- Verschlüsselung im Ruhezustand
- Alle Lebensläufe und Analysedatensätze werden auf verschlüsseltem Google Cloud Storage mit AES-256 gespeichert. Die Verschlüsselung wird von Google Cloud verwaltet und standardmäßig auf jede Datei angewendet.
- Verschlüsselung bei der Übertragung
- Der gesamte Datenverkehr zwischen Ihrem Browser, unserem Dienst und dem Speicher läuft über TLS 1.2+. Unverschlüsselte HTTP-Verbindungen lassen wir nicht zu.
- Mandantentrennung
- Mandantenfähig by Design, getrennt nach Mandanten-ID auf der Ebene der Zugriffskontrolle. Ihre Abfragen können ausschließlich Ihre eigenen Datensätze zurückgeben - serverseitig erzwungen, nicht nur in der Oberfläche ausgeblendet.
- Authentifizierung
- E-Mail + Passwort mit strengen Passwortanforderungen, dazu optionales SSO (SAML 2.0 / OIDC) bei Enterprise. Jeder Zugriff erfordert nach Ablauf der Sitzung eine erneute Authentifizierung.
- Datenstandort
- Die Standardregion ist die USA (Google Cloud us-central1). Enterprise-Kunden können im Rahmen ihres AVV einen Standort in der EU oder in Kanada anfordern.
- Backups
- Verschlüsselte tägliche Backups mit Point-in-Time-Recovery über 30 Tage. Backups werden in derselben Region aufbewahrt wie Ihre Live-Daten.
- Aufbewahrung & Löschung
- Lebensläufe werden so lange aufbewahrt, wie Sie die Analyse behalten. Beim Löschen einer Analyse werden die Lebensläufe sofort entfernt; Backups laufen innerhalb von 30 Tagen aus. Die Löschung auf Kontoebene erfolgt auf Wunsch dauerhaft.
- Kein Training, keine Weitergabe
- Wir verwenden Kunden-Lebensläufe nicht, um irgendein Modell zu trainieren. Wir geben Lebensläufe, Analysen oder Kandidatendaten niemals zu Marketing- oder Benchmarking-Zwecken an Dritte weiter.
- Unterauftragsverarbeiter
- Wir nutzen eine kleine Zahl geprüfter Infrastrukturanbieter (Google Cloud für Speicher und Rechenleistung; Stripe für die Abrechnung in kostenpflichtigen Tarifen; einen E-Mail-Anbieter für transaktionale E-Mails). Die aktuelle Liste ist auf Anfrage erhältlich und wird vor jeder Änderung veröffentlicht.
- Zugriffskontrollen (intern)
- Der Zugriff auf Produktionsdaten erfordert eine namentliche Freigabe, wird protokolliert und nur für ausdrückliche, von Ihnen eröffnete Support-Fälle gewährt. Es gibt keinen Weg, einfach so in Ihren Daten zu stöbern.
- Reaktion auf Sicherheitsvorfälle
- Wenn ein Sicherheitsvorfall Ihre Daten betrifft, benachrichtigen wir Sie innerhalb von 72 Stunden schriftlich - mit Beschreibung, Umfang und Plan zur Behebung.
- Compliance-Status
- Wir folgen den DSGVO-Grundsätzen zu Datenminimierung, Auskunft und Löschung. Enterprise-Verträge können einen Auftragsverarbeitungsvertrag (AVV) enthalten. Formelle SOC-2- / ISO-27001-Nachweise stehen auf unserer Roadmap; fordern Sie unseren aktuellen Sicherheitsfragebogen an.
Eine ehrliche Anmerkung: Wir sind ein junges Unternehmen. Wir behaupten keine Zertifizierungen, die wir nicht haben. Was wir haben, ist eine klare Richtlinie, eine saubere Architektur und die Bereitschaft, Ihnen das schriftlich zu geben.