- Szyfrowanie w spoczynku
- Wszystkie CV i rekordy analiz są przechowywane w zaszyfrowanym Google Cloud Storage z AES-256. Szyfrowanie jest zarządzane przez Google Cloud i domyślnie stosowane do każdego pliku.
- Szyfrowanie w tranzycie
- Cały ruch między Twoją przeglądarką, naszą usługą a magazynem odbywa się przez TLS 1.2+. Nie zezwalamy na zwykłe połączenia HTTP.
- Izolacja najemców
- Wielodostępność z założenia, izolowana po tenant ID w warstwie kontroli dostępu. Twoje zapytania mogą zwracać tylko Twoje rekordy - egzekwowane po stronie serwera, a nie tylko ukryte w interfejsie.
- Uwierzytelnianie
- E-mail + hasło z silnymi wymaganiami, a także opcjonalne SSO (SAML 2.0 / OIDC) w Enterprise. Każdy dostęp wymaga ponownego uwierzytelnienia po wygaśnięciu sesji.
- Lokalizacja danych
- Domyślny region to USA (Google Cloud us-central1). Klienci Enterprise mogą zażądać lokalizacji w UE lub Kanadzie w ramach swojego DPA.
- Kopie zapasowe
- Szyfrowane codzienne kopie zapasowe z odzyskiwaniem do punktu w czasie przez 30 dni. Kopie są przechowywane w tym samym regionie co Twoje dane produkcyjne.
- Przechowywanie i usuwanie
- CV są przechowywane tak długo, jak długo zachowujesz analizę. Usunięcie analizy natychmiast usuwa CV; kopie zapasowe znikają w ciągu 30 dni. Usunięcie na poziomie konta na żądanie jest trwałe.
- Bez trenowania, bez udostępniania
- Nie używamy CV klientów do trenowania żadnego modelu. Nigdy nie udostępniamy CV, analiz ani danych kandydatów stronom trzecim do celów marketingowych lub benchmarkingu.
- Podprocesorzy
- Korzystamy z niewielkiego zestawu zweryfikowanych dostawców infrastruktury (Google Cloud do przechowywania i obliczeń; Stripe do rozliczeń w planach płatnych; dostawca poczty do wiadomości transakcyjnych). Aktualna lista jest dostępna na żądanie i zostanie opublikowana przed każdą zmianą.
- Kontrola dostępu (wewnętrzna)
- Dostęp do danych produkcyjnych wymaga imiennej zgody, jest rejestrowany i przyznawany tylko w wyraźnych zgłoszeniach wsparcia, które otworzyłeś. Nie ma drogi "tylko podejrzenia" do Twoich danych.
- Reagowanie na incydenty
- Jeśli incydent bezpieczeństwa dotknie Twoich danych, powiadomimy Cię na piśmie w ciągu 72 godzin, podając opis, zakres i plan działań naprawczych.
- Postawa zgodności
- Przestrzegamy zasad RODO dotyczących minimalizacji danych, dostępu i usuwania. Umowy Enterprise mogą zawierać Aneks o powierzeniu przetwarzania danych (DPA). Formalne certyfikaty SOC 2 / ISO 27001 są w naszej mapie drogowej; skontaktuj się po naszą aktualną ankietę bezpieczeństwa.
Jedno szczere zdanie: jesteśmy młodą firmą. Nie deklarujemy certyfikatów, których nie mamy. Mamy za to jasną politykę, czystą architekturę i gotowość, by ująć to dla Ciebie na piśmie.