- Kryptering i hvile
- Alle CV'er og analyseposter gemmes på krypteret Google Cloud Storage med AES-256. Kryptering håndteres af Google Cloud og anvendes på hver fil som standard.
- Kryptering under transport
- Al trafik mellem din browser, vores tjeneste og storage går over TLS 1.2+. Vi tillader ikke almindelige HTTP-forbindelser.
- Tenant-isolation
- Multi-tenant af design, isoleret efter tenant-ID i adgangskontrol-laget. Dine forespørgsler kan kun returnere dine poster - håndhævet server-side, ikke bare skjult i UI'et.
- Autentificering
- E-mail + adgangskode med stærke adgangskodekrav, plus valgfri SSO (SAML 2.0 / OIDC) på Enterprise. Al adgang kræver ny autentificering, når sessionen udløber.
- Dataresidens
- Standardregionen er USA (Google Cloud us-central1). Enterprise-kunder kan anmode om EU- eller Canada-residens under deres DPA.
- Backups
- Krypterede daglige backups med point-in-time recovery i 30 dage. Backups opbevares inden for samme residensregion som dine live-data.
- Opbevaring og sletning
- CV'er opbevares, så længe du beholder analysen. Sletning af en analyse fjerner CV'erne med det samme; backups ruller af inden for 30 dage. Sletning på kontoniveau på forespørgsel er permanent.
- Ingen træning, ingen deling
- Vi bruger ikke kunders CV'er til at træne nogen model. Vi deler aldrig CV'er, analyser eller nogen kandidatdata med tredjeparter til marketing eller benchmarking.
- Underdatabehandlere
- Vi bruger et lille sæt af kontrollerede infrastrukturudbydere (Google Cloud til storage og compute; Stripe til fakturering på betalte planer; en e-mailudbyder til transaktionsmails). Den aktuelle liste er tilgængelig på forespørgsel og offentliggøres før enhver ændring.
- Adgangskontrol (internt)
- Adgang til produktionsdata kræver navngivet godkendelse, logges og gives kun til eksplicitte supportsager, du har åbnet. Der er ingen "bare lige kigge"-vej til dine data.
- Hændelseshåndtering
- Hvis en sikkerhedshændelse påvirker dine data, giver vi dig skriftlig besked inden for 72 timer med en beskrivelse, omfang og en udbedringsplan.
- Compliance-position
- Vi følger GDPR-principper for dataminimering, adgang og sletning. Enterprise-kontrakter kan inkludere en Data Processing Addendum (DPA). Formelle SOC 2 / ISO 27001-attesteringer er på vores roadmap; kontakt os for vores aktuelle sikkerhedsspørgeskema.
Én ærlig linje: vi er et ungt firma. Vi hævder ikke certificeringer, vi ikke har. Det, vi har, er en klar politik, en ren arkitektur og viljen til at sætte det på skrift til dig.