Arsitektur Mengutamakan Privasi

Kepercayaan & Kepatuhan

Caiioo adalah perangkat lunak yang berjalan secara lokal. Kami tidak memproses, menyimpan, atau mengakses data Anda. Semua pemrosesan terjadi di perangkat Anda, di peramban Anda, di bawah kendali Anda.

Nol Ekspor Data

Bukan Pemroses Data

Tanpa Titik Masuk

Privasi Berdasarkan Desain

Tersertifikasi Keamanan ESOF

Cara Kerja

Caiioo adalah aplikasi perangkat lunak lokal dan sistem lintas platform yang berjalan sepenuhnya pada perangkat lokal. Berbeda dengan platform SaaS, perusahaan tidak memiliki server yang menerima, memproses, atau menyimpan percakapan, perintah, pengaturan, hasil, atau lampiran Anda. Koneksi apa pun ke layanan AI pihak ketiga dilakukan langsung dari perangkat Anda menggunakan kredensial Anda. Kami adalah vendor perangkat lunak, dengan satu-satunya layanan cloud kami adalah untuk lisensi dan relai pribadi terenkripsi.

Pemrosesan Data & Privasi

GDPR

Status Non-Pemroses

Caiioo adalah aplikasi perangkat lunak yang berjalan secara lokal. Berbeda dengan platform SaaS, perusahaan Caiioo tidak memproses, menyimpan, atau memiliki akses ke data yang ditangani oleh ekstensi. Semua pemrosesan data terjadi di dalam lingkungan peramban lokal pengguna.

Di bawah GDPR, Caiioo adalah Vendor Perangkat Lunak, bukan Pemroses Data, karena kami tidak menangani data pribadi atas nama pelanggan.

Nol Ekspor

Nol Ekspor Data

Ekstensi ini dirancang untuk berfungsi sebagai amplop aman. Tidak ada informasi rahasia, perintah, atau data pribadi yang pernah dikirim ke server caiioo.

Satu-satunya data yang diekspor ke sistem kami terbatas pada metadata penagihan dan manajemen akun yang tidak sensitif: email, nama tampilan, dan avatar.

HIPAA & Kepatuhan Regulasi

HIPAA

Bukan Rekan Bisnis

Caiioo tidak membuat, menerima, memelihara, atau mengirimkan Informasi Kesehatan yang Dilindungi (PHI) sebagaimana didefinisikan oleh HIPAA. Ekstensi ini berfungsi sebagai alat lokal, mirip dengan editor teks lokal atau peramban.

Karena Caiioo (perusahaan) tidak pernah memiliki akses rutin ke data yang diproses oleh pengguna, ia tidak memenuhi syarat sebagai Rekan Bisnis atau Subkontraktor.

Koneksi Langsung

Konektivitas Terkendali Pengguna

Koneksi apa pun ke LLM pihak ketiga dibangun langsung dari perangkat pengguna. Caiioo tidak bertindak sebagai proksi atau perantara untuk aliran data ini. Kunci API Anda, kredensial Anda, koneksi langsung Anda.

Arsitektur Keamanan

SOC 2

Penerapan SOC 2

Caiioo tidak menampung, menyimpan, atau mengelola data pelanggan. Oleh karena itu, audit SOC 2 Tipe II—yang berfokus pada kontrol layanan cloud—tidak berlaku untuk model bisnis kami. Fokus keamanan kami adalah pada:

Integritas Kode — rilis yang ditandatangani secara kriptografis dan jejak audit terbuka
Sandbox Aman — arsitektur ekstensi browser memberlakukan isolasi ketat

GDPR

Kepatuhan GDPR

Kami sepenuhnya patuh pada GDPR melalui Minimisasi Data dan Privasi berdasarkan Desain. Dengan memastikan bahwa kami tidak pernah menerima data pribadi, kami meniadakan risiko yang terkait dengan residensi data dan transfer internasional.

Minimisasi Data — kami hanya mengumpulkan email, nama, dan avatar untuk identifikasi akun
Privasi berdasarkan Desain — arsitektur kami membuat mustahil bagi kami untuk mengakses data Anda

Arsitektur Zero-Entry-Point

Caiioo adalah aplikasi klien Zero-Entry-Point. Dengan mengeksekusi sepenuhnya di dalam sandbox peramban yang aman dan hanya memulai koneksi keluar yang diizinkan pengguna ke penyedia SaaS yang ada, Caiioo memberikan kemampuan AI tanpa memperluas permukaan serangan eksternal organisasi.

Prinsip Keamanan Arsitektural

Arsitektur Caiioo menghilangkan seluruh kategori risiko berdasarkan desain.

Tanpa Peningkatan Permukaan Serangan

Caiioo tidak bertindak sebagai server—ia adalah agen sisi klien. Ekstensi tidak membuka port apa pun pada perangkat pengguna atau firewall perusahaan. Koneksi ke Google Workspace atau Cloud LLM dimulai keluar dari peramban, menggunakan protokol HTTPS/TLS yang sama yang sudah disetujui oleh organisasi. Karena tidak ada "Caiioo Cloud" yang bertindak sebagai proksi, penyerang tidak dapat menembus infrastruktur Caiioo untuk mendapatkan akses ke jaringan internal pelanggan.

Amplop Keamanan

Caiioo beroperasi di dalam sandbox ekstensi Chrome/Safari. Ini memberikan isolasi proses—perangkat lunak tidak dapat mengakses sistem file pengguna atau aplikasi lain di luar peramban—dan cakupan izin, di mana ekstensi hanya berinteraksi dengan halaman web dan API tertentu yang secara eksplisit diberikan oleh pengguna.

Aliran Data Non-Kustodian

Caiioo (perusahaan) tidak pernah menjadi pihak dalam pertukaran data. Dalam model standar, data mengalir langsung dari peramban ke penyedia LLM. Dalam model lokal, data tidak pernah meninggalkan perangkat pengguna. Dalam kedua skenario, server Caiioo hanya menangani metadata terkait status langganan—tidak pernah konten perintah atau dokumen.

Model Penerapan

Standar (Hybrid Cloud)

Peramban terhubung langsung ke penyedia AI cloud dan Google Workspace. Autentikasi Caiioo hanya menerima metadata penagihan.

Air-Gapped (Lokal Sepenuhnya)

Semua pemrosesan AI melalui server Ollama lokal. Satu-satunya koneksi keluar adalah validasi lisensi. Tanpa ekspor data.

Verifikasi sendiri

Klaim privasi di halaman ini bersifat struktural — klaim tersebut berlaku karena cara kode ditulis, bukan karena apa yang kami janjikan. Kami telah menerbitkan file-file penting keamanan di repositori publik sehingga siapa pun dapat membaca, mengaudit, atau merujuknya.

Baca kode penting keamanan di GitHub

Apa yang ada di repositori publik

Modul koneksi OAuth — membuktikan token OAuth Google Workspace disimpan terenkripsi di perangkat Anda, bukan di server kami.
WebSocket Durable Object milik relai — membuktikan bus pesan terenkripsi end-to-end; kami merutekan ciphertext tetapi tidak dapat membacanya.
Handler pertukaran kode OAuth — membuktikan bahwa ini adalah proksi stateless yang tidak menyimpan token secara permanen.
Skema database lengkap dan migrasi — membuktikan kolom apa yang kami miliki dan, yang lebih penting, kolom apa yang tidak kami miliki.
Narasi ARCHITECTURE.md — menelusuri setiap klaim privasi kembali ke file dan baris tertentu.

Apa yang tidak ada di repositori publik

Orkestrator agen, UI panel samping, mode dan perintah, alat admin internal, dan skrip penerapan tetap menjadi hak milik. Hal-hal tersebut tidak menopang klaim privasi, dan menjadikannya sumber terbuka adalah keputusan terpisah.

Pantau lalu lintas jaringan yang sebenarnya

Jika membaca kode bukan metode verifikasi pilihan Anda, jalankan monitor jaringan (Little Snitch di macOS, GlassWire di Windows, Wireshark di mana saja) saat menggunakan caiioo. Data Workspace Anda berpindah dari perangkat Anda ke Google, titik. Lalu lintas ke infrastruktur kami mencakup daftar operasi kecil yang dapat dihitung: pertukaran kode OAuth, validasi lisensi, pengambilan konten, bus pesan antar-perangkat yang terenkripsi, dan webhook pesan opt-in. Tidak ada satu pun dari hal tersebut yang membawa konten Workspace Anda.

Lihat tabel lalu lintas lengkap di postingan blog kami →

Menemukan masalah keamanan?

Kami memperlakukan peneliti keamanan sebagai kolaborator. Email [email protected], atau baca kebijakan pengungkapan lengkap di SECURITY.md dalam repo transparansi. Kami berkomitmen untuk memberikan pengakuan dalam waktu dua hari kerja.

Arsitektur Aliran Data

Memahami di mana data Anda berada dan siapa yang dapat mengaksesnya.

Perangkat Anda

Percakapan & riwayat
API keys & kredensial
Pengaturan & preferensi
File & lampiran

Koneksi Langsung

Perangkat Anda terhubung langsung ke penyedia AI (OpenRouter, Ollama, Gemini, dll.) menggunakan kredensial Anda. Caiioo tidak pernah berada di tengah koneksi ini.

Server Caiioo

Tidak ada data percakapan
Tanpa informasi pribadi
Hanya metadata penagihan

Caiioo v. Layanan Cloud AI

Lebih sedikit lompatan data, tanpa salinan eksternal permanen, serta penyimpanan dan pemrosesan lokal berarti celah serangan yang lebih minim.

SaaS AI Tradisional

Anda

Prompt, berkas, percakapan, kebiasaan, preferensi, konteks Anda

↓

Semuanya dikirim ke server mereka

Platform SaaS (Terpusat)

Data Seluruh Pengguna dalam SATU basis data

Alur Pelatihan Data Anda meningkatkan model MEREKA

Analitik Perilaku Pembuatan profil penggunaan, penargetan iklan

Akses Karyawan Staf dapat membaca obrolan

Mitra Pihak Ketiga Pengiklan, makelar data

Permintaan Pemerintah / Hukum Panggilan pengadilan, surat perintah

↓

Semua data mengalir ke hilir

Perantara Integrasi

SaaS Menjadi Proksi Integrasi Anda Kalender, email, berkas mengalir MELALUI platform

Mereka Melihat Segalanya Acara, kontak, dokumen Anda — dicatat dan disimpan

↓

Alur AI Internal (Tersembunyi dari Anda)

Model AI Milik Mereka Data disimpan untuk "peningkatan layanan"

Sub-prosesor Data diteruskan ke AI pihak ke-3 tanpa persetujuan Anda

Retensi Log Prompt disimpan selama 30–90+ hari

Tanpa Jaminan ZDR Sub-prosesor dapat menyimpan, mencatat, atau melatih data Anda

Setiap lompatan = salinan data lain di luar kendali Anda

↓

PELANGGARAN DATAJutaan data terekspos dari satu server

PENYALAHGUNAAN PERUSAHAANPerubahan kebijakan, data dijual

KEBOCORAN RANTAI PASOKANPelanggaran sub-prosesor mengekspos data Anda

PENGAWASAN PEMERINTAHWaran massal, pengumpulan massal

KRIMINALPencurian identitas, penipuan, pemerasan

KARYAWAN NAKALAkses orang dalam untuk membaca, menyalin, atau menjual data

6+salinan data Anda
di berbagai server yang tidak Anda kendalikan

DATA ANDA TERSIMPAN DI:

Basis data pusat mereka
Alur pelatihan mereka
Sistem analitik mereka
Log sub-prosesor mereka
Sistem mitra mereka
Layanan hilir yang tidak diketahui

Caiioo (Privasi-Utama + Nol Retensi Data)

Anda

Prompt, file, percakapan, kebiasaan, preferensi, konteks Anda

↓

Tetap di perangkat

PERANGKAT ANDA — Semuanya tetap di sini

Perangkat Anda (Lokal Utama)

Data Anda — HANYA milik Anda

Kesadaran Konteks Data Anda meningkatkan akurasi dan gaya respons Caiioo kepada Anda

Agen AI Berjalan secara lokal

Sinkronisasi Pribadi Terenkripsi E2E Objek Tahan Lama Anda

Model AI — Pilih Jalur Anda

Opsi A: Lokal (Ollama)

AI Sepenuhnya Di Perangkat Model berjalan secara lokal. Tidak ada yang meninggalkan mesin Anda. Nol paparan jaringan.

Tetap berada di dalam batas perangkat

ATAU

Opsi B: OpenRouter (ZDR)

ZDR Diterapkan Kontrak perusahaan menjamin nol retensi

Tanpa Log, Tanpa Penyimpanan Prompt tidak disimpan oleh penyedia

Tanpa Pelatihan Lalu lintas API dikecualikan dari pelatihan

Ganti Kapan Saja Claude, GPT, Gemini — tanpa keterikatan

Prompt masuk → Respons keluar → Tidak ada yang disimpan.
Hanya prompt saat ini yang dikirim (stateless). Dijamin secara kontraktual.

Eksternal — melintasi batas perangkat

Jangkauan selektif — hanya apa yang diperlukan prompt, tidak lebih

Integrasi Alat & API (BYOA)

Kredensial Anda, koneksi langsung — sesuai arahan Anda

BYOA — Bawa Akun Anda Sendiri

OAuth Anda, Koneksi Anda Google Calendar, email, file terhubung dengan kredensial ANDA langsung ke API layanan

Tanpa Proksi SaaS Caiioo tidak pernah menyentuh data integrasi Anda. Data tersebut tetap berada di antara Anda dan API.

Tanpa Pencatatan Perantara Kalender, kontak, file — semua diakses secara langsung. Tidak ada caching atau penyimpanan oleh caiioo.

0salinan permanen data Anda
di server orang lain

DATA ANDA BERADA DI:

Perangkat Anda

Itu saja.

ZDR = Zero Data Retention
Tanpa log. Tanpa penyimpanan. Tanpa pelatihan.
Diterapkan secara kontraktual oleh OpenRouter.
Filter ZDR Caiioo memastikan hanya
model yang patuh ZDR yang ditampilkan.

Perbandingan Risiko Konkret: Permukaan Serangan berdasarkan Skenario

Skenario Risiko	SaaS Tradisional	Caiioo	Permukaan Serangan
Pelanggaran Data Terpusat Penyerang menyusupi infrastruktur server	✘ Jutaan obrolan, berkas, dan data pribadi pengguna terekspos dalam satu peristiwa. DB Terpusat = target utama.	✔ Tidak ada penyimpanan terpusat untuk ditembus. Data setiap pengguna hanya ada di perangkat mereka. Risiko perangkat individu tetap ada, tetapi tidak ada eksposur massal.	● TINGGIvs● MINIMAL
Retensi Data Alur AI Prompt Anda disimpan dalam log penyedia	✘ SaaS menyimpan prompt selama 30–90+ hari untuk "peningkatan layanan." Sub-prosesor mungkin juga menyimpannya.	✔ OpenRouter memberlakukan ZDR — tidak ada retensi log, tidak ada penyimpanan. Model lokal tidak menyimpan apa pun.*	● TINGGIvs● MINIMAL
Kebocoran Rantai Pasokan / Sub-Prosesor Data diteruskan ke AI pihak ketiga tanpa persetujuan	✘ SaaS mungkin merutekan data melalui sub-prosesor yang tidak dikenal. Tidak ada jaminan ZDR di hilir.	✔ ZDR OpenRouter mencakup semua penyedia yang ditampilkan saat pemfilteran ZDR aktif. Model lokal tidak memiliki eksposur jaringan.	● TINGGIvs● MINIMAL
Pelatihan Model pada Data Anda Percakapan pribadi digunakan untuk melatih AI	✘ Opsi keluar terkubur di pengaturan, sering kali aktif secara default untuk tingkat konsumen. Sub-prosesor mungkin melatih pada data yang disimpan.	✔ Penyedia ZDR tidak memiliki data untuk dilatih. Lalu lintas API secara kontraktual dikecualikan. Model lokal tidak pernah meninggalkan perangkat.	● TINGGIvs● MINIMAL
Serangan Spearphishing / Identitas Percakapan AI yang bocor memicu serangan terarget	✘ Obrolan yang ditembus mengungkap minat, jadwal, kontak, gaya penulisan — ideal untuk phishing terarget.	✔ Tidak ada penyimpanan di sisi server = tidak ada data massal untuk penyerang. Pemrosesan singkat dalam transit ada, tetapi tidak ada data persisten untuk dieksfiltrasi.	● TINGGIvs● MINIMAL
Pembuatan Profil Perilaku & Penggunaan Data penggunaan diagregasi ke dalam profil	✘ Kebijakan privasi biasanya mengizinkan analitik penggunaan, berbagi data mitra, dan pembuatan profil perilaku.	✔ Tidak ada pipa analitik. Tidak ada akses mitra. Tidak ada log yang disimpan. Caiioo memproses secara lokal; OpenRouter tidak menyimpan percakapan.	● TINGGIvs● MINIMAL
Permintaan Pemerintah / Hukum Panggilan pengadilan, surat perintah, dan perintah data massal	✘ Perusahaan harus patuh. Log yang disimpan dan catatan sub-prosesor semuanya dapat dipaksa untuk diberikan.	✔ Tidak ada data di sisi server untuk dipanggil — penyedia ZDR tidak menyimpan apa pun. Private Sync dienkripsi E2E.	● TINGGIvs● MINIMAL
Perubahan Kebijakan / ToS Sepihak Perusahaan memperluas penggunaan data secara retroaktif	✘ Mereka memegang data Anda. ToS retroaktif dapat memperluas penggunaan untuk pelatihan, iklan, atau berbagi.	✔ Caiioo tidak memegang data untuk dimonetisasi. Penyedia ZDR tidak menyimpan apa pun. Perubahan kebijakan tidak dapat memengaruhi apa yang tidak pernah disimpan.	● TINGGIvs● MINIMAL

* Bagan ini mengasumsikan filter ZDR Caiioo diaktifkan. Saat mode ZDR aktif, Caiioo hanya menampilkan model AI yang secara kontraktual diberlakukan nol retensi data oleh OpenRouter — penyedia yang tidak menawarkan ZDR secara otomatis dikecualikan dari daftar model.

PERBEDAAN UTAMA

SaaS tradisional menciptakan honeypot terpusat dari data intim, lalu meneruskannya melalui rantai sub-prosesor yang buram tanpa jaminan retensi data nol.

Caiioo menyimpan data di perangkat Anda, menjalankan AI secara lokal melalui Ollama atau merutekan panggilan melalui gateway ZDR OpenRouter, dan terhubung ke alat langsung dengan kredensial Anda sendiri (BYOA) — memastikan nol salinan permanen data Anda ada di server mana pun.

Bagaimana Caiioo Melindungi Privasi Saya?

Caiioo dirancang dari awal sebagai platform agen yang mengutamakan privasi. Berikut adalah perlindungan nyata yang dibangun ke dalam setiap lapisan produk.

Privasi Berdasarkan Silsilah

Caiioo dirancang oleh Fellows of Information Privacy (FIP), pakar keamanan bersertifikat CISSP, profesional privasi bersertifikat CIPP, dan profesional tata kelola AI bersertifikat AIGP, berkonsultasi dengan penasihat perlindungan data — menjadikannya platform agen privasi-berdasarkan-desain pertama yang dibangun dari awal.

#	Prinsip Privasi	Yang Kami Bangun	Cara Kerja
1	Minimisasi Data	Minimalisasi Data Radikal	Kami hanya mengumpulkan alamat email dan nama tampilan Anda untuk penagihan akun. Tidak ada data penggunaan, riwayat penelusuran, konten percakapan, atau analitik — tidak ada yang lain. Selamanya.
2	Pemberitahuan & Persetujuan	Persetujuan Tindakan Just-in-Time	Sebelum AI melakukan tindakan berdampak apa pun atau terhubung ke pihak ketiga eksternal, Caiioo menampilkan notifikasi jelas yang menunjukkan niat, detail tindakan, dan tingkat risiko — memerlukan persetujuan eksplisit Anda.
3	Portabilitas Data	Portabilitas Data Penuh	Data Anda adalah milik Anda dan dapat diekspor kapan saja melalui sistem cadangan dan pemulihan bawaan. Anda tidak pernah terkunci — bawa percakapan, pengaturan, dan konfigurasi Anda kapan saja.
4	Kerahasiaan & Integritas	Sinkronisasi Pribadi Terenkripsi Zero-Knowledge	Enkripsi AES-256-GCM dengan derivasi kunci PBKDF2 (100.000 iterasi). Data disimpan di Google Drive Anda, terbungkus enkripsi yang bahkan tidak bisa dibaca oleh Google. Jika Anda kehilangan passphrase, kami pun tidak dapat memulihkannya.
5	Pembatasan Tujuan	Nol Analitik & Telemetri	Tanpa layanan analitik, tanpa tracking pixel, tanpa pengumpulan event, tanpa pelaporan error yang mengirim data ke server kami. Kami sama sekali tidak memiliki visibilitas terhadap cara Anda menggunakan produk ini.
6	Persetujuan & Transparansi	Permintaan Izin Inkremental	Scope OAuth hanya diminta saat Anda pertama kali menggunakan fitur tertentu — bukan di awal. Penjelasan jelas tentang apa yang diminta dan alasannya, setiap saat.
7	Hak untuk Penghapusan (Pasal 17)	Hak untuk Penghapusan	Alat penghapusan data yang komprehensif, mulai dari presisi bedah hingga pembersihan total. Hapus percakapan individual, bersihkan cache, atau hapus seluruh data — Anda yang memegang kendali.
8	Pembatasan Penyimpanan	Simpan yang Penting, Buang Sisanya	Berbeda dengan platform yang memaksakan penghapusan semua-atau-tidak-sama-sekali, Caiioo memungkinkan Anda menandai apa yang ingin disimpan dan secara otomatis membuang sisanya. Kebijakan retensi yang dapat dikonfigurasi membersihkan akumulasi data seiring waktu.
9	Privasi Berdasarkan Desain & Setelan Standar	Arsitektur Local-First	Jalankan model AI secara lokal dengan Ollama, pengenalan suara di perangkat (Whisper) dan TTS (Kokoro), serta simpan semuanya secara lokal. Beroperasi sepenuhnya offline — nol data yang perlu keluar dari perangkat Anda.
10	Pembatasan Penyimpanan	Pemilihan Model Zero Data Retention	Filter dan pilih model AI dengan kebijakan ZDR — penyedia memproses permintaan Anda dan segera menghapusnya. Tanpa logging, tanpa pelatihan, tanpa retensi.
11	Hak Subjek Data	Kontrol Lokasi Granular	Pilih antara tanpa berbagi lokasi, presisi tingkat kota, atau detail alamat lengkap. Nonaktifkan dengan satu klik — semua data lokasi yang tersimpan akan segera dihapus secara permanen.
12	Transparansi	Tindakan AI yang Transparan	Setiap alat yang dapat menulis, mengubah, mengirim, atau menghapus data memerlukan persetujuan eksplisit Anda. Alat baca-saja (cari, telusuri, ringkas) berjalan tanpa gangguan. Anda melihat niat, detail tindakan, dan tingkat risiko sebelum apa pun dengan efek samping dieksekusi. Tidak ada hal konsekuensial yang disembunyikan atau otomatis.

Ada pertanyaan mengenai postur keamanan kami?

Baca Kebijakan Privasi lengkap kami untuk informasi mendalam tentang bagaimana data mengalir melalui ekstensi, atau mulai dengan Caiioo hari ini.

Baca Kebijakan Privasi Mulai Gratis