- Шифрование при хранении
- Все резюме и записи анализов хранятся в зашифрованном Google Cloud Storage с AES-256. Шифрование управляется Google Cloud и применяется к каждому файлу по умолчанию.
- Шифрование при передаче
- Весь трафик между вашим браузером, нашим сервисом и хранилищем идёт по TLS 1.2+. Мы не разрешаем обычные HTTP-соединения.
- Изоляция арендаторов
- Мультитенантность по своей сути, изоляция по tenant ID на уровне контроля доступа. Ваши запросы могут возвращать только ваши записи - это обеспечивается на стороне сервера, а не просто скрыто в интерфейсе.
- Аутентификация
- E-mail + пароль со строгими требованиями к паролю, плюс опциональный SSO (SAML 2.0 / OIDC) на Enterprise. Любой доступ требует повторной аутентификации по истечении сессии.
- Размещение данных
- Регион по умолчанию - США (Google Cloud us-central1). Клиенты Enterprise могут запросить размещение в ЕС или Канаде в рамках своего DPA.
- Резервные копии
- Зашифрованные ежедневные резервные копии с восстановлением на момент времени в течение 30 дней. Резервные копии хранятся в том же регионе размещения, что и ваши активные данные.
- Хранение и удаление
- Резюме хранятся, пока вы сохраняете анализ. Удаление анализа немедленно стирает резюме; резервные копии исчезают в течение 30 дней. Удаление на уровне аккаунта по запросу необратимо.
- Никакого обучения, никакой передачи
- Мы не используем резюме клиентов для обучения каких-либо моделей. Мы никогда не передаём резюме, анализы или любые данные кандидатов третьим сторонам для маркетинга или бенчмаркинга.
- Субподрядчики обработки
- Мы используем небольшой набор проверенных поставщиков инфраструктуры (Google Cloud для хранения и вычислений; Stripe для оплаты на платных тарифах; почтовый провайдер для транзакционных писем). Текущий список доступен по запросу и будет опубликован до любых изменений.
- Контроль доступа (внутренний)
- Доступ к рабочим данным требует именного одобрения, журналируется и предоставляется только для конкретных обращений в поддержку, открытых вами. Нет пути «просто посмотреть» к вашим данным.
- Реагирование на инциденты
- Если инцидент безопасности затрагивает ваши данные, мы уведомляем вас письменно в течение 72 часов с описанием, масштабом и планом устранения.
- Соответствие требованиям
- Мы следуем принципам GDPR в части минимизации данных, доступа и удаления. Контракты Enterprise могут включать Дополнение об обработке данных (DPA). Официальные аттестации SOC 2 / ISO 27001 - в нашей дорожной карте; запросите наш текущий опросник по безопасности.
Одна честная фраза: мы молодая компания. Мы не заявляем о сертификатах, которых у нас нет. Что у нас есть - это понятная политика, чистая архитектура и готовность изложить это для вас письменно.