- Kryptering i vila
- Alla CV:n och analysposter lagras på krypterad Google Cloud Storage med AES-256. Krypteringen hanteras av Google Cloud och tillämpas på varje fil som standard.
- Kryptering under överföring
- All trafik mellan din webbläsare, vår tjänst och lagringen sker över TLS 1.2+. Vi tillåter inte vanliga HTTP-anslutningar.
- Tenantisolering
- Multi-tenant av design, isolerad per tenant-ID i åtkomstkontrolllagret. Dina frågor kan bara returnera dina poster - framtvingat på serversidan, inte bara dolt i gränssnittet.
- Autentisering
- E-post + lösenord med strikta lösenordskrav, plus valfri SSO (SAML 2.0 / OIDC) på Enterprise. All åtkomst kräver omautentisering när sessionen löper ut.
- Datalokalisering
- Standardregionen är USA (Google Cloud us-central1). Enterprise-kunder kan begära lagring i EU eller Kanada under sitt DPA.
- Säkerhetskopior
- Krypterade dagliga säkerhetskopior med återställning till en tidpunkt i 30 dagar. Säkerhetskopiorna hålls inom samma lagringsregion som dina aktiva data.
- Lagring och radering
- CV:n behålls så länge du behåller analysen. Att radera en analys rensar CV:na omedelbart; säkerhetskopior rullar av inom 30 dagar. Radering på kontonivå på begäran är permanent.
- Ingen träning, ingen delning
- Vi använder inte kunders CV:n för att träna någon modell. Vi delar aldrig CV:n, analyser eller kandidatdata med tredje part för marknadsföring eller benchmarking.
- Underbiträden
- Vi använder en liten uppsättning granskade infrastrukturleverantörer (Google Cloud för lagring och beräkning; Stripe för fakturering på betalda planer; en e-postleverantör för transaktionsmejl). Den aktuella listan finns på begäran och publiceras före varje ändring.
- Åtkomstkontroller (interna)
- Åtkomst till produktionsdata kräver namngivet godkännande, loggas och beviljas endast för uttryckliga supportärenden du har öppnat. Det finns ingen "bara-titta"-väg till dina data.
- Incidenthantering
- Om en säkerhetsincident påverkar dina data meddelar vi dig skriftligen inom 72 timmar med en beskrivning, omfattning och åtgärdsplan.
- Efterlevnadshållning
- Vi följer GDPR-principerna för dataminimering, åtkomst och radering. Enterprise-avtal kan inkludera ett databehandlingsavtal (DPA). Formella SOC 2 / ISO 27001-attesteringar finns på vår färdplan; hör av dig för vårt aktuella säkerhetsformulär.
En ärlig rad: vi är ett ungt företag. Vi gör inte anspråk på certifieringar vi inte har. Det vi har är en tydlig policy, en ren arkitektur och viljan att skriva ned det åt dig.