire jó a pitch.
Kritikus végrehajtási sorrend (7 lépés, ~2 munkahét)
A sorrend NEM tetszőleges — az 1. lépés (DataRep) felold minden más blokkolót, mert a többi dokumentumnak ott hivatkoznia kell az EU Képviselő adataira. A sorrendtől eltérés = duplikált munka.
| # | Lépés | Effort | Költség | Blokkol mit? |
|---|---|---|---|---|
| 1 | DataRep regisztráció (datarep.com) — online form, 20 perc | 20 perc | ~€200/év | Minden más lépés (Privacy Policy + DPA-k hivatkoznak rá) |
| 2 | Zero Retention Policy PDF — §4 sablon → PDF export + docs/Legal/Zero_Retention_Policy_v1.0.pdf publikálás |
1 óra | €0 | B2B sales call prep — első csatolmány |
| 3 | Sub-processor Lista PDF — §5 sablon → PDF export + docs/Legal/Sub_Processor_List_v1.0.pdf |
30 perc | €0 | DPA melléklet, Privacy Policy hivatkozás |
| 4 | Privacy Policy frissítés — Deepgram → Groq csere, DataRep szekció (DataRep #1 után adatokkal), Sub-processor hivatkozás | 2 óra | €0 | Landing page live → B2C launch |
| 5 | Cookie Policy + banner — CookieYes free tier konfiguráció + Cookie Policy oldal publikálása | 2-3 óra | €0 (CookieYes free) | Landing page live (ePrivacy compliance) |
| 6 | DPA sablon véglegesítés (Managed Cloud + BYOK) — §3.1 + §3.2 sablonok PDF-be, ügyvédi review | 4 óra + 1 hét review | ~€300-600 | B2B első ügyfél fogadása |
| 7 | ROPA feltöltés + pgAudit aktiválás — §7 sablon Google Sheets-be, Supabase pgAudit extension bekapcsolása | 3-4 óra | €0 | UODO/NAIH audit készenlét |
Teljes erőforrás-igény: ~18-20 óra founder idő + ~€500-800 (DataRep + ügyvédi review), ~2 munkahét átfutás.
Miért „B2B social proof asset" és nem csak „legal compliance"
A hagyományos compliance megközelítésben ezek a dokumentumok defenzív eszközök (bírságelkerülés, audit felkészülés). A social proof keretezésben offenzív eszközök — aktív konverziós motorok:
- B2B cold email első csatolmánya: Zero Retention Policy PDF → DPO azonnal átnézi → „ez egy komoly vendor"
- B2B sales call preemptív válasz: „Tudom, hogy a DPO-juk/IT-vezető fog kérdezni DPA-ról — küldök egy compliance csomagot a call után" →
11_Sales_B2B.md §4.6 IT Security Brief - Landing page
/trustszekció: compliance badge-ek + letölthető PDF-ek = technikai hitelesség a developer szegmensben is - DataRep cím konkrét megjelenítése a Privacy Policy-ban = „ez nem egy fly-by-night US SaaS" trust signal CEE DPO-nak
Kapcsolódás: Ez a szekció az alapja a
15_Launch_Playbook.md §2.7 Social Proof Display Protokoll-nak is — ott a compliance badge-ek (🇪🇺 EU Frankfurt, 🔒 GDPR SCC) azok a trust signal-ok, amelyek kitöltik a „user counter 0-999 közötti időszakban üres" helyet a landing page-en.
Publikált compliance asset-ek struktúrája
Cél: egy publikusan elérhető docs/Legal/ könyvtár a webhelyen, ahol minden PDF közvetlenül linkelhető
egy B2B cold email-ből vagy a landing page /trust oldaláról.
voicetypingbyjoe.com/legal/
├── privacy-policy.pdf ← §2 alapján, frissítve
├── zero-retention-policy-v1.0.pdf ← §4 sablon PDF export
├── sub-processor-list-v1.0.pdf ← §5 sablon PDF export
├── dpa-managed-cloud-v1.0.pdf ← §3.1 sablon PDF export (ügyvédi review után)
├── dpa-byok-v1.0.pdf ← §3.2 sablon PDF export (ügyvédi review után)
├── cookie-policy.pdf ← §6 alapján
├── eu-representative.pdf ← DataRep visszaigazolás + kontakt adatlap
└── nis2-self-assessment-v1.0.pdf ← §9 sablon PDF export (B2B kérésre)
Verziózás: minden PDF v1.0, v1.1, stb. verziószámozással — változásértesítés a §5 Sub-processor
lista szabálya szerint (30 napos előzetes értesítés B2B Controllereknek).
Roadmap: Fázis 1 B2B launch prep | P0 — sorrendi végrehajtás | Tracker: heti státusz-update a §1 MVCS táblában
2. Privacy Policy — frissítési teendők
Referencia: privacy-policy.html — jelenlegi állapot
A jelenlegi Privacy Policy-ban a „Deepgram" referencia elavult — azonnali javítás szükséges.
Szükséges frissítések listája
| Szekció | Jelenlegi állapot | Szükséges módosítás |
|---|---|---|
| STT Provider | ⚠️ „Deepgram" szerepel | → Groq Inc. (Frankfurt routing, SCC) |
| EU Képviselő | ❌ Hiányzik | → Név + cím + email (Art. 27) |
| Sub-processor lista | ⚠️ Hiányos | → Groq, Supabase, Stripe, GCloud, Sentry + DPA linkek |
| Controller/Processor szerep | ❌ Hiányzik | → B2C vs. B2B megkülönböztetés |
| BYOK vs. Managed Cloud adatfolyam | ❌ Hiányzik | → Külön szekció a két módhoz |
| Groq marketing claim | ❌ Pontatlan | → „EU SCC alapján, Groq Frankfurt régión feldolgozva" |
| Törlési SLA-k | ⚠️ Hiányos | → Groq audio (feldolgozás után), Supabase szöveg (user kérés), Stripe (7 év, adójog) |
| Art. 6 jogalap | ❌ Hiányzik | → Legitimate interest / consent / contractual basis szekció |
| Art. 17 törlési kérés | ⚠️ Konkretizálandó | → Hogyan kérhető, 30 napos válaszidő |
| Cookie Policy link | ❌ Hiányzik | → Külön cookie policy + banner |
| HTML redesign | ⚠️ Android-only branding | → „Android" badge eltávolítása, multi-platform (Windows / Linux / Android / macOS) vizuális megjelenés |
Prioritásos szövegcserék (copy-paste ready)
Groq STT szöveg (régi → új):
❌ RÉGI: "Your audio is processed by Deepgram on our servers"
✅ ÚJ: "Your audio is processed by Groq Inc. under EU Standard Contractual
Clauses (SCC), routed through Groq's Frankfurt EU region. Audio data
is not retained after transcription."
EU Képviselő szekció (hozzáadandó):
EU Representative (Article 27 GDPR)
Pursuant to Article 27 GDPR, Europa Trade Studio LLC has designated an EU
Representative:
[DataRep / VeraSafe neve és elérhetősége - kitöltendő a kijelölés után]
EU residents may contact our EU Representative for any data protection
inquiries.
3. DPA (Data Processing Agreement) — sablon struktúra
Két DPA változat szükséges:
3.1. DPA — Managed Cloud B2B (ETS LLC = Processor)
ADATFELDOLGOZÁSI MEGÁLLAPODÁS
Managed Cloud B2B Tier
FELEK:
Adatkezelő (Controller): [Ügyfél cég neve], [ország]
Adatfeldolgozó (Processor): Europa Trade Studio LLC, [cím]
TÁRGYA: A Processor hozzáférést biztosít a VibeVox
szoftverhez és Managed Cloud infrastruktúrájához.
1. ADATKEZELÉS TÁRGYA ÉS IDŐTARTAMA
- Kezelt adatok: hangfelvétel (átmeneti), szöveges átiratok,
felhasználói preferenciák, szókincs adatok
- Adatkezelés célja: automatikus szövegátirat-készítés (STT)
- Időtartam: a szerződés fennállásáig
2. FELHASZNÁLÓ ADATFELDOLGOZÓI UTASÍTÁSOK JOGA
- A Controller jogosult utasításokat adni az adatkezelésre
- A Processor csak ezen utasítások szerint jár el
3. SUB-PROCESSOROK (Art. 28)
- Groq Inc. — STT feldolgozás (SCC, Frankfurt routing)
- Supabase Inc. — szöveg sync (Zürich, EU)
- Stripe Inc. — számlázás (EU DPA, PCI DSS L1)
- Google Cloud — VPS infrastruktúra (transit)
- Sentry — crash log (opt-in, SCC)
4. BIZTONSÁGI INTÉZKEDÉSEK
- HTTPS / TLS 1.3 minden adatátvitelhez
- Hangfelvétel feldolgozás utáni azonnali törlése
- Hozzáférés-kontroll és naplózás
5. KÜLÖNLEGES KATEGÓRIÁJÚ ADATOK (Art. 9)
- A Processor tudomásul veszi, hogy az Ügyfél különleges
kategóriájú adatokat dolgoztathat fel (egészségügyi, jogi)
- A Processor kötelezettséget vállal:
(a) csak transzkripció céljára dolgozza fel a hangot,
(b) a hangot a feldolgozás után haladéktalanul törli,
(c) a hangot nem használja biometrikus azonosításra
6. HATÁRON ÁTNYÚLÓ ADATTOVÁBBÍTÁS
- Groq (US): SCC alapján (GDPR Art. 46)
- Supabase: EU adatközpont (Zürich) — nem minősül EU-n kívüli átvitelnek
- Stripe: EU DPA + Data Privacy Framework
7. TÖRLÉSI KÖTELEZETTSÉG
- Hangfelvétel: feldolgozás befejezése után azonnal
- Szöveges átiratok: felhasználó törlési kérésére 30 napon belül
- Biztonsági másolatok: maximum 90 nap
8. AUDIT JOG
- A Controller jogosult évente 1× auditot kérni (írásban, 30 napos előzetes értesítéssel)
Kelt: [dátum]
Aláírás: _______________ _______________
Controller Processor (ETS LLC)
3.2. DPA — BYOK B2B (ETS LLC = szoftver-licencárus)
BYOK ADATFELDOLGOZÁSI MEGÁLLAPODÁS
FELEK:
Adatkezelő (Controller): [Ügyfél cég neve]
Szoftver-licencárus: Europa Trade Studio LLC
TÁRGYA: Az ETS LLC szoftver-licencet biztosít (VibeVox).
A BYOK módban az ETS LLC NEM processzálja a hangfelvételt.
A Controller közvetlenül az általa választott STT providerrel áll
adatkezelési kapcsolatban (saját API kulcs).
ADATKEZELÉS HATÓKÖRE (ETS LLC):
- Supabase szinkron: szöveges history, szókincs (Zürich, EU)
- Stripe számlázási adatok
- Sentry crash log (opt-in)
ADATKEZELÉS NEM AZ ETS LLC HATÓKÖRE:
- Hangfelvétel feldolgozása (a Controller saját API-ja)
- STT provider kiválasztása és DPA-ja (Controller felelőssége)
SUB-PROCESSOROK:
- Supabase Inc. (Zürich, EU) — szöveg sync
- Stripe Inc. — számlázás
Mindkét DPA-t jogi felülvizsgálatnak kell alávetni. Sablon alapú, de external ügyvéd (CEE adatvédelmi szakjogász) átnézése ajánlott az első B2B ügyfél előtt. Becsült költség: €300-600 egyszeri.
4. Zero Retention Policy — dokumentum sablon
ZERO RETENTION POLICY
VibeVox — Europa Trade Studio LLC
HATÁLYA: Ez a dokumentum leírja, hogy a VibeVox alkalmazás
hogyan kezeli az audio adatokat a feldolgozás során.
1. HANGFELVÉTEL KEZELÉSE
a) MANAGED CLOUD módban:
- A hangfelvétel HTTPS/TLS 1.3 titkosítással kerül a VibeVox
proxy szerverére
- A proxy azonnal továbbítja a Groq API-nak STT feldolgozásra
- A VibeVox szervere NEM tárolja a hangfelvételt
- A Groq Inc. a feldolgozás után nem tartja meg a hangot
(Groq DPA, SCC alapján)
- A kész szöveges átirat visszakerül az appba és a közvetlen
history-ba
b) BYOK módban:
- A hangfelvétel közvetlenül a felhasználó által megadott
STT provider API-jára kerül
- Az ETS LLC NEM fér hozzá a hangfelvételhez
- A tárolási policy a felhasználó DPA-jától függ (saját provider)
2. MIT NEM TÁROLUNK
Az ETS LLC az alábbi adatokat SOHA nem tárolja:
□ Hangfelvételek (audio fájlok)
□ Biometrikus hangminták
□ Nyers speech-to-text közbenső adatok
3. MIT TÁROLUNK
Az ETS LLC az alábbi adatokat tárolja (felhasználói hozzájárulással):
✓ Kész szöveges átiratok (felhasználói history) — Supabase Zürich
✓ Felhasználói szókincs adatok — Supabase Zürich
✓ Statisztikák (diktálási idő, szószám) — Supabase Zürich
✓ Számlázási adatok — Stripe (PCI DSS L1)
4. TÖRLÉSI KÉRÉS
A felhasználó bármikor kérheti adatai törlését:
privacy@voicetypingbyjoe.com
Válaszidő: maximum 30 nap (GDPR Art. 17)
Kiadta: Europa Trade Studio LLC
Hatályos: [dátum]
Verzió: 1.0
„True Zero Access" — Iparági kontextus és differenciátor
A Zero Data Retention 2025-2026-ra iparági standarddá vált a felhőalapú voice-to-text szolgáltatóknál (Typeless, Wispr Flow is kommunikálja). Ez NEM differenciátor önmagában — a VibeVox differenciátora a BYOK + Hold-to-Talk + ZDR kombinációja:
- Typeless ZDR: ephemeral cloud processing → de clipboard scraping!
- Wispr Flow ZDR: ephemeral → de screenshot capture!
- VibeVox ZDR: ephemeral + SOHA nem fér hozzá clipboard-hoz, DOM-hoz, URL-hez, screenhez → „True Zero Access"
A marketing narratívában: NEM „Zero Retention" hanem „True Zero Access" — mert a VibeVox-nek nincs mihez hozzáférnie.
5. Sub-processor lista — sablon
SUB-PROCESSOR LISTA
VibeVox — Europa Trade Studio LLC
Utolsó frissítés: 2026. április
| # | Sub-processor | Kezelt adat | EU Data Residency | DPA típusa | Link |
|---|---|---|---|---|---|
| 1 | Groq Inc. (USA) | Hangfelvétel (átmeneti, STT) | ⚠️ SCC, Frankfurt routing | SCC (GDPR Art. 46) | groq.com/privacy |
| 2 | Supabase Inc. (USA) | Szöveges history, szókincs, usage | ✅ Zürich (eu-central-2) | SCC | supabase.com/privacy |
| 3 | Stripe Inc. (USA) | Számlázás, fizetési metaadat | ✅ EU DC + DPF | SCC + EU DPA + PCI DSS L1 | stripe.com/privacy |
| 4 | Google Cloud (USA) | VPS transit (routing) | ⚠️ Transit, nem tárol | Google Cloud DPA | cloud.google.com/privacy |
| 5 | Sentry (USA) | Crash log (opt-in, anonimizált) | ⚠️ SCC | SCC (send_default_pii=False) | sentry.io/privacy |
| 6 | Loops.so (USA) | Email cím, billing state, usage aggregáció | ⚠️ US (SOC 2 Type II) | GDPR DPA + SCC + EU-U.S. DPF | loops.so/privacy |
VÁLTOZÁSÉRTESÍTÉS:
Az ETS LLC 30 nappal előre értesíti a B2B Controllereket, ha
sub-processor változás tervezett. Az értesítés módja: email.
Jogorvoslat joga: A Controller kifogásolhatja a változást (írásban, 14 napon belül).
A Sub-processor lista a DPA melléklete — minden B2B szerződés ezt csatolva kapja. A változásértesítési kötelezettség (GDPR Art. 28) B2B ügyfelekkel szemben kötelező.
6. Cookie Policy — kötelező elemek
Hatálya: A VibeVox landing page és bármely webes felület.
Szükséges cookie-k és besorolásuk
| Cookie | Típus | Cél | Consent szükséges? |
|---|---|---|---|
session_id |
Szigorúan szükséges | Felhasználói munkamenet | ❌ Nem |
stripe_mid |
Funkcionális | Stripe fizetési munkamenet | ❌ Nem |
_ga, _gid |
Analitika | Google Analytics 4 | ✅ IGEN |
_fbp |
Marketing | Facebook Pixel (ha van) | ✅ IGEN |
af_id |
Marketing | Affiliate tracking (UTM) | ✅ IGEN |
Cookie banner kötelező elemek
A cookie banner-nek tartalmaznia kell:
1. Mit gyűjtünk és miért (rövid, world féle szöveg)
2. „Minden elfogadása" gomb (kiemelkedő)
3. „Csak szükségesek" gomb (egyenrangú, nem elrejtve!)
4. „Beállítások" link (részletes kategória-kezelés)
5. Link a teljes Cookie Policy-ra
Az ePrivacy Direktíva (és a CEE implementációk: PL: UDT Art. 173, HU: Eht. 155§, CZ: ZAZO) szerint az analitikai és marketing cookie-khoz explicit opt-in szükséges — nem elegendő az implicit elfogadás (pl. „az oldal böngészésével elfogad").
Ajánlott tool: Cookiebot (€9/hó) vagy CookieYes (ingyenes tier)
- Automatikusan scanneli a site cookie-ait
- Jogi megfelelőség minden CEE jogrendszerben
- GDPR-kompatibilis consent log (audit esetén szükséges)
7. ROPA (Article 30) — sablon
GDPR 30. cikk: Adatkezelési tevékenységek nyilvántartása
A ROPA belső dokumentum — nem publikus, de hatóság kérésére 72 órán belül be kell mutatni. A mikro-vállalkozás mentérsség (Art. 30(5)) NEM vonatkozik a VibeVox-re, mert a hangfeldolgozás folyamatos, szisztematikus és biometrikus jellőgű adatokkal érintkező. Negyedévente felülvizsgálandó.
A teljes ROPA kettős mátrix (Controller + Processor) lásd: 06_GDPR.md §15 — az onnan származó mezőstruktúra az UODO-kompatibilis alap.
Google Sheets ROPA feltöltési sorrend:
- Controller mátrix: STT Transkripció, Felhasználói fiók, Számlázás, Hibannapló
- Processor mátrix: B2B Managed Cloud feldolgozás
- Negyedéves feülvizsgáló emlékeztető beállítása (Google Calendar)
- A DataRep regisztrációhoz feltöltés 30 napon belül
Célfájl: docs/Legal/ROPA.xlsx
RECORDS OF PROCESSING ACTIVITIES (ROPA)
Europa Trade Studio LLC
Adatvédelmi felelős: [DPO / Founder neve]
Utolsó felülvizsgálat: 2026. április
ADATKEZELÉSI TEVÉKENYSÉG #1: STT Transzkripció (Managed Cloud)
Adatkezelő: Europa Trade Studio LLC
Közös adatkezelők: —
Érintetti kategóriák: B2C felhasználók (természetes személyek)
Adatkategóriák: hangfelvétel (átmeneti), szöveges átirat
Adatkezelés célja: hangfelismerés és szövegátirat-készítés
Jogalap (Art. 6): (b) Szerződés teljesítése
Megőrzési idő: hangfelvétel = 0 (azonnali törlés); szöveg = felhasználó döntéséig
Határon átnyúló továbbítás: Groq (US, SCC), Supabase (Zürich)
Biztonsági intézkedések: TLS 1.3, proxy-szintű titkosítás
ADATKEZELÉSI TEVÉKENYSÉG #2: Felhasználói fiók és szinkronizáció
Adatkezelő: Europa Trade Studio LLC
Érintetti kategóriák: regisztrált felhasználók
Adatkategóriák: email, history, szókincs, usage statisztikák
Adatkezelés célja: account management, szinkronizáció
Jogalap (Art. 6): (b) Szerződés teljesítése
Megőrzési idő: fiók törléséig, max. 3 év inaktivitás után
Határon átnyúló továbbítás: Supabase (Zürich, EU)
Biztonsági intézkedések: row-level security, Supabase Auth JWT
ADATKEZELÉSI TEVÉKENYSÉG #3: Számlázás és előfizetés
Adatkezelő: Europa Trade Studio LLC
Érintetti kategóriák: fizető ügyfelek
Adatkategóriák: email, számlázási cím, kártya metaadat (tokenizált)
Adatkezelés célja: fizetés feldolgozása, előfizetés kezelése
Jogalap (Art. 6): (b) Szerződés teljesítése; (c) jogi kötelezettség (adójog)
Megőrzési idő: 7 év (EU adójogi kötelezettség)
Határon átnyúló továbbítás: Stripe (EU DPA, PCI DSS L1)
ADATKEZELÉSI TEVÉKENYSÉG #4: Hibanarológ (opt-in)
Adatkezelő: Europa Trade Studio LLC
Adatkategóriák: anonymizált crash stack trace, platform info
Adatkezelés célja: szoftver hibák azonosítása
Jogalap (Art. 6): (a) Hozzájárulás
Megőrzési idő: 90 nap
Határon átnyúló továbbítás: Sentry (US, SCC, send_default_pii=False)
8. EU Képviselő (Art. 27) — kijelölési folyamat
Ez a legkönnyebben és legolcsóbban teljesíthető GDPR kötelezettség (~€200/év, 1 form), de elmulasztása automatikusan kizár a B2B compliance csomagból és €10M bírságkockázatot jelent.
Provider összehasonlítás
| Provider | Éves díj | Lefedettség | Regisztráció |
|---|---|---|---|
| DataRep | ~€150-300/év | EU + UK opcióval | datarep.com/contact |
| VeraSafe | ~€200-400/év | EU + UK + Svájc | verasafe.com |
| Prighter | ~€300-600/év | EU + UK, DACH fókusz | prighter.com |
Teendők sorrendben
1. ✅ Döntsd el a providert (javasolt: DataRep — legolcsóbb, megbízható)
2. ✅ Töltsd ki az online formot (becsült idő: 20 perc)
3. ✅ Fizess (éves díj, kártyával)
4. ✅ Kapd meg a visszaigazolást + adataikat
5. ✅ Frissítsd a Privacy Policy-t (EU Képviselő szekció)
6. ✅ Kész — B2B launch blokkerei közül egy levehető
Becsült összidő: 30 perc + 1-2 munkanap átfutás
9. NIS2 nyilatkozat sablon
NIS2 SZÁLLÍTÓI MEGFELELŐSÉGI NYILATKOZAT
(Self-Assessment Statement)
Europa Trade Studio LLC („ETS LLC") nyilatkozatot tesz, hogy a
VibeVox szoftver fejlesztése és üzemeltetése során az
alabbi kiberbiztonsági intézkedéseket alkalmazza:
TECHNIKAI INTÉZKEDÉSEK:
□ TLS 1.3 titkosítás minden adattávital-hoz
□ OAuth2 / JWT alapú autentikáció
□ Row-level security (Supabase)
□ Dependency vulnerability scanning (pip-audit, Dependabot)
□ Crash monitoring és riasztás (Sentry)
□ Rendszeres biztonsági frissítések
SZERVEZETI INTÉZKEDÉSEK:
□ Incidenskezelési eljárás dokumentalva
□ Hozzáférés-kontroll (least privilege)
□ Sub-processor kockázatrtékelsé (ld. Sub-processor Lista)
□ GDPR-kompatibilis adatkezelés (ld. Privacy Policy + DPA)
MEGJEGYZÉS: Az ETS LLC mikroenterprise (< 10 fő, < €2M árbevétel)
— közvetlen NIS2 kötelezettség nem vonatkozik rá. Ez a nyilatkozat
önkéntes, B2B vásárlói igény kielégítése céljából készült.
Kelt: [dátum]
Aláírta: [Founder neve], ETS LLC
NIS2 kockázatbecslés — VibeVox supply chain pozíció
A NIS2 Irányelv (EU 2022/2555) a B2B ügyfél (pl. ügyvédi iroda, klinika) kötelesszégeit határozza meg — de szponzáló jellegű követelményeket támaszt a VibeVox felé mint ICT szzállító felé is. Ezt a kézelési módot kell definiálni.
| NIS2 alkalmazási szint | Meghatározás | VibeVox-re vonatkozás |
|---|---|---|
| Hataskör | Önkormányzatok, EHR rendszerek, penzügyi intézmények | Közvetlen NIS2 alany: NEM VibeVox |
| Supply chain követelmény | A hatáskörös entitásoknak biztonsági követelményeket kell támasztani szállítóikkal szemben (NIS2 Art. 21(d)) | A VibeVox szállítói self-assessment nyilatkozat elegendő |
| Alkalmazási külsőb. 1 | Az ETS LLC mikroenterprise kivétel alatt | Közvetlen NIS2 audit NEM szükséges |
| Alkalmazási külsőb. 2 | A NIS2-alany ügyfél (klinika, jogi iroda) lekérdezhető tšlálőkat várhat a VibeVox-től | -> Self-Assessment nyilatkozat + DPIA-támogató doku. |
Követelmény-térkép (Art. 21 ellen pérban):
| NIS2 Art. 21 követelmény | VibeVox megfelelés | Dokumentum |
|---|---|---|
| (a) Kockázatkezelési policy | ✅ GDPR + sub-processor risk matrix | 06_GDPR.md |
| (b) Incidenskezelés | ✅ Sentry riasztás + Privacy Policy 72h SLA | Privacy Policy |
| (c) Üzletmenet-folytonosság | ✅ Gro Frankfurt failover + Supabase HA | 10_Tech_Architecture.md |
| (d) Supply chain biztonság | ✅ Sub-processor kockázatrtékelsé | 08_Compliance.md #5 |
| (e) Biztonságos fejlesztés | ✅ pip-audit, Dependabot, TLS 1.3 | 10_Tech_Architecture.md |
| (f) Sebezhetőség-kezelés | ✅ pip-audit + Dependabot + patch policy | Dev workflow |
10. DPIA-trigger mátrix (B2B küldéshez)
Az EU GDPR Art. 35 DPIA általában a B2B ügyfél feladata — de a VibeVox-nek bizonyítékokat kell serviceálni ahhoz, hogy az ügyfél a DPIA-ját elkészíthesse. Ez a táblázat a döntési fa az ügyfél számára.
| Feltétel | DPIA szükséges? | VibeVox-től szükséges anyag |
|---|---|---|
| B2B ügyfél = kórház / klinika (egészségügyi szektori NIS2 alany) | ✅ IGEN | Architekturális adatlap + Data Flow Diagram + Sub-processor lista |
| B2B ügyfél = ügyvédi iroda (5+ fő) | ✅ IGEN | DPA + Zero Retention Policy + Sub-processor |
| B2B ügyfél = könyvelőiroda (<10 fő) | ❌ NEM (mikroenterprise kivétel) | DPA elegendő |
| Kezelt adatok = egészségügyi adatok (GDPR Art. 9) | ✅ IGEN (kötelező) | BYOK opció ajánlása + Audio Ephemeral Policy |
| BYOK módban, ügyfél saját API-ja | ❌NEM (VibeVox nem processor) | BYOK Mode Explainer dokumentum |
DPIA-támogató adatlap tartalma (VibeVox-től):
Adatfolyam-diagram (Data Flow Diagram): Felhasznláló mic → VibeVox app (memória only) → Proxy (TLS) → Groq API (Frankfurt) → Átirat → Supabase (Zürich)
Adatkategóriák és adatmegőrzés
- Hang: 0 sec (nem tárolt)
- Átirat: felhasználó törvényi igényig (törles zt kérendo)
Alrendszer kiberbiztonsgi bizonyíték
- TLS 1.3 minden érintkezséi pontban
- Supabase RLS, Stripe PCI DSS L1, SCC
NIS2 megfelelősi nyilatkozat (Self-Assessment)
11. B2B Compliance csomag összeállítása
Mit kap kézhez egy B2B ügyfél a sales folyamat során:
Due diligence csomag (sales call után, DPA aláírás előtt)
📦 VibeVox B2B Compliance Package v1.0
├── 01_Privacy_Policy.pdf — publikus, aktualizált
├── 02_DPA_ManagedCloud.pdf — B2B DPA (Managed Cloud)
│ VAGY
│ 02_DPA_BYOK.pdf — B2B DPA (BYOK)
├── 03_Zero_Retention_Policy.pdf — hangfelvétel kezelési garancia
├── 04_Sub_Processor_List.pdf — Groq, Supabase, Stripe, etc.
└── 05_EU_Representative.pdf — Art. 27 EU képviselő adatai
Kiegészítő anyagok (kérésre)
├── ROPA_excerpt.pdf — GDPR 30. cikk kivonata
├── NIS2_SelfAssessment.pdf — Fázis 1-től! (B2B pilot előtt kötelező)
└── DPIA_Support_Pack.pdf — Fázis 1 B2B (DPIA-trigger mező + architekturális adatlap)
B2B sales email compliance bekezdés
A VibeVox teljes compliance csomagot biztosít B2B ügyfeleknek:
DPA, Zero Retention Policy, Sub-processor Lista és EU Képviselő
adatait. Az EU adatrezidencia igény esetén Azure OpenAI BYOK
opciónk 100%-os EU adattárolást garantál — személyes
onboarding segítséggel.
[COMPLIANCE CSOMAG LETÖLTÉSE] [DPA ALÁÍRÁSA] [IDŐPONT EGYEZTETÉS]
11. OARS 1.1 Minősítés (Flathub kötelező)
Az OARS blokk hiánya a .metainfo.xml-ből fatal linter error — az app el sem jut a manuális review fázisba. Ez a legkönnyebben elkerülhető, de leggyakrabban bekövetkező launch blocker.
VibeVox konfiguráció (jogszerű money-purchasing = none)
<content_rating type="oars-1.1">
<content_attribute id="violence-cartoon">none</content_attribute>
<content_attribute id="social-chat">none</content_attribute>
<content_attribute id="social-info">none</content_attribute>
<content_attribute id="social-audio">none</content_attribute>
<content_attribute id="social-location">none</content_attribute>
<content_attribute id="social-contacts">none</content_attribute>
<content_attribute id="money-purchasing">none</content_attribute>
<content_attribute id="money-gambling">none</content_attribute>
</content_rating>
A money-purchasing = none érték jogszerű, mert a VibeVox fizetési folyamata out-of-band:
a Stripe checkout böngészőben fut, nem natív OS API-on keresztül.
Ez a modell egyszerre:
- ✅ Elkerüli a Flathub revenue share-t
- ✅ Megtartja a legalacsonyabb OARS minősítést (nincs parental control filter)
- ✅ GDPR Art. 5(1)(c) adatminimalizálás: a Flatpak sandbox nem lát fizetési adatot
OARS és AppStream ellenőrzőlista
Beágyazandó fájl: com.voicetypingbyjoe.VoiceTypingByJoe.metainfo.xml
Kötelező blokkok ellenőrzése (appstreamcli lint):
□ <content_rating type="oars-1.1"> blokk jelen van
□ <branding> tag: light + dark hex szín (nem pure fehér/fekete/szürke)
□ <summary> max 35 karakter, nem ismétli az app nevet
□ Minden <screenshot> tartalmaz xml:lang attribútumot (BCP47)
□ <url type="homepage"> megadva
□ <developer> vagy <developer_name> megadva
Fatal linter hibák (automatikus elutasítás):
❌ OARS blokk hiánya
❌ Summary > 35 karakter
❌ Screenshot méret < 624px szélesség
❌ Caption ponttal végződik VAGY számmal kezdődik
Részletes technikai spec: docs/Business Plan/17_Flathub_Metadata.md
Kapcsolódó dokumentumok:
06_GDPR.md— Részletes compliance architektúra (Controller/Processor mátrix, Groq kockázati elemzés, Article 9)04_Sales_B2C.md— B2B értékesítési playbook01_Strategy.md— Üzleti stratégia összefoglaló17_Flathub_Metadata.md— AppStream XML technikai spec (OARS, screenshots, branding)privacy-policy.html— Jelenlegi Privacy Policy (frissítendő)
12. LTD ToS Klausulák — Kötelező szövegek (Fázis 1 — P0)
Forrás:
byok_ltd_gtm_analysis.md§7 — alapítói döntések (2026-04-18) Státusz: ✅ Stratégiailag eldöntött — implementálandó a ToS-ba launch előtt
12.1. BYOK Pénzügyi Felelősségkorlátozás
BYOK PÉNZÜGYI FELELŐSSÉGKORLÁTOZÁS
A VibeVox BYOK (Bring Your Own API Key) módban a felhasználó
saját API kulcsát és fizetési kapcsolatát használja a kiválasztott
AI-szolgáltatóval (pl. Groq Inc., OpenAI, Microsoft Azure).
Az Europa Trade Studio LLC (ETS LLC) NEM felelős:
- A harmadik feles AI-szolgáltatók által felszámolt API-díjakért
- Az API-kulcs jogosulatlan használatából eredő díjakért
- A felhasználó által megadott API-kulcs érvényességéért vagy
biztonságáért
A felhasználó teljes felelősséggel tartozik az általa megadott
API-kulcshoz kapcsolódó fiókért és fizetési kötelezettségekért.
Ez a felelősségkorlátozás launch blocker — a BYOK mód elindítása előtt a ToS-ban kötelezően meg kell jelennie. EU fogyasztóvédelmi direktíva (2011/83/EU) értelmében a felhasználónak ezt a checkout oldalon is látnia kell.
12.2. Source Code Escrow Klausul
FORRÁSKÓD LETÉT (SOURCE CODE ESCROW)
Az ETS LLC kötelezettséget vállal arra, hogy a VibeVox szoftver
forráskódját egy megbízható harmadik fél letéti szolgáltatónál
(pl. CodeKeeper, EscrowTech) elhelyezi.
A forráskód kiadásának feltételei (Trigger Events):
a) Az ETS LLC megszűnik mint működő vállalkozás
b) Az ETS LLC nem tud kritikus biztonsági hibát javítani
90 napon belül
c) A VibeVox alapfunkciói (diktálás, BYOK mód) 180 napon
keresztül elérhetetlenek
A Lifetime Deal vásárlók esetén ez a klausul garantálja, hogy
az értük kifizetett €79-ért hosszú távon is hozzáférnek az
általuk megvásárolt szoftverhez.
Implementációs terv: Launch napján 1 hónapos CodeKeeper előfizetés aktiválása (~$29/hó). Ha az első hónapban érdemi traction mutatkozik, a szolgáltatás fenntartandó. Ha nem, a DIY escrow alternatívát (GitHub private repo + titkosított archív) alkalmazzuk a Fázis 2-től. Ez roadmap-tétel: Fázis 1 — P1.
12.3. LTD Licenc Feltételek (Eszközlimit + Visszatérítés)
LIFETIME DEAL (LTD) LICENC FELTÉTELEK
§3 — ESZKÖZLIMIT ÉS LICENC
Az LTD licenc egyetlen magánszemélynek szól, és legfeljebb három (3),
a vásárló tulajdonában lévő személyes eszközre telepíthető.
A licenc egy eszközről eltávolítható és egy másikra átvihető.
A licenc szigorúan nem átruházható harmadik félre.
Az ETS LLC fenntartja a jogot, hogy visszatérítés nélkül felmondja
azokat a licenceket, amelyek egyidejű használati mintái hitelesítő
adatok megosztására vagy automatikus bot-visszaélésre utalnak.
§5 — VISSZATÉRÍTÉSI GARANCIA
A vásárlásoktól a vásárlás dátumától számított 14 napon belül,
indoklás nélkül, teljes visszatérítés kérhető.
A visszatérítési igényt a support@vibevox.io email-re küldött
kéréssel lehet benyújtani.
A visszatérítés után a licenc automatikusan törlődik.
Alapítói döntés (2026-04-18): A 14 napos no-questions-asked visszatérítés azért kötelező, mert a Stripe checkout oldalon EU jogi kötelezettség a refund policy feltüntetése — a „nincs visszatérítés" felirat konverziót rontó marketing üzenet lenne. Az ingyenes tier (~20 000 szó/hó) elegendő az app megismeréséhez, de a checkout konverzió fontosabb. Technikai implementáció: A 3 eszköz/licenc limit device activation trackingot igényel (aktiválás nyilvántartása + uninstall-alapú slot felszabadítás). Ez roadmap-tétel: Fázis 1 — P1 technikai task.