- Versleuteling in rust
- Alle cv's en analyserecords worden opgeslagen op versleutelde Google Cloud Storage met AES-256. De versleuteling wordt beheerd door Google Cloud en standaard op elk bestand toegepast.
- Versleuteling onderweg
- Al het verkeer tussen je browser, onze service en de opslag verloopt via TLS 1.2+. We staan geen onversleutelde HTTP-verbindingen toe.
- Tenant-isolatie
- Multi-tenant van opzet, geïsoleerd op tenant-ID in de toegangscontrolelaag. Je queries kunnen alleen jouw records teruggeven - afgedwongen aan de serverkant, niet alleen verborgen in de UI.
- Authenticatie
- E-mail + wachtwoord met strenge wachtwoordeisen, plus optionele SSO (SAML 2.0 / OIDC) op Enterprise. Elke toegang vereist herauthenticatie bij het verlopen van de sessie.
- Gegevenslocatie
- De standaardregio is de VS (Google Cloud us-central1). Enterprise-klanten kunnen onder hun DPA opslag in de EU of Canada aanvragen.
- Back-ups
- Versleutelde dagelijkse back-ups met point-in-time recovery gedurende 30 dagen. Back-ups blijven binnen dezelfde locatieregio als je live gegevens.
- Bewaring en verwijdering
- Cv's worden bewaard zolang je de analyse behoudt. Het verwijderen van een analyse wist de cv's onmiddellijk; back-ups verdwijnen binnen 30 dagen. Verwijdering op accountniveau op verzoek is permanent.
- Geen training, geen deling
- We gebruiken cv's van klanten niet om enig model te trainen. We delen cv's, analyses of kandidaatgegevens nooit met derden voor marketing of benchmarking.
- Subverwerkers
- We gebruiken een kleine set gescreende infrastructuuraanbieders (Google Cloud voor opslag en compute; Stripe voor facturering bij betaalde abonnementen; een e-mailaanbieder voor transactionele mail). De huidige lijst is op verzoek beschikbaar en wordt vóór elke wijziging gepubliceerd.
- Toegangscontroles (intern)
- Toegang tot productiegegevens vereist goedkeuring op naam, wordt gelogd en wordt alleen verleend voor expliciete supportzaken die jij hebt geopend. Er is geen "even rondkijken"-pad naar je gegevens.
- Incidentrespons
- Als een beveiligingsincident je gegevens treft, brengen we je binnen 72 uur schriftelijk op de hoogte met een beschrijving, omvang en herstelplan.
- Compliance-houding
- We volgen de AVG-principes voor gegevensminimalisatie, toegang en verwijdering. Enterprise-contracten kunnen een Data Processing Addendum (DPA) bevatten. Formele SOC 2 / ISO 27001-attesten staan op onze roadmap; neem contact op voor onze huidige beveiligingsvragenlijst.
Eén eerlijke regel: we zijn een jong bedrijf. We claimen geen certificeringen die we niet hebben. Wat we wél hebben, is een helder beleid, een schone architectuur en de bereidheid om het voor je op papier te zetten.