- Κρυπτογράφηση σε ηρεμία
- Όλα τα βιογραφικά και οι εγγραφές αναλύσεων αποθηκεύονται σε κρυπτογραφημένο Google Cloud Storage με AES-256. Η κρυπτογράφηση διαχειρίζεται από το Google Cloud και εφαρμόζεται σε κάθε αρχείο από προεπιλογή.
- Κρυπτογράφηση κατά τη μεταφορά
- Όλη η κίνηση μεταξύ του browser σας, της υπηρεσίας μας και της αποθήκευσης γίνεται μέσω TLS 1.2+. Δεν επιτρέπουμε απλές συνδέσεις HTTP.
- Απομόνωση tenant
- Multi-tenant εκ σχεδιασμού, απομονωμένο ανά tenant ID στο επίπεδο ελέγχου πρόσβασης. Τα ερωτήματά σας μπορούν να επιστρέψουν μόνο τις δικές σας εγγραφές - επιβάλλεται από την πλευρά του διακομιστή, όχι απλώς κρυμμένο στο interface.
- Έλεγχος ταυτότητας
- Email + κωδικός με αυστηρές απαιτήσεις κωδικού, συν προαιρετικό SSO (SAML 2.0 / OIDC) στο Enterprise. Κάθε πρόσβαση απαιτεί εκ νέου έλεγχο ταυτότητας μετά τη λήξη της συνεδρίας.
- Τοποθεσία δεδομένων
- Η προεπιλεγμένη περιοχή είναι οι ΗΠΑ (Google Cloud us-central1). Οι πελάτες Enterprise μπορούν να ζητήσουν τοποθεσία στην ΕΕ ή τον Καναδά βάσει του DPA τους.
- Αντίγραφα ασφαλείας
- Κρυπτογραφημένα ημερήσια αντίγραφα ασφαλείας με ανάκτηση σε σημείο χρόνου για 30 ημέρες. Τα αντίγραφα διατηρούνται στην ίδια περιοχή τοποθεσίας με τα ζωντανά σας δεδομένα.
- Διατήρηση & διαγραφή
- Τα βιογραφικά διατηρούνται όσο διατηρείτε την ανάλυση. Η διαγραφή μιας ανάλυσης απαλείφει τα βιογραφικά αμέσως - τα αντίγραφα ασφαλείας εξαφανίζονται εντός 30 ημερών. Η διαγραφή σε επίπεδο λογαριασμού κατόπιν αιτήματος είναι οριστική.
- Καμία εκπαίδευση, καμία κοινοποίηση
- Δεν χρησιμοποιούμε βιογραφικά πελατών για να εκπαιδεύσουμε κανένα μοντέλο. Δεν κοινοποιούμε ποτέ βιογραφικά, αναλύσεις ή δεδομένα υποψηφίων σε τρίτους για μάρκετινγκ ή benchmarking.
- Υπο-εκτελούντες την επεξεργασία
- Χρησιμοποιούμε ένα μικρό σύνολο ελεγμένων παρόχων υποδομής (Google Cloud για αποθήκευση και υπολογισμό - Stripe για χρεώσεις σε επί πληρωμή προγράμματα - έναν πάροχο email για συναλλακτικά μηνύματα). Η τρέχουσα λίστα διατίθεται κατόπιν αιτήματος και θα δημοσιεύεται πριν από οποιαδήποτε αλλαγή.
- Έλεγχοι πρόσβασης (εσωτερικοί)
- Η πρόσβαση σε δεδομένα παραγωγής απαιτεί ονομαστική έγκριση, καταγράφεται και χορηγείται μόνο για ρητές υποθέσεις υποστήριξης που έχετε ανοίξει. Δεν υπάρχει διαδρομή «απλώς για να ρίξω μια ματιά» στα δεδομένα σας.
- Απόκριση σε περιστατικά
- Αν ένα περιστατικό ασφαλείας επηρεάσει τα δεδομένα σας, σας ειδοποιούμε εγγράφως εντός 72 ωρών με περιγραφή, εύρος και σχέδιο αποκατάστασης.
- Στάση συμμόρφωσης
- Ακολουθούμε τις αρχές του GDPR για ελαχιστοποίηση δεδομένων, πρόσβαση και διαγραφή. Τα συμβόλαια Enterprise μπορούν να περιλαμβάνουν Προσάρτημα Επεξεργασίας Δεδομένων (DPA). Επίσημες πιστοποιήσεις SOC 2 / ISO 27001 βρίσκονται στον οδικό μας χάρτη - επικοινωνήστε για το τρέχον ερωτηματολόγιο ασφαλείας μας.
Μια ειλικρινής φράση: είμαστε μια νέα εταιρεία. Δεν ισχυριζόμαστε πιστοποιήσεις που δεν έχουμε. Αυτό που έχουμε είναι μια σαφής πολιτική, μια καθαρή αρχιτεκτονική και τη διάθεση να τα καταγράψουμε εγγράφως για εσάς.