- Kryptering i hvile
- Alle CV-er og analyseoppføringer lagres på kryptert Google Cloud Storage med AES-256. Krypteringen håndteres av Google Cloud og brukes på hver fil som standard.
- Kryptering under overføring
- All trafikk mellom nettleseren din, tjenesten vår og lagringen går over TLS 1.2+. Vi tillater ikke vanlige HTTP-tilkoblinger.
- Tenant-isolasjon
- Flerleietaker av design, isolert per tenant-ID i tilgangskontrollaget. Spørringene dine kan bare returnere dine egne oppføringer - håndhevet på serversiden, ikke bare skjult i grensesnittet.
- Autentisering
- E-post + passord med strenge passordkrav, pluss valgfri SSO (SAML 2.0 / OIDC) på Enterprise. All tilgang krever ny autentisering når økten utløper.
- Datalokasjon
- Standardregionen er USA (Google Cloud us-central1). Enterprise-kunder kan be om lagring i EU eller Canada under sin DPA.
- Sikkerhetskopier
- Krypterte daglige sikkerhetskopier med gjenoppretting til et tidspunkt i 30 dager. Sikkerhetskopiene holdes i samme region som de aktive dataene dine.
- Oppbevaring og sletting
- CV-er beholdes så lenge du beholder analysen. Å slette en analyse fjerner CV-ene umiddelbart; sikkerhetskopier forsvinner innen 30 dager. Sletting på kontonivå på forespørsel er permanent.
- Ingen trening, ingen deling
- Vi bruker ikke kunders CV-er til å trene noen modell. Vi deler aldri CV-er, analyser eller kandidatdata med tredjeparter til markedsføring eller benchmarking.
- Underleverandører
- Vi bruker et lite sett med kvalitetssikrede infrastrukturleverandører (Google Cloud for lagring og databehandling; Stripe for fakturering på betalte abonnementer; en e-postleverandør for transaksjonsmeldinger). Den gjeldende listen er tilgjengelig på forespørsel og publiseres før enhver endring.
- Tilgangskontroll (intern)
- Tilgang til produksjonsdata krever navngitt godkjenning, logges og gis bare for eksplisitte supportsaker du har åpnet. Det finnes ingen "bare titting"-vei til dataene dine.
- Hendelsesrespons
- Hvis en sikkerhetshendelse berører dataene dine, varsler vi deg skriftlig innen 72 timer med en beskrivelse, omfang og en utbedringsplan.
- Etterlevelse
- Vi følger GDPR-prinsippene for dataminimering, tilgang og sletting. Enterprise-kontrakter kan inkludere en databehandleravtale (DPA). Formelle SOC 2 / ISO 27001-attestasjoner er på veikartet vårt; ta kontakt for vårt gjeldende sikkerhetsskjema.
Én ærlig setning: vi er et ungt selskap. Vi hevder ikke å ha sertifiseringer vi ikke har. Det vi har, er en tydelig policy, en ryddig arkitektur og viljen til å sette det på papiret for deg.