- 保存時の暗号化
- すべての履歴書と分析記録は、AES-256で暗号化されたGoogle Cloud Storageに保存されます。暗号化はGoogle Cloudが管理し、既定ですべてのファイルに適用されます。
- 転送時の暗号化
- ブラウザ、当社サービス、ストレージ間のすべての通信はTLS 1.2+で行われます。平文のHTTP接続は許可しません。
- テナント分離
- 設計上マルチテナントで、アクセス制御層でテナントIDごとに分離されています。クエリが返せるのはお客様のレコードのみ。UIで隠すだけでなく、サーバー側で強制されます。
- 認証
- 強力なパスワード要件を備えたメール+パスワード認証に加え、EnterpriseではオプションのSSO(SAML 2.0 / OIDC)も利用できます。セッション失効時には再認証が必要です。
- データの保管地域
- 既定のリージョンは米国(Google Cloud us-central1)です。Enterprise のお客様は、DPA のもとでEUまたはカナダでの保管をリクエストできます。
- バックアップ
- 暗号化された日次バックアップと、30日間のポイントインタイムリカバリ。バックアップはライブデータと同じ保管地域内に保持されます。
- 保持と削除
- 履歴書は分析を保持している間は保存されます。分析を削除すると履歴書は直ちに消去され、バックアップは30日以内に消えます。ご要望によるアカウント単位の削除は恒久的です。
- 学習なし、共有なし
- お客様の履歴書をいかなるモデルの学習にも使用しません。履歴書、分析、候補者データを、マーケティングやベンチマークのために第三者と共有することは一切ありません。
- サブプロセッサー
- 私たちは、精査した少数のインフラプロバイダーを利用しています(ストレージと計算にGoogle Cloud、有料プランの請求にStripe、トランザクションメールにメールプロバイダー)。最新のリストはご要望に応じて提供し、変更前に公開します。
- アクセス制御(社内)
- 本番データへのアクセスには記名による承認が必要で、ログに記録され、お客様が開いた明示的なサポート案件にのみ許可されます。データへの「ちょっと見るだけ」の経路は存在しません。
- インシデント対応
- セキュリティインシデントがお客様のデータに影響した場合、72時間以内に書面で、内容・範囲・是正計画とともにお知らせします。
- コンプライアンス体制
- 私たちはデータ最小化、アクセス、削除についてGDPRの原則に従います。Enterprise契約にはデータ処理補遺(DPA)を含めることができます。正式なSOC 2 / ISO 27001の認証はロードマップ上にあります。最新のセキュリティ質問票についてはお問い合わせください。
正直に一言:私たちは若い会社です。持っていない認証を主張することはありません。私たちにあるのは、明確なポリシー、すっきりとしたアーキテクチャ、そしてそれを書面でお示しする意志です。