- Crittografia a riposo
- Tutti i CV e i record di analisi sono memorizzati su Google Cloud Storage con crittografia AES-256. La crittografia è gestita da Google Cloud e applicata di default a ogni file.
- Crittografia in transito
- Tutto il traffico tra il tuo browser, il nostro servizio e lo storage avviene su TLS 1.2+. Non consentiamo connessioni HTTP in chiaro.
- Isolamento del tenant
- Multi-tenant by design, ma isolato per tenant ID a livello di controllo degli accessi. Le tue query possono restituire solo i tuoi record - applicato lato server, non solo nascosto nell'interfaccia utente.
- Autenticazione
- Email + password con requisiti di complessità forti, oltre all'SSO opzionale (SAML 2.0 / OIDC) nel piano Enterprise. Tutti gli accessi richiedono la riautenticazione alla scadenza della sessione.
- Residenza dei dati
- La region predefinita è negli Stati Uniti (Google Cloud us-central1). I clienti Enterprise possono richiedere la residenza dei dati in UE o Canada in base al loro DPA.
- Backup
- Backup crittografati giornalieri con ripristino point-in-time per 30 giorni. I backup sono conservati all'interno della stessa region di residenza dei tuoi dati attivi.
- Conservazione ed eliminazione
- I CV vengono conservati finché mantieni l'analisi. L'eliminazione di un'analisi elimina immediatamente i CV correlati; i backup scadono entro 30 giorni. L'eliminazione a livello di account, su richiesta, è permanente.
- Nessun training, nessuna condivisione
- Non utilizziamo i CV dei clienti per addestrare alcun modello. Non condividiamo CV, analisi o dati dei candidati con terze parti per finalità di marketing o benchmarking, mai.
- Sotto-responsabili del trattamento
- Utilizziamo un ristretto gruppo di fornitori di infrastrutture accuratamente selezionati (Google Cloud per archiviazione ed elaborazione; Stripe per la fatturazione dei piani a pagamento; un fornitore email per le comunicazioni transazionali). L'elenco aggiornato è disponibile su richiesta e verrà pubblicato prima di qualsiasi modifica.
- Controlli di accesso (interni)
- L'accesso ai dati di produzione richiede un'approvazione nominale, viene registrato ed è concesso esclusivamente per i casi di supporto espliciti aperti dall'utente. Non esiste un percorso per "navigare liberamente" tra i tuoi dati.
- Risposta agli incidenti
- Se un incidente di sicurezza dovesse coinvolgere i tuoi dati, ti avviseremo per iscritto entro 72 ore allegando una descrizione, l'ambito del problema e un piano di risoluzione.
- Posizione di conformità
- Seguiamo i principi del GDPR per la minimizzazione, l'accesso e la cancellazione dei dati. I contratti Enterprise possono includere un Data Processing Addendum (DPA). Attestazioni formali SOC 2 / ISO 27001 sono nella nostra roadmap; contattaci per ricevere il nostro attuale questionario di sicurezza.
Diciamolo in tutta onestà: siamo un'azienda giovane. Non millantiamo certificazioni che non abbiamo. Ciò che abbiamo è una policy chiara, un'architettura pulita e la volontà di metterlo per iscritto per te.