- Cifrado en reposo
- Todos los currículums y registros de análisis se almacenan en Google Cloud Storage cifrado con AES-256. El cifrado lo gestiona Google Cloud y se aplica a cada archivo de forma predeterminada.
- Cifrado en tránsito
- Todo el tráfico entre tu navegador, nuestro servicio y el almacenamiento va por TLS 1.2+. No permitimos conexiones HTTP sin cifrar.
- Aislamiento entre clientes
- Multicliente por diseño, aislado por ID de inquilino en la capa de control de acceso. Tus consultas solo pueden devolver tus registros: se aplica en el servidor, no solo se oculta en la interfaz.
- Autenticación
- Correo + contraseña con requisitos de contraseña estrictos, además de SSO opcional (SAML 2.0 / OIDC) en Enterprise. Todo acceso requiere volver a autenticarse cuando caduca la sesión.
- Ubicación de los datos
- La región predeterminada es EE. UU. (Google Cloud us-central1). Los clientes Enterprise pueden solicitar ubicación en la UE o Canadá en el marco de su DPA.
- Copias de seguridad
- Copias de seguridad diarias cifradas con recuperación a un punto en el tiempo durante 30 días. Las copias se guardan en la misma región que tus datos en producción.
- Conservación y eliminación
- Los currículums se conservan mientras mantengas el análisis. Al eliminar un análisis, los currículums se purgan de inmediato; las copias de seguridad expiran en 30 días. La eliminación a nivel de cuenta, previa solicitud, es permanente.
- Sin entrenamiento, sin compartir
- No usamos los currículums de los clientes para entrenar ningún modelo. No compartimos currículums, análisis ni datos de candidatos con terceros para marketing o benchmarking, nunca.
- Subencargados del tratamiento
- Usamos un pequeño grupo de proveedores de infraestructura verificados (Google Cloud para almacenamiento y cómputo; Stripe para la facturación en los planes de pago; un proveedor de correo para los correos transaccionales). La lista actual está disponible a petición y se publicará antes de cualquier cambio.
- Controles de acceso (internos)
- El acceso a los datos de producción requiere una aprobación nominal, queda registrado y solo se concede para casos de soporte concretos que tú hayas abierto. No hay ninguna vía para «echar un vistazo» a tus datos.
- Respuesta ante incidentes
- Si un incidente de seguridad afecta a tus datos, te avisamos por escrito en un plazo de 72 horas con una descripción, el alcance y un plan de subsanación.
- Postura de cumplimiento
- Seguimos los principios del RGPD de minimización de datos, acceso y eliminación. Los contratos Enterprise pueden incluir un Acuerdo de Tratamiento de Datos (DPA). Las certificaciones formales SOC 2 / ISO 27001 están en nuestra hoja de ruta; escríbenos para nuestro cuestionario de seguridad actual.
Una línea honesta: somos una empresa joven. No presumimos de certificaciones que no tenemos. Lo que sí tenemos es una política clara, una arquitectura limpia y la disposición a ponértelo por escrito.